Abo
  • IT-Karriere:

BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

Die Sicherheitslage ist angespannt. Immer mehr Sicherheitsvorfälle werden dem BSI gemeldet. Die Zahlen sind jedoch wenig aussagekräftig.

Artikel veröffentlicht am , / dpa
Mehr Meldungen von Sicherheitsvorfällen bei kritischer Infrastruktur
Mehr Meldungen von Sicherheitsvorfällen bei kritischer Infrastruktur (Bild: Markus Spiske/Unsplash)

Betreiber kritischer Infrastruktur aus Bereichen wie Energie, Wasserwirtschaft und Telekommunikation in Deutschland haben 2018 mehr IT-Sicherheitsvorfälle gemeldet als im Jahr zuvor. Die Zahl der Meldungen habe sich allein im zweiten Halbjahr 2018 auf 157 erhöht, sagte ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) am 17. Februar 2019. Davon hätten 19 Meldungen den Energiesektor betroffen. Von Juni 2017 bis Ende Mai 2018 hatten das BSI 145 solche Meldungen erreicht, im Zeitraum davor waren es 34. Im zweiten Halbjahr 2018 gab es mehr Fälle als im Jahr davor. Zuerst hatte die Welt am Sonntag berichtet.

Stellenmarkt
  1. Schöck Bauteile GmbH, Baden-Baden
  2. Witt-Gruppe, Weiden in der Oberpfalz

Aus welchen Sicherheitsvorfällen sich die Zahl 157 zusammensetzt, bleibt jedoch unklar. Laut einem Sprecher des BSI handelt es sich nicht um die Anzahl der Cyberangriffe auf kritische Infrastruktur, sondern um alle IT-Sicherheitsvorfälle, zu welchen auch Störungen der IT-Infrastruktur etwa durch technische Fehler, kurzfristige Stromausfälle oder Störungen von Kommunikationskanälen zählen. Zudem geht das BSI von einer hohen Dunkelziffer aus, also Vorfälle, die der Behörde nicht gemeldet wurden. Viele Versorger würden Sicherheitsvorfälle geheim halten, da sie Imageschäden befürchteten. Die Sicherheitslage im Bereich der kritischen Infrastruktur sei nach wie vor auf angespannt hohem Niveau.

Prozessleitsysteme von Klär- und Wasserwerken im Internet

Eine Meldepflicht besteht nur für Angriffe auf Anbieter kritischer Infrastruktur, darunter fallen Klär- und Wasserwerke jedoch erst ab einer bestimmten Größe. Die Golem.de-Autoren und Betreiber der Internetwache.org Sebastian Neef und Tim Philipp Schäfers konnten Ende vergangenen Jahres über 100 Prozessleitsysteme von Klär- und Wasserwerken im Internet finden. Über diese lassen sich sensible Informationen einsehen und zum Teil die komplette Anlage fernsteuern. Bei mehreren Prozessleitsystemen war der Benutzername bereits vorausgefüllt und mit dem Passwort identisch. Jede beliebige Person mit einem Internetanschluss hatte theoretisch Zugriff auf die Steuerung der Klär- und Wasserwerke, in einem Fall sogar mit vollen Administrationsrechten. Besondere Hacking-Kenntnisse waren dazu nicht nötig.

Ihre Funde meldeten Neef und Schäfers dem BSI, welches die "IT-Bedrohungslage" im Bereich Wasser von "Grau" auf "Gelb" anhob. Das BSI informierte die Anlagenbetreiber - innerhalb von 48 Stunden waren die Lücken behoben. "Die Zusammenarbeit mit den Betreibern kritischer Infrastrukturen funktioniert gut, die Meldeprozesse haben sich etabliert", schreibt das BSI auf Twitter.

Weniger gut funktioniert die Zusammenarbeit mit Sicherheitsforschern. "Das BSI ist extrem zurückhaltend mit Zahlen rund um kritische Infrastrukturen oder gemeldete Angriffe. Sogar in Fällen, in denen man selbst Informationen zu Sicherheitslücken weitergegeben hat, erhält man nur schleppend Informationen zum Status einer Meldung", kritisiert Schäfers. Für Sicherheitsforscher wie Schäfers, die sich um die Sicherheit des Internets und der Infrastruktur sorgen, erleichtert dies die Arbeit nicht gerade. Selbst wie viele Anlagen in welchem Bereich als kritische Infrastruktur betrachtet würden, veröffentliche das BSI nicht. Es gebe nur eine Gesamtzahl, mit der man wenig anfangen könne. "Das BSI muss endlich solide und belastbare Zahlen veröffentlichen, mit denen Sicherheitsforscher arbeiten können", fordert Schäfers.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)

Kelran 18. Feb 2019

Falls die Sicherheitslage angespannt sein sollte - und das ist ein sehr großes "falls...


Folgen Sie uns
       


Festo Bionic Softhand und Softarm angesehen

Die Bionic Softhand ist ein robotischer Greifer, der der menschlichen Hand nachgebildet ist. Das Unternehmen Festo präsentiert sie auf der Hannover Messe 2019.

Festo Bionic Softhand und Softarm angesehen Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


      •  /