Herr Tschersich, unlängst wurde bekannt, dass die EnBW-Telekommunikationstochter von Hackern angegriffen wurde. Netcom BW meinte dazu, Angriffe auf Telekommunikationsunternehmen seien heutzutage nicht ungewöhnlich. Stimmt das?
Thomas Tschersich: Man kann durchaus noch weiter gehen: Angriffe auf Unternehmen aller Größe und Art sind heute Alltag. Interessante Ziele sind dabei natürlich Betreiber kritischer Infrastruktur. Die Motivation der Angreifer ist allgemein sehr unterschiedlich: Mal geht es darum, mit massenhaften Anfragen auf einen Server die Webseiten eines Unternehmens lahmzulegen und diesem dadurch wirtschaftlich zu schaden. Mal erpressen die Kriminellen Unternehmen, indem sie ihre Daten verschlüsseln und so quasi in Geiselhaft nehmen. In anderen Fällen betreiben die Angreifer Industriespionage oder wollen sensible Daten stehlen. Auch Sabotage an kritischen Infrastrukturen als Motivation ist sicher denkbar. Solche Szenarien klingen natürlich zunächst einmal sehr dramatisch. Man kann sich heutzutage allerdings sehr gut schützen.
Auch Ihr Unternehmen wurde schon von Hackern angegriffen. Was hat die Deutsche Telekom aus diesen Angriffen gelernt, welche Konsequenzen haben Sie daraus gezogen?
Allein unsere digitalen Lockfallen im Netz, die so genannten Honeypots, werden täglich in der Spitze bis zu zwölf Millionen Mal angegriffen. Das sind breit gestreute, wenig differenzierte Attacken wie aus der Schrotflinte geschossen. Dazu kommen allerdings auch ausgeklügelte Angriffe, die natürlich auch die Telekom verzeichnet. Zudem: wir lernen täglich aus den erkannten Angriffen und nutzen diese Erkenntnisse in unserem Security Operations & Cyber Defense Center, unserer „Schaltzentrale“ für Sicherheit.
Wir verfolgen im Wesentlichen vier Prinzipien, um uns zu schützen:
- Patchen, patchen, patchen: Über 90 Prozent aller erfolgreichen Angriffe hätten sich verhindern lassen, wenn die Opfer ihre Software auf dem aktuellsten Stand gehalten hätten. Sobald nämlich Hersteller wie Microsoft Softwareupdates vorstellen, berechnen Kriminelle die Schwachstelle, die dieser Patch schließen soll. Reverse Engineering nennt man das. Oft sind die mit einem Update zu schließenden Schwachstellen schon nach wenigen Stunden bekannt und werden von den Angreifern ausgenutzt. Pech hat da, wer nicht schnell gepatcht, also Updates aufgespielt, hat.
- Security by design: Sicherheit in ein fertiges Produkt zu integrieren wäre in etwa so, wie bei einem Auto nachträglich Airbags einzubauen. Daher durchlaufen alle Services und Produkte bei der Telekom ein sogenanntes Privacy and Security Assessment. Die Idee: Datenschutz und Sicherheit sind von Anfang an dabei, wenn eine Lösung entwickelt oder übernommen wird und beraten, wie man Datenschutz und Sicherheit am besten und sinnvoll integrieren kann.
- Security is for sharing: Sicherheit ist Gemeinschaftssache: Nur wenn wir unser Wissen über Cyberattacken und erfolgreiche Abwehrmaßnahmen teilen, können andere davon profitieren und sich besser schützen „Security is for sharing“ nennt die Telekom dieses Prinzip der Transparenz und der digitalen Nachbarschaftshilfe. Sie vernetzt sich mit internationalen Experten, Unternehmen und Behördenmit dem Ziel, sich zeitnah und unbürokratisch über aktuelle Bedrohungen auszutauschen. Und sie schätzt die Hinweise von Experten, die ihr Schwachstellen in der Telekom IT-Umgebung melden.
- Analyse vor Prävention: Jahrelang galt in der Cyberabwehr das Paradigma „Prävention vor Analyse“. Die immer gewiefteren Angriffe haben die Reihenfolge umgedreht: Analyse vor Prävention heißt es heute. Warum? Es ist nur eine Frage der Zeit, bis ein Unternehmen erfolgreich angegriffen wird. Dann kommt es darauf an, den Angriff möglichst schnell zu erkennen, um den Angreifer möglichst schnell vor die Tür zu setzen – und das geht nur mit modernsten Analysemethoden, die Abweichungen und Auffälligkeiten möglichst schnell erkennen.
Die Telekom unterhält eine Vielzahl zum Teil selbst konstruierter Analysewerkzeuge und fügt die Erkenntnisse aus eigenen und den Analysen von Partnern in ihre Systeme zur weiteren Verbesserung des Schutzes ein.
Wie geht man im Falle eines Angriffs damit öffentlich am besten um?
Ganz klar: Offenheit! Viele Unternehmen, die angegriffen wurden, schweigen, weil sie Angst haben, zwei Mal Opfer zu werden: Opfer des Angriffs und Opfer der Berichterstattung. Das ist fatal, denn so
werden Cyberangriffe oft nicht vollumfänglich untersucht, und Erkenntnisse über die Attacke kommen anderen Unternehmen oder Institutionen nicht zu Gute. Es ist keine Schande, erfolgreich
angegriffen zu werden. Wichtig ist, wie professionell Betroffene damit umgehen.
Es heißt auch zunehmend, dass Mitarbeiter das Einfallstor für Hacker sind. Was kann man dagegen tun und wie sensibilisieren Sie Ihre Mitarbeiter?
Mitarbeiter werden oft dazu genutzt, um Schadcode in ein Unternehmen zu schleusen. Wir sensibilisieren unsere Mitarbeiter über Schulungen und einen Parcours, bei dem sie unmittelbar
erleben können, welche Tricks Kriminelle nutzen, um digital in ein Unternehmen zu gelangen. Und neben diesen Schulungen sind natürlich die geschilderten Analysen zentral.
Nehmen Angriffe auf die IT-Sicherheit in Ihrem Unternehmen zu? Werden die Angriffe bedrohlicher?
Die Angriffe nehmen generell zu, und wir beobachten in der Tat, dass sie immer ausgefeilter werden. Das liegt unter anderem daran, dass immer wieder Angriffswerkzeuge von Geheimdiensten und Staaten abhanden kommen und anschließend veröffentlicht werden. Dadurch erhalten auch Cyberkriminelle Zugang zu mächtigen Werkzeugen zur Verbreitung ihres Schadcodes.
Wird es immer bei diesem ewigen Wettrüsten bleiben, Hacker gegen Unternehmen?
Ja, es ist nicht abzusehen, dass dieses Rennen irgendwann einmal zum Ende kommt. Die technische Weiterentwicklung wird immer neuen Raum für Angriffe und Abwehr bieten.
Was ist nötig, damit die Digitalisierung nicht aus dem Ruder läuft?
Ruhe bewahren. Die meisten Angriffe lassen sich mit dem schon oben beschriebenen Mittel verhindern: Softwareupdates zeitnah einspielen. Für alles Weitere ist es für viele Unternehmen
sinnvoll, sich Partner mit ins Boot zu holen, die sich mit dem Schutz von IT-Infrastruktur auskennen und immer auf dem aktuellen Stand sind, was Angriffe und Abwehrmöglichkeiten betrifft.
Hätten Sie hier Wünsche an die Politik, wie sich die Situation verbessern lässt?
Bei Privatleuten und leider auch vielen Unternehmen existiert noch immer kein „flächendeckendes“ Bewusstsein für Cyberbedrohungen. Daher muss der Staat seine Bemühungen zur Information und Sensibilisierung von Bürgern und Unternehmen intensivieren. Darüber hinaus fehlen in Unternehmen Cybersecurity-Fachkräfte. Bund und Länder sind gefordert, eine gemeinsame Aus- und Weiterbildungsagenda insbesondere im Bereich der IT-Kompetenzen aufzustellen und umzusetzen. Notwendig ist auch die Etablierung eines eigenen Ausbildungsberufes „Cyber Security Professional“. Da Cybersicherheit aber nicht nur national gedacht werden darf, ist die Entwicklung von Cybersicherheitsnormen notwendig, die einen einheitlichen, verbindlichen und verlässlichen Standard für Staaten – und – Unternehmen definieren – europäisch und weltweit. Eine solche Richtschnur würde erheblich dazu beitragen, das Sicherheitsniveau zu steigern und die Bekämpfung von Cyberkriminalität auch international zu vereinfachen.
Die Fragen stellte Stephanie Gust
Thomas Tschersich ist Leiter Cybersecurity bei der Deutschen Telekom
