Rosig klingt anders: „Es ist nicht nur die Anzahl von Sicherheitsvorfällen, die besorgniserregend ist, es ist auch die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen“, fasst BSI-Präsident Arne Schönbohm im neuen Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ die derzeitige Situation der IT-Sicherheit in Deutschland zusammen. Der Bericht deckt den Bewertungszeitraum Juni 2020 bis Mai 2021 ab. Es ist damit der erste derartige Bericht, der komplett unter dem Stern der Corona-Pandemie steht.
Deutlich mehr Schadprogramme als bisher
Insgesamt sei das Berichtsjahr geprägt gewesen durch eine spürbare Ausweitung cyber-krimineller Erpressungsmethoden, darunter Schutzgelderpressung unter Androhung von DDoS-Angriffen, Lösegelderpressung durch Ransomware sowie Schweigegelderpressung, bei der mit der Veröffentlichung erbeuteter Daten gedroht wird. Zu den Opfern zählten unter anderem Industriebetriebe und hier insbesondere schwer in Gänze absicherbare Lieferketten, genannt wird als Beispiel die Software Orion von SolarWinds, aber auch immer wieder Institutionen des Gesundheitswesens.Die gewachsene Bedrohungslage lässt sich schon an den reinen Zahlen festmachen. So betrug der durchschnittliche tägliche Zuwachs neuer Malware-Varianten im Juni 2020 noch rund 250.000, ein Jahr später waren es 450.000. Auf Monatsbasis zeigt die BSI-Auswertung der Rohdaten des Instituts AV Test im Mai 2021 insgesamt 13,9 Millionen neue Schadprogrammvarianten, gegenüber 7,6 Millionen im Juni 2020. Besonders im Fokus war dabei einmal mehr Windows, allerdings sei mit EvilQuest im September 2020 erstmals eine Schadsoftware aufgetreten, die in nennenswerter Häufigkeit MacOS betraf. Die Fälle waren allerdings produktpiraterieassoziiert.
Ransomware-Attacke auf das UK Düsseldorf
Ein eigenes Kapitel zum Gesundheitswesen enthält der BSI-Bericht nicht, allerdings werden mehrere Beispiele mit medizinischem Bezug prominent beschrieben. Darunter ist der September 2020 Ransomware-Angriff auf das Universitätsklinikum Düsseldorf, bei dem zwar die stationäre Versorgung sichergestellt werden konnte, das Krankenhaus aber fast zwei Wochen lang von der Notfallversorgung abgemeldet werden musste. Genutzt wurden die Ransomwares DoppelPaymer und Dridex, Einfallstor war eine Schwachstelle des Citrix NetScaler-Gateway, ein weit verbreitetes Netzwerkprodukt, das unter anderem für Fernzugriffslösungen eingesetzt wird. Das BSI schickte bei diesem Angriff ein mobiles Einsatzteam (MIRT) nach Düsseldorf.
Was den Datendiebstahl durch Schadprogramme oder auch einfach durch Daten-Leaks aus Unachtsamkeit angeht, nennt der BSI-Bericht den Cyber-Angriff auf den Betreiber eines in dem Fall allerdings finnischen Psychotherapiezentrums, bei dem 2020 mehrere 10.000 Patientenakten entwendet wurden, um dann Schweigegeld zu verlangen. Generell seien Arztpraxen und Krankenhäuser durch diese Art der Cyber-Kriminalität besonders gefährdet, so das BSI.
Medizinprodukte, eHealth und Videokonferenzen
In Sachen Sicherheit von Medizinprodukten erwähnt der BSI-Bericht das Ende 2020 abgeschlossene Manimed-Projekt, das die Cyber-Sicherheitslage von Medizinprodukten realistisch abbilden sollte. In zehn Produkten aus fünf Kategorien (Schrittmacher/ICD, Insulinpumpen, Beatmungsgeräte, Patientenmonitore und Infusionspumpen) wurden mehr als 150 Schwachstellen entdeckt. Die meisten davon betrafen das Zubehör und die Infrastrukturkomponenten, nicht das Medizinprodukt selbst.
„Das zeigt, dass statt einer Betrachtung der Einzelkomponenten eine Gesamtsicht auf das Medizinprodukte-Ökosystem notwendig ist. Zudem sind Schwachstellen generell abhängig von der spezifischen Betriebsumgebung eines Produkts“, betont das BSI. Aktuell werden vom BSI und seinen kooperierenden Institutionen besondere Anwendungsumgebungen genauer unter die Lupe genommen. Im April startete das Projekt eMergent, das sich die Digitalisierung im Rettungsdienst ansieht.
In Sachen Telematikinfrastruktur äußert sich das BSI zu der geplanten Migration in Richtung TI 2.0 und definiert im Sicherheitsbericht folgen „Säulen der IT-Sicherheit“, die bei der TI 2.0 quasi einbetoniert werden sollen:
- Das bisherige Sicherheitsniveau wird mindestens erhalten bleiben.
- Schutzmechanismen werden unter einer ganzheitlichen Betrachtung der Prozesse und Systeme durch entsprechende Sicherheits- und Risikoanalysen definiert.
- Die zur Verarbeitung medizinischer Daten genutzten Endgeräte müssen über ein geeignetes Sicherheits-niveau verfügen (z. B. Secure Element).
- Kryptografische Sicherheit muss auf einem Hardware-Sicherheitsanker unter alleiniger Kontrolle des Datenbesitzers basieren.
- Jegliche Kommunikationsverbindung muss verschlüsselt und beidseitig authentifiziert sein.
- Anwender:innen müssen durch eine Zwei-Faktor-Authentifizierung mit Vertrauensniveau hoch authentifiziert werden.
- Für Anwender:innen, die das erforderliche Sicherheitsniveau auf ihrem eigenen Endgerät nicht sicherstellen können, muss es eine geeignete Alternative geben.
- Der Übergang von TI 1.0 auf TI 2.0 folgt einem Migrationskonzept, in dem alle Zwischenzustände das Sicherheitsniveau aufrecht halten.
IT-Sicherheit und die COVID-19-Pandemie
Dass nicht zuletzt die COVID-19-Pandemie dazu beigetragen hat, dass die IT-Sicherheit derzeit prekärer ist, als sie je war, überrascht nicht. Zum einen setzen deutlich mehr Unternehmen, Einrichtungen und Personen auf digitale Plattformen aller Art, was die Angriffsfläche und den Absicherungsbedarf vergrößert: „Viele Organisationen [weisen] durch die Verlagerung ihrer Tätigkeiten in den digitalen Raum weiterhin eine potenziell größere Angriffsfläche auf […], als es vor der Pandemie der Fall war“, so das BSI.
Das betrifft die VPN-Sicherheit beim dezentralen Arbeiten und nicht zuletzt auch die Videokonferenzsysteme, mit oder ohne VPN: „Durch die teilweise zwingende Erreichbarkeit derartiger Systeme über das freie Internet sind sie ein attraktives und leicht zu erreichendes Ziel für Cyber-Angriffe. Dem BSI wurden gezielte Cyber-Angriffe gegen bestimmte Meetings bekannt, bei denen sich Unbefugte mittels zuvor abgeflossener Daten Zugang zu internen Besprechungen verschafften und diese ausspionierten oder sabotierten.“
Zoom-Bombing und andere Schweinereien
Neben der Spionage kam es im Gefolge des breiten Einsatzes von Videokonferenzen auch zu einem Phänomen, das Zoom-Bombing genannt wird, ein Cyber-Delikt im etwas weiteren Sinne des Wortes. Zoom-Bombing ist quasi die Verlagerung der Veranstaltungs-Tröterei ins Internet: Unbefugte verschaffen sich Zugang zu Veranstaltungen, zum Beispiel zu Online-Lehre, und „stören“ diese, etwa indem sie Admin-Einstellungen sabotieren, mit denen sich viele Nutzer:innen im Zweifel nicht gut genug auskennen, um das Problem schnell wieder beseitigen zu können.
Unmittelbar pandemiebezogen waren im Berichtszeitraum diverse Angriffe auf Einrichtungen mit Gesundheitssystembezug, die COVID-spezifische Ziele verfolgten. So gab es einen DDoS-Angriff auf das COVID-19-Impfportal des Bundeslands Thüringen. Hier liegt es zumindest nahe, Querdenker oder militante Impfgegner als Verursacher zu vermuten. Ebenso gab es einen Ransomware-Angriff auf einen deutschen Hersteller von COVID-19-Antigentests.
Auch pandemiebezogenes Social Engineering ist häufig, in der Regel mit dem Ziel der Geldmache. Der Klassiker dabei sind die Online-Shop-Portale, die bestimmte Produkte anzubieten vorgeben, in Wahrheit aber nur Zahlungsdaten fischen: „Zum Kauf angeboten wurde vor allem in der Pandemie nachgefragte Schutzausrüstung oder auch COVID-19-Vakzine. In zumindest einem Fall wurde eine Internetseite zur Beantragung von COVID-19-Wirtschaftshilfen gefälscht, um die bei der Beantragung notwendigen umfangreichen persönlichen Daten abzugreifen.“
Der EMA-Impfstoff-Coup
Nicht unerwähnt lässt das BSI in diesem Zusammenhang auch den Cyber-Angriff auf die Europäische Arzneimittelagentur (EMA) aus dem Dezember 2020, zu Beginn der COVID-19-Impfkampagne. Dabei hatte sich ein Angreifer zunächst Zugriff auf den Rechner des Mitarbeiters eines EMA-Dienstleisters verschafft und darüber Zugangsdaten für das Nutzerkonto des Mitarbeiters bei der EMA abgegriffen. Damit loggte er sich remote in das EMA-Netzwerk ein und entwendete unter anderem Daten aus dem Kontext des Zulassungsantrags für den Pfizer/BioNTech-Impfstoff. Daten aus diesem Angriff wurden dann am 8. Januar in Internetforen veröffentlicht, arrangiert in einer Weise, dass Zweifel an der Wirksamkeit des Impfstoffs geschürt wurden. Letztliche Ursache dieses „Faktor-Mensch-Zwischenfalls“ war laut BSI, dass der betreffende Mitarbeiter die Daten für die Zweifaktor-Authentifizierung auf dem Rechner gespeichert hatte, was den Sicherheitseffekt einer Zweifaktor-Identifizierung unterläuft.