Dritte Ausgabe des französisch-deutschen IT-Sicherheitslagebilds erschienen
Die COVID-19-Pandemie hat erhebliche Auswirkungen auf die IT-Sicherheitslage in Deutschland und Frankreich. In beiden Ländern erhöhte die Welle der Corona-bezogenen Digitalisierung die potenzielle Angriffsfläche und damit das Risiko erfolgreicher Cyberangriffe. Dies ist das Ergebnis der dritten gemeinsamen Bewertung des Bundesamtes für Informationssicherheit (BSI) und der französischen Agentur für die nationale Sicherheit von Informationssystemen (ANSSI).
In der dritten Ausgabe des gemeinsamen Lagebilds stellte die ANSSI und BSI fest, dass Cyberkriminelle flexibel auf die Pandemie reagiert haben und die allgemeine Verunsicherung der Unternehmen und der Bevölkerung gezielt ausnutzen. Bereits vor Ausbruch der Pandemie beobachteten die Behörden beider Länder eine Zunahme der Aggressivität der Erpressungsmethoden bei Ransomware-Angriffen und eine wachsende Anzahl der sogenannten „Big Game Hunting“, d.h. hochprofessioneller und gezielter Angriffe auf zahlungskräftige Ziele. Vor diesem Hintergrund betrachten beide Behörden die Informationssicherheit als wichtige Voraussetzung für eine erfolgreiche Digitalisierung und werden weiterhin zusammenarbeiten, um die Sicherheit der Digitalisierung in Frankreich, Deutschland und Europa zu gewährleisten.
E-Mail-Kampagnen
In viel größerem Umfang als bei gefälschten Websites beobachtete BSI E-Mail-Kampagnen, die auf Phishing sowie die Verbreitung von Malware abzielten, die COVID-19 als ein Thema von Interesse missbrauchte, um einen Empfänger zur Interaktion mit dem E-Mail-Inhalt zu verleiten. Einige dieser E-Mails geben beispielsweise vor, Informationen über den aktuellen Stand der Pandemie zu liefern, oder versuchen, Vertragspartner nachzuahmen, die aufgrund von COVID-19 ihre Geschäftstätigkeit ändern müssen, oder geben sich als Gesundheitsbehörden wie die WHO aus. So vielfältig die Auswirkungen von COVID-19 sind, so vielfältig sind auch die Möglichkeiten, wie Gegner versuchen, sie auszunutzen.
Wenn BSI solche E-Mail-Kampagnen oder betrügerischen Websites erkennt, warnt es die relevanten Zielgruppen, wie beispielsweise betroffene kritische Infrastruktursektoren, im Allgemeinen kurzfristig vor der spezifischen Bedrohung. Seit Beginn der Pandemie stellte BSI fest, dass der angewandte Modus Operandi nicht von Natur aus neu ist und keine wesentliche Verschiebung der gesamten Bedrohungslandschaft darstellt. Trotzdem hat BSI in den letzten Monaten einen Trend bei Ransomware-Angriffen verfolgt, der nicht verursacht wird oder notwendigerweise mit der Pandemie selbst zusammenhängt. Dieser Trend nutzt Verschlüsselung der Daten und Datenklau als dualen Ansatz.
Ein allgemeiner Ransomware-Trend
Im Jahr 2019 wurden nur einige Fälle beobachtet, in denen Verschlüsselung und die Gefahr, dass sensible Daten an die Öffentlichkeit gelangen, verwendet wurden. Diese Vorgehensweise wurde dann Anfang 2020 von immer mehr Cyberkriminalitätsgruppen aufgegriffen und ist mittlerweile zur „neuen Norm“ bei Ransomware-Angriffen geworden. Wenn Angreifer in der Lage sind, zentrale Server, Netzwerkfreigaben und Client-Systeme zu verschlüsseln, können sie höchstwahrscheinlich Daten von diesen Systemen stehlen. Bei einer Vielzahl von Ransomware-Angriffen in den letzten Monaten, von denen BSI Kenntnis hat, drohten sensible Daten zu veröffentlichen. Mehrere Cybercrime-Gruppen betreiben sogar nur zu diesem Zweck dedizierte Leckstellen. Auf diese Weise wird das Opfer mit einer Betriebsstörung, verschlüsselten Daten und dem Risiko der Veröffentlichung der letzteren konfrontiert. Da Angreifer in der Vergangenheit mit der Veröffentlichung sensibler Daten gedroht haben, müssen diese Bedrohungen als schwerwiegend eingestuft werden.
Dieser doppelte Ansatz von Cybercrime-Gruppen ist mit hoher Wahrscheinlichkeit ein Modus Operandi, der auch in Zukunft verwendet wird. Dennoch rät BSI von der Zahlung einer Lösegeldforderung ab, da dies die Cyberkriminalität insgesamt fördert. Aus diesem Grund hat das BSI im Juni 2020 seine Bewertung und seinen Ausblick auf fortgeschrittene Cyber-Angriffe überarbeitet.
Zuverlässigkeit der Internetinfrastruktur
Abgesehen von der Vorhersage des BSI über eine Verlagerung des Fokus der Gegner auf die Ausnutzung der unsicheren Situation war die Zuverlässigkeit der Internetinfrastruktur unter einer steigenden Arbeitsbelastung, die durch die Auswirkungen der COVID-19-Pandemie verursacht wurde, weitverbreitet. Von einer beispiellosen Anzahl von Menschen wurde erwartet, dass sie Remote-Arbeiten, Videokonferenzen, Streaming und Online-Spiele nutzen. Um die Auswirkungen von COVID-19 auf die Internetinfrastruktur in Deutschland zu verstehen, hat BSI im April 2020 öffentlich verfügbare Daten für Internet Service Provider (ISPs) und Internet Exchange Points (IXPs) genauer untersucht.
Die Analyse bestätigte die erwartete Änderung bei der Nutzung des Internets, beispielsweise im Hinblick auf Videokonferenzen. Ebenso änderten sich die Internetnutzung nach Tageszeit sowie das gesamte Internetverkehrsvolumen. Der Anstieg des Internetverkehrsvolumens ist bei mehreren IXPs erkennbar. Das erlebte Wachstum überschritt jedoch nicht die geplanten Kapazitäten und stellte daher kein Risiko für einen Ausfall der Internetinfrastruktur aufgrund eines Überlastungsszenarios dar.
In Deutschland waren die Auswirkungen aus Sicht der Nutzer der größten ISPs gering. Die Internet-Latenzen blieben nahezu unverändert. Nur die Download-Geschwindigkeiten waren teilweise niedriger als die Daten vor der Pandemie. Insgesamt kommt BSI zu dem Schluss, dass das Internet – insbesondere in Deutschland – die veränderten Anforderungen sehr gut bewältigt hat.
Fazit: In diesen Zeiten sollten wir besonders aufmerksam sein beim Öffnen der E-Mails aus unbekannten Quellen. Und die IT-Sicherheit des Unternehmens (Veröffentlichte Dienste, Zustand der Firewall, Sicherheit des Web-Auftritts) muss nochmal kontrolliert werden, um sicherzustellen, dass das Risiko auf tolerierbarem Niveau bleibt.
