Schlagwort: Cybersicherheit

Bitkom: „Drei Viertel von Cyberkriminalität betroffen“

3. Januar 2023

Der Digitalverband Bitkom veröffentlichte zu Jahresbeginn die Ergebnisse einer repräsentativen Umfrage zu Erfahrungen mit Cyberkriminalität. Befragt wurden in Deutschland 1.014 Personen ab 16 Jahren, die das Internet nutzen.

Drei von vier Internetnutzerinnen und -nutzern 2022 betroffen

Nach den Ergebnissen der Umfrage waren drei von vier der Befragten (75 Prozent) 2022 von Cyberkriminalität betroffen. Die Ergebnisse folgen dem Trend der letzten Jahre. Während 2019 noch 40 Prozent nicht von Cyberkriminalität betroffen waren, waren es 2020 nur noch 34 Prozent. 2021 waren es mit 21 Prozent dann fast genauso viele wie 2022 mit 22 Prozent.

Erfragt wurden beispielsweise Erfahrungen mit Schadsoftware, Betrug beim Online-Shopping oder auch Beleidigungen in sozialen Netzwerken. Bei der Hälfte der Befragten waren persönliche Daten ungefragt weitergegeben worden. Auch der Betrug beim Online-Einkauf oder Online-Banking sowie die Infizierung mit Schadprogrammen trat häufig auf. Bei drei Prozent fand sogar ein Identitätsdiebstahl statt. Bei den Delikten im Rahmen der Interaktion mit anderen Usern fielen insbesondere Beleidigungen und sexuelle Belästigungen auf. Dabei waren Frauen mehr als doppelt so oft betroffen wie Männer.

Ignorieren statt reagieren

Kaum einer der Befragten gab an, auf Forderungen eingegangen zu sein. Vielfach (ca. ein Drittel) entschieden sie sich dafür, auf den Vorfall nicht zu reagieren. Rund die Hälfte suchte das Gespräch mit Freunden und Bekannten. In etwa genauso viele suchten Kontakt mit dem Unternehmen, beispielsweise der Social-Media-Plattform, der Bank oder dem E-Mail-Anbieter. Einige löschten auch ihren Account oder kündigten diesen.

Mehr Polizeieinsatz gegen Cyberkriminalität

Während nur ein knappes Fünftel den Weg der Strafanzeige bei der Polizei wählte, fand sich ein breiter Konsens für einen stärkeren Einsatz der Polizei gegen Cyberkriminalität. So forderten 97 Prozent eine bessere Finanzierung spezieller Polizeieinheiten. 93 Prozent wünschten sich eine stärkere Polizeipräsenz im digitalen Raum. Dagegen fanden nur sieben Prozent die öffentliche Debatte zur Cyberkriminalität übertrieben.

Sicherheitsmaßnahmen und gesunder Menschenverstand

Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder sprach sich dafür aus, dass jeder entsprechende Sicherheitsmaßnahmen treffen müsse. Man müsse damit rechnen, im Internet auf Cyberkriminelle zu treffen. Daher sei es beispielsweise erforderlich, sichere Passwörter zu nutzen, Virenschutzsoftware zu nutzen oder auch persönliche Informationen nur sparsam weiterzugeben. Dazu helfe auch „gesunder Menschenverstand gegen Cyberkriminelle“, so Rohleder. „Wie in der analogen Welt gilt auch im Digitalen: Sind Angebote zum Beispiel von Online-Shops einfach zu gut, um wahr zu sein, sollte man die Finger weglassen. Und wer online von entfernten Verwandten oder Bekannten um Geld gebeten wird, sollte prüfen, ob es sich dabei wirklich um die vorgeblichen Personen handelt“.

Neue Richtlinie zur Cybersicherheit veröffentlicht

28. Dezember 2022

Kurz nach Weihnachten, am 27. Dezember 2022 wurde eine neue Richtlinie zu „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (im Folgenden: „Cybersicherheits-Richtlinie“ oder „Richtlinie“) veröffentlicht. Ziel dieser neuen Richtlinie ist der „Aufbau von Cybersicherheitskapazitäten“ und die „Eindämmung von Bedrohungen für Netz- und Informationssysteme[n]“.

Die Adressaten der neuen Regelungen

Die neue Richtlinie 2022/2555 zu Maßnahmen im Bereich der Cybersicherheit ersetzt die bisherige Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Die neue Cybersicherheits-Richtlinie betrifft im Vergleich mehr Unternehmen. Zu den Adressaten zählen Unternehmen verschiedener Sektoren. Die Richtlinie erfasst Unternehmen des Gesundheitswesens wie Unternehmen der digitalen Infrastruktur und u.a. Unternehmen des verarbeitenden Gewerbes. Die neuen Regelungen betreffen dabei sog. mittlere Unternehmen. Es handelt sich um Betriebe, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10. Millionen Euro erzielen.

Grundsätzlich muss die Cybersicherheits-Richtlinie von den Mitgliedstaaten der europäischen Union bis Oktober 2024 umgesetzt werden. Dann müssen die adressierten Unternehmen damit rechnen, dass die neuen Verpflichtungen wirksam werden.

Risikomanagement

Im Wesentlichen sind die betroffenen Unternehmen nach Art. 21 der Richtlinie dazu verpflichtet „technische, operative und organisatorische Maßnahmen“ zu ergreifen. Diese Maßnahmen sollen vor Gefahren für die Sicherheit von Netz- und Informationssystemen schützen. Insoweit sollen die adressierten Unternehmen „gefahrenübergreifende“ Maßnahmen implementieren, deren Ziel der Schutz der Netz- und Informationssystemen und ihrer Umwelt sind. Demnach ist u.a. die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs zu beachten.

Außerdem sind die adressierten Unternehmen nach Art. 23 der Richtlinie 2022/2555 dazu verpflichtet unverzüglich die zuständigen Behörden über einen Sicherheitsvorfall zu unterrichten. Zusätzlich müssen sie die Empfänger ihrer Dienstleistungen über einen solchen Vorfall informieren.

Effektive Durchsetzung

Darüber hinaus erhalten die zuständigen Behörden weitreichende Befugnisse, um eine effektive Durchsetzung der Cybersicherheits-Richtlinie zu garantieren. Mithin können die zuständigen Behörden u.a. die Unternehmen vor Ort kontrollieren und gezielte Sicherheitsprüfungen vornehmen. Zusätzlich legt die Richtlinie neue Bußgelder fest. Demnach können Geldbußen mit einem Höchstbetrag von mindestens 10 Mil. Euro oder von mindestens 2% des globalen Jahresumsatzes verhängt werden.

Bessere Cybersicherheit

Insgesamt hat die europäische Union das Ziel, die Cybersicherheit im Binnenmarkt zu stärken. Folglich veröffentliche die europäische Kommission am 22. September 2022 einen Entwurf zum sog. „Cyber Resilience Act“. Dieser soll Vorgaben zur Cybersicherheit für Produkte mit digitalem Element schaffen.

Innenministerin beruft BSI-Chef Schönbohm ab

21. Oktober 2022

Die Bundesinnenministerin Nancy Faser hat den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm abberufen. Am 18. Oktober 2022 stellte Faser den Chef des BSI zunächst frei. Die Freistellung erfolgte, nachdem verschiedene Vorwürfe gegen den Präsidenten des BSI aufkamen. Demnach soll Schönbohm einem Verein nahestehen, der (auch nach eigenen Angaben) Kontakte zum russischen Geheimdienst unterhalten soll.

Fragwürdige Kontakte

Ausgelöst wurden die Vorwürfe durch eine am 07. Oktober 2022 ausgestrahlte Folge des ZDF-Magazins „Royale“. In dieser präsentierte der TV-Satiriker Jan Böhmermann die Ergebnisse einer Recherche-Zusammenarbeit der ZDF-Produktion und des Recherchenetzwerks „Policy Network Analytics“.

Diesen Recherchen zufolge soll Schönbohm, bevor er Präsident des BSI wurde, 2012 den „Cyber-Sicherheitsrat e.V.“ (mit-) gegründet haben. Der private Verein berät nach eigenen Angaben Unternehmen und Politik im Bereich Cyber-Sicherheit. Der Name Cyber-Sicherheitsrat Deutschland ist fast identisch mit dem Cyber-Sicherheitsrat des Bundesinnenministerium. In einem Schreiben des für Cybersicherheit zuständigen Ministerialdirigenten des Innenministeriums vom 27. Mai 2015 an die Chefs von 5 Sicherheitsbehörden des Bundes wurde daran erinnert, eine Abgrenzung zu dem Verein sicherzustellen. Jegliche Unterstützung, beispielsweise durch die Unterstützung von Veranstaltungen, habe zu unterbleiben. Mitglied dieses Vereins sei u.a. die in Berlin ansässige „Protelion GmbH“. Protelion selbst stelle Software zum Schutz vor Cyberangriffen her. Die Protelion GmbH sei allerdings erst seit August 2022 unter ihrem jetzigen Firmennamen bekannt. Zuvor trug das Unternehmen den Namen „Infotecs“. Die Infotecs GmbH sei eine Tochtergesellschaft des russischen Cybersicherheits-Unternehmens „O.A.O Infotecs“. Ein ehemaliger Mitarbeiter des sowjetischen Nachrichtendienstes KGB habe den russischen Mutterkonzern gegründet. Darüber hinaus habe Infotecs bereits mit russischen Regierungsstellen zusammengearbeitet. Folglich sollen russische Stellen die Sicherheitssysteme von Infotecs für ihre Zwecke verwendet haben. Diese biete die Firma ebenso auf dem deutschen Markt als Mittel zur Abwehr von Cyberangriffen an.  

Außerdem berichtete das ZDF-Magazin Royal über weitere vermeintliche Verbindungen des Cyber-Sicherheitsrates e.V.“ zu Russland. Gegenstand dieser Verbindungen sei ein jetziges Präsidiums-Mitglied des Cyber-Sicherheitsrates e.V., Hans-Wilhelm Dünn. Diesem wurden in der Vergangenheit fragwürdige Kontakte zu russischen Stellen vorgeworfen.

Aufgrund dieser Verbindungen habe Schönbohm es den Mitarbeitern des BSI untersagt, bei Veranstaltungen des Cyber-Sicherheitsrates e.V. aufzutreten. Er selbst habe allerdings bei dem zehn-jährigen Jubiläum des Vereins eine Rede gehalten. Dem „Spiegel“ zufolge, segnete das Bundesinnenministerium dieses Vorgehen ab.

Fazit

Im Ergebnis steht im Zentrum der Kritik an Schönbohm seine vermeintlich fehlende Distanz zu Russland, obwohl die Bundesrepublik bereits mehrfach das Ziel russischer Cyberangriffe war. Das Innenministerium sagte dazu, dass Schönbohm „das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung (…) nachhaltig beschädigt“ habe.

Derweil bat Schönbohm darum, ein Disziplinarverfahren einzuleiten. Das Innenministerium strenge ein solches bislang allerdings nicht an.

Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung russischer Systeme aktuell mit einem erheblichen Risiko verbunden ist.

BSI Branchenlagebild: Datensicherheit in der Automobilindustrie

30. September 2021

Am 07.09.2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive. Eigenen Angaben zufolge arbeiten das BSI und der Verband der Automobilindustrie (VDA) in Fragen der Cyber-Sicherheit eng zusammen, um diesen für den Wirtschafts- und Automobilstandort Deutschland wichtigen Bereich der Digitalisierung sicher zu gestalten. Neben der Datensicherheit sollen auch die technischen und organisatorischen Maßnahmen stärker in den Fokus rücken. Darüber hinaus müsse auch der Datenschutz stärker berücksichtigt werden.

Ziel der Zusammenarbeit von BSI und VDA sei es, ein gemeinsames Verständnis zu den Teilgebieten der Cyber-Sicherheit in Fahrzeugen und der Informationssicherheit in der Automobilindustrie zu etablieren und daraus Handlungsbedarfe abzuleiten, zum Beispiel im Bereich der Standardisierung. In Zukunft könne man dann gemeinsam Handlungsempfehlungen für Politik und Automobilindustrie entwickeln.

Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich sei. Moderne Autos seien längst fahrende Hochleistungsrechner, die nicht mehr nur mit Kurbelwelle oder Elektromotor angetrieben, sondern in erheblichem Maße von digitaler Technik gesteuert würden.

„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein”, so BSI-Präsident Arne Schönbohm.

Konkret sollen dabei Technologien wie die Fahrzeug-zu-Fahrzeug-Kommunikation und 5G das Autofahren sicherer und komfortabler machen. Durch die Digitalisierung ermögliche man auch neue Dienstleistungen und Funktionen im Fahrzeug. Damit mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit hätten und geeignete Schutzmechanismen integriert werden könnten, müssten entsprechende Gefährdungen bereits frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigt werden.

Die Veröffentlichung der Publikation verdeutlicht, dass Hersteller, Zulieferer, Entwickler und andere Dienstleister der Automobilbranche durchaus in den Fokus des BSI gerückt sind.

Bundesregierung legt Entwurf für IT-Sicherheitsgesetz 2.0 vor

26. Februar 2021

Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.

Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).

Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.

Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:

  • Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
  • Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
  • Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
  • Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
  • Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
  • Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.

Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!

Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten

4. Juli 2017

Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.

Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.

Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Konferenz zur IT-Sicherheitsforschung

14. Februar 2017

Heute startet in Berlin die dreitägige “Nationale Konferenz zur IT-Sicherheitsforschung”, die vom Bundesministerium für Bildung und Forschung organisiert wird. Das Programm sieht einerseits eine öffentliche Ausstellung von Projekten und Forschungsexponaten durch IT-Sicherheitsexperten vor, andererseits werden, zum Teil auch interaktiv, auch Fragen der Besucherinnen und Besucher beantwortet.

Eines der Kernthemen wird sicher das aktuelle Positionspapier zur Cyber-Sicherheit in Deutschland sein, das die drei Kompetenzzentren für IT-Sicherheitsforschung – CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL in Karlsruhe – erarbeitet haben und welches am ersten Tag vorgestellt wird.

Darüber hinaus wird der russische Sicherheitsexperte Eugene Kaspersky zu den Keynote-Speakern der Konferenz gehören. In einem Interview mit der Zeitschrift “c’t – Magazin für Computer Technik” äußerte er sich bereits recht provizierend. Datenschutz, so meint er, sei “wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich”, ohne Internet und Sicherheitskameras. Die Diskussion darf mit Spannung erwartet werden.