Der Cyberangriff auf die US-Tochter von T-Mobile und der Diebstahl von 37 Millionen Kundendatensätzen hat Fragen in der Telekommunikationsbranche aufgeworfen. Wo die größten Gefahrenquellen liegen, warum Unternehmen beim Ausbau von Schutzmaßnahmen noch zu oft zögern und was sie tun können, um ihre Infrastrukturen bestmöglich zu schützen, erläutert Frank von Seth, CEO der cyan AG im Gespräch.
Anfang 2023 wurde die US-Tochter von T-Mobile gehackt: Bis zu 37 Millionen Kundendaten – darunter Telefonnummern und Kontodaten – wurden gestohlen und im Darknet angeboten. Wie ist so etwas möglich?
Da die Ursachen in dem Angriff auf eine falsch konfigurierte API (Application Programming Interface), also digitale Schnittstellen zurückzuführen waren, kann daraus auch direkt abgeleitet werden, worauf TK-Unternehmen heute rund um das Thema Cybersecurity achten müssen.
Cyberkriminelle professionalisierten sich in den letzten Jahren dabei enorm und wissen um diese Einfallstore wie APIs. Falsch konfiguriert, vereinfachen diese den illegalen Zugriff auf Daten durch Dritte. Diese Schnittstelle gab es auch in diesem Fallbeispiel der US-Tochter von T-Mobile. Da durch den Angriff mehr Daten einlesbar wurden als gedacht, verschlimmerten sich die Auswirkungen zusätzlich.
Man merkt: Die konkrete Problematik liegt in der heutigen „offenen“ Struktur von Technologieunternehmen. Ökosysteme sollen geschaffen und modern gehalten werden. Dafür braucht es jedoch APIs, die es Entwicklern ermöglichen, Daten gemeinsam zu verwenden. Bei Milliarden Interaktionen in der Woche erweisen sich diese Schnittstellen als potentielle Schwachstelle – 37 Mio. Nutzerdatensätze fallen da nicht auf.
Was charakterisiert die Angriffe? Wie gehen Hacker genau vor?
Quantität, Qualität, Komplexität der Attacken werden im Laufe von 2023 voraussichtlich weiter anziehen, da die Angriffe u. a. durch staatliche Unterstützung zunehmend optimiert werden. Cyberkriminelle setzen enorm darauf, dass Entscheider in der Wirtschaft aus Furcht vor Datenverlust, unternehmerischen Schäden, Betriebsunterbrechungen oder Umsatzeinbußen ohne Orientierung ausgeliefert sind.
Ich würde den Begriff “Hacker” zudem sehr vorsichtig verwenden, denn wir reden eigentlich von Cyberkriminellen. Für diese ist das Business wie für den Bäcker Brot zu backen mit der ganzen Organisation drum herum. Wie und was genau etwa bei T-Mobile passiert ist, wurde nicht bekanntgegeben – das kann einem Entwickler beim Programmieren auf der API zufällig aufgefallen sein, oder auch dass hier gezielt danach gesucht wurde.
Des Weiteren würde ich zwei Typen von Angriffen unterscheiden: Massentaugliche und Individuelle, wobei die Grenze nicht genau definierbar ist. Letztere würden der klassischen Vorstellung der Hacker entsprechen. Für massentaugliche Angriffe gibt es im DarkWeb bereits fertige Tools, die man so einfach wie ein Netflix-Abo kaufen kann. Da kann jeder zum Kriminellen werden und Ransomware versenden oder Phishing betreiben.
Welche klassischen Fehler begehen Unternehmen und Verbraucher im täglichen Smartphone-Gebrauch, die Hackern Cyberangriffe erleichtern?
Meiner Meinung nach darf sich kein Unternehmen der Vorstellung hingeben, dass es zu klein oder zu unbekannt sei, um unter dem Radar der Hacker zu bleiben. Oder anders formuliert: Grundsätzlich ist nicht die Frage ob, sondern wann digitale Resilienz gegenüber Hackern Schutz bieten muss. Hier fehlt es noch zu sehr an Bewusstsein.
IT-Sicherheit wird dabei immer noch als zu unpraktisch, den Unternehmensprozess hindernd angesehen. Dabei ist genau das Gegenteil der Fall: Nicht nur, weil es bereits Lösungen gibt, die gut skalieren.
In zu vielen Fällen wehren sich Unternehmen aus Kostengründen vor der Implementierung weitreichender IT-Sicherheitssysteme. Dadurch öffnen sich allerdings nicht nur Einfallstore für Hacker – die wirtschaftlichen Schäden werden größer, wenn der IT-Angriff erstmal funktioniert hat und Unternehmen mit den Folgen arbeiten müssen.
Wie können Systeme dagegen geschützt werden?
Quasi unabhängig von Budgetfragen sehe ich zwei Stränge, die es hier zu beachten gibt. Einerseits müssen Firmen Know-how der Mitarbeiter festigen, um die Wahrscheinlichkeit für menschliche Fehler denkbar niedrig zu halten.
Andererseits braucht es feste Organisationen, die Risiken rechtzeitig erkennen und Angriffe verhindern. Besonders durch Geschäftspartner, Kunden, Lieferanten etc. entstehen in dem Kontext mit die meisten Gefahrenquellen.
Sollte es dennoch zu einem Angriff kommen, braucht es Kanäle, die Reportings garantieren, um sich der Sachlage vollständig bewusst zu sein, ohne dabei das Gesicht als Firma zu verlieren.
Der IT-Fachkräftemangel betrifft auch maßgeblich die Telekommunikationsunternehmen. Ist daher davon auszugehen, dass die Netzbetreiber ihren Sicherheitsmaßnahmen nicht hinterherkommen?
Tatsache bleibt, dass der Fachkräftemangel in manchen Marktumfeldern den Aufbau digitaler Resilienz verzögert. 137.000 unbesetzte IT-Stellen alleine heute in Deutschland sprechen dabei eine klare Sprache. Qualifizierte Mitarbeiter verlassen das Unternehmen zudem in der Regel nach gut einem Jahr. Meistens rücken unerfahrene Beschäftigte nach und arbeiten dann mit sehr sensiblen Daten – wirklich sicherer werden Systeme dadurch nicht.
Umso wichtiger werden externe Partner, die sich fachmännisch um die digitale Gesundheit der Unternehmen kümmern. Daher sind insbesondere die großen TK-Unternehmen vermutlich doch gut aufgestellt, was ihre Infrastruktur betrifft. Anders als viele ihrer Kunden. Für diese braucht es einfache Lösungen (“Zero Touch” Security), denn die können sich das immer teurere Recruiting nicht leisten.
Für mich stellt die Telekommunikation abschließend eine der Schwerpunktbranchen dar, die von der Bedrohungslage betroffen ist. Der Umstand, dass es sich dabei um einen der Zweige der kritischen Infrastruktur handelt, erhöht die Relevanz dieses Marktes um ein Vielfaches. Hier sehe ich noch zu wenige Services und Fachkräfte, die digitale Sicherheit gewährleisten können.
5G wird bis 2025 weltweit führend sein. Inwiefern beeinflusst die Einführung dieser neuen Technologie neben der Qualität auch die Sicherheit der Endgeräte?
Rund um das Thema 5G muss klar sein, dass der praktische Vorteil für Firmen und Privatpersonen im Vordergrund stehen sollte. Dieser nächste Entwicklungsschritt sollte allerdings mehr als je zuvor den Ausbau der digitalen Resilienz berücksichtigen. Zu oft wurde dieses Thema in der Vergangenheit ausgeklammert und öffnete so Chancen für Cyberkriminelle.
Hinzukommt, dass der teils schleppende Übergang von 4G auf 5G Auswirkungen auf Cybersicherheit mit sich bringt. 4G hat dabei vor allem auf der Interconnect-Ebene seine Probleme. Die eindeutige Kennung eines Teilnehmers kann bspw. nicht verschlüsselt werden.
5G behebt dies und erschwert so auch Man-in-the-Middle-Angriffe. Das sind Fälle, in denen Hacker es schaffen, Nutzer so zu manipulieren, dass diese sensible Daten an gefälschte Zieladressen senden. Cybersecurity muss insoweit Wesensmerkmal der technologischen Entwicklung sein und historisch auf kabellose Endgeräte, neue Mobilfunk-Standards etc. folgen.
—
Frank von Seth begann seine berufliche Laufbahn als Versicherungs- und Risikoberater bei verschiedenen Unternehmen auf drei Kontinenten und in fünf verschiedenen Ländern. Bevor er zu cyan kam, arbeitete er über zehn Jahre für Aon in der Schweiz. In seiner jetzigen Position als CEO der cyan AG führt er das Unternehmen in die Zukunft und arbeitet an einer sichereren Zukunft für alle, indem er die Nutzer auf ihrer täglichen digitalen und vernetzten Reise schützt.