IT-Sicherheit 2015: BSI sieht zugespitzte Bedrohungslage durch APT-Angriffe

Der 52-seitige Lagebericht des Bundesamts führt eine hohe Zahl von Schwachstellen und Verwundbarkeiten in IT-Systemen an. Er wirft IT-Herstellern vor, die Gefährdung durch nachlässiges Update-Verhalten unnötig zu verschärfen. Ein Schwerpunktthema ist der Schutz der zunehmend von IT abhängigen Kritischen Infrastrukturen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht auch in diesem Jahr eine erheblich beeinträchtigte IT-Sicherheit in Deutschland. Ihr Lagebericht für 2015 (PDF) führt eine hohe Zahl von Schwachstellen sowie Verwundbarkeiten in IT-Systemen auf. Er konstatiert eine sich weiter zuspitzende Bedrohungslage im Cyber-Raum und beschreibt zunehmend professionalisierte Angriffsmethoden.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das gilt laut BSI insbesondere bei Angriffen, die als Advanced Persistent Threat (APT) bezeichnet werden und als andauernde komplexe Bedrohungen Unternehmen wie Verwaltungen betreffen. Zu dieser Kategorie zählten etwa die Cyberangriffe auf den Deutschen Bundestag im Mai und auf den französischen Sender TV5 Monde im April. Allerdings würden nur wenige APT-Angriffe öffentlich bekannt.

Der 52-seitige Bericht wurde von Bundesinnenminister Thomas de Maizière und dem scheidenden BSI-Präsidenten Michael Hange auf einer Pressekonferenz im Haus der Bundespressekonferenz vorgestellt. Er stellt unter anderem heraus, dass manche IT-Produzenten angesichts der hohen Zahl bekannter Schwachstellen dazu neigten, keine Sicherheitsupdates mehr für aus ihrer Sicht weniger schwerwiegende Sicherheitslücken bereitzustellen. Das verschärfe die Gefährdungslage unnötig, moniert der Innenminister in seinem Vorwort. Besondere Erwähnung findet das nachlässige Update-Verhalten der Hersteller angesichts der Stagefright-Lücke in Android.

Kausalitäten der aktuellen Gefährdungslage (Grafik: BSI)Kausalitäten der aktuellen Gefährdungslage (Grafik: BSI)

Der Schutz der zunehmend von IT abhängigen Kritischen Infrastrukturen ist ein weiteres Schwerpunktthema. Viele KRISIS-Branchen sind demnach sicherheitstechnisch gut aufgestellt, aber es gebe auch Nachholbedarf in manchen Branchen. Wie für andere Unternehmen und Organisationen sei es für Kritische Infrastrukturen wesentlich, die IT-Sicherheit als Bestandteil ihres unternehmerischen Risikomanagements zu betrachten.

„Alle Unternehmen müssen sich darauf einstellen, dass Cyber-Angriffe durchgeführt werden und auch erfolgreich sind“, sagte BSI-Chef Hange. „Neben der Prävention müssen auch die Säulen der Detektion und Reaktion gestärkt werden, denn dadurch können Folgeschäden erheblich gemindert werden.“

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.