Heute wurde auf einer Pressekonferenz im Haus der Bundespressekonferenz der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland 2015 vorgestellt. Anwesend waren BSI-Präsident Michael Hange, der Ende des Monats in Ruhestand gehen wird, und Bundesinnenminister Thomas de Maizière.
Der Grundtenor ähnelte dem des letzten Jahres: Es liegen weiterhin Bedrohungen, vor allem durch fortgeschrittene Angriffe vor – sogenannte Advanced Persistent Threats (APT). Die Meldungen an das BSI seien nicht gestiegen, de Maizière vermutet dahinter jedoch etwas anderes, was dazu führt, dass eine höhere Dunkelziffer anzunehmen ist:
Das liegt nicht an der Anzahl der Angriffe, sondern an der Anzahl der Meldungen.
Es sei Unternehmen „peinlich“, Sicherheitsvorfälle öffentlich zu machen, während die „asymmetrische Bedrohungslage im Cyberraum“ sich weiter zuspitze. Er forderte daher dazu auf, sich „vertrauensvoll an das BSI zu wenden“. Gestiegen sei hingegen die Sensibilität für Sicherheitsprobleme, das BSI verzeichnete eine gestiegene Nachfrage nach Informationen und Beratung.
Hange bemängelte, dass IT-Sicherheit für Unternehmen oft noch zweitrangig und kein ausreichender Wettbewerbsfaktor sei. Patches würden nur unzureichend eingespielt, gerade für ältere Software und weniger kritische Sicherheitslücken. In den elf am häufigsten genutzten Programmen wurden 2015 insgesamt 847 kritische Schwachstellen gefunden, 2014 waren es noch 700. Wobei das unserer Meinung nach nichts Negatives bedeuten muss, sondern auch auf intensivere Tests hinweisen kann.
Nutzer seien oftmals nicht informiert und können keine bewussten Entscheidungen treffen:
Mangelnde Transparenz trifft auf mangelndes Technikverständnis.
Dazu komme eine „digitale Sorglosigkeit“ der Nutzer. Nur 13 Prozent der Nutzer fühlten sich ausreichend geschützt, auch wenn ihnen die Bedrohung bewusst sei. Daher sei IT-Sicherheit eine gesamtgesellschaftliche Aufgabe, an der auch Unternehmen beteiligt werden müssen. Auf die Nachfrage, ob es nicht die Möglichkeit einer Haftbarkeit für Unternehmen geben sollte, falls diese entgegen besseren Wissens Sicherheitsupdates nicht bereitstellten, zeigte sich de Maizière interessiert und erwiderte, dass dies vielleicht sogar bereits jetzt über das deutsche Gewährleistungsrecht machbar sei. Einen Präzendenzfall kenne er jedoch noch nicht. Hange forderte in diesem Kontext auch dazu auf, von seinen Verbraucherrechten Gebrauch zu machen.
IT-Infrastruktur des Bundes soll gestärkt werden
Großes Thema waren auch die Angriffe auf Regierungsnetze und der Bundestagshack, der im Mai 2015 bekannt wurde, lange nicht beseitigt werden konnte und schließlich zu einer einwöchigen Abschaltung der Bundestags-IT führte.
Es sei ein komplizierter Angriff gewesen, so de Maizière, es spreche viel dafür, dass die Angreifer organisiert waren und von staatlicher Seite stammten. Insgesamt sei mittlerweile aber ein Großteil der Angriffe auf Regierungsnetze von kriminellen Angreifern ausgegangen und nicht mehr von Nachrichtendiensten anderer Staaten. Im Mittel würden 15 solcher APTs pro Tag auf Regierungsnetze verzeichnet. Wie genau sich diese verteilen, etwa auf verschiedene Ministerien oder das BSI selbst, könne nicht bestimmt werden. Hange erklärte:
Das Regierungsnetz hat nur zwei Eingangstore – Bonn und Berlin […] Wir können zentral an beiden Eingängen Angriffe detektieren. Wir dürfen unter strengen Datenschutzregeln Monitoring vornehmen.
Interessant ist, dass das BSI primär auf Open-Source-Software zurückgreift, da natürlich ein erfolgreicher Angriff auf das BSI selbst besonders peinlich wäre. Da stellt sich die Frage, warum Open Source nicht generell verstärkt genutzt wird, wenn das BSI darin einen Sicherheitsvorteil erkennt. Zur allgemeinen Verbesserung der IT-Struktur kündigte de Maizière an, dass der Haushaltsausschuss letzte Woche genehmigt habe, die Netze des Bundes Stück für Stück zu erneuern, um sie abwehrfähiger zu machen.
Eigenlob zum IT-Sicherheitsgesetz
Lobend wurde das IT-Sicherheitsgesetz erwähnt. Durch die Meldepflicht der Unternehmen erwartet man einen besseren Überblick über die Lage. Wir bemängeln jedoch bereits seit langem mehrere Punkte, unter anderem, dass die Meldungen im Regelfall anonym erfolgen können. Das reduziert zwar die Peinlichkeit, nimmt aber auch die Möglichkeit, öffentlichen Druck auszuüben, die eigene Infrastruktur bereits im Vorfeld gegen Angriffe abzusichern.
De Maizière kündigte an, dass im Frühjahr 2016 Rechtsverordnungen zur Konkretisierung des Gesetzes vorgestellt werden sollen, zumindest für vier der Sektoren Kritischer Infrastruktur: Ernährung, Wasser, Energie und IKT. Ende 2016 sollen Verordnungen für die Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen und Staat und Verwaltung folgen. Wir sind gespannt, ob sich mit konkreten Regelungen auch wirksamere Maßnahmen ergeben.
Bedrohung durch Cyberterrorismus? Irrelevant, alles muss geschützt werden.
Die Fragen der Journalisten zielten vermehrt auf die Bedrohungen durch sogenannte Cyber-Terroristen ab. Die hätten die Website eines hessischen Weihnachtsmarktes gehackt. Zudem hat die britische Regierung angekündigt, den Haushalt zur Bekämpfung von Cyber-Angriffen durch ISIS zu verdoppeln. De Maizière hält davon nicht viel. Es sei gleichgültig, ob ein Angreifer gewöhnlicher Krimineller oder Terrorist sei. Man müsse die IT-Sicherheit gegen alle Angreifer erhöhen. Da können wir de Maizière nur Recht geben.
Für vermessen halten wir jedoch Hanges Antwort in diesem Kontext. Er ordnete Cyber-Angreifer mit terroristischem Hintergrund in die Riege der Aktivisten ein. Diese Generalisierung finden wir fatal und selbst der Bericht zu Hacktivismus des BKA, bei dem Hacktivismus als „Cybercrime-Phänomen“ bezeichnet wird, grenzt diese Form digitalen Widerstands deutlich von Cyber-Terrorismus ab, dessen primäres Ziel es sei „Gewalt auszuüben, um einzuschüchtern und Schrecken und Leid zu verbreiten“.
Vermutlich deswegen versuchen BMI/BSI beim 32C3 Standflächen zu bekommen:
https://cccinsiderblog.wordpress.com/2015/11/20/gerucht-innenministerium-will-auf-32c3-hackern-anwerben/