Nicht nur Fußballfans, auch IT-Verantwortliche des Europäischen Fußballverbandes UEFA sind an Spieltagen der Champions League im Einsatz - so auch heute, wenn die letzten Vorrundenentscheidungen fallen. Ein Gespräch mit Weynand Kuijpers, Senior Service Delivery Manager bei der UEFA im schweizerischen Nyon.
CW: Wie viele IT-Fachkräfte sind bei der UEFA beschäftigt?
KUIJPERS: Knapp 100, die an unserem Hauptsitz in Nyon zumeist im On-Premise-Bereich tätig sind.
CW: Arbeiten Sie darüber hinaus mit IT-Dienstleistern zusammen?
Weynand Kuijpers ist Senior Service Delivery Manager bei der UEFA in Nyon. Foto: UEFA
KUIJPERS: Ja, einige unserer Partner programmieren unter anderem Management-Software für die von uns organisierten Wettbewerbe. Andere virtualisieren unsere Server-Infrastruktur. Auch im Security-Bereich setzen wir auf externes Know-how. Ich würde sagen, dass wir zehn große Partner haben und um diese herum ein ganzes Netzwerk von rund 40 weiteren Dienstleistern beschäftigen, die unser Web-Angebot mit teils innovativen Ideen bereichern. Teils sind es auch Zulieferer von Inhalten, die wir in Echtzeit benötigen - beispielsweise Live-Ergebnisse und Statistiken während eines Fußballspiels. Das können wir mit internen Ressourcen nicht kurzfristig bereitstellen. Insgesamt sind es also um die 50 Partnerunternehmen.
CW: Wie wählen Sie Ihre Partner aus?
KUIJPERS: Weil wir eine europäische Organisation sind, liegt unser Fokus auf europäischen Unternehmen - besonders auf denen, mit denen wir in derselben Zeitzone zusammenarbeiten können. Es ist zudem nicht einfach, sich mit nichteuropäischen Partnern auf einen adäquaten Datenschutzlevel zu einigen. Werden Online-Services zugekauft, ist deren Stabilität und Performance ein weiteres Entscheidungskriterium. Darüber hinaus gibt es unsererseits aber keine Beschränkungen, was globale Kooperationen angeht - beispielsweise mit Unternehmen aus den USA. Besonders im Sportbereich ist der US-Markt ein sehr kreativer und auch weiter entwickelt als der europäische, was Online-Services und entsprechende Geschäftsmodelle angeht. Wir haben deshalb schon häufiger mit nordamerikanischen Dienstleistern zusammengearbeitet.
CW: Wie steht es um den interkontinentalen Erfahrungsaustausch innerhalb des Weltfußballverbands FIFA?
KUIJPERS: Wir tauschen uns zweimal jährlich mit den anderen Kontinentalverbänden darüber aus, wie wir neue Technologien und IT-Entwicklungen einsetzen können, um das Fußballerlebnis der Fans auf der ganzen Welt zu verbessern. Es ist aber nicht so, dass wir dauerhaft zusammenarbeiten würden. Stattdessen stehen wir von der UEFA in ständigem Austausch mit den großen US-Sportverbänden wie der MLB (Major League Baseball) oder der NFL (National Football League), die ein Sports-Entertainment-Angebot im Web betreiben, von dem wir uns noch etwas abschauen können.
Gegen böswillige Fußballfans
CW: Lassen Sie uns über die Sicherheit Ihrer Web-Dienste sprechen. Wie schützen Sie Server, Anwendungen und Inhalte?
KUIJPERS: Zwei Aspekte treiben unsere IT-Security-Strategie. Zum einen sind es unzufriedene Fußballfans, die nach umstrittenen Spielen, Schiedsrichterentscheidungen oder anderen Vorkomnissen auf dem Platz und außerhalb, unsere Website als Plattform nutzen möchten, um ihrem Unmut Luft zu verschaffen. Zum anderen sind es persönliche Informationen über Spieler oder Schiedsrichter, die wir auf unseren Servern hosten. Da diese nicht für die Öffentlichkeit bestimmt sind, müssen wir sie besonders schützen. Was die Umsetzung angeht, lassen wir das meiste von Dienstleistern erledigen, damit wir uns auf unser Kerngeschäft Fußball konzentrieren können.
Um die physikalische Sicherheit der Rechenzentren, die redundante Verfügbarkeit von Daten und Services kümmert sich beispielsweise Interoute, das die Server-Infrastruktur samt Firewall-Systemen und den kompletten Storage betreut. Um uns vor öffentlichen Attacken zu schützen, haben wir DDoS-Mitigation-Dienste innerhalb des Netzwerks einrichten lassen. Was interne Dienste angeht, ermöglichen wir privilegierten Nutzergruppen und Partner via VPN den sicheren Zugriff auf interne Services von außerhalb. Das betrifft zum Beispiel die Planung von Wettbewerben, die logistische Abwicklung einzelner Veranstaltungen oder auch die Schiedsrichteransetzungen. Zu guter Letzt sorgen ID/IP-Systeme (Intrusion Detection und Intrusion Prevention) dafür, dass die Datenpakete, die die anderen Sicherheitssysteme bereits passiert haben, im internen Netz kein Unheil anrichten können.
CW: Wie häufig kommt es vor, dass Sie Ihre Server gegen Fans verteidigen müssen?
KUIJPERS: Gelegentlich gibt es Hochrisiko-Spiele und andere Situationen, nach und in denen das vorkommt. Jüngstes Beispiel war der Protest von Tierschutzaktivisten im Vorfeld der Europameisterschaft, als bekannt wurde, dass die ukrainische Regierung die Spielorte von Straßenhunden "befreite". Die UEFA hatte nichts damit zu tun - trotzdem ist es auf uns als Turnierveranstalter zurückgefallen. Es gab daraufhin einige DDoS-Angriffe von Anonymous-Hacktivisten auf unsere Server. Das können wir weder verhindern noch kontrollieren - wir müssen aber sicherheitstechnisch darauf vorbereitet sein. Es darf nicht passieren, dass unsere Webpräsenz verschwindet, gehackt und verändert wird, um beispielsweise auf fremde Inhalte zu verweisen. Das Schlimmste wäre nämlich, wenn die Marke UEFA durch solche Vorfälle Schaden nähme - das müssen wir unbedingt verhindern.
Lesen Sie auf der nächsten Seite: Wie das erhöhte Besucheraufkommen im Online-Ticketing abgefedert wird, warum die UEFA ihre Rechenzentren in Amsterdam und Genf betreibt und wie es um mobile Services für Fußballfans im Stadion steht...
Die Aktionen der Hacktivisten Die in losen Gruppen organisierten Hacker haben in den vergangenen Jahren einige spektakuläre Aktionen gestartet. Hier sehen Sie eine Zusammenfassung.
September 2008: Fox News Einige Monate später gab es die nächste öffentlichkeitswirksame Attacke von Anonymous. Das Ziel dieses Mal: Bill O'Reilly, der wichtigste Moderator des konservativen Fernsehsenders Fox News, und seine Anhänger. Mitglieder der Hacker-Gruppe knackten die Web-Seite des Moderators, sammelten E-Mail-Adresse samt Passwörter und Anschriften von 205 O'Reilly-Unterstützer ein und übergaben die Informationen Wikileaks. Am Tag darauf folgten zwei DDoS-Angriffe auf Billoreilly.com. Das Bild zeigt angeblich die Einladung zum Hacken von Fox News, die auf dem Imageboard 4Chan innerhalb der Anonymous-Gruppe zirkulierte.
Oktober 2010: KISS- Bassist Gene Simmons Anonymous legte GeneSimmons.com mit einer DDoS-Attacke im Rahmen der "Operation Payback" lahm. Die Kampagne richtete sich gegen einzelne Personen und Institutionen, die im Verdacht standen, die Privatsphäre im Internet zu gefährden. Die Hacker hatten insbesondere den Verband der Musikindustrie in den USA im Visier (Recording Industry Association of America; RIAA), weil er massiv gegen die Tauschbösen im Internet vorging. KISS-Bassist Gene Simmons geriet in den Fokus der Hacker-Gruppe, weil er gegen die "pickeligen College-Kids" gewettert hatte, die illegal Musik aus dem Internet laden.
Dezember 2010: Diverse Finanzdienstleister Ende 2010 solidarisierte sich Anonymous mit der Whisteblower-Plattform Wikileaks und ihrem Gründer und Aushängeschild Julian Assange. Die DDos-Attacken richteten sich gegen PayPal und andere Finanzinstituten, die die Annahme von Spenden für Wikileaks verweigerten. Vorausgegangen war die Veröffentlichung der Berichte von US-Diplomaten auf der Plattform. Auf dem Poster, das für die "Operation Avenge Assange" warb und das im Internet zirkulierte, schrieb die Gruppe, dass Assange die gleichen Prinzipien wie das Hacker-Kollektiv "vergöttere".
Dezember 2010: Santa Cruz County Im Dezember 2010 machte eine weitere Organisation mit einer spektakulären Attacke auf sich aufmerksam: Die "Peoples Liberation Front" streckte die Web-Seite der Stadtverwaltung von Santa Cruz County nieder. Einer Pressemitteilung des US-Justizministeriums zufolge reagierten die Hacker auf Festnahmen von Demonstranten. Sie hatten vor dem örtlichen Gericht protestiert und hatten damit gegen die Camping-Richtlinien innerhalb der Stadtgrenzen verstoßen. Im September 2011 klagten die Behörden Joshua John Covelli (Bild) für seine führende Rolle bei der DDoS-Attacke gegen die Santa-Cruz-Web-Seite an. Er war zuvor schon im Zusammenhang mit dem Angriff auf PayPal aufgefallen.
Februar 2011: HBGary Federal und Aaron Barr Als Anonymous Wind davon bekam, dass Aaron Barr, damaliger CEO der Sicherheitsfirma HBGary Federal, die Identität der wichtigsten Hacker veröffentlichen wolle, trat die Hacker-Gruppe die Flucht nach vorn an: Sie knackte HBGary Federals Web-Site und verschaffte sich über nur schwach gesicherte Systeme Zugang zum E-Mail-Server. Dort fanden die Hacker unter einigen kompromittierenden Nachrichten auch einen Hinweis darauf, wie Barr den WikiLeaks- und Salon.com-Autor Glenn Greenwald angehen wollte. Die Enthüllung der E-Mails brachte die Security-Firma erheblich ins schlingern. Das Bild zeigt den HBGary-Stand auf einer RSA-Konferenz.
Mai 2011: PBS So sah die Web-Seite der US-Senderkette PBS aus, nachdem LulzSec-Mitglieder sie sich im Mai 2011 vorgenommen hatten. Die Aktivisten waren unzufrieden mit einer Dokumentation des PBS-Spartenkanals Frontline über den Wikileaks-Informanten Bradley Manning. LulzSec verbreitete zudem über den Newsticker von PBS, dass der 1996 verstorbene Rapper Tupac Shakur in Neuseeland lebe. Zudem postete die Gruppe Login-Daten und Adressen einiger Besucher der PBS-Site.
Juni 2011: InfraGard Atlanta Kurz danach manipulierte LulzSec die Web-Site von InfraGard in Atlanta. Die Organisation bekämpft gemeinsam mit dem FBI die Cyberkriminalität. Nach dem Besuch der Hacker-Gruppe zeigte die Web-Seite ein YouTube-Video. Die Hacker entwendeten zudem persönliche Daten von 180 InfraGard-Anwendern und veröffentlichte sie auf The Pirate Bay zusammen mit Auszügen aus geheimen E-Mails, die mit dem FBI ausgetauscht wurden. Auslöser der Attacke waren angeblich Äußerungen von Barack Obama zu den Aktivitäten von Hackern.
Mai bis Juni 2011: Sony Pictures Wenige Wochen später wurde Sony erneut zum Angriffsziel der Hacker. Dieses Mal attackierte LulzSec Sony Pictures und brach in diversen Web-Seiten und Datenbanken des Konzerns ein. Die Gruppe behauptete, sie habe mehr als eine Millionen persönliche Daten von Sony-Kunden entwendet, darunter Passwörter und Postadressen. Sie veröffentlichte Details des Angriffs und Passwörter sowie 75.000 Musik-Codes und 3,5 Millionen Coupons.
Juni 2011: Der Senat der Vereinigten Staaten Ebenfalls im Juni hackte die Gruppe die Web-Seite des US-Senats. Eine Sprecherin der Parlamentkammer bestätigte später den Angriff.
Juni 2011: CIA Kurz danach nahm sich LulzSec den CIA vor. Mit einem DDoS-Angriff zwang die Gruppe die CIA-Web-Seite für mehrere Stunden in die Knie.
Juni 2011: InfraGard Connecticut Im Juni nahm LulzSec erneut InfraGard ins Visier. Via Twitter verkündete die Gruppe, sie habe mittels einfacher SQL-Injection die Web-Seite von InfraGard Connecticut geknackt.
Juli 2011: The Sun Eigentlich hatte sich LulzSec Ende Juni 2011 aufgelöst. Doch der Abhörskandal um die britischen Boulevard-Zeitung "News of the World" und den News-Corp.-Konzern des Medienmoguls Rupert Murdoch rief die Gruppe noch einmal auf den Plan: Sie manipulierte die Web-Seite der britischen Zeitung "The Sun", die ebenfalls zum Murdoch-Imperium zählt. Dort platzierte sie eine Meldung über den Tod von Murdoch. Der eingefügte Link führte zu einem Twitter-Account von LulzSec.
Juli 2011: ManTech International Nach dem Ende von LulzSec sorgte Anonymous wieder für Aufmerksamkeit. Die Hacker brachen in das Netz der Rüstungsfirma ManTech International ein und drohten damit, Dokumente zu veröffentlichen, die man vom internen Server geladen hatte.
August 2011: Öffentlicher Nahverkehr in San Franzisko Mitte August 2011 hackte Anonymous die Online-Präsenz des öffentlichen Nahverkehrs in San Francisco, "Bay Area Rapid Transit" (Bart). Die Gruppe veröffentlichte User-Namen, Adressen und Telefonnummern von über 2000 Pendlern und brachte die Web-Seite MyBart.org zum Erliegen. Anonymous reagierte damit auf das Abschalten des Mobilfunknetzes für alle Bart-Passagiere. Damit hatten die Verkehrbetriebe verhindern wollen, dass sich Demonstranten über Handy absprechen und zu Aktionen verabreden. Anlass der damaligen Kundgebung in San Franzisko war der Tod eines US-Bürger, der von den Sicherheitskräften der Verkehrsbetriebe erschossen wurde.
Oktober 2011: Web-Seiten mit Kinderpornographie Im Rahmen der Operation Darknet löschte Anonymous Links zu Kinder-Pornografie-Seiten auf einer Web-Präsenz namens Darknet. Die Hacktivisten warnten die Hosting-Firma Freedom Hosting und forderte sie auf, sämtliche illegale Inhalte zu löschen. Als der Betreiber sich weigerte verschafften sich die Hacker Zugang zu den Servern, sperrten sämtliche Zugänge zu gehosteten Web-Seiten und veröffentlichen Login-Details von 1600 Anwendern. Freedom Hosting stellte die Kinder-Pornografie-Seiten wieder her, nur um erneut von Anonymous attackiert zu werden.
November 2011: Die Finanzindustrie Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Florida Family Association Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Stratfor Weihnachten 2011 drang die Hackergruppe in die Systeme von Stratfor ein, einer US-Firma für internationale Sicherheitsanalysen, und kopierte offenbar tausende Kreditkartennummern. Den Datenklau verkauften die Hacker als Wohltätigkeitsaktion zur Weihnachtszeit.
Ticketing-Lastspitzen abfedern
CW: Welche besonderen Schutzanforderungen bringt das Online-Ticketing mit sich?
KUIJPERS: Stehen Ticketverkäufe oder -verlosungen an, erweitern wir zeitweilig unser Content Delivery Network, um statische Inhalte noch schneller ausliefern zu können. Was die Sicherheit der Transaktionen angeht, haben wir alles Nötige bereits in anderen Bereichen der Website im Einsatz. Wir haben aber sowohl bei uns als auch bei den Dienstleistern mehr Augen als sonst auf den Vorgängen auf den Servern und im Netzwerk. Eine zeitnahe Auswertung der Logdateien ist zu diesen Zeiten sehr wichtig, deshalb werden kurzfristig mehr Leute dafür abgestellt.
CW: Wie steht es um die Verfügbarkeit der Services während solcher Lastspitzen?
Bei "Fantasy Football" stellen sich die Fans ihr eigenes "Dreamteam" zusammen.
KUIJPERS: Das Wichtigste ist für uns, dass alle Server - nicht nur die fürs Ticketing - jederzeit mit Spitzenlasten zurechtkommen. Wir skalieren sie nicht je nach Bedarf, sondern gewährleisten immer die gleiche Verfügbarkeit. Daher gibt es Tage, an denen Kapazitäten ungenutzt bleiben. In Wochen, in denen die Champions League und Europa League stattfinden, gibt es hingegen Traffic-Ausreißer nach oben - je weiter die Wettbewerbe fortschreiten, desto größer werden sie. Gleiches gilt natürlich auch für die Zeit einer Europameisterschaft. Während der Wochen um den Jahreswechsel herum ist wegen der internationalen Spielpause wiederum weniger los. Der Traffic zur Zeit eines Champions-League-Finales ist im Durchschnitt etwa um den Faktor fünf höher als während der Weihnachtstage. Noch extremer - um den Faktor zehn - fällt die Differenz bei unserem Online-Spiel "Fantasy Football" aus, bei denen Fans während der laufenden Champions-League-Begegnungen virtuell mitspielen können.
CW: Welche Rolle spielen die Standorte Ihrer Rechenzentren?
KUIJPERS: Wir betreiben das Rechenzentrum für die öffentlichen Services in Amsterdam, das für die internen Dienste in Genf. In Amsterdam befindet sich ein wichtiger Internet-Knotenpunkt, hier kommt viel Traffic auf dem Weg zwischen den USA, Europa und Asien durch. Die Nähe unserer Server wirkt sich deshalb merklich auf die Geschwindigkeit der Web-Dienste aus. Das Data Center in Genf ermöglicht es uns als Schweizer Organisation, auch unsere internen digitalen Dienste den strengen Schweizer Datenschutzgesetzen zu unterstellen und nicht von der EU-Gesetzgebung abhängig zu sein.
CW: Was passiert, wenn ein RZ ausfällt?
KUIJPERS: Unsere Fallback-Strategie sieht vor, dass bei einem Ausfall das jeweils andere Rechenzentrum "einspringt". Das macht uns sehr flexibel.
CW: Was steht für Sie an erster Stelle: Datensicherheit oder Verfügbarkeit?
KUIJPERS: Datensicherheit.
Mobilgeschäft ausbauen
CW: Haben Sie eine Mobil-Strategie? Sind beispielsweise mobile Angebote speziell für Stadionbesucher geplant?
KUIJPERS: Wir haben schon einige Apps entwickelt, um unsere Inhalte und Dienste sicher von unterwegs im Zugriff haben zu können. Es ist eine große technische Herausforderung, wenn viele Fans zeitgleich von einem einzigen Ort aus - in diesem Fall dem Fußballstadion - auf einen bestimmten Service zugreifen wollen. Hier sind Stadionbetreiber und Mobilfunkprovider mit im Boot, die technischen Voraussetzungen zu schaffen. Soweit sind wir noch nicht, arbeiten aber gemeinsam mit unseren Partnern an Lösungen.