Gemeinsam stark: Zur Gefahrenabwehr formt die Telekom eine Cybersecurity-Allianz mit Kunden und Technologiepartnern weltweit.
Security-Allianz

Mit intelligenter Rückendeckung gegen Hacker.

Findiger, schneller, aggressiver. De facto vergeht keine Sekunde, in der nicht irgendwo auf der Welt Hacker daran arbeiten, ihre Attacken zu perfektionieren. Noch gewissenloser, brutaler, perfider. Die Armee der Bösen rüstet ständig auf, und ihre Angriffsmuster werden immer komplexer und raffinierter. Doch wo bleibt eigentlich die Armee der Guten, die dagegenhält?
Autor: Thomas van Zütphen
Illustration: erhui1979/Getty Images 


Steht irgendwo geschrieben, dass sich die Angriffsziele – und 93 Prozent aller Großkunden und großen mittelständischen deutschen Unternehmen wurden 2016 schon angegriffen – fast immer als Einzelkämpfer verteidigen müssen? Und in Zeiten, in denen der Cyberwar keinen Waffenstillstand mehr kennt, genügt es einfach nicht, von einem IT-Dienstleister flankiert zu sein, der sein Brot- und Buttergeschäft einwandfrei beherrscht, aber womöglich vor der Hightech-Phalanx von Cyberkriminellen die weiße Fahne hisst.
Die Deutsche Telekom hält dagegen, stellt sich stark auf und hat zum 1. Januar dieses Jahres sämtliche Security-Ressourcen des Konzerns mit nahezu 1200 Sicherheitsexperten gebündelt. Seither operiert die neue Konzerneinheit Telekom Security als eigenständiger Geschäftsbereich unter dem Dach der T-Systems. „Unsere Kunden befinden sich mitten in der digitalen Transformation. Diese ist für mich gekennzeichnet durch einen Dreiklang aus dem Internet der Dinge, Cloud und Sicherheit. Security ist dabei die Grundbedingung fuür eine erfolgreiche Digitalisierung“, so Telekom-Security-Geschäftsführerin Anette Bronder, die auch die Digital Division der T-Systems verantwortet. „Bei der Entwicklung von Produkten und Geschäftsmodellen denken wir das Thema Sicherheit von der ersten Idee an mit.“
Auf diese Herausforderung ist die Telekom schon aus der eigenen Unternehmensgeschichte heraus gut vorbereitet. Seit mehr als 20 Jahren schützen die eigenen Security-Spezialisten die Telekom als kritische Infrastruktur – immerhin mit aktuell 225 000 Mitarbeitern weltweit. Sie schützen die Rechenzentren, den Datenverkehr, die mobilen Geräte und Netze für die Kunden der Telekom. „Was liegt also näher, als dieselben hochprofessionellen Tools, die wir zu unserem Schutz einsetzen, auch unseren Kunden anzubieten?“, so Dirk Backofen, Leiter Telekom Security (siehe Interview mit Dirk Backofen). „Zu unseren Kunden zählen viele Dax-Konzerne und mittelständische Marktführer der Schlüsselindustrien Automotive und Maschinenbau, Chemie und Pharma, Energie und Finance.“ Allein in Europa soll der Markt von derzeit 13 Milliarden Euro bis 2020 jährlich sieben bis acht Prozent wachsen.
„CEOs und ihre Sicherheitsverantwortlichen erwarten zu Recht, dass Security einfach, bequem und übersichtlich bleibt und ihnen ein Maximum an Managed Security Services geboten wird.“
Dirk Backofen, Leiter Telekom Security

Vertrauen und Vertrauensvorschuss zugleich

Allein um weitere 300 Mitarbeiter baut die Telekom Security ihr Expertenteam aktuell aus, um den Anforderungen im Markt Rechnung zu tragen. Quasi verankert in der DNA jedes der dann 1500 Spezialisten in den Bereichen Consulting, Sales, Presales, Engineering, Produktion und Operative Abwehr ist das Ziel: Zero Impact. Cyberattacken, egal ob auf Privatkunden, Mittelstand oder Großkonzern, können zwar grundsätzlich nicht verhindert werden, aber deren Auswirkungen“, so Dirk Backofen. „Wir wollen die Cybersecurity-Allianz all unserer Kunden gestalten.“
Das nötige Security-Equipment ist praktisch an jeder Straßenecke zu bekommen. Die eigene Messlatte „Zero Impact“ jedoch kann die Telekom bei ihren Kunden nur deshalb so hoch hängen, weil sie im Unterschied zu anderen Anbietern das Thema Security tief in die Themen Konnektivität und Cloud integriert und in der Lage ist, das Zusammenspiel unterschiedlichster Lösungen zu orchestrieren. Gelernt ist gelernt. Dazu bildet unter anderem eine Honeypot-Landschaft mit rund 1000 virtuellen Sensoren im Netz unterschiedlichste Geräte ab: Smartphone, Laptop, PC oder Data-Center-Rack. Damit bieten die Konzernspezialisten eine Angriffsoberfläche, die täglich vier Millionen Angriffe registriert und vollautomatisch auswertet. Dazu analysieren die Experten der Telekom täglich hoch spezialisierte und zielgerichtete Angriffe auf das eigene sowie auf andere Unternehmen. Mithilfe dieser Erkenntnisse lassen sich die Abwehrmechanismen immer weiter verfeinern, und das Wissen über die Angreifer wird verbessert. 
In der Summe registriert das Unternehmen aus mehr als 3000 Datenquellen etwa eine Milliarde sicherheitsrelevante Events pro Tag und muss möglichst in Echtzeit identifizieren, welcher Vorfall so kritisch und alarmierend ist, dass man ihm sofort nachgehen muss. Der dafür nötige Abgleich erfolgt voll automatisiert in einer rund 20 Millionen Schadcodes und Angriffsindikatoren umfassenden Security-Datenbank, in die täglich neue, auch von den Telekom- Experten selbst geschriebene Virensignaturen und Zero Day Exploits eingespeist werden. „Diesen Schatz nutzen wir auch regelmäßig dafür, um neue Lieferanten und deren Produkte auf ihre Detektionsfähigkeit zu testen“, so Backofen. „Das gehört zu unserem Anspruch, denn wir wollen nur die Innovativsten und Besten der Besten in unser Portfolio und Partnernetzwerk aufnehmen, um damit den Schutz, den wir unseren Kunden bieten können, ständig zu verbessern.“ Denn die Aufgabe, das permanente Wettrennen mit Cyberkriminalität immer offen zu halten oder den Angreifern sogar voraus zu sein, ist gewaltig – und allein von niemandem zu schaffen. Im Ergebnis kooperiert Telekom Security heute mit 50 Partnern weltweit, deren Lösungen jedes denkbare Spektrum möglicher Angriffsflächen eines Unternehmens abdecken.

Transparenz in die Tätertaktik

Auch dahinter steckt die Philosophie des Aufbaus einer „Armee der Guten“, eines Cybersecurity-Schutzschilds für alle Kunden weltweit, vom Dax-Konzern über den Mittelstand bis zum Privatkunden. Zur Ausgestaltung dieser Art Cyberallianz zählt unter anderem, die Informationen und Ergebnisse jeder bei einem Kunden registrierten neuen Angriffsform – sei es in einem bei ihm installierten Sensor oder real – sofort in die Sicherheitssysteme aller anderen Kunden zu integrieren. Doch was verbirgt sich hinter Mobile Protect Pro, Internet Protect Pro, Vulnerability Scan as a Service, Security Operations Center oder Industrial Control Systems Security? Was leisten die am Markt gefühlt täglich neu aufpoppenden Sicherheitslösungen, wie nützen sie meinen Geschäftsprozessen und konkret wobei? Allein die Fragen dokumentieren den zentralen Bedarf an Security Operation. Dessen Treiber sind Tempo und Komplexität neuer Angriffstechnologien auf der einen und hochmoderne Präventions-, Detektions- und Abwehrtechnologien auf der anderen Seite. Dirk Backofen: „Um die bei uns erworbenen Tools und Lösungen guten Gewissens einzusetzen, erwarten die CEOs unserer Kunden und ihre Sicherheitsverantwortlichen unserer Kunden zu Recht, dass Security für ihre Anwender einfach, bequem, handlich und übersichtlich bleibt. Wir wollen und können als Managed-Security-Services-Provider unseren Kunden die Angst vor der Komplexität im Bereich Cybersecurity nehmen.

Die Wahl zwischen wehrhaft und schwach

Eine herausragende Rolle für das Erreichen dieses Ziels spielt die Einrichtung eines neuen Security Operations Centers (SOC), in dem die Sicherheitsbelange der Telekom-Security-Kunden genauso professionell angegangen werden wie die des eigenen Konzerns. Dessen eigene Angriffsvektoren reichen, wie praktisch in jedem Unternehmen heute, von der Data-, Application- oder Network-Security-Ebene bis zur Endpoint/Mobile Security, Industrial Control Systems Security und ID-Sicherheit. Um diese Komplexität im Betrieb zu managen, laufen sämtliche sicherheitsrelevanten Informationen aus allen genannten Layern zentral im SOC auf. Damit wird das neue Center zum Fundament von Lösungskonzepten und deren Implementierung. 
Doch wie steht es generell um das Security-Fundament der Unternehmen? Grundsätzlich attestieren Sicherheitsexperten neun von zehn Corporate-Netzwerken deutscher Firmen mit den typischen Data-Center- und Office- Strukturen bereits ein ganz vernünftiges Schutzlevel. Doch noch immer arbeiten viele vor allem mit klassischen Advanced Security Hubs, die mit der traditionellen Logik von Firewalls und Intrusion-Prevention-Systemen, Web-Proxy-/Mail-Relay-Systemen unterwegs sind. Und wissen dabei oftmals nicht, dass sie damit nur nach sogenannten Known Threats suchen können. Aber wie detektieren sie eine Bedrohung, von der man noch nie gehört hat? Spätestens dafür sollten Unternehmen einen neuen Sicherheitslayer einbauen, um sich auch vor bislang unbekannten Angriffen wie Advanced Persitent Threats und Zero Day Exploits zu schützen.

Auch Stand-Alone lässt sich veredeln

Solche Layer zum Beispiel baut Telekom Security mit einer Sandbox-Umgebung als Advanced Persistent Threat Protection wahlweise für die On-premise-Bereitstellung mit dem Partner Cisco oder als Cloudlösung von Checkpoint. Dabei werden verdächtige Mails schon beim Eintreffen in einer hochsicheren, abgeschirmten Umgebung geöffnet, die einen Arbeitsplatz simuliert. Zunächst einmal „gecacht“, werden die Mail und ihre Anhänge erst nach erfolgreicher Emulation dem Nutzer zugestellt. Dabei arbeiten aufgesetzte Telekom-Security-Services wie Mobile Protect Pro (MPP) auf den Endgeräten der Kunden wie ein Dauer-EKG. Wenn eine Korrelation der über 1000 Vektoren auftaucht, die MPP noch nie gesehen hat, ist die Wahrscheinlichkeit groß, dass es sich um einen Angriff handelt. Damit neben dem Smartphone oder Tablet auch wahlweise der Zugang zum Firmennetz abgeschaltet wird, ist MPP direkt mit dem beim Kunden bereits installierten Mobile-Device-Management-System verbunden. 
Noch schlechter als bei der Corporate-IT fällt das Zeugnis der Experten aus, das sie den Industrienetzwerken ausstellen. So wird geschätzt, dass nur zehn Prozent aller Kunden in Deutschland ihre Industrienetze richtig absichern. Galt lange Zeit als bester Schutz, das Industrienetz isoliert vom Internet zu betreiben, ist diese Trennung in Zeiten von IoT, Realtime- und Maintenance-Prozessen buchstäblich kontraproduktiv. Jeder Remote-Support braucht einen physikalischen Zugang, sonst kann der Lieferant oder Hersteller einer Maschine nicht unterstützen. Dafür müssen Servicetechniker auf andere Protokolle zugreifen, um die jeweiligen Schnittstellen als potenzielles Einfallstor von Angreifern zu sichern.
„Vom solitären Datensatz bis zur vollständigen Intellectual Property eines Unternehmens – die Aussicht auf Beute wird Hacker nie ruhen lassen.“
Dirk Backofen, Leiter Telekom Security

Rendezvous im virtuellen Raum

Zur Industrial Control System Security (ICS) der Telekom gehört neuerdings mit Industrial Access Protect Pro auch eine flexible Fernwartungslösung des Telekom Security Partners genua aus Kirchheim. Die Lösung liegt in der Cloud oder am Kundenstandort und bietet eine granulare Kontrolle jedes einzelnen Zugriffs zur Überwachung von Fernwartungszugriffen in Echtzeit und deren Dokumentation. Der Clou und damit ein zentrales Sicherheitsmerkmal ist, dass sie keine direkten Zugriffe durch externe Techniker auf die betreuten Anlagen zulässt. Denn die Wartungsarbeiten erfolgen zunächst in einem virtuellen Raum in der Cloud, in dem Techniker und Technik miteinander interagieren können, ohne dass ein Externer bereits direkten Zugriff auf die Anlage hat. Wartungsverbindungen nutzen Verschlüsselungsinstanzen und müssen stets kundenseitig über einen sogenannten Rendezvous-Server erst freigeschaltet werden. 
Weitere Herzstücke des Industrial-Control-Systems- Security-Angebots, von der permanenten Schwachstellenanalyse über die automatische Angriffserkennung bis zum Compliance Reporting, sind ein Security Incident and Event Management (SIEM), eine Firewall sowie ein Identity and Access Management, die über Lösungen der Partner CyberX und radiflow industriell, also netzwerkweit, in den typischen Sprachen der Industrienetzwerke operieren können. 
Doch Angriffe drohen Unternehmen immer häufiger nicht mehr nur aus dem Netz. Zur Sicherung originärer Industrieanlagen vor Angriffen aus der Luft erfährt ein Service der Telekom Security eine immense Nachfrage: das Magenta Drohnenschutzschild der Deutschen Telekom (siehe Best Practice Artikel Drohnenabwehr). Für Dirk Backofen hat „das herausragende Kundeninteresse an unseren Security-Lösungen im hochaktuellen Bereich Drohnenkriminalität auch eine alarmierende Seite: Die Aussicht auf Beute, vom solitären Datensatz bis zur vollständigen Intellectual Property eines Unternehmens, wird die Hacker da draußen niemals ruhen lassen“.