Hackerattacken"400.000 Angriffe am Tag"

Unternehmen wie die Telekom werden über das Netz und von innen bedroht. Erstmals spricht der neue Datenschutz-Vorstand Thomas Kremer über kriminelle Mitarbeiter, Hackerattacken und Verteidigungsstrategien. von 

DIE ZEIT: Sie sind also der neue Konzernsheriff der Telekom. Richtig?

Thomas Kremer: Das ist etwas zu kurz gegriffen. Ich bin im Vorstand der Telekom verantwortlich für Datenschutz, Recht, Compliance und IT-Sicherheit. Dazu braucht es nicht nur die Qualitäten eines Sheriffs.

Anzeige

ZEIT: Aber Sie sorgen schon dafür, dass sich die Mitarbeiter an Recht und Gesetz halten?

Kremer: So sollte es selbstverständlich sein. Vor allem muss ich sicherstellen, dass die Telekom weltweit so organisiert ist, dass alle die Spielregeln kennen und befolgen.

ZEIT: Bevor Sie zur Telekom kamen, hatten Sie bei ThyssenKrupp einen ähnlichen Job. Dort scheint man mit den Spielregeln des Kartellrechts ja gewisse Probleme zu haben...

Kremer: ...jetzt bin ich bei der Telekom und habe ein neues Aufgabengebiet. Belassen wir es dabei.

Thomas Kremer

Der 53-jährige Jurist ist seit Juni 2012 neues Vorstandsmitglied bei der Deutschen Telekom und vor allem für den Schutz und die Sicherheit von Daten zuständig. Er folgt auf Manfred Balz, für den das Ressort 2008 neu gegründet wurde, um die sogenannte Spitzelaffäre um überwachte Kommunikationsdaten von Mitarbeitern und Journalisten aufzuarbeiten.

Bevor er zur Telekom wechselte, arbeitete Kremer rund 18 Jahre lang in verschiedenen juristischen Positionen bei ThyssenKrupp. Dort hatte er mit heiklen Themen zu tun, etwa der Aufarbeitung wettbewerbswidriger Absprachen in der Aufzugssparte oder zuletzt mit dem Verdacht, das Unternehmen sei Teil eines Kartells um Eisenbahnschienen.

ZEIT: Gerne. Wie hoch ist denn die Kriminalitätsrate bei der Telekom?

Kremer: Wir sind auf gutem Wege, die Zahl der Vorfälle weiter zu reduzieren. Und wir lassen das auch von externen Gutachtern überprüfen...

ZEIT: Geht es etwas konkreter? Mit welchen Fällen hat die Telekom zu tun? Mit Diebstahl? Oder Korruption?

Kremer: Bei rund 240.000 Mitarbeitern gibt es bei der Telekom Kriminalfälle, die Sie auch in einer Stadt dieser Größenordnung finden würden: vom Diebstahl von Druckerpatronen und Smartphones über falsche Spesenabrechnungen bis zu Korruptionsversuchen. Nichts davon wird toleriert. Unsere Kriminalitätsrate dürfte im Durchschnitt der deutschen Industrie liegen. Wichtig ist, dass der ganze Konzern von dem Gedanken durchdrungen wird, dass man sich an Regeln zu halten hat. Wir im Management treiben das voran – durch Richtlinien, Schulungen, aber auch durch unser »Tell me!«-Portal.

ZEIT: Ihre Plattform für Whistleblower?

Kremer: Das ist richtig. Dort können Mitarbeiter auf Missstände aufmerksam machen.

ZEIT: Was bekommen Sie denn auf diesem Weg zu hören?

Kremer: Ganz unterschiedliche Dinge, da kann es beispielsweise um Bestechungsversuche oder Provisionsbetrug gehen. In den beiden vergangenen Jahren haben wir so jeweils rund 200 Meldungen über mögliche Regelverstöße erhalten. Jedem davon gehen wir nach. Alles in allem bin ich mit dem Portal sehr zufrieden.

ZEIT: Die EU-Kommission denkt derzeit darüber nach, Whistleblowern Geld zu zahlen, damit sie auspacken. Was halten Sie von der Idee?

Kremer: Eines mal vorweg: Hinweisgeber aus den eigenen Reihen sind keine Denunzianten, sondern wertvolle Hilfen. Was die Pläne der Kommission angeht, bin ich eher skeptisch. Wir müssen verhindern, dass Hinweise auf Rechtsverstöße kommerzialisiert werden. Bei der Telekom haben wir ein gut funktionierendes Hinweisgeberportal, bei dem sich unsere Mitarbeiter melden und offen oder anonym Hinweise geben können.

ZEIT: Vielleicht kämen ja noch bessere Hinweise, wenn Whistleblower bezahlt würden? Wie etwa in den Vereinigten Staaten.

Kremer: Dass es in den USA anders läuft und staatliche Prämien gibt, ist sicher auch kulturell bedingt. Sobald es um Geld geht, starten Diskussionen, wie viel man wo rausholen kann. So eine Entwicklung möchte ich, wenn möglich, vermeiden.

ZEIT: Bedrohungen für die Telekom kommen ja nicht nur aus den eigenen Reihen, sondern auch von außen. Im September wurde sie Ziel eines groß angelegten Hackerangriffs.

Kremer: Wir haben den Angriff rechtzeitig bemerkt und abgewehrt, bevor er Auswirkungen für Kunden haben konnte. Jetzt ermittelt die Staatsanwaltschaft. In der Tat sind Datenschutz und Datensicherheit für uns von großer Bedeutung. Unsere Geschäfte haben sehr viel mit sensiblen Informationen zu tun, da müssen unsere Kunden einfach darauf vertrauen können, dass ihre Daten bei uns sicher sind.

ZEIT: Logisch.

Kremer: Das sagt sich so leicht! In der Vergangenheit hat die Telekom das nicht immer so gehandhabt. Vor Jahren hatte uns ein Datenskandal viel Kundenvertrauen gekostet...

ZEIT: ...etwa als 2006 die Daten mehrerer Millionen Handykunden entwendet wurden.

Kremer: Aus diesem tiefen Tal haben wir uns mit großer Mühe herausgearbeitet. Heute bewegen wir uns bei Datenschutz und Datensicherheit auf einem sehr hohen Niveau und sind führend unter den Telekommunikationsunternehmen und darüber hinaus. Diesen Vorsprung werden wir ausbauen. Schließlich bieten wir immer mehr internetgestützte Dienstleistungen an...

ZEIT: ...Datenverkehr wird also wichtiger als Telefongespräche...

Kremer: ...und zugleich wachsen die Angriffe über das Internet sehr schnell.

ZEIT: Was meinen Sie damit?

Kremer: Die Zahl der Internetangriffe auf uns hat sich innerhalb eines Jahres verdoppelt. Und das kann so weitergehen, vielleicht wird sich der Trend sogar noch beschleunigen.

ZEIT: Wie verteidigen Sie sich?

Kremer: Zunächst analysieren wir die Methoden der Angreifer. Dazu locken wir sie auf isolierte Systeme, die Schwachstellen simulieren. Diese sogenannten Honigtöpfe sollen den Anschein leichter Ziele machen. Dabei können wir viel lernen. Wenn wir nämlich wissen, wo die Angreifer ansetzen, können wir unsere Schutzmaßnahmen gezielt verbessern. Und Sie glauben gar nicht, wie viele Viren, Trojaner und sonstige Schadprogramme im Netz unterwegs sind und hier ankommen. Als Spitzenwert haben wir innerhalb eines Tages 400.000 digitale Angriffe auf unsere Systeme registriert. Wie gesagt, ohne Schaden für unsere Kunden.

ZEIT: Ist dieser Wert repräsentativ für die ganze Industrie im Land?

Kremer: Vermutlich, aber ich weiß es nicht. Genau das ist ein ganz großes Problem. Wie die digitalen Angriffe auf deutsche Unternehmen insgesamt aussehen, ist weitgehend unbekannt. Wer attackiert wird, errichtet meist Mauern des Schweigens um sich, weil er um seine Reputation fürchtet. Diese Mauern müssen wir einreißen! Die deutsche Industrie kann sich auf Dauer nur effizient gegen digitale Bedrohungen schützen, wenn sie zusammenarbeitet. Deswegen setzen wir bei der Telekom auf Transparenz und haben beispielsweise den Hackerangriff vom September öffentlich gemacht. Vielleicht ist das ein Beispiel für andere, sich ebenfalls zu öffnen. Gemeinsam können wir uns viel besser wehren, denn die Angreifer rüsten ebenfalls auf.

ZEIT: Der Bundesinnenminister erwägt eine Meldepflicht für digitale Attacken.

Kremer: Dass Unternehmen Angriffe melden sollen, unterstützen wir. Wenn das nicht freiwillig funktioniert, brauchen wir eine Verpflichtung. Wir benötigen aber nicht nur Statistiken, sondern auch Abwehrstrategien.

ZEIT: Was schwebt Ihnen vor?

Kremer: Die IT- und Telekommunikationsindustrie sollte beispielsweise ein gemeinsames und unabhängiges Testzentrum einrichten. Darin könnten alle beteiligten Unternehmen kritische Netzkomponenten wie Router auf Sicherheit gegen digitale Angriffe überprüfen. Jeder stellt sein Wissen und seine Testverfahren zur Verfügung, damit alle voneinander lernen können. Neben den Unternehmen sollte sich auch die öffentliche Hand engagieren, konkret das Bundesamt für Sicherheit in der Informationstechnik. Am Ende steht womöglich eine Art TÜV-Siegel für digitale Sicherheit. Ein Prüfzeichen, dass ein technisches Produkt den strengsten deutschen IT-Sicherheitskriterien von Privatwirtschaft und Staat entspricht. Das muss nicht auf Deutschland beschränkt bleiben, auch ein europäisches Siegel ist vorstellbar.

ZEIT: Welche Unternehmen wollen dabei mitmachen?

Kremer: Namen will ich noch nicht nennen, aber das Interesse ist definitiv vorhanden. Wir stehen da ganz am Anfang. Zunächst brauchen wir die Unterstützung der Politik für das Thema.

ZEIT: Warum sollte die Politik Ihnen denn bei dem Vorhaben helfen?

Kremer: Weil sichere Informationstechnologie elementar wichtig für den Standort Deutschland ist. Hacker sind kaum noch Einzelgänger, die auf Schwachstellen hinweisen wollen. Da ist sehr viel organisierte Kriminalität im Spiel. Unternehmen werden mit der Drohung erpresst, ihre Computersysteme lahmzulegen...

ZEIT: ...auch die Telekom?

Kremer: Nein. Aber wir wissen, dass so etwas in Deutschland bereits vorgekommen ist. Ferner steigt die Bedrohung durch digitale Industriespionage. Eine Volkswirtschaft darf diese Gefahr nicht unterschätzen.

ZEIT: Im Verdacht der digitalen Spionage steht immer wieder China. Wie sehen Sie das?

Kremer: Reden ist das eine, Wissen ist das andere. Und im Ergebnis wissen wir nichts.

ZEIT: Wissen die USA mehr? Erst im Oktober bezeichnete ein Kongressausschuss die chinesischen Telekommunikationsausrüster Huawei und ZTE als Risiko für die nationale Sicherheit. Deren Technik ermögliche Cyberattacken und Industriespionage.

Kremer: Natürlich nehmen wir Warnungen des US-Kongresses sehr ernst. Der Bericht war allerdings eher vage. Darin ging es vor allem um die – nach westlichem Verständnis – wenig transparenten Firmenstrukturen.

ZEIT: Arbeitet die Telekom denn mit den beiden Unternehmen zusammen?

Kremer: Huawei und ZTE gehören zu unseren Zulieferern, wir verwenden ihre Technik in unseren Netzen. Wir schauen uns deren Komponenten aber sehr genau an und überprüfen sie äußerst intensiv. Bis jetzt haben wir keinen konkreten Hinweis auf eine mögliche Industriespionage gefunden. Aus heutiger Sicht sind ZTE und Huawei kein Sicherheitsrisiko. Aber natürlich bleiben wir wachsam, das sind wir unseren Kunden schuldig.

Zur Startseite
 
Leserkommentare
  1. um ihn zu verstehen muß man folgenden Code kennen:

    kriminelle Mitarbeiter: (wahrscheinlich) Service Personal
    Hacker Angriff: Kunden, die sich beschweren
    Abwehrmethoden: Call Center + Warteschleife

    Sorry, dass mußte sein.

    Aber die Telekom könnte wirklich einen Großteil der Hackerangriffe in den Griff bekommen, wenn alle durch ihre CallCenter müßten. Da kommen nur die Härtesten durch. Und dann ein bisschen Sicherheitstechnik obendrauf und fertig ist der Lack.

    • lufkin
    • 01. Dezember 2012 9:51 Uhr

    Wie kann man in einem Atemzug noch eine Meldepflicht befürworten wenn man zuvor von bis zu 400.000 Angriffen an einem Tag gesprochen hat? Wer soll das alles verarbeiten?
    Nimmt man die ganze dt. Industrie und die Behörden zusammen, kommt man täglich sicher schnell auf einen zweistelligen Millionenbetrag potentieller Angriffe. Die alle zu erfassen, zu protokollieren und zentral auszuwerten und zu verwalten ist Wahnsinn und wenn man einfach nur sammelt, Unternehmen Y hat heute soundso viele Angriffe verzeichnet, kann man es auch gleich lassen, denn das nütz niemandem.
    Es müsste imo nur eine Meldepflicht für erfolgreich kompromittierte Nutzer- und Kundendaten her aber jeden Angriff zu melden ist Blödsinn.

    Reaktionen auf diesen Kommentar anzeigen
    • t_t_h
    • 01. Dezember 2012 10:14 Uhr

    Es kommt doch immer darauf an, was ein "Angriff" ist und wie dieser bewertet wird.
    Die 400.000 von denen Herr Kremer spricht waren sicherlich keine einzelnen, voneinander unabhängigen Angriffe.
    Ich tippe mal eher auf ein Botnetze, die "Distributed Denial-of-Service" (DDOS) Angriffe ausführen. Mit ein bisschen Statistik kann man sicherlich die 400.000 auf einige wenige (ca 1-100) meldbare Angriffe herunterbrechen. Oder man definiert gewisse Gefährdungsgerade ab denen ein Angriff gemeldet werden muss.
    Z.B. ob die Datensicherheit gefährdet wurde oder das Verfügbarkeit eines Systems.
    Ein einfacher Portscan ist für sich gesehen ungefährlich, kann aber trotzdem von Intrusion-Detection-Systemen erkannt werden. Melden muss man ihn deshalb nicht.

    • t_t_h
    • 01. Dezember 2012 10:14 Uhr

    Es kommt doch immer darauf an, was ein "Angriff" ist und wie dieser bewertet wird.
    Die 400.000 von denen Herr Kremer spricht waren sicherlich keine einzelnen, voneinander unabhängigen Angriffe.
    Ich tippe mal eher auf ein Botnetze, die "Distributed Denial-of-Service" (DDOS) Angriffe ausführen. Mit ein bisschen Statistik kann man sicherlich die 400.000 auf einige wenige (ca 1-100) meldbare Angriffe herunterbrechen. Oder man definiert gewisse Gefährdungsgerade ab denen ein Angriff gemeldet werden muss.
    Z.B. ob die Datensicherheit gefährdet wurde oder das Verfügbarkeit eines Systems.
    Ein einfacher Portscan ist für sich gesehen ungefährlich, kann aber trotzdem von Intrusion-Detection-Systemen erkannt werden. Melden muss man ihn deshalb nicht.

    Antwort auf "Meldepflicht... "
  2. hat die ehemalige Behörde, bei der jetzt AG obendrüber steht, nötig.

    Als ich vor ein paar Jahren bei denen meinen Anschluss kündigte führten die sich unmöglich auf.

    Den Begriff Kündigung verstehen die als Einladung zum palavern und drohten mir mit der Abschaltung.

    Aber anstatt mich abzuschalten kassierten sie fleißig weiter.

  3. Ein digitales Prüfsiegel ist sicher ein Schritt in die richtige Richtung. Jedoch nicht in die der "Sicherheit", sondern in die des Bewusstwerdens technischer Unsicherheit. Technische Standards waren noch nie eine schlechte Idee. Aber man darf dem ganzen nicht das Image der Unfehlbarkeit geben.

    Zu der Ermöglichung solcher Standards sollte man aber vorher das Gesetz kippen, das zur Zeit (immer noch) alle Systemadministratoren zu Kriminellen macht, wenn sie ihre Systeme testen wollen. Computerprogramme, die einen Angriff ausführen oder simulieren können, sind (afaik) nach wie vor illegal.

  4. Der Staat soll helfen, weil die digitale Bedrohung für die deutsche Wirtschaft eine Gefahr darstellt und er den Unternehmen künftig mit Subventionen zur Gefahrenabwehr beispringen soll?

    Das könnte ich verstehen, wenn der Interviewte ein Bäckermeister wäre, der sich um seine Backrezepte sorgt. Von einem Telekommunikationsunternehmen aber, dessen Geschäftsmodell auf dem digitalen Austausch von Daten und deren Sicherheit basiert, klingt das 1. besorgniserregend und 2. nach der Vorbereitung auf privatwirtschaftliches Subventionsschmarotzertum.

    Liebe Telekom, wenn du ein Problem, deines Kerngeschäftes nicht ohne zusätzliche Steuergelder in den Griff bekommst, dann mach den Laden zu!

    Reaktionen auf diesen Kommentar anzeigen
    • Panic
    • 01. Dezember 2012 12:35 Uhr

    steht da gar nichts. Woher haben Sie diese Aussage? Fest steht, dass Konzerne dieser Größe kontinuierlich attackiert werden. Und davor müssen sie sich schützen. Wem das alles zu virtuell ist, der kann sich das ja auch mal anders vor Augen führen: Ein Gebäude, das ständigen Angriffen ausgesetzt ist. Da kommen Menschen mit der Leiter, einem Dietrich, C4 oder schleichen sich mal eben am Sicherheitsdienst vorbei. Whatever...

    Erstaunlicherweise werden die virtuellen Gefahren immer noch unterschätzt, weil hier, zumindest physisch, erst mal niemand direkt angegangen wird. Fakt ist: Es ist illegal und kriminell. Das Ziel ist doch klar, wie bei einem klassischen Bankraub: Eindringen und nehmen, was man benötigt. Selbst wenn es darum ginge nur Chaos zu verursachen. Die Kosten, die hiebei verursacht werden sind enorm. Ich persönlich habe keinen Bock, dass mir jemand meine Festplatten mal eben löscht oder sich in meine Registry einnistet. Nochmal: Würde ich nachts aufwachen, und jemand stünde in meine Küche, dann würde ich auch Cops rufen.

    cheers

    • Panic
    • 01. Dezember 2012 12:35 Uhr

    steht da gar nichts. Woher haben Sie diese Aussage? Fest steht, dass Konzerne dieser Größe kontinuierlich attackiert werden. Und davor müssen sie sich schützen. Wem das alles zu virtuell ist, der kann sich das ja auch mal anders vor Augen führen: Ein Gebäude, das ständigen Angriffen ausgesetzt ist. Da kommen Menschen mit der Leiter, einem Dietrich, C4 oder schleichen sich mal eben am Sicherheitsdienst vorbei. Whatever...

    Erstaunlicherweise werden die virtuellen Gefahren immer noch unterschätzt, weil hier, zumindest physisch, erst mal niemand direkt angegangen wird. Fakt ist: Es ist illegal und kriminell. Das Ziel ist doch klar, wie bei einem klassischen Bankraub: Eindringen und nehmen, was man benötigt. Selbst wenn es darum ginge nur Chaos zu verursachen. Die Kosten, die hiebei verursacht werden sind enorm. Ich persönlich habe keinen Bock, dass mir jemand meine Festplatten mal eben löscht oder sich in meine Registry einnistet. Nochmal: Würde ich nachts aufwachen, und jemand stünde in meine Küche, dann würde ich auch Cops rufen.

    cheers

    Reaktionen auf diesen Kommentar anzeigen

    ...Banken danach rufen, dass die Politik sie unterstützen soll, ihre Tresore sicherer zu machen, könnten Sie das auch verstehen?

    Es ist die Aufgabe von privatwirtschaftlichen Unternehmen für die Sicherheit ihrer Produkte zu sorgen. Dafür bezahlen die Kunden.

    Die Politik um Hilfe zu ersuchen, damit Ihre Festplatte und Ihre Registry sauber bleibt ist lächerlich. Wenn jemand in Ihrer Küche steht, weil die "Telekom" die Tür offen gelassen hat, hilft Ihnen weder ein Cop noch eine digitale Null im Parlament. Die kleben höchstens einen TÜV-Stempel auf die Hardware: Zugang für Viren, Trojaner verboten!

    Sie haben keine Regitsry, es sein denn, Sie haben ein Unternehmen dem diese tatsächlich gehört und lizensieren diese für Ihre Lizensnehmer. Das sich jemand dann in deren persönlichem Eigentum und unter deren lizensierten Software, von Ihnen, etwas in dieser Registry zulassen oder ermöglichen kann, das ist, damit Sie kein Monopolist wären, nämlich für die Software die den Computer erst umfassendere Funktionsfähigkeit nach Maßgabe der Hardware ermöglicht.

    Was Sie oder sonstwer sich an virtuellen Systemen antut, ist Ihre und deren Sache, wenn Sie die Registry nicht nach Vorgaben des Lizensgebers verändern, ist das Ihre Angelegenheit, wenn diese von jemandem andern "attakiert" wird, ist es <em>nicht</em> Ihre Angelegenheit.

    Die "Unternehmen" die ominösen, die mit der Mauer des Schweigens umhüllten, die keiner je gesehen hatt und die namenlos vor sich hin schuften, in all den unzähligen kleinen und großen Attacken auf.......

    Da gibt es ja nur sehr wenige, eines schreibt sich Microsoft.

  5. ...Banken danach rufen, dass die Politik sie unterstützen soll, ihre Tresore sicherer zu machen, könnten Sie das auch verstehen?

    Es ist die Aufgabe von privatwirtschaftlichen Unternehmen für die Sicherheit ihrer Produkte zu sorgen. Dafür bezahlen die Kunden.

    Die Politik um Hilfe zu ersuchen, damit Ihre Festplatte und Ihre Registry sauber bleibt ist lächerlich. Wenn jemand in Ihrer Küche steht, weil die "Telekom" die Tür offen gelassen hat, hilft Ihnen weder ein Cop noch eine digitale Null im Parlament. Die kleben höchstens einen TÜV-Stempel auf die Hardware: Zugang für Viren, Trojaner verboten!

    Antwort auf "Von Subventionen"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Schlagworte Internet | Hacker | Internetkriminalität
Service