Sie sind hier:

Experten - IT-Sicherheit in Deutschland "desaströs"

Datum:

Alarmstufe Rot hat das Bundesamt für Sicherheit in der Informationstechnik verhängt. Die Situation sei extrem kritisch. Das ist sie in der IT-Sicherheit schon seit vielen Jahren.

Netzwerk-Kabelstecker
Sicherheitsexperten bewerten den Stand der IT-Sicherheit in Deutschland als desaströs.
Quelle: dpa

Seit Freitag steigt die Zahl der digitalen Angriffe auf Exchange-Server auch in Deutschland. Zwar sind bei mehr als 35.000 der insgesamt 60.000 direkt verwundbaren Server mit kritischen Sicherheitslücken inzwischen die Sicherheitsupdates von Microsoft eingespielt. Doch das reicht häufig nicht.

Digitale Angriffe fordern heraus

"Zehn kriminelle Organisationen nutzen die Schwachstellen gegenwärtig für ihre Angriffe aus", hat Michael Dwucet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt. Und die organisierte Kriminalität hat inzwischen auch bei den mit Sicherheits-Updates versehenen Servern Hintertüren eingebaut - und Schadsoftware eingespielt.

Der Computerwissenschaftler Professor Hartmut Pohl bringt die übereinstimmende Bewertung der Experten auf den Punkt:

Die Situation ist desaströs.
Hartmut Pohl

Jetzt rätseln Sicherheitspolitiker und Behörden, wie es denn nur zu einer so massiven Gefährdung der IT-Infrastruktur kommen konnte, zu der die Sicherheitslücken bei den Exchange-Servern von Microsoft geführt haben.

Verschiedene Ursachen für Sicherheitsversagen - darunter auch die Pandemie

Darauf gibt es gleich mehrere Antworten, weil es viele Ursachen für dieses Sicherheitsversagen gibt. "Wegen der Pandemie haben viele Unternehmen ihre Exchange-Server direkt verfügbar gemacht", erläutert Robert Formanek vom BSI. Dabei wurde dann auf die eine oder andere im Unternehmen selbst vorgesehene Absicherung verzichtet. Und so wurden die Exchange-Server zum Angriffsziel.

Das haben verschiedene Firmen- und Behördenleitungen zum Anlass genommen, die Schuld für das Sicherheitsdesaster auf die Systemadministratoren zu schieben. Die hätten einfach nicht ordentlich abgesichert.

Für Updates fehlt die Zeit

Doch die Systemadministratoren-Seite gab sofort zurück: Wir haben so weit abgesichert, wie wir konnten. "Ich habe pro Monat ungefähr eine halbe Stunde fürs Einspielen von Sicherheitsupdates, da fehlt massiv Zeitbudget für eine ordentliche Sicherheitsstrategie", meint etwa der Rathaus-Systemadministrator einer mittelgroßen Stadt in Baden-Württemberg.

Auch Manuel Atug von der AG Kritis, die sich um kritische Infrastrukturen kümmert, bestätigt das Problem:

Schwachstellen zu schließen, Updates aufzuspielen, die Systeme auf dem aktuellen Stand zu halten, kostet Geld, aber es gibt keinen Anreiz dafür.
Manuel Atug

Atug: "Es gibt kein Mindesthaltbarkeitsdatum für Software"

Er berichtet von einem BSI-Webinar, in dem die Frage aufkam, ob es noch für Exchange 2007 einen Patch geben wird. Microsoft unterstützt das Produkt seit mehreren Jahren nicht mehr.

"Es gibt kein Mindesthaltbarkeitsdatum für Software, wie es der Chaos Computer Club berechtigt fordert", kritisiert Atug. Spätestens nach der offiziellen Information durch die Sicherheitsanalysten des IT-Sicherheitsunternehmens Devcore am 5. Januar 2021 hätte Microsoft sich um die Exchange-Sicherheitslücken kümmern müssen.

Die US-Regierung warnt vor einem Cyber-Angriff wegen einer Sicherheitslücke im E-Maildienst Exchange. Sicherheitsexperten vermuten eine chinesische Hackergruppe hinter dem Angriff.

Beitragslänge:
1 min
Datum:

Auch Behörden haben versagt: Kaum Druck auf Software-Hersteller

Passiert ist aber nicht viel. Hier hat auch die Aufsicht der Behörden versagt. Das wiederum liegt an aufgesplitterte Zuständigkeit der für IT-Sicherheit verantwortlichen Behörden. "Das verhindert eine wirkungsvolle Sicherheitsstrategie von vornherein", urteilt Manuel Atug.

Neben dem Bundesamt für Sicherheit in der Informationstechnik sind auch diese Behörden zuständig:

  • Nationales Cyber-Abwehrzentrum
  • Nationaler Cyberrat
  • Bundeskriminalamt
  • 16 Landeskriminalämter
  • Bundesamt und Landesämter für Verfassungsschutz
  • Kommando Cyber- und Informationsraum der Bundeswehr
  • Cyber-Schlapphüte vom Bundesnachrichtendienst

Und alle diese Behörden arbeiten oft in Konkurrenz zueinander. Der Politikwissenschaftler Jakob Kullik von der Technischen Universität Chemnitz hat das bereits im Jahr 2014 in einer viel beachteten wissenschaftlichen Analyse als "vernetzte Unsicherheit" bezeichnet.

AG-Kritis-Sprecher Manuel Atug spricht von einem "Wimmelbild der Verantwortungsdiffusion". Und diese Wimmelei sorgt dann letztlich dafür, dass die Software-Hersteller nicht ausreichend in die Pflicht genommen werden.  

Das Logo von Microsoft. Archivbild

Exchange-Sicherheitslücke - Angriff über die Mail 

"Sofortiges Handeln notwendig", fordert das Bundesamt für Sicherheit in der Informationstechnik. Gleich über mehrere Sicherheitslücken greifen Kriminelle Exchange-Server an.

von Peter Welchering
Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Sie haben sich mit diesem Gerät ausgeloggt.

Sie haben sich von einem anderen Gerät aus ausgeloggt, Sie werden automatisch ausgeloggt.

Ihr Account wurde gelöscht, Sie werden automatisch ausgeloggt.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.