IT-Risiken für Unternehmen – Ergebnisse der BSI-Studie

Deutsche Unternehmen sind auf IT-Risiken zu schlecht vorbereitet

Artikel teilen:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im November seinen Bericht „Lage der IT-Sicherheit in Deutschland 2015“ vorgelegt. Der Report offenbart erhebliche Sicherheitsdefizite auf allen Ebenen. Die Anzahl der Schwachstellen und Verwundbarkeiten von IT-Systemen sei „weiterhin auf hohem Niveau“. Angriffe auf IT-Systeme würden mit fortschreitend professionalisierten Mitteln und Methoden geführt. Als besonders bedrohlich weist der Bericht eine steigende Zahl von Angriffen auf industrielle Produktionsanlagen aus. In der Pflicht sehen die Behörde und das Bundesinnenministerium (BMI) Unternehmen, Software-Hersteller und Verbraucher. Wer in der Pflicht steht und warum:

Unternehmen, weil: Aspekte der IT-Sicherheit bei der Digitalisierung nicht immer ausreichend berücksichtigt würden.
Software-Hersteller, weil: IT-Hersteller dazu neigten, keine Sicherheits-Updates mehr für solche Software bereitzustellen, deren Sicherheitslücken sie als weniger bedrohlich einstuften.
Verbraucher, weil: Kunden von Lieferanten, Dienstleistern oder Produzenten IT-Sicherheit nicht in gleicher Weise einforderten wie die Funktionalität. Solange das nicht geschehe, „wird es keine durchgreifende Veränderung zugunsten von IT-Sicherheit geben“, sagt Bundesinnenminister Thomas de Maizière.

Die größten Risiken für Wirtschaft und Staat

1. Wirtschaftsspionage durch Software-Schwachstellen und Schadsoftware

Schwachstellen in Webbrowsern sind eines der meistgenutzten Einfallstore für Cyber-Kriminelle. Darüber verbreiten sie Schadsoftware oder umgehen Passwörter. Laut BSI-Bericht wurden 2015 noch einmal wesentlich mehr kritische Schwachstellen entdeckt als im Vorjahr. Die Bedrohungslage sei „unverändert hoch“. Allein in den elf meistgenutzten Software-Produkten (darunter Microsoft Internet Explorer, Apple Mac OSX, Microsoft Windows) wurden 847 Schwachstellen identifiziert. Weit über 400 Millionen Schadsoftware-Versionen schwirren durchs Netz – die meisten sind gegen Windows gerichtet.

E-Mail-Anhänge und Spam infizieren immer öfter IT-Systeme mit Schadsoftware. Oft geschehe das mit täuschend echt gefälschten Digitaldokumenten, die der Empfänger kaum erkennen könne. Eine „große Bedrohung“ sieht das BSI nicht nur in der Ausspähung durch Geheimdienste, sondern insbesondere in der Wirtschaftsspionage. Oft installieren die Nutzer die Schadsoftware arglos selbst. Awareness-Kampagnen gehören daher ebenso wie technische Maßnahmen zu einem kompletten Datenschutz-Management.

Eine weitere Gefahr bilden DoS-Angriffe. Der Angreifer legt Dienste oder Systeme lahm (Denial of Service). Oft werden solche Angriffe mit Erpressung kombiniert. Allein im ersten Halbjahr 2015 registrierte das BSI 30.000 DoS-Angriffe.

2. Risiken beim Mobile Computing

Unternehmen wollen genauso flexibel und mobil sein wie ihre Kunden. 44 Millionen Deutsche besitzen ein Smartphone, über 30 Millionen nutzen mobile Internetdienste. Dem folgt der Wunsch, immer mehr Daten (auch geschäftskritische Daten) auf mobilen Endgeräten verarbeiten zu können. Gerade geschäftskritische Daten sind aber besonders schützenswert. Malware für mobile Plattformen richtet sich dabei zu 96 Prozent gegen Android-Systeme. Die Infektion von Tablets erfolgt hauptsächlich über Apps, die nicht von Großanbietern wie Apple, Microsoft oder Google kommen.

Gleich hohe Sicherheit für alle Daten ist hingegen in aller Regel weder praktikabel noch wirtschaftlich. Die Experten raten als Strategie zur IT-Sicherheit daher zu einer strikten Trennung von Prozessen und Netzen mit sensiblen Daten und solchen mit niedrigerem Sicherheitsniveau.

3. Probleme bei der Sicherheit von Maschinen und Anlagen

Beim Betrieb von Maschinen und Anlagen unterscheidet man sicherheitstechnisch die „Safety“ und die „Security“. Safety betrifft den reibungslosen Betrieb einer Anlage und etwa auch Maßnahmen zur Arbeitssicherheit oder zum Emissionsschutz. Security-Maßnahmen sollen vor feindlichen Angriffen auf Steuerungssysteme schützen. Die Security kann die Safety beeinflussen: etwa, wenn eine vorgeschaltete Verschlüsselungssoftware die Signallaufzeit verlängert. Das kann zu teuren Störfällen führen. Etwaige Wechselwirkungen zwischen Lauf- und IT-Sicherheit müssen schon bei der Anlagenplanung berücksichtigt werden.

Zudem sieht das BSI in der zunehmenden Verwendung von Standardsoftware zur Anlagensteuerung eine wachsende Gefahr von Produktionsausfällen durch die Infizierung mit Schadsoftware.

4. Risiken und Chancen des Cloud Computing

Nach der Studie „IT-Sicherheit in Deutschland“ des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG nutzen mittlerweile 40 Prozent der Unternehmen in Deutschland Cloud-Dienste. Das BSI sieht darin das Risiko der Abhängigkeit bis zum Verlust der Hoheit über eigene Daten und Prozesse. Zudem seien Cloud-Dienstleister ein lohnendes Ziel für Cyber-Kriminelle. Denn auf deren Servern lagern nicht nur die Daten vieler Kunden und Unternehmen. Sie finden zudem eine Umgebung mit hoher Rechen- und Speicherleistung vor – Rechenleistung etwa, die man zum Knacken von Passwörtern benötigt. Das BSI rechnet mit einer steigenden Zahl von Cyber-Attacken auf Cloud-Rechenzentren.

Andererseits könnten Cloud-Anbieter IT-Sicherheit für ihre Kunden wesentlich günstiger realisieren, als jeder Kunde das für sich könnte. Cloud Computing sei daher gerade für KMU eine wirtschaftliche Lösung. Die Behörde empfiehlt Cloud-Kunden, zertifizierte Sicherheit bei Anbietern einzufordern, um höchste IT-Sicherheit zum unverzichtbaren Wettbewerbsmerkmal der gesamten Branche zu machen.

Deutschlands Erfolg steht und fällt mit IT-Sicherheit

„Die digitale Verwundbarkeit unserer Gesellschaft wird uns in den kommenden Jahren weiter fordern“, sagt Innenminister Thomas de Maizière. Nicht mehr allein Hacker, sondern immer besser organisierte Kriminalität auch mit wirtschaftlichem Hintergrund seien Angreifer mit höchstem Bedrohungspotenzial. Solche Organisationen bieten ihre Leistung mitunter schon als „Cybercrime as a Service“ an. Das sind im Grunde digitale Auftragskriminelle, die ihre Leistung auch Organisationen und Staaten zugänglich machen, die selbst nicht über das technische Know-how verfügen. IT-Sicherheit ist keine Frage von Funktionalität und Luxus, sondern von wirtschaftlicher und gesellschaftlicher Überlebensfähigkeit.

Die genannte KPMG-Studie kommt zu dem Schluss: „IT-Sicherheit wird zu einer wesentlichen Voraussetzung zur Wahrung unserer Freiheitsrechte.“