Das Gebäude mit der Adresse 4500 Southgate ist von den anderen schablonenhaften Bürogebäuden in den Außenbezirken des Dulles Airport in Virginia, US-Bundesstaat Columbia, nicht zu unterscheiden. Aber hinter einer Phalanx von Sicherheitskameras, hinter Türen, die mit Netzhautscannern und Fingerabdrucklesern gesteuert werden, verbirgt sich ein Raum, der an das Kommandozentrum Norad aus WarGames erinnert. Das ist das Betriebssicherheitszentrum (SOC, Secure Operations Centre) von Counterpane Internet Security. Counterpane gehört zu den immer zahlreicheren Unternehmen, die die Computernetze ihrer Kunden - von E-Commerce-Sites bis hin zu firmeninternen Servern - auf der Suche nach böswilligen Eindringlingen überwachen.
Immer öfter beauftragen vernetzte Firmen Experten von Security-Unternehmen, sozusagen digital ein wachsames Auge auf Cyberbösewichte zu werfen. Ursache für die zunehmende Paranoia vor Cyberverbrechen sind mehrere medienträchtige Vorfälle - angefangen mit dem ILOVEYOU-Virus im letzten Frühjahr bis hin zum Einbruch in das Microsoft-Netz Ende Oktober.
Nach Angaben der Gartner Group werden in diesem Jahr 7,1 Milliarden Dollar für Sicherheitsdienstleistungen ausgegeben - und diese Zahl wird in der nahen Zukunft jährlich um 40 Prozent steigen.
Die Radarstation im Netz
Das hört sich alles ziemlich furchterregend an. 90 Prozent der Befragten bei einer kürzlich vom Computer Security Institute durchgeführten Studie meldeten im letzten Jahr "Sicherheitsverstöße am Computer". Diese Zahl umfasst jedoch auch so banale Übertretungen wie Angestellte, die sich Pornofilme herunterladen, derbe Witze über E-Mail austauschen und Softwarepiraterie betreiben. Die Vorfälle, die wirklich Schlagzeilen machen, wie beispielsweise gestohlene Kreditkartennummern oder geklaute Geschäftsgeheimnisse, sind zwar erschreckend, doch selten.
Daher stellen die Betriebssicherheitszentren wie das von Counterpane im Zeitalter der "New Economy" das Äquivalent der Radarstationen in Alaska dar. Diese suchten dereinst den Himmel nach sowjetischen Interkontinentalraketen ab, die in den Luftraum eindrangen. Doch die Kunden von Läden wie Counterpane, RIPTech und Pilot Network Services zahlen monatlich bis zu 12.000 Dollar für den Seelenfrieden, der mit dem Wissen einher geht, dass ihre Systeme beständig auf unberechtigte Zugriffe hin überwacht werden.
Da wir über das Geschehen an der Netzwerksicherheitsfront aus erster Hand berichten wollten, verbrachten die Kollegen der US-Zeitschrift The Industry Standard 24 Stunden mit dem Überwachungspersonal bei Counterpane. Counterpane wurde 1999 von dem Krypto-Experten Bruce Schneider, dem Erfinder des nach wie vor nicht geknackten Blowfish-Algorithmus, gegründet und gehörte zu den ersten Unternehmen, die eine Überwachung durch ihre Mitarbeiter rund um die Uhr anboten.
Die "wachhabenden" Mitarbeiter filtern eine konstante Informationsflut und suchen dabei nach winzigen Anomalien - etwa einem fehlgeschlagenen Anmeldeversuch oder einem defekten Router. Solche Unregelmäßigkeiten können darauf hinweisen, dass ein Angriff auf das Netz im Gange ist. Mit einem ungeschulten Auge lässt sich eine Cyberattacke fast nicht entdecken. Was nach einem massiven Angriff mittels Verweigerung von Rechenleistung aussieht, kann sich auch als ein paar jargongeladene Befehlszeilen herausstellen. Daher ist Geduld das A und O der Überwachung. Zu einem normalen 24-Stunden-Tag gehören zwar einige Alarmmeldungen, aber auch ausgedehntes Däumchendrehen. In einem sterilen, fensterlosen Raum hermetisch abgeschlossen spielen die Angestellten des Betriebssicherheitszentrums die Voyeure des digitalen Zeitalters und halten am Horizont nach der nächsten Katastrophenmeldung Ausschau.
9.00 Uhr - The Matrix lässt grüssen
Aufgereiht hinter Schreibtischen in einer Anordnung, wie man sie in einem Vortragssaal findet, sitzen die drei Mitarbeiter der Vormittagsschicht in nahezu völliger Dunkelheit vor einer Wand, die mit mehreren Riesenbildschirmen bestückt ist. Ein Bildschirm überträgt eine nicht enden wollende Schleife von Aufnahmen, die von dreizehn Sicherheitskameras erfasst werden und die über das gesamte Unternehmen verteilt sind. Ein weiterer Bildschirm zeigt einen kontinuierlichen Datenstrom, der von den "Wachposten" gecheckt wird. Als "Wachposten" (zu englisch "sentries") wird bei Counterpane der PC bezeichnet, der hinter der Firewall eines Kunden die Netzwerkaktivitäten beobachtet. Der Datendurchlauf ähnelt dem hypnotisch wirkenden Zeichendickicht, das Keanu Reeves im Film Matrix anstarrte.
Jeder Wachposten versendet regelmäßig ein "Herzschlagsignal", also ein Zeichen, das darauf hinweist, dass der Wachposten aktiv ist und funktioniert. Ist kein Herzschlagsignal zu empfangen, wird Alarm ausgelöst. Das heißt dann, dass die Überwachungseinrichtungen von Counterpane vorübergehend lahmgelegt sind und das Netzwerk des Kunden zur Erkundung offen steht - sei es durch einen verärgerten Insider, einen frühreifen kindlichen Hacker, der mit Scripts bewaffnet ist (und daher von Profi-Hackern "script kiddie" genannt wird), oder ein übelwollendes Genie auf der Suche nach digitaler Beute. Letzterer ist der gefährlichste Feind. Die Analysten des Betriebssicherheitszentrums haben sich dem Kampf gegen diese Spezies verschrieben. Aber auf jedes Genie kommen anscheinend eine Million Kinder. Und - noch schlimmer - eine Milliarde Fehlalarme.
9.48 Uhr
Im trüben, bläulichen Licht des Betriebssicherheitszentrums studiert Rob Jamison mit leicht zusammengekniffenen Augen die Aufzeichnungen der letzten Aktivitäten genau. Das Webhosting-Unternehmen, das Jamison überprüft, verzeichnete in den vorangegangenen sieben Tagen 1.624 sogenannte "Tickets". "Tickets" ist die Kurzbezeichnung für Vorfälle, die in vier Gruppen eingeteilt werden. Die unterste Einteilung ist "interessant" und bezieht sich auf Grundfunktionsstörungen. Das sind Meldungen, die auf den verbrauchten Toner eines vernetzten Laserdruckers hinweisen, oder kurze Datenverkehrsspitzen. Die nächste Stufe lautet "sicherheitsrelevant"; dabei kann es sich um kleinere Probleme wie ein falsch eingegebenes Kennwort handeln. Als nächstes folgt "verdächtig" - hierunter fallen Aktivitäten, die als Vorspiel zu Angriffen gelten dürfen, wie Überprüfungen, mit denen sich schwache Firewalls oder duldsame Hintertürchen feststellen lassen. Schließlich und endlich gibt es noch die Kategorie "kritisch", also ein gerade laufender Angriff, um den man sich sofort kümmern muss.
Nur zwei "Tickets" verdienen heute die Bezeichnung "verdächtig". Beide beziehen sich auf defekte Wachposten, deren Herzschlagsignal für über zehn Minuten abhanden gekommen war. Aber das ist leider nichts, weswegen wann man die Ruhe verliert. Jamison verbucht die Ausfallzeit einfach als Hardwareproblem auf der Kundenseite.
10.02 Uhr - Ein "ethical hacker" im SOC
Don DeBolt mag zwar ein Techie sein, aber er verfügt über den robusten Körperbau und den kurzen Haarschnitt eines frisch von der Militärakademie abgegangenen Marineinfanteristen. Er bezeichnet sich selbst als " ethical hacker" und hat sein Scherflein zu Hackertests bei Ernst & Young beigetragen. Als leitender SOC-Ingenieur entscheidet er nun, zu welchem Zeitpunkt ein "Ticket in der Eskalationsstufe nach oben geht" - also ein Kunde über Sicherheitsprobleme benachrichtigt und in puncto weiterer Vorgehensweise beraten wird. DeBolt bezeichnet sein überquellendes Büro als "War Room".
11.41 Uhr
DeBolt kommt mit gerunzelter Stirn aus seinem "War Room". Ein Wachposten ist seit 14 Stunden ausgefallen - angeblich aufgrund von Problemen mit der Hardware. Aber das lange Fehlen eines Herzschlagsignals beunruhigt ihn. Er studiert das Ticket auf einer Konsole und fällt einen schicksalsträchtigen Richterspruch: "Bei diesem Ticket machen wir mit der nächsten Eskalationsstufe weiter."
Jamison ruft den Kunden an, um sich ein Bild von der Situation verschaffen zu können. Aber der Techniker, den er dort an die Strippe bekommt, ist nicht unbedingt die zuständige Person. "Der Junge hat keinen Zugriff auf die Root-Verzeichnisse und auch nicht auf die eigentliche Anlage, so dass sie in diesem Fall nicht viel machen können", stöhnt Jamison.
Die Kunden mögen zwar Willens sein, Counterpane den geheimsten Datenverkehr im Netzwerk protokollieren und analysieren zu lassen. Sie machen dann aber plötzlich halt, wenn es um den Zugriff auf den Stromschalter geht. DeBolt bezeichnet diesen Zugriff des Hinsehens, aber nicht Anfassens als "eingeschränkte Schlüssel zu einem Königreich".
13.59 Uhr
Die Langeweile fordert allmählich ihren Tribut in der sich dem Ende nähernden Morgenschicht. MSNBC läuft schon seit Stunden über die Lautsprecheranlage, und der x-te Bericht über Vizepräsident Al Gore geht den Leuten allmählich auf die Nerven.
14.17 Uhr - Streit im Sicherheitsteam
Unterschiedlicher Musikgeschmack führt zu einem Miniaufstand. John Glasscock, das dienstjüngste Mitglied des SOC-Teams, meint: "Ich mag Countrymusik, ich mag Ska, ich mag alles mögliche. Nur nicht das, was ihm gefällt." Er deutet auf den grinsenden Jason Van Brecht, dem Unix-Snob im Team und fanatischen Anhänger von "Industrial Music".
Die Sterilität des Betriebssicherheitszentrums vermittelt ein Gefühl des Eingesperrtseins. Das typische Beiwerk der verrückten Kultur der New Economy fehlt. Der einzige Farbklecks ist ein einsames Mauspad in Pizzaform.
15.24 Uhr
Kathy Wang von der zweiten Schicht pflügt mit ihrer Gabel durch eine Schüssel mit Ravioli und lässt sich ihre Karrieresorgen durch den Kopf gehen. "Ich fühle mich, als ob mir die Zeit durch die Finger rinnt," seufzt die 27-jährige. Nachdem auch sie ein Scheibchen Ruhm in der Computerwelt erringen will, entwickelt sie derzeit ein Hackererkennungssystem für Internet-Dienstanbieter. Doch hat sie Schwierigkeiten, während der Arbeit zu forschen, da Laptops im SOC verboten sind. Somit ist gewährleistet, dass keiner der Analysten mit geheimen Daten nach Hause geht.
23.27 Uhr
Rodney Mitchell aus der Nachtschicht, durch und durch Techie, doziert über eine Zukunft, in der Computerchips allgegenwärtig sein werden - vom Schaukelstuhl angefangen bis hin zu Krawatten. "Bald wird man zu einem Getränkeautomaten gehen können und dann einfach die Uhr oder das Handy dranhalten - und schon bekommt man eine Cola, die man damit auch gleich bezahlt hat," so seine Prophezeihung. "Damit nimmt aber natürlich auch das Risiko zu. Dann kann man nämlich auch Cola-Automaten hacken." Diese Unsicherheit erklärt zum Teil, warum Mitchell bei Counterpane arbeitet. Als ein Mann, der stolz darauf ist, Trends frühzeitig erkennen zu können, prognostiziert er eine rosige Zukunft für die Unternehmen, die sich das Ziel gesetzt haben, den Techieganoven das Limo-Mopsen zu vermiesen.
2.27 Uhr - Systemstörung
Mitchell, der gerade hinter seiner Konsole döst, wird von vier aufeinanderfolgenden Signaltönen aufgeschreckt. Er rappelt sich auf, um die eingehenden "Tickets" zu analysieren, die bedeuten, dass im Netzwerk eines Kunden ein Systemfehler aufgetreten ist. "Die sind seit Freitag mit Wartungsarbeiten beschäftigt, aber das sieht nicht nach einem Wartungsereignis aus," sagt DeBolt, der mit leicht verschlafenem Blick aus seinem Kriegskabinett kommt.
Mitchell schließt sich mit einem Partner-SOC in Mountain View, Kalifornien, kurz. "Seht Ihr Euch gerade diese Tickets an? ... Die haben gerade ein Problem mit Nachbarsystemen? ... Sonst alles ruhig dort? ... Okay, dann macht's gut."
4.59 Uhr
Jamison kommt eine Minute vor Beginn seiner Schicht ins SOC und trifft auf Mitchell, der ein Handbuch von Cisco studiert. Van Brecht kommt gleich danach und öffnet sofort einen Kabelschrank, um eine heimlich versteckte Wolldecke herauszunehmen. "Morgens wird es hier immer so kalt," sagt er und wickelt sich ein, während er die Monitore seiner Konsole einschaltet. "Die Klimaanlage spielt ein wenig verrückt."
Das sind die Stunden, in denen im SOC die Zeit am langsamsten vergeht und sogar die zähesten Cyberkriminellen wahrscheinlich friedlich schlummern. Signaltöne sind selten, und das Team debattiert über die relativen Vorzüge von Brot aus Sauerteig im Vergleich zu Weizenvollkorntoast. Das Programm des Fernsehsenders TechTV zeigt jetzt keine spätnächtlichen Infosendungen mit Werbung mehr, sondern eine Sendung über die internationale Geschäftswelt mit einem Beitrag über den Kommunikationsminister der Bahamas. "Tja, das muss schon anstrengend sein," gackert Van Brecht. "Wie mag das denn so sein - mit vier Telefonen? Ich würde den Job nehmen."
8.58 Uhr - Noch immer keine Raketen
"Irgendwelche Tickets?" DeBolt kräht über die Sprechanlage und vertreibt damit die unbekümmerte Stimmung. Van Brecht beugt sich zum Mikro und berichtet, dass der Morgen ruhig gewesen sei. DeBolt, der mit ein paar Stunden Schlaf auskommt, beauftragt seine Mannen nachzuprüfen, ob eine Datenbank mit Kundeninformationen zugänglich sei. Die Zoten hören auf, und man hört das Geklacker der Tastaturen. Die Netzwerke fordern konstante Aufmerksamkeit, auch wenn die besagte Interkontinentalrakete nie über den digitalen Himmel flitzt. (nie)
(Dieser Beitrag erschien im Original in der US-Wochenzeitung The Industry Standard. Wir veröffentlichen die deutsche Übersetzung von Isolde Gassner mit freundlicher Genehmigung der Redaktion.)