Hackerattacken : "400.000 Angriffe am Tag"
Seite 3/4:

 "Wir müssen uns gemeinsam gegen digitale Angriffe wehren"

ZEIT: Wie verteidigen Sie sich?

Kremer: Zunächst analysieren wir die Methoden der Angreifer. Dazu locken wir sie auf isolierte Systeme, die Schwachstellen simulieren. Diese sogenannten Honigtöpfe sollen den Anschein leichter Ziele machen. Dabei können wir viel lernen. Wenn wir nämlich wissen, wo die Angreifer ansetzen, können wir unsere Schutzmaßnahmen gezielt verbessern. Und Sie glauben gar nicht, wie viele Viren, Trojaner und sonstige Schadprogramme im Netz unterwegs sind und hier ankommen. Als Spitzenwert haben wir innerhalb eines Tages 400.000 digitale Angriffe auf unsere Systeme registriert. Wie gesagt, ohne Schaden für unsere Kunden.

ZEIT: Ist dieser Wert repräsentativ für die ganze Industrie im Land?

Kremer: Vermutlich, aber ich weiß es nicht. Genau das ist ein ganz großes Problem. Wie die digitalen Angriffe auf deutsche Unternehmen insgesamt aussehen, ist weitgehend unbekannt. Wer attackiert wird, errichtet meist Mauern des Schweigens um sich, weil er um seine Reputation fürchtet. Diese Mauern müssen wir einreißen! Die deutsche Industrie kann sich auf Dauer nur effizient gegen digitale Bedrohungen schützen, wenn sie zusammenarbeitet. Deswegen setzen wir bei der Telekom auf Transparenz und haben beispielsweise den Hackerangriff vom September öffentlich gemacht. Vielleicht ist das ein Beispiel für andere, sich ebenfalls zu öffnen. Gemeinsam können wir uns viel besser wehren, denn die Angreifer rüsten ebenfalls auf.

ZEIT: Der Bundesinnenminister erwägt eine Meldepflicht für digitale Attacken.

Kremer: Dass Unternehmen Angriffe melden sollen, unterstützen wir. Wenn das nicht freiwillig funktioniert, brauchen wir eine Verpflichtung. Wir benötigen aber nicht nur Statistiken, sondern auch Abwehrstrategien.

ZEIT: Was schwebt Ihnen vor?

Kremer: Die IT- und Telekommunikationsindustrie sollte beispielsweise ein gemeinsames und unabhängiges Testzentrum einrichten. Darin könnten alle beteiligten Unternehmen kritische Netzkomponenten wie Router auf Sicherheit gegen digitale Angriffe überprüfen. Jeder stellt sein Wissen und seine Testverfahren zur Verfügung, damit alle voneinander lernen können. Neben den Unternehmen sollte sich auch die öffentliche Hand engagieren, konkret das Bundesamt für Sicherheit in der Informationstechnik. Am Ende steht womöglich eine Art TÜV-Siegel für digitale Sicherheit. Ein Prüfzeichen, dass ein technisches Produkt den strengsten deutschen IT-Sicherheitskriterien von Privatwirtschaft und Staat entspricht. Das muss nicht auf Deutschland beschränkt bleiben, auch ein europäisches Siegel ist vorstellbar.

ZEIT: Welche Unternehmen wollen dabei mitmachen?

Kremer: Namen will ich noch nicht nennen, aber das Interesse ist definitiv vorhanden. Wir stehen da ganz am Anfang. Zunächst brauchen wir die Unterstützung der Politik für das Thema.

Verlagsangebot

DIE ZEIT wird 70 ...

... und ihre Journalisten erzählen von den Geschichten ihres Lebens. Von Geheimnissen und Irrtümern unserer Zeitung. Und von den besten Lesern der Welt. Eine Festausgabe.

Mehr erfahren

Kommentare

12 Kommentare Seite 1 von 2 Kommentieren

Dieser Artikel ist verschlüsselt

um ihn zu verstehen muß man folgenden Code kennen:

kriminelle Mitarbeiter: (wahrscheinlich) Service Personal
Hacker Angriff: Kunden, die sich beschweren
Abwehrmethoden: Call Center + Warteschleife

Sorry, dass mußte sein.

Aber die Telekom könnte wirklich einen Großteil der Hackerangriffe in den Griff bekommen, wenn alle durch ihre CallCenter müßten. Da kommen nur die Härtesten durch. Und dann ein bisschen Sicherheitstechnik obendrauf und fertig ist der Lack.

Meldepflicht...

Wie kann man in einem Atemzug noch eine Meldepflicht befürworten wenn man zuvor von bis zu 400.000 Angriffen an einem Tag gesprochen hat? Wer soll das alles verarbeiten?
Nimmt man die ganze dt. Industrie und die Behörden zusammen, kommt man täglich sicher schnell auf einen zweistelligen Millionenbetrag potentieller Angriffe. Die alle zu erfassen, zu protokollieren und zentral auszuwerten und zu verwalten ist Wahnsinn und wenn man einfach nur sammelt, Unternehmen Y hat heute soundso viele Angriffe verzeichnet, kann man es auch gleich lassen, denn das nütz niemandem.
Es müsste imo nur eine Meldepflicht für erfolgreich kompromittierte Nutzer- und Kundendaten her aber jeden Angriff zu melden ist Blödsinn.

Angriffsanzahl

Es kommt doch immer darauf an, was ein "Angriff" ist und wie dieser bewertet wird.
Die 400.000 von denen Herr Kremer spricht waren sicherlich keine einzelnen, voneinander unabhängigen Angriffe.
Ich tippe mal eher auf ein Botnetze, die "Distributed Denial-of-Service" (DDOS) Angriffe ausführen. Mit ein bisschen Statistik kann man sicherlich die 400.000 auf einige wenige (ca 1-100) meldbare Angriffe herunterbrechen. Oder man definiert gewisse Gefährdungsgerade ab denen ein Angriff gemeldet werden muss.
Z.B. ob die Datensicherheit gefährdet wurde oder das Verfügbarkeit eines Systems.
Ein einfacher Portscan ist für sich gesehen ungefährlich, kann aber trotzdem von Intrusion-Detection-Systemen erkannt werden. Melden muss man ihn deshalb nicht.

Juristischen Beistand ...

hat die ehemalige Behörde, bei der jetzt AG obendrüber steht, nötig.

Als ich vor ein paar Jahren bei denen meinen Anschluss kündigte führten die sich unmöglich auf.

Den Begriff Kündigung verstehen die als Einladung zum palavern und drohten mir mit der Abschaltung.

Aber anstatt mich abzuschalten kassierten sie fleißig weiter.

Zwei Dinge

Ein digitales Prüfsiegel ist sicher ein Schritt in die richtige Richtung. Jedoch nicht in die der "Sicherheit", sondern in die des Bewusstwerdens technischer Unsicherheit. Technische Standards waren noch nie eine schlechte Idee. Aber man darf dem ganzen nicht das Image der Unfehlbarkeit geben.

Zu der Ermöglichung solcher Standards sollte man aber vorher das Gesetz kippen, das zur Zeit (immer noch) alle Systemadministratoren zu Kriminellen macht, wenn sie ihre Systeme testen wollen. Computerprogramme, die einen Angriff ausführen oder simulieren können, sind (afaik) nach wie vor illegal.