Ein wuchtiger LED-Bildschirm steht in einem Raum im Erdgeschoss des Robert-Piloty-Gebäudes an der Technischen Universität in Darmstadt. Er ist mehr als zwei Meter breit und zeigt eine Weltkarte. Die einzelnen Länder sind türkis markiert, daneben gibt es zwei blaue und unzählige rote Punkte. Plötzlich erscheint kurz eine hellgrüne Linie zwischen einem der roten und einem der blauen Punkte. „Sehen Sie, das ist ein Angriff, genau in diesem Moment“, sagt Florian Volk von der Telecooperation Group. Das Institut gehört zum Fachbereich Informatik an der Darmstädter Hochschule. Die Wissenschaftler dort untersuchen Cyber-Angriffe.

Sie wollen so genau wie möglich herausfinden, wie Hacker vorgehen, um bessere Verteidigungsstrategien gegen die Attacken im Internet zu entwickeln. Darum zeichnen sie die virtuellen Angriffe auf. Und sie stellen die Daten, die sie dabei sammeln, anderen zur Verfügung. Über die Website tracingmonitor.org kann jeder diese Cyber-Attacken live verfolgen oder die Codes der Angriffe studieren.

„Wir wollen überprüfen, ob unsere Angreifermodelle stimmen“

Florian Volk nennt sich Research Strategy Coordinator, was bedeutet, dass er bei Forschungsprojekten der Telecooperation Group die Fäden zusammenhält. Jetzt wechselt er auf dem großen Bildschirm den Darstellungsmodus. Angezeigt werden alle bisherigen Angriffe des Tages: Es ist ein unüberschaubares Dickicht aus grünen Linien, denn: Cyber-Attacken sind im Internet alltäglich, sie laufen rund um die Uhr und millionenfach.

Um an diese Daten zu kommen, haben die Wissenschaftler Köder ausgesetzt, sogenannte „Honeypots“. Eigentlich sind derlei Honigtöpfe dazu da, um Hacker abzulenken. Ihren Namen verdanken sie der Idee, dass man Bären durch das Aufstellen von Honigtöpfen auf eine falsche Fährte locken könnte. Bei den Honeypots, die in der IT-Sicherheit eingesetzt werden, handelt es sich um Computerprogramme oder Server, die so tun, als seien sie der Netzwerkdienst eines einzelnen Rechners oder eines ganzen Netzwerks an Computern. So locken sie Cyber-Angreifer an und dienen dem Ziel, andere Systeme vor Attacken zu schützen.

Denn mit den Honigtöpfen sammeln die Wissenschaftler nicht nur in Darmstadt, sondern auch in Athen und Malaysia Daten, die der Forschung dienen. „Wir wollen besser lernen, wie die Angreifer vorgehen, wir wollen überprüfen, ob unsere Angreifermodelle stimmen“, erklärt Max Mühlhäuser, der das Fachgebiet Telekooperation leitet.

„Natürlich laufen wir den Angreifern hinterher und können nur reagieren, mit diesem Projekt aber rücken wir deutlich näher an sie heran“, sagt Mühlhäuser. Seine Abteilung ist Teil des Centers for Research in Security and Privacy, dem laut eigener Aussage größten Forschungszentrum für Cyber-Sicherheit in Europa. Die TU Darmstadt, die Hochschule Darmstadt sowie die Fraunhofer-Institute für Sichere Informationstechnologie und für Graphische Datenverarbeitung haben sich dazu zusammengeschlossen. Mehr als 450 Wissenschaftler forschen in Darmstadt über Cyber-Sicherheit.

Forderung nach einer kollaborativen Verteidigung

Mit Hilfe von Smartphones werde die Anzahl der Honeypots erhöht, sagt Mühlhäuser. Eine von den Wissenschaftlern in Darmstadt entwickelte App ermöglicht auch die Registrierung privater Mobiltelefone als Honeypot, womit im Grunde jeder, der möchte, Teil des Forschungsprojekts werden könne. „So erreichen wir mehr und bessere Ergebnisse.“

Die Taktiken der Hacker haben sich in den vergangenen Jahren stark gewandelt, erklärt Mühlhäuser: Verfolgten sie früher meist das Ziel, Computern durch Viren direkt zu schaden, geschehen die Angriffe heute oft unbemerkt, ohne dass die Infizierung sofort auffällt. Die Hacker versuchen stattdessen, aus möglichst vielen gekaperten Maschinen Netzwerke zu bilden. Botnetze werden diese Netzwerke genannt, weil die dabei verknüpften Rechner von den Cyber-Kriminellen aus der Ferne über Schadprogramme, die Bots (von Roboter) heißen, gesteuert werden. Solche Netze haben mittlerweile riesige Ausmaße erreicht: Dass etwa 40 Prozent aller deutschen Computer mit Viren infiziert und so zu Bestandteilen von Botnetzen gemacht worden sind, schätzt zum Beispiel der Internetverband Eco.