Internet-Sicherheitsbericht 2016

Cyberkriminalität erneut stark gestiegen

Teilen

Beim Cybercrime geht es ums Geld - Erpressung, Überflutung und Betrug.

Cybercrime hat sich zu einem äußerst lukrativen illegalen Geschäftszweig entwickelt und befindet sich mittlerweile auf Augenhöhe mit Menschen- und Drogenhandel. Das sagte Muna Duzdar (SPÖ), Staatssekretärin für Öffentlichen Dienst und Digitalisierung im Bundeskanzleramt (BKA), am Freitag bei der Präsentation des Internet-Sicherheitsberichts 2016 in Wien. Damit setzte sich der Anstieg nach 2014 und 2015 auch im Vorjahr fort.

Erpressungstrojaner am Vormarsch

Im Jahr 2016 ist durch Cyberkriminalität weltweit ein volkswirtschaftlicher Schaden von 500 Milliarden Euro entstanden. Das hat der weltgrößte Rückversicherer, die Munich Re, errechnet. In Österreich sei Ransomware ein großes Problem geworden, sagte Duzdar. Dabei werden Computernutzer erpresst, indem die Angreifer das Endgerät sperren oder so verschlüsseln, dass Daten unbrauchbar werden. Für die Entschlüsselung wird Lösegeld verlangt. Aktuell gibt es rund 30 neu angezeigte Vorfälle pro Woche. Ransomware gilt mittlerweile als der profitabelste Malware-Typ in der Geschichte der IT.

Bei dieser an sich nicht neuen Form der Internet-Kriminalität erwartet Robert Schischka, Leiter des für das BKA tätigen Computer Emergency Response Teams (CERT), noch massive Zuwächse. Neu sei aber die Kreativität der Angreifer, sagte der Experte - etwa durch die Verschlüsselung ganzer Datenbank-Systeme oder die Aufforderung an den Nutzer, jemand anderen mit der Malware zu infizieren. Schischka warnte davor, auf Lösegeldforderungen einzugehen. "Jeder Cent wird in den Aufbau von Infrastruktur verwendet, um stärkere Angriffe zu fahren."

DDos-Attacken auf Institutionen und Firmen

Zu den häufigsten und effektivsten Angriffen zählen DDos-Attacken, bei denen es ebenfalls um Lösegeld geht - und zwar um hohe Summen, da vor allem Industrie und Finanzwesen das Ziel sind. Dabei werden Webserver oder ganze Netzwerke mit teils sinnlose Anfragen überflutet und damit lahmgelegt. Prominente Ziele derartiger Angriffe waren in Österreich im vergangenen Jahr das Außenministerium, das Bundesheer , die Nationalbank, der Flughafen Wien und A1 . Von dem Mobilfunkunternehmen wollten die Angreifer 100.000 Euro in Botcoins haben und gaben auf, als die Techniker des Unternehmens die Attacken abwehrten. Bei der bisher umfangreichsten bekanntgewordenen derartigen Aktion wurde der französische Web-Hoster OVH im September 2016 mit bis zu 1,1 Terabit pro Sekunde angriffen. Attacken in dieser Größenordnung kann kein österreichischer Netzbetreiber allein bewältigen.

Cybersicherheitsgesetz kommt

Behörden, Kuratorium Sicheres Österreich und Unternehmen aus dem Bereich der kritischen Infrastruktur arbeiten in Österreich schon längst an der Vorbereitung eines Cybersicherheitsgesetzes, das im kommenden Jahr stehen muss. Denn nach dem Inkrafttreten der EU-Richtlichtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) im August 2016 haben die Regierungen bis Mai 2018 Zeit, das Regelwerk in die nationale Gesetzgebung zu implementieren. Das BKA fungiert als Koordinator. Inhaltlich geht es unter anderem um die verpflichtende Meldung von Attacken für Unternehmen aus dem Bereich kritische Infrastruktur. Nach Einschätzung von Roland Ledinger, Leiter des Bereichs Digitales und E-Government des Bundes im BKA, werden 100 bis 200 Unternehmen von dieser Verpflichtung betroffen sein.

Daneben will man das Problembewusstsein aller Unternehmen heben und sie dazu motivieren, Attacken zu melden statt aus Angst vor einem Imageschaden zu verschweigen. Ziel ist es, einen möglichst umfassenden Überblick über die Bedrohungslage zu erhalten. Awareness dürfe nicht nur in großen Unternehmen ein Thema sein, betonte Ledinger.

Neue Form des Betrugs

Eine zuletzt immer häufiger publik gewordene Kriminalitätsform, der sogenannte CEO-Fraud, zählen die Fachleute nicht unbedingt zu den Cyber-Angriffen im klassischen Sinn, sondern zu einer Form des Betrugs. Dabei werden scheinbar von Vorgesetzten stammende, plausibel wirkende Zahlungsaufforderungen an Unternehmen geschickt. Besonders gut funktioniert das nach den Erkenntnissen von Schischka in Unternehmen mit strengen Hierarchien - also solchen, in denen Anweisungen von Vorgesetzten nicht hinterfragt werden. "Es ist traurig, dass das immer noch so gut funktioniert", meinte der Fachmann. Das von ihm empfohlene Gegenmittel: ausgiebige interne Kommunikation.

Externer Link

Den gesamten Internet-Sicherheitsbericht 2016 können Sie hier herunterladen.

Fehler im Artikel gefunden? Jetzt melden.
OE24 Logo
Es gibt neue Nachrichten