Bei einer „Cyber-Konferenz“ in Brüssel hat Nationalbank-Gouverneur Ewald Nowotny gemeint, die Zeiten der Bankräuber seien vorbei, stattdessen nehmen die Hacker-Angriffe rapide zu. Teilen Sie diese Wahrnehmung?
Philipp Amann: Ich kenne zwar keine genauen Statistiken aber angesichts der Tatsache, dass Banken ihre Angebote und Dienste zunehmend digitalisieren, würde ich diese Ansicht teilen. Es entsteht eine sehr breite Angriffsfläche und viele Angriffsvektoren. Das ergibt eine asymmetrische Risikosituation, wo mit relativ geringem Aufwand und Risiko hohe kriminelle Gewinne möglich sind.
Sie leiten die Strategie-Abteilung des European Cybercrime Centers von Europol. Welche Schwerpunkte gibt es? Von welchen Szenarien gehen Sie aus?
Das EC3 als Teil der Europol unterstützt die Mitgliedstaaten bei ihren Ermittlungen. Meine Abteilung hat dabei viele Aufgaben wie die Analyse und Bewertung von jetzigen und zukünftigen Trends und Bedrohungen im Bereich der Cyberkriminalität. Wir legen aber auch einen großen Schwerpunkt auf die Prävention und Bewusstseinsbildung mit der Erstellung von hochqualitativen und mehrsprachigen Kampagnen, die wir meist in Kooperation mit Partnern aus der Industrie oder dem Finanzsektor umsetzen. Ein gutes Beispiel ist hier unsere NoMoreRansom Initiative (http://nomoreransom.org/) über die wir konkrete Hilfe an Opfer von Erpressungsschadsoftware anbieten. Und darüber hinaus arbeiten wir mit etlichen Arbeitsgruppen wie zB mit Industrie- und Bankenvertretern und Vertretern aus der Wissenschaft zusammen. Das Ziel ist dabei, den ‚Cyberspace’ als einen sicheren Raum für uns alle zu gestalten. Konkret ist eine wichtige Aufgabe von uns die Unterstützung von unseren operativen Aktivitäten in dem wir zB Lösungen auf strategischer oder taktischer Ebene entwickeln. Ich gehe davon aus, dass wir auch in Zukunft einen umfassenden Ansatz verfolgen müssen, der neben der Unterstützung der Mitgliedstaaten in ihren Ermittlungen auch Prävention und Bewusstseinsbildung sowie die verstärkte Kooperation mit allen relevanten Partnern beinhaltet. Wir müssen gemeinsam die Cybersicherheit erhöhen und verstärken - das umfasst nicht nur technische, rechtliche und regulatorische Maßnahmen sondern muss auch den Mensch als einen, wenn Sie so wollen, Hauptschwachpunkt im Visier haben. Das mit dem Ziel, uns alle aber auch Unternehmen für die Gefahren im Cyberspace zu sensibilisieren und auch alle Vorteile und Möglichkeiten optimal nutzen zu können. Wir gehen aber davon aus, dass sich die Cyberkriminalität sowohl was den Umfang, Intensität und den wirtschaftlichen Schaden anbelangt weiter wachsen und noch weiter an Professionalität gewinnen wird. Wir sprechen hier von einer Service-basierten Untergrundindustrie, wo die notwendigen Dienste und Serviceleistungen zur Durchführung von Cyberkriminalität entgeltlich angeboten werden. Hier versuchen wir auch konkret entgegen zu wirken, wie zB mit der Schließung von Untergrundmärkten wie AlphaBay und Hansa letztes Jahr oder der Schließung von illegalen Serviceangeboten zur Durchführung von verteilten Denial of Service Attacken (Operation PowerOff).
Staatssekretärin Karoline Edtstadler hat als Vertreterin des österreichischen Ratsvorsitzes betont, man wolle ein Gesetzespaket zur Bekämpfung der Cyberkriminalität noch in diesem Jahr durchbringen. Was sollte in so einem Paket enthalten sein?
Es sollten Prävention und Bewusstseinsbildung wichtige Bestandteile sein. Des weiteren würde ich Öffentlich-Private-Partnerschaften als essenziell ansehen. Wie man so schön sagt, es braucht ein Netzwerk zur Bekämpfung eines Netzwerks. Dazu gehört auch ein verbesserter Austausch an relevanten Informationen sowie die notwendigen rechtlichen Grundlagen und notwendigen Kapazitäten und Ressourcen. Und für uns ist die Einbindung der Ermittlungsbehörden natürlich ein wichtiger Punkt.
Laut Edtstadler sind schon 80 Prozent aller Firmen von Cyberattacken betroffen.
Hier geht es natürlich zuerst einmal darum, was man als Cyberattacke definiert. Sobald Sie online gehen, werden Sie sich relativ schnell oft automatisierten ‚Attacken‘ ausgesetzt sehen. Auch bekommen wir alle relativ regelmäßig Phishing-E-Mails. Wenn man das schon als Attacke definiert, dann ist der Prozentsatz unter Umständen sogar höher. Glücklicherweise können viele dieser Attacken mit einfachen Mitteln wie einer guten Antivirussoftware, Firewalls und anderen technischen und organisatorischen Mitteln abgefangen werden. Ernsthaftere und gezieltere Attacken sind jedoch auch sehr häufig, genaue Daten dazu sind aber nicht leicht zu erhalten auch weil nicht alles gemeldet wird und auch nicht jede erfolgreiche Attacke erkannt oder zeitnah erkannt wird. Ich würde den genannten Prozentsatz trotzdem nicht als zu hoch gegriffen sehen.
Oft sind gerade die Klein- und Mittelbetriebe, die ja einen wesentlichen Teil des europäischen Binnenmarktes ausmachen, betroffen, aber nicht ausreichend vorbereitet. Ist das so?
Ich würde es auch so sehen, dass KMBs oft nicht das notwendige Bewusstsein und/oder die notwendigen Ressourcen haben, um den Online-Bedrohungen adäquat zu begegnen. Hier gilt es, die notwendigen Ressourcen und das notwendige Know-how bereitzustellen unter Umständen auch als Serviceleistung. Schulungen zur Prävention und Bewusstseinsbildung sowie Mitarbeiterschulung können hier auch gut zur Problemlösung beitragen.
Welche Branchen sind besonders betroffen?
Cyberkriminalität ist ja primär finanziell motiviert, das heißt überall dort, wo „das Geld ist“ und wo Kriminelle leicht Gewinne machen können, werden auch die Ziele zu finden sein. Also im Finanzbereich oder auch im E-Commerce Bereich. Wir sehen zB große Schäden im Bereich des Online-Kreditkartenbetruges. Die Wahrheit ist aber, dass wir alle Opfer von Attacken werden können, auch in Abhängigkeit von der konkreten Kriminalitätsform. Ich denke hier zB an Erpressungsschadsoftware. ‚Kleinheit‘ oder eine vermeintliche Unwichtigkeit der eigenen Daten schützt hier nicht vor Attacken.
Gibt es vielleicht dazu Zahlenmaterial?
Nicht wirklich, das Problem ist neben dem Fehlen einer einheitlichen Definition was unter Cyberkriminalität fällt und dem Problem der Bewertung der Schäden (wie bewertet man finanziell zB den Reputationsverlust eines Unternehmens nach einem erfolgreichen Angriff?) ein generelles ‚Underreporting‘. Es gibt Industrieabschätzungen, die hier konkrete Zahlen nennen, man muss sich aber bewusst sein, dass das alles oft nur grobe Abschätzungen sind. Ich nehme aber an, dass sich mit der NIS Direktive und der Datengrundschutzverordnung die Datenlage verbessern wird.
Warum ist es so schwer, die Hacker ausfindig zu machen? Gibt es Anhaltspunkte dafür, ob sie häufig aus bestimmten Ländern kommen?
Cyberkriminalität ist international und grenzüberschreitend. Das heißt, dass ein Angreifer irgendwo auf der Welt sitzen kann, unter Umständen in einem Land mit keinem oder schlecht funktionierendem Kooperationsabkommen. Ein Angreifer kann auch vorgeben, aus einem anderen Land heraus anzugreifen. Regelmäßig kommt es auch zu einem kriminellen Missbrauch von Verschlüsselung, Anonymität und Kryptowährungen, was neben den rechtlichen Herausforderungen und den Herausforderungen der grenzüberschreitenden Kooperation, Attribution – also die Identifizierung und Lokalisierung des Angreifers – sehr schwierig macht. Hinzukommt, dass auch eine Konvergenz zwischen unterschiedlichen Akteuren mit unterschiedlichen Zielen zu beobachten ist, die sich aber oft ähnlicher oder gleicher Techniken und Methoden bedienen.
Was können/sollen Unternehmen tun, um besser vorbereitet zu sein? Und was, wenn ein Schadensfall eintritt?
Hier gilt es das Bewusstsein zu schaffen, dass Cybersicherheit ein umfassendes Thema ist, das alle Personen eines Unternehmens umfasst und alle Prozesse eines Unternehmens betrifft. Cybersicherheit sollte auch nicht als ein Zusatz gesehen werden sondern als ein wichtiger Bestandteil der Unternehmenskultur. Konkret heißt das, ständige Mitarbeiterschulung, die Umsetzung von Sicherheitsgrundmaßnahmen(AV Software, Firewalls, Software auf dem letzten Stand halten, etc.), Patch und Schwachstellenmanagement, Monitoring, das regelmäßige Testen der eigenen Systeme nach Schwachstellen oder das Simulieren von Schadensfällen und Angriffsszenarien. Man muss sich auch darauf einstellen, dass es nicht eine Frage des ‚ob‘ sondern des ‚wann‘ ist. Dementsprechend müssen sich Firmen auf den Ernstfall vorbereiten und die notwendigen Schritte nicht nur definiert haben sondern auch regelmäßig testen und anpassen. Dazu gehört als wichtiger Punkt auch das Melden an die zuständigen Behörden, natürlich auch in Hinblick auf die rechtlichen und regulatorischen Verpflichtungen. Und ich verweise wieder auf die wichtige Rolle, welche die Ermittlungsbehörden hier bei der Bekämpfung und Aufklärung spielen.
Arbeitet Europol auch unmittelbar mit den Polizeibehörden der Länder zusammen?
Ja, die Unterstützung nationaler Behörden und deren Vernetzung ist eine unserer Hauptaufgaben. Wir sind hier, um die Ermittlungsverfahren der Mitgliedsstaaten zu unterstützen. Wir agieren dabei als Kooperationsplattform und Informations-Hub, wenn sie so wollen, wo die relevanten Elemente und Partner zur Bekämpfung der Cyberkriminalität zusammengebracht werden können.
Ab wann ist Prävention sinnvoll? Also etwa schon bei Kindern und Jugendlichen? Oder unterscheiden sich die Online-Attacken zwischen diesen Zielgruppen und im Bereich der Wirtschaft maßgeblich?
Ich würde sagen so früh wie möglich und sinnvoll. Wir lehren ja Kinder auch schon sehr früh, wie sie sich in der realen Welt sicher bewegen können, der gleiche Ansatz sollte auch für die Online-Welt gelten. Die Arten der Attacken unterscheiden sich aber, es können Jugendliche auch Opfer von wirtschaftlich motivierten Attacken sein. Wir haben aber zB eine Kampagne kreiert, die sich speziell mit der sexuellen Nötigung und Erpressung von Jugendlichen online beschäftigt. Wir versuchen jedoch auch, vor allem Technik-talentierten Jugendlichen positive Alternativen aufzuzeigen, um sie von möglichen kriminellen Aktivitäten online abzuhalten und ihr Talent zB für die Cybersicherheit einzusetzen. Wir haben hier konkrete Aktivitäten im Rahmen des Europäischen Cybersicherheitsmonat geplant.
Welche Ahndungsmöglichkeiten gibt es überhaupt - Bankräuber werden fast zu 100 Prozent geschnappt, von Hackern hört man das eigentlich selten. Ist hier auch der Gesetzgeber gefordert bzw. ist die Strafverfolgung auch einer der Eckpunkte des EU-Pakets, das die österreichische Ratspräsidentschaft vorantreiben will?
Es gibt, wie erwähnt, eine Reihe technischer, rechtlicher und struktureller Herausforderungen bei der Bekämpfung der Cyberkriminalität. Neben dem kriminellen Missbrauch von diversen Technologien wie zB der Verschlüsselung, die den Zugriff auf wichtige Beweismittel oft unmöglich macht, aber auf der anderen Seite ein essenzielles Element eines sicheren Internets ist, sind es auch fehlende Rechtsgrundlagen oder eine fehlende Harmonisierung von bestehenden Rechtsgrundlagen, die eine Strafverfolgung sehr erschweren, wenn nicht unmöglich machen. Dazu kommen langwierige, grenzüberschreitende Kooperationsverfahren und Herausforderungen im Bereich der digitalen Forensik. Hier ist sicher auch der Gesetzgeber gefordert, wobei ich hier die Entwicklungen auf EU Ebene sehr positiv sehe. Es braucht hier aber, meiner Meinung nach, auch ein noch besseres Zusammenspiel aller relevanten Akteure auf nationaler und internationaler Ebene.
Gerade im Bereich der Banken, aber auch im Warenverkehr bei Online-Käufen geht es ohne Internet eigentlich nicht mehr. Wird die Abwicklung solcher Geschäfte für den einzelnen Kunden oder Gewerbetreibenden in Zukunft immer komplizierter (Stichwort: Passwortflut) oder sehen Sie Möglichkeiten für eine ebenso einfache wie wirksame Sicherheitseinrichtung bei Onlinegeschäften?
Ich habe hier eigentlich eine positive Sicht der Dinge und denke mir, dass wir die jetzigen und auch zukünftigen Herausforderungen meistern werden. Das Ziel muss natürlich sein, dass wir die Cybersicherheit weiter verbessern und Systeme resilienter machen. Das soll aber nicht heißen, dass alles komplizierter wird – im Gegenteil - wir müssen die zugrunde liegenden Infrastrukturen und die Systeme, die zum Einsatz kommen, so gestalten, dass Sicherheit und Resilienz implizite Designelemente sind.
Gouverneur Nowotny meint, man werde ohnehin am realen Geld festhalten und nicht alles ins Netz verlagern. Wie halten Sie es denn selbst - sind Sie gelegentlich auch Online-Kunde?
Ich denke auch, dass wir wahrscheinlich noch länger reales Geld verwenden werden wobei ich hier auch kulturelle Vorlieben sehe. In manchen Ländern außerhalb der EU sind zB mobile Zahlungsmittel viel populärerer und akzeptierter als bei uns, oft auch weil traditionelle Finanzstrukturen nicht so entwickelt oder weit verbreitet sind wie bei uns. Ich sehe bei mir selbst schon einen Unterschied was zB mein Zahlverhalten in den Niederlanden im Vergleich zu Österreich anbelangt. Ich würde trotzdem eine Tendenz in Richtung virtueller Zahlungsmittel sehen, sowohl aus Kosten- als aus Effizienzgründen. Im Bereich der Kryptowährungen und der Blockchaintechnologie wird es, meiner Meinung nach, zu einer Phase kommen, wo es zu einer realistischeren Bewertung der Möglichkeiten und Beschränkungen sowie der sinnvollen Einsatzfelder kommen wird. Und natürlich werden wir auch neue Formen von Bezahlungsmöglichkeiten und –technologien sehen.
