Zum BSI-Lagebericht IT-Sicherheit 2018

Eine Einschätzung von IT Security Consultant Christian Pappas

Anfang Oktober veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht zur Lage der IT-Sicherheit in Deutschland. Im Vorwort blickt Präsident Arne Schönbohm mehr als 100 Jahre in die Vergangenheit und zieht dabei einen Vergleich zwischen dem schnell zunehmenden Autoverkehr damals und dem umso schneller wachsenden Datenverkehr heute. Verkehrsströme – motorisierte damals, digitalisierte heute – fordern die Gesellschaft heraus. Die Entwicklung von Regeln, Regulierungen und Verhaltensweisen sind dabei ebenso essenziell wie Fachexperten, die adäquate Antworten auf neu entstehende Fragestellungen geben können.

Als  im Jahr 1934 Verhaltensregeln für alle Verkehrsteilnehmer in der Straßenverkehrsordnung festgeschrieben wurden, ging man zu Recht von lokalen Akteuren aus. Die digitale Revolution unterscheidet sich jedoch von der industriellen Revolution unter anderem darin, dass 2018 globale Akteure über Staatsgrenzen – und damit auch Gesetzesgrenzen – hinweg die zu lösenden Aufgaben stellen. Angreifer senden heute ihre Datenpakete mehrfach um den Globus und sitzen dabei nur ein paar Straßen von ihrem Opfer entfernt in einem Schnellrestaurant. Sie nutzen hierbei nicht nur technische Sicherheitslücken, sondern auch das mangelnde Wissen der Angegriffenen über die Grundprinzipien des "digitalen Verkehrs". In beiden Bereichen gesellschaftsweit besser zu werden – in der IT Security von Systemen und der Security Awareness der Anwender – ist und bleibt eine fortwährend Herausforderung.

Die allgemeine Bedrohungslage ist weiterhin hoch, jedoch nicht für alle Betreiber und Nutzer von IT-Systemen in gleichem Maße. Das Meldeaufkommen in den kritischen Infrastruktur (KRITIS)-Sektoren "Finanzen" und "Gesundheit" unterscheidet sich im Berichtszeitraum nur marginal, die nominale Anzahl von Advanced Persistent Threat (APT)-Gruppen im Sektor "Energie" ist dabei aber um ein Vielfaches höher als im Sektor "Gesundheit". Ein kausaler Zusammenhang ist hier bei den Interessen dieser Gruppen zu suchen.

Das BSI fasst zusammen, dass der Verschlüsselungs-Trojaner (Ransomware) WannaCry mehr als 200.000 Systeme infiziert und einen Schaden von schätzungsweise einigen hundert Millionen Dollar verursacht hat, dem knapp 93.000 Euro Beute gegenüberstehen. Auch die Täter haben nachgerechnet und sind mit der Zeit gegangen. Auf Geräten des Typus Internet of Things (IoT) – aber auch auf gewöhnlichen Client- sowie Serversystemen ­– wird nun die Kryptowährung Bitcoin geschürft und nicht mehr wie im Vergleichszeitraum des Vorjahres erpresst.

Weder im Falle der Verschlüsselungs-Trojaner noch von Krypto-Mining auf unzureichend gesicherten IoT-Geräten ist von einem APT zu sprechen. Mit Sicherheitsupdates (Patches) der Hersteller und Antivirensoftware hat man diese auf die breite Masse optimierte Bedrohung gut eindämmen können. Mit angepassten Eigenentwicklungen ist es aber heute immer noch möglich, gängige Antivirensoftware zuverlässig zu umgehen.

Angepasster Schadcode (Malware) ist ein essenzielles Element moderner Angriffe. Der im BSI-Lagebericht genannte Anteil von Hacking-Angriffen mit 19 % spiegelt die Erfahrung der SySS GmbH wieder, dass die Systeme vor Angriffen aus dem Internet immer besser geschützt sind, sodass sich Angreifer mithilfe des Faktors Mensch (z. B. Spear Phishing) und geeigneten technischen Methoden, wie zum Beispiel Malware, erst Zugang zum internen Netzwerk verschaffen müssen.

In internen Netzwerken ist es mangels geeigneter Segmentierung, starker Verschlüsselung, individueller Passphrasen und regelmäßiger Updates für Angreifer immer noch zu einfach, sich zwischen den Systemen zu bewegen (Lateral Movement). Vor allem im Bereich der Industrial Control Systems (ICS) scheint bei vielen Systemen die Zeit stehengeblieben zu sein.

Die Lebensdauer von Produktionsanlagen beträgt ein Vielfaches der Halbwertszeit der darin arbeitenden Software. Werden Patches eigenmächtig installiert, erlischt typischerweise der Service- und bzw. oder Garantieanspruch gegenüber dem Hersteller. Die Hersteller wiederum liefern Patches für ICS oft nur sehr verzögert und teilweise gar nicht über den gesamten zu erwartenden Lebensdauerzyklus.

Der Lagebericht des BSI bietet eine sehr gute Übersicht hinsichtlich Umfang und Vielfalt an Bedrohungen in Deutschland, wobei Deutschland hier auch stellvertretend für andere Technologiestandorte stehen kann. IT-Systeme sind hochkomplex. Ohne tiefes technisches Sachverständnis ist eine Beurteilung der Sicherheit kaum möglich. Somit liegt es auf der Hand, dass für den Betrieb von sicheren IT-Systemen qualifizierte Fachkräfte benötigt werden.

Um sicher am Straßenverkehr teilnehmen zu können, muss man nicht wissen, wie die Zündkerzen einzustellen sind. Wenn der eigene PKW beim NCAP-Crashtest sehr gut abgeschnitten hat, eine gültige TÜV-Plakette besitzt, alle vorgegebenen Inspektionen durchlaufen wurden und keine Warnanzeige auf dem Armaturenbrett leuchtet, muss man nur noch den Sicherheitsgurt anlegen und kann beruhigt losfahren.

Klappert dann doch einmal etwas, hilft die nächste Werkstatt gerne. Werden hingegen im neuen Smart Home die Rollläden plötzlich täglich 30 Sekunden später geöffnet, ist das verdächtig? Und wenn ja, wer soll helfen? Der technologische Fortschritt hat unsere Gesellschaft in einer Weise verändert, dass Verhaltensregeln nicht vor unsicheren IT-Systemen schützen können. Die Komplexität solcher Systeme macht es für die Benutzer nur schwer bis kaum möglich, deren Sicherheitsniveau selbst zu bewerten. Die Unternehmen müssen hier Verantwortung übernehmen, um das Vertrauen der Verbraucher in die Systeme zu gewährleisten.

Der technologische Fortschritt wird zu einer weiteren Vernetzung der Systeme führen. Somit bleibt es mehr als fraglich, wie lange noch ICS alleine durch Firewalls geschützt werden können. Proprietäre Schnittstellen, Protokolle und Standards, über die nur wenig bis gar nichts öffentlich bekannt ist, machen Angriffe gegen solche Systeme sehr aufwendig. Dieses Konzept der "Security by Obscurity" versagte in der Vergangenheit jedoch schon zu oft und wird darum von IT-Sicherheitsexperten zu Recht sehr kritisch bewertet.

Die SySS GmbH sieht sich in gewisser Hinsicht als Pendant zur Autowerkstatt. Sie bietet ein umfangreiches Spektrum von Dienstleistungen zur Steigerung der Sicherheit von IT-Systemen an. Die Systeme reichen dabei von streichholzschachtelgroßen IoT-Geräten bis hin zu globalen Konzernnetzwerken. Dabei werden z. B. einzelne Webapplikationen systematisch auf Schwachstellen geprüft, Infrastrukturen untersucht oder WLAN-Netze analysiert – immer auf der Suche nach Einfallstoren für Angreifer und der Anfälligkeit für Bedrohungsszenarien.

Um den Herausforderungen der Gegenwart gewachsen zu sein, erweitert die SySS GmbH ihr Portfolio stetig und bietet unter anderem auch Security Awareness-Maßnahmen an, bei denen der Mensch in den Fokus rückt und ihm geholfen wird, seine Bedeutung im weiten Feld der IT-Sicherheit zu erörtern und sein Bewusstsein zu schärfen.  Würden Sie heute noch ein Auto ohne Airbag kaufen? Wohl eher nicht. Wer würde schon freiwillig auf Features verzichten, die die Fahrsicherheit steigern? Für die IT-Sicherheit sollte – in immer höherem Maße – genau dasselbe gelten.


Termine

13.11.2018 - 14.11.2018
SySS-Schulung – Hack8: WLAN-Hacking und WLAN-Security
15.11.2018
SySS-Schulung – Secu6: Planung und Durchführung von Penetrationstests
20.11.2018 - 21.11.2018
SySS-Schulung - Hack1: Hacking Workshop 1
22.11.2018 - 23.11.2018
SySS-Schulung - Hack2: Hacking Workshop 2