Experten kritisieren mangelnde Sicherheit bei heimischen Unternehmen. Der Schaden für Österreich wird auf sechs Millionen Euro jährlich geschätzt. Angreifer agieren immer professioneller.
Es steht schlecht um die IT-Sicherheit in Österreich. Zu dieser Bilanz kommt Robert Schischka, Leiter des Computer Emergency Response Team (CERT.at). Bei einer Presseveranstaltung konstatierte er teilweise "erschreckende Wurschtigkeit" bei den heimischen Unternehmen. "Wir haben Stammkunden, die alle paar Wochen kommen, weil sie immer wieder das Backup mit der Schwachstelle einspielen", berichtete er. Der jährliche Schaden, der auf Internetkriminalität zurückzuführen ist, beläuft sich laut CERT alleine in Österreich auf rund sechs Millionen Euro jährlich – der gesamte weltweite Schaden wird gar auf rund 750 Milliarden Euro geschätzt.
CERT, das sich als eine Art Internet-Feuerwehr versteht, wird nicht selbst aktiv, sondern vermittelt die "Patienten" an Profis, die sich um die eigentliche Problemlösung kümmern. Und "Krankheiten" kann man sich online mehr als genug einfangen: "Phishing feiert noch immer fröhliche Urstände", sagte Schischka. Ein hoher Prozentsatz ist hier nach wie vor mail-basiert und hat dennoch eine hohe Erfolgsquote.
DiePresse.com-Tipps für mehr Sicherheit >>>
Social Media als Einfallstor
Die Kriminellen werden immer professioneller, gehen nicht unbedingt gleich auf die Zugangsdaten von Finanzdienstleistungen los, sondern wählen den Umweg über Social Media. Die Opfer hätten dann mehr Vertrauen, wenn sie von Facebook-"Freunden" angeschrieben werden. "Der Informationsstand der Angreifer ist Dank dieser Möglichkeit zur Hintergrundrecherche ein ganz anderer als noch vor einigen Jahren", betonte der CERT-Leiter.
Bei Malware wiederum werden die Täter zunehmend professioneller - und bei Opfern, bei denen es sich lohnt, wird auch mal telefonisch kontaktiert. So hat ein vermeintlicher Microsoft-Supportmitarbeiter bei Klein- und Mittelunternehmen angerufen, vor einem vermeintlichen Virenbefall berichtet und zur Installation eines Antivirenprogramms überredet, die in Wirklichkeit Schadsoftware war. "Unser Rat ist: Legen Sie eine gesunde Portion Skepsis an den Tag", sagte Schischka.
Erpressungsversuche
Beim Schließen von Sicherheitslücken, etwa bei Java, seien viele unglaublich schleißig. Und auch der sogenannte Polizeitrojaner, egal ob in der primitiven Form oder bei jener, die etwa die Vorwürfe (Urheberrechtsverletzungen, Kinderpornografie, etc.) nach dem Surfverhalten des Opfers richtet, ist immer noch erfolgreich. Allerdings kennen die Experten kaum jemanden, dessen Festplatte nach Bezahlung des verlangten "Lösegeldes" wieder decodiert wurde. Manche sind gar nicht verschlüsselt - andere hingegen nicht mehr zu retten. "Das einzige, das hilft, sind regelmäßige Backups", empfiehlt Schischka. Und auch Daten im Netz seien nicht unbedingt sicher. "Angriffe auf die Cloud sind der nächste logische Schritt."
Roland Ledinger, Leiter des Government Computer Emergency Response Team (GovCERT.gv.at), das für den Behördenbereich zuständig ist, wünscht sich eine Meldepflicht für IT-Angriffe gegen wichtige Infrastruktureinrichtungen wie Wasser und Energie, aber auch für den Finanzsektor. "So haben wir eine Chance, ein Lagebild zu bekommen und andere zu warnen." Allerdings sei es mit einer reinen Verpflichtung nicht getan: Vielmehr müsse man bei den Unternehmen Vertrauen schaffen, sie vor Bloßstellungen schützen und davon überzeugen, dass sie von einem derartigen schnellen Informationsaustausch und Frühwarnsystem letztendlich auch profitieren würden.
(APA)
