In einer neuen Folge von „Breaking Lab“, nimmt Moderator und Wissenschaftsjournalist Jacob Beautemps seine Zuschauerinnen und Zuschauer mit in eine Welt, die man sonst nur aus Schlagzeilen kennt: schwere Cyber-Angriffe, digitale Erpressung, gezielte Sabotage.
Ausgangspunkt ist ein digitaler „True Crime“-Fall. Im Juni 2017 breitet sich in der Ukraine eine Schadsoftware aus und bewirkt so den Cyberangriff mit dem höchsten finanziellen Schaden aller Zeiten. Innerhalb weniger Stunden springt der Angriff über Grenzen und Kontinente. Weltweit stehen Produktionsbänder still, Logistiksysteme fallen aus, tausende Computer sind unbrauchbar. Der geschätzte Schaden liegt bei rund 10 Milliarden US-Dollar.
Doch wie konnte es dazu kommen – und wie schützen sich Unternehmen heute besser? Um das zu zeigen, besucht Jacob eines der größten Cyber-Defense-Center Europas, nämlich das Security Operations Center (SOC) der Deutschen Telekom in Bonn.
NotPetya: Weckruf per Malware
Im Video rekonstruiert Jacob den Angriff der Schadsoftware „NotPetya“, der 2017 zunächst vor allem Unternehmen und Institutionen traf, die eine bestimmte ukrainische Buchhaltungssoftware nutzten. Von dort aus breitete sich der Angriff unkontrolliert weiter aus – auch zu internationalen Konzernen wie dem Produzenten der wohl bekanntesten schwarz-weißen Kekse, der zweitgrößten Container-Reederei der Welt, und einem globalen Pharmaunternehmen.
Der Fall zeigt: Ein einziger, vermeintlich lokaler Angriff kann durch technische und organisatorische Schwächen globale Folgen haben.
24/7-Schutz im Security Operations Center
Um solche Szenarien zu verhindern, betreibt die Deutsche Telekom in Bonn ihr Security Operations Center (SOC) – das wohlmöglich größte Cyber-Defense-Center Europas. Hier laufen täglich mehrere Milliarden sicherheitsrelevante Daten aus rund 250.000 Quellen zusammen.
Eine hochautomatisierte, lernende Plattform – also KI-basierte Systeme – analysiert diese Datenströme in Echtzeit. Im Schnitt entstehen daraus 40.000 bis 60.000 Alarme pro Minute. Die KI filtert und bewertet diese Hinweise zunächst vor, sortiert Falschmeldungen aus und priorisiert kritische Vorfälle.
Doch trotz aller Automatisierung gilt: Cybersicherheit bleibt Teamarbeit. Das SOC ist rund um die Uhr mit Expertinnen und Experten besetzt, die Auffälligkeiten prüfen, die die KI nicht eindeutig bewerten kann, bei bestätigten Angriffen Gegenmaßnahmen einleiten oder Kundensysteme – etwa von Unternehmen, Krankenhäusern oder Behörden – überwachen und unterstützen.
Das Bonner SOC arbeitet im Verbund mit weiteren Zentren in 13 Ländern. Gerade vor dem Hintergrund der geopolitischen Lage und in diesem Zusammenhang staatlich gesteuerter Angriffe ist diese internationale Zusammenarbeit ein wichtiger Baustein, um immer neue Taktiken frühzeitig zu erkennen.
Threat Intelligence: Ermittlungsarbeit im Cyberspace
Telekom-Pressesprecher Christian Fischer erklärt, welche Rolle sogenannte Threat Intelligence spielt. Also das systematische Sammeln und Auswerten von Informationen über Angreifer, deren Motive, Werkzeuge und Methoden.
Im Hintergrund arbeiten spezialisierte Teams mit unterschiedlichen Rollen:
- Pentester – die „internen Hacker“, die Systeme im Auftrag angreifen, um Schwachstellen zu finden
- Forensikerinnen und Forensiker – die digitalen Ermittler, die Vorfälle rückverfolgen und Spuren sichern
- Threat Hunter – Datenjäger, die aktiv nach bislang kaum bekannten Angriffen suchen
Ein wichtiges Werkzeug sind dabei Honeypots. Das sind digitale Lockfallen, die Angreifer gezielt anziehen und deren Verhalten detailliert aufzeichnen. Die weltweit beachtete Plattform T-Pot der Telekom kombiniert verschiedene Honeypot-Konzepte. Durch den Einsatz von KI – etwa in den Modulen „Galah“ und „Beelzebub“ – können lohnende Angriffsziele besonders realistisch simuliert und Angreifer länger im „falschen System“ gehalten werden.
KI als Gamechanger in der Cyber-Abwehr
Künstliche Intelligenz ist im SOC nicht nur ein Schlagwort, sondern fester Bestandteil der täglichen Arbeit. Lernende Systeme unterstützen unter anderem bei der Auswertung und Priorisierung von Alarmen, der Suche nach Phishing-Webseiten sowie der Erstellung von Lagebildern bei Sicherheitsvorfällen.
Die KI erkennt Muster, die für Menschen in der Masse der Daten kaum sichtbar wären, und lernt ständig aus neuen Angriffen hinzu. Gleichzeitig behalten Menschen die Kontrolle: Kritische Entscheidungen, das Setzen von Prioritäten und die Einordnung der Lage bleiben Aufgabe der Expertinnen und Experten.
Das große Aber: 100 Prozent Sicherheit gibt es nicht
So leistungsfähig KI-gestützte Abwehr und Threat Intelligence heute sind, einen absoluten Schutz gibt es nicht.
Für Unternehmen und Institutionen bedeutet das: Entscheidend ist, wie gut sie vorbereitet sind, wie schnell sie Angriffe erkennen, eindämmen und ihre Systeme wiederherstellen können. Netzsegmentierung, regelmäßige Updates, klare Wiederanlaufpläne und geübte Krisenprozesse sind dafür genauso wichtig wie moderne Technologien.
Das Video gibt Einblicke in Technik, die man normalerweise gar nicht sieht, weil sie in Rechenzentren steckt. Außerdem zeigt es, wie praktisch KI-Assistenten – wie beispielsweise auf dem KI-Phone – unseren Alltag revolutionieren. Reinschauen lohnt sich.
Über den ModeratorJacob Beautemps ist ein bekannter Wissenschaftsjournalist und Influencer im deutschsprachigen Raum. Mit seinem YouTube-Kanal „Breaking Lab“ begeistert er ein breites Publikum für Technik- und Wissenschaftsthemen, die er leicht anschaulich, fundiert und unterhaltsam erklärt. Sein Ziel: komplexe Zusammenhänge verständlich machen.
