„Die wichtigste Firewall ist und bleibt der Mensch“
Pharmaceutical Tribune sprach mit Ing. Joseph M. Riedinger, Leiter der Cybercrime Unit im LKA Niederösterreich, über die Vernunft als besten Wegbegleiter im Internet.
Herr Ing. Riedinger, Sie sind Leiter der Cybercrime-Abteilung des Landeskriminalamtes Niederösterreich. Was sind die häufigsten Themen, mit denen Sie in puncto Cybercrime in den vergangenen Jahren konfrontiert waren?
Das unterliegt einer gewissen Fluktuation. Mal ist es das Thema Ransomware, also ein Trojaner, der in ein Computersystem eindringt und dort Daten verschlüsselt. Um diese Daten zu entschlüsseln, wird den Opfern Geld abgepresst. Dann wieder tauchen vermehrt Anrufe von angeblichen Technikern bei Microsoft auf, die ihren Opfern ein Programm zur Fernkontrolle einreden. Installiert dies ein User tatsächlich, schleusen die Täter Schadsoftware ein, der User verliert die Kontrolle über seinen PC und wird zur Kasse gebeten. Auch DDoS (Distributed Denial of Service)-Attacken, mit denen die Webseiten bzw. Server von Unternehmen lahmgelegt werden, kommen immer wieder vor.
Der CEO-Fraud, der vor einigen Jahren dem oberösterreichischen Unternehmen FACC einen Millionenschaden beschert hat, gehört zu den spektakulärsten Cyber-Verbrechen. Wie kann sich ein Unternehmen davor schützen, auf solche „gefakten“ E-Mails hereinzufallen?
Der wirksamste Schutz ist sicher das Vier-Augen-Prinzip. Wenn ein Mitarbeiter oder eine Mitarbeiterin eine solche Anweisung zur Zahlung eines Betrages auf ein bestimmtes Konto per E-Mail bekommt, reicht oft schon eine Anfrage in der Buchhaltung, um die Fälschung zu enttarnen. Natürlich ist es auch eine Frage der Organisation. Hierarchien sollten so schlank sein, dass sie Gegenchecks erlauben, auch wenn die Anweisung allem Anschein nach aus der obersten Chef-etage kommt. Am besten man legt im Vorhinein ein klares Procedere fest, wie im Fall von Anweisungen per E-Mail vorzugehen ist.
Gab es weitere solcher Attacken in Österreich?
Es gab und gibt immer wieder welche.
Wie können sich Unternehmen bzw. auch die Menschen sonst noch schützen?
Das Wichtigste sind sicher gute Passwörter, die man immer wieder ändern sollte. Besonders wichtig ist aber auch ein vorsichtiger Umgang mit den eigenen Daten. Man sollte sich schon überlegen, was man über sich und andere ins Netz stellt bzw. in den sozialen Medien preisgibt. Bei der Veröffentlichung von Bildern von anderen Menschen sollte man nicht vergessen, dass man da möglicherweise das Prinzip des Rechtes auf das eigene Bild verletzt. Um es salopp formuliert zusammenzufassen: Die beste Firewall ist die zwischen den Ohren. Also zuerst (nach)denken und dann handeln.
Da gibt es die berühmte Geschichte von Personen, die auf Facebook Bilder aus ihrem Urlaub gepostet haben und dann von Einbrechern heimgesucht wurden?
Ja, die Geschichte gibt es, es waren aber bei weitem nicht so viele Fälle, wie mancherorts behauptet wurde. Prinzipiell muss man natürlich das überbordende Bedürfnis, alle möglichen Infos über sich im Internet bzw. sozialen Medien preiszugeben, hinterfragen. Etwas mehr Vorsicht ist auf jeden Fall angebracht.
Das gilt auch beim Thema Mobbing etwa von Jugendlichen oder Kindern in sozialen Medien. Was kann man da tun?
Man kann natürlich den oder die Mobber auf der eigenen Facebook-Seite blockieren, aber das sind in Wahrheit nur „Hilfskrücken“. Wichtig ist vor allem, dass die Eltern sensibilisiert sind. Mobbing passiert ja nicht erst im Internet, meist gibt es schon vorher Anzeichen. Das berühmte Beispiel vom Burschen, der in der Schule immer als Allerletzter in die Völkerballmannschaft aufgenommen wird, kennt wohl so ziemlich jeder aus unserer Generation. Auch andere Dinge, ja auch Gewalt, passieren meist bereits im Vorfeld. Bemerkt man Mobbing, sollte man sich auf alle Fälle an entsprechende Einrichtungen, die einem weiterhelfen können, wenden.
Was sollte man tun, wenn man ein Erpressermail – mitunter auch von der eigenen E-Mail-Adresse – erhält?
Zuerst einmal nachdenken und einschätzen, wie real die Bedrohung tatsächlich ist. Viele dieser Erpressungsversuche werden massenhaft verschickt und haben oft keinen realen Hintergrund. Wenn etwa gedroht wird, dass man z.B. Bilder in Frauenkleidern veröffentlichen werde, um mich beruflich oder privat zu kompromittieren, ich mir als Betroffener aber sicher bin, dass solche Bilder nicht existieren, kann ich das E-Mail getrost löschen. Hat die Erpressung aber einen realen Hintergrund, so sollte man sofort Anzeige erstatten.
Haben die Anzeigen zum Thema Cybercrime in den letzten Jahren zugenommen?
Die Anzeigen selbst sind nicht explodiert, wie man vielleicht vermuten könnte. Die echten Erpressungen sind nicht mehr geworden.
Was würden Sie Unternehmen, auch größeren, in puncto IT und Sicherheit raten?
Einerseits ist es wichtig, alle Mitarbeiterinnen und Mitarbeiter in diesem Bereich zu sensibilisieren. Man muss die Menschen dazu bringen, dass sie von selbst draufkommen, dass es nicht unbedingt die beste Idee ist, den USB-Stick von zu Hause beim Firmenrechner anzustecken. Glauben Sie mir, Unternehmen sind in puncto Cybercrime sehr, sehr gefährdet. Es ist also besonders wichtig, dass man seine Mitarbeiter schult. Die wichtigste Firewall ist und bleibt der Mensch.
Das gilt auch für die Mitarbeiter in den IT-Abteilungen der Unternehmen. Die sind bestens ausgebildet, stehen aber oft unter einem solchen Produktionsdruck, dass mitunter das Thema Sicherheit zu kurz kommt. Eine der besten Investitionen in das Thema IT-Sicherheit kann mitunter sein, den Produktionsdruck aus anderen Bereichen herunterzufahren, um den Mitarbeitern mehr Raum in puncto Sicherheitsvorkehrungen zu geben. Angesichts der Bedrohungen, die es gab und gibt, ist es für Unternehmen besonders wichtig, in das Thema IT-Sicherheit zu investieren.