Sicherheitslücken trotz IT-Gesetz Deutschlands Infrastruktur als Hacker-Ziel
Die Attacke auf DSL-Router der Deutschen Telekom mit rund 900.000 betroffenen Kunden hat erneut deutlich gemacht, wie angreifbar die IT-Systeme hierzulande nach wie vor sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat trotzdem weiterhin keinen vollständigen Überblick über die Betreiber "Kritischer Infrastrukturen". Nach Informationen von BR Recherche fehlen der Behörde trotz einer gesetzlichen Verpflichtung noch die Angaben von zahlreichen Betreibern.
Cyber-Attacken auf hiesige IT-Systeme, die auch unseren Alltag mehr und mehr betreffen werden - die Bundesregierung hat zwar in der jüngsten Vergangenheit diverse Maßnahmen umgesetzt, um dieser negativen Begleiterscheinung der globalen Vernetzung zu begegnen. Absolute Sicherheit gibt es aber nicht. So in etwa sieht es die Kanzlerin Angela Merkel (CDU), als sie am Dienstag gefragt wird, welche Erkenntnisse der Bundesregierung über den Angriff auf die Telekom vorliegen. Und dann ergänzt Merkel: "Solche Angriffe gehören zum Alltag."
"Und wir müssen lernen, damit umzugehen. Und dazu müssen wir die Menschen sehr informieren. Man darf sich davon nicht irritieren lassen, man muss nur wissen, dass es so etwas gibt und lernen, damit zu leben."
Angela Merkel
BSI: "Leistungsfähige Angriffsmittel"
Das klingt nach Resignation, davon ist die Große Koalition aber weit entfernt. Im Gegenteil. Ebenfalls am Dienstag sagt Bundesinnenminister Thomas de Maizière (CDU), man sei auf dem richtigen Weg - und er nennt dabei das im Sommer vergangenen Jahres in Kraft getretene IT-Sicherheitsgesetz. Ein Element dieses Gesetzes ist die so genannte "BSI-Kritisverordnung". Danach hatten die ersten, von der Verordnung betroffenen Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Wasser, Ernährung und der Informations-/Kommunikationstechnologie bis zum 3. November Zeit, sich beim BSI zu registrieren - zum Beispiel, um der Behörde für den Fall eines Cyber-Angriffs einen Ansprechpartner zu benennen.
"Die Angreifer, die wir sehen, verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel."
Arne Schöhnbohm, BSI-Präsident
450 besonders sensible Anlagen
So skizzierte BSI-Präsident Arne Schönbohm gerade erst die Bedrohungslage, auch für Betreiber kritischer Infrastrukturen. Seine Behörde rechnet damit, dass es zunächst um 450 besonders sensible Anlagen geht, die sich registrieren müssen. Nach Informationen von BR Recherche sind bisher aber nicht alle Anlagenbetreiber dieser gesetzlich festgeschriebene Regelung nachgekommen. Aktuell liegen die Daten von 310 Anlagen vor. Ein Rücklauf, den das Bundesamt für "positiv" hält. Allerdings antwortet das BSI auf die Frage, ob es auf Basis der vorliegenden Daten einen guten Überblick über die kritische Infrastruktur der ersten vier erfassten Sektoren hat:
"Da die Auswertung der Anträge noch läuft, ist hierzu noch keine abschließende Bewertung möglich."
BSI
Eine Aussage, die der Sprecher des Chaos Computer Clubs, Linus Neumann, ziemlich erstaunlich findet - vor allem wenn man bedenke, wie lange die Diskussion über kritische Infrastrukturen laufe:
"Wenn das BSI sich das Ziel setzt, kritische Infrastrukturen zu schützen, dann ist der erste Schritt einen Überblick darüber zu haben, welche es gibt. Und dann weiß ich auch, wieviele das sind, wo die sind und wo ich die erreiche. Wenn ich keinen Überblick habe, kann ich mir auch kein sinnvolles Konzept für eine Sicherheitsstrategie vorstellen."
Linus Neumann, Chaos Computer Club
Grüne: Hütte brennt lichterloh
Der Grünen-Fraktionsvize Konstantin von Notz drückt sich drastischer aus. Im Bereich der IT-Sicherheit brenne die Hütte schon jetzt lichterloh.
"Es ist jetzt wieder Zeit verstrichen, seitdem das IT-Sicherheitsgesetz in Kraft ist. Und man stellt fest, uns fehlt immer noch der richtige Überblick. Und deswegen ist es so misslich, dass man eben dieses unzureichende Gesetz auf den Weg gebracht hat." Konstantin von Notz, Grüne
In einer parlamentarischen Anfrage hat die Bundesregierung von Notz zudem mitgeteilt, dass mehrere Betreiber kritischer Infrastrukturen dem BSI inzwischen 14 Cyber-Angriffe gemeldet haben. Diese betrafen unter anderem die Sektoren Energie, Wasser, und Informations-/Telekommunikationsindustrie. Einzelheiten dazu wollte sie nicht mitteilen - aus Sicherheitsgründen.
Kommentieren
mark reader, Mittwoch, 30.November 2016, 08:20 Uhr
2. schöne digital vernetzte welt
Seit es Computer im verteilten Maßstab gibt, gibt es auch Angreifer, die versuchen Daten abzugreifen oder Systeme lahm zu legen. Im Großteil der Fälle sind die Angreifer den Verteidigern mindestens einen Schritt voraus. Das liegt nicht zuletzt an der zunehmenden Komplexität der Systeme, die vor ihrer Freigabe niemals vollständig getestet sind - geschuldet dem Time to Market - Prozess, nach dem die Unternehmen lieber unfertige Produkte auf den Markt bringen und dann halbherzig nachbessern. Man stelle sich vor, ein nur teilweise fertiges Auto würde verkauft, z. B. mit nur 3 Rädern - welchen Aufschrei das geben würde. Anders in der Computertechnik, da wird das als usus hingenommen. Den Abschlusstest übernehmen dann die Hacker, die mit tödlicher Sicherheit immer wieder die Schwachstellen dieser Systeme finden. Kriminell finde ich dabei, dass wir als Bürger immer mehr zur Nutzung digitaler Dienstleistungen gedrängt/verleitet werden (Bankgeschäfte, sensible Daten) obwohl nichts sicher ist.
Antwort von ABC, Mittwoch, 30.November, 09:34 Uhr anzeigen
mark Reader,
Ihr sachlicher Kommentar bringt die Tatsachen auf den Punkt! Die Telekom benötigt hier Nachhilfe!
Antwort von J. Hofmann, Mittwoch, 30.November, 09:45 Uhr anzeigen
...wir werden nicht nur verleitet, sondern oftmals gezwungen. Oder gar nicht erst über die Risiken von Internet-basierten Anwendungen informiert. Bestes Beispiel: die von den Krankenkassen gewünschte und vom Gesetzgeber gegen alle Sicherheits-Bedenken aus der Ärzteschaft beschlossene Speicherung sensibler Krankheitsdaten aller gesetzlich versicherten Patienten in Deutschland in einer (angeblich ja völlig sicheren) Cloudlösung. Da wird niemand gefragt werden, das wird per Order di Mufti einfach so in den nächsten Jahren kommen.
Man darf gespannt sein, wie lange es dauert, bis diese Daten gehäckt sind...
Antwort von Süddeutscher und gleich weg, Mittwoch, 30.November, 11:57 Uhr anzeigen
@ABC: Es wurde doch nicht die Telekom attackiert (über einen Portscanner), sondern die von ihr vertriebenen Geräte des Herstellers Arcadyan in bestimmten Netzen. Oder bin ich falsch informiert? Es könnte auch ein Kunde eines anderen ISP eine solches DSL-Modem besitzen oder sind die Zugangsdaten geschützt?
Nur gibt mir zu denken, dass die Telekom für Ende November die EasySupport-Funktion mit einem Massenupdate auf diese Router ausschalten wollte. Gibt es da einen Zusammenhang?
Kleiner Depp, Mittwoch, 30.November 2016, 07:39 Uhr
1. Trotz Verpflichtung im IT-Gesetz ...
... Kritische Anlagen zum Teil nicht registriert!
Wenn durch Schlamperei Kriminellen Tür und Tor geöffnet wird, sollten die Verantwortlichen für den verursachten Schaden persönlich zur Kasse gebeten werden und auch einfach mal eingesperrt werden!