Herr Künzel, Sie heißen eigentlich anders. Warum wollen Sie Ihre wahre Identität nicht preisgeben?In meinem Job ist es sehr wichtig, im Blick zu haben, wer was über mich weiß. Wenn mein Name und das, was ich tue, bekannt würden, könnte das gegen mich verwendet werden.

Wie das?Wer den Namen einer Person kennt, kann leicht ein detailliertes Profil erstellen. Über Social-Media-Seiten lässt sich herausfinden, wo jemand wohnt, wie er aussieht, wo er arbeitet. Da kommt es vor, dass man eine Twitter-Nachricht erhält: „Wir wissen, wo du wohnst. Hör auf, unsere Schadsoftware zu analysieren.“ Wir haben es in der Cybersecurity mit Kriminellen zu tun, da muss man vorsichtig sein.

Wurden Sie schon einmal bedroht?Ich selbst nicht, aber ich kenne Leute, denen das passiert ist. So was möchte man nicht erleben. Ich erzähle nur meinen besten Freunden, was ich tue. Alle anderen glauben, ich halte die Website der Telekom am Laufen.

Und was machen Sie tatsächlich?Wir bauen in unserem Team Sicherheitsarchitekturen und erstellen Bedrohungsanalysen für unsere Kunden. Wo sind die Schwachstellen? Wie lässt sich das System am besten gegen Angreifer verteidigen? Außerdem führen wir Informationen aus allen Teilen des Systems zusammen, um Auffälligkeiten zu erkennen, die auf einen Angriff hindeuten können. Es ist wie bei einem Bewegungsmelder: Sobald das System eine Auffälligkeit signalisiert, schauen wir nach, ob es ein Einbrecher ist oder doch nur Nachbars Katze.

Wie funktionieren diese Alarmsysteme?Wir kontrollieren sowohl die Zugänge zu unseren Netzwerken als auch das Innere der Systeme. Wenn versucht wird, von einer unserer Datenbanken größere Datenmengen herunterzuladen, sehen wir das. Oder wir suchen nach logischen Widersprüchen: Es ist komisch, wenn ein Nutzer aus Frankfurt versucht, sich um 10.15 Uhr bei uns einzuwählen, und es um 10.30 Uhr noch einmal aus Moskau probiert.

Und wenn es doch einem Angreifer gelingt, in Ihre Systeme einzudringen?Dann können wir ihn verfolgen, sehen, wo er sich im Netzwerk ausbreitet, und dementsprechend reagieren.

Was heißt das genau?Zuerst analysiert unser Cyber Emergency Response Team das Ausmaß des Schadens: Wer ist betroffen? Was ist betroffen? Wie viele Rechner? Dann folgt eine sogenannte forensische Analyse: Alle betroffenen Systeme werden auf Eis gelegt und durchforstet. Da wird sich jede Log-Datei angeschaut, um festzustellen, mit wem wir es tun haben und wie er reingekommen ist. Und wir kontrollieren, ob Daten abgeflossen sind. Das wäre der schlimmste Fall. Kundendaten sind heilig.

Was raten Sie Firmen, die keine eigene IT-Sicherheitsabteilung haben und mit den Cyberrisiken überfordert sind?Es ist essenziell, Sicherheits- und Software-Upates sofort einzuspielen. Hacker analysieren diese Updates genau und finden die Sicherheitslücken, die damit geschlossen werden sollen. Wer monatelang mit dem Update wartet, macht sich zur Zielscheibe. Unternehmen ohne eigene IT-Abteilung sollten einen vertrauenswürdigen Dienstleister beauftragen.

Wer sind die Gegner, die Sie jagen?Wir haben dieselbe Bandbreite wie in der realen Welt auch. Kleinkriminelle, Industriespione, organisierte Kriminalität, die ganze Palette.

Was passiert Tätern, die Sie erwischen?Ein Unternehmen kann natürlich niemanden verhaften, und es wäre illegal, wenn wir anfangen würden, u sererseits die Angreifer zu hacken. Wir kooperieren mit den Sicherheitsbehörden, aber die Strafverfolgung der Täter ist extrem schwierig. Die sitzen meist im Ausland, wo die deutschen Behörden kaum eine Handhabe haben.

Ist das nicht sehr frustrierend für Sie?Ja, klar. Unsere einzige Chance ist, besser zu sein als die Angreifer, die Sicherheitslücken vor ihnen zu finden und zu schließen. Das motiviert mich.

Würden Sie sich als Hacker bezeichnen?Ein Hacker ist für mich jemand, der Spaß hat, mit Systemen zu spielen und diese auch kaputt zu spielen. Bei mir ist es anders herum: Mir macht es Spaß, Systeme so zu bauen, dass sie niemand mehr kaputt machen kann. Ein Hacker hat immer auch etwas Zerstörerisches, ich nicht.

Maik Künzel, 25, jagt Internetkriminelle im Cyber Defense Center der Deutschen Telekom in Bonn. Zum Interview war er nur bereit unter der Bedingung, anonym zu bleiben. Neben dem Schutz der eigenen Netzwerke kümmert sich die Telekom als Dienstleister auch um die Sicherheit von mehr als 30 Großunternehmen, darunter der Dax-Konzern Linde.