„Hase und Igel“ in der Cybersicherheit

Wer hätte das gedacht: Cyberkriminelle folgen geordneten Bürozeiten, haben am Wochenende frei und machen Sommerferien. Das lässt sich zumindest anhand von Timecodes vermuten, die in professionelle Schadprogramme wie den Trojaner Emotet eingelagert sind. Damit Spam und Fake-Webseiten authentisch aussehen, gibt es im Darknet Stellenanzeigen für Grafiker und Webdesigner.

Das erfuhr eine Gruppe der Kölner Journalisten-Vereinigung (KJV), die im November das Security Operation Center (SOC) der Telekom in Bonn besuchte. Die Cyber-Abwehrzentrale befasst sich intensiv mit den dunklen Ecken des Internets, um zu verstehen, wie die hellen Bereiche zu schützen sind. Eine große Aufgabe, denn die Zahl der Hackerangriffe und Cyberattacken wächst rasant. Wurden zu Jahresbeginn 30 Millionen Angriffe pro Tag (!) erfasst, sind es inzwischen mindestens doppelt so viele – mit Ausreißern nach oben. Und es ist ein Wettlauf wie „Hase und Igel“: Auf jede neue Schadsoftware folgen neue Abwehrmaßnahmen, auf jede erfolgreiche Schutzmaßnahme anders geartete Angriffe auf neue Schwachstellen der Systeme. Wobei der Mensch einer der wichtigsten Schwachpunkte bleibt. Ein Gutteil von Schadsoftware installiert sich durch einen unbedachten Klick auf den falschen Link.

Das SOC wacht nicht nur über die IT der Telekom, sondern arbeitet auch für externe Kunden. Bonn ist der größte unter den fünf deutschen Standorten. Weltweit unterhält die Telekom 13 Sicherheitscenter. Täglich eine Milliarde sicherheitsrelevanter Daten aus 3.000 Datenquellen werden hier ausgewertet. Im regulären Drei-Schichtbetrieb bearbeiten die Mitarbeiterinnen und Mitarbeiter KI-gestützt rund 1.000 Anfragen.
Weitere Analysten befassen sich im Hintergrund mit der „Threat Intelligence“: Sie werten die Bedrohungslage für die IT-Sicherheit aus und entwickeln Werkzeuge zur Abwehr. Dabei versuchen sie, der Gegenseite in der erwähnten „Hase-und-Igel “-Logik durch das Erkennen von Trends voraus zu sein. Um Infrastruktur, Regierungen,
Unternehmen und Privatleute zu schützen, arbeitet die Securitiy-Szene in Deutschland, aber auch international eng zusammen.

Die Angriffe auf die digitale Infrastruktur reichen vom einfachen „Türenschütteln“ durch Bots, also dem automatisierten Ansteuern zahlloser Punkte, um offene Ports und andere digitale Schwachstellen zu finden, bis zu gezielten Angriffen durch hochprofessionelle Einheiten, seien es kriminelle oder staatliche Organisationen.
Letztere beschränken sich keineswegs auf Länder wie China und Russland, wie oft
vermutet wird. Auch westliche Länder nutzen Hacks zum Beispiel zur Destabilisierung feindlicher Regime, etwa indem sie die Infrastruktur angreifen.||