Besonders Ransomware-Angriffe sind für das Gesundheitswesen eine Bedrohung

„Die IT-Bedrohungslage ist weiterhin angespannt und das ist und bleibt besorgniserregend“, sagte Claudia Plattner, Präsidentin des BSI, anlässlich der Vorstellung des neuen Lageberichts zur IT-Sicherheit in Deutschland. Im Berichtszeitraum vom 1. Juli 2023 bis zum 30. Juni 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt – das entspricht einem Anstieg von 26 Prozent im Vergleich zum Vorjahr. Dieser ist insbesondere auf eine Zunahme von Schadprogramm-Varianten zurückzuführen, die Schwachstellen in 64-Bit-Varianten von Windows ausnutzen. Zudem legten Android-Schadprogramm-Varianten im Berichtszeitraum überdurchschnittlich zu.

Zu den Kritischen Infrastrukturen (KRITIS) gehören Einrichtungen und Unternehmen, bei deren Ausfall oder Beeinträchtigung erhebliche Störungen von Funktionen des Gemeinwesens wie beispielsweise Versorgungsengpässe zu erwarten wären. Deshalb sind KRITIS-Betreiber kritischer Infrastruktur gesetzlich verpflichtet, dem BSI Störungen ihrer IT-Systeme melden, „die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt haben oder führen können“.

Im aktuellen Berichtszeitraum von Mitte 2023 bis Mitte 2024 gingen beim BSI insgesamt 726 Meldungen ein, in der vorangegangenen Periode waren es noch 490 gewesen. Von allen acht KRITIS-Sektoren steht das Gesundheitswesen mit 141 Meldungen an zweiter Stelle.

Bedrohungen gehen sowohl von sogenannten APT-Gruppen (APT = Advanced Persistent Threats) aus als auch von einer immer professioneller agierenden cyberkriminellen Schattenwirtschaft aus. APT-Gruppen konzentrieren sich zumeist auf Spionage und Sabotage und führen Angriffe auf staatliche Behörden und verbundene Unternehmen durch – dementsprechend werden diese Angreifer meist im staatlichen und halbstaatlichen Bereich vermutet. Daneben gibt es eine immer arbeitsteiliger organisierte Schattenwirtschaft, in der es zumeist um Datendiebstahl, Erpressung und Lösegeldforderungen geht.

Die erhöhte Aktivität der Angreifer stößt auf ein gewachsenes Feld an möglichen Zielen, wie das BSI betont: „Die Angriffsflächen vergrößerten sich mit der weiter fortschreitenden Digitalisierung: Komplexe und verwundbare Systeme werden mehr. Erneut wuchs auch die Anzahl täglich bekannt gewordener Schwachstellen im Vergleich zum Vorjahr. Insbesondere wurde eine Vielzahl kritischer Schwachstellen in Perimetersystemen, wie Firewalls und VPNs, bekannt. Dies ist besorgniserregend, da auch Angriffe auf Perimetersysteme weiterhin deutlich zunahmen. Auffällig verwundbar waren zudem Android-Systeme.“

Um kritische Infrastrukturen besser zu schützen sind KRITIS-Betreiber zum Einsatz eines Infor­mationssicherheitsmanagementsystems (ISMS – dient der Prävention) und eines Business-Continuity-Management-Systems (BCMS – dient der Fortführungsfähigkeit des Betriebs) verpflichtet. Die Qualität der Systeme wird alle zwei Jahre mit einem Scoring von in fünf Stufen differenzierten Reifegraden ermittelt.

Als Erfolg sieht das BSI, dass in den letzten zwei Jahren 140 von 671 Betreibern den Reifegrad ihrer ISMS verbessern konnten. „Die BCMS konnten bei 114 Betreibern um mindestens ei­nen Reifegrad verbessert werden. Insgesamt bewegte sich die Resilienz der meldepflichtigen KRITIS-Betreiber damit auf mittlerem Niveau der 5-stufigen Reifegradskala. Hier ist somit ein leicht positiver Trend erkennbar“ bilanziert das BSI.

BSI-Präsidentin Plattner zeigte sich im Hinblick auf die künftige Entwicklung optimistisch: „Wir sind den Bedrohungen nicht schutzlos ausgeliefert! Wir sehen deutlich: Die Schutzmaßnahmen wirken und wir sind in der Lage, den Angriffen effektiv entgegenzutreten. Deshalb dürfen wir jetzt nicht nachlassen, sondern müssen in einer gesamtstaatlichen Anstrengung unsere Resilienz weiter erhöhen.“

Bürgerinnen und Bürger sind damit weiterhin einer angespannten Bedrohungslage ausgesetzt, etwa durch Phishing-Angriffe: Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde im Berichtszeitraum eine Zunahme von Kampagnen, die die Namen bekannter Streamingdienste missbrauchten, registriert. Die Angreifer erbeuteten dabei Daten zu Zahlungsmitteln wie Kreditkarten, weitere Informationen zu Zahlungsdienstleistern und persönliche Daten der Accountinhaberinnen und -inhaber.