zum Hauptinhalt

Seit einem Jahr hat Deutschland ein Cyberabwehrzentrum. Es soll das Land vor Internet-Angriffen schützen. Ein Besuch im Lagezentrum.

Von Anna Sauerbrey

Das Telefon klingelt. Ein junger Mann sitzt neben dem Apparat, ein Bügel seiner schwarzen Brille ist notdürftig mit Klebeband repariert. Er hat Dienst und ist allein dort, im dritten Stock eines unscheinbaren Zweckbaus an der Godesberger Allee in der Bonner Innenstadt. Am Kopfende des Raumes winden sich Graphen, türmen sich Cluster und klettern Balkendiagramme an Skalen über sechs große Flachbildschirme. Jetzt, an einem Donnerstagmittag, rauscht der Cyberspace friedlich vor sich hin, und der Mann mit der kaputten Brille ist gerade dabei, eine Beschwflameerde wegen eines vermeintlich fehlerhaften Sicherheitszertifikats zu bearbeiten. Nun unterbricht er das Tippen und hebt den Hörer ab. Es gebe da ein Problem, sagt der Anrufer.

Seit einem Jahr hat Deutschland ein eigenes Cyberabwehrzentrum. Es wird geleitet vom Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Als Innenminister Hans-Peter Friedrich das Nationale Cyberabwehrzentrum eröffnete, versprach er sich viel davon: „Die Infrastruktur wird zunehmend von international organisierten Angreifern attackiert“, sagte er. Mit Infrastruktur meinte er Industrieanlagen, die Strom- und Wasserversorgung, den öffentlichen Nahverkehr, und mit Attacken Angriffe aus dem Cyberspace. Was diese anrichten könnten, nannte er „nachhaltig wirkende Versorgungsengpässe“. Nun sollte Deutschlands Sicherheit auch in Bonn verteidigt werden.

Der junge Mann mit der notdürftig reparierten Brille hat seinen Dienst um acht Uhr 30 angetreten. Seinen Namen möchte er lieber für sich behalten, seine Welt ist eine mit hohen Sicherheitsstufen.

Am Morgen, als er das Pförtnerhäuschen passierte, da ging er auch an jenem sorgsam laminierten Schild vorüber, das das „Mitführen von Informationstechnik“ untersagte. Auf dem Flur überwachten Kameras jeden Schritt. Die Metalltür zum „Lagezentrum“ öffnete sich mit einem Sirren, als er seinen elektronischen Hausausweis vor eine Metallplatte hielt. Seinen Rucksack stopfte er unter den Schreibtisch. Wachdienste sind für jeden Mitarbeiter der Abteilung Operative Netzabwehr Pflicht, eine eher lästige, gibt der junge Mann mit der kaputten Brille zu: „Lieber analysieren wir einzelne Gefahren in die Tiefe“, sagte er. Er hoffte, dass es ein ruhiger Tag werden würde.

Und zunächst war er das auch. Was hier an Daten aufbereitet wird, sammelt ein Netz von Sensoren, das das BSI und die mit ihm verbündeten Institute und Firmen im Cyberspace ausgeworfen haben. Es ist ein maschinelles Immunsystem, das Gefahren aufspürt und von IT-Experten ständig an neue Virentypen angepasst wird.

Lesen Sie auf der nächsten Seite: Wie der Puls des Netzes gemessen wird

Längst ist die Zahl der Schadprogramme, Würmer, Viren oder Trojaner, so groß, dass nur noch ihresgleichen mit ihnen fertig werden: Analyseprogramme, die genau wie die digitalen Erreger aus Codes bestehen. Erst, wenn ein Analyseprogramm ein besonders interessantes Exemplar findet, eine neue oder besonders schädliche Art, landet das Biest auf dem Seziertisch eines Analysten wie dem Informatiker mit der Brille. Das hatte er gemeint mit: Gefahren „in die Tiefe“ analysieren.

Aber gerade jetzt war noch nichts dergleichen zu finden. Der junge Mann richtete seine Aufmerksamkeit auf eine rote Kurve. Sie zeigt den Puls des Netzes an. Er wird unter anderem in „Messages per minute“ (Mpm) gemessen, was die Zahl der virenverseuchten Nachrichten pro Minute beziffert, die an einer Art E-Mail-Falle im Netz haften bleiben. In dem Moment mäanderte der Wert bei 0,2 Mpm, deutlich unterhalb des Mittelwerts für diese Tageszeit. „No alerts found“, beruhigte ein grüner Balken. Dann flackerte eine Tabelle gelb auf. Vorwarnstufe.

Der Brillenmann hob den Blick. Die Webseite des Bundesjustizministeriums war seit sechs Minuten und sechs Sekunden nicht mehr zu erreichen, meldete einer seiner digitalen Helfer, die nichts anderes tun, als eine Liste von Webseiten zu kontaktieren, um zu überprüfen, ob sie noch da sind. Wurde das Bundesjustizministerium mit einer „DDoS-Kanone“ beschossen, der üblichen Angriffswaffe der Internetaktivisten Anonymous? Sie pflegen ihre Gegner mit so vielen automatisierten Anfragen zu bombardieren, dass deren Internetpräsenz zusammenbricht. Aber der junge Mann winkte ab und widmete sich wieder dem fehlerhaften Sicherheitszertifikat, beim Bundesjustizministerium ruckelte es schon seit Tagen. Doch dann klingelt das Telefon, und er bekommt etwas auf den Tisch.

Woher der Anrufer mit dem Problem sich an ihn wendet, darf der junge Mann nicht verraten, aber es ist eine Bundesbehörde. Auf deren Webseite hat sich ein Erreger eingenistet. Und er hat sich gut getarnt. Auf die Schliche gekommen ist ihm am Vormittag ein aufmerksames kleines Wachprogramm. Es hatte bemerkt, dass mehr als nur der Inhalt der Seite verändert worden war.

Inhalte verändert die Behörde, der die Webseite gehört, täglich. Das „Template“ aber, also der Rahmen, der Farben, Schriftarten und Logos definiert, wird selten verändert. Der Aufpasser-Automat schickte deshalb eine Warnmeldung. Und so kamen die Menschen ins Spiel. Nummern wurden gewählt, Telefonhörer abgenommen. Ob es Veränderungen am Layout gegeben habe? Nein, sagte der Administrator, da müsse ein Fehler vorliegen. Er überprüfte die Identifikationsadressen der Computer, die das „Backend“ der Webseite geöffnet hatten, also den Lieferanten- und Serviceeingang, den sonst nur Techniker betreten. Nein, irgendetwas stimmte hier ganz und gar nicht. Hier hatten sich Unbefugte Zutritt verschafft.

Lesen Sie auf der nächsten Seite: Warum die Cyberabwehrer vom "Cyberkrieg" genervt sind

Ist das der „Cyberkrieg“, der die öffentliche Debatte bestimmt? Wo Sabotageviren wie Stuxnet oder Hightech-Wanzen wie Flame das Bild eines virtuellen Schlachtfeldes prägen? Für Dirk Häger ist es das Wort, das ihn richtig nerven kann. Er ist der Chef des Manns mit der Brille und einer von Deutschlands obersten Cyberabwehrern. Der Mittvierziger mit der schlaksigen Statur eines Basketballspielers hat in Physik promoviert. Jetzt, da er an einem Konferenztisch sitzen geblieben ist, an dem eben die „Mittagslage“ zu Ende ging, ordnet er die langen Beine unter dem Tisch neu und fällt bald in den für seinen Berufsstand üblichen maschinenschnellen Redefluss. Viren, Würmer, das ist seine Welt, die Welt der Nerds, in die das Wort „Cyberkrieg“ nicht hineinpasst. Es lässt Häger stocken. Er atmet tief ein und lehnt sich weit zurück. „Mit dem Namen Cyberabwehrzentrum ist eine Erwartungshaltung verbunden, die mit der Realität nicht übereinstimmt“, sagt er. „Es geht dort vor allem um den Austausch von Informationen.“

Das Cyberabwehrzentrum ist vor allem eine Videokonferenz. Jeden Morgen um neun spricht Häger über eine sichere Verbindung mit den Kollegen aus anderen Behörden, der Bundeswehr, den Geheimdiensten und der Polizei. Selten treffen sich die Mitglieder dieses Zentrums persönlich. Nur wenn das Problem als „VS“, Verschlusssache, eingestuft wird, fährt Häger zu einem abhörsicheren Raum in Bonn-Mehlem, um über das Vorgehen mit den anderen direkt zu beraten. Das sei eigentlich schon alles, sagt Häger.

Er ist kein Krieger, und er will auch keiner sein. Viren und Würmer interessieren ihn nicht als Waffen. Für den Beamten in ihm sind sie Aufgaben, die erledigt werden müssen, damit Deutschland sicher ist. Für den Wissenschaftler, der er aber auch ist, stellen sie Gefahren dar, für die er sich um ein Gegenmittel bemüht und die ihm manchmal sogar Anerkennung abringen. Wobei er oft nicht wissen kann, ob sich hinter den raffinierten Code-Konstruktionen ausländische Dienste verbergen oder Kriminelle.

Lesen Sie auf der nächsten Seite: Wie die Wachhabenden einem Einbrecher auf die Spur kommen

Im Kontrollraum nebenan hat der junge Mann mit der geflickten Brille inzwischen eine Diagnose gestellt: Die Seite ist von einem „Drive-by-Exploit“ befallen. „Drive-by-Exploits“ waren im vergangenen Jahr eines der am schnellsten zunehmenden Probleme der IT-Sicherheit. Das Computernotfallteam der Bundesverwaltung registrierte pro Woche etwa 20 neue Fälle, bei denen deutsche Webseiten befallen wurden.

Die Angreifer verstecken dabei ihren Code direkt im Code einer fremden Webseite. Das Perfide: Der vorbeisurfende PC-Benutzer muss nichts herunterladen, ja, nicht einmal etwas anklicken. Er infiziert sich quasi durch die Berührung mit der Webseite – ohne es zu merken.

Die Epidemie hatte in den Schmuddelecken des Internets begonnen, auf Sexseiten. Nach und nach breitete sich die Gefahr auch in den bürgerlichen Vororten des Web aus: Unter den befallenen Seiten war 2011 das „Handelsblatt“ und jetzt, im Juni 2012, jene Behördenseite, deren Name geheim bleiben soll.

Hinter solchen Wegelagerer-Programmen stecken natürlich Menschen. Aber selten führt zu denen eine Spur. Der junge Mann mit der kaputten Brille und ein Kollege suchen nach dieser Spur, sie zerlegen den Code, um eine Fährte zu finden. Aber allzu viel Hoffnung machen sie sich nicht. Immerhin, eine URL können sie isolieren, eine Adresse im Internet. Dort könnte der Virus liegen, dorthin wird der arglose Nutzer umgeleitet.

Als die beiden dieser Spur folgen, stoßen sie auf eine bereits abgeschaltete Seite. Sie stehen vor einer Baulücke. Sie werden in diesem Fall nicht einmal herausfinden, was die Täter eigentlich vorhatten. Es gebe da viele Möglichkeiten, sagt der Brillenmann, das sei abhängig von ihrem Geschäftsmodell. „Vielleicht wollten die Hacker Bankdaten ausspähen oder den Computer als Abschussrampe für DDoS-Angriffe übernehmen. Oder sie wollten einen billigen, massenhaften Spamversand starten.“

Der Mann mit der kaputten Brille ruft den Administrator der Behörde zurück und rät ihm, die Seite kurz vom Netz zu nehmen und vorübergehend durch eine ältere Version zu ersetzen.

In einigen Tagen, wenn die Seite repariert ist, wird das BSI einen „Penetrationstest“ machen. Das heißt, sie werden selbst versuchen, in die Seite einzubrechen, um zu sehen, ob die Tür wieder nachgibt.

Eine Fährte werden sie weiterverfolgen. Um den Virus in Aktion zu setzen, kaufen die Cyber-Gangster von anderen Kriminellen die Zugangsdaten zu den Hintereingängen von Webseiten. Anders können die meisten nicht zu sensiblen Bereichen vordringen, um einen Link auf ihr Schadprogramm einzuschleusen. Und die Frage ist: An welcher Stelle sind die Zugangsdaten für die Behörden-Webseite verloren gegangen? Ist es ein Trojaner auf einem Computer in der Webdesign-Firma, die die Behördenseite betreut? Oder, schlimmer, ist der Schlüssel direkt in der Behörde abgefischt worden?

Bei wichtigen Zielen greifen Cyberkriminelle auch auf etwas zurück, was die IT-Experten freundlich „social engineering“ nennen. Es ist die älteste Spionagetechnik der Welt. Das Umfeld eines Behördenmitarbeiters ausforschen, ihn anrufen, sich als Kollegen oder Techniker ausgeben und versuchen, ihm seine Zugangsdaten zu entlocken.

Die Recherche wird noch einige Zeit in Anspruch nehmen. Der Mann, der seine Brille auch an diesem Tag nicht zur Reparatur gebracht hat, seufzt: „Wenn jemand sich die Zugriffsdaten klauen lässt, können wir auch nichts machen.“

Zur Startseite