Wie beurteilen Sie die Gefährdung von kritischen Systemen der Infrastruktur in Deutschland?

Tschersich: „Das Ausmaß von Angriffen auf die kritischen Systeme ist sehr gering. Das hat etwas mit der Architektur zu tun, wie diese Systeme aufgebaut sind. Wenn Sie ein Telefonnetz betreiben, dann steuern sie es nicht über das Telefon. Sie haben im Hintergrund ein ganz anderes Netzwerk, das nur zur Steuerung des öffentlichen Netzwerks dient. Genauso ist es bei unserem Internet-Backbone. Wir haben dafür ein eigenes unternehmensinternes Netzwerk, über das jede Komponente gemanagt wird. Diese Netzwerke sind streng abgeschottet, sogar von den Bürokommunikationsnetzen im Unternehmen. Das heißt, die Zugriffsmöglichkeiten sind streng limitiert. Wir haben außerdem ein System für die kontrollierte Ferndiagnose aufgebaut. Das ist Grundvoraussetzung, um überhaupt eine kritische Infrastruktur betreiben zu können.“

Was sind die aktuellen Herausforderungen in der IT-Sicherheit?

Tschersich: „Es gibt täglich 50 000 bis 60 000 neue Computerviren, Würmer, Trojaner oder Varianten davon. Das ist eine Bedrohung, die kaum noch beherrschbar ist. ... Die Bedrohungslage ist völlig anders als früher. Man hat Angriffswerkzeuge, die einmal benutzt werden und dann nie wieder. Stuxnet war schon 2009 bei der Antivirenindustrie bekannt, ist aber erst 2010 als wirkliche Bedrohung wahrgenommen worden. Man hat Stuxnet am Anfang als 'Just another virus' eingeschätzt.“

Welche Erkenntnisse haben Sie zu den Angreifern?

Tschersich: „Für uns ist relativ uninteressant, wer ein IT-Angreifer ist, und was seine Motive sind, denn sowohl Wirkung wie auch die notwendigen Sicherheitsmaßnahmen unterscheiden sich nicht wesentlich. Wir schauen uns das gesamte Bedrohungsspektrum an, angefangen bei den Skript-Kiddies auf der einen Seite bis hin zu professionellen Angreifern und Industriespionage auf der anderen Seite.“

Welches Ausmaß haben Attacken auf die Deutsche Telekom?

Tschersich: „Wir haben uns ein Frühwarnsystem aufgebaut mit sogenannten Honeypot-Systemen, die sich als angreifbare Anlagen ausgeben und statistische Informationen ebenso sammeln wie die aktuellen Angriffswerkzeuge. Da sehen wir im Monat einige hunderttausend Angriffe. Ich würde aber nicht so weit gehen, dass das alles Angriffe mit bewusst kriminellem Hintergrund sind.“

Wie gehen die Angreifer üblicherweise vor?

Tschersich: „Dieser erste Schritt, ein angreifbares System zu finden, erfolgt heute weitgehend automatisiert mit einem Software-Scanner. Im zweiten Schritt sieht man dann, wie ein Angreifer versucht, die Lücken manuell auszunutzen. An dieser Stelle sammeln wir pro Monat einige tausend neue Angriffswerkzeuge wie Trojaner oder Rootkits ein, die wir der Antivirenindustrie zur Verfügung stellen.“

Kann man sich auf die Arbeit der Virenscanner verlassen?

Tschersich: „Bei virustotal.com können Sie als ganz normaler Endanwender eine Datei hochladen, bei der sie sich nicht sicher sind, ob ein Virus drin ist. Sie bekommen dann eine genaue Rückmeldung, von welchem Virenscanner ein möglicher Virus erkannt wird und von welchem nicht. Das machen wir auch mit den Angriffswerkzeugen, die wir finden. Die Erkennungsrate ist erschreckend gering, im einstelligen Prozentbereich. Wir laden die Daten nach vier Wochen noch einmal hoch und die Erkennungsrate hat sich nicht dramatisch vergrößert. Das zeigt, dass vielfach einzelne, individuelle Angriffswerkzeuge gebaut werden, gegen die die Antivirenindustrie aufgrund ihrer hohen Anzahl nicht mehr vorgehen kann.“

Welche Rolle spielen Sicherheitslücken in der Software?

Tschersich: „Für 80 bis 90 Prozent der aktuellen Angriffe sind schlecht gewartete Systeme oder mangelndes Bewusstsein bei Mitarbeitern die Ursache. Schlecht gewartete Webserver werden penetriert, und über den Webserver hangelt man sich dann weiter durch bis ins Unternehmensnetzwerk hinein. Diese offenen Schwachstellen sind im Schnitt wenige Tage bis vier, fünf oder sechs Monate alt. Alles was älter ist als sechs Monate, wird schon sehr selten genutzt. Das heißt, dass auch die Angreifer hier mit den aktuellsten Schwachstellen agieren. Da sehen wir schon eine gewisse Professionalisierung.“

Kann die IT-Sicherheit überhaupt noch mit den Angreifern mithalten?

Tschersich: „Natürlich werden die Angreifer immer eine Nasenlänge Vorsprung haben. Das sind die kreativen Köpfe, die die Sicherheitslücken im System finden. Nicht jeder Angreifer hat destruktive Absichten. Es gibt auch viele, die Lücken aufdecken und dann bei den Unternehmen bekanntmachen. Das sind die Angreifer, die uns helfen, die Cybersicherheit zu verbessern, und das ist auch deren Motivation. Im Logfile sehen sie genauso aus wie der destruktive Angreifer. Aber mit einer schnelleren wechselseitigen Information über Schwachstellen in Produkten, über das Bereitstellen von neuen Updates kann man eine ganze Menge retten.“

Welche Rolle kann das neue Cyber-Abwehrzentrum der Bundesregierung spielen?

Tschersich: „Ich halte das Cyber-Abwehrzentrum für einen positiven ersten Schritt. Der Name suggeriert aber mehr, als es ist. Der Name sagt, dass da eine tatsächliche Abwehr stattfindet, aber das ist ja nicht der Fall. Es wird zunächst nur eine bessere Informationsbasis gebildet, und es ist essenziell, dass wir alle eine einheitliche Basis über Cyberbedrohungen und Gegenmaßnahmen haben. Wir arbeiten eng mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik; die Redaktion) zusammen und tauschen uns intensiv darüber aus, wie wir Sicherheit weiter ausbauen können und wie die künftigen Sicherheitsanforderungen sind. Da ist das BSI ein Garant für gute Lösungen. Das BSI hat eine starke Rolle als Informationsdrehscheibe übernommen.“

Auch intern haben Unternehmen wie die Deutsche Telekom gegen Gesetze beim Umgang mit Daten von Mitarbeitern verstoßen. Hatte das Konsequenzen für Ihre Arbeit?

Tschersich: „Wir hatten die bekannten Datenskandale - aber wir haben auch unsere Lehren daraus gezogen und eine ganze Menge positive Sicherheitskultur gewinnen können. Wir haben ... komplett umgedacht: Wir stellen jetzt die Sicherheit an den Anfang jeglicher Entwicklung und nicht mehr ans Ende. Sicherheit wird zum Design-Kriterium.“