Cyberspione zielen auf Verwaltung – Neue Phishing-Gefahren
Manipulierte QR-Codes an Parkautomaten, Phishing mit bekannten Marken: Wie Cyberkriminelle Verbraucher erwischen und wofür sich politisch motivierte Hacker hierzulande besonders interessieren.
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, war von der früheren Bundesinnenministerin, Nancy Faeser (SPD), ernannt worden.
Foto: Britta Pedersen/dpa
Cyberspione haben es in Deutschland vor allem auf die öffentliche Verwaltung abgesehen. Dies geht aus dem aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Eine nennenswerte Anzahl von Geschädigten wurde auch in den Sektoren Verteidigung, Rechtspflege, öffentliche Sicherheit und Ordnung sowie Verteidigung verzeichnet. Das BSI geht jedoch generell von einem großen Dunkelfeld in Bezug auf die Angriffe langfristig agierender Hackergruppen aus.
Bundesinnenminister Alexander Dobrindt (CSU) verweist darauf, dass Deutschland zuletzt hinter den USA, Indien und Japan das am vierthäufigsten durch sogenannte APT-Gruppen angegriffene Land war. APT steht für «Advanced Persistent Threat», was auf Deutsch etwa «Fortgeschrittene, andauernde Bedrohung» bedeutet. Eine APT-Gruppe ist eine gut organisierte Hackergruppe, die gezielt und längerfristig bestimmte Organisationen oder Staaten angreift.
Ransomware-Gruppen ausgeschaltet
Im Bericht des Bundesamtes, der Vorfälle zwischen dem 1. Juli 2024 und dem 30. Juni 2025 umfasst, wird auch auf die neuesten Erfolge im Kampf gegen Cyberkriminalität hingewiesen. Dazu gehören internationale Strafverfolgungsmaßnahmen gegen zwei Gruppen – LockBit und Alphv – die anderen Kriminellen gegen Bezahlung Erpressersoftware bereitstellten.
Die Sicherheitsbehörde betont jedoch gleichzeitig, dass es keinen Grund zur Entwarnung gibt. Das BSI warnt davor, dass viele Unternehmen und Institutionen es Angreifern nach wie vor zu einfach machen. Besonders betroffen sind kleine und mittlere Unternehmen sowie Institutionen mit politischem Bezug, deren Web-Angriffsflächen unzureichend geschützt sind. Einigen Unternehmen fehlt es sogar an der Umsetzung grundlegender, oft sogar kostenloser Präventionsmaßnahmen.
Phishing mit QR-Code und Voice-Phishing
Um sich erfolgreich vor Angriffen zur Ausspähung von Passwörtern und anderen Zugangsdaten – Phishing – zu schützen, sollten die folgenden Hinweise des BSI beachtet werden:
In der ersten Hälfte dieses Jahres nahmen Phishing-Websites im Namen großer Online-Händler stark zu. Hier sollen wohl bekannte Marken Vertrauenswürdigkeit suggerieren.
Im öffentlichen Raum werden zunehmend manipulierte QR-Codes platziert (Quishing). In mehreren Großstädten tauchten solche Codes den Angaben zufolge etwa als Aufkleber an Parkscheinautomaten auf. Autofahrer, die per Scan ihre Parkgebühren zahlen wollten, wurde dadurch auf täuschend echte Phishing‑Webseiten gelockt, wo sie ihre Zahlungsdaten preisgeben sollten.
Zugenommen haben nach Erkenntnissen des BSI sogenannte Vishing-Vorfälle. Dabei geben sich Cyberkriminelle am Telefon gegenüber Mitarbeitern von Firmen oder Behörden als IT‑Support oder gegenüber dem echten IT‑Support als Kollegen aus, um Zugriff auf das IT‑Netz der betroffenen Institution zu erlangen.
Hardware-Probleme
Der Bericht des BSI nennt als Beispiel für gegenwärtige Risiken durch Hardware-Schwachstellen die Chipkarte eines chinesischen Herstellers, die in Zutrittskontrollsystemen vieler Unternehmen, Behörden und Hotels verwendet wird. Forscher haben eine Hardware-Backdoor entdeckt, die es ermöglicht, diese Karte innerhalb weniger Minuten mit einem universellen Schlüssel zu klonen.
Software-Risiken
Zur Frage der Nutzung des Betriebssystems Windows 10 in der Bundesverwaltung sagt die BSI-Präsidentin, Claudia Plattner, noch gebe es zwar Möglichkeiten für Sicherheitsupdates. Der Wechsel zu einem neuen, zukunftsträchtigen Betriebssystem müsse aber dennoch rasch vollzogen werden. Es gebe etliche Ressorts, in denen das schon umgesetzt sei. Daneben gebe es ein paar Häuser, in denen es, «in der Mache ist» und einige Ressorts der Bundesregierung, «wo wir noch ein bisschen anschieben müssen».
Microsoft hat den kostenlosen Standardsupport für Windows 10 am 14. Oktober endgültig eingestellt. Nutzer des Betriebssystems bleiben dann möglicherweise mit Sicherheitslücken alleine, es sei denn, sie entscheiden sich dafür, gegen Gebühr weiterhin Sicherheitsupdates für einen begrenzten Zeitraum zu erhalten.
VPN-Schwachstelle
Besonders problematisch kann es sein, wenn man sich sicher wähnt, etwa weil man über einen sogenannten Tunnel kommuniziert. Zahlreiche Unternehmen und Institutionen «im vorpolitischen Raum» seien zuletzt von Schwachstellen im Bereich von VPN-Software (VPN steht für Virtual Private Network) betroffen gewesen, berichtet Plattner. Wenn dort Schwachstellen nicht schnell genug behoben würden, könne dies zu großen Problemen führen.
Verbraucher suchen Hilfe beim BSI
Fast die Hälfte der knapp 10.500 Anfragen von Verbraucherinnen und Verbrauchern, die innerhalb eines Jahres beim BSI-Service-Center eingegangen sind, betrafen laut Bundesamt konkrete Cybersicherheitsvorfälle – am häufigsten Phishing sowie Accountmissbrauch und Identitätsdiebstahl.
Aus der Tatsache, dass sich in einigen Bereichen der sogenannten kritischen Infrastruktur – dazu zählen etwa Wasserwerke, Telekommunikationsanbieter und Transportunternehmen – die Anzahl der gemeldeten Cybersicherheitsvorfälle im Vergleich zum Vorjahr erhöht hat, ergibt sich nach Einschätzung des BSI nicht zwangsläufig eine erhöhte Gefährdungslage.
Immense wirtschaftliche Schäden
Der Präsident des Branchenverbands Bitkom, Ralf Wintergerst, verweist auf den Rekordschaden für die deutsche Wirtschaft von 202 Milliarden Euro binnen eines Jahres durch Cyberangriffe. Unternehmen müssten ihren technischen Schutz hochfahren und ihre Angriffsflächen vermindern. Gleichzeitig müssten politisch Verantwortliche dafür sorgen, «dass das Schutzniveau der öffentlichen Verwaltung dem der Wirtschaft nicht hinterherhinkt».
