Aktueller Lagebericht Wie sicher ist die IT in Deutschland?

Ordnungsmerkmale

erschienen in: <kes> 2005#4, Seite 21

Rubrik: BSI Forum

Schlagwort: IT-Sicherheitslage

Zusammenfassung: Würmer verführen mit WM-Tickets, Kreditkartenbesitzer fürchten nach Hacker-Angriffen um die Sicherheit ihrer Konten, Meldungen über Sicherheitslücken zum Beispiel bei Bluetooth nehmen zu. Was bedeutet das heute für Deutschland? Und vor allem: Was kann dies zukünftig bedeuten? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet und analysiert die Lage der IT-Sicherheit in Deutschland. Ein neuer Bericht zur Lage der IT-Sicherheit in Deutschland wird zukünftig aktuelle Entwicklungen beschreiben und bewerten und einen Ausblick geben, welche Trends sich abzeichnen.

Autor: Von Tillmann Schulze, BSI

Studien belegen es: Die Bedeutung der IT-Sicherheit in unserer voll vernetzten Gesellschaft nimmt weiter zu. Ob IT-Einsatz zu Hause oder am Arbeitsplatz, ob drahtlose Kommunikation oder digitaler Zahlungsverkehr, alle gesellschaftlichen Gruppen sind in zunehmendem Maß auf sichere IT angewiesen. Doch das Bewusstsein für die Sicherheit in der Informationstechnik und vor allem auch die IT-Sicherheitskompetenz, also die Umsetzung von IT-Sicherheit, korrelieren nicht mit den bestehenden Ansprüchen. Hier gibt es zum Teil signifikante Unterschiede zwischen Theorie und Praxis.

In den verschiedenen gesellschaftlichen Gruppen gibt es dafür unterschiedliche Gründe. Bei den Bürgerinnen und Bürgern ist es vor allem die mangelnde Umsetzung von IT-Sicherheitsmaßnahmen. Regelmäßige Updates von Virenschutz-Programmen sind längst noch nicht selbstverständlich. Und das, obwohl das Wissen über die Bedeutung von IT-Sicherheit insgesamt weit verbreitet ist. Auch in der Wirtschaft ist man sich der Bedeutung von IT-Sicherheit grundsätzlich bewusst. Sorgen bereiten hier fehlende finanzielle Ressourcen und vor allem "der Faktor Mensch" – also Mitarbeiter, die durch Irrtum oder Nachlässigkeit zum Sicherheitsrisiko werden. Daneben gilt die Erweiterung bestehender Unternehmensnetze um mobile Systeme wie Notebooks und Handhelds, aber auch Telearbeitsplätze als Risiko. Strategien zur nachhaltigen Verbesserung der IT-Sicherheit gibt es noch zu selten. Und auch in der öffentlichen Verwaltung besteht Verbesserungsbedarf. Hier sind sich die Verantwortlichen der Bedeutung der IT-Sicherheit bewusst, doch in den Bereichen, wo die Mitarbeiter nicht ständig mit sicherheitskritischen Vorgängen befasst sind, zeigen sich Defizite.

Fazit: Das Bewusstsein für die Bedeutung von IT-Sicherheit ist vorhanden und wächst – es reicht aber noch nicht aus. Denn die Zahl der Schwachstellen und Bedrohungen von IT-Systemen nimmt weiter zu und IT-Sicherheit wird eine zunehmend komplexe Herausforderung, der es aufgrund bestehender und künftiger Abhängigkeiten zu begegnen gilt. Notwendig sind vor allem Aktionen, also das Umsetzen von Bewusstsein und Wissen in konkrete Maßnahmen zur Verbesserung der IT-Sicherheit.

Schneller...

Sicherheitslücken in komplexer Software lassen sich mit den heutigen Methoden nicht vermeiden. Die Qualität einer Software ist auch daran zu erkennen, wie gut und wie schnell auf das Auftauchen von Schwachstellen durch entsprechende Updates reagiert wird. Die Zahl von Schwachstellen hat kontinuierlich zugenommen, wobei die Zeit zwischen der Veröffentlichung und dem Ausnutzen weiter abnimmt. Hier besteht ein Trend zu vermehrten "Zero-Day-Exploits".

Die Verbreitung von Schadprogrammen, wie Viren, Würmern, Trojanischen Pferden, aber auch Spyware, ist deutlich gestiegen. Primäres Ziel bleiben nach wie vor Schwachstellen in weit verbreiteter Standardsoftware. Das Problem verschärft sich, da Schadprogramme sowohl technisch als auch auf ihre psychologische Wirkung hin immer effektiver programmiert werden. Hinzu kommt, dass die Zeitabstände zwischen neuen Computervirus-Epidemien kontinuierlich kürzer werden, da die Autoren der Schadprogramme vermehrt auf bereits existierende Codes von Computerviren und -würmern zurückgreifen. Dieser Trend wird anhalten, die Zyklen zwischen einzelnen Schadprogramm-Varianten verkürzen sich.

... höher ...

Der Anteil von Spam-Mails nimmt zu. Zwischen 60 und 90 Prozent aller E-Mails gelten schon heute als "Werbemüll". Festzustellen sind Verbindungen zwischen der Verbreitung von Spam-Mails und Schadprogrammen. Spezielle Würmer missbrauchen auf infizierten Computern Adressbücher, um Spam und auch Schadprogramme zu versenden. Es gibt vielfältige Möglichkeiten sich gegen Spam-Mails zu schützen. Allerdings sind Anti-Spam-Maßnahmen in Deutschland trotz des hohen Aufkommens noch nicht flächendeckend umgesetzt.

Die Bedeutung von Bot-Netzen ist gestiegen. Auch wenn zwischenzeitlich die Zahl der in Bot-Netzen zusammengefassten Computer abnahm, sind diese Netze weiterhin eine Bedrohung. Die Zunahme an breitbandigen Internetzugängen sowie Flatrates wird dazu beitragen, dass Bot-Netze weiterhin eine Gefahr für die IT-Sicherheit darstellen.

Eine deutliche Zunahme ist auch bei Phishing-Mails und bei illegalen Dialer-Programmen zu verzeichnen. Phishing-Mails sind immer professioneller erstellt und damit zunehmend schwierig als gefälschte Mails zu erkennen. "Echtheitsmerkmale" wie Seitenzertifikat und die Verschlüsselung von Webseiten werden von den Nutzern noch nicht in ausreichender Form beachtet.

... weiter

Neben den schon länger bekannten Bedrohungen und Schwachstellen von IT-Systemen gilt es zunehmend auch solche Verfahren zu beachten, die erst in den letzten Jahren an Bedeutung gewonnen haben. WLAN, als ergänzende breitbandige Zugangstechnik, wird beispielsweise immer stärker genutzt. Die Zahl der Hotspots steigt, jedoch sind die von der Seite der Nutzer getroffenen Sicherheitsmaßnahmen, zum Beispiel Verschlüsselung oder eine restriktive Datei- sowie Ressourcenfreigabe auf Betriebssystemebene, oft ungenügend umgesetzt.

Voice over IP (VoIP) ist eine weitere Technik, die zukünftig an Bedeutung gewinnen wird. Experten gehen davon aus, dass die Internettelefonie die bisherige Form in einigen Jahren vollständig ablösen wird. Das Bedrohungspotenzial für VoIP ist groß, sodass die vermehrte Nutzung auch mit der Entwicklung und Anwendung entsprechender Sicherheitslösungen einher gehen sollte.

In diesem Kontext ist auch die Sicherheit von Mobiltelefonen und PDAs zu betrachten. Im vergangenen Jahr traten die ersten "Handy-Viren" auf, allerdings richteten diese noch keine großen Schäden an. Gerade Bluetooth weist Schwachstellen auf. Es ist nicht auszuschließen, dass künftig auch andere Funkschnittstellen wie GSM oder UMTS missbraucht werden, um mobile Endgeräte mit Schadprogrammen zu infizieren. Verfügen die Endgeräte zudem über eine Schnittstelle beispielsweise zu einem Firmennetz, besteht die Gefahr, dass sie als Zugang zu sensiblen Daten missbraucht werden können. Entsprechende Schutzmaßnahmen für mobile Endgeräte sind bislang kaum verbreitet.

Hinter den Kulissen

Weniger im Fokus der Öffentlichkeit, dafür aber nicht weniger von Bedeutung, sind Prozessleitsysteme, so genannte Supervisory Control and Data Acquisition (SCADA) Systems. Diese steuern beispielsweise die Strom- oder Wasserversorgung und sind in zunehmender Weise von IT abhängig. Bei vielen SCADA-Systemen reichen aufgrund der besonderen Anforderungen Standardsicherheitsmaßnahmen nicht aus. Zudem ist bei der Entwicklung vieler SCADA-Komponenten der Aspekt der IT-Sicherheit nicht ausreichend berücksichtigt und Sicherheitsmechanismen wie Authentifizierung und Verschlüsselung sind nicht immer implementiert worden.

Bedrohungen für IT-Systeme entstehen auch durch Innentäter, also eigene Mitarbeiter. Diese können auf von außen nicht zugängliche IT-Systeme zugreifen, verfügen zudem über ein detailliertes Wissen und zum Teil weit reichende Berechtigungen. Aber nicht nur Vorsatz ist ein Problem für die IT-Sicherheit: Auch Irrtum oder Nachlässigkeit bei der Nutzung der IT führen zu Schäden.

Doch es bedarf nicht immer einer bestimmten Motivation oder menschlicher Handlungen, damit IT-Systeme nicht hinreichend sicher sind. Gerade auch der zunehmend komplexe Aufbau einzelner Produkte und ganzer Netzwerke sowie die schnellen Innovationszyklen können zum Versagen von IT-Systemen führen. Defizite bei umfassenden Prozessanalysen, das Vorhalten von Redundanzen bei IT-Systemen, aber auch mangelnde Sensibilisierung des Managements können ebenfalls Schäden erzeugen oder diese verstärken.

Ausblick

Die Darstellung der momentanen Lage zeigt, dass es gute Gründe gibt, der Bedeutung der IT-Sicherheit einen höheren Stellenwert zuzuschreiben. Doch was ist hier mittelfristig zu erwarten? Es gilt abzuschätzen, welche Probleme sich zukünftig ergeben. Das zielgerichtete Ausnutzen von Schwachstellen in IT-Systemen beschreibt dabei ein zentrales Problemfeld. Die folgenden Punkte stellen dar, welche Entwicklungen bei solchen Angriffen ausschlaggebend sind oder zukünftig sein können.

Noch wissen zu wenig private und berufliche Nutzer der IT, aber auch zu wenig IT-Verantwortliche in Wirtschaft und Verwaltung wovor und vor allem wie sie ihre IT-Systeme schützen können und sollen. Informationsangebote wie das Internetportal des BSI [externer Link] bsi-fuer-buerger.de für private Nutzer, aber auch beispielsweise das mcert für kleine und mittelständische Unternehmen gewinnen zunehmend an Bedeutung. Für Wirtschaft und Verwaltung ist es relevant über Vorgaben zur Bewältigung von IT-Krisen zu verfügen. Entsprechende Notfallpläne sind notwendig, die regelmäßige Revision der verschiedenen Sicherheitsmaßnahmen ist eine Grundvoraussetzung.

Fazit

Informationstechnik ist zum herausragenden gesellschaftlichen Faktor unserer Zeit geworden. Alle gesellschaftlichen Gruppen unterliegen einer besonderen Verpflichtung zur Gewährleistung der Sicherheit in der Informationstechnik. Damit unsere Informationstechnik aber auch in Zukunft zuverlässig funktioniert, gilt es das Bewusstsein für die Wichtigkeit von IT-Sicherheit weiter zu schärfen. Um angemessene IT-Sicherheit zu realisieren, müssen Verwaltung, Wirtschaft sowie Bürgerinnen und Bürger dem Thema einen zentralen Stellenwert einräumen.

Das Bundesamt für Sicherheit in der Informationstechnik wird den ersten Bericht zur Lage der IT-Sicherheit in Deutschland Mitte August veröffentlichen. Er ist über das Bundesamt für Sicherheit in der Informationstechnik, Referat III 2.1 (Öffentlichkeitsarbeit), Godesberger Allee 185–189, 53175 Bonn erhältlich und kann dann unter [externer Link] www.bsi.bund.de/literat/lagebericht/lagebericht2005.pdf heruntergeladen werden.