Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Montag eine neue Warnmeldung zur IT-Infrastruktur deutscher Mittelständler herausgegeben. Die Behörde stellte fest, dass die Anweisung Check If Port Is Open zunehmend automatisiert von externen Akteuren genutzt wird, um ungeschützte Zugangspunkte in kritischen Systemen zu identifizieren. Ein Sprecher des BSI erklärte in Bonn, dass die Zahl der Scan-Aktivitäten im Vergleich zum Vorjahr um 22 Prozent gestiegen sei.
Der Bericht stützt sich auf Daten des Internet-Sicherheitsunternehmens Cloudflare, das in seinem jüngsten DDoS-Lagebericht eine Zunahme von Aufklärungsversuchen verzeichnete. Angreifer nutzen diese Methoden, um festzustellen, welche Dienste über das Internet erreichbar sind. Sobald eine Verbindung zu einem offenen Port hergestellt wird, versuchen die Akteure, bekannte Sicherheitslücken in den dahinterliegenden Anwendungen auszunutzen.
Experten der Allianz für Cyber-Sicherheit wiesen darauf hin, dass die bloße Erreichbarkeit eines Dienstes bereits ein Risiko darstellt. Viele Unternehmen betreiben Server mit veralteten Softwareversionen, die keine aktuellen Sicherheitspatches erhalten haben. Dies führt dazu, dass eine einfache Abfrage der Port-Verfügbarkeit zur Einleitung komplexer Ransomware-Attacken führt.
Sicherheitsrisiken durch Check If Port Is Open
Die Überprüfung von Netzwerkports gehört standardmäßig zum Instrumentarium von Systemadministratoren zur Fehlersuche. Wenn jedoch unbefugte Dritte die Funktion Check If Port Is Open massenhaft anwenden, dient dies der Erstellung digitaler Landkarten von Unternehmensnetzwerken. Christian Meyer, ein Analyst für Netzwerksicherheit, betonte, dass viele Administratoren die Sichtbarkeit ihrer Infrastruktur unterschätzen.
Laut einer Untersuchung der Bitkom aus dem Jahr 2024 verursachen Cyberangriffe in Deutschland einen jährlichen Gesamtschaden von über 200 Milliarden Euro. Ein erheblicher Teil dieser Angriffe beginnt mit der Identifikation offener Schnittstellen. Die Kriminellen nutzen dabei oft skriptgesteuerte Abfragen, um tausende IP-Adressen gleichzeitig zu testen.
Die technische Umsetzung solcher Abfragen erfolgt meist über das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP). Während legitime Anwendungen diese Kommunikation für den Datenaustausch benötigen, nutzen Angreifer das Antwortverhalten der Systeme, um das Betriebssystem und die Version der Dienste zu bestimmen. Diesen Vorgang bezeichnen Fachleute als Banner Grabbing.
Rechtliche Rahmenbedingungen und Überwachung
Das Bundesministerium der Justiz prüft derzeit eine Verschärfung der gesetzlichen Vorgaben für die Meldung von Sicherheitsvorfällen. Unternehmen sind bereits nach der NIS-2-Richtlinie der Europäischen Union verpflichtet, signifikante Störungen an die zuständigen Behörden zu melden. Diese Richtlinie wurde in deutsches Recht umgesetzt und erweitert den Kreis der betroffenen Sektoren erheblich.
Juristen weisen darauf hin, dass das reine Scannen von Ports in Deutschland rechtlich in einer Grauzone liegt. Solange keine Schutzmaßnahmen überwunden werden, liegt laut Paragraf 202a des Strafgesetzbuches oft noch kein Ausspähen von Daten vor. Dennoch fordern Industrieverbände eine klarere Definition von schädlichen Scan-Aktivitäten, um strafrechtliche Verfolgungen zu erleichtern.
Die Datenschutz-Grundverordnung (DSGVO) spielt in diesem Kontext ebenfalls eine Rolle. Wenn durch offene Ports personenbezogene Daten gefährdet werden, drohen den betroffenen Unternehmen empfindliche Bußgelder. Die Europäische Agentur für Cybersicherheit (ENISA) empfiehlt daher eine strikte „Default-Deny“-Politik für alle Firewall-Konfigurationen.
Technische Gegenmaßnahmen der Industrie
Große Cloud-Anbieter haben damit begonnen, integrierte Schutzmechanismen gegen automatisierte Port-Scans anzubieten. Diese Systeme erkennen Muster in den Anfragen und blockieren verdächtige IP-Adressen in Echtzeit. Die Implementierung solcher Lösungen erfordert jedoch oft spezifisches Fachwissen, das in kleineren Betrieben nicht immer vorhanden ist.
Ein verbreitetes Verfahren zur Absicherung ist die Nutzung von Virtual Private Networks (VPNs). Durch diese Tunneltechnologie bleiben die internen Dienste für das öffentliche Internet unsichtbar. Anfragen mit dem Ziel Check If Port Is Open laufen in diesem Fall ins Leere, da die Firewall nur verschlüsselten Datenverkehr von autorisierten Endgeräten akzeptiert.
Herausforderungen bei der Implementierung
Die Umstellung auf sicherere Netzwerkstrukturen ist für viele Organisationen mit hohen Kosten verbunden. Oft müssen alte Hardwarekomponenten ersetzt werden, die moderne Verschlüsselungsstandards nicht unterstützen. Zudem führen strengere Firewall-Regeln manchmal zu Problemen bei der Erreichbarkeit legitimer Dienste für Kunden und Partner.
IT-Abteilungen berichten regelmäßig über Konflikte zwischen Sicherheitsbedürfnissen und Benutzerfreundlichkeit. Wenn Sicherheitsfilter zu sensibel eingestellt sind, werden auch harmlose Anfragen blockiert. Dies führt zu Verzögerungen im Geschäftsbetrieb und erhöht den Supportaufwand innerhalb des Unternehmens.
Globale Bedrohungslage und staatliche Akteure
Geheimdienste beobachten eine Zunahme von Port-Scanning-Aktivitäten, die staatlichen Akteuren zugeschrieben werden. Diese Gruppen suchen gezielt nach Schwachstellen in der kritischen Infrastruktur, wie etwa bei Energieversorgern oder im Gesundheitswesen. Ziel ist nicht immer der sofortige Datendiebstahl, sondern oft die Platzierung von Hintertüren für spätere Sabotageakte.
Das National Cyber Security Centre (NCSC) in Großbritannien veröffentlichte kürzlich einen Bericht über die Aktivitäten der Gruppe APT28. In diesem Dokument wird detailliert beschrieben, wie die Gruppe systematisch Netzwerke scannt, um Einstiegspunkte zu finden. Die Experten betonen, dass die Aufrechterhaltung der Netzwerkhygiene die wichtigste Verteidigungslinie darstellt.
Internationale Kooperationen zwischen Strafverfolgungsbehörden haben in der Vergangenheit zur Zerschlagung von Botnetzen geführt, die für großflächige Scans genutzt wurden. Die Operation „Endgame“ im Mai 2024 war ein Beispiel für eine erfolgreiche grenzüberschreitende Aktion gegen Cyberkriminelle. Trotz dieser Erfolge entstehen ständig neue Infrastrukturen, die ähnliche Funktionen übernehmen.
Die Rolle von Künstlicher Intelligenz in der Verteidigung
Künstliche Intelligenz wird zunehmend eingesetzt, um die Analyse von Netzwerkverkehr zu automatisieren. Diese Systeme können zwischen legitimen Wartungsarbeiten und bösartigen Auspähversuchen unterscheiden. Durch maschinelles Lernen erkennen die Programme Anomalien im Kommunikationsverhalten, die menschlichen Administratoren entgehen würden.
Unternehmen wie Darktrace oder Palo Alto Networks bieten Lösungen an, die das normale Verhalten eines Netzwerks über Wochen hinweg erlernen. Wenn eine plötzliche Welle von Verbindungsanfragen auftritt, schlägt das System Alarm. Diese proaktive Herangehensweise verkürzt die Zeit zwischen der Entdeckung einer Bedrohung und der Einleitung von Gegenmaßnahmen.
Kritiker geben jedoch zu bedenken, dass auch Angreifer zunehmend KI nutzen. Automatisierte Skripte können ihre Taktik anpassen, um die Erkennungsmechanismen der Verteidiger zu umgehen. Dies führt zu einem technologischen Wettrüsten, bei dem die Geschwindigkeit der Reaktion über den Erfolg der Verteidigung entscheidet.
Ausblick auf die künftige Netzwerksicherheit
Die Entwicklung neuer Protokolle wie HTTP/3 und die zunehmende Verbreitung von IPv6 verändern die Art und Weise, wie Netzwerke gescannt werden. Der riesige Adressraum von IPv6 macht das einfache Durchtesten aller Kombinationen unmöglich. Dennoch finden Angreifer neue Wege, um aktive Geräte in diesen Netzen aufzuspüren.
In den kommenden Monaten wird die Einführung des neuen IT-Sicherheitsgesetzes in Deutschland erwartet. Dieses Gesetz soll die Befugnisse des BSI erweitern und strengere Anforderungen an die Betreiber kritischer Infrastrukturen festlegen. Marktbeobachter rechnen damit, dass die Investitionen in präventive Sicherheitstechnologien weiter steigen werden.
Ungeklärt bleibt bisher, wie international agierende Kriminelle in Jurisdiktionen ohne Rechtshilfeabkommen effektiver bekämpft werden können. Die Diplomatie steht hier vor der Herausforderung, globale Standards für das Verhalten im Cyberspace zu etablieren. Beobachter verfolgen gespannt die Verhandlungen über ein neues UN-Abkommen zur Cyberkriminalität, das Ende des Jahres finalisiert werden soll.
