So also sieht ein Ex-Spion aus. Dave Palmer trägt das braune Haar an den Seiten kurz geschoren und oben am Kopf etwas länger, wie es derzeit Mode ist. Grün melierter Pullover mit rundem Ausschnitt, darunter ein weißes Hemd, dunkle Flanellhose, schwarze Brogues, die traditionellen britischen Schnürhalbschuhe mit Lochverzierung. James-Bond-Look? Keinesfalls. Gesamteindruck: unauffällig. Das entspricht auch seinem Naturell. Als ehemaliger Schlapphut will er eigentlich gar nicht im Rampenlicht stehen.
Doch Palmer, gerade mal 35 Jahre alt, springt in jüngster Zeit öfter über seinen Schatten. Er ist der technische Kopf einer privaten Elite-Eingreiftruppe, die die Überwachungsmethoden der Geheimdienste im Internet auch in der Wirtschaft salonfähig machen will. Nach fast 14 Jahren im Dienste ihrer Majestät Elizabeth II. für den Inlandsgeheimdienst MI5 und den Abhördienst GCHQ gründete er vor gut einem Jahr zusammen mit weiteren Ex-Agenten die britische Cyberdefence-Firma Darktrace (auf Deutsch: dunkle Spur).
Nach Hackern, Cyberbanden und ausländischen Geheimdiensten fahnden
Sein Ziel: Mit ähnlichen Analyseprogrammen, wie sie durch die Enthüllungen des ehemaligen NSA-Agenten Edward Snowden in Verruf geraten sind, will Darktrace in Firmennetzen nach Hackern, Cyberbanden und ausländischen Geheimdiensten fahnden. Gezielte Attacken, so die Geschäftsidee, lassen sich damit im Frühstadium erkennen und unterbinden.
Sicherheitsexperten befürchten, dass damit der Bock zum Gärtner gemacht wird. Denn unklar ist, ob die ehemaligen Spione wirklich alle Verbindungen zu ihrem ehemaligen Arbeitgeber abgebrochen haben. Wer so tief wie Darktrace in den internen Datenverkehr der Unternehmen eindringt, könnte – wie eine unter dem Deckmantel eines Sicherheitsspezialisten operierende Tarnfirma – im Auftrag der Geheimdienste wertvolle Informationen absaugen, auch wenn das Palmer nachdrücklich bestreitet.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
Enge Verbindungen zu den Nachrichtendiensten bei Darktrace
Beim Start-up Darktrace sind die Verbindungen zu den Nachrichtendiensten besonders eng. Denn die Elite der angelsächsischen Spionagewelt gibt sich ein Stelldichein. Der frühere MI5-Direktor Sir Jonathan Evans, der den Inlandsgeheimdienst von 2007 bis 2013 leitete, sitzt im Beirat. Zum Chef von Darktrace stieg im Januar Andrew France auf, bei GCHQ einst die Nummer zwei für Cyberabwehr. Sein Job war es, die digitalen Kronjuwelen der Königin zu schützen.
Auch in der Belegschaft geben Ex-Agenten den Ton an. Rund ein Drittel der 60 Darktrace-Mitarbeiter haben ihre ersten Berufsjahre beim Geheimdienst verbracht. Im Frühsommer rückten sogar zwei langjährige Ex-Mitarbeiter der US-Schnüffeltruppe NSA in die Geschäftsführung ein.
NSA, GCHQ, MI5
Das weckt Misstrauen: Bleiben die im Geheimdienst sozialisierten Abwehrspezialisten nicht auch in ihrer neuen Rolle letztlich immer NSA, GCHQ und MI5 verbunden? Einmal Schnüffler, immer Schnüffler, das stecke doch tief drin, meinen Kritiker. „Jeder, der mit ihnen spricht, wird Angst vor der Zusammenarbeit haben, weil man weiß, woher sie ursprünglich kamen“, sagt Cyberabwehrexperte Christoper Richardson, Leiter der Abteilung Cybersecurity an der Universität Bournemouth und ehemals Mitglied der britischen Luftwaffe.
Bisher fanden solche Wechsel in die Privatwirtschaft meist erst nach langen Jahren geheimdienstlicher Tätigkeit statt. Die Führungsriege angelsächsischer Nachrichtendienste startet dann gerne eine zweite Karriere als Berater oder rückt in die Aufsichtsräte von IT-Sicherheitsfirmen ein. Bei Darktrace ist das anders. Hier quittierte erstmals eine Gruppe junger, hoch versierter Cyberspezialisten den Dienst und wagte den Sprung in die Selbstständigkeit.
Welche Sicherheitsmaßnahmen die Unternehmen verstärken
66 Prozent Organisatorische Verbesserungen (z. B. Zugriffskontrollen)
35 Prozent Firewall eingeführt/erneuert.
43 Prozent Virenscanner eingeführt / erneuert.
33 Prozent Schulungen zur IT-Sicherheit.
3 Prozent Standardisierungen/Zertifizierungen.
2 Prozent Früherkennungssysteme einsetzen.
0 Prozent Einstellung zusätzlicher IT-Sicherheitsexperten.
Mehr als 50 Kunden
Die Bilanz des ersten Jahres kann sich sehen lassen: Neben dem Firmensitz in der Universitätsstadt Cambridge unterhält Darktrace Büros in London, Mailand, New York, Paris, San Francisco und Washington. Bald wolle man auch nach Deutschland expandieren, kündigt Palmer an.
Zu den Kunden zählt das Start-up unter anderem den britischen Kraftwerksbetreiber Drax, mehrere Finanzdienstleister, Einzelhandelsunternehmen, Mineralölunternehmen in Texas und seit Anfang Oktober die Eisenbahngesellschaft Virgin Trains, Teil von Richard Bransons Virgin Group. Unter den mehr als 50 Kunden sind auch staatliche. Welche das sind, will Palmer nicht verraten.
Welche Konsequenzen dt. Unternehmen aus dem Abhörskandal ziehen
31 Prozent: Wir haben unsere Sicherheitsanforderungen an IT- und Telekomdienstleister erhöht.
23 Prozent: Wir werden in den nächsten zwölf Monaten aus Sicherheitsbedenken keine Cloud-Dienste in Anspruch nehmen.
13 Prozent: Wir haben konkret geplante Cloud-Projekte zurückgestellt.
11 Prozent: Wir haben bestehende Cloud-Projekte aufgegeben.
49 Prozent: Wir haben vorerst keine Konsequenzen gezogen.
Der britische Staat hält keine Anteile am Unternehmen
Der britische Staat, darauf legt man bei Darktrace großen Wert, hält keine Anteile am Unternehmen. Offizieller Mehrheitseigentümer ist das Investmentvehikel Invoke Capital, gegründet vom früheren Chef des britischen Softwarehauses Autonomy, Mike Lynch. Rund zehn Millionen Dollar steckte Invoke Capital in Darktrace.
Gut möglich, dass es auch versteckte Geldquellen gibt. Denn Darktrace startete nicht wie Pendants im kalifornischen Silicon Valley mit der mickrigen Ausstattung einer Garagenfirma. Das Londoner Büro etwa residiert nobel im Haus 80 Pall Mall, um die Ecke von St. James’s Palace, wo früher Prinz Charles mit seinen Söhnen lebte.
Neue, flexible Cyberabwehr
Das eigentliche Herz von Darktrace aber schlägt in einem modernen, streng abgeschirmten Zweckbau im Research-Park der Universität Cambridge. Hier arbeiten 30 Analysten und Produktentwickler in einem Großraumbüro, die Atmosphäre gleiche einem Handelsraum bei einer Bank, erzählt Palmer. Externe Besucher haben keinen Zutritt, schließlich habe man den Kunden strikte Vertraulichkeit zugesichert.
Hier in Cambridge entwickelte Darktrace seine neue, flexible Cyberabwehr, das „Enterprise Immune System“. Es ist dem menschlichen Immunsystem nachempfunden und setzt anders als herkömmliche Abwehrmethoden nicht auf Prävention und Schutzmauern wie Firewalls, sondern auf intelligente Datenanalysen.
Trends im Datenschutz
Lange Zeit mangelte es vielen Unternehmen an Werkzeugen zur Netzwerküberwachung, beispielsweise Data Loss Prevention (DLP). Doch ihr Bewusstsein für die Relevanz solcher Werkzeuge ist inzwischen gestiegen. Schließlich helfen sie dabei, Lücken im Datenschutz aufzudecken.
Aktuell stehen viele Firmen vor der Herausforderung, die enormen Kosten für die Erneuerung ihrer IT-Systeme zu stemmen. Einige Unternehmen müssten ihre komplette IT transformieren, weil es sich noch um veraltete IT-Systeme handelt, die teilweise seit den 1990er Jahren immer wieder weiterentwickelt wurden. Doch derzeit sind nur wenige Unternehmen bereit, die notwendigen Investitionen in ihre IT-Systeme auch tatsächlich zu tätigen.
Quelle: Report „Privacy Trends 2013” Ernst & Young
Virtuelle und mobile Arbeitsplätze stellen die Unternehmen vor neue Herausforderungen: Mitarbeiter können mittlerweile zum Beispiel selbstständig ein Upgrade für ihre mobilen Geräte ohne die IT-Abteilung durchführen. Gleichzeitig möchten die Unternehmen mit speziellen Systemen die Daten überwachen. Dadurch geraten jedoch auch die persönlichen Mitarbeiterdaten in den Blick der IT-Sicherheitsexperten, denn viele Mitarbeiter nutzen mobile Endgeräte inzwischen sowohl dienstlich als auch privat.
Der rasche digitale Wandel hat die Rolle des Datenschutzbeauftragten grundlegend verändert: Lange Zeit war er lediglich dafür zuständig, Vorschriften aufzustellen und deren Umsetzung zu kontrollieren. Doch mit der sich verändernden Technologie hat sich der Datenschutzbeauftragte zu einem strategischen Berater des Managements entwickelt. Außerdem bildet er eine Schnittstelle zwischen Datenschutzbehörden und Unternehmen. Dadurch nimmt er auch aktiv Einfluss auf die öffentlichen und politischen Debatten um den Datenschutz.
Neben Ländern folgen auch viele Wirtschaftsunternehmen den Vorschriften der EU in Sachen Datenschutz: Immer mehr internationale Unternehmen planen, die Binding Corporate Rules (BCR) der EU umzusetzen – ein Katalog von internen Regeln zum Transfer von persönlichen Informationen über Ländergrenzen hinweg innerhalb einer Organisation. Sie erhoffen sich dadurch erhebliche Erleichterungen bei internen Abläufen und eine Verbesserung des Datenschutzes.
Obwohl einige Unternehmen bereits Privacy by Design (PbD) integriert haben, fehlt es hier an rechtlichen Regelungen. PbD meint, dass schon bei der Entwicklung neuer Technologien etwaige Datenschutzprobleme identifiziert werden und der Datenschutz von Anfang an bei der Konzeption einer technischen Innovation berücksichtigt wird.
Risiko Mitarbeiter
Bei Darktrace gilt die Prämisse, dass die Infiltration des Gegners in die Unternehmensnetze bereits stattgefunden haben könnte und sogar von den eigenen Mitarbeitern ein Risiko ausgeht. Das künstliche Immunsystem erlaubt es Unternehmen, Anomalien in Echtzeit zu entdecken, die herkömmliche Schutzprogramme meist übersehen. Möglich wird das durch lernfähige Algorithmen. Diese erkennen abweichendes Verhalten von Mitarbeitern oder bereits eingenisteten Eindringlingen, indem sie identifizieren, was normale und was abweichende Aktivitäten sind.
„Wenn jemand etwa plötzlich die gesamten Daten der Personalabteilung herunterlädt, obwohl er das vorher nie getan hat, oder 15 Elemente der Lohnbuchhaltung verändert, wenn er normalerweise nur einmal in der Woche eine Änderung vornimmt, würde unser Programm das registrieren“, erläutert Palmer. Weil jede Organisation anders ist, passe sich das künstliche Immunsystem an jede einzelne „Firmen-Umwelt“ an: „Unser System ist aufgrund der lernfähigen Mathematik für jede Anwendung maßgeschneidert.“
Keine Killerzellen
Anders als bei einem menschlichen Immunsystem gibt es allerdings keine Killerzellen, die den Eindringling automatisch vernichten. Eine Form der Cyberabwehr ist die Gegenspionage. „Wenn man merkt, dass jemand Daten stehlen will, gibt es die Möglichkeit, ihn mit falschen Informationen zu füttern“, sagt Ex-Spion Palmer. Durch deren Kennzeichnung lassen sich die Bewegungen des Diebesgutes besser nachverfolgen, falls sie im sogenannten Darknet – dem Schattenreich des Netzes für Kriminelle – zum Verkauf angeboten werden sollten: dunkle Spuren in den dunklen Ecken des Internets eben.
Warum sollte man ausgerechnet einem von angelsächsischen Ex-Spionen gesteuerten Unternehmen tiefe Einblicke in den eigenen Betrieb gewähren? Die Sorge, einem Doppelagenten auf den Leim zu gehen, ist nach Ansicht von Experten durchaus berechtigt. „Wegen des Snowden-Effekts wird sich jeder die Frage stellen: Für wen arbeiten diese Leute wirklich?“, sagt Cyberabwehrspezialist Richardson.
Unternehmen sollten vorsichtig sein
Und wie verhält sich ein früherer Spion im Falle eines Interessenkonflikts zwischen seinem Kunden und dem alten Arbeitgeber? Jörg Asma, Managing Partner bei der Comma Management Consulting für Sicherheit in Bonn, rät deutschen Unternehmen zur Vorsicht: „Die IT-Chefs sollten vor der Auftragsvergabe entscheiden, ob ihnen der Vertrauensvorsprung oder der Technologievorsprung eines Sicherheitsanbieters wichtiger ist.“ Die Erfahrung lehre jedenfalls, dass bei der Abwehr von Cyberangriffen bisher jeder Technologievorsprung schnell wieder von der Konkurrenz eingeholt werde. Fazit: Vertrauen ist wichtiger als Technik.
Die Darktrace-Gründer bemühen sich jedenfalls seit einigen Wochen, unverdächtiger aufzutreten. Im September wurde sogar eine Verbindung zum MI5 und GCHQ gekappt. Als Darktrace seinen ersten Geburtstag feierte, gab der frühere Geheimdienst-Vize France die Leitung ab – angeblich, weil er sich von der internationalen Expansionsstrategie überfordert fühlte.
Streuen von Desinformationen
Ersetzt hat ihn Marketingexpertin Nicole Eagan, die zuvor beim britischen Softwarehaus Autonomy arbeitete und laut Lebenslauf nie für einen Geheimdienst tätig war. Zu deren Repertoire gehört allerdings auch das Streuen von Desinformationen.
Vielleicht ist ja auch Palmers Story, wie es zur Gründung von Darktrace kam, nur eine geschickt gestrickte Legende. Denn er verkauft die Gründungsidee als seine ganz private Entscheidung: Noch zu MI5-Zeiten diskutierte er mit Freunden in der Bar seine Ideen, wie sich die vielen Lücken bei der Cyberabwehr schließen lassen. „Irgendwann haben wir dann gesagt, hey, wir brauchen ein ordentliches Meeting.“ Später habe er, zunächst noch als Geheimdienstler, in der Freizeit etwa ein Jahr lang an der Verwirklichung des Konzepts gearbeitet.
Geheimhaltungsklausel
Sein Ex-Arbeitgeber unterstützte den Wechsel. Allerdings musste der Spion bei seinem Abschied eine Geheimhaltungsklausel unterschreiben und seinen neuen Job absegnen lassen. Schwierig war das offenbar nicht, auch sonst erfuhr Palmer kaum Restriktionen: „In der Realität ist es ja so, dass kein Technologietransfer aus dem Geheimdienstbereich in die Privatwirtschaft stattfindet, sondern lediglich ein Transfer von einigen klugen Köpfen.“
Cyberabwehrfachmann Richardson ist skeptisch, ob es diese Trennung wirklich gibt. Ein Unternehmen wie Darktrace operiere nicht nur mit der impliziten Genehmigung der britischen Geheimdienste, sondern nehme ihnen sogar Aufgaben ab und handle inoffiziell im staatlichen Auftrag: Weil der Staat selbst nicht in der Lage sei, britische Unternehmen besser vor Hackerangriffen zu schützen, füllten die privaten Sicherheitsfirmen diese Lücke.