CeBIT 2009

BSI: Die Lage in Sachen IT-Sicherheit ist sehr ernst

03.03.2009
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf der CeBIT gewarnt, die Gefährdungen durch kriminelle Aktionen im Internet seien sehr hoch.

"Die Lage ist sehr ernst", sagte Hartmut Isselhorst vor der Presse auf der CeBIT 2009. Die Gefahr durch Online-Kriminalität steigt, meinte der Leiter der Abteilung 1 des BSI, das sich um "Sicherheit in Anwendungen, kritische Infrastrukturen und in Netzen" kümmert. Es gäbe genügend Anzeichen dafür, dass die Attacken im Netz vermehrt durch organisiert arbeitende Kriminelle ausgeführt werden. Diese würden arbeitsteilig vorgehen: Einer schreibe die Malware, ein anderer verbreite sie im Internet, wieder ein anderer ziehe etwa Geld von Bankkonten ab, ein vierter wasche dieses schließlich.

Extrem professionelle Kriminelle

Sehr auffällig sei auch, dass die Angriffe heutzutage extrem professionell und intelligent ausgeführt werden. EinBeispiel moderner Malware sei der Conficker-Wurm. Die Tarnmechanismen der Angreifer hätten sich stark verbessert, Schadprogramme seien mittlerweile modular aufgebaut. Beispielhaft für die intelligentere Kriegführung der Kriminellen sei etwa, dass nicht mehr plumpe E-Mails in gebrochenem Deutsch versendet werden, um etwa auf gefälschte Seiten zu lenken. Vielmehr fange man sich heutzutage Schadsoftware quasi im Vorbeisurfen auch auf vorgeblich unverfänglichen Internetseiten ein (so genannte Drive-by-Sites).

Der Conficker-Wurm verändert sein Verhalten ständig. Er gilt als ein Beispiel moderner, intelligenter Schadsoftware.
Der Conficker-Wurm verändert sein Verhalten ständig. Er gilt als ein Beispiel moderner, intelligenter Schadsoftware.
Foto: F-Secure

Isselhorst konzedierte, dass es ein Hase-Igel-Rennen zwischen den arglosen Internetnutzern und den Kriminellen gebe, bei dem letztere grundsätzlich zumindest immer einen Zeitvorsprung haben. Werde etwa eine Schwachstelle in einem Betriebssystem offenbar, nutze die kriminelle Szene dies noch am Tag des Bekanntwerdens für Angriffe - Insider reden hier von Zero-Day-Exploit. Der BSI-Mann konzedierte auch, dass es ein technisches Grundverständnis für Sicherheitsfragen geben müsse, um sich sicher im Web bewegen zu können. Hier liege insbesondere bei Privatpersonen noch einiges im Argen.

Good Guys können nicht mehr mithalten

Allerdings gebe es auch Positives zu berichten: So hat eine Umfrage des BSI ergeben, dass mittlerweile 92 Prozent aller Deutschen einen Virenscanner einsetzen. Zwei Drittel nutzen einen Spamfilter und immerhin noch 57 Prozent unterhalten eine persönliche Firewall. Auf Nachfragen räumte Isselhorst jedoch ein, dass heutige Anti-Virenprogrammen mit der Geschwindigkeit der entwickelten Würmer, Viren und anderer Malware nicht mehr Schritt halten können.

Bei Unternehmen, so Isselhorst weiter, sei das Sicherheitsempfinden weiter gestiegen. Interessanterweise resultiere die größte Gefährdung für die Integrität der Firmen-IT nicht mehr aus Angriffen von eigenen Mitarbeitern, sondern aus Attacken von außen.

Was die Dimensionen der durch Internetkriminalität entstandenen Schäden betrifft, konnte Isselhorst keine genauen Angaben machen. Eine Umfrage des BSI habe aber immerhin ergeben, dass vier Millionen deutsche Bürger sagten, sie hätten durch Web-Kriminalität bereits persönliche Schaden erlitten. Das Sicherheitsunternehmen Kaspersky hatte die weltweiten Schäden im Jahr durch Internetkriminalität einmal auf 100 Milliarden Dollar beziffert. (jm)