Stand: 07.06.2022

In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben.

Bedrohliche Schwachstelle bei Microsoft Office

Ende Mai veröffentlichte Microsoft Informationen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT). Das BSI stuft die Bedrohungslage durch diese Schwachstelle mit 3 (orange) ein. Die Sicherheitslücke kann über präparierte Word-Dokumente ausgenutzt werden und ermöglicht es Angreifern, Schadcode aus dem Internet nachzuladen und auszuführen. Da es nicht notwendig ist, die Datei zu öffnen, sondern bereits das Auslösen der Vorschau eines Dokuments, wenn die Maus auf der Datei ruht („Hover-Vorschau“), die Sicherheitslücke aktiviert, wird ein Schutz des Windows Defenders umgangen. Besondere Vorsicht gilt für Dokumente im RTF-Format, da bei schadhaften Dokumenten bereits über die Vorschau im Windows Explorer Schadcode ausgeführt werden kann. Betroffen sind nach aktuellem Kenntnisstand Office 2013, 2016, 2019, 2021, Office Pro Plus und Office 365. Ein Patch um Schließen der Sicherheitslücke steht aktuell noch nicht zur Verfügung. Das BSI empfiehlt deshalb, die Workarounds des Anbieters zu prüfen und den MSDT-URL-Protokollhandler zu deaktivieren. Welche Schritte hierfür erforderlich sind, kann der Sicherheitswarnung des BSI entnommen werden.

Update: Java-Bibliothek Log4j

Nachdem Mitte Dezember 2021 die kritische Schwachstelle Log4Shell der Java-Bibliothek Log4j bekannt wurde, hat sich bei den betroffenen Unternehmen einiges, aber noch nicht genug getan. Laut aktuellen Zahlen eines amerikanischen Cloud-Security-Anbieters haben ungefähr 30 Prozent der betroffenen Unternehmen die Schwachstelle in der Java-Bibliothek Log4j noch immer nicht gepatcht. Die damals mit der höchsten Warnstufe „Rot“ ausgegebene Warnung hat das BSI zwischenzeitlich aufgrund der vielen Patches auf die mittlere Warnstufe „Gelb“ herabgestuft. Allerdings sollten sich die betroffenen Unternehmen weiterhin der Gefahr bewusst sein, dass über diese Schwachstelle innerhalb kürzester Zeit Hunderte von Millionen Java-basierter Anwendungen, Datenbanken und Geräte infiziert werden können.

Weiter erhöhte Bedrohungslage aufgrund des Ukraine-Krieges

Die bereits ausgesprochene Warnung aufgrund des Ukraine-Krieges hat bisher nichts an Aktualität eingebüßt. Es liegt laut BSI nach wie vor eine erhöhte Bedrohungslage im Zusammenhang mit dem Krieg Russlands gegen die Ukraine vor. Eine solche Bedrohung könnte beispielsweise durch einen Angriff mit Schadsoftware auf eine der Kriegsparteien konkret werden. In der Folge könnte eine solche Schadsoftware auch auf IT-Systeme in Deutschland und weiteren Ländern übergreifen. Neu ist in diesem Zusammenhang, dass eine solche Gefahr nicht nur durch staatliche Akteure droht, sondern insbesondere durch sogenannte Hacktivistinnen bzw. Hacktivisten und andere nicht staatliche Gruppierungen. Als warnendes Beispiel kann hier ein aktueller Angriff auf das drittgrößte Unternehmen für Mineralölverarbeitung in Deutschland dienen. Folglich muss wohl auch zukünftig mit ähnlichen Vorfällen gerechnet werden.

Bedrohung durch „Smishing“ immer noch hoch

Das BSI warnt immer noch vor SMS-Phishing, kurz Smishing. Bei dieser Betrugsmethode versuchen Cyberkriminelle über SMS-Nachrichten Smartphone-Nutzer mit betrügerischen SMS entweder zur Übermittlung persönlicher Daten zu verführen oder Schadsoftware auf den Geräten zu installieren. Um ihr Ziel zu erreichen, platzieren die Kriminellen in den SMS-Nachrichten meist einen Link.
Folgendes ist hierbei zu beachten:

  • nicht auf den Link klicken
  • Absender/in sofort in den Kontakten sperren
  • über Mobilfunk-Anbieter die sogenannte Drittanbietersperre aktivieren
  • neue Apps ausschließlich über die offiziellen App-Stores herunterladen
  • bei Geräten mit Android-Betriebssystem den Download von Apps aus unbekannten Quellen in den Einstellungen des Geräts deaktivieren
  • regelmäßige Installation aller angebotenen Updates für Ihre mobilen Geräte

Neue Bedrohungen durch „Quishing“

Aktuell warnt das BSI zusätzlich noch vor einer neuen Variante des Onlinebetrugs, dem sogenannten „Quishing“. Bei dieser Form des Betrugs handelt es sich um Phishing über QR-Codes. Bisherige Sicherheitslösungen scannen Anhänge und URLs in E-Mails. Auf diese Weise werden bereits viele Phishing-Links herausgefiltert. Beim „Quishing“ versagen diese Schutzmechanismen allerdings, da QR-Codes als Bilder und nicht als Texte verarbeitet werden. Die aktuellen Fälle finden vor allem im Zusammenhang mit dem Cloud-Service Microsoft 365 statt. Hierbei versuchen Cyberkriminelle zunächst Nutzerdaten für diesen Dienst zu erbeuten. In einem zweiten Schritt werden die Opfer auf eine täuschend echt aussehende, aber gefälschte Login-Seite für Microsoft 365 geleitet.

Um nicht in diese Falle zu tappen, sollte folgendes beachtet werden:

  • E-Mails vor dem Öffnen stets auf Plausibilität prüfen
  • bei Verdacht auf eine Phishing-Nachricht
    • keine Anhänge öffnen
    • keine Links klicken
    • keine QR-Codes scannen

Immer noch aktuell: Warnung vor Kaspersky-Virenschutzprodukten

Es besteht seitens des BSI nach wie vor eine Warnung, die den Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky betrifft. Als Empfehlung spricht das BSI aus, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.

Problematisch ist in diesem Zusammenhang, dass Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Cloud-Dienste, über weitreichende Systemberechtigungen verfügt und systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des russischen Herstellers unterhalten muss. Da Russland gegenüber der EU, der NATO und auch der Bundesrepublik Deutschland bereits Drohungen ausgesprochen hat, besteht ein erhebliches Risiko eines IT-Angriffs. So wäre es möglich, dass ein russischer IT-Hersteller selbst offensive Operationen durchführt. Er kann aber auch gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation und ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.

Daher sollten Unternehmen den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Durch das mögliche Abschalten der Virenschutzsoftware besteht das Risiko, Angriffen aus dem Internet schutzlos ausgeliefert gegenüberzustehen. Möchten bisherige Kaspersky-Nutzer auf Alternativen umsteigen, sollten in jedem Fall zertifizierte IT-Sicherheitsdienstleister hinzugezogen werden.