https://www.faz.net/-gzg-8zveu

TU Darmstadt : Mit Honigtöpfen gegen Cyber-Attacken

Achtung, Angriff: Carlos Garcia Cordero, Emmanouil Vasilomanolatis, Florian Volk und Prof. Max Mühlhäuser (von links) erforschen Strategien gegen Cyberkriminalität. Bild: Rainer Wohlfahrt

An der TU Darmstadt haben Forscher Köder ins Netz gestellt, um gezielt Cyber-Angreifer anzulocken. So wollen sie herausfinden, wie Hacker arbeiten.

          5 Min.

          Ein wuchtiger LED-Bildschirm steht in einem Raum im Erdgeschoss des Robert-Piloty-Gebäudes an der Technischen Universität in Darmstadt. Er ist mehr als zwei Meter breit und zeigt eine Weltkarte. Die einzelnen Länder sind türkis markiert, daneben gibt es zwei blaue und unzählige rote Punkte. Plötzlich erscheint kurz eine hellgrüne Linie zwischen einem der roten und einem der blauen Punkte. „Sehen Sie, das ist ein Angriff, genau in diesem Moment“, sagt Florian Volk von der Telecooperation Group. Das Institut gehört zum Fachbereich Informatik an der Darmstädter Hochschule. Die Wissenschaftler dort untersuchen Cyber-Angriffe.

          Alexander Jürgs

          Redakteur in der Rhein-Main-Zeitung.

          Sie wollen so genau wie möglich herausfinden, wie Hacker vorgehen, um bessere Verteidigungsstrategien gegen die Attacken im Internet zu entwickeln. Darum zeichnen sie die virtuellen Angriffe auf. Und sie stellen die Daten, die sie dabei sammeln, anderen zur Verfügung. Über die Website tracingmonitor.org kann jeder diese Cyber-Attacken live verfolgen oder die Codes der Angriffe studieren.

          „Wir wollen überprüfen, ob unsere Angreifermodelle stimmen“

          Florian Volk nennt sich Research Strategy Coordinator, was bedeutet, dass er bei Forschungsprojekten der Telecooperation Group die Fäden zusammenhält. Jetzt wechselt er auf dem großen Bildschirm den Darstellungsmodus. Angezeigt werden alle bisherigen Angriffe des Tages: Es ist ein unüberschaubares Dickicht aus grünen Linien, denn: Cyber-Attacken sind im Internet alltäglich, sie laufen rund um die Uhr und millionenfach.

          Um an diese Daten zu kommen, haben die Wissenschaftler Köder ausgesetzt, sogenannte „Honeypots“. Eigentlich sind derlei Honigtöpfe dazu da, um Hacker abzulenken. Ihren Namen verdanken sie der Idee, dass man Bären durch das Aufstellen von Honigtöpfen auf eine falsche Fährte locken könnte. Bei den Honeypots, die in der IT-Sicherheit eingesetzt werden, handelt es sich um Computerprogramme oder Server, die so tun, als seien sie der Netzwerkdienst eines einzelnen Rechners oder eines ganzen Netzwerks an Computern. So locken sie Cyber-Angreifer an und dienen dem Ziel, andere Systeme vor Attacken zu schützen.

          Denn mit den Honigtöpfen sammeln die Wissenschaftler nicht nur in Darmstadt, sondern auch in Athen und Malaysia Daten, die der Forschung dienen. „Wir wollen besser lernen, wie die Angreifer vorgehen, wir wollen überprüfen, ob unsere Angreifermodelle stimmen“, erklärt Max Mühlhäuser, der das Fachgebiet Telekooperation leitet.

          „Natürlich laufen wir den Angreifern hinterher und können nur reagieren, mit diesem Projekt aber rücken wir deutlich näher an sie heran“, sagt Mühlhäuser. Seine Abteilung ist Teil des Centers for Research in Security and Privacy, dem laut eigener Aussage größten Forschungszentrum für Cyber-Sicherheit in Europa. Die TU Darmstadt, die Hochschule Darmstadt sowie die Fraunhofer-Institute für Sichere Informationstechnologie und für Graphische Datenverarbeitung haben sich dazu zusammengeschlossen. Mehr als 450 Wissenschaftler forschen in Darmstadt über Cyber-Sicherheit.

          Forderung nach einer kollaborativen Verteidigung

          Mit Hilfe von Smartphones werde die Anzahl der Honeypots erhöht, sagt Mühlhäuser. Eine von den Wissenschaftlern in Darmstadt entwickelte App ermöglicht auch die Registrierung privater Mobiltelefone als Honeypot, womit im Grunde jeder, der möchte, Teil des Forschungsprojekts werden könne. „So erreichen wir mehr und bessere Ergebnisse.“

          Die Taktiken der Hacker haben sich in den vergangenen Jahren stark gewandelt, erklärt Mühlhäuser: Verfolgten sie früher meist das Ziel, Computern durch Viren direkt zu schaden, geschehen die Angriffe heute oft unbemerkt, ohne dass die Infizierung sofort auffällt. Die Hacker versuchen stattdessen, aus möglichst vielen gekaperten Maschinen Netzwerke zu bilden. Botnetze werden diese Netzwerke genannt, weil die dabei verknüpften Rechner von den Cyber-Kriminellen aus der Ferne über Schadprogramme, die Bots (von Roboter) heißen, gesteuert werden. Solche Netze haben mittlerweile riesige Ausmaße erreicht: Dass etwa 40 Prozent aller deutschen Computer mit Viren infiziert und so zu Bestandteilen von Botnetzen gemacht worden sind, schätzt zum Beispiel der Internetverband Eco.

          Genutzt werden können diese Netze für unterschiedliche kriminelle Aktionen: für das heimliche Versenden von Spam-Mails über infizierte Rechner genauso wie für Großangriffe auf Firmennetzwerke, Streamingdienste und Behörden. „Hacken ist heute eine Industrie“, sagt Florian Volk. Die Botnetze haben sich zu wahren Goldgruben entwickelt. „Da ist ein unüberschaubarer Untergrundmarkt entstanden, auf dem die Netze zur Miete oder zum Kauf angeboten werden. Für wenige hundert Dollar erhalten Sie dort Netzwerkkapazitäten, die ausreichen, um eine mittelständische Firma komplett aus dem Internet zu entfernen.“

          Die digitale F.A.Z. PLUS
          F.A.Z. Edition

          Die digitale Ausgabe der F.A.Z., für alle Endgeräte optimiert und um multimediale Inhalte angereichert

          Mehr erfahren

          Dabei greifen die Hacker mittlerweile viel seltener klassische Computer an. Und sogar die Attacken gegen Smartphones gehen anscheinend zurück. Neues Ziel der Cyber-Kriminellen ist das Internet der Dinge. Immer mehr Geräte des Alltags sind über das Netz verknüpft. Heizungen oder Kühlschränke lassen sich per Internet steuern. Die Geräte, die diese Alltagsgegenstände lenken, sind aber meistens schlechter gegen Hackerangriffe gesichert als ein Computer oder ein Smartphone. Das macht sie für Kriminelle attraktiv.

          Würden Hacker also zum Beispiel die intelligente Heizungssteuerung angreifen, würde der Nutzer zunächst gar nichts davon merken, so Volk. „Da machen Sie auch nie Updates. Die läuft rund um die Uhr und hat immer Internetverbindung.“ Eine Phalanx aus solchen Geräten werde heute genutzt, um Konzerne wie Amazon anzugreifen.

          Die Wissenschaftler in Darmstadt sind überzeugt: Gegen diese Angriffe, die von unzähligen, miteinander verbundenen Maschinen ausgeführt werden, können sich die Angegriffenen nur wehren, wenn sie sich ebenfalls zusammenschließen. „Wir brauchen eine kollaborative Verteidigung“, sagt Max Mühlhäuser. Wie diese funktionieren könnte, daran forscht aktuell der Doktorand Carlos Garcia Cordero. Der Mexikaner will Methoden entwickeln, wie Anomalien aus dem Netz noch schneller als bös- oder gutartig eingestuft und wie diese Informationen so effizient wie möglich ausgetauscht werden können, auch die über Fehlalarme. Denn nicht alles, was nach einem Cyber-Angriff aussieht, ist auch wirklich eine gefährliche Attacke. Wenn etwa jemand mehrfach versehentlich ein falsches Passwort am Firmen-PC eingibt, dann werden die Mitarbeiter in der IT-Sicherheitsabteilung sofort alarmiert, denn: Manchmal wirken einfache technische Probleme wie ein Angriff durch Hacker.

          „Es ist eine Gewissensentscheidung“

          Das öffentliche Bewusstsein für Cyber-Sicherheit ist noch immer nicht besonders ausgeprägt. Angriffe werden gerne verdrängt, solange sie einen nicht selbst betreffen. Und natürlich ist das Thema komplex und somit für Nichtinformatiker kaum zu durchdringen. Ein Problem sei aber auch, dass den Nutzern lange ein Maß an Sicherheit versprochen worden sei, das es gar nicht gebe, so Mühlhäuser. „Wir haben jahrelang falsch über IT-Sicherheit gesprochen“, sagt der Informatiker. Den Nutzern habe man den Glauben verkauft, mit bestimmten Sicherheitssystemen geschützt zu sein. „Doch diese absolute Sicherheit gibt es nicht, es gibt nur mehr oder weniger Sicherheit.“

          Mühlhäuser zieht einen Vergleich zum Schutz vor Einbrüchen. Auch dort könne man einiges unternehmen, um seine Wohnung oder sein Haus sicherer zu machen. „Doch wenn jemand wirklich eindringen will, dann können Sie das nicht unmöglich machen – und so ist es bei der IT-Sicherheit leider auch.“

          Wie ist das, wenn man sich tagtäglich mit Hackerangriffen beschäftigt? Will man das nicht auch einmal ausprobieren? „Es ist eine Gewissensentscheidung, ob man auf der guten oder bösen Seite arbeitet“, sagt Florian Volk. „Was die Hacker machen, das können hier alle. Mit dem Wissen, das man mit einem Informatik-Studium erwirbt, wäre es ein Leichtes, auch für die Bösen zu arbeiten, wo man mit sehr viel weniger Aufwand sehr viel mehr Geld verdienen würde.“

          Eine frühere Mitarbeiterin der Telecooperation Group arbeitet seit einiger Zeit schon als Hackerin – auf der guten Seite. Sie ist bei einer Firma untergekommen, die im Auftrag von Unternehmen gezielt Cyber-Angriffe gegen deren Internetseiten ausführt. Die Attacken sollen Sicherheitslöcher identifizieren, um sie zu stopfen – nicht, um dadurch Viren einzuschleusen. Im Kampf gegen die bösen Hacker braucht es heute auch gute Hacker.

          Weitere Themen

          Wechselt das System!

          Windows 7 : Wechselt das System!

          Microsoft hat den Support für Windows 7 eingestellt. Um kein Sicherheitsrisiko einzugehen, müssen Nutzer jetzt aufrüsten. Warum und was man tun kann.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.