Ereignisreiches Jahr 2022: Das geschah in der IT-Sicherheit 

Der PROTECTOR erstellt seinen Jahresrückblick zur IT-Sicherheit traditionell in den ersten Tagen des Januars. Das hat gute Gründe, denn erst dann treffen die Nachrichten aus der Zeit unmittelbar vor und nach den Festtagen ein.

Ende 2022 gerieten zwei außerordentlich wichtige Meldung in die Gefahr, im Weihnachtstrubel vergessen zu werden. Ein schwerer Angriff auf eine deutsche Stadtverwaltung in Potsdam und das Eingeständnis der Versicherungswirtschaft, dass IT-Katastrophen von der Versicherungswirtschaft in Zukunft allein nicht zu bewältigen sind.

Ähnlich Kriegen, Naturkatastrophen oder Atomunfällen wäre das finanzielle Risiko zu groß. Hier sei nun der Staat gefragt,  sagte Ende 2022 der Chef der Zürich Versicherungen, Mario Greco der „Financial Times“. Der Oberste Gerichtshof des US-Bundesstaates Ohio hatte bereits zuvor entschieden, dass bei Ransomware-Attacken, die nur Software betreffen, der traditionelle Versicherungsschutz nicht greift. Software und Daten seien immaterielle Produkte, die von klassischen Versicherungen nicht abgedeckt würden, so die Begründung.

Es geht aber eben nicht nur um Daten. Cyberangriffe gefährden auch das Leben und die Gesundheit von Menschen. Für den Chef der Zürich Versicherung wird so eine Grenze des „von der Privatwirtschaft versicherbaren“ überschritten. „Privat-öffentliche Systeme“ sollen an die Stelle der Gewinnorientierten Versicherungswirtschaft treten. Für solche halbstaatlichen Versicherungen gibt es in Deutschland Vorbilder, etwa die Versicherung gegen Elementarschäden. 

Bislang hatte sich die IT eine Sonderstellung gesichert. Während bei Straftaten die Polizei und damit der Staat eingreift und bei Bränden wie selbstverständlich die Feuerwehr anrückt, bestand die IT-Industrie auf privatwirtschaftlichen Lösungen. Auch bei schweren Angriffen sollten ausschließlich Beraterfirmen mit ihrem Personal den Schaden  beheben dürfen. Gleiches gilt für die Prävention. Nur in Ausnahmefällen darf das staatliche BSI direkt tätig werden. Kein Einzelfall. Nirgendwo auf der Welt existiert bislang eine Cyber-Feuerwehr. 

Angriffe auf die IT können in ihrer Wirkung durchaus die Dimension von Naturkatastrophen erreichen, vor allem wenn wichtige Rechenzentren betroffen sind. 2021 wurde im  Landkreis Anhalt-Bitterfeld sogar erstmals der Cyber-Katastrophenfall ausgerufen, da nach einer Ransomware-Attacke die Verwaltung zusammengebrochen war. Wie viele Unternehmen von Ransomware Angriffen betroffen waren, ist reine Spekulation. Rund die Hälfte, so Insider, zahlt, um die Daten wiederzubekommen und weiteverarbeiten zu können.

Dank besserer Schulung sank der Anteil der von Ransomware betroffenen Betriebe. Ransomware-Attacken haben in 12 % der befragten Unternehmen Schäden verursacht, das ist nach dem Rekordjahr 2021 mit 18 % ein deutlicher Rückgang. „Bei Ransomware gilt: Durch technische Vorkehrungen und Schulung der Beschäftigten lassen sich Angriffe abwehren. Und wer aktuelle Backups zur Verfügung hat und einen Notfallplan aufstellt, der kann den Schaden einer erfolgreichen Attacke zumindest deutlich reduzieren“, so Bitkom-Präsident Achim Berg.

Die Angreifer gehen zunehmend hybrid vor, indem sie sich mittels Social Engineering Informationen zum Beispiel über Telefonanrufe beschaffen, die dann später für den eigentlichen Cyber-Angriff genutzt werden. Hat der Verschlüsselungstrojaner dann zugeschlagen, wird nicht nur Lösegeld für die Entschlüsselung verlangt, sondern auch angedroht, ohne entsprechende Zahlungen die gestohlenen Informationen im Internet zu veröffentlichen. Wer nicht kooperiert, dem geht es wie dem hessischen Energieversorger Entega. 

Kriminelle veröffentlichten nach einem Cyberangriff Kundendaten im Darknet. Es handele sich dabei vor allem um Namen, Anschriften, Telefonnummern und Verbrauchsdaten, in einigen Fällen aber auch um Bankverbindungen. Betroffen sind nach Angaben des Unternehmens wohl ein Großteil der 700 000 Vertragskunden. Ermittler sprechen von einer "hochprofessionellen Gruppe von Cyberkriminellen", vermutlich aus Russland.  Neben dem Darmstädter Energieversorger Entega waren auch das Verkehrsunternehmen Heag, die Frankfurter Entsorgungs- und Service-Gruppe (FES) und die Mainzer Stadtwerke sowie der Mainzer Nahverkehr betroffen. Die Grenze zwischen Cyberangriff und Angriff auf die Kritische Infrastruktur vermischen sich hier, denn eine von Ransomware verschlüsselte IT ist nicht mehr funktionsfähig. Probleme bei der Müllentsorgung und eine Ausdünnung des Fahrplans im Mainzer Nahverkehr waren die Folge.

Nach einem Cyberangriff Ende 2022 kappte die Stadtverwaltung von Potsdam notgedrungen die Verbindung zum Internet und setzte ihre IT neu auf. Es ist nicht der erste Angriff dieser Art. Nach einem ähnlichen Ereignis Anfang 2021 benötigte die Verwaltung in Potsdam laut Tagesspiegel ein Jahr, um wieder voll funktionsfähig zu werden. Mehr Personal in der IT der Stadt sollten ähnliche Vorfälle verhindern, was offensichtlich nicht gelang. Für die Bürger bedeutet dies, dass viele Dienstleistungen der Verwaltung bis auf weiteres nicht verfügbar sind. Einen Monat zuvor waren in den USA  einer Klinik in Louisiana nach einer Ransomware-Attacke 269.752 Patienten-Daten gestohlen worden. Darunter die in den USA sehr wichtigen Sozialversicherungsnummern. Der Betrieb konnte jedoch weitergehen. Weit schlimmer traf es ein Krankenhaus in Versailles in Frankreich. Bach einem Cyberangriff mussten Operationen abgesagt und Patienten verlegt werden. Die Angreifer suchen sich als Opfer gezielt zahlungskräftige Unternehmen oder Behörden aus.

Laut einer Ende im Dezember veröffentlichen Umfrage des Branchenverbandes Bitkom sind drei Viertel der deutschen Internetnutzer schon einmal Opfer von Cyberkriminellen geworden. Wie hoch die Dunkelziffer ist, bleibt Spekulation. Viele Privatpersonen, aber auch Unternehmen realisieren erst spät oder nie auf Datendiebstahl. Nur 22 % der Privaten Nutzer gaben 2022 an, gar keine Erfahrungen mit Schadsoftware oder Betrug gemacht zu haben. 2019 lag der Anteil dieser Unbehelligten noch bei 40 %. Im privaten Umfeld spielt Ransomware fast keine Rolle. Nur 1 % der befragten berichten laut Bitkom von entsprechenden Angriffen.

Die zwangsweise Versetzung des ehemaligen BSI-Chefs Schönbohm durch die Innenministerin Nancy Faeser könnte auch 2023 noch Wellen schlagen. So forderte inzwischen der BSI-Personalrat nähere Erklärungen für die Entscheidung, ihren früheren Chef an die Spitze der eher bedeutungslosen Bundesakademie für öffentliche Verwaltung zu versetzen.  Schönbohm selbst will die Vorgänge gerichtlich klären lassen. Faeser untersagte bekanntlich Schönbohm am 18. Oktober, die Amtsgeschäfte des BSI-Präsidenten weiterzuführen. Allerdings ohne ausführliche Begründung. Ein in der Geschichte der Behörde beispielloser Vorgang. Einen neuen Präsidenten hatte das BSI auch Anfang Januar 2023 noch nicht.

Wenn Hacker eine Sicherheitslücke finden, schlagen sie zu. So stahlen sie Twitter eine Datenbank mit 235 Millionen Twitter-Konten. Darin enthalten die E-Mail Adressen der Nutzer. Da es nicht gelang, die Datenbank zu verkaufen, wurden sie im Darknet veröffentlicht. Nun dürften Kriminelle versuchen, die betroffenen Nutzer durch gefälschte Nachrichten von Twitter auf präparierte Internetseiten zu locken, um sie dort zu schädigen.

Ein völlig neues Risiko erwuchs den Rechenzentren 2022 durch die sprunghaft gestiegenen Energiekosten, die vor allem Anbieter von Co-Location-Rechenzentren vor Herausforderungen stellten. Anbieter ohne langfristige Verträge fürchten um ihre Existenz. 

Auch Sicherheit hat ihren Preis. Laut Branchenverband Bitkom gaben die Unternehmen im Jahr 2022 durchschnittlich 2 % mehr für IT-Sicherheit aus, als ein Jahr zuvor.

2022 war kein gutes Jahr für alle, die elektronischem Geld den Vorzug vor Münzen und Scheinen geben. In München begann am 8.Dezember 2022 der Prozess um den zusammengebrochene Finanzdienstleister Wirecard. Der Konzern spezialisierte sich auf mobile Bezahlsysteme und länderübergreifende Überweisungen. Laut Staatsanwaltschaft war schon seit Jahren Betrug im Spiel. Unternehmenschef Markus Braun und die Führungsriege sollen Anleger um 3,1 Milliarden Euro geschädigt haben.

Im November 2022 brach mit FTX die drittgrößte Kryptobörse der Welt zusammen. Wie in den Jahren zuvor bereits einige andere. Die Insolvenz löste ein gewaltiges Kursbeben bei Bitcoin & Co. mit enormen Verlusten aus. FTX Gründer Sam Bankman-Fried steht nun in den USA vor Gericht.  Das es immer wieder gelingt, Milliarden quasi aus dem nichts zu erschaffen, etliche Teile davon in die Taschen der Drahtzieher zu schleusen und anschließend eine breite Masse von Anlegern und Nutzern auf einem immensen finanziellen Schaden sitzen zu lassen, ist zumindest ein Hinweis auf mögliche Überwachungslücken. Auch fehlen Sicherungsfonds für Einlagen. Ruja Ignatovas 2019 zuammengebrochene Fake-Kryptowährung OneCoin scheint niemandem eine Warnung gewesen zu sein.  Viele deutsche Investoren realisierten 2022, dass ihr dort investiertes Kapital endgültig verloren ist.

Facebook Mutter Meta musste 2022 mit  725 Millionen Dollar die höchste Strafe bezahlen, die je nach einer  Datenschutz-Sammelklage gezahlt worden ist. Ein Hinweis, wie teuer ein laxer Umgang mit Nutzerdaten werden kann. Facebook hatte der Beratungsfirma  Cambridge Analytica unerlaubt Daten seiner Nutzer zur Verfügung gestellt, aus denen die Marketingspezilisten durch spezielle Computerprogramme Strategien für die Beeinflussung von Wählern kalkulierten. Über einem vermeintlichen Persönlichkeits-Test in dem sozialen Netzwerken des Konzerns gaben die Teilnehmer ihre Daten preis. Betroffen sollen 87 Millionen Menschen gewesen sein. Meta räumte bei dem Vergleich kein Fehlverhalten ein, wolle das über Jahre schwebende Verfahren aber beenden. Schon 2019 wurde der Konzern in gleicher Sache zu einer Strafe von fünf Milliarden US-Dollar verurteilt, zahlbar an die US-Handelsaufsicht Federal Trade Commission (FTC). Bei solch schwindelerregenden Summen muten die 390 Millionen Euro schon bescheiden an, die Facebook an die EU wegen unerlaubter, personenbezogener Werbung zahlen muss. Die Entscheidung der für Meta zuständigen, irische Datenschutzbehörde dürfte auch auf andere Internetkonzerne Auswirkungen haben, die versuchen, die EU-Datenschutzgrundverordnung (DSGVO) durch geschickte Klauseln ihrer Geschäftsbedingungen zu umgehen, indem sie die Nutzer indirekt zur Zustimmung zwingen. So etwas kann in Zukunft teuer werden.

Apple hatte 2022 mit Produktionsproblemen in China zu kämpfen, ausgelöst durch die Null-Covid-Politik der chinesischen Regierung und den sich rapide verschlechternden Beziehungen zwischen den USA und dem bevölkerungsreichsten Land der Welt. Apple will nun viel Geld in Indien investieren, einem Land, das in naher Zukunft über noch mehr Menschenmaterial als China verfügen wird. Apples größter Zulieferer Foxconn investiert dort 500 Millionen Dollar. Schon in zwei Jahren soll ein Viertel aller iPhones aus Indien stammen. Der Versuch der chinesischen Regierung, bei der Versorgung mit Chips der neuesten Generation durch eine 144 Milliarden Dollar Initiative unabhängiger von den USA und Taiwan zu werden, dürfte zunächst  gescheitert sein. Sehr zum Ärger des chinesischen Staatspräsidenten. Das Programm wurde wegen mangelnder Effizienz zunächst gestoppt und soll überarbeitet werden. Erzrivale Taiwan bleibt damit über Jahre Technologieführer. Auf Grund der zunehmenden politischen Spannungen will sich Europa nicht zu sehr von der dortigen Chipschmiede TSMC abhängig machen. Im Dezember konkretisierten sich Pläne für eine TSMC Fabrikationsstätte in Dresden. Auch Bosch will in Dresden investieren. Intel hingegen in Magdeburg. Alle Projekte sollen die Lieferketten entlasten und die Versorgungssicherheit erhöhen. Eine Lehre aus den Jahren 2021 und 2022: Zahlreiche Hersteller mussten ihre Produktion drosseln, weil wichtige Chips nicht verfügbar waren. Das soll sich möglichst nicht wiederholen. Doch bis eine Chipschmiede zuverlässig bei wenig Ausschuss funktioniert, dauert es etliche Jahre. Zur Jahreswende wurde zudem bekannt, dass sich der bereits sicher geglaubte Baustart für die Intel Fab verzögern wird. Die Firma vermisst noch rechtssichere Zusagen über die zugesagten Subventionen.  

Die Rezession trifft auch die Börsenlieblinge der vernetzten Welt. 2022 wurden Entlassungswellen bei den Internet Giganten Amazon (18.000) und Meta/Facebook (11.000) und Apple bekannt.

Wissenslücken bei Wikipedia zu stopfen ist weit bequemer, als zum Lexikon zu greifen. 2022 wurde bekannt, dass Staaten durchaus Wege gefunden haben, Inhalte in ihrem Sinne zu manipulieren. Missliebige Redakteure sollen in Saudi Arabien sogar zu Gefängnisstrafen verurteilt worden sein. 

Vor 2022 assoziierten die meisten Bundesbürger mit den Begriffen Drohne und KI ein fliegendes Spielzeug und selbstfahrende Autos. Der Ukraine Krieg zeigte, dass es sich auch um kriegsentscheidende Waffen handeln kann. Das Satellitennetzwerk Starlink von Elon Musk sollte ursprünglich nur Bewohner besiedelter Gebiete mit dem Internet verbinden. In der Ukraine ist es nun Teil der militärischen Infrastruktur geworden, gegen die russische Truppen vergeblich kämpfen. 

Das neue Jahr 2023 bringt neue Herausforderungen. Zum Beispiel für Nutzer von alten Windows-Versionen. So endet der Update-Service von Microsoft für Windows 8.1 am 10.Januar 2023. Von diesem Zeitpunkt an bleiben Sicherheitslücken offen. Auch die Gesetzeslage ändert sich. Praktisch alle Unternehmen sind von dem neuen NIS2 Gesetz betroffen, das alle EU-Staaten umsetzen müssen. Die „Drective on Security of Network and Information Systems“ (NIS-Richtlinie) wird vermutlich 2023 verabschiedet und 2024 oder 2025 Gesetzeskraft erlangen. Die neuen Regelungen sollen die Sicherheit stärken und enthalten umfangreiche Vorschriften für Unternehmen. Angesichts der langen Vorlaufzeiten dürfte 2023 der ideale Zeitpunkt sein, sich auf die neuen Regelungen einzustellen um in Punkto Risikoanalyse, Sicherheitskonzepten und internen Regeln für die Bewältigung von Zwischenfällen zu feilen. Eine Offenlegungspflicht von Schwachstellen wird diskutiert und verschärfte Schutzmaßnahmen strafbewehrt eingefordert.  Weit fortgeschritten sind auch Überlegungen zu einem weit gespannten  „AI Act“. Diese Gesetzessammlung soll praktisch alle Aspekte der Künstlichen Intelligenz regeln und empfindliche Strafen vorsehen. Ob 2023 eine Endfassung vorliegen wird, ist aktuell nicht absehbar. Da die Künstliche Intelligenz aber bei der Auswertung von Daten und der Steuerung von Geräten eine immer stärkere Rolle spielt, dürften vom AI Act auch Unternehmen betroffen sein, die dies heute noch nicht erwarten.

2022 war das erste Jahr, in dem Quantencomputer ganzjährig auch in Deutschland den Regelbetrieb aufnahmen. Im Juni 2021 hatten IBM und die Fraunhofer-Gesellschaft in Ehningen nahe Stuttgart das erste leistungsstarke Gerät der Öffentlichkeit vorgestellt. Zum Jahreswechsel 2023 veröffentlichten chinesische Wissenschaftler einen Algorithmus, der Mithilfe von Quantencomputern auch sicher geglaubte RSA Verschlüsselungen binnen kurzer Zeit brechen kann. Das Verfahren ist aber nicht unumstritten. Noch ist es für eine Bewertung zu früh. Doch sollte sich das Verfahren bewähren, wären zahlreiche Verschlüsselungssysteme sowie Siegel und digitale Unterschriften obsolet und müssten erneuert werden. Gute Gründe also, die IT-Sicherheit im Auge zu behalten. 

Bernd Schöne, freier Mitarbeiter PROTECTOR