BSI-Lagebericht 2024
Wie hat sich die Bedrohungslage im letzten Jahr verändert und wo lauern die größten Risiken 2025? Die wichtigsten Erkenntnisse aus dem BSI-Lagebericht 2024.
Wie hat sich die Bedrohungslage im letzten Jahr verändert und wo lauern die größten Risiken 2025? Die wichtigsten Erkenntnisse aus dem BSI-Lagebericht 2024.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in seiner aktuellen Analyse auf grundlegende Tendenzen hin: Cyberkriminelle nehmen verstärkt kleine und mittelständische Unternehmen ins Visier und greifen bevorzugt dort an, wo sie am wenigsten Gegenwehr erwarten. Zudem bleiben Ransomware-Angriffe das größte Risiko, wobei vor allem Datendiebstähle, sogenannte Datenexfiltrationen, zunehmen. Außerdem versuchen Hacker vermehrt, Endpunkt-Security-Systeme mit speziellen Malware-Services außer Kraft zu setzen. Mittelstand Heute hat diese und weitere Ergebnisse des BSI-Lageberichts 2024 zusammengefasst. Ein Cybersecurity-Experte erklärt außerdem, wie sich Unternehmen besser schützen können.
Einmal im Jahr legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Bericht zur Lage der IT-Sicherheit in Deutschland vor. Darin untersuchen die Experten aktuelle Bedrohungen, Angriffsflächen, Schadwirkung und Resilienz. Betrachtungszeitraum für den Lagebericht 2024 war vom 1. Juli 2023 bis 30. Juni 2024.
Die Lage ist und bleibt angespannt. Unternehmen sind heute nicht mehr mit einzelnen Hackern, sondern einer arbeitsteilig und effizient aufgestellten Angreiferindustrie konfrontiert. Insbesondere Ransomware-as-a-Service (RaaS) erfreut sich in kriminellen Kreisen großer Beliebtheit: Professionelle Hackergruppen stellen ihre Malware und Infrastruktur gegen Gebühr bereit, sodass auch weniger versierte Akteure Ransomware-Attacken durchführen können. Daneben hat sich eine weitere Branche etabliert: Access Broker, die mit erbeuteten Zugangsdaten handeln. Dank der arbeitsteiligen Organisationsstruktur sind Ransomware-Angriffe heute ein Massengeschäft. Die finanzielle Motivation überwiegt bei Attacken. Im Fokus stehen leicht angreifbare Opfer mit mangelhaften Schutzmaßnahmen. Gerade KMUs, die häufig weniger Aufwand bei der Cybersecurity treiben, sind besonders gefährdet.
Die gute Nachricht ist: Die Anzahl der Opfer, die nach einer Ransomware-Attacke Lösegeld zahlten, ist seit 2021 von 56 Prozent auf mittlerweile nur noch 36 Prozent gesunken. Das zeigt, dass Organisationen Angriffe erfolgreich mit einem guten Backup-Konzept kontern. Angreifer reagieren darauf, indem sie ihre Opfer mit der Veröffentlichung gestohlener oder exfiltrierter Daten erpressen. Auf sogenannten Leak-Seiten stellen sie die Betroffenen an den Pranger. Auswertungen dieser Seiten zufolge nahm die Zahl der mutmaßlichen Exfiltrations-Opfer in Deutschland im Vergleich zu 2021 um 30 Prozent zu. Für gestohlene Daten mussten die Opfer deutlich höhere Lösegelder zahlen als für verschlüsselte Daten.
Um in Unternehmensnetzwerke einzudringen, nutzen Cyberkriminelle in der Regel Schwachstellen aus. Dabei beobachtete das BSI auch sorgfältig vorbereitete, groß angelegte Angriffs-Kampagnen auf Zero-Day-Schwachstellen. Solche Sicherheitslücken gelten als besonders gefährlich, weil noch keine Patches für sie bereitstehen. Das verschafft Cyberkriminellen Gelegenheit, unbemerkt im Netz des Opfers zu agieren, bevor die Schwachstellen bereinigt oder betroffene Systeme vom Netz genommen werden. Das BSI geht davon aus, dass Ransomware-Akteure dank ihrer Lösegeldeinnahmen aus vergangenen Jahren finanziell gut aufgestellt sind. Sie können es sich leisten, Spezialisten zu beauftragen, um Zero-Day-Schwachstellen aufzuspüren und passende Exploits zu entwickeln.
Die stetig steigende Zahl an Schwachstellen bietet Cyberkriminellen neue Angriffsmöglichkeiten: Im Jahr 2023 wurden durchschnittlich täglich 78 neue Schwachstellen in Software-Produkten bekannt. Das sind rund 14 Prozent mehr als im Vorjahr. Auch in Perimeter-Systemen wie Firewalls und VPNs wurden im Berichtszeitraum zahlreiche kritische Schwachstellen entdeckt. Schon seit einigen Jahren beobachtet das BSI den Trend, Perimeter-Systeme anzugreifen, denn von dort aus haben Hacker attraktive Möglichkeiten, weiter vorzudringen.
Monatlich erhielt das BSI rund 40 Meldungen von Sicherheitsforschern über schwachstellenbehaftete Software-Produkte, von denen 61 Prozent anfällig für Injection-Angriffe waren. Bei solchen Attacken schleusen Cyberkriminelle Schadcode ein, um nachgelagerte Angriffe wie den Datendiebstahl, vorzubereiten. Indes floriert auch der Markt für Schadsoftware: Durchschnittlich wurden täglich 309.000 neue Malware-Varianten bekannt – rund 26 Prozent mehr als im Vorjahr.
Ein aktueller Trend sind sogenannte EDR-Killer-Programme, die als Malware-as-a-Service angeboten werden. Sie dienen dazu, Security-Systeme für Endpoint Detection and Response (EDR) auf dem infizierten System zu beenden oder zu entfernen. Auf diese Weise können die Angreifer länger unbemerkt bleiben und ihre Spuren verwischen. EDR ist ein Konzept zum Schutz und zur Abwehr von Cyberbedrohungen von Endgeräten wie PCs, Laptops, Tablets, Smartphones oder Server. EDR stellt eine Weiterentwicklung von Schutzlösungen wie Virenscannern oder Endpoint Protection dar.
Laut BSI greifen mehr als 100 cyberkriminelle Gruppen Organisationen in Deutschland an, wobei die fünf aktivsten für rund die Hälfte der Angriffe verantwortlich sind:
Bis zu ihrem Takedown im Februar 2024 galt LockBit als gefährlichste RaaS-Gruppe. Im Berichtszeitraum veröffentlichte sie 40 Leak-Opfer aus Deutschland, weltweit sollen es 944 gewesen sein. Die Gruppe ist immer noch aktiv, allerdings längst nicht mehr auf demselben Niveau wie vor dem Takedown.
21 Opfer aus Deutschland gingen angeblich auf das Konto von Black Basta. Die Gruppe nutzt gerne ältere, seit Jahren bekannte Schwachstellen aus.
Mindestens 15 deutsche Unternehmen hat 8Base nach eigenen Angaben erfolgreich angegriffen. Die Gruppe nutzt primär Zugänge, die sie von Access Brokern einkaufen.
13 Opfer aus Deutschland deklarierte Play für sich. Die Gruppe nutzte für die Erstinfektion wiederholt Schwachstellen in exponierten Services wie VPNs oder Mail-Servern. Auch Play kauft Zugänge bei Access Brokern.
12 Opfer will Cloak erfolgreich bei uns angegriffen haben. Diese Gruppe scheint besonders auf Deutschland zu fokussieren. International zählt sie nicht einmal zu den Top25. Cloak nutzt ebenfalls bevorzugt Zugänge von Access Brokern.
Die Entwicklung im cyberkriminellen Untergrund ist besorgniserregend. Aber auch die Strafverfolger konnten im Berichtszeitraum große Erfolge erzielen. In international koordinierten Maßnahmen gelangen zum Beispiel Takedowns gegen die Hackergruppen QakBot (August 2023), RagnarLocker (Oktober 2023), Alphv (Dezember 2023) und LockBit (Februar 2024). Allerdings führt das meist nur kurzzeitig zu einer Entspannung. Es dauert nicht lange, bis eine andere cyberkriminelle Gruppe die entstandene Lücke füllt.
Indes rüsten Unternehmen ihre Schutzmaßnahmen auf. 2023 gaben sie rund 8,5 Milliarden Euro für Cybersicherheit aus – so viel wie nie zuvor. Seit 2020 sind die Security-Budgets jährlich um 10,5 Prozent gestiegen. Verbessert hat sich auch die Kommunikation: Immer mehr Unternehmen gehen transparent mit einem Cybervorfall um und informieren die Öffentlichkeit sowie ihre Kunden. Nachholbedarf besteht dagegen bei der Vorbereitung auf den Ernstfall: Weniger als ein Drittel der Unternehmen hat bisher einen schriftlich fixierten Notfallplan.
Cyberangriffe auf kritische Infrastrukturen nehmen zu. Im Berichtszeitraum gingen beim BSI 726 Meldungen ein – 236 mehr als im Vorjahr. Bei den Betreibern kritischer Infrastrukturen stellte das BSI aber einen leicht positiven Trend in der Resilienz fest: 140 von 671 beim BSI gemeldeten Organisationen konnten ihre Informations-Sicherheits-Management-Systeme (ISMS) verbessern, 114 ihre Business-Continuity-Management-Systeme (BCMS). Allerdings bleibt noch Luft nach oben, denn durchschnittlich liegt der Reifegrad in beiden Bereichen erst auf mittlerem Niveau. KRITIS-Betreiber sind gesetzlich dazu verpflichtet, ein ISMS und ein BCMS einzusetzen. Mit der bevorstehenden Verabschiedung der NIS-2-Direktive in nationales Recht gilt die Verpflichtung für viele weitere Unternehmen. Grundsätzlich ist ein ISMS für alle Organisationen empfehlenswert.
Die Bedrohungssituation war und ist besorgniserregend aber der BSI-Lagebericht 2024 zeigt auch: Die eingeführten Security-Maßnahmen greifen. Umso wichtiger ist es für mittelständische Unternehmen, sich mit den aktuellen Cyberrisiken auseinanderzusetzen und die eigene Sicherheitsaufstellung zu überprüfen. Ein spezialisierter Dienstleister wie All for One kann dabei unterstützen.
NachgehaktFür viele Firmen sind Cyber-Bedrohungen abstrakte Risiken, die man aussitzen kann..."
Elmar Török, Architect Cybersecurity & Compliance beim Business-IT-Spezialisten All for One, zu den neuesten Ergebnissen des BSI-Lageberichts:
"Der jährliche BSI-Lagebericht reiht sich in die zahlreichen Warnungen und Einschätzungen ein, die Organisationen darauf hinweisen, dass die Gefährdungslage nicht besser wird. Zwar haben manche Unternehmen den Ernst der Lage erkannt und rüsten nach, aber für viele Firmen sind Cyber-Bedrohungen abstrakte Risiken, die man aussitzen kann. Motto: „Es ist ja noch nie was passiert“.Das BSI kontert das falsche Sicherheitsgefühl mit Zahlen zum Ransomware-as-a-Service-Trend. Heute muss niemand mehr Ahnung von Programmiersprachen und Sicherheitslücken haben, das kann man alles einkaufen. Kriminelle Energie und ein Internetzugang reichen aus. Darum wird es eben nicht „gutgehen“, sondern mit hoher Wahrscheinlichkeit in den nächsten Jahren zu einem erfolgreichen Angriff kommen. Dann muss man gut vorbereitet sein, sonst können viele, gerade kleine Firmen zusperren. Resilienz ist das wichtigste Konzept, mit dem sich Unternehmen heute beschäftigen müssen: Wie kann man im Ernstfall die Prozesse fortführen, die das Überleben des Unternehmen gewährleisten? Dazu gehört natürlich das Backup, denn ein aktuelles und vor unbefugtem Zugriff geschütztes Backup ist die einzige vernünftige Strategie gegen Ransomware.
Die Angreifer wissen, dass viele Firmen keine Angst mehr vor der Verschlüsselung ihrer Daten und Arbeitsgeräte haben und sie sind dazu übergegangen, die Daten nicht nur unbrauchbar zu machen, sondern sie auch zu veröffentlichen oder zu verkaufen. Sich dagegen zu schützen, ist deutlich schwerer. Ich weiß von verschiedenen Kundensituationen, dass dagegen nur eine Kombination aus mehreren Maßnahmen hilft. Datenklassifizierung beispielsweise, damit klar ist, welche Daten besonders sensibel sind und gut eingestellte Warnmechanismen wie ein SIEM oder zumindest Alarmregeln innerhalb des Tenant.
Das BSI zieht zumindest einen teilweise positiven Schluss. Wer in den letzten zwölf Monaten in seine Cyber-Sicherheit investiert hat, kann beruhigter in die Zukunft schauen. Aus meiner täglichen Praxis weiß ich, dass mittelständische Unternehmen meist nicht dazu gehören. Hier wird aus Geld- und Ressourcengründen, aber auch einfach nur, weil man das Thema noch nicht ernst genug nimmt, abgewartet und gehofft. Aber das Prinzip Hoffnung ist im Hinblick auf die Entwicklung der Angriffszahlen keine gute Strategie. Ich empfehle stattdessen Sicherheitsbewusstsein und Resilienz."
Quelle Aufmacherbild: Unsplash/ Christian Lue