1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages

Digitales Leben

Mit Honigtöpfen gegen Cyber-Attacken

Ein neues Security-Portal der Deutschen Telekom kann mithilfe von elektronischen Fallen Hacker-Angriffe in Echtzeit aufzeichnen. Auf einer Weltkarte wird visualisiert, woher die Angriffe kommen.

Meistens merkt man nichts davon. Still und heimlich dringt beim Öffnen eines Programms oder eines Mailanhangs ein kleines Spionageprogramm ins System ein. Dort sammelt es Informationen, Daten oder verseucht ganze Netzwerke. Bis zu 200.000 neue Viren, Trojaner und Würmer werden täglich im Netz ausgesetzt. Private PCs und Smartphones werden gerne angegriffen, vor allem Windows-Rechner und Handys mit Android-Betriebssystem. Die beliebtesten Ziele der Angreifer sind aber Behörden und große Unternehmen.

Laut einer Umfrage des High-Tech-Branchenverbands Bitkom meldeten bereits gut 40 Prozent der deutschen Unternehmen einen Angriff auf ihre IT-Systeme. Wahrscheinlich aber gab es schon viel mehr Angriffe, die entweder nicht bemerkt oder nicht gemeldet wurden. Deswegen hat Bitkom die Unternehmen nun dazu aufgerufen, den Behörden jeden Vorfall mitzuteilen, um Gegenmaßnahmen entwickeln und die Nutzer warnen zu können.

Sensoren als elektronische Lockvögel

Dafür möchte sich die Deutsche Telekom stark machen. Im Rahmen der Cyber Security-Initiative des Bundesamtes für Sicherheit und dem Bitkom hat das Telekommunikationsunternehmen den "Sicherheitstacho" gestartet und stellt die Daten, die es damit sammelt, den Sicherheitsbehörden zur Verfügung.

Knapp 100 Sensoren, so genannte Honeypots, wurden ausgelegt, die die Angreifer anlocken sollen. Tappt ein Angreifer in die Falle, kann eine Software den Angriff direkt analysieren. Daher kann die Telekom auf der Seite sicherheitstacho.eu in Echtzeit visualisieren, woher die Angriffe kommen.


Laut "Sicherheitstacho" kommen die meisten Angriffe aus Russland. Im letzten Monat wurde allein von dort aus 2,4 Millionen mal angegriffen. Abgeschlagen folgt Taiwan mit 900.000, und auf Platz 3 steht Deutschland mit 780.000 Angriffen. China liegt mit 168.000 Attacken nur auf Platz 12 dieser Liste. Dagegen kommen beispielsweise aus Afrika laut dieser Karte gar keine Angriffe.

Thorsten Holz, Informatik-Professor an der Ruhr-Uni Bochum, hat eine simple Erklärung dafür: "Aus hochtechnologisierten Ländern, wo die Internetanschlüsse schnell und viele Menschen online sind, gibt es natürlich auch viel mehr Angriffe." Daher werde Afrika auf der Weltkarte eher weiß bleiben.

Opfersystem: Der PC vom Opa

Doch der Standort der Angriffsserver oder -computer weist nicht unbedingt darauf hin, ob der Angreifer auch von dort kommt. Der Microsoft-Sicherheitsexperte Michael Kranawetter findet die Länderstatistik des Tachos zwar interessant, gibt aber zu bedenken, dass dort nur Rohdaten von ausführenden Geräten visualisiert werden. "Die können zum einen ferngesteuert sein, zum anderen können es Ausgangspunkte von Netzwerken oder Providern sein und zum dritten maskierte Adressen, die ihre Herkunft verschleiern."

So können die Hacker also beispielsweise in Deutschland sitzen und die von ihnen infizierten Maschinen in Russland ihre Arbeit tun lassen. Thorsten Holz: "Ziel dieser Hackerangriffe ist es ja, so viele Computer wie möglich unter ihre Kontrolle zu bringen. Von Hand sucht der Angreifer sich ein paar Systeme, in die er eindringt und ein Programm einpflanzt, das von dort aus selbständig nach weiteren Maschinen sucht, die verwundbar sind."

Und das, so Holz, seien meistens ältere Systeme, oftmals private PCs von Usern, die es mit der Sicherheit nicht so genau nehmen. "Das kann auch ein alter Opa sein, der keine Sicherheitsupdates bei sich einspielt, enstprechend schnell kann sein Windows-Rechner infiziert werden."

Netzwerkkabel, Foto: dpa

Überall sitzen Leute, die nur darauf warten, dass sich irgendwo eine Sicherheitslücke auftut.

Genau das machen sich die Honeypots bei ihrer Tarnung zunutze: "Man tut so als sei man ein typischer Windows-Nutzer, der sich komplett falsch verhält im Internet. Der klickt auf alles drauf, öffnet jedes Attachment, verstößt einfach gegen alle Sicherheitsregeln, die man dem Nutzer auf den Weg gibt", erklärt Holz.

Solche Fallen werden von den Angreifern schnell gefunden. "Die meisten Angriffe laufen automatisiert ab", erläutert Thomas Kremer, Chef des Datenschutzressorts bei der Telekom. "Bildlich gesprochen schießen die Angreifer mit einer Schrotflinte ins Netz um zu sehen, wo Systeme Schwachstellen aufweisen."

Weil alles automatisch läuft, beißen die Angreifer auch sofort an, wenn sie auf die Köder stoßen. Schnappt die Falle zu, kann man den Angreifer bei der Arbeit genau beobachten: Welcher Art der Angriff ist, wie der Eindringling im System vorgeht, welche Tools er benutzt, welche Kommandos er eingibt, was er mit den gestohlenen Daten anstellt.

Kein Kaliber wie Stuxnet oder Flame

Beim Blick auf die Datenvisualisierung auf der Seite des Sicherheitstachos sehen Kenner schnell, dass sich die Angreifer meistens auf veraltete Systeme stürzen, auf typische Windows-Schwachstellen, die vor Jahren aktuell waren. "Das liegt daran, dass eben auch noch viele dieser alten Maschinen auf der ganzen Welt verteilt sind", erklärt Prof. Holz, "und so sieht man auch immer noch viele Angriffe dieser Art im Netz."

Ein Screenshot vom 29.05.2012 zeigt einen kleinen Ausschnitt des Quellcodes des Computer-Schädlings Flame, Quelle: Kaspersky.com dpa

Ausschnitt des Quellcodes des Flame-Virus, der es auch auf den Iran abgesehen hatte.

Wenn heutzutage Computer großer Unternehmen oder staatlicher Behörden gehackt werden, geht es den Angreifern allerdings weniger darum, Phishing-Mails zu verbreiten, die die Kontodaten unvorsichtiger User abgreifen sollen. Die Spionageviren, die Berühmtheit erlangt haben, wie Stuxnet, Flame oder zuletzt auch Red October, legen es darauf an, hochsensible geopolitsche und militärische Daten zu klauen. Hier sind allerdings Programmierer am Werk, die nichts dem Zufall überlassen und die Sicherheitslücken ihrer Ziele nicht in alten Windows-PCs suchen.

Daher sind die Honeypots sicherlich kein Tool zur Abwehr von gefährlichen Cyberwaffen. Michael Kranawetter von Microsoft: "Aus meiner Sicht ist das primäre Ziel des Tachos, das Bewusstsein zu schärfen und Anwendern die Bedrohungslage näher zu bringen. Das ist ein wichtiger Schritt, aber es kann nur der Anfang sein. Die logische Reaktion ist, entsprechende Schutzmaßnahmen zu etablieren."

So soll der Sicherheitstacho zunächst als Frühwarnsystem fungieren, heißt es bei der Telekom. Durch die Erkenntnisse will man dann zusammen mit Softwarenetwicklern nach besseren Schutzlösungen suchen. "Jetzt sind Unternehmen und Behörden zur Zusammenarbeit aufgefordert", meint Telekom-Sprecher Thomas Middel. "So dass wir beispielsweise mehr Fallen auslegen können. Denn je mehr solcher Honeypots man hat, umso größer ist natürlich auch die Genauigkeit bei der Ermittlung. Das System wird auf jeden Fall noch ausgebaut."

Die Redaktion empfiehlt

Audio und Video zum Thema