BSI: Lagebericht zur IT-Sicherheit 2009

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf der CeBIT den Bericht „Die Lage der IT-Sicherheit in Deutschland 2009“ vorgestellt. Die Bedrohungslage der IT-Sicherheit bei Verwaltungen, Unternehmen und Privatanwendern ist auf anhaltend hohem Niveau.

„Vor allem die immer weiter voran schreitende Professionalisierung der Internetkriminalität bereitet uns Sorge“, sagt BSI-Präsident Dr. Udo Helmbrecht. So sind Herstellung und Einsatz von Schadprogrammen mittlerweile international arbeitsteilig organisiert. Sie verhelfen den Kriminellen zu Gewinnen in Milliardenhöhe – und das bei vergleichsweise niedrigem Risiko. Aus technischer Sicht lässt der Lagebericht 2009 im Vergleich zum vorangegangenen Bericht von 2007 einige quantitative Trends erkennen: Steigerungen sind sowohl im Aufkommen von Sicherheitslücken, die von einem entfernten Angreifer ausgenutzt werden können, als auch in der Anzahl von Denial-of-Service-Angriffen, bei denen Internetseiten lahm gelegt werden, festzustellen. Der Anteil von Spam-Mails am E-Mail-Verkehr hat sich ebenfalls weiter erhöht. Auch die Zahl von Drive-by-Downloads nimmt zu. Dabei laden Anwender praktisch „im Vorbeisurfen“ unbewusst schädliche Software von manipulierten oder präparierten Webseiten herunter.

Eine qualitative Veränderung lässt sich im Aufbau von Schadprogrammen feststellen, die immer komplexer werden. Trojanische Pferde können inzwischen über eine Backdoor- und Spyware-Funktion verfügen, einen Keylogger verwenden und den befallenen Rechner zusätzlich an ein Bot-Netz anschließen. Zudem verfügen die meisten Schadprogramme über Update-Funktionen, so dass neue Programme oder Tarnmechanismen jederzeit nachgeladen werden können. Besonders diese Update-Funktionen werden von den Angreifern stets verbessert. Zukünftig sei mit Schadprogrammen zu rechnen, die dem Betriebssystem eine virtuelle Umgebung unterschieben, so dass sie von herkömmlichen Schutzprogrammen nicht mehr entdeckt werden können, so Helmbrecht.

Das Bewusstsein für IT-Sicherheit ist hingegen gestiegen, Betriebssystem-Updates werden häufiger durchgeführt und IT-Sicherheitstechniken konsequenter angewendet. Sorgen bereitet jedoch der Umgang mit persönlichen Daten in den „Mitmach“-Anwendungen des Web 2.0, insbesondere in den immer populärer werdenden Social Networks. Bedenkenlos geben viele Anwender in ihren Benutzerprofilen detailliert private Informationen preis. Für Cyberkriminelle ist es dadurch einfach, in Social Networks potenzielle Opfer auszuspionieren und gezielt anzugreifen. Das Thema Web 2.0 wird daher künftig eine wichtige Rolle bei der Aufklärung und Sensibilisierung der IT-Nutzer spielen.

Um heute wettbewerbsfähig zu sein, müssen Unternehmen Informationstechnik einsetzen. Doch für den Schutz der IT fehlen häufig personelle und finanzielle Ressourcen sowie technisches Know-how, insbesondere bei kleinen und mittelständischen Unternehmen. Technische Schutzmaßnahmen zur Daten- und Informationssicherheit seien besonders wichtig, da Angriffe durch neue und komplexe Techniken zunehmend schwerer zu bekämpfen seien, erläuterte der BSI-Präsident. Insgesamt ist das Sicherheitsempfinden auf Unternehmensseite aber gestiegen. Der Prozentsatz der Unternehmen, die planten, Projekte zum Sicherheitsmanagement aufzusetzen, stieg deutlich.

Der Bericht „Die Lage der IT-Sicherheit in Deutschland“ erscheint alle zwei Jahre. Ergänzt wird er durch Quartalsberichte des Nationalen IT-Lagezentrums beim BSI. Für Unternehmen und Verwaltungen bietet das BSI auf seiner Homepage umfangreiche Informationen zum Schutz sensitiver Daten. Dazu zählen die IT-Grundschutz-Kataloge, die IT-Sicherheitsbeauftragten als Leitfaden für ihre Arbeit dienen können. Für Privatanwender gibt es das Internetangebot „BSI für Bürger“ sowie einen Warn- und Informationsdienst.

Der komplette Lagebericht steht auf den Internetseiten des BSI als 83 Seiten langes PDF zur Verfügung.