Zum Stand der IT-Sicherheit in Deutschland

Ein Absturz.

Auch Epoch Times berichtet über den IT-Ausfall in NRW. Das ist an sich nichts Neues, das Thema hatten wir ja schon.

Darin aber:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, dass durchschnittlich pro Monat zwei Kommunen oder kommunale Unternehmen von solchen Hackerangriffen betroffen sind. Innerhalb von zwölf Monaten seien bis Mitte dieses Jahres bundesweit Kommunen mit fast sechs Millionen Einwohnern betroffen gewesen.

„durchschnittlich pro Monat zwei Kommunen oder kommunale Unternehmen von solchen Hackerangriffen betroffen”.

Darin der Link auf den Lagebericht des BSI.

Ransomware ist und bleibt die größte Bedrohung

Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.

Wie die Realwirtschaft setzen auch Cyberkriminelle zunehmend auf Arbeitsteilung, einen wachsenden Dienstleistungscharakter und eine enge Vernetzung über Länder- und Branchengrenzen hinweg. Mit dem Konzept des „Cybercrime-as-a-Service“ agieren Cyberkriminelle immer professioneller, denn die Spezialisierung auf bestimmte Dienstleistungen ermöglicht es ihnen, ihre „Services“ gezielt zu entwickeln und einzusetzen.

Das BSI registriert immer mehr Schwachstellen in Software. Diese Schwachstellen sind oft das Einfallstor für Cyberkriminelle auf ihrem Weg zu einer Kompromittierung von Systemen und Netzwerken. Das BSI hat mit durchschnittlich knapp 70 neuen Schwachstellen in Software-Produkten pro Tag nicht nur rund ein Viertel mehr registriert als im Berichtszeitraum davor. Mit der Anzahl stieg auch ihre potenzielle Schadwirkung: Immer mehr Lücken (etwa jede sechste) werden als kritisch eingestuft.

Haben Sie auch als Download: Die Lage der IT-Sicherheit in Deutschland 2023

Bleibt aber recht oberflächlich, damit mit Vorwort von Nancy Faeser, der Cyber-Ikone der Bundesregierung.

Heißt: Land unter und immer mehr Bedrohungen und Lücken, und kein Verteidigungskonzept.

Keine Methode der Ab- und Gegenwehr. Ihnen fällt nichts ein.

Dabei wäre das gar nicht mal so schwer, Maßnahmen zu ergreifen. Wasserdicht und hundertprozentig wird man es nicht bekommen, aber eine gewisse Resistenz und auch eine Schadensbegrenzung bekommt man hin. Wenn man seine Dienste ordentlich strukturiert, und über APIs und sorgfältig gebaute Webschnittstellen anbietet, sind die praktisch resistent gegen ransomware, weil die normalerweise die Arbeitsplätze befällt und die Angriffsvektoren auch auf die Arbeitsplätze abzielen. Und (Not-)Arbeitsplätze, die nur einen Browser anbieten, bekommt man ziemlich gut und stabil hin, vor allem mit einer Auswahl an Betriebssystemen. ChromeOS zeigt recht gut, wie so etwas gehen kann. Ubuntu hat für die nächste Release ein (zunächst experimentelles) monolithische und als ganzes Image aktualsiertes Desktop-Image an. Für die Authentifikation gibt es Token, die durch einen verseuchten Rechner nicht kompromittiert werden können. Selbst in einer völlig ransomware-verseuchten Umgebung sollte es damit eigentlich möglich sein, die wesentlichen Funktionen stabil anzubieten. Und das verblüffenderweise sogar mit vergleichsweise billigen Rechnern, denn man braucht nicht viel, um mit einem Browser ein paar Formulare auszufüllen.

Eigentlich ist das bekannte und – von anderen, nicht von uns – beherrschte Technik.

Wir sind aber zu doof.

Statt uns um IT-Sicherheit und stabile Systeme zu kümmern, haben wir die letzten 30 Jahre damit verbracht, die Begriffe zu gendern, die Sprache gerecht zu machen und die Quote durchzusetzen.

Hätten wir Ahnung von IT und Grips in der Birne, hätten wir längst einen Laden, der solche monolithisch aktualisierten Betriebssysteme – wie man sie von ChromeOS, Ubuntu Core, Fedora CoreOS kennt, so etwas gibt es schon seit Jahren – erzeugt und Varianten für Behörden, Gerichte, Schulen/Schüler/Lehrer produziert.

Das können wir aber nicht, weil wir als Deutsche und Europäer schlicht zu doof dazu sind. Wir sind gut darin, aufzulisten, wer sich von einem Betriebssystem alles diskriminiert fühlen soll und dass das nur wieder ein Werk alter weißer Männer und total ungerecht ist.

Und deshalb lagern wir einfach alles an Microsoft aus und haben Kisten mit Windows, die keiner durchblickt.