Digitale Sicherheitslage in Deutschland

Digitale Sicherheit

Warum die Bundesrepublik Deutschland deutlich mehr Mittel in die Cybersicherheit investieren muss - und zwar schnell.

Da sich der digitale Wandel in allen Bereichen unseres Lebens fortsetzt, hängt die Fähigkeit Deutschlands, effektiv und möglichst störungsfrei zu funktionieren, immer mehr von der Cybersicherheit ab. Erst kürzlich war zu lesen, dass wir täglich mehrere Billionen Bytes an Daten erzeugen, und je mehr Daten wir generieren, desto größer ist das Risiko für unsere digitale Sicherheit.


Straftaten im Netz nehmen rasant zu

In Verbindung damit wächst permanent die Gefahr der Cyberkriminalität für jede Organisation - die Angriffe werden nicht nur häufiger, sondern in einigen Fällen auch deutlich gefährlicher. Darum versteht es sich fast von selbst, dass sich das Gesicht der organisierten Kriminalität verändert, wenn sie sich von der traditionellen Kriminalität zur Cyberkriminalität entwickelt.

Tatsächlich sind die Menschen heute mehr von online begangenen Straftaten betroffen, als jeder anderen Art von Kriminalität - das legen zumindest die verschieden Umfragen nahe. Aus denen geht hervor, dass mehr Erwachsene Opfer von Online-Kriminalität wurden, als von Gewalt, Diebstahl oder Raub.

Gefährdungslage Deutschlands ändert sich dramatisch

Darüber hinaus sind die Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und privater Sicherheitsdienste nicht mehr zu überhören, dass es nur eine Frage der Zeit sei, bis Deutschland mit einem schweren Cyber-Notfall konfrontiert wird, das heißt einem Cyber-Angriff, der eine nachhaltige Störung der Infrastruktur zur Folge hat.

Ein Angriff dieser Kategorie würde schwere wirtschaftliche und soziale Schäden bis hin zum Verlust von Menschenleben verursachen. Die Dinge haben sich ungemein weiter entwickelt, vom seltsamen, noch neugierig registrierten Virus vor 25 Jahren zu einer länderübergreifenden Bedrohung.

Ein Land, das schlecht vorbereitet ist?

Während neue Untersuchungen darauf hindeuten, dass Mehrzahl der deutschen Unternehmen ihre Ausgaben für Cybersicherheit in den letzten Jahren deutlich erhöht haben, werden die zu geringen Ausgaben des Staates beunruhigt wahrgenommen. Im Vergleich der Ausgaben verschiedener Staaten zeigt, dass Deutschland und auch die Europäische Union vergleichsweise wenig in die Cybersicherheit investieren.

Marktforschungsagenturen wie die International Data Corporation (IDC) oder Gartner Inc. schätzen den Weltmarkt für Cyber Security auf rund 80 Milliarden Dollar. Dabei entfällt ein Viertel auf die USA und die restlichen drei Viertel werden zum größten Teil von US-amerikanischen Sicherheitsfirmen versorgt. Das liegt auch daran dass die amerikanische Bundesregierung mehr für Cybersicherheit ausgibt, als alle anderen Regierungen der Welt. So verwundert es nicht, das von den Top-500 der Branche 364 Unternehmen aus den USA kommen.

Das auch kleinere Staaten viel tun können beweist die Nummer zwei in der Topliste. Dort ist Israel mit 34 großen Unternehmen vertreten, dessen Cybersicherheits-Industrie sich, dank der staatlichen Unterstützung, dynamisch weiterentwickelt. Die relative Zurückhaltung des deutschen Staates gefährdet wohl auch dessen Sicherheit.

Es gibt Hoffnung

Die gute Nachricht ist, dass Regierung und Organisationen in Deutschland endlich beginnen, die wachsende Bedrohung zur Kenntnis zu nehmen und zunehmend in den Schutz ihrer selbst investieren. Spätestens nach den Auswirkungen des WannaCry-Virus 2017 wurden zahlreiche Initiativen zu mehr Cybersicherheit ergriffen.

Zu den empfohlenen und vorangetriebenen Sicherheitsmaßnahmen gehört, dass alle nahezu alle Institutionen und Verbände auf das Betriebssystem Windows 10 zugreifen und es regelmäßig patchen können, Upgrades auf Firewalls und Netzwerkinfrastrukturen sowie die Befähigung der Aufsichtsbehörden, Cyber- und Datensicherheitsstandards zu überprüfen. Das IT-Lage und Analysezentrum ist zu einem IT-Krisenreaktionszentrum herangewachsen, welches dazu beiträgt, Angriffe und Verstöße schnell zu erkennen und zu beheben und mit dem Computer Emergency Response Team für Bundesbehörden kann Schäden vorgebeugt und im Angriffsfall schnell reagiert werden. Das sind alles wirklich positive Zeichen.

Aber ist das genug? Das uralte Problem der sogenannten Sicherheitsökonomie wird weiterhin gedeihen. Das heißt, was ein akzeptables und vernünftiges Investitionsniveau in den Sicherheitsschutz ist, wird mit der Risikoakzeptanz jedes einzelne Unternehmen und jede Organisation des öffentlichen Sektors abgewogen. Sicherheitsexperten kritisieren immer wieder Unternehmen und Regierungen für die Festlegung eines Sicherheitsbudgets, bevor die Sicherheitsstrategie festgelegt wurde. Das sind Probleme, die in vielen Organisationen erkannt und entsprechend priorisiert werden müssen.

Immer ausgefeiltere Angriffe

Die Herausforderung bei der Beurteilung der Sicherheitslage anhand von Statistiken und Durchschnittswerten, besteht darin, dass Cyber-Kriminalität rücksichtslos und unvorhersehbar ist. Sich selbst zu schützen ist keine einmalige Aufgabe; es muss ein Prozess sein der eine ständige Priorität hat und sich mit der Bewegung von Zielen, der Entwicklung von Politiken und der Veränderung von Budgets zu befasst und darauf unmittelbar reagiert.

Denn auch Cyberkriminelle werden immer besser. Mit Dingen wie fortschrittlichen Phishing-Techniken werden Angriffe aus der Ferne auf intelligente Geräte wie Thermostate, Fernseher und Kameras sowie Malware in mobilen Anwendungen immer häufiger. Cyberkriminelle haben sich entwickelt, und so müssen sich auch Unternehmen entwickeln.

Sicherheit ist kein Add-on

Das Öffnen der Tür zur digitalen Welt von morgen, mittel 5G und dem Internet der Dinge, kann in den Unternehmen Wunder bewirken, aber nicht, wenn man die Tür offen gelassen wird. Das Auslagern von Infrastrukturen, die Änderung der Art und Weise, wie Daten gespeichert und gemeinsam genutzt werden, und die Ermöglichung einer größeren Konnektivität zwischen einer Vielzahl von Geräten können Unternehmen neuen Bedrohungen aussetzen, wenn sie nicht die entsprechenden Vorsichtsmaßnahmen treffen. Das große Risiko bei der digitalen Transformation besteht darin, dass der Angriffsvektor jetzt viel größer ist. Daten sind überall, und sie sind nicht mehr hinter Firewalls versteckt.

Ein größerer Zugriff von mehr Geräten bedeutet, dass sich Unternehmen etwas weniger auf die Burgmauern, sprich das Rechenzentrum und seinen Umfang, als auf den Schatz in der Truhe konzentrieren müssen, nämlich die tatsächlichen Geschäftsdaten. Ganz konkret heißt das, dass vor allem das Nachdenken über Zugriffsmanagement, Data Loss Prevention (DLP), Verschlüsselung, robuste Multi-Faktor-Authentifizierung zukünftig Priorität haben muss.

Zu viele Unternehmen betrachten Sicherheit nach als die letzte Stufe der Transformation. Sie bauen die Burg und fügen dann den Graben hinzu. Aber Sicherheit ist keine eigenständige Ebene, die über bestehende Operationen gestellt werden kann. Es ist kein Schalter zum Umschalten. Sie muss so früh wie möglich in Kultur und Prozesse eingewoben werden. Es ist klar, dass deutsche Unternehmen anfangen müssen, Risiken für die Cybersicherheit mit mehr Überzeugung anzugehen - und das bedeutet mehr als nur die Bereitstellung der neuesten Sicherheitssoftware. Bei der Investition von Ressourcen in Sicherheit geht es um Planung und Menschen, ebenso wie um Plattformen.

Der wichtigste Faktor gegen die Cyberkriminalität: Der Mensch

Eines der wichtigsten Elemente eines Investitionsplans für die Cybersicherheit ist die interne Schulung. Benutzer sind die größte Bedrohung für die Sicherheit eines Unternehmens; es wird angenommen, dass mehr als 95 Prozent der Sicherheitsvorfälle durch menschliches Versagen verursacht werden. Viele Anwender in einem Unternehmen glauben immer noch, dass der Schutz vor Cyber-Bedrohungen in der Verantwortung der IT-Abteilung liegt. In Wirklichkeit können Sicherheitssysteme nur dann ausreichend viel bewirken, wenn die Endbenutzer vollständig und immer aktuell über alltägliche Risiken informiert sind, wie zum Beispiel die Links in Spam-E-Mails oder das Sichern ihrer Konten mit dem gleichen Passwort, das sie seit einer Ewigkeit verwenden.

Unserer Meinung nach ist eines der wichtigsten Dinge, die ein Unternehmen tun kann, um sich angesichts der zunehmenden Sicherheitsbedrohungen zu schützen, eine grundlegende Veränderung an seinen Arbeitsplätzen einzuleiten. Unternehmen müssen in Schulungen, internes Messaging und Prozessänderungen investieren, die die Cybersicherheit als ein Wir-Thema und nicht als ein abstraktes Thema positionieren. Mitarbeiter müssen verstehen, dass Cyber-Bedrohungen nicht durch eine einzige, mythische Pipeline hinter ihren Firewalls kommen, sondern von allen Seiten, an allen Fronten.

Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen müssen Unternehmen in der Art und Weise, wie sie ihre Mitarbeiter ausbilden, reaktiver sein. Es reicht nicht aus, wenn die Mitarbeiter einmal im Jahr eine Liste von Regeln lesen und unterschreiben. Es ist genauso wichtig, Menschen zu patchen wie Software. Unternehmen sollten regelmäßig prägnante und informative Aktualisierungen verteilen, um sicherzustellen, dass alle Mitarbeiter über neue Trends oder bekannte Bedrohungen informiert sind. Nur so können Sie wissen, auf was sie achten müssen. Der Kampf gegen Cyber-Bedrohungen wird nicht nachlassen. Es ist an der Zeit, dass Unternehmen klug in ihre Verteidigung investieren oder mit mehr als nur ihrem Geld bezahlen müssen.

Stand, September 2019

Aktuelles zur Datensicherheit

Verpasse nichts zum Thema Anti Malware, Phishing, Rechtliches und Co.

Heise berichtet: Computervirus 2.0: Nostalgie trifft moderne Malware-Features in freier Wildbahn
Heise berichtet: Computervirus 2.0: Nostalgie trifft moderne Malware-Features in freier Wildbahn

18.02.2020 - Alte Verbreitungstechnik in neuem Gewand, Malware-Analysten haben einen neuen Schädling entdeckt, der auf Altbewährtes setzt.

Mehr erfahren

Heise berichtet: Firefox: Neue Version 73 liefert wichtige Security-Patches mit
Heise berichtet: Firefox: Neue Version 73 liefert wichtige Security-Patches mit

13.02.2020 - Die neu erschienene Version des Firefox-Browsers wurde von ihren Entwicklern gegen mehrere Schwachstellen abgesichert.

Mehr erfahren

Vice berichtet: How Big Companies Spy on Your Emails
Vice berichtet: How Big Companies Spy on Your Emails

13.02.2020 - Multiple confidential documents obtained by Motherboard show the sort of companies that want to buy data derived from scraping the contents of your email inbox.

Mehr erfahren

Heise berichtet: Ransomware legt mit veraltetem Gigabyte-Treiber Viren-Scanner lahm
Heise berichtet: Ransomware legt mit veraltetem Gigabyte-Treiber Viren-Scanner lahm

13.02.2020 - Sicherheitsforscher haben eine neue Methode beobachtet, wie Angreifer den Weg für eine Infektion mit einem Erpressungstrojaner freimachen.

Mehr erfahren

WeTransfer Phishing E-Mails unterwegs
WeTransfer Phishing E-Mails unterwegs

11.02.2020 - Aktuelle Phishing Attacke mit WeTransfer E-Mails unterwegs. Wichtige Merkmale zur Identifikation sind Absender und gefälschter Inhalt.

Mehr erfahren

Heise berichtet: Mail-Fehler in macOS erlaubte Mitlesen verschlüsselter Nachrichten
Heise berichtet: Mail-Fehler in macOS erlaubte Mitlesen verschlüsselter Nachrichten

11.02.2020 - In macOS 10.15.3 hat Apple endlich einen Bug gefixt, der geschützte E-Mails offenlegte. Schuld war die Sprachassistentin Siri.

Mehr erfahren

Heise berichtet: Nur noch HTTPS: Chrome blockiert unsichere Downloads
Heise berichtet: Nur noch HTTPS: Chrome blockiert unsichere Downloads

10.02.2020 - Chrome lässt künftig nur noch Downloads via HTTPS zu, sofern sie von einer HTTPS-Seite gestartet werden.

Mehr erfahren

Heise berichtet: Patchday Android: Googles monatlicher Patientenbesuch
Heise berichtet: Patchday Android: Googles monatlicher Patientenbesuch

10.02.2020 - Verschiedene Android-Versionen sind über unter anderem als kritisch eingestufte Sicherheitslücken angreifbar. Updates schließen die Schwachstellen.

Mehr erfahren

Heise berichtet: Abmahnungs-Welle: Vorsicht vor Spam-Mails von
Heise berichtet: Abmahnungs-Welle: Vorsicht vor Spam-Mails von "realen" Anwälten

10.02.2020 - Wer dieser Tage eine Mail über vermeintliche Copyright-Verletzungen bekommt, sollte darin keine Links anklicken.

Mehr erfahren

Heise berichtet: WhatsApp für iPhone und Desktop: Kombi-Lücke erlaubte unbefugten Dateizugriff
Heise berichtet: WhatsApp für iPhone und Desktop: Kombi-Lücke erlaubte unbefugten Dateizugriff

06.02.2020 - Wer WhatsApp fürs iPhone in Kombination mit der Desktop-Variante nutzt, sollte aufgrund einer Sicherheitslücke mit "High"-Einstufung zügig updaten.

Mehr erfahren

Heise berichtet: Kritische Schwachstellen in macOS – Updates einspielen
Heise berichtet: Kritische Schwachstellen in macOS – Updates einspielen

03.02.2020 - Apple hat Sicherheitslücken behoben, die entfernten Angreifern die Übernahme von Macs ermöglichen können. Das Risiko wird als hoch eingestuft.

Mehr erfahren

t3n berichtet: Google Maps Hacks: Berliner Künstler macht die Straßen autofrei
t3n berichtet: Google Maps Hacks: Berliner Künstler macht die Straßen autofrei

03.03.2020 - Mit einem Handkarren und 99 Smartphones sorgt ein Berliner Künstler für virtuellen Stau – und für eine leere Straße.

Mehr erfahren

Heise berichtet: US-Bürgerrechtler: App zu Amazons Ring-Kameras ist große Datenschleuder
Heise berichtet: US-Bürgerrechtler: App zu Amazons Ring-Kameras ist große Datenschleuder

Ring-Videoklingeln teilen heimlich via Android-App zahlreiche auch sensibelste Informationen über die Nutzer mit Facebook und großen Tracking-Firmen.

Mehr erfahren

Mactechnews berichtet: Avast verkauft Nutzerdaten im großen Stil – ohne Anwender ausreichend zu informieren
Mactechnews berichtet: Avast verkauft Nutzerdaten im großen Stil – ohne Anwender ausreichend zu informieren

Avast sieht sich mit Vorwürfen der umfassenden Weitergabe von Nutzerdaten an Drittunternehmen konfrontiert. Der Anbieter von Antiviren-Software für Mac, PC und Mobilgeräte soll sensible Anwenderdaten verkauft haben.

Mehr erfahren

Heise berichtet: Microsoft leakt 250 Millionen Einträge aus Kundendatenbank
Heise berichtet: Microsoft leakt 250 Millionen Einträge aus Kundendatenbank

Aufgrund von Fehlkonfigurationen hätte im Grunde jedermann auf vertrauliche Support-Daten von Microsoft-Kunden zugreifen können.

Mehr erfahren

Heise berichtet: Safari: Google nennt Details zur Lücke in Apples Trackingschutz
Heise berichtet: Safari: Google nennt Details zur Lücke in Apples Trackingschutz

Die "Intelligent Tracking Prevention" im Apple-Browser war Forschern des Suchriesen zufolge angreifbar und konnte zum Absaugen privater Daten genutzt werden.

Mehr erfahren

t3n berichtet: Fake-Flash-Player: Dieser Trojaner hat schon jeden zehnten Mac attackiert
t3n berichtet: Fake-Flash-Player: Dieser Trojaner hat schon jeden zehnten Mac attackiert

Dubiose Streaming-Websites, die euch ein angebliches Flash-Update unterjubeln wollen? Dahinter steckt die offenbar am weitesten verbreitete Malware für den Mac.

Mehr erfahren

Heise berichtet: Aktuelle Welle: Ursnif-Trojaner versteckt sich in Zip-Archiven
Heise berichtet: Aktuelle Welle: Ursnif-Trojaner versteckt sich in Zip-Archiven

Derzeit sind mal wieder vermehrt E-Mails mit gefährlichem Dateianhang in Umlauf. Der Schädling namens Ursnif hat es unter anderem auf Account-Daten abgesehen.

Mehr erfahren

Heise berichtet: Patchday: Microsoft schließt 49 Lücken in Windows & Co.
Heise berichtet: Patchday: Microsoft schließt 49 Lücken in Windows & Co.

In diesem Monat bekommen Windows 7 und Windows Server 2008/R2 das letzte Mal Sicherheitsupdates. Aber auch andere Versionen bekommen etwas ab.

Mehr erfahren

t3n berichtet: Datenklau: Über 500.000 Router-, Server- und IoT-Zugangsdaten im Netz gelandet
t3n berichtet: Datenklau: Über 500.000 Router-, Server- und IoT-Zugangsdaten im Netz gelandet

Checkt eure Router, Server und smarten Geräte! Ein Hacker hat rund 515.000 Zugangsdatensätze im Internet geleakt. Mit denen lassen sich angreifbare Geräte via Telnet fernsteuern.

Mehr erfahren

Heise berichtet: Windows 7: Supportende am 14. Januar – Tipps zu Umstieg und anderen Optionen
Heise berichtet: Windows 7: Supportende am 14. Januar – Tipps zu Umstieg und anderen Optionen

Am 14. Januar 2020 erhält das Betriebssystem Windows 7 SP1 letztmalig Sicherheitsupdates im Rahmen des Extended Support. Jetzt besteht Handlungsbedarf.

Mehr erfahren

Heise berichtet: Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht
Heise berichtet: Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht

Angreifer könnten in Windows 10 unter anderem in verschlüsselte HTTPS-Verbindungen einsteigen. Mit jüngst erschienenen Exploits ist das kein Hexenwerk mehr.

Mehr erfahren

Heise berichtet: Drei Sicherheitslücken in Google Chrome geschlossen
Heise berichtet: Drei Sicherheitslücken in Google Chrome geschlossen

Der Webbrowser Chrome ist in einer abgesicherten Version erschienen. Das Angriffsrisiko gilt als hoch.

Mehr erfahren

Heise berichtet: Samsung: Nutzer wittert Spyware in vorinstallierter Smartphone-App
Heise berichtet: Samsung: Nutzer wittert Spyware in vorinstallierter Smartphone-App "Device Care"

Samsungs hierzulande als Gerätewartung bekannte Android-App nutzt Code von Qihoo 360. Der Firma werden zuweilen unseriöse Geschäftspraktiken vorgeworfen.

Mehr erfahren

Mehr als jeder zweite Onliner Opfer von Cyberkriminalität - bitkom Statistik
Mehr als jeder zweite Onliner Opfer von Cyberkriminalität - bitkom Statistik

Internetnutzer stehen zunehmend im Fadenkreuz von Cyberkriminellen: Mehr als jeder zweite Onliner (55 Prozent) war im vergangenen Jahr Opfer von kriminellen Vorfällen im Internet.

Mehr erfahren

Heise berichtet: Jetzt patchen! Angreifer attackieren Firefox
Heise berichtet: Jetzt patchen! Angreifer attackieren Firefox

Mozilla hat eine kritische Sicherheitsücke in Firefox und Firefox ESR geschlossen. Abgesicherte Versionen sind verfügbar.

Mehr erfahren

Rückblick: Die größten Hacks der vergangenen 10 Jahre by Heise
Rückblick: Die größten Hacks der vergangenen 10 Jahre by Heise

Von Stuxnet über Heartbleed bis zum Yahoo-Hack: Das haben Hacker von 2010 bis 2019 "geleistet".

Mehr erfahren

Heise berichtet: Bug in vielen Android-Handys erlaubt Ausspionieren
Heise berichtet: Bug in vielen Android-Handys erlaubt Ausspionieren

Ganz ohne Zugriffsrechte können Android-Apps Fotos und Videos machen – ideal, um Nutzer auszuspionieren. Von Google und Samsung gibt es Updates.

Mehr erfahren

Heise berichtet: Social Engineering: Gefahrenbewusstsein schulen via Serie
Heise berichtet: Social Engineering: Gefahrenbewusstsein schulen via Serie

Unterhaltung bewirkt manchmal mehr als eine langweilige Schulung. Eine Serie soll Mitarbeiter zum Thema Social Engineering sensibilisieren.

Mehr erfahren

Heise berichtet: Bundeskriminalamt legt das Bundeslagebild Cybercrime 2018 vor
Heise berichtet: Bundeskriminalamt legt das Bundeslagebild Cybercrime 2018 vor

Deutschland ist und bleibt ein attraktives Ziel für Hacker-Attacken. Die Schäden sind im Millionenbereich – die Dunkelziffer ist um ein vielfaches höher.

Mehr erfahren

Heise berichtet:
Heise berichtet: "Brexit-App" für Android mit Sicherheitsmängeln

Eine App der britischen Einwanderungsbehörde zur Übermittlung von Identitätsnachweisen weist laut Forschern viele Angriffspunkte für Hacker auf.

Mehr erfahren

Heise berichtet: Apple warnt vor Drittanbietertastaturen
Heise berichtet: Apple warnt vor Drittanbietertastaturen

Aufgrund eines noch unbehobenen Fehlers in iOS 13.1 und iPadOS 13 erhalten Third-Party-Keyboards Vollzugriff, obwohl User dies nicht erlaubt haben.

Mehr erfahren

Heise berichtet: Chrome Sicherheitsupdate
Heise berichtet: Chrome Sicherheitsupdate

Die Chrome-Entwickler haben in der aktuellen Ausgabe 77.0.3865.90 mehrere Sicherheitslücken geschlossen. Nutzer sollten den Browser zügig aktualisieren.

Mehr erfahren

Heise berichtet: Massiver DDOS-Angriff auf Wikipedia
Heise berichtet: Massiver DDOS-Angriff auf Wikipedia

IoT-Geräte dürften einen DDOS-Angriff auf Wikimedia ermöglicht haben. Zunächst in Deutschland und dann überall war auch Wikipedia zeitweise unerreichbar.

Mehr erfahren

Heise analysiert: Was bedeutet der iPhone-Massen-Hack?
Heise analysiert: Was bedeutet der iPhone-Massen-Hack?

Tausende iPhones wurden beim Besuch scheinbar harmloser Websites gehackt. Wer steckt dahinter und wie schütze ich mich?

Mehr erfahren

Digitale Sicherheit und DSGVO
Digitale Sicherheit und DSGVO

Warum auch du mehr in die digitale Sicherheit und den Schutz von personenbezogenen Daten investieren musst. Ein aktueller Überblick.

Mehr erfahren