Cybercrime, Datenschutz, KI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SICHERHEIT IN DER WIRTSCHAFT
Cybercrime, Datenschutz, KI
Das 27. Symposium Sicherheit der Erste Group fand am 12. und 13. Oktober 2021 in Wien statt.
Es nahmen etwa 120 Sicherheitsverantwortliche von Geldinstituten und deren Umfeld teil.
xpertinnen und Exper- hat, und auch das System
E ten aus dem In- und
Ausland referierten
beim Symposium Sicherheit
selbst kann nicht erklären,
wie es zu einer bestimmten
Entscheidung gekommen ist.
der Erste Group unter ande- Bei Big Data-Anwendun-
rem zu Arbeitnehmerschutz, gen wird nach Mustern ge-
Business Continuity Mana- sucht und es werden Cluster
gement, Informationssicher- gefunden, selbst wenn sich
heit, physische Sicherheit, diese nur zufällig ergeben
Datenschutz, Notfall- und und nur scheinbar zusam-
Krisenmanagement. menhängen.
Bei der Persönlichkeits-
Digital fit oder fertig – analyse spielen die „Big Fi-
wie kommt man selbst oder ve“ eine Rolle, nämlich Of-
als Unternehmen mit der Di- fenheit, Gewissenhaftigkeit,
gitalisierung zurecht? „Si- Transportboxen für Banknoten: Die Scheine werden im Alarm- Extraversion, Verträglichkeit
cher nicht mit der Opossum- fall dauerhaft eingefärbt und sind für den Täter wertlos. und Neurotizismus. Der
Strategie“, sagte Mag. Ro- Auftraggeber gibt etwa bei
bert Seeger, Agentur für nicht mehr funktionieren. mangel betreffen nicht nur der Personalauswahl vor,
Kommunikationskunst, also Insbesondere dann, wenn einen Bereich, sondern sind welche dieser Faktoren im
„sich auf den Rücken zu le- technologische Sprünge auf- vernetzt. Man muss mit Hil- Vordergrund stehen soll.
gen, sich tot zu stellen und treten oder wenn man – fe dynamischer Modellierun- Institute zur Partnervermitt-
zu hoffen, dass die Zukunft Stichworte Outsourcing oder gen die Auswirkungen er- lung erheben pro Partner bis
vorbeiläuft“. Man müsse die Commodification – das Ge- kennen. Als neues Thema zu 10.000 Persönlichkeits-
Veränderung lieben. Wegra- schehen nicht mehr kontrol- hinzugekommen ist der Aus- parameter, die über Algo-
tionalisiert oder vom Markt lieren kann. fall internetbasierter Dienste, rithmen ausgewertet werden.
verschwinden werde der, der Resilienz hingegen be- etwa wenn Serverfarmen be- Wie aber ist eine „gute Be-
nicht als Besonderheit her- deute, Dinge anders zu den- schädigt werden. ziehung“ zu definieren und
vorgetreten sei. „Be someo- ken und den Ansatz zu än- wer tut das? Der Program-
ne‘s lover, not everybody‘s dern mit dem Ziel eines KI. „Künstliche Intelli- mierer, die Firma, die allen-
darling“. Digitale Outlets, nahtlosen Weiterarbeitens. genz (KI) ist weder künstlich falls auch geschäftliche In-
wie man sich in der digitalen Zugekaufte Arbeitsleistun- noch intelligent“, sagte Dipl. teressen verfolgt? Auf wel-
Umwelt präsentiert, würden gen (Outsourcing) und ge- Physiker Philipp Schau- che messbaren Variablen
zum entscheidenden Qua- meinschaftlich genutzte Gü- mann, der über Video zuge- kann „Kreditwürdigkeit“
litätskriterium. Mit langatmi- ter (Commodification) müs- schaltet war. Es geht darum, oder „Rückfallswahrschein-
gen Stellenangeboten werde sen ersetzbar gemacht wer- dass mentale Funktionen lichkeit“ zurückgeführt wer-
man die Generation Z nicht den. Es gelte, eine Konzen- von Menschen von Compu- den? Vorurteile bei der Ein-
mehr erreichen. tration gleichartiger Akti- terprogrammen nachgebildet gabe von Trainingsdaten
vitäten an einem Ort zu ver- werden. Der Teilbereich Ma- spiegeln sich im Endergeb-
BCM-Resilienz. Business meiden und Know-how zu chine Learning geht inner- nis wider. Letztlich können
Continuity Management verteilen. Letztlich sollten halb der KI insofern weiter, auch bei der Interpretation
(BCM) definierte Ing. Karl Ressourcen geschaffen wer- als IT-Systeme automatisch der Testergebnisse Fehler
Weißl, Erste Group, in sei- den, die im Fall des Falles aus Daten Zusammenhänge oder Vorurteile einfließen.
nem Vortrag als ein Weiter- einspringen können, ohne erkennen, ohne speziell da-
führen eines Geschäfts oder dass nach außen hin von ei- für programmiert zu sein. Regulatorische Bestre-
eines Betriebes – trotz einge- nem Störfall etwas bemerkt Deep Learning als weite- bungen in der EU laufen dar-
tretener Störungen – in der wird. re Untergruppe bildet neuro- auf hinaus, algorithmische
bisherigen Art. Es wird nach nale Netze nach, mit der Be- Anwendungen je nach dem
Lösungen gesucht, die bishe- SKKM. Über das staatli- sonderheit, dass zwischen von ihnen ausgehenden Risi-
rigen Abläufe weiter auf- che Krisen- und Katastro- der Datenein- und der -aus- ko in vier Klassen einzutei-
FOTO: KURT HICKISCH
recht zu erhalten. Technik phenmanagement (SKKM) gabe „hidden layers“ liegen, len, von geringem bis unak-
wird repariert, Geräte wer- berichtete MMag. Harald bei denen man nicht weiß, zeptablem Risiko, wobei in
den ersetzt oder es werden Felgenhauer, Bundesmini- was sich in ihnen abspielt. dieser Gefahrenstufe der
andere verwendet. Irgend- sterium für Inneres. Krisen Es lässt sich nicht überprü- Einsatz dieser Anwendungen
wann wird das laut Weißl wie Blackouts oder Strom- fen, was das System gelernt verboten werden soll.
ÖFFENTLICHE SICHERHEIT 1-2/22 103
SYMPOSIUM SICHERHEIT
Robert Seeger: „Wie man Karl Weißl: „Es gilt, eine Ingrid Luttenberger: „Aus- Joe Pichlmayr: „Pro Monat
sich in der digitalen Umwelt Konzentration gleichartiger reichendes Lüften hilft, um kommen cirka zehn Millio-
präsentiert, wird zum ent- Aktivitäten an einem Ort zu virushaltige Aerosole aus In- nen Schadprogramme auf
scheidenden Kriterium.“ vermeiden.“ nenräumen zu entfernen.“ den Markt.“
Cybercrime. In die Rolle Der Knüller für die Bran- kann man bei Freigabe der Druck, der ein starkes Team
eines IT-Angreifers, konkret che ist Ransomware. Daten Daten nicht sicher sein, ob erfordere, das nach klarer
des Vorsitzenden der Cyber- werden verschlüsselt und ge- sich der Angreifer nicht eine Strategie zu handeln habe.
crime Unlimited Corporati- gen Zahlung eines Lösegel- Hintertür offen gelassen hat, Wichtig seien auch entspre-
on, schlüpfte Joe Pichlmayr, des wieder freigegeben. Das über die er nach wie vor Zu- chendes Training sowie Not-
Geschäftsführer der Ikarus durchschnittlich bezahlte griff auf die Daten hat. falls- und Krisenübungen.
Security Software GmbH Lösegeld hat im 2. Quartal
(ikarussecurity.com), und 2021 über 233.000 US- Schutz bieten auf techni- NIS-Gesetz. Wolfgang
konnte seinen fiktiven Vor- Dollar betragen, was einer scher Ebene Spam-, Phish- Pfeiffer, LinzNetz GmbH
standskollegen stolz verkün- Steigerung um 31 Prozent ing- und URL-Filter, Anti- (linznetz.at) ging auf die Er-
den, dass die Geschäfte blen- gegen dem Vergleichszeit- Malware und Endpoint Pro- fordernisse ein, die sich aus
dend laufen. Die Branche sei raum des Vorjahres ent- tection, Intrusion-Preventi- dem Netz- und Informati-
in drei Jahren um 400 Pro- spricht. on-Systeme mit Cyber onssystemsicherheitsgesetz
zent gewachsen, der Markt Bekannt ist die Erpres- Threat Intelligence. Dazu (NISG) und seinen Verord-
für Cybersecurity bloß um sung der US-Firma Colonial kommen als weitere Maß- nungen für die Betreiber we-
40 Prozent. „Unsere Gegen- Pipeline im Mai 2021. nahmen Awareness-Pro- sentlicher Dienste, darunter
spieler sprechen bereits da- Treibstoffleitungen in einer gramme, eine Backup-Stra- Finanzmarktinfrastrukturen,
von, den Kampf gegen uns Länge von 5.550 Meilen tegie, Klassifizierung von ergeben (nis.gv.at). Das Ge-
zu verlieren.“ wurden lahmgelegt. Die Daten nach Geheimhal- setz verpflichtet diese Diens-
Große Hoffnungen seien Erstforderung der Erpresser tungs-, Integritäts- und Ver- te, Sicherheitsvorfällen vor-
auf das Internet of Things hatte auf 30 Mio. US-Dollar fügbarkeitsanforderungen. zubeugen, Störungen zu er-
mit seinen exponentiellen gelautet. Bezahlt wurden Letztlich auch Servicever- kennen, zu beseitigen und
Wachstumsraten zu setzen. letztlich 4,4 Millionen US- einbarungen zu Incident Res- möglichst rasch die Funkti-
2025 würden 75 Milliarden Dollar in Bitcoins. Ein Teil ponse mit kurzen Reaktions- onsfähigkeit wieder herzu-
Geräte miteinander über das davon konnte vom FBI wie- zeiten und der Abschluss stellen.
Internet verbunden sein, Ra- der beschafft werden. Auch von Versicherungsverträgen. MMag. Stefan Untereg-
senmäher, Smart Homes, österreichische Firmen wur- Ein großes Versiche- ger, ÖNB, berichtete über
Transport und Logistik. Der den Opfer von Ransomware- rungsunternehmen wollte den Digital Operational Re-
Markt für Cybercrime, der Attacken. Sie finden sich, den Schaden, der bei einem silience Act (DORA), der in
2015 noch bei 600 Millionen gleichsam als Referenz für Kunden durch die Ransom- Weiterentwicklung der NIS-
US-Dollar (USD) gelegen gelungene Angriffe, im ware NotPetya angerichtet RL auf EU-Ebene Vorschrif-
ist, wird für 2021 auf 2,5 Darknet aufgelistet. Die Lö- wurde, nicht bezahlen, weil ten zur digitalen Betriebssta-
Billionen USD geschätzt, segeldforderungen werden der Angriff „kriegsähnlich“ bilität für Finanzinstitute
immerhin 0,8 Prozent der anhand der für ein Unterneh- gewesen sei, berichtete vorsieht und derzeit in einem
globalen Wirtschaftsleis- men voraussichtlich entste- Wolfgang Lehner von Eme- überarbeiteten Entwurf vor-
tung. Pro Monat kommen ca. henden Ausfallskosten kauf- risis (emerisis.com). Lehner liegt.
10 Millionen Schadprogram- männisch mit etwa 10 Pro- betonte die Wichtigkeit der In Zeiten, wo für Geld-
me auf den Markt, 300.000 zent davon kalkuliert. Die Kommunikation in der Kri- einlagen Negativzinsen ein-
FOTOS: KURT HICKISCH
pro Tag und etwa 42 pro Mi- Wiederherstellungskosten se, und zwar über Kanäle, gehoben werden, gewinnt
nute. Als Hoffnungsmarkt sind erheblich höher. Dazu die sicher sind und nicht für Banken das Mietfach
für Kriminelle haben sich kommen Reputationsschä- durch einen allfälligen Shit- (Depot)geschäft an Bedeu-
Angriffe auf Kryptowährun- den und die Gefahr des Wei- storm überlastet werden tung. Bankenschließfächer
gen entwickelt. terverkaufs der Daten. Auch können. Krisen erzeugen gelten zwar als sicher, doch
ÖFFENTLICHE SICHERHEIT 1-2/22 105
SYMPOSIUM SICHERHEIT
verunsichern Berichte über und Tätigkeitswechsel, Au-
großangelegte Einbrüche in genuntersuchungen und Seh-
Schließfachanlagen. Im hilfen gelten auch die Be-
Rechtsstreit um Schadener- stimmungen über Bild-
satz müssen Banken bewei- schirmarbeitsplätze.
sen, dass die Sicherungs-
maßnahmen dem aktuellen Schulungen. Patrick Türl,
Stand der Technik entspro- bei der Erste Group zustän-
chen haben. dig für Physical Security,
Eine von Olaf Kisser, Ge- und Bernhard Sindl, Sicher-
schäftsführer von Safecor heitsbeauftragter, berichteten
GmbH (safecor.de), vorge- über ihre Erfahrungen bei
stellte Lösung besteht darin, virtuellen Sicherheitsschu-
von begehbaren Räumen mit lungen. Deren Vorteil liegt
einer Vielzahl von Schließ- in der Ortsunabhängigkeit
fächern abzugehen. Die Symposium Sicherheit: Im Foyer wurden Sicherheitsprodukte und sie lassen sich leichter
Schließfächer befinden sich und -lösungen präsentiert, etwa Videoüberwachungs-, Notruf-, organisieren. Es empfiehlt
vielmehr in einer Art Hoch- Alarmierungs- und Zutrittskontrollanlagen. sich allerdings ein Testlauf
sicherheitscontainer. Der vor dem Seminar. Kreative
Kunde erhält aus diesem Nach dem Urteil des geräte nicht ersetzt werden.“ Ansätze sind gefragt, um die
sein Schließfach über ein EuGH vom 16.7.2020, C- Filtergeräte filtern zwar Par- Aufmerksamkeit der Teil-
elektronisch gesteuertes 311/18 („Schrems II“) zum tikel einschließlich Viren aus nehmer/-innen zu erhalten.
Transportsystem in einen ge- „Privacy Shield“ der USA der Luft, haben aber höhere Dies fällt bei Präsenzveran-
sicherten Raum geliefert, ist eine zusätzliche Prüfung Schallemissionen. UV-C- staltungen leichter, die, wie
führt dort seine Manipulatio- der ausländischen Rechts- Technik inaktiviert Viren, betont wurde, durch virtuelle
nen durch und schickt das ordnung erforderlich, ob das die Geräte sind leiser, doch Schulungen nicht ersetzt
Schließfach wieder zurück. Drittland ein der EU ver- muss sichergestellt sein, dass werden können. Interessant
Bankräume und Depot müs- gleichbares, angemessenes kein Ozon erzeugt wird. Ei- war, wie der bisherige Lehr-
sen nicht mehr in unmittel- Datenschutzniveau aufweist. ne Luftbehandlung mit Ozon film „Bankraub Training“ in
barer räumlicher Verbindung Sollte das nicht der Fall sein, ist, wie überhaupt eine Ein- Virtual Reality umgesetzt
stehen. Der Container selbst ist nach der Empfehlung des bringung von Chemikalien wurde. Die durch Einsatz ei-
benötigt wesentlich weniger Europäischen Datensicher- in die Atemluft am Arbeits- nes Avatars ohnehin schon
Platz als begehbare Anlagen heitsrates (EDPB) 01/2020 platz, nicht zulässig. reduzierte Realitätsnähe der
und kann demgemäß mit vom 18.6.2020 zu prüfen, Hofrat Ing. Mag. Leopold Darstellung musste gegenü-
weniger Geld besser baulich durch welche ergänzenden Schuster, Leiter des Arbeits- ber den Gefahren einer Trau-
abgesichert werden. Maßnahmen (supplementary inspektorates Wien-West- matisierung abgewogen wer-
measures) technischer, orga- Ost, erläuterte die am 1. den.
Datenschutz. „Bei Daten nisatorischer oder vertragli- April 2021 in Kraft getrete-
aus dem Bereich der cher Art ein Ausgleich ge- nen Bestimmungen des „Ho- Ausstellung. Im Foyer
DSGVO reist diese mit“, zi- schaffen werden kann. Tech- me-Office-Gesetzes“, BGBl außerhalb des Veranstal-
tierte Dr. Gregor König, Ers- nische Maßnahmen wären I 61/2021. Regelmäßige Ar- tungsraumes wurden Sicher-
te Group Data Protection etwa Verschlüsselung der beitsleistungen in der Woh- heitsprodukte und -lösungen
Officer, den EU-Justizkom- Daten; organisatorisch käme nung sind zwischen Arbeit- präsentiert, etwa Videoüber-
missar Didier Reynders. eine Datenreduktion in Be- geber und -nehmer schrift- wachungs-, Notruf-, Alar-
Keine Rechtsprobleme gibt tracht. Seit Juni 2021 gibt es lich zu vereinbaren. Der Ar- mierungs- und Zutrittskon-
es bei der Übermittlung von neue Standard-Vertragsklau- beitgeber hat digitale Ar- trollanlagen. Die Fa. Cennox
Daten in die EU-Mitglied- seln. beitsmittel bereitzustellen (cennox.com) stellte Kasset-
staaten, in Mitgliedstaaten oder trägt, allenfalls pau- ten für Banknoten vor, die
des EWR (Island, Norwe- Arbeitnehmerschutz – Co- schaliert, die – angemesse- diese im Alarmfall dauerhaft
gen, Liechtenstein) und vid-19. „Eine möglichst ho- nen und notwendigen – Kos- einfärben und dadurch für
Staaten mit einem „Ange- he Frischluftzufuhr ist eine ten. Unfälle im „Home Offi- den Täter wertlos machen.
messenheitsbeschluss“ der der wirksamsten Methoden, ce“ gelten, bei zeitlichem Dallmeier (dallmeier.com)
EU-Kommission (Kanada, potenziell virushaltige Aero- und ursächlichem Zusam- präsentierte das Videoüber-
Argentinien, Uruguay, Ja- sole aus Innenräumen zu menhang, als Arbeitsunfälle. wachungssystem Panomera
pan, Neuseeland, Israel, entfernen“, stellte Mag. In- Das ASchG gilt, soweit an- mit Analysefunktionen wie
Schweiz, Andorra, Kanal- grid Luttenberger, Sicher- wendbar, uneingeschränkt, Objekterkennung und -ver-
und Färöer-Inseln). Für den heitstechnisches Zentrum vor allem die Arbeitsplatze- folgung oder der Möglich-
„Rest der Erde“ hat man sich Erste Group, fest. „Ausrei- valuierung. Der Ort der Ar- keit, Personen oder abge-
FOTO: KURT HICKISCH
mit Standardvertragsklau- chendes Lüften durch Öff- beitsverrichtung (Privatwoh- stellte Fahrzeuge (Park-
seln beholfen insofern, dass nen der Fenster oder raum- nung) gilt als auswärtige Ar- platzmanagement) nume-
sich der Verarbeiter der lufttechnische Anlagen kann beitsstelle. Mit Ausnahme risch zu erfassen.
DSGVO unterwirft. durch Raumluftreinigungs- der Regelungen über Pausen Kurt Hickisch
106 ÖFFENTLICHE SICHERHEIT 1-2/22
Sie können auch lesen
