Neben der bereits bestehenden Cybercrime-Landespolizeibehörde soll zukünftig auch durch sogenannte Mobile Incident Response Teams (MIRTs) eine Art "Cyber-Feuerwehr" geschaffen werden. Dabei sollen Unternehmen ihre IT-Experten an den Staat ausleihen, um Hackerangriffe zu bekämpfen. Die Koordination soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernehmen. Die Pläne für die Cyber-Feuerwehr sind bereits im Oktober 2016 bekannt geworden und Teil der am 9. November 2016 von der Bundesregierung beschlossenen "Cyber-Sicherheitsstrategie für Deutschland 2016".
Foto: Arisha Ray Singh - shutterstock.com
Cyberattacken in der letzten Zeit hätten dabei gezeigt, dass neue, institutionalisierte staatliche Strukturen geschaffen werden müssten. Deshalb sollen neben den MIRTs weitere staatliche Eingreiftruppen etwa beim Bundesamt für Verfassungsschutz ("Mobile Cyber-Teams"), dem Bundeskriminalamt ("Quick Reaction Force") oder der Bundeswehr ("Incident Response Teams") eingerichtet oder weiter ausgebaut werden. Ziel ist dabei die Cybersicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informations-Infrastrukturen angemessenen Niveau zu gewährleisten. Dazu soll unter Umständen auch aktiv gegen Hackerangriffe vorgegangen werden dürfen - zumindest wenn es nach dem Verfassungsschutzpräsidenten Hans-Georg Maaßen geht.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
NIS-Richtlinie
Damit die Behörden jedoch tatsächlich tätig werden können, müssen diese erst die rechtlichen Kompetenzen zum Einschreiten erhalten. Die Rechtsgrundlage für den Einsatz der MIRTs soll das Gesetz zur Umsetzung der europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) bringen. Einen Gesetzesentwurf dazu hat das Bundeskabinett am 25. Januar 2017 auf den Weg gebracht.
Die NIS-Richtlinie muss bis Mai 2018 in nationales Recht umgewandelt werden. Diese europäische Regelung zur IT-Sicherheit soll ein EU-weit einheitliches und hohes Sicherheitsniveau von IT-Systemen sicherstellen und die Kooperation zwischen den Ländern fördern. Allerdings ist ein großer Teil der geforderten Maßnahmen in Deutschland schon durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz abgedeckt. Denn seitdem gelten für Betreiber sogenannter "kritischer Infrastrukturen" erhöhte und gesetzlich explizit geregelte Anforderungen an die IT-Sicherheit. Unternehmen fallen bisher in den Anwendungsbereich des IT-Sicherheitsgesetzes, wenn sie in einem der neun benannten Sektoren (Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tätig sind und ihre Einrichtungen oder Anlagen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Das ist allgemein immer dann der Fall, wenn durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung der öffentlichen Sicherheit eintreten würde. Konkrete Schwellenwerte liefert für einige Sektoren bereits eine Rechtsverordnung zum IT-Sicherheitsgesetz, deren zweiter Teil für die übrigen Sektoren im Frühjahr 2017 in Kraft treten soll.
Bisher noch nicht vom IT-Sicherheitsgesetz erfasst waren Anbieter "digitaler Dienste". Vor allem diese sollen nun aber zur Umsetzung der NIS-Richtlinie ebenfalls unter das IT-Sicherheitsgesetz fallen. Einbezogen werden damit sowohl Online-Marktplätze und Online-Suchmaschinen als auch Anbieter von Cloud-Computing-Diensten. Das Bundesministerium des Innern (BMI) schätzt, dass von den geplanten Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Unternehmen betroffen sein werden.
Änderungen am IT-Sicherheitsgesetz
Neben der Einbeziehung von Anbietern digitaler Dienste soll der Gesetzesentwurf weitere Änderungen des IT-Sicherheitsgesetzes mit sich bringen. So sollen etwa die Befugnisse des BSI zur Überprüfung der Einhaltung technisch-organisatorischer Maßnahmen sowie die Melde- und Nachweispflichten der Betreiber kritischer Infrastrukturen erweitert werden. Aber auch die Rechtsgrundlage für die angesprochene Cyber-Feuerwehr soll durch Einfügung des § 5a BSIG gewährleistet werden. Zwar kann das BSI auf Einwilligungsbasis und nach allgemeinem Datenschutzrecht bereits jetzt bei Hackerattacken und Cyberangriffen unterstützend und beratend tätig werden, allerdings bedarf es für Maßnahmen, die etwa mit Eingriffen in das Fernmeldegeheimnis verbunden sind, einer ausdrücklichen rechtlichen Grundlage. Das Fernmeldegeheimnis kann beispielsweise berührt sein, wenn zur Wiederherstellung der betroffenen Systeme der Netzwerkverkehr der betroffenen Einrichtungen analysiert werden muss.
Zukünftig soll durch § 5a BSIG Absatz 1 das BSI mit MIRTs verstärkt auch operative Unterstützung bei der Bewältigung von Sicherheitsvorfällen bei Stellen des Bundes und bei Betreibern kritischer Infrastrukturen leisten können. Dazu ist erforderlich, dass die betroffene Einrichtung um Unterstützung des BSI bittet und es sich um einen herausgehobenen Fall handelt. Ein solcher kann in einem sogenannten DDoS-Angriff liegen, der mit einer außergewöhnlichen Bandbreite oder Technik ausgeführt wird oder wenn beispielsweise eine Chemieanlage angegriffen wird, von der potenzielle Gefahren für die Bevölkerung ausgehen könnten. Wegen des zunehmenden Bedrohungspotenzials und des damit verbundenen, herausragenden öffentlichen Interesses an der Sicherheit werden zudem erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort für die Betroffenen nicht kostenpflichtig sein. Dadurch soll gewährleistet werden, dass von einem Hilfeersuchen an das BSI nicht aus Kostengründen abgesehen wird.