: IT-Sicherheit in Deutschland "desaströs"

von Peter Welchering
13.03.2021 | 17:52 Uhr
Alarmstufe Rot hat das Bundesamt für Sicherheit in der Informationstechnik verhängt. Die Situation sei extrem kritisch. Das ist sie in der IT-Sicherheit schon seit vielen Jahren.
Sicherheitsexperten bewerten den Stand der IT-Sicherheit in Deutschland als desaströs.Quelle: dpa
Seit Freitag steigt die Zahl der digitalen Angriffe auf Exchange-Server auch in Deutschland. Zwar sind bei mehr als 35.000 der insgesamt 60.000 direkt verwundbaren Server mit kritischen Sicherheitslücken inzwischen die Sicherheitsupdates von Microsoft eingespielt. Doch das reicht häufig nicht.

Digitale Angriffe fordern heraus

"Zehn kriminelle Organisationen nutzen die Schwachstellen gegenwärtig für ihre Angriffe aus", hat Michael Dwucet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt. Und die organisierte Kriminalität hat inzwischen auch bei den mit Sicherheits-Updates versehenen Servern Hintertüren eingebaut - und Schadsoftware eingespielt.
Der Computerwissenschaftler Professor Hartmut Pohl bringt die übereinstimmende Bewertung der Experten auf den Punkt:
Die Situation ist desaströs.
Hartmut Pohl
Jetzt rätseln Sicherheitspolitiker und Behörden, wie es denn nur zu einer so massiven Gefährdung der IT-Infrastruktur kommen konnte, zu der die Sicherheitslücken bei den Exchange-Servern von Microsoft geführt haben.

Um was geht es bei der Exchange-Lücke?

Hacker haben die E-Mail-Programme von Microsoft angegriffen. Der Hacker-Angriff war vergangene Woche bekannt geworden.

Microsoft hatte mitgeteilt, eine Cyberspionage-Gruppe mit Verbindungen zu China habe über bisher unbekannte Schwachstellen Emails von Kunden gehackt. Die Angriffe richteten sich vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. Die Regierung in Peking wies die Vorwürfe zurück.

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) stufte die Bedrohungslage vergangene Woche als extrem kritisch ein. Hacker hätten die Möglichkeit, Daten abzugreifen oder weitere Schadsoftware zu installieren. In Deutschland sind nach der Ansicht des BSI Zehntausende Exchange-Server über das Internet angreifbar "und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert". Das Bundesamt hatte deshalb die Unternehmen direkt angeschrieben, deren Exchange-Server nach ihrer Kenntnis betroffen sind, und Empfehlungen für Gegenmaßnahmen gegeben. Es seien mehr als 9.000 Unternehmen kontaktiert worden. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen.

Quelle: Reuters

Verschiedene Ursachen für Sicherheitsversagen - darunter auch die Pandemie

Darauf gibt es gleich mehrere Antworten, weil es viele Ursachen für dieses Sicherheitsversagen gibt. "Wegen der Pandemie haben viele Unternehmen ihre Exchange-Server direkt verfügbar gemacht", erläutert Robert Formanek vom BSI. Dabei wurde dann auf die eine oder andere im Unternehmen selbst vorgesehene Absicherung verzichtet. Und so wurden die Exchange-Server zum Angriffsziel.
Das haben verschiedene Firmen- und Behördenleitungen zum Anlass genommen, die Schuld für das Sicherheitsdesaster auf die Systemadministratoren zu schieben. Die hätten einfach nicht ordentlich abgesichert.

Für Updates fehlt die Zeit

Doch die Systemadministratoren-Seite gab sofort zurück: Wir haben so weit abgesichert, wie wir konnten. "Ich habe pro Monat ungefähr eine halbe Stunde fürs Einspielen von Sicherheitsupdates, da fehlt massiv Zeitbudget für eine ordentliche Sicherheitsstrategie", meint etwa der Rathaus-Systemadministrator einer mittelgroßen Stadt in Baden-Württemberg.
Auch Manuel Atug von der AG Kritis, die sich um kritische Infrastrukturen kümmert, bestätigt das Problem:
Schwachstellen zu schließen, Updates aufzuspielen, die Systeme auf dem aktuellen Stand zu halten, kostet Geld, aber es gibt keinen Anreiz dafür.
Manuel Atug

Atug: "Es gibt kein Mindesthaltbarkeitsdatum für Software"

Er berichtet von einem BSI-Webinar, in dem die Frage aufkam, ob es noch für Exchange 2007 einen Patch geben wird. Microsoft unterstützt das Produkt seit mehreren Jahren nicht mehr.
"Es gibt kein Mindesthaltbarkeitsdatum für Software, wie es der Chaos Computer Club berechtigt fordert", kritisiert Atug. Spätestens nach der offiziellen Information durch die Sicherheitsanalysten des IT-Sicherheitsunternehmens Devcore am 5. Januar 2021 hätte Microsoft sich um die Exchange-Sicherheitslücken kümmern müssen.
Die US-Regierung warnt vor einem Cyber-Angriff wegen einer Sicherheitslücke im E-Maildienst Exchange. Sicherheitsexperten vermuten eine chinesische Hackergruppe hinter dem Angriff.

Auch Behörden haben versagt: Kaum Druck auf Software-Hersteller

Passiert ist aber nicht viel. Hier hat auch die Aufsicht der Behörden versagt. Das wiederum liegt an aufgesplitterte Zuständigkeit der für IT-Sicherheit verantwortlichen Behörden. "Das verhindert eine wirkungsvolle Sicherheitsstrategie von vornherein", urteilt Manuel Atug.
Neben dem Bundesamt für Sicherheit in der Informationstechnik sind auch diese Behörden zuständig:
  • Nationales Cyber-Abwehrzentrum
  • Nationaler Cyberrat
  • Bundeskriminalamt
  • 16 Landeskriminalämter
  • Bundesamt und Landesämter für Verfassungsschutz
  • Kommando Cyber- und Informationsraum der Bundeswehr
  • Cyber-Schlapphüte vom Bundesnachrichtendienst
Und alle diese Behörden arbeiten oft in Konkurrenz zueinander. Der Politikwissenschaftler Jakob Kullik von der Technischen Universität Chemnitz hat das bereits im Jahr 2014 in einer viel beachteten wissenschaftlichen Analyse als "vernetzte Unsicherheit" bezeichnet.
AG-Kritis-Sprecher Manuel Atug spricht von einem "Wimmelbild der Verantwortungsdiffusion". Und diese Wimmelei sorgt dann letztlich dafür, dass die Software-Hersteller nicht ausreichend in die Pflicht genommen werden.  

Mehr zu Hacking und Cyber-Kriminalität