Ein Netzwerk im Kampf gegen die Netzwerke
Der Kärntner Philipp Amann ist Chef der CybercrimeStrategieabteilung von Europol in Den Haag. Cyberattacken betreffen auch kleinere Firmen, sagt er: Die Frage sei nicht ob, sondern wann.
Bei einer „Cyber-Konferenz“in Brüssel hat NationalbankGouverneur Ewald Nowotny gemeint, die Zeiten der Bankräuber seien vorbei, stattdessen nehmen die Hacker-Angriffe rapide zu. Teilen Sie diese Wahrnehmung?
PHILIPP AMANN: Ich kenne keine genauen Statistiken, aber da Banken ihre Dienste zunehmend digitalisieren, würde ich diese Ansicht teilen. Es entstehen eine breite Angriffsfläche und viele Angriffsvektoren. Das ergibt eine asymmetrische Risikosituation, wo mit geringem Aufwand und Risiko hohe kriminelle Gewinne möglich sind.
Sie leiten die Strategieabteilung des European Cybercrime Centers von Europol. Von welchen Szenarien gehen Sie aus? Das EC3 als Teil der Europol unterstützt die Mitgliedstaaten bei ihren Ermittlungen. Meine Abteilung hat Aufgaben wie die Analyse und Bewertung von Trends und Bedrohungen im Bereich der Cyberkriminalität. Wir legen aber auch einen großen Schwerpunkt auf die Prävention und Bewusstseinsbildung mit der Erstellung von Kampagnen, die wir meist in Kooperation mit Partnern aus der Industrie oder dem Finanzsektor umsetzen. Ein Beispiel ist unsere NoMoreRansom Ini- tiative (www.nomoreransom.org), über die wir konkrete Hilfe an Opfer von Erpressungsschadsoftware anbieten. Das Ziel ist dabei, den „Cyberspace“als einen sicheren Raum für uns alle zu gestalten. Cyberkriminalität wird weiter wachsen und an Professionalität gewinnen. Hier versuchen wir auch konkret entgegenzuwirken, wie mit der Schließung von Untergrundmärkten wie AlphaBay und Hansa letztes Jahr.
Staatssekretärin Karoline Edtstadler hat als Vertreterin des österreichischen Ratsvorsitzes betont, man wolle ein Gesetzespaket gegen Cyberkriminalität noch heuer durchbringen. Was sollte in so einem Paket enthalten sein? Prävention und Bewusstseinsbildung. Ich würde auch öffentlich-private Partnerschaften als essenziell ansehen. Es braucht ein Netzwerk zur Bekämpfung eines Netzwerks.
Laut Edtstadler sind 80 Prozent der Firmen betroffen. Die Frage ist, was man als Cyberattacke definiert. Sobald Sie online gehen, werden Sie sich schnell „Attacken“ausgesetzt sehen. Wir alle bekommen Phishing-E-Mails. Wenn man das schon als Attacke definiert, dann ist der Prozentsatz sogar höher. Glücklicherweise können viele dieser Attacken mit einfachen Mitteln wie einer guten Antivirussoftware, Firewalls usw. abgefangen werden.
Oft sind gerade die Klein- und Mittelbetriebe betroffen, aber nicht ausreichend vorbereitet. Ich würde es auch so sehen, dass KMU oft nicht das notwendige Bewusstsein und/oder die notwendigen Ressourcen haben. Hier gilt es, die Ressourcen und das Know-how bereitzustellen. Schulungen zur Prävention und Bewusstseinsbildung können gut helfen.
Welche Branchen sind besonders betroffen? ist ja primär finanziell motiviert, das heißt, überall dort, wo „das Geld ist“, werden auch die Ziele zu finden sein. Also im Finanzbereich oder auch im E-Commerce-Bereich. Wir sehen große Schäden beim Kreditkartenbetrug. Die Wahrheit ist aber, dass wir alle Opfer von Attacken werden können. Ich denke hier an Erpressungsschadsoftware. „Kleinheit“oder eine vermeintliche Unwichtigkeit eigener Daten schützt hier nicht.
Gibt es dazu konkrete Zahlen? Nicht wirklich, das Problem ist neben der Bewertung (wie bewertet man finanziell den Reputationsverlust eines Unternehmens nach einem erfolgreichen Angriff) ein generelles Underreporting.
Was können Unternehmen tun, um vorbereitet zu sein? Hier gilt es, das Bewusstsein zu schaffen, dass Cybersicherheit ein Thema ist, das alle Personen eines Unternehmens umCyberkriminalität fasst und alle Prozesse betrifft. Mitarbeiterschulung, Grundmaßnahmen (AV-Software, Firewalls, Software auf dem letzten Stand halten etc.), Monitoring, das Testen der eigenen Systeme auf Schwachstellen. Man muss sich auch darauf einstellen, dass es nicht eine Frage des Ob, sondern des Wann ist. Dazu gehört als wichtiger Punkt auch das Melden an die Behörden, auch in Hinblick auf die rechtlichen und regulatorischen Verpflichtungen.
Wird die Geschäftsabwicklung in Zukunft immer komplizierter (Stichwort: Passwortflut)? Ich habe hier eine positive Sicht und denke, dass wir die Herausforderungen meistern werden.
Gouverneur Nowotny meint, man werde am realen Geld festhalten und nicht alles ins Netz verlagern. Wie halten Sie es denn selbst – sind Sie Online-Kunde? Ich denke auch, dass wir noch länger reales Geld verwenden werden. In manchen Ländern außerhalb der EU sind aber mobile Zahlungsmittel viel populärerer. Ich sehe bei meinem Zahlverhalten in den Niederlanden im Vergleich zu Österreich schon einen Unterschied. Ich würde trotzdem eine Tendenz in Richtung virtueller Zahlungsmittel sehen. Und natürlich wird es auch neue Formen von Bezahlungsmöglichkeiten und -technologien geben.