Den Angreifern im Nacken – Cyberabwehr bei der Telekom

Die Hacker rüsten auf – die Verteidiger auch! Wir haben Mitarbeitern der Cyberabwehr der Telekom über die Schultern geschaut und erfahren, wohin sich moderne Cyberabwehr entwickelt.

Und dann muss es schnell gehen. Puls hoch. Hirn an. Alarm. Hacker-Angriff! Für Dániel K. und seine Kollegen Routine – und immer noch ein Nervenkitzel. Sie sind Mitarbeiter im Security Operations Center, die Männer an vorderster Front. Zeigt das System einen Alarm an, laufen die Analysen auf Hochtouren. Was ist genau passiert? Wie weit kam der Angreifer? Wie kann man ihn stoppen? Zum Glück ist das Team in permanenter Alarmbereitschaft. An 365 Tagen im Jahr, an sieben Tagen die Woche, 24 Stunden am Tag. Rund um die Uhr überwachen sie die Infrastruktur der Telekom.

Herzstück der Cyberabwehr

Das Security Operations Center - kurz SOC - ist das Herzstück der Cyberabwehr der Deutschen Telekom: Hier werden Alarmmeldungen über Cyberangriffe weltweit und speziell Angriffe auf die Infrastruktur der Telekom gesichtet, bewertet und gemeinsam mit weiteren Teams Gegenmaßnahmen eingeleitet. Denn: Hacker machen niemals Urlaub. Heißt: Die Frage ist nicht mehr, ob ein Unternehmen erfolgreich angegriffen wird. Die Frage ist wann. Und wenn gilt es, schnell zu handeln: Aufspüren, entfernen, aufräumen. Jeden Tag untersuchen die Experten mit Hilfe modernster Analysemethoden etwa eine Milliarde sicherheitsrelevanter Ereignisse aus mehr als 3000 Datenquellen. 1000 Anfragen erhalten sie darüber hinaus zu unterschiedlichsten Sicherheitsthemen. 21 Anweisungen zum Umgang mit Schwachstellen in Standardsoftware verteilen sie im Schnitt täglich in Fachbereiche der Telekom. 

Die Experten des SOC arbeiten im Schichtdienst. Die Schicht von Dániel K. fängt heute um 14 Uhr an. Während er seine Jacke aufhängt, wirft er einen Blick in die Runde, ein freundliches Hi. Dann klemmt er sich hinter die drei Bildschirme, die auf seinem Schreibtisch stehen. Heute gehen bei ihm – wie an jedem Tag – einige zehntausend Alarmmeldungen ein. Denen muss Dániel K. nachgehen. „Sicherheitslücken können im Ernstfall enormen Schaden anrichten, der schnell in die Millionen gehen kann - vom Image ganz zu schweigen“, erklärt Dániel K.. Durch Schwachstellen könnten zum Beispiel Webseiten umkonfiguriert werden, jemand könnte skurrile Inhalte posten oder Seiten auch einfach komplett lahmgelegen.

Dem Angreifer immer einen Schritt voraus

Richtig heikel wäre es, wenn Kundendaten aus Webanwendungen ausgelesen werden könnten. Solche Schwachstellen haben in der Vergangenheit zu vielen bekannt gewordenen Hacks und Datendiebstählen geführt. „Sowas wollen wir natürlich verhindern“, sagt Dániel K. und klickt zwischen den Bildschirmen hin und her. Für Schwachstellen schnellstmöglich geeignete Lösungen zu finden und sie zu schließen, das gehört ebenfalls zur Arbeit der SOC-Mitarbeiter und ihren Kollegen aus der Cyberabwehr. „Dem Angreifer immer einen Schritt voraus zu sein, wäre optimal, ist allerdings kaum möglich. Aber ihm im Nacken zu sitzen, dass er unseren Atem spürt, das ist unsere Aufgabe.“

Cyberabwehr auch für Kunden

Die Arbeit der Cyberabwehr geht bei der Telekom über den Schutz der eigenen Server und Infrastruktur hinaus. Der neu gegründete Geschäftsbereich Telekom Security bietet diesen Service auch für Kunden an: Für Unternehmen, die sich keine eigene Cyberabwehr-Truppe aufbauen können oder wollen, übernimmt die Telekom das komplette Aufgabenspektrum von der Prävention über Detektion bis hin zur Verteidigung. Und das mit einem Team aus langjährigen Experten und jungen Analysten. Seit Beginn der 1990er Jahre entwickelt die Deutsche Telekom ihre Cyberabwehr kontinuierlich weiter und hat in dieser Zeit mehr als 20 Millionen Angriffscodes analysiert, bewertet und in einer so genannten Threat Library abgelegt – ein Erfahrungsschatz in gleich mehrfacher Hinsicht, von dem Kunden jetzt profitieren.

Im Herbst eröffnet das neue Cyberabwehr-Zentrum der Telekom mit großem Security Operations Center in neuen Räumen in Bonn – übrigens das modernste seiner Art. Mehr als 50 Mitarbeiter aus den unterschiedlichsten Disziplinen sind dann mit an Bord im Dienste der Telekom – und der Kunden.

24/7 im Einsatz

Nach drei Stunden kurze Pause für Dániel K.. Auf dem Weg zum Kaffeeautomaten fragt er bei einem Kollegen nach, ob der Wasserrohrbruch daheim wieder repariert ist. Man kennt sich gut, arbeitet seit vielen Jahren zusammen. „Wenn man 24/7 im selben Team arbeitet, spricht man irgendwann nicht mehr nur übers Wetter“, lacht er, während er sich seinen Cappuccino zapft. Noch etwas Zucker, dann geht’s zurück an die Bildschirme. Während die Überwachungssysteme weiterlaufen, loggt sich Dániel K. in diversen Social Media Portalen ein, durchforstet das Netz. „Wir müssen ja up to date sein. Security entwickelt sich rasant. Und in Sozialen Medien finden sich immer wieder Hinweise auf Angriffe, und Informationen über Angreifer.“

Auch das gehört zur Arbeit der Cyberabwehr. Was die Cyber-Krieger in ihrem Tun antreibt? Dániel K. ist da ziemlich klar: „Wir sind die Jungs an vorderster Front. Wir bemerken einen Hackerangriff als erstes und sind dann die Truppe, die die Anweisungen zur Gegenwehr gibt.“ Ohne ihn und sein Team könnten Hacker ungehindert agieren und großen Schaden anrichten. Schwachstellen gibt es leider immer. Wenn alles digitaler wird, wird auch alles angreifbarer. „Klar ist der Schichtdienst manchmal nicht das Angenehmste, aber im Krisenfall verhindern, dass die Firma Millionen durch Kriminelle verliert, da weiß ich, wofür ich’s mache. Wir sind den Hackern auf den Versen - immer“, schließt  Dániel K.. Er hat noch vier Stunden vor sich. Langsam wird es draußen dunkel.

Lust, Teil des Cyberabwehr-Teams der Telekom zu werden? Oder auf eine weitere spannende Position im Security-Umfeld bei der Deutschen Telekom? Hier geht es zu den aktuellen Stellenausschreibungen.