Abo
  • Services:
Anzeige
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken.
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken. (Bild: BSI)

BSI-Lagebericht 2015: Bund plant kein Programm gegen IT-Angriffe von Terroristen

Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken.
Die dunkelblauen Balken zeigen die kritischen, die hellblauen Balken die weniger kritischen Sicherheitslücken. (Bild: BSI)

IT-Systeme sind in diesem Jahr unsicherer geworden. Das BSI warnt in seinem Lagebericht vor vermehrten Softwarelücken, aber auch vor Gefahren durch manipulierte Hardware. Ein besonderer Schutz gegen IT-Angriffe von Terroristen sei nicht nötig, sagte der Innenminister.

Anzeige

Die Zahl der bekanntgewordenen Sicherheitslücken ist in den vergangenen Monaten deutlich gestiegen. Allein in elf am meisten verbreiteten Softwareprodukten seien in den ersten neun Monaten dieses Jahres 847 kritische Schwachstellen entdeckt worden, berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem am Donnerstag in Berlin vorgestellten Lagebericht 2015. Am häufigsten wurden dabei Lücken im Adobe Flash Player gefunden, Microsofts Internet Explorer, Apples Betriebssystem OS X und Windows.

In diesem Zusammenhang kritisierte der scheidende BSI-Präsident Michael Hange die Patchpolitik der Hersteller. Weniger kritische Sicherheitslücken würden häufig nicht mehr gepatcht. Smartphones von "billiger Provenienz" würden zum Teil mit veralteten Betriebssystemen ausgeliefert, die überhaupt keine Patchmöglichkeiten mehr lieferten. Der Umgang mit der Stagefright-Lücke in Android sei ein Beispiel für das "schleppende, teilweise nachlässige Update-Verhalten der Gerätehersteller", heißt es in dem Bericht.

Hardwaremanipulationen schwächen Kryptographie

Dem BSI zufolge wurden bis Ende September 2015 bereits neun öffentlich bekannte Vorfälle gezählt, bei denen Zero-Day-Exploits verwendet worden seien. In diesem Zusammenhang verwies Hange auf den Hack der italienischen Firma Hacking Team. Die bekanntgewordenen Unterlagen belegten einen "attraktiven Handel mit Schwachstellen". Auch Staaten, deren Nachrichtendienste nicht über die notwendigen Fähigkeiten zum Aufspüren von Sicherheitslücken verfügten, könnten von solchen Angeboten profitieren.

Neben Softwarelücken sieht das BSI auch Gefahren durch manipulierte Hardware. Ziel dieser Angriffe sei beispielsweise der Zufallsgenerator im Prozessor, der für kryptographische Verfahren elementar sei. Durch Dotierungsänderungen des Halbleitermaterials könne dieser Zufallsgenerator so geschwächt werden, dass die Zufallszahlen vorhersehbar würden. "Die Auswirkungen auf kryptographische Verfahren sind schwerwiegend: Eine Verschlüsselung kann ausgehebelt beziehungsweise um ein Vielfaches leichter gebrochen werden", warnt das BSI. Eine derartige Manipulation sei kaum zu entdecken, da sich an der internen Struktur und den Bauteilen des Chips nichts ändere.

Täglich 15 gefährliche Angriffe auf Bundesverwaltung

Nach Darstellung von Innenminister Thomas de Maizière (CDU) werden jeden Tag durchschnittlich 15 Angriffe auf das Netz der Bundesverwaltung registriert, die mit normalen Schutzmaßnahmen nicht zu erkennen sein sollen. Jeden Monat würden rund 11.000 infizierte Mails abgefangen, heißt es in dem Bericht. Da das Netz nur zwei Eingänge habe (Bonn und Berlin), ließen sich die Ein- und Ausgänge gut kontrollieren. So könne verhindert werden, dass Angreifer Daten aus dem Netz exportierten.

Besonders gravierend war dabei der Angriff auf den Bundestag, der über ein eigenes Netz verfügt. Dem Bericht zufolge handelte es sich dabei um einen klassischen APT-Angriff (Advanced Persistent Threat). Dabei seien zunächst einzelne Arbeitsplatzrechner infiziert worden. Eine nachgeladene Software habe unter anderem dazu gedient, die Zugangsdaten eines Systemkontos für die Softwareverteilung herauszufinden und dies für die weitere Ausbreitung im internen Netz zu verwenden. Auf einzelnen Systemen sei ein Backdoor-Schadprogramm installiert worden, das den Angreifern jederzeit erlaubt habe, auf das System zuzugreifen. Daneben seien weitere Angriffstools und Schadprogramme wie Keylogger sowie selbst geschriebene Skripte zum Sammeln von Dokumenten bestimmter Dateitypen gefunden worden. De Maizière sprach von einem wohl organisierten, orchestrierten und komplexen Angriff, bei dem viel dafür spreche, dass er von staatlicher Seite her verursacht worden sei.

Kein besonderes Programm gegen Terroristen

Mit Blick auf die aktuelle Terrorbedrohung durch den Islamischen Staat (IS) sieht der Innenminister jedoch keine besondere Gefahr für die IT-Systeme und kritische Infrastruktur. "Wir wollen, dass kritische Infrastruktur funktioniert. Und deswegen müssen sie vor Angriffen geschützt werden, und dabei ist uns, was den Betrieb dieser Systeme angeht, gleichgültig, ob der Angreifer ein Krimineller, ein Terrorist, ein ausländischer Staat oder wer auch immer ist", sagte der Minister. Anders als von der britischen Regierung geplant, will der Bund daher kein spezielles Programm gegen IT-Angriffe von Terroristen auflegen. Das sei nicht zielführend, sagte de Maizière und fügte hinzu: "Wir erhöhen die IT-Sicherheit der Bundesverwaltung und der kritischen Infrastruktur dieses Landes gegen Angriffe aller Art."


eye home zur Startseite
User_x 19. Nov 2015

http://hessenschau.de/gesellschaft/entwarnung-nach-hackerangriff-auf-weihnachtsmarkt...



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main
  2. Ratbacher GmbH, München
  3. AVL List GmbH, Graz (Österreich)
  4. HIT Hanseatische Inkasso-Treuhand GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Mal sehen, wie das bei den "echten deutschen...

    Geistesgegenwart | 10:51

  2. Re: "Vodafone sieht sich nicht betroffen"

    IkbalGs | 10:51

  3. Re: Was hat das mit "Die PARTEI" zui tun?

    Zeroslammer | 10:43

  4. Re: Und bei DSL?

    sneaker | 10:42

  5. Re: Der starke Kleber

    ArcherV | 10:36


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel