Zum Hintergrund: Bereits 2022 haben die USA durch staatliche Maßnahmen technologische Komponenten von Huawei und ZTE aus den jeweiligen Zielmärkten ausgeschlossen. Befürchtet wurden in erster Linie Spionagemaßnahmen, die dem chinesischen Regierungsapparat wertvolle Informationen liefern könnten. Die neue 5G-Technik gilt dabei als eines der Einfallstore. Während Nutzer mit 5G bessere Netzqualität verbinden, vereinfacht die Technologie den illegalen Zugriff auf sensible Daten von Unternehmen und Privatleuten.

Derweil prüfen auch europäische Akteure verstärkt ein entsprechendes Verbot. Während Gutachten etwa für das österreichische Finanzministerium zur Evaluierung der Sicherheitslage erarbeitet werden, prüft ebenso die deutsche Bundesregierung in Berlin ein Verbot der Technologie. Ziel sei es dabei, mit der TK-Branche einen enorm wichtigen Zweig der kritischen Infrastruktur zu schützen. Dieser Sektor rückt verstärkt in den Fokus von teils staatlich gestützten Cyberkriminellen und muss daher deutlich unabhängiger und resilienter werden.

Unternehmen wie die Deutsche Telekom, Vodafone oder Telefónica stehen folglich vor zwei wegweisenden Herausforderungen: zum einen das finanzielle unlösbare Problem, die Kosten für nachträgliches Entfernen von Komponenten selbst zu stemmen. Parallel bleibt unbeantwortet, wie sich TK-Anbieter als Unternehmen selbst aber auch das direkte Umfeld (Zulieferer, technische Dienstleister, Vertriebspartner et cetera) nachhaltig gegen IT-Angriffe schützen können. Denn Hacker werden stetig professioneller und deren Angriffe komplexer. Dies ist unserer eng verzahnten Technologiewelt geschuldet, in der Angriffe auf kleine Teile der Supply-Chain das Potenzial haben, das gesamte Kommunikationsnetz eines Unternehmens lahmzulegen. Im Fall der TK-Branche bewegen wir uns dazu im äußerst sensiblen Bereich der kritischen Infrastrukturen mit besonders vielen Abhängigkeiten.

Endbenutzer werden schnell zu Komplizen
Nicht nur die Systeme von TK-Konzernen und ihren externen Partnern befinden sich im Visier von Cyberangreifern. Auch die Endgeräte und ihre Nutzer bieten eine ganze Reihe von Möglichkeiten für kriminelle Machenschaften. Cyberkriminelle setzen oft auf kleine Unachtsamkeiten im täglichen Gebrauch, indem sie massenhaft und kontinuierlich Smartphones angreifen, ohne dass dies bemerkt wird. Gerade Verbraucher unterschätzen in aller Regel, wie schnell sie ungewollt zu Opfern oder Komplizen krimineller Banden werden können.

Problematisch ist dies im Übrigen nicht nur für die Sicherheit des Einzelnen, sondern auch im politisch-kollektiven Sinne. Dies zeigt die zusätzlich aufkeimende Debatte um das Verbot der chinesischen Videoplattform TikTok. Die USA betrachten die App bereits länger als nationales Sicherheitsrisiko.

Nun hat auch die EU-Kommission ihre Mitarbeiter aufgefordert, TikTok von ihren Endgeräten zu löschen. Der Zusammenhang besteht in der Befürchtung, der App-Anbieter könne gezwungen werden, Daten an die chinesischen Geheimdienste auszuliefern. Europe sollte diese Frage jedoch auch bei Facebook und Co. stellen. Durch die vermehrte Sammlung von Daten könnten die Geheimdienste in Summe sehr detaillierte Informationsprofile zu Menschen aufbauen. Auf dieser Basis wäre es dann wiederum möglich, gezielte und personalisierte Einflusskampagnen durchzuführen.

Hauptangriffsvektoren Phishing, Malware und Man-in-the-middle
Das Zwischenfazit: Große Telekommunikationsunternehmen zählen zur kritischen Infrastruktur und sind dadurch zu sehr weitreichenden Sicherheitsmaßnahmen verpflichtet. Diese Betrachtungen allein reichen jedoch nicht aus, da Telekom-Anbieter Teil eines eng verketteten Systems von Partnern sind, wo einzelne Bausteine zumindest indirekt anfällig sein können. Sicherheitskonzepte sollten daher künftig die gesamte Supply Chain in den Fokus nehmen.

Doch es die Endkunden selbst müssen besser vor Cyberangriffen geschützt werden. Dies gilt nicht nur für Personen in besonders sensiblen Tätigkeitsbereichen sondern jeden Smartphone-Nutzer. Wichtig ist es dabei, die einschlägigen Vektoren der Angreifer zu kennen und zu verstehen. Allen voran sind dies Man-in-the-middle-Attacken, Malware und Phishing.

Problematisch sind besonders Man-in-the-middle-Angriffe, bei denen sich Hacker in die Kommunikation zweier Parteien quasi zwischenschalten. Zunächst leitet der Angreifer die Verbindungsanfrage des Senders / Smartphone-Nutzers zu sich um. Danach baut er eine Verbindung zum eigentlichen Nachrichtenempfänger auf. Gelingt das Vorhaben, kann der Hacker möglicherweise alle Informationen, die der Nutzer versendet, mitlesen oder manipulieren.

Doch auch die Installation von Schadsoftware (Malware) kann erfolgen. Diese ist unter anderem in der Lage, Eingaben mitzulesen, Daten zu löschen und Nutzer auszuspionieren. Ebenso kann Malware über Anhänge in (teils sehr gut) gefälschten E-Mails oder die Installation nicht verifizierter Apps auf ein Endgerät gelangen. Beim Phishing beziehungsweuse "Smishing", einer Spezialform des Phishings, erhalten Nutzer Kurznachrichten über ihre mobilen Endgeräte. Die Angreifer geben sich dabei als vertrauenswürdiger Akteur wie eine Bank aus, um Nutzer auf eine gefälschte Website zu leiten. Hier werden dann häufig sensible Daten wie die Bankverbindung samt PIN abgefragt.

Schutz wird optimalerweise von Beginn an integriert
Ob Endverbraucher, Unternehmen, Behörden oder Politik: Cyber-Threats sind für alle Kunden von Telekommunikationsanbietern mittlerweile eine direkte und ernstzunehmende Bedrohung. Somit wird Cybersecurity zunehmend auch zum Wettbewerbsfaktor für die TK-Branche. Um die Sicherheit der mobilen Devices zu erhöhen, gibt es mehrere Ansätze. Eine zu begrüßende Entwicklung ist sicherlich, dass Smartphone-Hersteller nun vermehrt auf Security achten und konkrete Angaben zur Supportdauer machen, beispielsweise zur bereitgestellten Länge von Softwareupdates.

Allerdings gibt es hierfür keinen Standard oder Pflicht, weshalb dies oft als Feature im High-End Bereich dargestellt wird – die Lage im Lower-End-Bereich und bei IoT-Geräten ist wesentlich schlechter. Intelligente Security-Apps, die Anwender während ihrer Smartphone-Aktivitäten automatisch vor Phishing, Malware und weiteren gängigen Bedrohungen schützen, sollen Sicherheit schaffen.

Für große Unternehmen mit eigenen Abteilungen und Budgets gibt es noch mehr Möglichkeiten – vom wenig umweltfreundlichen Austausch alter Geräte bis zu aufwendig aufgesetzten Sicherheitswerkzeugen für Device Management oder VPNs. Denkbar ist auch, Security-Anwendungen auf den Devices bereits vorzuinstallieren. Zum Schutz vor Datenverlust sind zudem Tools für automatisierte Sicherheitskopien verfügbar. Im Hinblick auf die Account-Sicherheit können darüber hinaus die Mehrfaktor-Authentifizierung und ein gutes Passwortmanagement einen wichtigen Beitrag leisten.

All diese Maßnahmen beziehen sich allerdings auf das Absichern einzelner Devices. Somit ist ihre Wirksamkeit immer abhängig von der Akzeptanz und dem Verhalten der Endbenutzer. Eine umfassendere Sicherheit, die über das bisherige Level hinausgeht, ließe sich durch Netzwerkbetreiber mithilfe eines netzwerkintegrierten, flächendeckenden und geräteunabhängigen Ansatzes realisieren.

Fazit
Die Bedenken vor Spionage sind begründet und legitim. Sowohl Unternehmen als auch Verbraucher können sich allerdings nicht auf einige wenige Sicherheitsmaßnahmen verlassen. Entscheidend wird es sein, nicht nur die TK-Unternehmen als Säulen der kritischen Infrastruktur vor digitalen Angriffen zu schützen, sondern auch die wichtigen externen Partner. Denn genau hier bestehen zusätzliche Einfallstore für Cyberkriminelle.

ln/Markus Cserna, CTO bei cyan digital security