Unser Leben, die Wirtschaft und die Gesellschaft sind immer stärker vernetzt. Mittlerweile läuft im Internet ein ständiger Kampf zwischen Konzernen und Cyberkriminellen. Es geht um den für beide Seiten Milliarden Euro schweren Datenmarkt.
Codename Bravo hat ein Problem. Die Sensoren, die tief in der Netzwerkinfrastruktur des Großunternehmens verbaut sind, haben verdächtige Datenflüsse bemerkt, die über die Firewall des Systems ins Internet abfließen. Verschickt da gerade ein ferngesteuerter Computervirus Betriebsgeheimnisse? Ab jetzt heißt es: Mikołajczyk, übernehmen Sie. Gaweł Mikołajczyk ist so etwas wie der dienstführende Offizier eines besonderen Einsatzkommandos. Der 36-Jährige leitet zwei von drei auf der Welt verteilten Security Operations Centers (SOC) des US-amerikanischen Internet- und Telekom-Riesen Cisco. SOC-Teams sind die Special Forces des Cyberraums. Einsätze verlaufen absolut vertraulich. Ihre Waffen sind Hochleistungscomputer, Tastaturen und Gigabit-Netzwerkanschlüsse. Sie rücken aus, wenn bei Großkunden wie jenem mit dem Decknamen Bravo der Hut brennt. Wobei das Ausrücken im 21. Jahrhundert nur noch selten physisch passiert. So gut wie immer führen Mikołajczyks Männer und Frauen ihre Einsätze vom Hauptquartier aus. Die von ihm geführten Einheiten sind in Japan und Polen stationiert. Die dritte ist im Cisco-Kernland USA beheimatet. „Die Presse am Sonntag“ besuchte Mikołajczyk auf seiner Heimatbasis in Krakau.
Auch wenn es nach außen hin nicht so aussieht: Das inzwischen fast alles durchdringende Internet ist längst kein friedlicher Ort mehr. Die Zeiten, in denen es für Aufklärung und Befreiung stand, sind vorbei. Was der physischen – viele sagen analogen – Welt verborgen bleibt, sehen Mikołajczyk und seine Operatoren auf den riesigen Flachbildschirmen ihres digitalen Gefechtsstands in Live-Charts: In der Welt der Daten tobt ein Krieg. Auf der einen Seite stehen Unternehmen, die einigermaßen verzweifelt und mit viel Aufwand versuchen, ihre Kronjuwelen, ihr Know-how und ihre Systeme, zu schützen. Und auf der anderen Seite die Angreifer, die mit Datendiebstahl, Manipulation und Erpressung ihr Geld verdienen. Für beide Seiten geht es um Milliarden Euro. Gaweł Mikołajczyk und Cisco sind Teil eines Wettrüstens zwischen Gut und Böse.
Daten, das neue Öl. Daten, so lautet einer der zentralen Stehsätze der fortschreitenden Digitalisierung, sind das Öl des 21. Jahrhunderts. Ohne sie sind Businesspläne wenig wert, funktionieren Anlagen nicht mehr, steht der laufende Betrieb. Wertvolle Kundendaten und Geschäftsgeheimnisse sind in firmeneigenen Netzen oder bei Anbietern von Cloud-Diensten gespeichert. Versagen diese, weil Hacker sie manipulierten, steht die von der IT abhängige Wirtschaft still. Wie einfach das gehen kann, zeigte sich zu Beginn der vergangenen Woche in Deutschland.
Hacker haben es dort mit vergleichsweise einfachen Mitteln geschafft, fast eine Million Breitbandkunden der Deutschen Telekom vom Netz zu nehmen. Als Einfallstor diente eine Schwachstelle in einem Bauteil der betroffenen Router, die die Telekom eigentlich für Fernwartung nutzt. Ob mit dem Angriff – wie im Winter 2016 bei der österreichischen A1 – auch Erpressungsversuche einhergingen, ist nicht bekannt. Die Zahl klingt utopisch, doch das Center for Strategic and International Studies (CSIS) schätzt, dass Cyberkriminalität allein in den G20-Staaten einen jährlichen Schaden von 200 Mrd. Dollar verursacht.
Um Behörden, sich selbst oder seine Firma vor der dunklen Seite der Macht, der organisierten Kriminalität oder gar Geheimdiensten, zu schützen, entstand im Lauf der vergangenen Jahre eine gewaltige Sicherheitsindustrie. Zuletzt war dieser jährliche Kuchen laut einer Studie der Marktforscher von Gartner 75 Mrd. Dollar wert.
„Wenn Sie 50 Millionen Dollar in ein neues Datenzentrum Ihres Unternehmens investieren, bauen Sie dann ein zweites, nur um die Sicherheit des ersten zu gewährleisten?“, fragt Mikołajczyk. Er steht an der Kommandobrücke seines Krakauer SOC, das sich unweit der Weichsel befindet. Umgeben von Visualisierungen, auf denen für Laien unverständliches Computer-Kauderwelsch tatsächlich Live-Angriffe auf anonymisierte Kunden darstellen, erklärt der gelernte Telekom-Ingenieur das Geschäftsmodell seiner Branche. Angesichts der enormen Bandbreiten und immer ausgefeilterer Angriffsmethoden ist Netzwerksicherheit im Lauf der vergangenen Jahre nicht nur teurer geworden, sondern erfordert auch zusehends Spezialwissen.
Deshalb sind auch Großkonzerne mit eigenen Abteilungen für IT-Sicherheit dazu übergegangen, bestimmte Schutzmaßnahmen auszulagern. Auf diesem Markt, der es mit den derzeit innovativsten Köpfen der organisierten Kriminalität aufnimmt, sind noch weitere internationale Player aktiv. Akamai zum Beispiel oder Trustwave, die beide ebenfalls aus den USA kommen. Die Liste der kleinen Anbieter ist erheblich länger.
Cisco, das 2015 selbst über 49 Mrd. Dollar Umsatz machte, dreht auch im Sicherheitsgeschäft am ganz großen Rad. Das Unternehmen ist Marktführer bei Netzwerk-Hardware wie Routern und Switches. Das sind Geräte, die vereinfacht gesagt den Datenverkehr verteilen. Wenn die Kunden das wollen, schaltet Mikołajczyk Sensoren in diesen Geräten scharf, die den Datenfluss des Unternehmens intern und nach außen aufzeichnen und analysieren. Unternehmen, die über das nötige Kleingeld verfügen, bekommen dann vom SOC-Team einen Hightech-Computer ins eigene Datenzentrum gestellt, der bis zu 500 Terabyte solcher Telemetriedaten vorhält und in Echtzeit auswertet. Die Fernsteuerung erfolgt von Krakau aus.
Verschwiegene Branche. Aber wozu das Ganze? „Wir suchen in Form von Big-Data-Analysen nach bisher unbekannter Schadsoftware“, sagt Mikołajczyk. Von seinem Cyber-Gefechtsstand aus bedient er Kunden, die so groß wie Cisco selbst sind. Ihre Namen werden gehütet wie Staatsgeheimnisse. Sogar intern arbeitet man nur mit Codenamen. Wer hinter „Bravo“ steht, wissen außer Mikołajczyk nur wenige Leute.
Das Ausmaß des digitalen Orkans, dem Großkonzerne oder Behörden ausgesetzt sind, veranschaulichen ein paar Zahlen. „Wir haben Kunden, bei denen wir im Jahr fünf Millionen Vorfälle registrierten“, erzählt er. Die meisten davon stammen von bekannten Computerviren und werden automatisch eliminiert. „500 der fünf Millionen Fälle müssen wir jedoch sozusagen händisch untersuchen.“ Für weltweit operierende Kunden geschieht das 24 Stunden am Tag, 365 Tage im Jahr.
Die organisierte Cyberkriminalität arbeitet gnadenlos. Einmal am Haken, werden Betroffene bis zum letzten Cent gemolken. Die Operatoren im SOC nennen das die Cyber Kill Chain. Illegal nutzen Hacker die Rechenleistung der Opfer-Server und stellen sie mit Gewinn zur Verfügung, in Form von „Bitcoin-Mining“, dem beliebten Internet-Währungssystem. Die gekaperte Netzwerkbandbreite hingegen missbrauchen sie, um mit sogenannten DDoS-Attacken andere Opfer anzugreifen und zu erpressen. Sind diese Ressourcen schließlich erschöpft, wird per Fernsteuerung das geschädigte System von außen verschlüsselt. Für die Entschlüsselung verlangt man Geld in Form von – erraten – Bitcoins.
Die wenigsten dieser Fälle landen in der Öffentlichkeit. Im Hochsicherheitstrakt von Gaweł Mikołajczyks Arbeitsplatz aber sind sie weltweit und live zu beobachten. Trotz vieler Mitbewerber wird seinem Team die Arbeit nicht ausgehen. Das Internet der Dinge wird die Zahl der vernetzten Geräte (siehe Grafik) in den nächsten Jahren vervielfachen. Und die Software dieser einfachen Geräte, wie Wetterstationen oder Kühlschränke, wird jene kleinen, für kriminelle Zwecke missbrauchbaren Fehler enthalten, die Menschen zwangsläufig produzieren. „Perfektion“, sagt Mikołajczyk, „ist deshalb auch ein Begriff aus der Theologie, nicht aus der Technologie“.
("Die Presse", Print-Ausgabe, 04.12.2016)