Zeitung Heute : Im Internet-Bunker

Das sichere Internet – so etwas halten die meisten Menschen angesichts von 65 000 Computerviren für eine Illusion. Für andere ist das ein Geschäft. Die IT-Firma Symantec hat in Südengland einen alten Atombunker erworben und macht von dort aus die Netzwerke sicher.

Kurt Sagatz[Twyford]

Inzwischen stört sich niemand mehr an dem engen Weg, der sich vom Zentrum der südenglischen Kleinstadt Twyford hoch zum „Secure Operations Center“ schlängelt. Zu Anfang des Jahres war das noch anders, als die schweren Laster auf die einspurige Straße angewiesen waren, um die 30 Tonnen Schutt wegzuschaffen, die beim Umbau des ehemaligen Atombunkers zu einem der modernsten Sicherheitszentren Großbritanniens anfielen. Inzwischen ist wieder Ruhe eingekehrt. Reiter nutzen den Weg, um von Twyford aus die hügelige Landschaft von Berkshire zu erkunden. Nur dreimal am Tag, wenn die nächste Schicht von Symantec-Mitarbeitern ihren Dienst in dem fensterlosen Bunker antritt, kommt für einige Minuten etwas mehr Hektik auf.

Twyford, das ist britische Beschaulichkeit mit ruhigen Landgasthäusern und kleinen Poststellen. Twyford hat auch eine Internet-Seite. Dort wird die Hoffnung zum Ausdruck gebracht, dass die 10 000-Seelen-Gemeinde 60 Meilen südwestlich von London bald an das Breitband-World-Wide-Web angeschlossen wird. Dabei verfügt der Ort bereits über die breitesten Datenautobahnen, die man sich vorstellen kann. Zwei T1-Hochleistungskabel stellen die Verbindung zwischen dem Bunker und der Außenwelt her, hinzu kommt eine Internet-Richtfunkstrecke, erläutert Symantec-Manager Jeff Ogden. Die Twyforder bekommen davon nichts mit. Die Datenleitung ist ebenso abgeschirmt wie die Anlage selbst, und seit dem Ende der Bauarbeiten am Bunker wird kein großes Aufhebens mehr vom Unternehmen am Ortsrand gemacht. Selbst ein Hinweisschild, das dem Ortsunkundigen den Weg verrät, sucht man vergebens.

Die Sicherheit von Unternehmensnetzen und Kundendaten, die Symantec anbietet, muss 24 Stunden am Tag, sieben Tage die Woche, gewährleistet sein. Nur so kann das große Versprechen gehalten werden, das die britische Tochter des US-Konzerns ihren Kunden gibt: spätestens 15 Minuten nach einem Cyber-Angriff oder einer Viren-Epidemie eine unmissverständliche Warnung abzusetzen, um Schlimmeres zu verhindern. Erfolgt die Warnung später oder gar nicht, können die Kunden das Symantec-Honorar kürzen. „Bis jetzt hat davon aber noch kein Kunde Gebrauch gemacht“, freut sich Jeff Ogden.

Der noch junge Geschäftszweig mit dem Namen „Managed Security Services“ verdankt seinen Erfolg zwei Dingen. Zum einen nimmt das Sicherheitsbedürfnis aller Unternehmen stetig zu. Je vernetzter die Wirtschaft wird, desto gefährlicher werden die Bedrohungen beispielsweise durch die über 65 000 existierenden Computerviren oder durch Hackerangriffe (siehe Kasten). Zum anderen fällt es vor allem mittelständischen Firmen immer schwerer, sich selbst gegen all diese Gefahren zu schützen. Selbst wenn eine eigene EDV-Abteilung existiert, so bleibt selten die Zeit, sich ständig über die neuesten Bedrohungen auf dem Laufenden zu halten. Viele Unternehmen setzen darum auf Outsourcing, also das Auslagern der gesamten Systemsicherheit zu einem darauf spezialisierten Dienstleister. Wie eben Symantec, das den meisten Computernutzern vor allem als Marktführer bei den Anti-Viren-Programmen („Norton Anti-Virus“) bekannt sein dürfte.

Ob man diesen Dienst am Kunden unbedingt von einem ehemaligen Atombunker der britischen Regierung aus anbieten muss, bleibt eine berechtigte Frage. „Warum nicht?“, fragt Jeff Ogden zurück und ergänzt: „Viele Hacker meinen auch in der heutigen vernetzten Welt noch immer, dass der einfachste Weg für einen Einbruch in ein Firmennetz über die Eingangstür des Unternehmens führt.“ An dem in den südenglischen Hügel eingebetteten Bunker mit seiner kameraüberwachten Sicherheitsschleuse dürften sich solche Einbrecher die Zähne ausbeißen.

Dass die Wahl von Symantec auf das abseits der dicht besiedelten Städte und großen Industriegebiete gelegene Twyford fiel, hat jedoch noch einen anderen Hintergrund. Unweit des Ortes gibt es verschiedene militärische Anlagen. Firmen aus dem IT-Sicherheitsgewerbe stellen gern ehemalige Armeeangehörige ein. „Bei uns arbeiten sechs ehemalige Militärs, der Leiter der Anlage hat sogar 25 Jahre auf einem U-Boot als Kommandant gedient“, sagt Jeff Ogden. Beliebt sind die Ex-Armeeangehörigen einerseits wegen der Disziplin und Zuverlässigkeit, die auch für die Arbeit an IT-Sicherheitssystemen notwendig ist. Andererseits, weil es weder in U-Booten noch in Bunkern oder Datenzentren Fenster gibt.

Die Arbeit der Symantec-Mitarbeiter im Twyford-Bunker ist gewöhnungsbedürftig. Die Sicherheitszentrale mit dem zweieinhalb Meter dicken Bunkerdach erinnert an eine Computer- Schule. Fünf lange Tischreihen, jeweils für fünf Mitarbeiter, an jedem Arbeitsplatz mindestens zwei, mitunter sogar vier LCD-Monitore. Darauf laufen die Netzwerk-Daten der angeschlossenen Kunden-Systeme ab. An der Frontwand hängen vier überdimensionale Flachbildschirme – für alle gut sichtbar –, die die allgemeine Bedrohungslage im Internet anzeigen. Außenstehende dürfen die Zentrale nicht betreten. Kein Kunde würde es gutheißen, wenn ein Besucher durch einen zufälligen Blick auf einen der Monitore erkennen könnte, dass sein Konkurrent gerade mit einem ernsthaften Sicherheitsproblem zu kämpfen hat. Lediglich eine Glasscheibe im Konferenzraum gewährt einen Blick auf das Innerste der Anlage. Doch sobald es hektischer wird, wird aus dem Sichtfenster eine Milchglasscheibe, die keinen Blick mehr auf die Bildschirme und die davor sitzenden Datenauswerter zulässt.

Allzu viel verraten die Monitore dem Unkundigen ohnehin nicht. Selbst wenn es sich um Bankdaten handelt, sind es keineswegs Kontoauszüge, die auf dem Bildschirm aufleuchten. Sichtbar werden nur die Systemdaten, die aus Millionen Netzwerkereignissen computergestützt generierten Ereignisanzeigen. Sie deuten darauf hin, dass wieder einmal ein Mitarbeiter versucht hat, mit einem überholten Passwort auf ein anderes System zuzugreifen. Oder wenn eine Internetseite der Bank aufgerufen wird, deren Inhalt sich aber längst an anderer Stelle befindet. Oder ein Hacker, der versucht, eine Sicherheitslücke zu finden. Es gibt unzählige Möglichkeiten, warum eine neue Zeile mit einer neuen Fehlermeldung zum Protokoll hinzugefügt wird. Und es ist die Aufgabe von Symantec, die echten von den vermeintlichen Gefahren zu unterscheiden.

Selbst bei einem kleinen Unternehmen mit nur 20 Rechnern werden pro Monat bis zu zehn Millionen Einträge erzeugt. Die große Masse wird vom System sofort als harmlos erkannt. Alle anderen landen auf den Bildschirmen im Twyforder Bunker. Im Fall des Mittelständlers immerhin noch 620 sicherheitsrelevante Ereignisse. Die Systemwächter vergleichen diese Daten nun mit ihrer Datenbank und erstellen daraus ein Protokoll für den Kunden. Darin steht dann, wie mit den 50 übrig gebliebenen Ereignissen zu verfahren ist. Bei den wirklich kritischen Ereignissen handeln die Experten jedoch sofort. Denn wenn der Angreifer erst einmal in das System eingedrungen ist, kommt es auf jede Minute an, auch wenn von den zehn Millionen Ereignissen am Ende nur zwei wirklich große Bedrohungen übrig bleiben. Genau diese beiden könnten jedoch darüber entscheiden, ob ein Unternehmen überlebt oder untergeht.

Die IT-Technik ist in den meisten Unternehmen heutzutage das, was die Experten „mission critical“ nennen. Ohne sie läuft nichts mehr. Und die Bedrohung durch Hacker und Viren ist größer und realer, als vielen lieb ist. Vor allem die neuesten Schöpfungen der Viren-Bastler haben vor Augen geführt, wie anfällig ungeschützte Computersysteme und Firmennetze sind. Viren wie „Code Red“ oder „Nimda“ zogen eine Schneise der Verwüstung durch das weltweite Netz, die Kosten gingen in die Milliarden. „In nur 15 Stunden infizierte ,Code Red‘ 360 000 Computer“, sagt Symantec-Virenforscher Eric Chien respektvoll. „In der Spitze wurden 2000 Systeme in einer einzigen Minute in den Strudel gerissen.“ Dabei sei der Begriff Virus eigentlich unzutreffend, so Chien. Ihre fürchterlichste Wirkung hatten Viren zu Zeiten unvernetzter DOS-Rechner. Seit dem Siegeszug des Internets machten vielmehr Würmer, die sich von einem Rechner zum nächsten ausbreiten, den größten Anteil aus. Vor allem der „I love you“-Wurm oder dessen Ableger wie der „Anna Kournikova“-Wurm gehören zu dieser Gattung. Mittlerweile erscheinen jedoch selbst diese Schädlinge als verhältnismäßig harmlos. „I love you“ funktionierte nur, wenn der Computernutzer den Dateianhang der E-Mail per Mausklick aktivierte. Liebesbriefe oder Sexbildchen eignen sich immer noch am besten zur Tarnung der Computerviren und -würmer. Den Rest besorgt die Neugier der Nutzer. Inzwischen verbreiten sich die Schädlinge allerdings ganz ohne menschliche Mitwirkung: „Code Red“ und „Nimda“ fanden die Schwachstellen in einem System selbstständig.

Wie gefährdet das Internet wirklich ist, zeigte sich erst Anfang der Woche. Nachdem es bereits im Oktober mit einem gezielten Angriff auf die innerste Infrastruktur des Datennetzes fast gelungen wäre, das gesamte Internet in die Knie zu zwingen, gab es vor wenigen Tagen einen erneuten Angriff. Im Zentrum der Attacke standen jene Zentralsysteme, die dafür verantwortlich sind, dass jede Internet-Anfrage an die richtige Adresse weitergeleitet wird.

Virenexperte Chien ist sich sicher: „Eines Tages wird es einen erfolgreichen Angriff geben, und das Internet wird stillstehen", sagt der Virenforscher. Wann das geschehen wird, darauf will er sich nicht festlegen. Aber so viel stehe schon jetzt fest: „Wer dann seine Daten nicht richtig gesichert hat, der wird ein großes Problem haben.“ Im schlimmsten Fall müssten alle Systeme heruntergefahren und neu gestartet werden. Welchen Schaden das anrichten würde, das mag sich niemand vorstellen.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!