Bärendienst für Hacker

05.03.2012


Bis zu 60.000 neue Varianten von Schadsoftware täglich kursieren laut Computerwoche im World Wide Web. Kriminelle finden immer neue Schwachstellen in Software, Systemen und Geräten heraus und richten in Unternehmen jeder Größe beträchtliches Unheil an oder spionieren Daten aus. Wer dem beikommen will, muss denken und handeln wie ein Hacker.

Sicherheitsexperten von T-Systems erfassen und bewerten systematisch Schwachstellen von Unternehmen, um bedarfsgerechte Maßnahmen für ihren Schutz zu ergreifen. Die Bandbreite der Kunden aus verschiedenen Branchen reicht vom traditionellen Mittelständler bis zum internationalen Konzern. Eine Eingreiftruppe koordiniert die Reaktionen auf Eindringlinge in den ICT- Architekturen. Die flexiblen Lösungen orientieren sich dabei an den Sicherheitsrichtlinien des jeweiligen Unternehmens.

Zwei mal zwei macht Null
Unternehmen verlagern heute zunehmend IT-Systeme in die digitale Wolke. Den Vorteilen des Cloud Computings steht jedoch die Sorge um die Verfügbarkeit und die Sicherheit von Anwendungen und Daten gegenüber. In Deutschland geht Unternehmen im Schnitt jährlich ein voller Tag allein durch Systemabstürze verloren. Das macht in Summe rund vier Milliarden Euro Umsatzverlust.

Auch hier gilt für T-Systems die Devise "Security by Design". So sichert die Großkundensparte der Deutschen Telekom Übertragungen von Applikationen und Daten auf stationäre und mobile Endgeräte etwa mit der sogenannten "Twin-Core"-Strategie ab. 21 Rechenzentren sind dabei redundant aufgebaut und miteinander verbunden. Sie besitzen einen "Zwilling", in dem auf Servern alle Daten und Applikationen parallel laufen. Die Synchronisation aller Informationen findet dabei im laufenden Betrieb automatisch statt. Sollte am Hauptstandort ein Server ausfallen, übernimmt sein Doppelgänger im anderen Rechenzentrum nahtlos den Betrieb. Das Geschäft des Kunden läuft damit störungsfrei weiter.

Als zusätzliche Sicherung realisiert T-Systems neben der Kopplung zweier Zwillinge außerdem eine Zwei-Wege-Anbindung vom Unternehmen zum Rechenzentrum. Sollte einmal ein Bagger eine der Leitungen kappen, strömen die Applikationen und Daten reibungslos über den zweiten Übertragungsweg. So kommt T-Systems seinem ambitionierten Ziel nahe, die Zahl der Übertragungsausfälle auf Null zu senken.

"Zero Outage Computing ist das Maß der Dinge", sagt Dr. Ferri Abolhassan, Leiter Production bei T-Systems. "Das ist unser Ziel, auch wenn ein 'Five-Nines' - also eine Verfügbarkeit von 99,999% und damit 5,3 Minuten Ausfallzeit im Jahr - wie Utopie klingt." Ganz weit ist der ICT-Spezialist davon allerdings nicht mehr entfernt: Heute entsprechen seine Rechenzentren bereits der Kategorie TIER III+. Sie liegen damit bei über 99,98 Prozent Verfügbarkeit, also zwischen der zweithöchsten und der allerhöchsten Qualitätsstufe. Ein spezieller Maßnahmenkatalog unterstützt T-Systems dabei, Schwachstellen aufzuspüren, bevor sie sich zu einem kritischen Fehler auswirken.

Tunnel für die Daten
Um neben einer hohen Systemverfügbarkeit auch maximale Datensicherheit zu gewährleisten, verlassen die Applikationen und Informationen auf ihrem Weg vom Rechenzentrum zum Endgerät des Anwenders niemals die mit dem Unternehmen abgestimmte Sicherheitsarchitektur. Die Datenübertragung findet sicher verschlüsselt über ein Virtual Private Network (VPN) statt.

Die Experten monitoren kontinuierlich die Sicherheit der getunnelten Netzverbindungen genauso wie die der Daten und Anwendungen im Rechenzentrum. Diese sind von Kunde zu Kunde sauber getrennt. Somit gelangt kein Unternehmen an Informationen des anderen, auch wenn sie IT-Ressourcen zumindest teilweise von denselben Rechnern beziehen.

Honigsüße Verführer
"Oh honeypot, you are driving me crazy." In Anlehnung an den Beatles-Klassiker springen Hacker heute in ihrer Bastelstube kreischend auf und ab, wenn sie ohne ihre Absicht der IT des Zielobjekts dabei helfen, noch sicherer zu werden. Denn dank ausgeklügelter Sicherheitsmechanismen erreichen sie exakt das Gegenteil von ihrem eigentlichen Vorhaben, den Datentresor zu knacken. Und das, obwohl Angriffe heute in der Regel nicht mehr manuell, sondern automatisiert verlaufen.

Mit Honeypot-Systemen simuliert die Deutsche Telekom Angriffsziele im Netz und schafft somit ein eigenes Frühwarnsystem für den gesamten Telekom-Konzern. Bei den Honigtöpfen handelt es sich um Software, die Schwachstellen in IT-Anwendungen vortäuscht und so Angreifer anlockt. Tatsächlich lenkt sie diese von ihrem eigentlichen Ziel ab oder leitet sie in speziell konstruierte Bereiche ohne Funktion weiter, in denen sie kein Unheil anrichten können. Führen sie dort den Schadcode aus, läuft dieser ins Leere. Seine Spuren lassen sich vom Hacker nicht mehr verwischen.

Die Funktion des digitalen Honeypots gleicht somit dem des Honigtopfs in der Natur, der Bären davon ablenkt, Lebensmittellager zu attackieren. Kann ein Angreifer nicht zwischen echten Anwendungen und Honeypots unterscheiden, geht er irgendwann von allein in die Falle, wenn er alle Komponenten im Netz auf Schwachstellen untersucht. Dabei leisten ihm die Honeypots einen wahren Bärendienst. Denn da es sich bei ihnen um ansonsten nicht genutzte Applikationen handelt, ist jeder Zugriffsversuch eindeutig als Angriff zu erkennen. So entpuppen sich die verlockenden Nektarpöttchen als ausgeklügelte Intrusion-Detection-Systeme.

Die selbstlernenden, elektronischen Honigtöpfe integrieren das Schema von Attacken automatisch in den eigenen Erkenntnisprozess und protokollieren alle Vorgänge. So unterstützen sie die Deutsche Telekom dabei, Quellen und Arten von Angriffen zu analysieren und zu identifizieren. Trends lassen sich schnell erkennen, Sicherheitslücken schließen und neue Anwendungen von Anfang an gegen erkannte Bedrohungen immunisieren.

Honigtöpfe seit 2010
Die Deutsche Telekom hat Honeypot-Systeme erstmals 2010 eingerichtet, um Angriffe auf Web-Applikationen zu dokumentieren. Heute dienen über 30 Honeypot-Anwendungen auch international als zentrale Säule im Frühwarnsystem, um neue Formen von Hackerangriffen auf breiterer Ebene zu erkennen und ihnen vorzubeugen. Sie registrierten zwischen Juli und September 2011 bis zu 30.000 Angriffe täglich, von insgesamt 18.645 Angreifern. Die Zahl der registrierten bösartigen Codes lag bei über 8.600. Von dieser hohen Aufdeckungsrate profitieren auch die Kunden des Konzerns. Die Telekom setzt außerdem Hersteller von Antivirenprogrammen in Kenntnis, sobald sich ein neuer Wurm oder Trojaner in den Honeypots verfängt. So sind diese in der Lage, ihre Software zeitnah zu aktualisieren. Mittlerweile existieren auch Honeypot-Lösungen eigens für die Simulation von Zugriffen und Attacken auf Smartphones und Tablet-PCs. Experten erkennen bereits einen Trend von systematischen Angriffen auf offene Betriebssysteme in Mobilfunknetzen.

Security Information and Event Management
Schutz vor Attacken aus dem Netz bieten neben Honeypots unter anderem auch Echtzeitforensik, künstliche Intelligenz und Data-Mining-Technologien. Sie fließen bei T-Systems an einer zentralen Bewertungsstelle, dem Security Information and Event Management (SIEM) zusammen. Diese Instanz bewertet Risiken, macht Angriffsversuche transparent und entwickelt Kontrollsysteme.

Artikeloptionen

Artikel drucken

Medienanfragen

Tel.: 0228 - 181 4949

medien@telekom.de

Special

Mehr Infos zur CeBIT 2012 gibt es hier.

Fotos

Hier finden Sie hoch auflösendes Bildmaterial zu allen Themen rund um die CeBIT 2012.

Videos

Bewegte Bilder von der CeBIT 2012 auf Telekom TV.

/static/-/p976218498/flash/Jplayer.swf