CIO.de: Herr Müller, im Cyber Security Report 2012 hat das Institut für Demoskopie in Allensbach im Auftrag der Telekom herausgefunden, dass deutsche Führungskräfte Datenmissbrauch und Betrug im Internet für gefährlicher halten als Terroranschläge oder auch Inflation . Wie hoch schätzen Sie persönlich die Gefahr ein? Sind Sie schon einmal selbst betrogen worden?
Müller: Ja, und zwar ganz blöd. Ich habe mal einen Rasierapparat bei Ebay gekauft, der nie ankam. Da haben mir meine Kinder dann erklärt: Du musst auf die Sterne beim Verkäufer achten. Phishing oder Ähnliches habe ich aber noch nicht erlebt.
Und wie hoch schätzen Sie die Gefahr für Telekom-Mitarbeiter ein?
Müller: Einem Kollegen wurde mal die Kreditkarte in einem spanischen Restaurant kopiert. Bei dem tauchten dann bald danach Abbuchungen aus Russland auf. Aber ansonsten? Das, worauf Sie als CIO besonders geschult werden, das kommt einem hier selten unter.
Tschersich: Naja, im Abuse-Team schreiben wir jeden Monat 25.000 Briefe an Endkunden: "Sie haben da einen Trojaner oder Virus auf ihrem Rechner." Und wir sehen natürlich auch jede Menge Angriffe auf Großkunden. Man meint ja manchmal, das Thema Sicherheit sei nur ein Medienhype, aber das ist mitnichten so. Schauen Sie mal www.sicherheitstacho.eu an. Da sehen Sie deutlich, aus welchen Ländern eine reale Bedrohung kommt.
Die Telekom hat weltweit mehr als 90 Lockvogelsysteme im Einsatz, sogenannte Honeypots.
Tschersich: Es sind 97. Und 100 weitere sind gerade im Roll-out.
Wie genau funktionieren diese Honeypots?
Tschersich (zückt einen handtellergroßen roten Apparat): Das sind diese kleinen Geräte, die beispielsweise leicht angreifbare Smartphones simulieren. Zu Demonstrationszwecken haben wir noch ein Display angebaut, das sofort anzeigt, von welcher IP-Adresse ein Angriff erfolgt. Wir sammeln diese IP-Adressen und setzen sie auf eine Blacklist.
Müller: Wir lernen dabei auch extrem viel. Wenn zum Beispiel Microsoft ein neues Update bringt, können wir erkennen, wie oft es angegriffen wird. Daraus sehen wir dann, wie schnell wir mit dem Einspielen von Software-Updates reagieren müssen.
Tschersich: Gelegentlich stirbt auch mal ein Honeypot. Die Angreifer arbeiten natürlich auch mit Blacklists, und wenn die merken, dass einzelne IP-Adressen dazu führen, dass ihre Malware geblockt wird, kommen sie nicht mehr vorbei. Wir geben dem Honeypot dann eine neue IP-Adresse und sind wieder im Geschäft.
Wie schnell können Sie die Erkenntnisse aus den Honeypots in die eigene Organisation einfließen lassen?
Tschersich: In Sekunden. Wenn wir Angreifer identifizieren, können wir sie sofort aussperren. Aber wir müssen natürlich aufpassen, dass Angreifer das automatische Aussperrungsverfahren nicht dazu nutzen, ganz viele Angriffe zu simulieren und die Telekom mit dem eigenen Warnsystem lahmzulegen.
Dax-Arbeitskreis - Selbstschutz der Großen
Um Intrusion-Muster schneller zu erkennen, treffen sich im Juni zum dritten Mal CIOs und Sicherheitsbeauftragte aus DAX-30-Unternehmen. Der Arbeitskreis hat das Ziel, sich gegenseitig im Kampf gegen digitale Angriffe zu unterstützen. Die Telekom steuert dazu das Online-Lagebild www.sicherheitstacho.eu über globale Sicherheitsangriffe bei. Telekom-CIO Markus Müller wünscht sich noch Mitstreiter aus der Liga der großen Anwenderunternehmen. Netzwerkmitglieder von cio.de erreichen ihn über http://premium.cio.de/cio-netzwerk/profil/markus-mueller |
Warum nutzen Sie nicht einfach die Erkenntnisse der anderen Sicherheitsanbieter?
Tschersich: Die nutzen wir natürlich. Aber wir wollen uns nicht nur auf die Security-Anbieter verlassen. Für einen effizienten Schutz müssen alle Stakeholder mitwirken, also vor allem auch die Anwender. Wir brauchen einen offenen Austausch dazu.
"Der Trend geht eindeutig in Richtung Smartphones"
Müller: Und einen schnelleren.
Haben Sie in letzter Zeit mehr Attacken auf PCs oder auf Smartphones registriert?
Tschersich: Der Trend geht eindeutig in Richtung Smartphones. Das sind für die Angreifer ideale Geräte, weil sie viel Rechenkraft haben, die meiste Zeit am Tag gar nicht benutzt werden und durch die schnelle Internetanbindung mit LTE immense Verkehrslasten erzeugen können. Damit können sie jede Serverfarm in die Knie zwingen.
Müller: Dagegen gibt es dann auch keine technische Antwort mehr. Wir sehen im Schnitt 200.000 neue Schadmuster pro Tag: Das können auch die Security-Anbieter nicht mehr alles scannen. Die klassischen Firewalls sind hier keine ausreichende Lösung, weil sie nur an den Außengrenzen funktionieren. Wenn Sie intern davon immer mehr aufbauen, ruinieren Sie die Usability, und die Kosten explodieren.
Haben Sie einfachere Lösungen?
Müller: Wir stellen fest, dass zum Beispiel das Android-Betriebssystem zu oft angegriffen wird, deswegen haben wir es jetzt ganz von unserem Intranet ausgeschlossen. Die Mitarbeiter können noch Mails und Kalender synchronisieren, aber alle anderen Applikationen gehen nicht.
War das nicht unpopulär?
Müller: Kann ja jeder ein iPhone oder einen Blackberry nehmen. Das war kein Issue bei den Mitarbeitern.
Tschersich: Für Android gibt es bereits 300.000 Schadprogramme. Das ist beim iPhone anders, es sei denn, es ist gejailbreaked.
Müller: Gutes Argument noch mal gegen das Jailbreaken.
Haben Sie noch andere unpopuläre Sicherheitsmaßnahmen durchgeführt?
Müller: Hm, ich muss mal überlegen. Wir haben das Drucken auf Netzwerkdruckern sicher gemacht. Da war aber das eigentliche Problem, dass wir den Mitarbeitern die eigenen Drucker weggenommen haben. Das ist wahrscheinlich die sicherste Methode, um sich unbeliebt zu machen, aber eigentlich ja keine Sicherheitsmaßnahme.
Stuxnet, Duqu und Flame beunruhigen besonders
Ihr Vorstand Reinhard Clemens schreibt im Vorwort zum Cyber Security Report, dass ihn nicht so sehr Viren, Würmer und Trojaner beunruhigen. Es seien Angriffsprogramme wie Stuxnet, Duqu und Flame, die einen regelrechten Cyberwar entfachen könnten. Teilen Sie die Unruhe von Herrn Clemens?
Tschersich: Das besonders Beunruhigende ist, dass das zum Teil nicht einmal besonders ausgefeilte Programme waren.
Müller: Nun, wir betreiben ja keine Atomkraftwerke, aber sehr kritische IT-Infrastrukturen, zum Beispiel für Bund und Länder. Diese gilt es besonders zu schützen, hier haben wir das höchste Sicherheitsniveau.
Es ist ein offenes Geheimnis, dass Hacker und Kriminelle die Datensicherheit nicht so stark bedrohen wie die eigenen Mitarbeiter. Wie schützen Sie sich gegen Missbrauch aus dem eigenen Haus?
Tschersich: Mitarbeiter missbrauchen Daten gar nicht so oft. Das ist ein Märchen, das sich hartnäckig hält. Ich sehe das in keiner Statistik bestätigt.
Müller: Okay, so ein Missbrauch schlägt sich wahrscheinlich auch in keiner Statistik nieder. Trotzdem müssen wir da genau abwägen, wie sehr wir die eigenen Mitarbeiter als ein Risiko sehen wollen: Wenn wir USB-Ports generell abklemmen, werden wir nur Kopfschütteln ernten.
Mitarbeiter sind nicht das Sicherheitsproblem
Das ist doch das, was Sicherheitsleute am liebsten tun, oder?
Müller: Wenn man früh miteinander redet, kann man viel Konfliktpotenzial ausräumen und findet auch passende Lösungen.
Tschersich: Normalerweise wird die Sicherheit ja gerne mal wegpriorisiert. Aber da kann ich mich hier wirklich nicht beklagen.