Das BSI hat seinen Bericht "Die Lage der IT-Sicherheit in Deutschland 2017 [PDF]" veröffentlicht, der die aktuelle Gefährdungslage der IT bei Unternehmen, Behörden und Privatpersonen behandelt. Vor allem in der Digitalisierung sehen die Experten dem Bericht zufolge eine große Gefahr. Damit würden nämlich auch die Angriffsmöglichkeiten und -ziele für Hacker stetig zunehmen.

Besonders gefährlich wird es immer dann, wenn die Angreifer kritische Infrastrukturen (KRITIS) wie Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen (Wasser- und Stromversorger, Heizkraftwerke und ähnliches) attackieren. Fällt zum Beispiel in einem Krankenhaus aufgrund einer Cyber-Attacke der Strom aus, kann dies nicht nur einen finanziellen Schaden mit sich bringen, sondern tatsächlich lebensgefährlich sein.

Als Haupteinfallstor sieht das BSI weiterhin schädliche Anhänge in Spam-E-Mails. Aber auch sogenannte "Drive-by-Angriffe" (Exploit Kits) werden von Kriminellen gerne genutzt. Relativ neu ist hingegen die Methode, Ransomware als vermeintliche Updates von eigentlich erwünschter Software zu tarnen. Im mobilen Segment werden zunehmend gefälschte Apps verbreitet. Diese lassen sich zumindest auf den ersten Blick kaum vom Original unterscheiden. Statt der erwarteten Funktionalität installiert sich der ahnungslose Nutzer damit aber den Schadcode auf seinem Gerät.

In 2017 ebenfalls gerne angewendete Methode der Cyber-Kriminellen, war laut BSI die Ausnutzung von Schwachstellen in den verschiedenen Lösungen. Dass dies teilweise verheerende Folgen haben kann, zeigten Attacken wie WannaCry oder Petya/NotPetya dieses Jahr auf eindrucksvolle Weise. Die Verschlüsselungstrojaner breiteten sich mit enormer Geschwindigkeit weltweit aus. Der dadurch entstandene Schaden weltweit wir mit mehreren Milliarden Euro beziffert.

Etwas seltener aber nicht minder schädlich ist der sogenannte CEO-Betrug: Die Angreifer spähen zunächst ein ganz spezifisches Opfer aus. Zum Beispiel über Spear-Phishing-Attacken werden der Name, der Titel, die Position im Unternehmen und ähnliches ausgespäht. Mithilfe dieser Informationen schicken die Betrüger dann eine Zahlungsanordnung in nicht unerheblicher Höhe an die Opfer (oft betrifft eine solche Attacke Mitarbeiter in der Buchungsabteilung) eines Unternehmens. Dabei geben die Angreifer sich als Chef der Firma (CEO) aus. In der Regel war die vorab getätigte "Zielaufklärung" derart präzise, dass es beinahe unmöglich ist, die Fälschung zu erkennen. Können die Mitarbeiter den Betrug nicht erkennen und tätigen die Überweisung, landet der Betrag auf dem Konto der Betrüger. Dies Betrugsmethode ist zwar mit einigem Aufwand für die Angreifer verbunden, je solventer das Unternehmen beziehungsweise je höher der so ergaunerte Betrag allerdings ausfällt, desto lukrativer erscheint diese Methode für die Kriminellen.

Ebenso bedenklich ist die zunehmende Einflussnahme von Cyber-Kriminellen auf politische Prozesse. So steht Russland etwa im Verdacht, in diversen Facebook-Kampagnen die US-Wahlen nachhaltig beeinflusst zu haben. Auch die deutsche Bundestagswahl war hoch gefährdet durch Hacker. So sollen die Angreifer versucht haben, private E-Mail-Accounts von potentiellen Kandidaten auszuspähen und dadurch an Informationen zu gelangen. Diese wurden dann zu einem geeigneten Zeitpunkt veröffentlichen, um die Reputation politischer Personen zu beschädigen. Auch die gezielte Platzierung von Falschmeldungen - "Fake News" -  stellte die Sicherheitsverantwortlichen bei den vergangenen Wahlen vor eine nicht zu unterschätzende Herausforderung.

Hinzu kommt, dass für die vergangene Bundestagswahl nur unzureichend geschützte Software zum Einsatz gekommen sei. Wie der Chaos Computer Club seinerzeit berichtete, wären ihnen im Vorfeld der Wahlen schwerwiegende Sicherheitslücken in der Software aufgefallen. Ob diese schlussendlich zum Zeitpunkt der Wahl ausgenutzt wurden beziehungsweise ob diese zur Manipulation des Wahlergebnisses ausgenutzt wurden, ist indes nicht bekannt.

Derzeit bei vielen Privatpersonen im Trend liegt die Installation von Smart-Home-Netzwerken, also der Zusammenschluss mehrerer smarter Geräte. Das Problem hierbei sieht das BSI allerdings im mangelnde Sicherheitsbewusstsein der Anwender. Der Hauptfokus liegt der Mehrheit der Anwender vor allem beim Komfort und der Funktionalität. Passwörter werden indessen oft in der Standardeinstellung belassen oder gar ganz deaktiviert. Auch bei den Herstellern spiele bei Smart-Home-Geräten das Thema Sicherheit eine eher untergeordnete Rolle.

Damit gefährden die Anwender aber nicht nur sich selbst. Hacker haben so zum Beispiel die Möglichkeit, die Nutzer über smarte Kameras oder ähnliches ausspionieren, sich Zutritt zu den Wohnungen zu verschaffen und mehr. Zudem besteht das Risiko von Bot-Netzen, wenn ungesicherte Smart-Home-Geräte zu einem Netzwerk für Cyber-Attacken zusammengeschlossen werden. In den vergangenen Jahren sorgte vor allem das sogenannte Mirai-Botnet für einiges Aufsehen. Der Verbund von gehackten Geräten wurde von Kriminellen für DDoS-Attacken auf bekannte Web-Dienste genutzt.

Durch die Zunahmen der digitalen Prozesse müssen laut BSI die Rahmenbedingungen für die IT-Sicherheit immer wieder neu angepasst werden. Cyber-Security müsse dabei zur Chefsache werden. Nur dann könne die Digitalisierung zu einem Gewinn werden, vom dem alle profitieren können, so das BSI weiter.

Besonders problematisch ist es dem BSI zufolge, dass entdeckte Sicherheitslücken oft nur sehr zögerlich, mit zeitlichem Verzug oder gar nur unzureichend gepatcht werden. Grundsätzlich ist das BSI der Ansicht, dass Verschlüsselungen ein guter Weg sind, um sensible Daten vor dem Zugriff Unberechtigter zu schützen.