BSI-Lagebericht: Bedrohungslage weiterhin hoch

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen jährlichen Lagebericht zur IT-Sicherheit vorgestellt. Der Bericht umfasst den Zeitraum vom 1. Juli 2017 bis zum 31. Mai 2018 und behandelt die Gefährdungslage in verschiedenen Branchen, von Kritischen Infrastrukturen sowie der öffentlichen Verwaltung. Die Gesamtgefährdung habe dabei leicht zugenommen, sie sei v. a. aber auch vielschichtiger geworden. Insgesamt nahm das BSI 145 Meldungen aus dem KRITIS-Sektor auf, die meisten davon aus dem Telekommunikationssektor, die zweitmeisten aus der Energiebranche. Auch die Gesundheitsbranche ist durch Digitalisierung und Vernetzung einer zunehmenden Cyberbedrohung ausgesetzt. Daher seien hier verstärkt geeignete IT-Sicherheitsmechanismen zu entwickeln. Weiterhin betont das BSI in seinem Bericht auch die Notwendigkeit von Sicherheit und Vertrauen digitaler Identitäten. Das BSI befasse sich daher mit sicheren Identifizierungs- und Authentifizierungsverfahren im E-Government. So unterstütze es die vom IT-Planungsrat eingesetzte Projektgruppe „eID-Strategie“ und wird im Ergebnis der Pilotierungsphase eine Technische Richtlinie hierzu erlassen. Im Kontext des Onlinezugangsgesetzes werden für den Pilotbetrieb des Portalverbundes Sicherheitsanforderungen erstellt und mit den teilnehmenden Stellen abgestimmt. Auch das Thema IT-Sicherheitskennzeichen wird im Lagebericht aufgegriffen. Das BSI plädiert für ein dynamisches IT-Sicherheitskennzeichen, sodass die Aktualität und Gültigkeit der Sicherheitsaussagen angepasst werden können. Das IT-Sicherheitskennzeichen solle für den Verbraucher sichtbar am Produkt angebracht werden und als Verkaufsargument dienen können.
Das BSI betonte, dass in der Vergangenheit bereits viele Schritte zur Bekämpfung von Cyberangriffen unternommen worden seien und man mit dem Nationalen IT-Lagezentrum, CERT-Bund und dem Cyber-Abwehrzentrum gut aufgestellt sei. In Zukunft seien aber noch mehr offensive Cyberabwehr und Prävention nötig. Dafür bedürfe es einer „Weiterentwicklung des Rechtsrahmens als auch der zwischen Bund und Ländern und mit der Wirtschaft abgestimmten Entwicklung von Sicherheitsstandards für die IT-Strukturen und den Schutz der Kritischen Infrastrukturen“.
Weitere Maßnahmen für einen zukünftig effektiveren Schutz seien der Ausbau einfacher und sicherer Lösungen zur elektronischen Identifizierung und das IT-Sicherheitsgesetz 2.0. Bundesinnenminister Horst Seehofer (CSU) betonte, dass das IT-Sicherheitsgesetz 2.0 „unter anderem Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen schaffen und auch die Hersteller von Software und Hardware in den Fokus nehmen wird. Auch die Befugnisse des BSI und die Pflichten von Teilen der Wirtschaft von besonderem öffentlichen Interesse werden derzeit auf einen Prüfstand gestellt“.