BSI-Sicherheitsbericht Hacker beschädigen deutschen Hochofen
Die Sicherheit deutscher IT-Systeme ist unzureichend. Zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahresbericht 2014. Steigende Professionalisierung und mangelndes Sicherheitsbewusstsein haben im vorigen Jahr unter anderem dazu geführt, dass es Hackern gelang, ein deutsches Stahlwerk zu sabotieren.
"Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage", schreibt das Bundesamt in seinem Lagebericht 2014 zur IT-Sicherheit in Deutschland (PDF), der am Mittwoch in Berlin vorgestellt wurde.
Um welches Werk es sich handelt, wird dagegen nicht verraten. Hochrangige Mitarbeiter fielen auf Phishing-Mails herein. Die Hacker erlangten so Zugriff auf das Büronetz des Stahlwerks und arbeiteten sich "sukzessive bis in die Produktionsnetze vor". Dem Bericht zufolge häuften sich die Ausfälle einzelner Steuerungskomponenten, sodass ein Hochofen nicht geregelt heruntergefahren werden konnte. "Die Folge waren massive Beschädigungen der Anlage".
700 kritische Schwachstellen entdeckt
Welche Schwachstellen den Angriff ermöglichten, wird nicht ausgeführt und lässt sich möglicherweise im Einzelnen auch nicht mehr nachvollziehen. Das BSI listet jedoch eine Reihe von Gefahren auf, die derartige Angriffe auf Privatanwender, Behörden und Wirtschaft immer wieder ermöglichen.
Demnach gab es 2014 rund 700 kritische Schwachstellen in den meistverbreiteten Softwareprodukten. Neben mehreren Fällen von millionenfachem Identitätsdiebstahl nennt das BSI die gravierenden Sicherheitslücken Heartbleed und Shellshock und fünf sogenannte Zero-Day-Lücken, also Angriffe mithilfe angepasster Schadsoftware über ungeschlossene Sicherheitslücken. Als Angreifer machte die Behörde Kriminelle, aber auch Nachrichtendienste, Cyber-Aktivisten und "Innentäter" aus.
Digitale Sorglosigkeit
Zu den schwerwiegendsten Schwachstellen komme es durch im Wesentlichen durch fehlendes Sicherheitsbewusstsein. Das betrifft große IT-Systeme genauso wie Mitarbeiter und Privatnutzer. Auf vielen Systemen werden aktuelle Sicherheitsupdates zu spät oder gar nicht installiert, E-Mail-Verkehr laufe nach wie vor auf vielen Servern unverschlüsselt. Nutzer schützten ihre Zugänge durch zu schwache Passwörter, die leicht zu knacken sind. Nicht zuletzt helfen Anwender selbst mit, indem sie beispielsweise auf verseuchte Links klicken und damit Schadsoftware ins System lassen.
Dem BSI zufolge liegt die Gesamtzahl der PC-basierten Schadprogrammvarianten bei mehr als 250 Millionen und steigt täglich um rund 300.000. In Deutschland gibt es demnach jeden Monat mindestens eine Million Infektionen, die in 95 Prozent der Fälle Windows-Nutzer beträfen. Es soll bereits mindestens drei Millionen Schadprogramme für Smartphones und Tablets geben. In 98 Prozent der Fälle sei davon Android betroffen.
Trojaner mutieren schneller
Für das Jahr 2014 verzeichnete das BSI erstmals wieder einen deutlichen Anstieg von Spam-Mails. Der Anteil von E-Mails mit Schadsoftware im Anhang stieg um 36 Prozent. Mit Sorge beobachtete das BSI dabei einen "Trend zur pseudozufälligen Generierung von Varianten der Schadsoftware während des Versands". Kurzum: Schadprogramme wie Trojaner ändern sich schneller, als Antiviren-Programme darauf reagieren könnten.
Als Gegenmaßnahmen empfiehlt der Bericht vier Punkte. So soll die Kompetenz und Vertrauenswürdigkeit in der IT-Sicherheit gefördert werden und es mehr Standardisierung und Zertifizierung geben. Zudem fordert das BSI, sichere Techniken für Bürger und Unternehmen bereitzustellen. Damit verweist die Behörde etwa auf das De-Mail-Angebot, das bessere Sicherheitsmechanismen gegen Identitätsdiebstahl bietet. Zu guter Letzt müsse auch der Schutz kritischer Infrastrukturen gesichert werden. Dazu hat das Kabinett am Mittwoch den Entwurf eines IT-Sicherheitsgesetzes verabschiedet.