Das Bundesamt für Sicherheit in der Informationstechnik hat Ende Oktober 2022 seinen Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ veröffentlicht, der wenig überraschend auch im Zeichen des Kriegs in der Ukraine steht.
Der neueste BSI-Lagebericht bezieht sich auf den Zeitraum von Juni 2021 bis Mai 2022, ein gutes Vierteljahr des Kriegs fällt damit in den Berichtszeitraum. „Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch“, heißt es in der Einleitung des Dokuments.
Die Gesamtbilanz fällt indes erschreckend aus: „Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu“, heißt es weiter. „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie.“ Im Berichtszeitraum wurde demnach – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware bleibe die Hauptbedrohung, besonders für Unternehmen, so das Bundesamt.
Was Ransomware betrifft, so konstatieren die Experten eine weitere Zunahme von „Big Game Hunting“, damit ist die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten gemeint.
Für 2021 wurden laut BSI zehn Prozent mehr neu entdeckte Sicherheitslücken gemeldet als im Vorjahr. Mehr als die Hälfte davon waren laut CVE als hoch oder kritisch bewertet. Die größten Kreise zog wohl die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Softwarebausteinen befand. Daher konnten IT-Sicherheitsverantwortliche zumeist nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies.
APT-Angriffe (Advanced Persistant Threats), hinter denen oft staatlich gesponserte Angreifer stecken, erfolgen nach wie vor über Malware per E-Mail. Weil solche Raubzüge aber vergleichsweise aufwendig sind, scannen APT-Gruppen das Netz zunehmend auch auf Perimeter-Systeme (Firewalls usw.) mit noch ungepatchten Sicherheitslücken, um diese gezielt angreifen und als Einfallstor missbrauchen zu können.
Und apropos E-Mail: Mehr als zwei Drittel (69 Prozent) aller im Berichtszeitraum verschickten Spam-Nachrichten waren bösartig, sprich sie enthielten Phishing– oder Erpressungsversuche. Von diesen Betrugs-Mails wiederum entfiel die überwiegende Mehrheit (90 Prozent) auf sogenanntes Finance Phishing, sprich die Nachrichten erweckten betrügerisch den Anschein, sie stammten von Banken oder Sparkassen.
Einige andere griffige Zahlen zur Cyberlage der Nation hat das BSI in eine Infografik gepackt. Die wollen wir Ihnen getreu dem Motto „Ein Bild sagt mehr als tausend Worte“ natürlich nicht vorenthalten:
Den vollständigen Bericht können Interessierte kostenlos als PDF von der BSI-Website herunterladen.
