Abo
  • Services:
Anzeige
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken.
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken. (Bild: BSI)

BSI-Lagebericht 2015: Bund plant kein Programm gegen IT-Angriffe von Terroristen

Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken.
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken. (Bild: BSI)

IT-Systeme sind in diesem Jahr unsicherer geworden. Das BSI warnt in seinem Lagebericht vor vermehrten Softwarelücken, aber auch vor Gefahren durch manipulierte Hardware. Ein besonderer Schutz gegen IT-Angriffe von Terroristen sei nicht nötig, sagte der Innenminister.

Anzeige

Die Zahl der bekanntgewordenen Sicherheitslücken ist in den vergangenen Monaten deutlich gestiegen. Allein in elf am meisten verbreiteten Softwareprodukten seien in den ersten neun Monaten dieses Jahres 847 kritische Schwachstellen entdeckt worden, berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem am Donnerstag in Berlin vorgestellten Lagebericht 2015. Am häufigsten wurden dabei Lücken im Adobe Flash Player gefunden, Microsofts Internet Explorer, Apples Betriebssystem OS X und Windows.

In diesem Zusammenhang kritisierte der scheidende BSI-Präsident Michael Hange die Patchpolitik der Hersteller. Weniger kritische Sicherheitslücken würden häufig nicht mehr gepatcht. Smartphones von "billiger Provenienz" würden zum Teil mit veralteten Betriebssystemen ausgeliefert, die überhaupt keine Patchmöglichkeiten mehr lieferten. Der Umgang mit der Stagefright-Lücke in Android sei ein Beispiel für das "schleppende, teilweise nachlässige Update-Verhalten der Gerätehersteller", heißt es in dem Bericht.

Hardwaremanipulationen schwächen Kryptographie

Dem BSI zufolge wurden bis Ende September 2015 bereits neun öffentlich bekannte Vorfälle gezählt, bei denen Zero-Day-Exploits verwendet worden seien. In diesem Zusammenhang verwies Hange auf den Hack der italienischen Firma Hacking Team. Die bekanntgewordenen Unterlagen belegten einen "attraktiven Handel mit Schwachstellen". Auch Staaten, deren Nachrichtendienste nicht über die notwendigen Fähigkeiten zum Aufspüren von Sicherheitslücken verfügten, könnten von solchen Angeboten profitieren.

Neben Softwarelücken sieht das BSI auch Gefahren durch manipulierte Hardware. Ziel dieser Angriffe sei beispielsweise der Zufallsgenerator im Prozessor, der für kryptographische Verfahren elementar sei. Durch Dotierungsänderungen des Halbleitermaterials könne dieser Zufallsgenerator so geschwächt werden, dass die Zufallszahlen vorhersehbar würden. "Die Auswirkungen auf kryptographische Verfahren sind schwerwiegend: Eine Verschlüsselung kann ausgehebelt beziehungsweise um ein Vielfaches leichter gebrochen werden", warnt das BSI. Eine derartige Manipulation sei kaum zu entdecken, da sich an der internen Struktur und den Bauteilen des Chips nichts ändere.

Täglich 15 gefährliche Angriffe auf Bundesverwaltung

Nach Darstellung von Innenminister Thomas de Maizière (CDU) werden jeden Tag durchschnittlich 15 Angriffe auf das Netz der Bundesverwaltung registriert, die mit normalen Schutzmaßnahmen nicht zu erkennen sein sollen. Jeden Monat würden rund 11.000 infizierte Mails abgefangen, heißt es in dem Bericht. Da das Netz nur zwei Eingänge habe (Bonn und Berlin), ließen sich die Ein- und Ausgänge gut kontrollieren. So könne verhindert werden, dass Angreifer Daten aus dem Netz exportierten.

Besonders gravierend war dabei der Angriff auf den Bundestag, der über ein eigenes Netz verfügt. Dem Bericht zufolge handelte es sich dabei um einen klassischen APT-Angriff (Advanced Persistent Threat). Dabei seien zunächst einzelne Arbeitsplatzrechner infiziert worden. Eine nachgeladene Software habe unter anderem dazu gedient, die Zugangsdaten eines Systemkontos für die Softwareverteilung herauszufinden und dies für die weitere Ausbreitung im internen Netz zu verwenden. Auf einzelnen Systemen sei ein Backdoor-Schadprogramm installiert worden, das den Angreifern jederzeit erlaubt habe, auf das System zuzugreifen. Daneben seien weitere Angriffstools und Schadprogramme wie Keylogger sowie selbst geschriebene Skripte zum Sammeln von Dokumenten bestimmter Dateitypen gefunden worden. De Maizière sprach von einem wohl organisierten, orchestrierten und komplexen Angriff, bei dem viel dafür spreche, dass er von staatlicher Seite her verursacht worden sei.

Kein besonderes Programm gegen Terroristen

Mit Blick auf die aktuelle Terrorbedrohung durch den Islamischen Staat (IS) sieht der Innenminister jedoch keine besondere Gefahr für die IT-Systeme und kritische Infrastruktur. "Wir wollen, dass kritische Infrastruktur funktioniert. Und deswegen müssen sie vor Angriffen geschützt werden, und dabei ist uns, was den Betrieb dieser Systeme angeht, gleichgültig, ob der Angreifer ein Krimineller, ein Terrorist, ein ausländischer Staat oder wer auch immer ist", sagte der Minister. Anders als von der britischen Regierung geplant, will der Bund daher kein spezielles Programm gegen IT-Angriffe von Terroristen auflegen. Das sei nicht zielführend, sagte de Maizière und fügte hinzu: "Wir erhöhen die IT-Sicherheit der Bundesverwaltung und der kritischen Infrastruktur dieses Landes gegen Angriffe aller Art."


eye home zur Startseite
User_x 19. Nov 2015

http://hessenschau.de/gesellschaft/entwarnung-nach-hackerangriff-auf-weihnachtsmarkt...



Anzeige

Stellenmarkt
  1. DERMALOG Identification Systems GmbH, Hamburg
  2. accantec consulting ag, Frankfurt am Main
  3. DFS Aviation Services GmbH, Langen
  4. Dentsply Sirona, The Dental Solutions Company, Bensheim


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 6,99€

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

  1. Re: Seit Monaten bekannt.

    coass | 20:58

  2. Performance

    flow77 | 20:53

  3. Re: Wir brauchen ein OpenSource Wahlsystem

    Franer | 20:49

  4. Re: Letztes Jahr hiess es noch, die Telekom wolle...

    Faksimile | 20:47

  5. Re: Flüchlinge statt innovation

    Faksimile | 20:39


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel