Die Telekom macht auf wachsende Gefahren durch Hacker aufmerksam. Anfang April hatte der Konzern 46 Millionen tägliche Angriffe auf seine Honeypots (Scheinziel-Server mit denen u. a. Informationen über Angreifer gesammelt werden können). Dies sei ein neuer Spitzenwert, die Angriffs­zahlen steigen exponentiell, so das Unternehmen.

Die Telekom hatte Anfang 46 Millionen tägliche Angriffe auf seine Honeypots. Im Schnitt habe es im Berichtsmonat 31 Millionen Angriffe pro Tag gegeben – ein exponentielles Ansteigen der Angriffszahlen gegenüber 12 Millionen 2018 und 4 Millionen 2017. Dies gab der Konzern am Rande der Potsdamer Sicherheitskonferenz im Mai bekannt. Die Zahlen steigen nach wie vor kontinuierlich, so die Telekom gegenüber GIT SICHERHEIT.

Honeypots sind digitale Fallen im Internet – vergleichbar mit Honigködern für Bären. Der Konzern lockt damit absichtlich Angreifer an, analysiert die Attacken und nutzt diese Erfahrungen zur Verbesserung der Sicherheit der eigenen und Kunden-Systeme. Knapp 3.000 verschiedene Fallen hatte die Telekom im April im Internet ausgelegt. Angriffszahlen auf die Köder der Telekom-Unternehmen gelten in der Branche als wichtiger Anhaltspunkt für den Stand der Cybersicherheit, da sie ein gutes Bild dafür abgeben, wie umtriebig Hacker im Internet sind.

„Wir brauchen die Armee der Guten“
Dirk Backofen, Leiter Telekom Security: „Fünfzig Milliarden Geräte werden wir nächstes Jahr im Internet sehen. Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten. Dafür teilen wir unser Wissen für eine Immunisierung der Gesellschaft gegen Cyber-Attacken. Nur im Schulterschluss zwischen Politik, Wissenschaft und der Privatwirtschaft werden wir erfolgreich die Hacker in die Schranken weisen können.“

Mehr als ein Viertel der Hacker zielt auf Kontrolle über fremde Rechner. Einer Statistik der Telekom zu Angriffen auf Lockfallen zufolge zielten 51% der Attacken auf die Netzsicherheit. Dabei konzentrieren sich Hacker auf Schnittstellen für die Fernwartung von Computern. In 26% der Fälle ging es dem Angreifer um die Kontrolle über einen fremden Rechner, rund 7% der Attacken zielten auf Passwörter und 5% der Angriffe galten Internetseiten. Die Telekom Security beobachtet täglich drei bis acht unbekannte Angriffstaktiken. Aus den im Schnitt monatlich 250 neuen Hacker-Tricks lernt der Konzern Abwehr für sich selbst und seine Kunden.

Sorge vor Passwort-Diebstahl
Rund 110.000 Kunden äußerten im April gegenüber der Telekom-Hotline die Sorge, ihr Passwort sei gestohlen worden. Immer wieder fallen Kunden auf das sogenannte Phishing herein. Ausgangspunkt solcher Angriffe sind gefälschte E-Mails, die denen von Banken, Sparkassen, Online-Versendern oder Telekom-Firmen täuschend ähnlich sehen. Opfer geben darüber Kundenkennwort oder Zugangsdaten heraus – diese nutzt der Angreifer für seine Zwecke aus.

Botnetze, Hacker-Industrie und KI
Heftiger werden auch die Angriffe auf Fest- und Mobilfunknetz der Telekom. So feuerten im April Botnetze 5,3 Billionen Datenpakete auf die Telekom – im Vergleich zu 330 Milliarden im Vorjahr. Botnetze bestehen aus einer großen Zahl gekaperter Computer oder Smartphones, die gemeinsam fremdgesteuert Datenpakete auf ein Ziel senden. Verträgt das Ziel den Ansturm der Daten nicht, bricht es zusammen. An den Übergängen von ihrem Netz zum Internet hat die Telekom Sensoren installiert. Diese fanden heraus: Botnetze nutzen Internetsurfer von Unternehmen aus. Sie greifen an, wo Firmen zwangläufig Datenwege freihalten. Dort schützen keine Firewalls. Wo der Internet-Browser seine Datenpakete aus dem Netz bekommt, lauern die gekaperten Zombie-Rechner.

Neben exponentiell steigenden Zahlen registriert die Telekom Security grundsätzliche Trends bei Cyber-Attacken. So entsteht seit Jahren eine Hacker-Industrie. Gruppen spezialisieren sich auf bestimmte Angriffstypen und bieten diese an: Ein Kunde stellt sich die Services verschiedener Gruppen dann je nach Bedarf und Ziel zusammen. Nach wie vor kommen die meisten Hacker-Gruppen aus China und Russland. Dabei steigt der Anteil von Attacken mit künstlicher Intelligenz, so dass Angriffe heute viel schneller erfolgreich sind. Die Cyberabwehr setzt das unter Druck – sie kontert immer mehr mit Gegenmaßnahmen in Echtzeit.

Zentrum für Cyberabwehr in Bonn
Das integrierte Cyber Defense und Security Operation Center (SOC) schützt die IT der Telekom. Der Konzern hat das Zentrum in Bonn 2017 als größtes seiner Art in Europa gegründet. Das SOC sichert auch mehrere DAX 30-Unternehmen und eine Vielzahl weiterer Firmen. Ähnliche Zentren hat die Telekom weltweit – sie alle sind miteinander vernetzt und bilden gemeinsam mit dem SOC in Bonn einen Verbund.

240 Experten wehren in den SOCs rund um die Uhr Attacken ab. Sie analysieren, welche Absicht oder Fähigkeiten Hacker haben und untersuchen Ihre Taktik (Threat Intelligence). Bei kriminellem Handeln werden IT-Forensik hinzugezogen, die Angriffe rekonstruieren und Beweise sichern. Mit den gewonnenen Informationen verbessert die Telekom auf diese Weise die eigene Technik für Cyberabwehr. Wichtige Daten liefern dabei die weltweit installierten Honeypots. Das SOC ist eines der größten und modernsten Abwehrzentren Europas.