Wenn Arne Schönbohm, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), über die Emotet-Computerviren spricht, klingt er fast schon ehrfurchtsvoll. Als „König der Schadsoftware“ bezeichnet er Emotet. Doch nun kann Schönbohm einen Erfolg vermelden. Die Emotet-Infrastruktur sei in der vergangenen Woche zerschlagen worden, sagte er zum Auftakt des IT-Sicherheitskongresses seiner Behörde am Dienstagmorgen. Am 26. Januar führten deutsche und internationale Ermittler in zahlreichen Ländern laut Bundeskriminalamt eine konzertierte Aktion durch, beschlagnahmten Server und machten die Schadsoftware unbrauchbar.
Kliniken, ÖPNV, Verwaltungen – sie alle wurden Ziel von Cyberkriminellen
Die Viren der Emotet-Familie hatten nicht nur zehntausende private Rechner befallen, sondern auch die Systeme von Behörden und Unternehmen. „Krankenhäuser mussten den Betrieb einstellen, Gerichte und Stadtverwaltungen wurden lahmgelegt“, sagt Schönbohm. In Deutschland ware zum Beispiel das Klinikum Fürth, die Bundesanstalt für Immobilienaufgaben oder die Stadt Frankfurt am Main Ziel von Cyber-Attacken geworden.
Der Schlag gegen Emotet sei leider kein Grund zur Entwarnung, betont Schönbohm. Die Zahl der Schadsoftware-Programme liege bei etwa einer Milliarde. „Immer öfter beobachten wir eine steigende Aggressivität der Erpressungsmethoden“, so der BSI-Präsident. Wichtige Daten würden nicht nur auf den Rechnern blockiert, sondern von den Kriminellen auch ausgewertet, gelöscht oder an die Konkurrenz verkauft. In Deutschland seien vor Weihnachten Schulserver angegriffen worden. Die IT von öffentlichen Nahverkehrsunternehmen in Vancouver und Montreal sei im vergangenen Jahr lahmgelegt worden. Auch in Stockholm sei die ÖPNV-App wegen einer Cyberattacke nicht mehr verfügbar gewesen, sodass keine mobilen Tickets mehr gebucht werden konnten. Die Uniklinik Düsseldorf habe sich mitten in der Pandemie von der Notfallversorgung für 13 Tage abmelden müssen.
BSI soll IT-Sicherheit erhöhen
„Ausfälle kritischer Infrastrukturen können wir uns nicht leisten“, betont Schönbohm. Das BSI hat sein Personal zuletzt deutlich aufgestockt, um auf die neuen Risiken zu reagieren. In Saarbrücken ist neben den bisherigen Standorten Bonn und Freital ein weiterer Dienstsitz geplant.
Das BSI soll analysieren, auf welchen Anwendungsfeldern der IT Risiken entstehen, und helfen sie beherrschbar zu machen. Zum Beispiel hat das Bundesamt einen Katalog veröffentlicht, um die Sicherheit von KI-Systemen bewerten zu können. Mit zwei Studien wurden Schwachstellen im Gesundheitswesen analysiert – etwa bei digital vernetzten Insulinpumpen oder Beatmungsgeräten. Cyberkriminelle könnten hier sogar das Leben von Menschen in Gefahr bringen. Die Ergebnisse der Studien wurden laut Schönbohm den Herstellern übermittelt, sodass sie die gefundenen Sicherheitslücken stopfen konnten. Ein weiteres BSI-Projekt: Es wurden Empfehlungen für sicheres Homeoffice erarbeitet.
Neues Gesetz auf dem Weg
Außerdem ist ein „IT-Sicherheitsgesetz 2.0“ geplant. Der Entwurf wurde bereits vom Bundeskabinett beschlossen. Das neue Gesetz erweitert die Befugnisse des BSI, etwa bei der Analyse von Sicherheitslücken von IT-Systemen an den Schnittstellen zu öffentlichen Telekommunikationsnetzen. Das BSI soll die Bundesverwaltung effektiver kontrollieren und Mindeststandards für Bundesbehörden festlegen können. Der Verbraucherschutz soll unter anderem mit einem neuen IT-Sicherheitskennzeichen gestärkt werden. Und Unternehmen, die kritische Infrastrukturen betreiben, werden zu Vorsorgemaßnahmen verpflichtet. Dazu zählen zum Beispiel Stadtwerke, aber auch Rüstungsunternehmen.
Die Verwaltungen der Länder und Kommunen sind von dem Gesetz nicht direkt betroffen. Schönbohm hofft jedoch, dass das BSI mit den zusätzlichen Daten auch die Abwehrmechanismen verbessern kann. Somit könne es den Ländern und Kommunen in Zukunft bessere Angebote zur Verfügung stellen. Günter Krings, Parlamentarischer Staatssekretär beim Bundesinnenministerium, ergänzt: Der Bund könne den Ländern wegen der im Grundgesetz verankerten Aufgabentrennung keine verbindlichen Standards vorschreiben. Möglich seien aber bilateralen Vereinbarungen, und dies werde von den Ländern auch gut angenommen.