Krisen und Cybercrime - Wien
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SYMPOSIUM SICHERHEIT 2022
Produktpräsentation beim Symposium Sicherheit in Wien: Offline-Schlösser und handliche Satellitentelefone
Krisen und Cybercrime
Krisenbewältigung und Cybercrime waren die Hauptthemen des 28. Symposiums Sicherheit
der Erste Group am 11. und 12. Oktober 2022 in Wien.
icherheitsverantwortliche von über mobile Ausgabestellen erfolgen. nagement zu planen, einzurichten, auf-
S Geldinstituten und aus deren Um-
feld kamen am 11. und 12. Okto-
ber 2022 im Erste-Campus in Wien
Sollte das Telekommunikationsnetz zu-
sammenbrechen, könnte auf Satelliten-
telefonie zurückgegriffen werden.
rechtzuerhalten, zu ü berprü fen und
stä ndig zu verbessern. Das Thema Kri-
senmanagement wird darin umfassend
zum 28. Symposium Sicherheit der Ers- geregelt und wird für Organisationen al-
te Group zusammen. In 13 Vorträgen Krisenmanagement – BCM. „Kata- ler Größenordnungen anwendbar sein.
wurden Fragen des Notfalls- und Kri- strophen sind normal; Risiko gehört Die Norm ist strategisch ausgerichtet;
senmanagements, der Business Conti- zum Leben“, postulierte FH-Prof. DI zwischen Krisen- und Ereignismanage-
nuity, der physischen und Informations- Dr. Martin Langer, FH Campus Wien. ment wird klar unterschieden.
sicherheit, des Daten- und des Arbeit- Am sichersten kommt man zur nächsten Dem klassischen BCM stellte Marco
nehmerschutzes erörtert mit dem Ziel, Katastrophe, wenn man Systeme für si- Felsberger, Resilience Engineers
Entwicklungen aufzuzeigen und Hand- cher erklärt, niemanden von Mängeln GmbH, die Adaptive Business Continui-
lungsempfehlungen herauszuarbeiten. informiert, bagatellisiert, vertuscht, ty gegenüber. Das System bewegt sich
Schuldige sucht und bestraft, aber im Bereich zwischen Komplexität (Vor-
Krise. „Nicht alles, was man gemein- nichts ändert. Frei nach Murphy: Wenn hersagen sind noch möglich) und Chaos
hin als Krise bezeichnet, ist auch eine“, eine Möglichkeit zur Katastrophe führt, mit dem Ziel einer kontinuierlichen
rückte Ing. Karl Weißl, Erste Group, wird diese auch eintreten. Fortführung der Geschäftstätigkeit nach
Begriffe zurecht. Eine Krise kommt un- Nach der High-Reliability-Organiza- einer unerwarteten Nichtverfügbarkeit
erwartet und ist etwas, das man vorher tion-Theorie (HRO) sei es möglich, von Personen, Gebäuden und Ressour-
nicht gehabt hat und das mit dem her- durch Planung und Antizipation das Un- cen.
kömmlichen Instrumentarium nicht be- erwartete zu managen. Wenn dieses Un- Einen Einblick in praktisch gelebtes
wältigt werden kann. Wenn die Dinge erwartete sprachlich erfasst und benannt Krisenmanagement gaben Eva-Maria
nicht mehr im eigenen Einflussbereich werden kann, kommt man auch zur Pro- Altmann, MSc, und Florian Polt, MA,
liegen, wächst sich die Krise zur Kata- blemlösung (Rumpelstilzchen-Effekt). von der Uniqa-Versicherung. Das Un-
strophe aus. Auszugehen sei davon, „das Schlechtes- ternehmen war mit Personal und Ver-
Ein Blackout (weitreichender, über- te zu planen, aber das Beste zu hoffen“. mögenswerten in der Ukraine vertreten
regionaler Stromausfall) wäre ein sol- Dr. Klaus Bockslaff von der Verismo und vom Kriegsausbruch am 24. Febru-
cher Fall, wobei eine bloße Stromman- GmbH (verismo.ch) bezeichnete den ar 2022 betroffen. Bemerkenswert war
gellage (Stromausfall für 24 bis 36 BSI-Standard 200-4 als praxisnahe An- dabei, dass diesbezügliche Anzeichen
Stunden, unterbrochen von gelegentli- leitung, um ein Business-Continuity- wie Räumung von Botschaften, schon
chen Aufschaltungen) noch nicht unter Management-System (BCM) in der ei- einen Monat vorher zu erkennen waren,
diesen Begriff fällt. Unternehmen wer- genen Institution zu etablieren. In den was unternehmensintern zu ersten Maß-
den sich im Katastrophenfall auf ihre nächsten Monaten ist mit der Publizie- nahmen und einer gesamthaften Risiko-
FOTOS: KURT HICKISCH
vitalen Funktionen zurückziehen müs- rung der ISO FDIS 22361 zu rechnen. analyse geführt hat. Bereits am 3. Feb-
sen; Banken beispielsweise auf die Auf- Diese internationale Norm enthä lt Leit- ruar wurden auf allen Ebenen Präventi-
rechterhaltung des Zahlungsverkehrs linien fü r das Krisenmanagement, die onsmaßnahmen umgesetzt. Bei Kriegs-
(Daueraufträge, Einzüge) und die Bar- Organisationen dabei helfen sollen, ihre ausbruch wurde das Krisenteam akti-
geldversorgung. Diese könnte allenfalls Fä higkeit zum strategischen Krisenma- viert, das in weiterer Folge, aufgeteilt in
ÖFFENTLICHE SICHERHEIT 1-2/23 91
SYMPOSIUM SICHERHEIT 2022
die Bereiche IT, Finanz und Mitarbei- Chefs gleicht oder ähnlich sieht, über-
ter/-innen-Schutz und -fürsorge, die ent- weisungsbefugte Mitarbeiter kontaktie-
sprechenden Maßnahmen getroffen und ren. In der E-Mail wird der dringliche
innerhalb von zwei Monaten abge- Transfer eines Geldbetrags auf auslän-
schlossen hatte. dische Konten, meist in China oder
Hong Kong, gefordert. Um dem CEO-
Schutz KRITIS. Ministerialrat Jürgen Fraud vorzubeugen, empfiehlt es sich,
Dachauer, MA, Direktion für Staats- mit dem Chef, dessen Abwesenheit von
schutz und Nachrichtendienst, erläuterte den Tätern ausgenützt wird, ein Code-
die Maßnahmen, die vom BMI zum wort zu vereinbaren, um sicher zu ge-
Schutz von Unternehmen der kritischen hen, dass die angeblich so dringende
Infrastruktur getroffen werden. Zurück- Geldüberweisung tatsächlich von ihm
gehend auf die RL 2008/114/EG des ausgeht.
Rates, wurde von der Bundesregierung Im Internet sollten keine intimen De-
das Programm zum Schutz kritischer In- tails preisgeben werden. Sextortion ist
frastrukturen (Masterplan APCIP 2014) eine Form der Erpressung, bei der der
beschlossen, der in 12 Sektoren etwa Täter den Opfern mit der Veröffentli-
400 Unternehmen der kritischen Infra- chung von Nacktfotos oder -videos des
struktur umfasst. Für diese Unterneh- Opfers droht, wenn sie nicht eine be-
men wurde unter anderem ein Früh- stimmte Summe zahlen. Sollte man den
warnsystem eingerichtet. In Kürze wird Referenten beim Symposium Sicher- Verdacht haben, dass Schadsoftware auf
allerdings die zum Zeitpunkt des Refe- heit: Philipp Mattes-Draxler, Marco das Gerät geladen wird: Netzstecker
rats bereits in der finalen Fassung vor- Felsberger, Karl Weißl, Teresa Allum ziehen bzw. beim Handy den Flugmo-
liegende RL des Europäischen Parla- dus aktivieren, damit die Verbindung
ments und des Rates über die Resilienz tätigt. Das Geld oder entsprechende unterbrochen wird.
kritischer Einrichtungen (RKL-RL) in Vermögenswerte würden abgeholt. In Warum die Täter so großen Druck
Kraft treten, die dann innerhalb von 21 einem Fall mit einer Schadenssumme auf die telefonisch kontaktierten Opfer
Monaten umzusetzen sein wird. Die von 200.000 Euro wurde wegen Infekti- ausüben, erklärte Teresa Allum, MSc,
Mitgliedstaaten werden verpflichtet, onsgefahr verlangt, das Geld in einer VASBÖ, psychologisch damit, dass ih-
Maßnahmen zu ergreifen, die für die Schachtel vor die Haustür zu stellen, nen nicht Zeit gegeben werden soll
Aufrechterhaltung essenzieller gesell- von wo es abgeholt wurde. Mitunter nachzudenken. Im Denken des Opfers
schaftlicher Funktionen oder wirtschaft- werden die Opfer mit einem bestellten sollen Automatismen ablaufen, wie et-
licher Tätigkeiten wesentlich sind. In Taxi zur Bank gefahren, wobei die Tä- wa beim Autofahren, wo auch nicht je-
Hinkunft werden mehrere 1.000 Unter- ter bestrebt sind, den telefonischen der Handgriff überlegt wird.
nehmen in 11 Sektoren erfasst sein. Kontakt zum Opfer nicht abreißen zu
lassen. Das hinter diesen Aktionen ste- Cyber-Kriminalität. Als die beiden
Eigentumskriminalität. „Wenn ältere hende Mastermind ist laut den Beamten größten Player im Geschäft mit Ran-
Herrschaften, die üblicherweise Beträge namentlich bekannt, jedoch für die somware, die den Markt großteils be-
um die 1.000 Euro abheben, plötzlich österreichische Justiz nicht greifbar. herrschen, bezeichnete Philipp Mattes-
hohe Geldbeträge abheben oder das Draxler, PwC Austria, die Organisatio-
Schließfach leerräumen wollen, könnten Die Schadensfälle durch Cybercrime nen Conti und Lockbit. Die Vorgehens-
sie Opfer von Kautionsbetrügern ge- in Österreich steigen stetig an. 2020 weise auch von anderen kriminellen
worden sein“, machten Jörg Kohlhofer wurden 35.915 Fälle in der Statistik er- Mitbewerbern ist gleich: Automatisiert
und Josef Janisch von der Landespoli- fasst. In vielen Fällen reicht es, den werden Schwachstellen im IT-System
zeidirektion Wien auf ein von den Scha- Hausverstand einzusetzen und sich zu von Unternehmen aufgespürt – und
denssummen her massives Problem auf- fragen, warum gerade ich kontaktiert dann geschieht nach außen hin vorerst
merksam. Bankangestellte sollten in werde. Keine Finanzdaten preisgeben. nichts. Intern aber wird Schritt für
solchen Fällen nachfragen, ob etwas Sichere Passwörter sollten 20 Zeichen Schritt das System übernommen, die
passiert sei, dadurch ins Gespräch mit umfassen, die aus den Anfangsbuchsta- Organisation zu verstehen gelernt und
den potenziellen Opfern kommen und ben der Worte eines Merksatzes gebil- es werden Firmendaten ausgespäht.
die Polizei verständigen. Die Täter wäh- det werden können. Aus einem „i“ Kommt es zum Impact, dass die Daten
len aus dem Telefonbuch Personen aus, könnte dabei eine „1“ werden. Die letz- verschlüsselt werden und die Lösegeld-
deren Vornamen auf ein höheres Alter ten Buchstaben könnten, so der Rat der forderung gestellt wird, wissen die An-
schließen lassen. Der Anrufer gibt sich Experten, den Bereich bezeichnen, für greifer über die Finanzlage Bescheid,
als Polizist aus, der von der Festnahme den das Passwort verwendet wird, also passen ihre Forderung dementsprechend
eines nahen Angehörigen wegen einer etwa .finanz, .büro, .privat. In öffentli- an und kalkulieren, inwieweit sie allen-
Straftat berichtet, wobei eine weitere chen WLANs sollten keine sensiblen falls unter bestimmten Bedingungen
FOTOS: KURT HICKISCH
Haft durch die Stellung einer Kaution in Daten versendet und sollte auf Online- noch Rabatt einräumen können. Wird
fünfstelliger Höhe vermieden werden banking und -shopping verzichtet wer- Lösegeld bezahlt (womit man an sich
könne. Bei einem schweren Verkehrs- den. Der CEO Fraud ist eine Betrugs- eine kriminelle Organisation unter-
unfall in Graz wurden die ersten Anrufe form, bei dem die Täter über eine mani- stützt), muss einkalkuliert werden, dass
dieser Art schon nach vier Stunden ge- pulierte E-Mail-Adresse, die der des der übermittelte Schlüssel seinerseits
92 ÖFFENTLICHE SICHERHEIT 1-2/23
Präsentation von innovativen Sicherheitsprodukten: Zutrittskontrollsystem, (Bargeld-)Wertbehältnis mit Einfärbungsfunktion
ein Programm ist, das die Daten ent- und Fachvorträgen auch das Auslagern (DORA) soll im Finanzsektor sowie im
schlüsselt. Der Zeitaufwand dafür geht des Restrisikos einer Cyber-Attacke Bereich IKT-Dienstleistungen digitale
über das Einspielen eines Backups hi- durch Versicherungslösungen an. Betriebsstabilität erreicht werden, um
naus und kann Wochen in Anspruch Cyber-Bedrohungen zu verhindern bzw.
nehmen. Die beste Vorsorge besteht im Datenregulierung. Dr. Gregor König, zu mindern. Die, insbesondere Tele-
Anlegen gesicherter Backups. Data Protection Officer der Erste kommunikationsunternehmen betreffen-
Wird kein Lösegeld bezahlt, werden Group, stellte im Entwurf befindliche de E-Privacy-Verordnung, mit Regeln
die Datenpakete im Darknet verkauft. Gesetzesinitiativen der EU vor. War für Cookies und Marketing-Mails, hätte
Ob bezahlt oder nicht, das betroffene bisher der Schutz der Persönlichkeits- bereits 2018 in Kraft treten sollen, wird
Unternehmen scheint auf jeden Fall in rechte (privacy; Beispiel DSGVO) im aber weiterhin politisch diskutiert.
einer Art Referenzliste auf, die eingese- Vordergrund, ist nunmehr die Digitali- Unter dem Titel „Der ganz normale
hen werden kann. sierung selbst Gegenstand der Regulie- Wahnsinn“ stellte die Arbeitspsycholo-
Ransomware wird auch als Service rungsbestrebungen. Seit dem Referat gin Mag. Dr. Elisabeth Ponocny-Seliger
angeboten (RaaS) und kann gemietet bereits im Amtsblatt der EU veröffent- Persönlichkeitstypen aus dem Arbeitsle-
werden, etwa, um Konkurrenten vom licht liegt der Digital Markets Act vor ben vor und zeigte auf, wie den entspre-
Markt zu drängen. Lösegeld wird auch (Verordnung EU 2022/1925, in Kraft ab chenden Eigenheiten etwa des Kriti-
verlangt, dass eine bei einem Unterneh- 1. November 2022), durch den große, schen, des Pessimisten, des Eigenwilli-
men erkannte Schwachstelle nicht ver- systemische Online-Plattformen („Gate- gen, des Spontanen, des Ehrgeizigen,
raten wird (Bug Bounty). keeper“) unter anderem verpflichtet am besten begegnet werden kann.
„Folgen Sie uns ins Internet, Ihre werden, gewerblichen Nutzern Zugriff Im Foyer waren Anbieter von Si-
Daten sind schon lange dort“, forderte auf die bei der Nutzung generierten Da- cherheitsprodukten und -dienstleistun-
der Vortragende des Netzwerks Cyber- ten zu erlauben und den Plattformen an- gen mit Ausstellungsständen vertreten.
crime Komplettschutz, die Zuhörer zu dererseits verboten wird, eigene Pro- Geräte zur Satelliten-Kommunikation
einem Live-Einstieg ins Darknet auf der dukte in der Reihung zu bevorzugen. stellte Satellite Telecom (satellite-tele-
Website der Hacker-Gang Lockbit auf. Weitere Rechtsakte liegen im Entwurf com.net) vor, Cennox (cennox.com)
Säuberlich aufgelistet fanden sich die vor, wie der Artificial Intelligence Act, Wertbehältnisse insbesondere für Bar-
zum Zeitpunkt des Aufrufs attackierten durch den die künstliche Intelligenz ge- geld. Eine Zerstörung dieser Behältnisse
Unternehmen. Rot markiert waren dabei regelt werden soll. Durch den Data Act führt zum dauerhaften Einfärben von
jene, bei denen der Countdown noch im werden die Hersteller von IoT-Produk- Banknoten. Das Unternehmen safe-
Laufen war; grün hingegen jene, die der ten verpflichtet, generierte Daten den REACH (safereach.com) bietet Alar-
Lösegeldzahlung nicht nachgekommen Nutzern zur Verfügung zu stellen. Sehr mierungslösungen an. Offline-Schließ-
und deren Daten zum Verkauf freigege- große Online-Plattformen werden durch zylinder von Datasec (datasec-electro-
ben sind. Als Folgen einer Ransomwa- den Digital Services Act verpflichtet, nic. com) entsprechen dem hersteller-
re-Attacke bezeichnete der Vortragende mit den nationalen Behörden zusam- übergreifenden Datenübertragungsstan-
Datendiebstahl, Betriebsunterbrechung, menzuarbeiten. Die European Digital dard OSS, an dessen Entwicklung das
Imageschaden, Haftpflichtansprüche, Identity soll einen EU-weiten elektroni- Unternehmen maßgeblich beteiligt war
FOTOS: KURT HICKISCH
zivilrechtliche Sammelklagen und nach schen Identitätsnachweis ermöglichen und dem sich mittlerweile 83 Hersteller
der DSGVO zu treffende Maßnahmen und die EU-IDAS-Verordnung vertrau- angeschlossen haben.
bzw. Folgen. Das auch als Aussteller im enswürdige elektronische Identitätslö- Das nächste Symposium Sicherheit
Foyer vertretene Unternehmen, ein sungen EU-weit sicherstellen. Durch wird am 10. und 11. Oktober 2023 statt-
Start-up, bietet neben IT-Leistungen den Digital Operations Resilience Act finden. Kurt Hickisch
ÖFFENTLICHE SICHERHEIT 1-2/23 93
Sie können auch lesen
