Aktueller Jahresbericht des Bundesrechnungshofs offenbart große IT-Sicherheitsmängel bei der Bundeswehr

Kommentar von Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

[datensicherheit.de, 07.12.2018] Im aktuellen Jahresbericht des Bundesrechnungshofs treten große IT-Sicherheitsmängel bei der Bundeswehr zutage. So heißt es beispielsweise wörtlich: „Dienststellen ließen Teile ihrer IT nicht durch das hierfür ausgebildete IT-Fachpersonal, sondern von den Nutzerinnen und Nutzern selbst administrieren. Damit setzten sie sich dem Risiko aus, ihre IT aufgrund fehlerhafter Konfiguration, unkontrolliert installierter Software oder unzureichender Sicherheitsupdates mit Schadsoftware zu infizieren.“

Probleme dieser Art sind bei der Armee besonders kritisch, da diese in ihrer Funktion als Verteidigungsorgan Zugang zu geheimen Informationen und Wehrmitteln hat. Die angesprochenen Probleme sind allerdings nicht allein bei der Bundeswehr zu finden. Vielmehr ist es wahrscheinlich, dass grobe Fahrlässigkeit schon bei elementaren Schutzmechanismen in vielen Organisationen eher die Regel anstatt Ausnahme ist – nur werden sie durch die strengeren Prüfungsmechanismen bei der Armee deutlicher sichtbar.

Neben der Gefahr von Cyberattacken verursachen schlechte Verwaltung und mangelnde Einsicht zusätzliche Kosten und weitere Bedrohungen. Bei der Bundeswehr geht es beispielsweise um Sprengmittel. Hier sei überschüssiges Material nur teilweise ausgesondert und nicht verwertet, sondern nur eingelagert worden. Dies habe zu Wertverlust und unnötigen Kosten geführt. Der Fehler war auf eine unzureichende IT-Verwaltung zurückzuführen, sodass falsche Maßnahmen eingeleitet wurden.

Bild: WALLIX Group

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

Assets werden durch Fehler in der IT nicht effizient genutzt

Natürlich muss es sich nicht immer um brisantes Waffenmaterial handeln, aber in den meisten Unternehmen finden sich sicher andere Beispiele, bei denen Assets durch Fehler in der IT nicht effizient genutzt oder gewartet werden. Das Paradigma der digitalen Integration verspricht bessere Skalierbarkeit, Effizienz und Erreichbarkeit von Ressourcen, aber in der Praxis werden bei der Umsetzung oftmals nicht alle nötigen Aspekte beachtet. Der Fall bei der Bundeswehr verdeutlicht einen wichtigen Nebeneffekt der Digitalisierung: Es gibt mehr Akteure und einen höheren Bedarf an Administration, der Faktor Mensch spielt eine wichtige Rolle beim Thema Cybersicherheit. Versäumnisse oder Innentäter sind in vernetzten Umgebungen ein unterschätzter Gefahrenherd. Nur 42 Prozent aller Unternehmen haben hier zum Beispiel Sicherheitsmechanismen implementiert.

Anzahl der Benutzerkonten und Compliance-Anforderung steigen ständig an

Die Anzahl der Benutzerkonten und Compliance-Anforderung steigen ständig an. Viele Accounts brauchen zudem spezielle Zugriffsrechte: Dienstleister und Superuser verwalten zwar Teilbereiche von Systemen oder einzelne Applikationen, trotzdem benötigen sie entsprechende Freigaben, um richtig arbeiten zu können. IT-Abteilungen haben jedoch nicht das nötige Personal, um sämtliche Akteure zu überwachen, insbesondere, wenn diese bei Dritten angestellt sind.

Ein Mikro-Management für jeden einzelnen Benutzer ist zeitraubend und ineffizient. Die Probleme finden sich natürlich nicht nur bei der Bundeswehr, sondern treffen auch auf die meisten Unternehmen zu. Angesichts der wachsenden Zahl von Geräten und der heterogenen Benutzergruppen brauchen die Administratoren Lösungen, um die Zugriffsrechte angemessen zu verwalten. Dabei muss eine Sicherheitsstrategie an das Zeitalter der Digitalisierung angepasst werden.

Privileged Access Management (PAM) setzt genau hier an und segmentiert Nutzerkonten nach Bedarf: Auditoren können Zugänge für einzelne Anwender oder bestimmte Nutzergruppen granular verwalten. Detaillierte Maßnahmen für Benutzerkonten gewährleisten eine Sicherheitsgrundlage für das On- und Offboarding von Accounts und Anwendungen.

Die Verwaltung von privilegierten Nutzerkonten durch ein zentrales Tool ist sinnvoll, wenn IT-Abteilungen Entlastung brauchen und Organisationen zudem Compliance-Vorgaben beachten müssen. Gerade bei (Hybrid-) Cloudumgebungen und dem Einsatz von IT-Dienstleistern ist PAM eine Schlüsseltechnologie und erhöht das Schutzniveau nachhaltig.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 08.12.2016
IT-Sicherheit: Gründliche Planung ist Voraussetzung

[datensicherheit.de, 22.06.2017] Der FIU-Jahresbericht für das Jahr 2016 verzeichnet nach Angaben des Bundeskriminalamtes (BKA) mit rund 40 Prozent die höchste Steigerungsrate an Geldwäscheverdachtsmeldungen innerhalb der letzten 15 Jahre. Der vorliegende FIU-Jahresbericht 2016 ist laut BKA der letzte aus dem eigenen Hause – am 26. Juni 2017 werde die FIU in den Geschäftsbereich der Generalzolldirektion und damit in das Ressort des Bundesfinanzministeriums verlagert.

Deliktsbereich „Betrug“ auf Platz 1

Insgesamt 40.690 (2015: 29.108) Verdachtsmeldungen seien nach dem Geldwäschegesetz an die Financial Intelligence Unit (FIU) übermittelt worden – der Großteil davon von den Kreditinstituten.
Mit 38 Prozent seien die meisten Bezüge zum Deliktsbereich „Betrug“ festgestellt worden. Darunter fielen zum Beispiel auch der Warenbetrug über das Internet und der CEO-Fraud.
Durch die direkt aus den Verdachtsmeldungen gewonnenen Erkenntnisse und den anschließenden verfahrensunabhängigen Finanzermittlungen hätten die Ermittlungsbehörden insgesamt Vermögenswerte von rund 69,8 Millionen Euro sichergestellt – zehn Prozent mehr als im Vorjahr.

FIU-Dienststellen weltweit eng vernetzt

Die FIU-Dienststellen seien weltweit eng vernetzt. Wie wichtig dies sei, habe sich in einem Fall von CEO-Fraud im letzten Jahr gezeigt. Hierbei sei zusätzlich rund eine Million Euro im Ausland gesichert und innerhalb kürzester Zeit zurückgeführt worden.
Die Mitarbeiterin eines Unternehmens in Deutschland habe diesen Betrag zuvor ins Ausland überwiesen – sie sei einem Betrüger aufgesessen, der sich als Geschäftsführer ausgegeben und sie unter einem Vorwand zu der Überweisung veranlasst habe.

Terrorismusbekämpfung auch 2016 erneut im Fokus

Auch die Terrorismusbekämpfung habe 2016 erneut im Fokus der FIU gestanden: Allein seit Juli 2016 habe es mehr Terroranschläge mit islamistischem Hintergrund in Deutschland als im gesamten Jahrzehnt zuvor gegeben.
Im Nachgang zu diesen Taten habe die FIU zahlreiche Geldwäscheverdachtsmeldungen erhalten, die deutlich machten, dass die Terroristen nicht vollständig im Verborgenen agierten, sondern auch am Finanzmarkt teilgenommen und dort ihre Spuren hinterlassen hätten.
Herausforderung und Aufgabe für die Zukunft sei es daher, auffällige Verhaltensmuster bei Finanztransaktionen mit terroristischem Hintergrund bereits im Vorfeld besser zu erkennen und damit geeignete Parameter für eine nachhaltige Prävention zur Verfügung stellen zu können.

Verdachtsmeldung vor allem im Bereich der OK-Bekämpfung hilfreich

Die FIU im BKA blickt nach eigenen Angaben auf eine „erfolgreiche Arbeit im Bereich der Verbrechensbekämpfung“ zurück: Seit ihrer Gründung im August 2002 bis Ende 2016 seien insgesamt über 210.000 Geldwäscheverdachtsmeldungen an die FIU übermittelt worden. Zusammen mit den dafür ebenfalls zuständigen Spezialdienststellen der Bundesländer seien die übermittelten Geldwäscheverdachtsmeldungen einer lückenlosen Analyse unterzogen worden.
Das Instrument der Verdachtsmeldung habe sich vor allem im Bereich der Bekämpfung der Organisierten Kriminalität (OK) als hilfreich erwiesen. In den letzten 10 Jahren seien insgesamt 107 OK-Verfahren eingeleitet worden, denen eine Geldwäscheverdachtsmeldung zugrunde gelegen habe. Das seien durchschnittlich fünf Prozent aller in Deutschland geführten OK-Verfahren.

Weitere Informationen zum Thema:

Financial Intelligence Unit (FIU) Deutschland
Jahresbericht 2016

[datensicherheit.de, 12.10.2012] Zum ersten Mal 2012 haben in der EU alle Mitgliedsstaaten der EU-Agentur für Internetsicherheit, enisa, und der Europäischen Kommission einen Bericht über Störungen in der Internetsicherheit geliefert:
Elf EU-Mitgliedsstaaten berichteten über 51 schwerwiegende Störfälle der elektronischen Kommunikationsnetzwerke oder -dienstleistungen. Die enisa veröffentlichte am 11. Oktober 2012 diesbezüglich den ersten Jahresbericht mit einer Analyse der Vorfälle im Jahr 2011.
Laut Artikel 13a der Telekom-Richtlinie (Directive 2009/140/EC) der EU sind EU-Mitgliedsstaaten verpflichtet, der enisa einen jährlichen Bericht über die größten Störfälle zukommen zu lassen. Der erste Störfall-Bericht für das Jahr 2011 wurde der enisa im Mai 2012 zugestellt. Es erstatteten insgesamt elf Länder Bericht – diese Zahl spiegelt die Tatsache wider, dass viele Länder nationale Regelungen zum Berichtswesen erst gegen Ende des Jahres 2011 umgesetzt haben. In diesem Jahr verfügten die Mitgliedsstaaten über ein besser entwickeltes nationales Berichtswesen – daher erwarteten sie einen Jahresbericht mit dem Zehnfachen an Störfällen, so die enisa-Experten Marnix Dekker and Christoffer Karsberg. Im Jahresbericht 2012 fasst die enisa die Berichte zusammen und analysiert die 51 beschriebenen Störfälle.
Ein Großteil der berichteten Störfälle betreffen demnach das mobile Telefonieren oder das mobile Internet (60 Prozent). Die Vorfälle bezüglich der Mobiltelefonie oder des mobilen Internets beträfen die meisten Nutzer (circa 300.000). Diese Zahl entspreche auch der hohen Zahl der Nutzer des mobilen Internets. Diese Vorfälle zeigten, dass Kommunikationsdienstleitungen (stationär oder mobil) in starker Abhängigkeit zur Energieversorgung stehen. Natürliche Wetterphänomene wie Sturm, Überschwemmungen und starker Schneefall hätten einen großen Einfluss auf die Energieversorgung der Dienstleiter. Die genannten Wetterbedingungen verursachten langanhaltende Störfälle, die im Durchschnitt 45 Stunden andauerten.
Der Jahresbericht liefert darüber hinaus eine Zusammenfassung des Artikels 13a und wie er von der enisa und den EU-Mitgliedsstaaten umgesetzt wurde. Die Störfälle werden näher in der „Artikel-13a-Arbeitsgruppe“ diskutiert, die sich aus allen Aufsichtsbehörden der elektronischen Kommunikation in den EU-Ländern sowie den technischen enisa-Experten zusammensetzt. Im Jahr 2013 werden die enisa und die Europäische Kommission die Berichte zu den Störfällen aus dem Jahr 2012 sammeln – der nächste Jahresbericht soll dann im Frühjahr 2013 veröffentlicht werden.
Sie verfügten zum ersten Mal über einen Überblick der schwerwiegendsten Internet-Störfälle in Europa. Dies sei ein entscheidender Moment in den Bemühungen der EU, die Auswirkungen von Störungen der Internetsicherheit besser zu verstehen, erläutert enisa-Geschäftsführer Professor Udo Helmbrecht. Allerdings beziehe sich dieser Überblick auf eine kleine Teilmenge der Störfälle der Internetsicherheit. Diese Art der Berichterstattung sollte auf eine größere Anzahl an Störfallen sowie mehrere Sektoren erweitert werden.

Weitere Informationen zum Thema:

enisa
Annual Incidents Report 2011

[datensicherheit.de, 31.03.2010] Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, hat am 31. März 2010 seinen Tätigkeitsbericht für das Jahr 2009 vorgestellt:
So nimmt Dr. Dix etwa unter dem Stichwort „Big Brother“ klar Stellung zur Frage einer Videoüberwachung an Schulen – bis hinein in die ins Klassenzimmer. Die Schule solle neben Rechnen und Schreiben auch Demokratie, Achtung der Menschenwürde und Freiheit lehren – eine Videoüberwachung von Klassenräumen, Eingangsbereichen und Schulhöfen sei mit diesen Prinzipien unvereinbar; Überwachungstechnik dürfe Pädagogik nicht ersetzen.
Der Jahresbericht 2009 ist im Internet auf der Website „datenschutz-berlin.de“ abrufbar.

Weitere Informationen zum Thema:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, 31.03.2010
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, stellt heute seinen Tätigkeitsbericht für das Jahr 2009 vor

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit
BERICHT des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2009