3. Cyber Security Summit
2. November 2014
Deutsche Welle: Herr Tschersich, wo beginnt IT-Sicherheit?
Thomas Tschersich: Eigentlich schon in der Grundschule. Ich habe selber zwei Kinder und erlebe, dass sie schon ermutigt werden für ihre Hausaufgaben im Internet zu recherchieren. Das heißt aber auch, dass wir schon da einen verantwortungsbewussten Umgang mit IT trainieren müssen. Den Umgang mit dem Straßenverkehr erlernen die Kinder, bevor sie in die Schule kommen. In der digitalen Welt tun wir das heute nicht. Da wollen wir einen neuen Impuls setzen, indem wir nach dem Cyber-Security-Summit noch einen Kindergipfel durchführen, um das Thema in Bildungseinrichtungen bekannter zu machen.
Wir haben im Vorfeld einen Wettbewerb ausgeschrieben und Schulen aufgefordert, uns Projekte vorzustellen, die solches Wissen vermitteln. Ich war wirklich beeindruckt, über was für eine Bandbreite das ging: Es fing an bei Grundschulen, ging dann über weiterführende Schulen und endete bei einem Abenteuerspielplatz, der eigentlich ein ganz anderes Aufgabengebiet hat – wo die Kinder zum Bauen und Basteln hingehen. Aber auch da haben die Pädagogen gesagt: Wir nehmen Cyber-Security als wichtige Aufgabe wahr und vermitteln es. Das sind für mich Leuchtturm Beispiele, von denen wir mehr brauchen.
Wo stehen wir im Kampf gegen Cyberkriminelle heute?
Der Grad an Vernetzung und Digitalisierung hat sich verändert und damit die Wirkbreite von vorhandener oder nicht-vorhandener Cyber-Security. Andererseits hat sich in den letzten zwei bis drei Jahren – nicht zuletzt durch Edward Snowden – die allgemeine gesellschaftliche Diskussion und das Bewusstsein für das Thema verändert.
Cyberangriffe hat es in den 1980er Jahren genauso gegeben wie heute, aber durch die Digitalisierung der Geschäftsmodelle ist Cyberkriminalität insgesamt interessanter geworden. Dadurch hat die Angriffsbreite, die Kreativität und auch die Professionalisierung der Angreifer zugenommen.
Das kann auch jeder Internet Nutzer quasi life verfolgen – auf den Seiten der Telekom…
Ja, wir betreiben einen sogenannten Sicherheitstacho auf www.sicherheitstacho.eu. Dahinter verbirgt sich ein Sensornetzwerk aus Honigtöpfen. Honigtöpfe sind Computer mit simulierten Schwachstellen. Wir beobachten wenn Hacker versuchen, diese Schwachstellen auszunutzen.
Die Zahlen sind natürlich erst einmal exorbitant hoch. Wir haben bis zu einer Million Angriffe gegen diese 180 Sensoren pro Tag. Aber nicht alle Angriffe sind tatsächlich ernst zu nehmen. Vielfach steckt dahinter der vollautomatisierte Versuch, Schwachstellen aufzufinden. Haben Cyberkriminelle ein solches System aber einmal als verwundbar identifiziert, führen sie meistens danach einen hochprofessionalisierten Angriff aus.
Diese Daten fließen dann im Lagezentrum der Telekom zur Cybersicherheit zusammen. Können auch normale Endkunden davon profitieren?
Wir wissen von welchen Internetadressen jemand unsere Honigtöpfe angreift. Wir wissen: 'Wer ist der Böse im Internet!' Und wir können dieses Wissen in die Router einbauen, die die Menschen zuhause haben.
Wir bauen einen Filter ein, der von uns aus dem Netz aktualisiert wird und diese Angriffe einfach aussperrt: Da kommt Verkehr von einer Seite, die bekannt dafür ist anzugreifen – die sperren wir aus. So kann auch der Privatkunde davon profitieren, dass wir ein Cyber-Defense-Center haben, obwohl die Möglichkeiten eigentlich nur für Großkunden zur Verfügung stehen würden.
Welche Art von Angriffen macht Ihnen besondere Sorgen?
Wir haben ein sehr breites Spektrum von Angriffen. Die Öffentlichkeit debattiert derzeit sehr stark über die Sammlung von Daten durch Nachrichtendienste. Ich glaube aber, das ist nur ein sehr kleiner Teil des wirklichen Problems. Der größte Teil, bei dem auch wirtschaftliche Schäden entstehen ist die organisierte Kriminalität, die Beispielsweise versucht an Bankdaten heranzukommen. Das ist ein Multi-Milliarden-Geschäft. Das macht mir viel mehr Sorgen.
Wir sehen einen klaren Trend hin zu Angriffen auf Mobiltelefone. Insbesondere die Android-Plattform ist da besonders populär. Innerhalb von 14 Jahren sind etwa 350.000 verschiedene Angriffswerkzeuge gegen die Windows-Betriebssysteme bekannt geworden. Die gleiche Zahl haben wir bei Android innerhalb von zehn Monaten gesehen.
Neben den organisierten Kriminellen und den reinen Geheimdiensten, die Informationen 'nur' suchen und sammeln, gibt es ja auch immer noch das Schlagwort "Cyber-Kriegsführung", etwa wenn Staaten selbst Schadsoftware gegen mögliche Rivalen einsetzen, um vielleicht politischen Gegnern Schaden zuzufügen.
Früher haben die Staaten Kriege um Rohstoffe geführt. Da ist man in eine Region einmarschiert, hat sie besetzt und die Rohstoffe ausgebeutet. Das braucht man in der digitalen Welt gar nicht mehr. Da kann man die Rohstoffe quasi von Zuhause aus ausbeuten.
Weil die Wertschöpfung sich insgesamt zunehmend digitalisiert, bringt das neue Möglichkeiten mit sich, die zwangsläufig darin enden, dass ich mir die Frage stellen muss: 'Wird der nächste Krieg vielleicht um Daten geführt?'
In der analogen Welt haben wir klassische Grenzkontrollen, mit denen wir uns abschotten aber wir haben keine Landesgrenzen im Internet. Eine Herausforderung sind damit auch die unterschiedlichen Rechtsräume: Was bei uns möglicherweise eine Straftat ist, ist in irgendeinem anderen Land vielleicht überhaupt nicht justitiabel verfolgbar.
Ist das auch Thema beim 3. Cyber-Security-Summit, der am 3. November in Bonn beginnt...
Absolut. In Anbetracht der globalen Herausforderung geht es darum, das Heft des Handelns in die Hand zu bekommen: Was müssen wir verändern? Wie müssen wir Sicherheit neu denken? Wie müssen wir es von Anfang an in Produkte mit hereinbringen, damit wir in der digitalen Welt auch langfristig global bestehen können? Es geht dabei nicht um die Abschottung von Märkten, sondern es geht um Zusammenarbeit.
In welche Richtung gehen denn die Trends, wenn ich als Unternehmer oder auch einfacher Bürger sage: Mein Provider soll mir neben dem Internetzugang auch gleich die Sicherheit als Paket mit verkaufen?
Wir haben erste Produkte im Geschäftskundenumfeld, wo wir sagen: Wir nehmen dem Kunden den Aufwand für die Pflege der Anti-Viren Produkte und der Firewall-Systeme ab und das bezieht er in Zukunft aus dem Rechenzentrum. Es kommt dann mit dem Internetanschluss schon inhärent.
Ich glaube, dass wir diesen Trend für den Privatkunden in Zukunft massiv sehen werden: Lösungen, die ein Stück der Komplexität wieder wegnehmen, die ohnehin etwa 90 Prozent aller Endverbraucher heute schon nicht mehr beherrschen.
Die meisten Menschen wissen natürlich, dass sie die Betriebssysteme ihrer PCs auf dem aktuellen Stand halten sollten und regelmäßige Updates durchführen, aber wie sieht es aus, mit dem Internet der Dinge? Kaum jemand macht sich ja Gedanken, ob eine Webcam, ein Scanner oder der Netzwerkdrucker gegen Angriffe geschützt sind…
Der erste Kühlschrank in den USA hat ja Anfang diesen Jahres Spam-Mails verschickt. Klar ist das ein Thema. Das Problem ist doch, dass wir Geräte miteinander vernetzen, die nie dafür konzipiert waren, in einer vernetzten Umgebung zu laufen. Wenn wir Sicherheit nie als funktionale Anforderung hatten, brauchen wir uns nicht zu wundern, dass wir am Ende auch keine Sicherheit haben werden: Es funktioniert genau so, wie es gestaltet wurde!
Bisher ist es so: Ich kaufe mir vom Hersteller den sprichwörtlichen Schweizer Käse, aber die Löcher muss ich dann selber zustopfen. Das ist für mich in Zukunft nicht mehr der richtige Ansatz, sondern alle Beteiligten müssen mitmachen: Gesetzgeber, Hardwarehersteller, Internet-Anbieter und auch der Verbraucher, denn wenn der automatische Updates ausschaltet, erzeugt er ja auch wieder eine Unsicherheit. Aber wir müssen es den Nutzern auch leicht machen, Sicherheit möglichst erreichen zu können.
Würden Sie sich zu Ende der Konferenz etwas wünschen – etwa, dass die Industrie sich auf bestimmte Standards einigt?
Es wäre natürlich großartig, wenn wir am Ende eine übergreifende Selbstverpflichtung hätten. Jetzt darf man aber von so einer Konferenz auch nicht zu viel erwarten. Mit etwa 200 Teilnehmern decken wir ja nicht die ganze Industrie ab. Aber wir können wichtige Impulse aussenden und Themen diskutieren, damit sich daraus – wie beim Saatgut - etwas weiter entwickelt.
Thomas Tschersich ist Leiter der IT-Sicherheit bei der Deutschen Telekom in Bonn, die gemeinsam mit der Münchener Sicherheitskonferenz am 3. November 2014 den 3. Cyber-Security-Summit in Bonn organisiert.
Das Interview führte Fabian Schmidt.