Am 8. November 2017 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 vorgestellt. Er verdeutlicht einmal mehr die Gefahren, die mit der Digitalisierung einhergehen und damit gleichermaßen die Bedeutung, die der Daten- und IT-Sicherheit beigemessen werden muss.
Die Zahl von Cyberattacken ist tendenziell steigend. Vor allem aber warnt der Lagebericht des BSI davor, dass Cyber-Angreifer fast täglich neue Angriffsflächen und weitreichendere Möglichkeiten entwickeln, um an Informationen zu gelangen, sowie Geschäfts- und Verwaltungsprozesse zu sabotieren – regelmäßig in Verbindung mit Erpressungen (Ransomware) oder einer anderweitigen Bereicherung auf Kosten Dritter (bspw. durch CEO-Fraud-Angriffe, bei denen regelmäßig Mitarbeiter von Unternehmen als nichts ahnende Werkzeuge benutzt werden). Die Methoden seien immer leistungsfähiger und flexibler, wobei gleichzeitig keine ebenso ausgereiften Abwehrmaßnahmen gegenüber stünden, mithin sogar vorhandene Maßnahmen an Wirksamkeit verlieren würden. Im Fokus solcher Attacken stehen dabei laut des Lageberichts Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger.
Während viele Gefahren gegenüber dem Lagebericht von 2016 gleich geblieben sind, wie zum Beispiel Qualitätsmängel bei der Hard- und Software, die zu langsame Schließung aufgedeckter Sicherheitslücken, organisiert aufgebaute und betriebene Botnetze (bspw. aktuell Mirai-Botnetz) und die Verwendung von Ransomware, rückt eine besondere Vorgehensweise der Cyberkriminellen mehr und mehr in den Vordergrund: die Einbindung des Faktors „Mensch“. Social Engineering oder gezielte Phishing-Angriffe, bei denen einzelne Unternehmen oder Mitarbeiter adressiert werden haben laut dem Lagebericht zugenommen. Besonders viel Aufwand würden die Angreifer hier bei der Methode des CEO-Betrugs betreiben, einer Variante des Social Engineerings, bei dem Mitarbeiter – oft aus dem Finanz- und Rechnungswesen – kontaktiert werden, die Zugriff auf Geschäftskonten haben und durch Vorspiegeln falscher Tatsachen (bspw. einer Weisung durch den Vorgesetzten) zu Transaktionen von hohen Geldbeträgen verleitet werden.
Der Bericht kommt abschließend zu dem Ergebnis, dass viele der bekannt gewordenen IT-Sicherheitsvorfälle im untersuchten Zeitraum verdeutlicht haben, dass sich für eine „erfolgreiche IT-Sicherheit alle Akteure ihrer Verantwortung bewusst sein müssen“ und das BSI sich zu diesem Zweck insbesondere weiterhin für mehr Transparenz in diesem Segment einsetze.