Der BSI-Lagebericht "Die Lage der IT-Sicherheit in Deutschland 2011" macht deutlich, dass die aktuellen Gefährdungen wie Cyberangriffe, Angriffe auf mobile Endgeräte und Attacken, die auch außerhalb der klassischen IT greifen, eine Herausforderung für Politik, Wirtschaft und Gesellschaft bedeuten.
Trendthemen wie Cloud Computing und Smart Meter werden Anbieter, Nutzer und auch das BSI im Hinblick auf Risikomanagement und die Gewährleistung von Informationssicherheit künftig stark beschäftigen.
Kompletten BSI-Lagebericht IT Sicherheit 2011
Donwload IT-Sicherheitsbericht in Deutschland 2011 (pdf, 743,55 KB)Zum Inhalt
Sicherheitslücken / Exploits
Es bleibt festzuhalten das der BSI festgestellt hat das es mehr Exploits, also Softwaresicherheitslücken gibt.
Drive-By-Exploits also Exploits die sich auf Webseiten schlummern und veraltete Browser angreifen, es ist kein Mausklick zur Installation nötig. Es wird über Praktiken berichtet nachdem Werbebanner von Drittanbietern schon eine mögliche Quelle für sogenannte Drive-By-Exploits sein kann.
Meistens führt er zu einem so genannten Exploit-Kit. Ein Exploit-Kit (auch „Exploit Pack“ genannt) ist ein Softwarepaket, das die Ausnutzung von Schwachstellen auf Nutzer-PCs mittels Drive-By-Exploits und die anschließende Infektion mit einem Schadprogramm automatisiert.
Botnetze
Die bedrohung durch botnetze hat in den vergangenen zwei Jahren weiterhin massiv zugenommen. Dazu trägt auch die zunehmende infektionsgefahr durch Drive-byexploits bei. außerdem werden botnetze mittlerweile professionell vermietet, und ihre „kunden“ nutzen sie zum beispiel, um Vergeltung auszuüben, wettbewerbsvorteile zu erlangen und für kriminelle Zwecke wie etwa Erpressung. hinzu kommen politisch oder religiös motivierte angriffe. im Jahr 2010 trat zunehmend ein weiterer trend auf: beim so genannten „hacktivismus“, einer Mischform von hacking und Aktivismus, stellen internet-Nutzer ihre Pcs freiwillig zur Verfügung, um angriffe, beispielweise DDoS-angriffe, auf Unternehmen durchzuführen. auf
diese weise kann sich ebenfalls ein botnetz bilden.
Spamversand über private PCs
Identitätsdiebstahl und -missbrauch
Identitätsdiebstahl und identitätsmissbrauch sind keine neuartigen Delikte: es gab sie schon vor dem einsatz elektronischer Medien. Dabei waren sich täter und opfer
jedoch fast immer geografisch relativ nahe, und meist gab es nur wenige betroffene. Mit der zunehmenden Nutzung des internets hat sich die Situation jedoch radikal gewandelt: Zwischen tätern und opfern gibt es meist keinerlei geografischen Zusammenhang mehr. Zudem kann sich ein täter mit geringem aufwand – nämlich durch den einsatz
von Schadprogrammen – die Daten von hunderten oder tausenden opfern verschaffen. Das haben die analysen der Datensätze, die von tätern erbeutet wurden, gezeigt.
Schadprogramme
im Lagebericht 2009 wurde festgestellt, dass die anzahl bösartiger Programme stetig zunimmt, ihre Herstellung
immer einfacher wird und die angriffe zunehmend gezielt verlaufen. Diese Trends haben sich seitdem verstärkt:
Detektion von Schadprogrammen deutlich schwieriger.
Stuxnet
Nachdem it-angriffe auf Prozesssteuerungssysteme lange Zeit lediglich in Fachkreisen diskutiert wurden, ist durch Stuxnet die reale bedrohung nun eindrucksvoll bewiesen worden. Das Schadprogramm zeichnet sich durch herausragende Infektionsmechanismen aus und richtet sich im gegensatz zu den meisten trojanischen Pferden nicht gegen „normale“ Pcs, sondern gegen Prozesssteuerungsanlagen in der industrie. Diese sind die „ Gehirne und Nervenbahnen“ für viele abläufe: Sie messen, steuern und regeln komplexe anlagen wie raffinerien, Pipelines, Stromnetze oder Backstraßen, Fertigungsbänder und vieles mehr. Mit der Spekulation über mögliche Angriffsziele im bereich der atomwirtschaft wurde das thema Stuxnet in vielen Medien aufgegriffen und diskutiert.
Domain Name System und Routing
DNS-Servern zum Datenaustausch verwendete Protokoll
weist konzeptionelle Schwachstellen auf. Angriffe auf das
Das bei der Kommunikation zwischen den einzelnen
Protokoll können dazu führen, dass DNS-Informationen im I
nternet durch Dritte manipuliert werden. 2010 bestand
dieses Problem unverändert fort, und es gab einige beispiele für die Verfälschung von Daten. So wurde Traffic zu
zum teil auf Server in China umgeleitet. Zur Verbesserung
populären Webseiten wie Youtube, twitter und Facebook
des zugrunde liegenden Protokolls wurde seitens der Internet engineering task Force (ietF) die Protokollerweiterung DNSSec (Domain Name System Security Extensions)
spezifiziert, mit deren Hilfe sowohl die Signierung als auch Di
e Validierung der Domain-Daten möglich ist.
Mobilkommunikation
Da immer häufiger wichtige geschäftsdaten auch von unterwegs genutzt, verarbeitet und über Mobilfunkschnittstellen übertragen werden, rechnet das bSi auch künftig mit einer Zunahme von Angriffen gegen mobile Endgeräte. rund zehn Millionen Menschen in der bundesrepublik nutzen regelmäßig die Internetfunktionen ihres Handys.bis ende 2010 wurden bereits 900 Millionen applikationen (apps) auf Mobiltelefone heruntergeladen.
Cloud Computing
Das Thema Cloud Computing ist in der informationstechnik allgegenwärtig und hat in den letzten Jahren weltweit immens an bedeutung gewonnen. auch in Deutschland
rechnen die Marktforscher mit enormen Zuwächsen bei ausgaben für cloud Services in den kommenden Jahren. Schätzungsweise werden die Umsätze für cloud-Dienstleistungen in Deutschland von 1,14 Milliarden Euro 2010 auf mögliche 8,2 Milliarden euro im Jahr 2015 steigen. Dies entspricht einer jährlichen Steigerung des Umsatzwachstums von durchschnittlich 48 Prozent
Smart Grid / Smart Meter
Das weltweite Marktvolumen für Smart-grid-technologien könnte nach Schätzungen des US-amerikanischen Unternehmens cisco Systems ein 100 Mal größeres Potenzial als das internet erreichen. Die zunehmende komplexität der elektrizitätsnetze erfordert zudem neue Formen der absicherung des gesamtsystems gegen Ausfälle.entsprechende Mechanismen sollen vernetzte informationstechnische Systeme nutzen, die allerdings teilweise noch entwickelt und implementiert werden müssen.
Keine Kommentare:
Kommentar veröffentlichen