Alpbach Programmheft 2013
Transcription
Alpbach Programmheft 2013
www.ecoplus.at Europäisches Forum Alpbach 2013 Die Zukunft der Innovation: Voraussetzungen – Erfahrungen – Werte Alpbacher Technologiegespräche 22. bis 24. August 2013 Arbeitskreis 7: web attack! Der Kampf gegen Hacker und Datenverlust Freitag, 23. August 2013 | 09:00 – 15:00 Uhr Hauptschule Alpbach ecoplus. Die Wirtschaftsagentur des Landes Niederösterreich ecoplus. Niederösterreichs Wirtschaftsagentur GmbH Niederösterreichring 2, Haus A 3100 St. Pölten, Österreich Tel. +43 2742 9000-19600, Fax -19639 E-Mail: headoffice@ecoplus.at Das Technopolprogramm Niederösterreich wird mit Mitteln aus dem Europäischen Fonds für Regionalentwicklung (EFRE) und des Landes Niederösterreich kofinanziert. Kontakt: Betreuer ecoplus Arbeitskreis 7 DI Claus Zeppelzauer Bereichsleiter Unternehmen & Technologie Geschäftsfeldleiter Technopole ecoplus. Niederösterreichs Wirtschaftsagentur GmbH Niederösterreichring 2, Haus A 3100 St. Pölten, Österreich Tel.: +43 2742 9000-19640, Fax: -19729 E-Mail: c.zeppelzauer@ecoplus.at www.ecoplus.at Bildnachweis: ecoplus und zur Verfügung gestellt von: iStockphoto.com/Henrik5000 | DUK/Suzy Stöckl | iStockphoto.com/René Mansi | iStockphoto.com/ Sagadogo | Digruber | Fortinet | iStockphoto.com/ JimmyAnderson/r-solution | Thomas Topf | artcartoon - Fotolia.com/r-solution | iStockphoto.com/ JimmyAnderson/r-solution | Werner Jaeger | FH St. Pölten | Weinfranz | Ernst Piller | Adrian Dabrowski | Syda Productions – Fotolia.com | alphaspirit – Fotolia.com Titelbild: iStockphoto.com/Henrik5000, iStockphoto.com/porcorex Das Technopolprogramm Niederösterreich wird mit Mitteln aus dem Europäischen Fonds für Regionalentwicklung (EFRE) und des Landes Niederösterreich kofinanziert. Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 1 ecoplus technopole. öffnen zugänge, bündeln wissen. Die vier ecoplus Technopole vernetzen erfolgreich Wirtschaft sowie international anerkannte Spitzen ecoplus Technopole vernetzen erfolgreich Wirtschaft sowie international anerkannte forschungsund Ausbildungseinrichtungen. Die Forschungsschwerpunkte in KremsSpitzenforschungssind Medizinische und Ausbildungseinrichtungen. Krems wird im Bereich der Biotechnologie und Regenerativen Medizin B iotechnologie, in Tulln Agrar- In und Umweltbiotechnologie. In Wr. Neustadt sind es die Themenfelder geforscht.und Agrarund Umweltbiotechnologie bilden dieBioenergie, Schwerpunkte in Tulln. In Wr. Neustadt sind MedizinMaterialtechnologien und in Wieselburg Agrarund Lebensmitteltechnologie. es Materialien, Verfahrens- und Prozesstechnologien, Medizintechnik, Sensorik-Aktorik sowie Oberflächentechnologien. www.ecoplus.at ecoplus. Niederösterreichs Wirtschaftsagentur GmbH Niederösterreichring 2, Haus Haus A, 3100 3100 St. St. Pölten Pölten Das Technopolprogramm Niederösterreich wird mit Mitteln aus dem Europäischen Fonds für Regionalentwicklung (EFRE) und des Landes Niederösterreich kofinanziert. Das Technopolprogramm Niederösterreich wird mit EU-Mitteln aus dem Europäischen Fonds für Regionalentwicklung (EFRE) kofinanziert. Arbeitskreis 7: web attack! Der Kampf gegen Hacker und Datenverlust Freitag, 23.08.2013, 09:00 – 15:00 Uhr Inhalt Seite 5 Vorwort Dr. Petra Bohuslav, NÖ Wirtschaftslandesrätin Seite 7 Unternehmen und Technologie ecoplus Arbeitskreis 7 Seite 13 Ablauf des Arbeitskreises Seite 14 Referentinnen und Referenten Seite 14 CV und Abstract Dr. Walter Seböck, MAS, MSc, MBA Leiter des Departments „E-Governance in Wirtschaft und Verwaltung“, Donau-Universität Krems Seite 16 CV und Abstract Mag. iur. Leopold Löschl Leiter des Büros „Computer- und Netzwerkkriminalität“, Bundeskriminalamt für Inneres (BK), Wien Seite 18 CV und Abstract Dr. iur. Ireen Christine Winter Leiterin des Lehrgangs „Wirtschaftskriminalität und Cyber- crime“, FH Wiener Neustadt; Projektleiterin, ALES Austrian Center for Low Enforcement Sciences, Universität Wien Seite 20 CV und Abstract Ruchna Nigam MSc, B.E. AV/Analyst/Researcher, Fortinet, SARL, France Seite 22 CV und Abstract Mag. Hartmut Müller Geschäftsführer, Raiffeisen Solution GmbH, Wien Seite 24 CV und Abstract Adrian Dabrowski, MSc Researcher, SBA Research, Technische Universität Wien Seite 26 CV und Abstract DI Prof. (FH) Johann Haag Vizerektor, Fachhochschule St. Pölten Univ. Doz. Dr. Prof. (FH) Ernst Piller Leiter des Instituts für IT Sicherheitsforschung, Fachhochschule St. Pölten Seite 30 CV und Abstract Prof. Dr. Ian Brown Associate Director of Cyber Security Centre and Senior Research Fellow, Internet Institute, University of Oxford, England Seite 33 Betreuer des Arbeitskreises CV DI Claus Zeppelzauer Bereichsleiter Unternehmen & Technologie, Geschäftsfeldleiter Technopole, ecoplus. Niederösterreichs Wirtschaftsagentur GmbH, St. Pölten Seite 35 Beitrag Chemiereport Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 3 Seite 4 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Vorwort Dr. Petra Bohuslav Wirtschaftslandesrätin Der technologische Fortschritt und seine Herausforderungen Unsere umfassende Wirtschaftsstrategie setzt in Niederösterreich bewusst Akzente für eine nachhaltige Wettbewerbsfähigkeit. Ein wesentlicher Fokus liegt dabei auf einer aktiven Technologiepolitik mit dem Ziel, sich als europäischer HightechStandort zu etablieren. Schließlich sorgen Forschung und Innovation für das notwendige Maß an Fortschritt. Unsere Technopole in Krems, Tulln, Wiener Neustadt und Wieselburg gelten als Zentren für technologieorientierte Unternehmen. Ideale räumliche Bedingungen bewirken jene Voraussetzungen, die wissenschaftliche Synergien und technische Kooperationen zulassen. Die Technopole Niederösterreichs bringen Ausbildungseinrichtungen, Unternehmen und Forschungsinstitute an einen Tisch und ermöglichen so den technologischen Protagonisten eine gewinnbringende Zusammenarbeit. In Kooperation mit ecoplus, der Wirtschaftsagentur des Landes Niederösterreich, kümmere ich mich als zuständige Landesrätin mit einer Vielzahl an SpezialistInnen um diese breite Verknüpfung zwischen Forschung und Wirtschaft. Kontinuierlich lade ich auch UnternehmerInnen zum Dialog ein, um mein Ohr am Puls der Zeit zu haben. Zuletzt war oftmals das Thema Cyberkriminalität Inhalt dieser Gesprächsrunden. Ob Viren, Trojaner, Pishing- oder Spam-Mails, Kriminelle nutzen das Internet höchst professionell, um illegal an Kundenund Kontodaten zu kommen. Softwarehersteller, die sich auf den Viren-Schutz spezialisiert haben, bemerken einen rasanten Anstieg. Sie schätzen, dass die Anzahl neuer Viren/Trojaner in den vergangenen Jahren auf täglich über 500 gestiegen ist. Aus diesem Grund greift Niederösterreich bei den Alpbacher Technologiegesprächen diese Thematik auf. Denn Daten bedeuten einen wichtigen Wettbewerbsvorteil für viele Betriebe. Der technische Fortschritt schreitet unaufhaltsam voran. Nicht nur Computer, sondern auch Smartphones oder Navigationssysteme in Autos sind mittlerweile von Hackerangriffen betroffen. Diese Probleme gilt es zu erkennen, Denkprozesse einzuleiten, Informationen weiterzuvermitteln und Lösungsansätze auszuarbeiten bzw. umzusetzen. Bekanntermaßen zählt es zu meinen Aufgaben, den Unternehmen hilfreich zur Seite zu stehen. In diesem Sinne freue ich mich auf einen spannenden Meinungsaustausch rund ums Thema Cyberkriminalität im Kampf gegen Hacker und drohenden Datenverlust. Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 5 Seite 6 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © iStockphoto.com/Henrik5000 Unternehmen & Technologie „Sicherheit im Cyberspace“ Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 7 Unternehmen & Technologie „Sicherheit im Cyberspace“ © DUK/Suzy Stöckl © iStockphoto.com/René Mansi Niederösterreich positioniert sich seit über einem Jahrzehnt als Technologieland. Um diese Entwicklung noch stärker voranzutreiben, wurde im Jahr 2004 das EU-kofinanzierte Technopolprogramm gestartet. Dieses einzigartige Programm bildete den Ausgangspunkt für eine technologiefokussierte Standortentwicklung. Im Technopolprogramm Niederösterreich arbeiten Ausbildung, Wirtschaft und Forschung eng zusammen, um neue technologische Entwicklungen voranzutreiben. Was sind Technopole? Natürlich kann sich ein moderner Technologiestandort dem aktuellen Thema „Cybersecurity“ nicht verschließen – daher wird diesem Thema auch an den niederösterreichischen Technopolen ein entsprechender Platz eingeräumt. Es handelt sich hierbei um technologieorientierte Zentren, die um Ausbildungs- und Forschungseinrichtungen errichtet werden. Als Wirtschaftsagentur des Landes Niederösterreich ist ecoplus mit dem Management des Technopolprogramms beauftragt. Unternehmen werden vor Ort von Technopolmanagern unterstützt, anwendungsorientierte Forschungskooperationen mit den F&EEinrichtungen in Niederösterreich durchzuführen und exzellent ausgebildete MitarbeiterInnen zu gewinnen. Zukunftsorientierte Partnerschaften sowie interdisziplinäre Zusammenarbeit haben Niederösterreichs Technopole zu optimalen Standorten für international anerkannte Spitzenforschung avancieren lassen: am Technopol Krems für medizinische Biotechnologie, am Technopol Tulln für Agrar- und Umweltbiotechnologie, am Technopol Wiener Neustadt für Medizinund Materialtechnologien, am Technopol Wieselburg für Bioenergie, Agrarund Lebensmitteltechnologie. Seite 8 © iStockphoto.com/Sagadogo Technopolprogramm und Cybersecurity Am Technopol Krems beschäftigt sich das Department „E-Governance in Wirtschaft und Verwaltung“ der Donau-Universität Krems mit diesem brisanten Themenfeld. Hintergrund sind die Entwicklungen in der Informationstechnologie, die auch die traditionellen Strukturen der Arbeit und der Kommunikation grundlegend verändern. Damit verbunden sind auch neue Rahmenbedingungen für Staat, Wirtschaft und Gesellschaft. Als erste Hochschule im deutschsprachigen Raum behandelt die Donau-Universität Krems dabei die Aspekte Security und Safety aus wirtschafts-, sozial-, rechts- und technikwissenschaftlicher Perspektive. Somit wird ein ganzheitliches Bild der Sicherheit interdisziplinär beleuchtet. Am Technopol Wiener Neustadt wiederum wurde in Kooperation mit dem Bundesministerium für Inneres und dem Bundesministerium für Finanzen im Oktober 2012 an der Fachhochschule Wiener Neustadt ein Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © Digruber neuer Studienlehrgang „Wirtschaftskriminaliät und Cybercrime“ ins Leben gerufen. Diese international anerkannte akademische Ausbildung greift das Thema in der Kriminalitätsbekämpfung auf und bereitet die TeilnehmerInnen optimal auf die Herausforderungen in der Bekämpfung von Wirtschaftskriminalität und Cybercrime vor. Ganzheitliches Wissen in den Themengebieten Recht, Wirtschaft, IT und Ermittlung sind ebenso Schwerpunkte der Ausbildung wie die qualifizierte Mitwirkung an Großverfahren. Auch die Fachhochschule St. Pölten bietet mit dem Bachelorstudiengang „IT Security“ eine einzigartige Ausbildung an, die eine integrale, ganzheitliche Sicht der Security von IT-Infrastruktur gewährleistet. Immer mehr Prozesse werden computerunterstützt abgebildet und abgewickelt. Dadurch entsteht ein großer Markt für ExpertInnen, die sowohl die technischen Kenntnisse für einen IT-Betrieb beherrschen, als auch mit Managementaufgaben vertraut sind. Als Wirtschaftsagentur des Landes Niederösterreich und damit als Partner für alle Unternehmen weiß ecoplus um die Bedeutung des Schutzes vor Cyberkriminalität für die Wirtschaft. Das wurde seitens des Landes Niederösterreich auch im Rahmen des UnternehmerInnendialogs festgestellt. Das Land Niederösterreich startete daher gemeinsam mit dem Innenministerium, der Landespolizeidirektion Niederösterreich, dem Kuratorium Sicheres Österreich und ecoplus die Initiative „Schutz vor Cyberkriminalität“. Im Fokus standen dabei individuelle Informationsveranstaltungen für Klein- und Mittelbetriebe in allen vier Landesvierteln Nieder österreichs. Denn gerade Klein- und Mittelbetriebe haben zum Teil nicht die Ressourcen, sich in umfassender Form mit Cyberkriminalität auseinanderzusetzen. Die Wahl des diesjährigen Themas des Arbeitskreises bei den Alpbacher Technologiegesprächen erscheint in diesem Zusammenhang als logische Konsequenz dieser Dienstleistung für niederösterreichische Unternehmen. In Alpbach bietet sich zudem die ideale Möglichkeit, mit namhaften ExpertInnen die bisherigen Erkenntnisse zu analysieren, künftige Bedrohungen zu orten und gemeinsam den Kampf gegen die steigende Bedrohung durch Cyberkriminalität zu führen. Schließlich stellen Computerviren, Hacker, Datenverluste oder Webattacken eine massive Bedrohung für die IT-Infrastruktur eines Unternehmens dar. Nieder österreich stellt sich im Schulterschluss mit den Institutionen und Unternehmen dieser Herausforderung und unterstützt hier alle Partner, um für die Zukunft gut gerüstet zu sein. Kontakt: ecoplus. Niederösterreichs Wirtschaftsagentur GmbH DI Claus Zeppelzauer Bereichsleiter Unternehmen & Technologie Geschäftsfeldleiter Technopole Tel.: +43 2742 9000-19640 c.zeppelzauer@ecoplus.at www.ecoplus.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 9 © Fortinet Seite 10 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 ecoplus Arbeitskreis 7: © iStockphoto.com/JimmyAnderson/r-solution web attack! Der Kampf gegen Hacker und Datenverlust Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 11 web attack! Der Kampf gegen Hacker und Datenverlust Hochtechnologie hält in alle Lebensbereiche Einzug und ermöglicht uns schnelles, vernetztes Arbeiten. Aus diesem Grund wird der Cyberspace zur kritischen Infrastruktur, aber auch zur Zielscheibe für Attacken. Welche Bereiche der Wirtschaft sind von Cybercrime betroffen und wie sind die Auswirkungen auf Wertschöpfung und das Vertrauen in Unternehmen? Sicherheit fordert ein gezieltes Handeln von Wirtschaft, Politik und Gesellschaft. Ist Cybersecurity eine rein technologische Angelegenheit oder sind Bewusstseins bildung, MitarbeiterInnenschulungen oder sogar ein Ausstieg aus dem Netz richtige Maßnahmen zur Prävention? Seite 12 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Alpbacher Technologiegespräche 2013 „web attack! Der Kampf gegen Hacker und Datenverlust“ NÖ Arbeitskreis 7 am Freitag, den 23.8.2013, 09:00 – 15:00 Uhr Hauptschule Alpbach, Alpbach 670, 6236 Alpbach Eröffnungsworte Mag. Helmut Miernicki Geschäftsführer, ecoplus. Niederösterreichs Wirtschaftsagentur GmbH, St. Pölten Einleitungsworte Dr. Petra Bohuslav Landesrätin für Wirtschaft, Tourismus, Technologie und Sport, Niederösterreichische Landesregierung, St. Pölten Anmoderation und Leitung des Arbeitskreises Dr. Walter Seböck, MAS, MSc, MBA Leiter des Departments „E-Governance in Wirtschaft und Verwaltung“, Donau-Universität Krems Cybercrime in Österreich – aktuelle Bedrohungen und Entwicklungen Mag. iur. Leopold Löschl Leiter des Büros „Computer- und Netzwerk kriminalität“, Bundeskriminalamt für Inneres (BK), Wien Professionelle Ermittlung im Netz Dr. iur. Ireen Christine Winter Leiterin des Lehrgangs „Wirtschaftskriminalität und Cybercrime“, FH Wiener Neustadt; Projektleiterin, ALES Austrian Center for Low Enforcement Sciences, Universität Wien Kaffeepause Push to Stalk: The Latest in Mobile Technologies (Vortrag in englisch) Ruchna Nigam, MSc, B.E. AV/Analyst/Researcher, Fortinet SARL, France Banken im Cybercrime Mag. Hartmut Müller Geschäftsführer, Raiffeisen Solution GmbH, Wien Mittagspause Hack me if you can Adrian Dabrowski, MSc Researcher, SBA Research, Technische Universität Wien Sicheres Internet DI Prof. (FH) Johann Haag Vizerektor, Fachhochschule St. Pölten Univ. Doz. Dr. Prof. (FH) Ernst Piller Leiter des Instituts für IT Sicherheitsforschung, Fachhochschule St. Pölten Cybersecurity, cybercrime and cyberwarfare: How real is the threat? (Vortrag in englisch) Prof. Dr. Ian Brown Associate Director of Cyber Security Centre and Senior Research Fellow, Internet Institute, University of Oxford, England Diskussion und Zusammenfassung des Arbeitskreises DI Claus Zeppelzauer Bereichsleiter Unternehmen & Technologie, Geschäftsfeldleiter Technopole, ecoplus. Niederösterreichs Wirtschaftsagentur GmbH, St. Pölten Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 13 Referenteninnen und Referenten Dr. Walter Seböck, MAS, MSc, MBA Leiter des Departments „E-Governance in Wirtschaft und Verwaltung“, Donau-Universität Krems Curriculum Vitae: seit 2010: Departmentleiter/Zentrumsleiter, Donau-Universität Krems (DUK) 2011-2012: Dekan, Fakultät für Wirtschaft und Recht, DUK Publikationen Seböck Walter (2013): A new world disorder – in Druck. Belgrad: Wissenschaftsverlag. Seböck Walter / Benesch Thomas / Göllner Johannes / Höchtl Johann / Peer Andreas (2012): Concept for Scenario – Development for Foresight Security Scenarios. Springer Verlag. Seböck Walter / Edelmann Noella / Parycek Peter / Blachfellner Stefan (2010): Editorial Second issue of the international – peerreviewed Open Access eJournal of eDemocracy and Open Government (JeDEM). eJournalof eDemocracy and Open Government (JeDEM):i-iii. Seböck Walter / Edelmann Noella / Höchtl Johann / Parycek Peter / Piswanger Carl (2009): E-government for Adolescent Citizens. EGOVDays Eastern European e\Gov Day 2009 Taking the eGovernment Agenda Forward: Meeting the Challenges of Digital Governancy, Justice and Public Sector. OCG Verlag. seit 2004: Zentrumsleiter, DUK ab 2001: Wiss. Mitarbeiter, DUK 2003-2005: Geschäftsführer, Kommunalnet GmbH 2001-2005: Freier Redakteur, Der Standard 1997-2001: Marketingleiter, Technisches Museum Wien 1997-1999: Projektmanagement, LS Consulting GmbH 1994-1999: Partner, Projektmanagement, Publish Pool KEG 1992-1994: Verlagsleiter, Braintrust GmbH Auszeichnungen 2008: Staatspreis für Sicherheitsforschungsprojekt 2012: Ehrendoktorat der Europäischen Universität Belgrad web attack! Der Kampf gegen Hacker und Datenverlust Die stets zunehmende Vernetzung aller Bereiche des Lebens, der Wirtschaft und der Gesellschaft bietet ungeahnte Möglichkeiten der Information und der Transparenz. Mit dieser Ausweitung sind aber auch alle Risiken und Gefahren der Manipulation und der Kriminalität verbunden. Cyber Crime ist Wirtschaftskriminalität in ihrer effektivsten Ausprägung. Zeit- und ortsungebunden stellen Angriffe auf die IT eines der größten Schadenspotenziale unserer Zeit dar. Angriffe gegen Seite 14 strategische Infrastrukturen sind Cyberterrorismus im Extremfall wie in Estland 2007, als ein ganzes Land angegriffen wurde. War Estland aber noch das Produkt von Einzelpersonen, die sich nicht respektvoll genug in den demokratischen Prozess eingebunden fühlten, so war Stuxnet bereits ein klares Signal der Eröffnung einer digitalen Front. Kriege wurden ab diesem Moment auch auf der virtuellen Ebene ausgetragen. Entweder wird die kritische Infrastruktur einer anderen Nation beeinflusst und manipuliert bzw. Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 wird über sogenannte BotNets die Kontrolle über fremde Rechner erlangt und diese als „virtuelle Armee“ eingesetzt. Auf der zivilen Ebene sind Hacken und der Diebstahl von Daten als Teile einer internetspezifischen Problematik längst über ambitionierte HackingVersuche Jugendlicher hinausgewachsen. Beides wurde zum wesentlichsten Bestandteil eines neuen, unsichtbaren Tatorts und sind ebenfalls Bestandteil der Wirtschaftskriminalität geworden. Denn Datendiebstahl bzw. auch Persönlichkeits- oder Identitätsdiebstahl/Identitätsmissbrauch boomt und damit sind es nicht nur Finanztransaktionsdaten oder Sozialversicherungs- bzw. Kreditkartendaten sondern ganze Persönlichkeiten, die virtuell manipuliert und ohne ihr Wissen für andere Zwecke eingesetzt werden. Damit in Zusammenhang steht ein abnehmendes Bewusstsein für die persönlichen Daten und die Privatsphäre. Es ist nichts Außergewöhnliches mehr, persönliche Geheimnisse der Welt mitzuteilen. Alle relevanten Geschäftsbeziehungen wurden in den letzten Jahren konsequent im Internet abgebildet. Was vor wenigen Jahren noch als „Online-Business“ exotisch klang ist heute zum Teil die einzig vorstellbare Variante, Waren oder Dienstleistungen zu bestellen. Bankgeschäfte wurden konsequent im Sinne der Self Service Society in den Online Bereich positioniert. Das persönliche Filialgeschäft wird immer mehr als verzichtbarer Kostenfaktor wahrgenommen. In diesem Sinn werden bis hin zu schulischen Angeboten (e-learning) sowie Behörden und Verwaltungsangeboten (E-Government) unvorstellbare Datenmengen erhoben, gesammelt und in Relation zueinander gestellt. Ganz gleich, was jemand tut, sobald es online geschieht, wird alles für die Ewigkeit gespeichert. Das Schlagwort der letzten Jahre lautete dementsprechend „Big Data“ und gilt als Schlüssel zu allen Wissensschätzen dieser Welt. Diesen Schatz jagen derzeit alle Teilnehmer am Wirtschafts- und politischen Leben. Die Veröffentlichungen von ehemaligen Geheimdienstmitarbeitern stellt hier nur die Spitze des Eisbergs dar. Das Internet der Dinge wird der nächste Schritt in die detaillierte Kenntnisnahme des Alltagslebens werden. Wenn Objekte wie Sensoren, Funkchips, mobile Rechner, Smartphones, Daten, Prozesse des Alltags, der Wirtschaft und des politischen Lebens sowie persönliche Daten von Menschen miteinander verknüpft werden, löst sich die Grenze zwischen realem und virtuellem Leben auf und beide Welten durchdringen sich vollständig. Selbstverständlich wird der Nutzen für die Verbraucher und Konsumenten hervorgehoben, aber durch die Kenntnis aller Vorgänge und Prozesse lässt sich das Individuum bis auf wenige Zehntelprozente in seinen Abläufen und Vorstellungen, seinen wirtschaftlichen Präferenzen und seinen politischen Einstellungen kalkulieren. Und damit sind die Begehrlichkeiten staatlicher als auch krimineller Organisationen geweckt, diesen Schatz zu heben. Gepaart mit der Problematik großer, datenspeichernder Organisationen, die jährlich Millionen von Daten ihrer Kunden, Patienten, Steuerzahler oder Sozialversicherten verlieren bzw. diese Daten durch kriminelle Machenschaften gestohlen werden, trifft die organisierte Kriminalität auf organisierte staatliche bzw. privatisierte Antiterrorbemühungen. Das Ziel der Bemühungen ist dasselbe. Unter diesem Aspekt gewinnt der Titel „der Kampf gegen Hacker und Datenverlust“ eine andere Bedeutung. Daten gehen nicht verloren, denn ein Verlust wird bemerkt; bei dieser Form des Diebstahls können die Bestohlenen ihre Daten weiterhin verwenden. Der Diebstahl ist viel schlimmer, da die Daten kopiert, manipuliert und in Kontexten verwendet werden, die nicht der Grundidee entsprachen. Die Herausforderung besteht darin, der Zeit angepasste Möglichkeiten der Bekämpfung dieser Kriminalität zu finden, und diese Bekämpfung weltweit zu vernetzen, da es sich um globale Phänomene handelt. Gleichzeitig muss auch das Bewusstsein der User im Zusammenhang des Umgangs mit ihren persönlichen Daten erhöht werden. Kontakt: Dr. Walter Seböck, MAS, MSc, MBA Leiter des Departments „E-Governance in Wirtschaft und Verwaltung“ Donau-Universität Krems Dr.-Karl-Dorrek-Straße 30, 3500 Krems Tel.: +43 2732 893-2134 walter.seboeck@donau-uni.ac.at www.donau-uni.ac.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 15 Mag.iur. Leopold Löschl Leiter des Büros „Computer- und Netzwerkkriminalität“, Bundeskriminalamt für Inneres (BK), Wien Curriculum Vitae: seit 2011: Projektleiter und Umsetzung des Cybercrime Competence Center C4, Bundeskriminalamt Wien seit 2006: Leiter Büro „5.2 Computer- und Netzwerkkriminalität“ 2003-2006: Referatsleiter Betrugs- und Fälschungsdelikte 2002: Magister der Rechtswissenschaften 1982-2003: Polizeibeamter bei der Bundespolizeidirektion Wien Seite 16 Mitgliedschaften European Union Cybercrime Task Force (EUCTF) European Cybercrime Training and Education Group (ECTEG) Publikationen Löschl Leopold / Krausz Micheal : „Schauplatz Cyberworld“. Edition Steinbauer. Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Cybercrime in Österreich – aktuelle Bedrohungen und Entwicklungen Weltweit gibt es bereits mehr als 2 Milliarden Internetzugänge. Die Informations- und Netzwerktechnologien entwickeln sich ständig rasant weiter und verändern damit sowohl die Verhaltensweisen als auch die Arbeits- und Geschäftsprozesse der Menschen maßgeblich. Viele Arbeitsschritte sind durch die digitalen Medien schneller und kostengünstiger geworden. Das Internet ist heute in vielen Bereichen praktisch unverzichtbar geworden und für die heimische Wirtschaft hat es sich zu einem wichtigen Marktplatz entwickelt. Immer mehr Unternehmen setzen verstärkt auf Vernetzung und Internetpräsenz durch eine eigene Website. Diese an sich positive Tendenz führt aber auch dazu, dass das Internet für Kriminelle immer attraktiver wird. Social Media Plattformen wie Facebook und Twitter haben durch die immer steigenden Nutzerzahlen ebenso Bedeutung im Bereich Cyberkriminalität erlangt. 2011 hielt der Begriff des „Hacktivismus“ durch Datenlecks sowie Angriffe auf renommierte Unternehmen und Institutionen Einzug in die Medienlandschaft. Cyberkriminelle haben auch den Bereich mobiler Endgeräte für sich entdeckt und weiten ihre Attacken auf diese aus. Mittlerweile ist der Internetbetrug im Bereich der organisierten Kriminalität lukrativer als andere riskantere Formen der Kriminalität. Schadprogramme wie Trojaner, Viren, Würmer, Spyware usw. werden in immer kürzeren Entwicklungszyklen und in immer größeren Mengen im Internet verbreitet. Das Gefahrenpotenzial dieser Schadprogramme ist erheblich und wird von der organisierten Kriminalität zur Durchführung von Straftaten eingesetzt. So ist es Kriminellen zum Beispiel möglich, mit sogenannten BotNetzen die Kontrolle über fremde Rechner zu erlangen und diese in ihr eigenes kriminelles Netzwerk einzubinden. Kriminell motivierte Täter können mit relativ geringem technischen Aufwand ihre potenziellen Opfer in der ganzen Welt erreichen und verursachen dadurch weltweit steigende Schäden. Durch den Einsatz von Verschlüsselungstechnologien und Anonymisierungsdiensten ist es Cyberkriminellen überdies möglich sich allfälligen polizeilichen Ermittlungen zu entziehen. Mit den aktuellen Strukturen der Strafverfolgungsbehörden können diese Kriminalitätsformen nicht mehr adäquat bekämpft werden. Es bedarf daher dringend neuer polizeilicher Strategien um eine koordinierte und effektivere Bekämpfung von Cybercrime zu ermöglichen. International und national werden deshalb moderne Zentralstellen errichtet wie zum Beispiel bei Interpol, Europol oder in Österreich mit dem Cybercrime Competence Center C4 im Bundeskriminalamt. Kontakt: Mag. iur. Leopold Löschl Leiter des Büros „Computer- und Netzwerkkriminalität“ Bundeskriminalamt für Inneres (BK), Wien Josef Holaubek Platz 1, 1090 Wien Tel.: +43 1 24836-86520 leopold.loeschl@bmi.gv.at www.bundeskriminalamt.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 17 Dr. iur. Ireen Christine Winter Leiterin des Lehrgang „Wirtschaftskriminalität und Cybercrime“, FH Wiener Neustadt, Projektleiterin, ALES Austrian Center for Low Enforcement Sciences, Universität Wien Curriculum Vitae: seit 2012: Leiterin Lehrgang zur Weiterbildung „Wirtschaftskriminalität und Cyber Crime“, Fachhochschule Wiener Neustadt seit 2012: Leiterin Masterstudiengang „Strategisches Sicherheitsmanagement“, Fachhochschule Wiener Neustadt seit 2011: Wissenschaftliche Projektleiterin, Austrian Center for Law Enforcement Sciences (Forschungsstelle für Polizeiund Justizwissenschaften), Rechtswissenschaftliche Fakultät, Universität Wien Mitgliedschaften European Society of Criminology (ESC) European Policing Working Group Kriminologische Gesellschaft (KrimG) Österreichische Gesellschaft für Strafrecht und Kriminologie Auszeichnungen Publikationen Winter Ireen Christine (2013): Der Szenekundige Dienst – Ausbildung und Professionalisierung von Szenekundigen Beamten im internationalen Vergleich (in Druck). Frankfurt am Main: Verlag für Polizeiwissenschaften. Winter Ireen Christine (2013): New Training for Spotters – Development for Spotters, Journal for Police Science and Practice, International Edition, 31-41. Winter Ireen Christine / Klob Bernhard (2011): Fußball und Sicherheit in Österreich – eine empirische Untersuchung im Rahmen der Bundesliga. Frankfurt am Main: Verlag für Polizeiwissenschaften. Winter Ireen Christine (2008): Modernisierungsprozesse im österreichischen Strafvollzug am Beispiel der Justizanstalt Leoben, Reihe der österreichischen Strafverteidiger (Hrsg.). Wien. seit 2009: Universitätsassistentin (Post Doc), Abteilung Kriminologie, Institut für Strafrecht und Kriminologie, Universität Wien 2008-2011: Wissenschaftliche Mitarbeiterin, (Inter-)nationale Kriminalpräventionsstrategien, Büro Kriminalprävention und Opferhilfe, Bundeskriminalamt Wien 2007-2010: EU Research Officer, European Crime Prevention Network (EUCPN) 2007: Promotion zum Doctor iuris (mit Auszeichnung) 2004-2008: Universitätsassistentin (Prae Doc), Abteilung Kriminologie, Institut für Strafrecht und Kriminologie, Universität Wien Stipendium der Universität Wien, Doktorarbeit 2003-2004: Kosten- und Leistungsmanagement, Jugend- und Sozialamt, Abteilung Auswärtige und Flüchtlinge, obdachlose Männer, Stadt Frankfurt Seite 18 2003: Zweites Juristisches Staatsexamen, Hamburg 1999: Erstes Juristisches Staatsexamen, Göttingen Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Professionelle Ermittlung im Netz © Weinfranz Wirtschaftskriminalität und Cyber Crime sind heute mehr denn je untrennbar miteinander verbunden. Besonders in den letzten Jahren konnte ein signifikanter Anstieg bei computerunterstützten Delikten verzeichnet werden. Diese reichen von einfachen Missbräuchen im Zahlungs- und Telefonverkehr, verbotenen Inhalten im Internet bis hin zu Hacking oder international angelegter Datenspionage in Unternehmen. Kompetenz und Vernetzung in der Zielgruppe richtet sich dieser Lehrgang vordergründig an erfahrene PraktikerInnen mit nachweislich facheinschlägiger beruflicher Qualifikation in den Bereichen Wirtschaft, Finanzwesen, Recht, IT, Ermittlung und Strafverfolgung. Der modulare Aufbau des Lehrgangs in vier Teilgebiete (Recht, Wirtschaft, IT und Technik sowie operatives Handeln) spiegelt dabei sowohl die theoretische als auch praxisbezogene Verknüpfung der Berufsgruppen wider. Der Vortrag stellt sowohl die inhaltlichen als auch strukturellen Merkmale dieses Ausbildungsangebotes und seine damit verbundenen Bedürfnisse und Forderungen in der Zusammenarbeit zwischen Polizei, Justiz, Finanz und Unternehmen dar. Key Facts (§ 9 FHStG Lehrgang zur Weiterbildung): Dauer: 3 Semester Organisationsform: berufsbegleitend Als Teil der Wirtschaftskriminalität haben sich computer- und internetspezifische Straftatbestände damit zu einer besonderen Herausforderung für die Strafverfolgungsbehörden entwickelt, für die das Internet zum „Tatort“ geworden ist. Immer stärker rückt daher auch das Erfordernis einer entsprechenden Ausbildung und Professionalisierung von ErmittlerInnen der Polizei, Finanz und Unternehmen der Wirtschaft in den Fokus. Durch den 2012 neu entwickelten Lehrgang zur Weiterbildung „Wirtschaftskriminalität & Cyber Crime“ an der Fachhochschule Wiener Neustadt wurde in enger Kooperation mit dem Bundesministerium für Inneres und dem Bundesministerium für Finanzen ein umfassender und nachhaltig ausgerichteter Speziallehrgang geschaffen. Mit dem Ziel der Optimierung von Wissen, interdisziplinärer Präsenz: alle 2-3 Wochen Donnerstag bis Samstag Akad. Abschluss: Master of Science in Business & Cyber Crime Control (MSc) Erstmaliger Studienbeginn: Wintersemester 2012/2013 ECTS: 90 Kontakt: Dr. iur. Ireen Christine Winter Leiterin des Lehrgang „Wirtschaftskriminalität und Cybercrime“, FH Wr. Neustadt Johannes-Gutenberg-Straße 3 2700 Wr. Neustadt Tel.: +43 2622 89084-604 ireen.winter@fhwn.ac.at www.fhwn.ac.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 19 Ruchna Nigam, MSc, B.E. AV/Analyst/Forscherin Fortinet SARL, Frankreich AV/Analyst/Researcher, Fortinet SARL, France Curriculum Vitae: seit 2010: AV/Analyst/Researcher. Zur Zeit Spezialisierung auf Analyse und Erkennen von mobiler Malware 2008-2010: M.Sc in Kommunikation und Computer-Sicherheit. Mitarbeit an Projekten zu Side-Channel-Angriffen und IAM (Identity and Access Management) 2008-2010: MSc in Communication and Computer Security. Worked on projects dealing with Side-channel attacks and IAM (Identity and Acess Management) 2004-2008: B.W. in Elektronik und Kommunikation. Beschäftigung mit Kryptographie, Biometrie und Secure Programming 2004-2008: B.W. in Electronics and Communication. Dabbled in Cryptography, Biometrics and Secure Programming Publikationen Publications Präsentation für „Insomni´hack 2013 Auf Knopfdruck Stalking: Das Neuste in mobiler Technologie Etwa 5 Minuten nach Beginn jedes Gesprächs über meinen Beruf werde ich in irgendeiner Form gefragt, ob „mobile Malware wirklich ein Thema ist“. Das Ziel meiner Präsentation ist es, genau diese Frage anhand einiger Fakten und echter globaler Beispiele zu erläutern. Da Smartphones zunehmend smarter werden, liefert ein modernes Handy dem Angreifer das perfekte Angriffs-Szenarium – ein Gerät, das das Opfer so gut wie immer mit sich herumträgt und das mit dem Internet verbunden ist. Und als ob das nicht schon reichte, hat es auch noch GPS, eine Kamera und ein Mikrophon und wird so zur perfekten Ausrüstung für einen Spion. Move over James Bond, there‘s a new sheriff in town. Und man braucht noch nicht einmal ein teuflisch krimineller Kopf zu sein, um die Gelegenheit zu ergreifen und das auszunutzen. Seite 20 since 2010: AV/Analyst/Researcher at FortiGuard Labs, France. Currently special izing in the analysis and detection of mobile malware Presented at Insomni´hack 2013 Push to Stalk : The Latest in Mobile Technologies Around 5 minutes into every conversation I have involving my profession, I am asked the question „Is mobile malware really an issue?“ in some form or the other. The goal of my presentation is to address that very question with some facts and real world examples. With smartphones getting smarter by the day, a modern day cellphone presents an attacker with the perfect attack scenario - a device that the victim carries around at almost all times that stays connected to the internet. And if that wasn‘t enough, throw in a GPS, a camera and a microphone and you have the perfect spying device. Move over James Bond, there‘s a new sheriff in town. Moreover, you don‘t need to be a diabolical criminal mastermind either to sniff out the opportunity to exploit that. Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © Fortinet Attack vectors: Most of the malware we see disguise themselves as a plethora of useful applications ranging from wallpapers and games to battery/power enhancement applications to even the classic ‚Fake AV‘ trick. Angriffsvektoren: Die meiste uns bekannte Malware, kommt in Verkleidung einer Fülle von Applikationen, von Wallpapers und Spielen über BatterieLadegeräte bis zu dem klassischen ‚Fake AV‘-Trick. Motivation/Gewinn: Abgesehen vom Spionieren, wie oben erklärt, ist Malware häufig dazu gedacht, Geld einzubringen. Das einfachste Beispiel ist das Versenden von SMS-Nachrichten an Premium-Mitglieder von dem infizierten Telefon aus. Am anderen Ende des Spektrums haben wir als schädlichste Beispiele den Diebstahl oder das Weitergeben von Bankdaten, die das Opfer über Trojaner auf sein Handy erhält. Diese Daten werden von Banken als zweite Identifizierungsfaktoren geschickt, damit die Legitimität von Transaktionen festgestellt werden kann. Das Ergebnis ist, dass die Angreifer jetzt mobile Trojaner zusammen mit traditioneller PC-Malware benutzen, um betrügerische Bankgeschäfte von virusinfizierten Konten der Opfer zu tätigen. Mit Hilfe dieser Präsentation möchte ich Ihnen unzensierte Informationen über dieses neue Gebiet mobiler Malware liefern, die von Angreifern benutzt wird. Vor allem möchte ich aber die Gelegenheit ergreifen, in Echtzeit ihre Arbeit vorzustellen und zu zeigen, wie gut versteckt und wirksam einige dieser Angriffe sind. Motivations/Rewards: Apart from spying, as I explained above, many malware are designed with the motive of making money. In the simplest example, this can happen by sending out SMS messages to premium numbers from the infected phone. On the other end of the spectrum, the most potentially ‚harmful‘ examples we‘ve seen so far have been Trojans that steal/forward Banking Tokens received on the victim‘s phone. These tokens were intro duced by banks as a second factor of authentication to verify the legitimacy of transactions. As a result, pro-active attackers are now using mobile Trojans in conjunction with traditional PC malware to carry out fraudulent banking transactions from infected victims‘ accounts. By means of this presentation, I plan to provide you with uncensored information on this new frontier of mobile malware that attackers are exploring. Most of all, I would like to take this opportunity to demonstrate in realtime their working, and how well-hidden and effective some of these attacks are. Kontakt: Ruchna Nigam, MSc, B.E. AV/Analyst/Researcher, Fortinet SARL 120, Rue Albert Caquot, 06140 Biot, France Tel.: +33 618071357 rnigam@fortinet.com www.fortinet.com Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 21 © Thomas Topf Mag. Hartmut Müller Geschäftsführer, Raiffeisen Solution GmbH, Wien Curriculum Vitae: Seite 22 2013: Geschäftsführer, Raiffeisen S oftware Solution GmbH, Wien Mitgliedschaften 2001: Geschäftsführer, Raiffeisen Informatik 1999: Vorstandsvorsitzender, Datus AG, Deutschland 1995: Aufsichtsratsvorsitzender, NETWAY 1995: Leitung Raiffeisenbanken-Service, RLB NÖ/W 1991: Geschäftsführer, Raiffeisen Rechenzentrum 1982: Systemberater bei Nixdorf Computer, Österreich zuvor: Studium der Sozial- und Wirtschaftswissenschaften, Universität Wien OSSBIG Austria (Obmann) GlobArt (Präsident) Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Banken im Cybercrime Ein wahrer Rüstungskrieg im Cybercrime lässt die Herzen der Hardware- und Softwarehersteller höher schlagen, denn immer wieder werden lukrative Aufträge zur Abwehr von Attacken aus dem Cyberspace vergeben. Leider kann man nicht sicher sein woher die Attacken kommen, aus dem Internet oder aus dem eigenen Netz. In Wahrheit ist diese Frage inzwischen irrelevant geworden und mit Prävention ist es nicht getan, um zukünftig von geschützten Umgebungen im Netz zu sprechen. Besonders Banken können zur Rückgewinnung des Vertrauens der Kunden mit den richtigen Schritten in der Sicherheitspolitik rund um die IT, Ausgangspunkt eines neuen Sicherheitsbewusstseins im Netz sein. © iStockphoto.com/JimmyAnderson/r-solution So sind folgende Schwerpunkte im Mittelpunkt iner aktiven Sicherheitspolitik hilfreich, um im e Netz Vertrauen zu gewinnen: aktive Kommunikation Etikette für MitarbeiterInnen „Verhalten in Sozialen Netzwerken“ Transparente Berechtigungsvergabe Convenience für Sicherheitsimplementierungen Langfristige vorausschauende Infrastrukturplanung Paradigmenwechsel im Umgang mit Datenvertraulichkeit Dieses Bündel von Schwerpunkten muss Bestandteil der strategischen Ausrichtung der Bank sein, ohne dass eine Beeinträchtigung für das Bankgeschäft gegeben ist, im Gegenteil, es muss zum Vertrauensgewinn der Kunden dienen. Kontakt: Mag. Hartmut Müller Geschäftsführer, Raiffeisen Solution GmbH Lilienbrunngasse 7-9, 1020 Wien Tel.: +43 1 99366-2204 hartmut.mueller@r-solution.at www.r-solution.at © artcartoon - Fotolia.com/r-solution Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 23 Adrian Dabrowski, MSc Researcher, SBA Research, Technische Universität Wien Curriculum Vitae: SBA-Research Publikationen University of Technology Vienna: iSecLab HTL Spengergasse Dabrowski Adrian (2011): A Digital Interface for Imagery and Control of a Navico/Lowrance Broadband Radar Dabrowski Adrian (2010): Centrobot Portal for Robotics Educational Course Material Auszeichnungen On the winning iCTF Team 2006 and 2011 2nd at RuCTFe 2012 and iCTF 2013 Hack me if you can Das Telefon klingelt – es ist kurz nach 2 Uhr morgens. Die gesamte Bereitschaft wird abgerufen: „Irgendwas Seltsames passiert mit unseren Servern – um 8 Uhr muss das Service wieder laufen“. Jetzt heißt es, in einer ad-hoc Organisation und unter extremen Zeitdruck Systeme, die man bisher im besten Fall nur aus der Entfernung gesehen hat, zu untersuchen, den Angriff zu stoppen, die Lücken zu schließen und das System zu säubern. Theoretisch ist (Web)Sicherheit ein gelöstes Problem: Wir kennen die grundlegenden Spannungsfelder die in Software zu Sicherheitsproblemen führen und die Mechanismen die unliebsame Zeitgeister verwenden um diese auszunutzen (engl. exploiting). © Adrian Dabrowski Seite 24 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © Adrian Dabrowski Praktisch findet dieses Wissen allerdings noch nicht überall Anwendung. Programme oder Webseiten werden oft unter hohem Zeitdruck erstellt und „Sicherheit“ ist zu abstrakt um dafür zusätzliche Ressourcen freizumachen. Überdies leidet die Softwarebranche unter der hohen Komplexität der Lösungen und der üblicherweise hohen Anzahl an externen Abhängigkeiten, welche eine 100% Fehlerfreiheit verunmöglichen. Neben Einführungs- und Vertiefungs-Lehrveranstaltungen fördert das iSecLab der TU-Wien auch die praktische Auseinandersetzung mit dem Thema: Seit 2004 nimmt die Arbeitsgruppe mit einem Team aus Studierenden am International Capture The Flag (ICTF) Wettbewerb der University California in Santa Barbara teil und misst sich so gegen bis zu 90 andere Universitäten weltweit. 2006 und 2011 konnte das Team den ersten Platz erringen, dieses Jahr immerhin den zweiten. Dieser Wettbewerb stellt die TeilnehmerInnen genau vor das eingangs erwähnte Szenario. Jedes Team erhält eine idente Kopie eines unbekannten Servers mit vielen unterschiedlichen Services, den es zu beschützen gilt. Unter extremem Zeitdruck müssen Sicherheitslücken gefunden, gestopft und gegen die anderen Teams verwendet werden. Mit den selbstentwickelten Exploits stehlen die TeilnehmerInnen der Konkurrenz spezielle Dateien (s.g. Flags). Der didaktische Hintergrund: Nur wer weiß, wie ein Angriff konkret funktioniert, kann sich auch bestmöglich dagegen schützen. Vortrag gemeinsam mit Sebastian Neuner, BSc (FH Hagenberg), Teilnehmer des Hackerwettbewerbs Kontakt: Adrian Dabrowski, MSc Researcher, SBA Research, Technische Universität Wien Karlsplatz 13, 1040 Wien Tel.: +43 1 58801-0 atrox@seclab.tuwien.ac.at www.seclab.tuwien.ac.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 25 © Werner Jaeger DI Prof. (FH) Johann Haag Vizerektor, Fachhochschule St. Pölten Curriculum Vitae: seit 2012: Vizerektor, FH St. Pölten Mitgliedschaften seit 2009: Studiengangsleiter, Masterstudiengang Information Security, FH St. Pölten zahlreiche Industriezertifikate im Netzwerkbereich zertifizierter Cisco Instructor für CCNA (Cisco Certified Network Associate) und CCNP (Cisco Certified Network Professionell) seit 2006: Studiengangsleiter, Bachelorstudiengang IT Security, FH St. Pölten seit 2000: Lektor, FH St. Pölten 1993-2000: Projektleiter und Leiter der EDV, Wirtschaftskammer Niederösterreich Publikationen C. Metzger / J. Haag (2012): Ich könnte nie wieder zu einem „normalen“ Stundenplan zurück! – Zur Reorganisation der Lehre in einem Bachelor-Studiengang IT Security, HDI 2012 – Informatik für eine nachhaltige Zukunft. Hamburg, Germany. J. Haag / G. Kraushofer (2006): Ist Wireless LAN unsicher?, Die Informationsgesellschaft, Bd. FACTS Band 1. Böhlau Verlag. J. Haag / R. Poisel (2009): Location Based Services für Netze nach dem IEEE 802.11 Standard, 3. Forschungsforum der öster reichischen Fachhochschulen, S. 185–190. Spittal/Drau, Österreich. selbstständiger Trainer in der Erwachsenenbildung Lektor am FH-Studiengang für Internationales Logistik Management, Steyr 1987-1993: Studium der Elektrotechnik, TU Wien Seite 26 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © Ernst Piller Univ. Doz. Dr. Prof. (FH) Ernst Piller Leiter des Instituts für IT Sicherheitsforschung, Fachhochschule St. Pölten Curriculum Vitae: seit 1991: Universitätsdozent für IT Security an der TU Wien Auszeichnungen Kaplan-Medaille für Erfinder 2000-2003: Vorstand der Winter AG, Deutschland, börsen- notiertes Großunternehmen im Bereich IT Security & Chipkarten Preisträger Philips contest for young scientists and inventors in London 1997-2000: Geschäftsführer, Card Solution GmbH (Tochterunternehmen der Österreichischen Nationalbank) 1993-1996: Bereichsleiter, Austria Card GmbH 1991-1992: Leiter Competence Center IT Security Zentraleuropa zuvor: verschiedene Managementfunktionen bei BULL AG Österreich 1977-1981: Universitätsassistent, Institut für Datenverarbeitung, TU-Wien Mitgliedschaften Vorstandsvorsitzender: ASA (Austrian Smart Card Association) Mitglied: OCG (Öst. Computer Gesellschaft) Beiratsvorsitzender: OPEV (Öst. Innovatoren-, Patentinhaber- & Erfinderverband) Publikationen zwei Publikationen bei „IFIP World Computer Conference“ Pit Stop for an Audio Steganography Algorithm (14th Joint IFIP TC6 and TC11 Conference) Patent AT 409425 „System, Chipkarte und Sicherungsmechanismen für den elektr. Zahlungsverkehr mit Chipkarte“ Autor des Buches „Software-Schutz“ und Mitautor des Buches „Datensicherheit und Datenschutz“ Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 27 Sicheres Internet © FH St. Pölten Die höchste aktuelle Gefährdung für die Wirtschaft und für staatlichen Stellen stellen laut einer großen deutschen Studie die Angriffe auf die IT und Telekommunikation dar. Ohne funktionierende IT stehen das öffentliche Leben und die Unternehmen still. Doch die heutige IT ist leicht verwundbar und die Angriffe auf die IT nehmen stetig zu. Der Betrug und die Wirtschaftsspionage via Internet boomen und kalte Kriege werden auf virtueller Ebene Seite 28 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © FH St. Pölten geführt. Unternehmen, vor allem KMU, müssen heute schon akzeptieren, dass sie vom Mitbewerb ausspioniert und sabotiert werden können. Und mit BYOD, M2M-Kommunikation und dem Internet der Dinge kommen viele neue Angriffsszenarien dazu. Deswegen gilt es, rasch und wirksam vorhandene Sicherheitsmängel umfassend zu beseitigen. Doch die aktuellen nationalen und internationalen Aktivitäten sind noch bei weitem nicht ausreichend. Wiederholen wir gerade eine Negativentwicklung, wie den Weg zur Weltwirtschaftskrise 2008, die voraussehbar war, aber nicht ausreichend ernst genommen wurde – nur diesmal in der IT? Für uns stellt sich daher die Frage: „Wie lange kann es in der IT so noch weitergehen, insbesondere bei Unternehmen, öffentlichen Stellen und vor allem bei kritischen Infrastrukturen?“ Eine genaue Analyse der Probleme zeigt, dass wir wesentlich mehr benötigen, als derzeit am Markt verfügbar ist. Dazu gehören vor allem geeignete Sicherheitskonzepte und Mechanismen, verbunden mit umfangreichen gesetzlichen Regelungen, weil mit reiner Freiwilligkeit viele Maßnahmen nicht umgesetzt werden können. Wir haben am Institut für IT Sicherheitsforschung der FH St. Pölten die Gefahrenbereiche genau analysiert und ein geeignetes Sicherheitskonzept ausgearbeitet, das auch in der Praxis relativ leicht umsetzbar ist. Im Vortrag werden wir die Grundelemente dieses Konzeptes vorstellen. Es besteht aus sechs zentralen Elementen: Sichere Identifikation und Authentifizierung der Benutzer, Daten und Software Sicherer Webbrowser, optimale Browserarchitektur Sichere Zonen mit „Grenzkontrollen“ im virtuellen Raum Gesetzliche Regelungen inklusive „Internetpolizei“ (Internetpol) Sichere Softwareentwicklung/Software und deren Zertifizierung, Update und Konfigurationsmechanismen Kryptografie inklusive kryptografische „Zugriffsschutzsysteme“, Informations-Selbstschutz und „Recht auf Vergessen“ durch Kryptografie Kontakt: DI Prof. (FH) Johannes Haag Vizerektor, FH St. Pölten Univ. Doz. Dr. Prof. (FH) Ernst Piller Leiter des Instituts für IT Sicherheitsforschung IT Sicherheitsforschung an der FH St. Pölten Matthias Corvinus-Str. 15, 3100 St. Pölten Tel.: +43 2742 313 228-631 ernst.piller@fhstp.ac.at johann.haag@fhstp.ac.at www.fhstp.ac.at Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 29 Prof. Dr. Ian Brown Stellvertretender Direktor des Cyber Security Centre und Forschungsbeauftragter des Internet Institute, University of Oxford, England Associate Director of Cyber Security Centre and Senior Research Fellow, Internet Institute, University of Oxford, England Curriculum Vitae: seit 2012: Stellvertretender Direktor des Cyber Security Centre, Oxford University, England seit 2009: Forschungsbeauftragter des Oxford Internet Institute, Oxford University, England 2007-2008: Treuhänder von: Privacy International, the Open Rights Group, the Open Knowledge Foundation, the Foundation for Information Policy Research since 2012: Associate Director, Cyber Security Centre, Oxford University, England since 2009: Senior Research Fellow, Oxford Internet Institute, Oxford University, England 2007-2008: Trustee of: Privacy International, the Open Rights Group, the Open Knowledge Foundation, the Foundation for Information Policy Research Adviser to: Greenpeace, the Refugee Children’s Consortium, Amnesty International, Creative Commons UK Berater von: Greenpeace, the Refugee Children’s Consortium, Amnesty International, Creative Commons UK Consulter for: US Department of Homeland Security, JP Morgan, Credit Suisse, Allianz,McAfee, BT, the BBC, the European Commission, the Cabinet Office, Ofcom, the National Audit Office Consulter für: US Department of Homeland Security, JP Morgan, Credit Suisse, Allianz, McAfee, BT, the BBC, the European Commission, the Cabinet Office, Ofcom, the National Audit Office Forschung Research Schwerpunkt: Informationssicherheit, Datenschutz-Technologien, Internet-Gesetzgebung Focus: information security, privacy-enhancing technologies, Internet regulation Interessen: Privatsphäre, Copyright, E-Demokratie, Informationssicherheit, Sicherheit, Networking, Gesundheitsinformatik Mitgliedschaft Seite 30 Interests: privacy, copyright, e-democracy, information security, security, networking, healthcare informatics Membership Information Commissioner‘s Technology Reference Panel Information Commissioner‘s Technology Reference Panel Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Publikationen Publications Edwards L. / Brown I. (2014): Online Privacy and the Law: a European perspective. Cheltenham: Edward Elgar. Edwards L. / Brown I. (2014): Online Privacy and the Law: a European perspective. Cheltenham: Edward Elgar. Brown I. (ed.) (2013): Research Handbook on Governance of the Internet. Cheltenham: Edward Elgar. Brown I. (ed.) (2013): Research Handbook on Governance of the Internet. Cheltenham: Edward Elgar. Brown I. / MarsdenC. (2013): Regulating Code: Good Governance and Better Regulation in the Information Age. Cambridge, MA: MIT Press. Brown I. / MarsdenC. (2013): Regulating Code: Good Governance and Better Regulation in the Information Age. Cambridge, MA: MIT Press. Carlberg K. / Desourdis R. / Polk J. / Brown I. (2003): Preferential Emergency Communications. Vol. 744 in The Springer International Series in Engineering and Computer Science. Carlberg K. / Desourdis R. / Polk J. / Brown I. (2003): Preferential Emergency Communications. Vol. 744 in The Springer International Series in Engineering and Computer Science. Auszeichnungen 2004: Eine der 100 einflussreichsten Personen in der Entwicklung des Internets im Vereinigten Königreich während des vergangenen Jahrzehnts. Cybersecurity, cybercrime and cyberwarfare: Wie ernst ist die Bedrohung? Heute ist die Internettechnologie eine wichtige Stütze hochentwickelter Volkswirtschaften und wird immer wichtiger auch für Entwicklungsländer. Wie groß ist die Bedrohung dieser empfindlichen Informationsinfrastruktur durch Sicherheitsrisiken im Internet? In diesem Vortrag wird Herr Dr. Brown einige der verschiedenartigen Bedrohungen sowie einige der wenigen verfügbaren Anhaltspunkte für die Höhe des tatsächlichen Risikos vorstellen. Distinction 2004: One of the 100 most influential people in the development of the Internet in the UK over the previous decade. Cybersecurity, cybercrime and cyberwarfare: How real is the threat? The Internet is now a key underpinning technology for advanced economies, and increasingly important for the developing world. How large a threat are cybersecurity risks to this critical information infrastructure? In this talk Dr Brown will try to differentiate some of the various threats, and examine some of the limited evidence available on the realistic level of risk they present. Kontakt: Prof. Dr. Ian Brown Associate Director of Cyber Security Centre and Senior Research Fellow, Internet Institute, University of Oxford, England Oxford University, 1 St Giles, OX1 3JS Oxford Tel.: +44 1865 287213 ian.brown@oii.ox.ac.uk www.oii.ox.ac.uk Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 31 Seite 32 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Betreuer des Arbeitskreises DI Claus Zeppelzauer Bereichsleitung Unternehmen & Technologie ecoplus. Niederösterreichs Wirtschaftsagentur GmbH Curriculum Vitae: Seit 2007: Bereichsleiter Unternehmen & Technologie, ecoplus. Niederöster reichs Wirtschaftsagentur, verantwortlich für die Geschäftsfelder Technopole, Cluster Niederösterreich und Internationalisierung 1998-2000: Brauereileiter, Braumeister und stellvertretender Geschäftsführer der 1. Wiener Gasthofbrauerei März 1998: Diplomingenieur der Lebensmittelund Biotechnologie an der Universität für Bodenkultur Wien Seit 2006: Prokurist Technopark Tulln GmbH Seit 2006: Geschäftsfeldleiter Technopole ecoplus. Niederösterreichs Wirtschaftsagentur GmbH 004-2009: Technopolmanager Tulln, 2 ecoplus. Niederösterreichs Wirtschafts agentur GmbH 2003-2004: Leitung von Life Science Project Management, Unternehmens beratung für externe Projektleitung von interdisziplinären F&E-Projekten 2001-2003: Leiter der Abteilung Research & Development, Melbrosin International GmbH & Co KG 2000-2001: Senior Consultant bei Czipin & Proudfoot, früher Czipin & Partner, Internationale Produktivitätsberatung Sein Aufgabenbereich umfasst: die technologiefeldorientierteStandort entwicklung der Technopole Krems, Tulln, Wiener Neustadt sowie Wieselburg und anderer Regionen der Aufbau und „Betrieb“ der thematisch organisierten Cluster NÖ: Logistik Cluster, Bau.Energie.Umwelt Cluster, Lebensmittel Cluster, Kunststoff-Cluster und Mechatronik-Cluster sowie „e-mobil in NÖ“ die Unterstützung NÖ Unternehmen bei deren Internationalisierungsschritten mit Büros in Bratislava, Budapest, Prag, Temeswar und Katowice sowie die Entwicklung von Schwerpunktprogrammen für neue Märkte, wie aktuell z.B. Russland und Türkei. Arbeitskreis 7 | web attack! Der Kampf gegen Hacker und Datenverlust | 23.08.2013 Seite 33 © Syda Productions – Fotolia.com © Syda Productions – Fotolia.com ALPBACH SPEZIAL Das Smartphone, das wir immer und überall mit uns herumtra perfektes Angriffsziel. Ein Aspekt, der bei einem solchen Großverfahren nic schätzt werden darf, ist die Kommunikation mit de lichkeit: „Bei Verfahren der Wirtschaftskriminalität be berechtigtes Interesse an Information. Dabei muss abe lance mit Fragen des Opfer- und Täterschutzes gewährt erläutert Winter die Problematik. Zudem bestehe di dass komplexe Zusammenhänge in Medien verkürzt d werden. Eine entsprechende Schulung in Fragen der Ö keitsarbeit sei daher in diesem Bereich besonders wic dreisemestrige Lehrgang an der FH Wiener Neustadt läu im ersten Durchgang, nach Abschluss im Jänner 2014 wi Seite 34 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Gute Hacker, böse Wettbewerbe im Sch SPEZIAL echerjagd im Cyberspace uterkriminalität und ihre Bekämpfung © alphaspirit – Fotolia.com Fortschritt in der Informations- und Kommunikationstechnologie lässt ngriffsflächen für kriminelle Attacken entstehen. Neben Computer-Netzverstärkt auch mobile Endgeräte im Fokus. Die ermittelnden Behörden rganisatorisch und durch spezielle Weiterbildung. Alpbach Spezial: Chemiereport 5/2013 at heute einen hohen Grad an Professionalität und Organisation erreicht. en, das Internet als „Tatwerkzeug“ für kriungen zu benutzen, können höchst unterm sportlichen Aspekt des Auslösens größerer zum unerlaubten Zugriff auf Daten eines finanziellen Betrug bis hin zur Sabotage einer hren Betrieb zu stören, reicht die Bandbreite die zum virtuellen Verbrechen führen. Was hre, als die ersten Computerviren aufkamen, allenstellen begonnen haben mag, hat längst n Professionalität und Organisation erreicht. t man ist oder was man kann, hat als Motin deutlich abgenommen“, analysiert Leopold iter des Büros für Computer- und Netzwerkundeskriminalamt und als solcher gleichsam Österreichs oberster Cyber-Polizist. Seiner Erfahrung nach sind die meisten via Internet begangenen Delikte Betrugshandlungen und zielen darauf ab, ihren Auftraggebern Geld zu verschaffen. Daneben spielt auch das Ausspionieren von geschützten Daten und das gezielte Schädigen der IT-Infrastruktur eines Konkurrenten eine nicht unbedeutende Rolle. Der Einsatz der verschiedensten Arten von Schadprogrammen (englisch Malware, also etwa Viren, Würmer, Trojaner oder Spyware) steht heute eher im Dienst organisierter krimineller Handlungen, als dass er die Folge von Wichtigtuerei und Ruhmsucht wäre. In den vergangenen Jahren hat es beispielweise große Probleme mit dem sogenannten Bundespolizei-Trojaner gegeben, wie Löschl erzählt. Ist ein PC von diesem Eindringling befallen, wird dem User vorgetäuscht, das Gerät sei behördlich gesperrt nLifeScience 5/2013 Seite 35 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 Seite 36 Europäisches Forum Alpbach | Technologiegespräche | 22.08. - 24.08.2013 © Sergey Nivens – Fotolia.com ALPBACH-SPEZIAL Web Attack! Der Kampf gegen Hacker und Datenverlust Ein von ecoplus organisierter Arbeitskreis bei den Technologiegesprächen in Alpbach widmet sich einer Thematik, die die Kehrseite der zahlreichen Errungenschaften der digitalen Vernetzung darstellt. Experten aus Wissenschaft, Unternehmen und Exekutive beleuchten, welche Bereiche in Wirtschaft und Gesellschaft von Cybercrime betroffen sind und welche Maßnahmen man dagegen setzen kann. D er weltweite Medienrummel um Eric Snowden, der Details über Abhörprogramme des US-Nachrichtendiensts NSA an die Öffentlichkeit spielte, hat eine breite Diskussionsfront eröffnet: Nicht nur darüber, was Geheimdienste so tun, um an Daten zu kommen, die sie interessieren, sondern vor allem auch, was sie heute tun können, wenn sie die Möglichkeiten einer digitalen Welt, in der jeder von uns Spuren hinterlässt, dafür nutzen. Als 1969 ein Projekt zum Vernetzen einiger US-Universitäts-Rechner realisiert wurde, rechnete wohl niemand damit, dass damit der Kern eines weltumspannenden Netzwerks geschaffen wurde, über das 40 Jahre später Milliarden Menschen miteinander verbunden sein würden. Über den Einfluss des Internets auf unser aller Arbeitsund Freizeitverhalten, auf die Form öffentlicher Diskurse, auf die Möglichkeiten politischer Beteiligung, ja sogar auf das Sprachverhalten der Menschen sind unzählige Untersuchungen gemacht worden. Was auf der einen Seite ungeahnte Möglichkeiten eröffnet hat, birgt auf der anderen Seite neue Gefahren: Bisher unbekannte Formen der Kriminalität nutzen gezielt die überallhin reichende Vernetzung und bedrohen Personen, Unternehmen und Verwaltungsapparate. Manche Aspekte muten gespenstisch an: „Was passiert, wenn kritische Infrastrukturen wie die Energieversorgung eines Landes das Ziel von Angriffen werden“, gibt Walter Seböck zu bedenken. Auch führt er die Möglichkeit vor Augen, dass nicht nur Finanztransaktions- und Sozialversicherungsdaten, sondern ganze Identitäten „gestohlen“ und missbraucht werden können. Seböck leitet das Department für E-Governance an der Donau-Universität Krems, wo er auch den Studiengang „Information Security Management“ aufgebaut hat. Er wird im Rahmen der Alpbacher Technologiegespräche den von der niederösterreichischen Wirtschaftsagentur ecoplus organisierten Arbeitskreis zum Thema „Web Attack! Der Kampf gegen Hacker und Datenverlust“ moderieren. Dabei sollen die Auswirkungen derartiger Phänomene für Unternehmen ebenso zur Sprache kommen wie die Strategien der Strafverfolgungsbehörden, den neuen Formen der Kriminalität Herr zu werden. Die Arbeitsweise von „guten“ und „bösen“ Hackern wird ebenso beleuchtet wie verschiedene Ansätze, zu einer weitergehenden Regulation dessen, was im Internet passiert, zu kommen. Und schließlich geht es darum, das Bewusstsein der User für den Umgang mit den eigenen, oft sehr persönlichen Daten zu schärfen. chemiereport.at AustrianLifeScience 5/2013 | 1 ALPBACH SPEZIAL Verbrecherjagd im Cyberspace Computerkriminalität und ihre Bekämpfung © alphaspirit – Fotolia.com Der rasante Fortschritt in der Informations- und Kommunikationstechnologie lässt zahlreiche Angriffsflächen für kriminelle Attacken entstehen. Neben Computer-Netzwerken sind verstärkt auch mobile Endgeräte im Fokus. Die ermittelnden Behörden rüsten sich organisatorisch und durch spezielle Weiterbildung. Computerkriminalität hat heute einen hohen Grad an Professionalität und Organisation erreicht. D ie Motivationen, das Internet als „Tatwerkzeug“ für kriminelle Handlungen zu benutzen, können höchst unterschiedlich sein: Vom sportlichen Aspekt des Auslösens größerer Schadereignisse bis zum unerlaubten Zugriff auf Daten eines Konkurrenten, vom finanziellen Betrug bis hin zur Sabotage einer Anlage, um damit ihren Betrieb zu stören, reicht die Bandbreite an Beweggründen, die zum virtuellen Verbrechen führen. Was Ende der 1980er-Jahre, als die ersten Computerviren aufkamen, als spitzbübisches Fallenstellen begonnen haben mag, hat längst einen hohen Grad an Professionalität und Organisation erreicht. „Zu zeigen, wie gut man ist oder was man kann, hat als Motivation für Straftaten deutlich abgenommen“, analysiert Leopold Löschl. Löschl ist Leiter des Büros für Computer- und Netzwerkkriminalität beim Bundeskriminalamt und als solcher gleichsam 2| chemiereport.at AustrianLifeScience 5/2013 Österreichs oberster Cyber-Polizist. Seiner Erfahrung nach sind die meisten via Internet begangenen Delikte Betrugshandlungen und zielen darauf ab, ihren Auftraggebern Geld zu verschaffen. Daneben spielt auch das Ausspionieren von geschützten Daten und das gezielte Schädigen der IT-Infrastruktur eines Konkurrenten eine nicht unbedeutende Rolle. Der Einsatz der verschiedensten Arten von Schadprogrammen (englisch Malware, also etwa Viren, Würmer, Trojaner oder Spyware) steht heute eher im Dienst organisierter krimineller Handlungen, als dass er die Folge von Wichtigtuerei und Ruhmsucht wäre. In den vergangenen Jahren hat es beispielweise große Probleme mit dem sogenannten Bundespolizei-Trojaner gegeben, wie Löschl erzählt. Ist ein PC von diesem Eindringling befallen, wird dem User vorgetäuscht, das Gerät sei behördlich gesperrt Verbrechen ohne Kontakt zum Opfer „Wir haben es hier mit einer ganz neuen Form von Straftaten zu tun“, gibt Löschl zu bedenken. Denn via Internet sei es möglich, ein Verbrechen zu begehen, ohne einen persönlichen Bezug zu seinem Opfer herzustellen. Die rasante technische Entwicklung arbeite zudem für die Kriminellen, wie Löschl erläutert. Die Verteilung von Rechen- und Speicherkapazität im Sinne des immer stärker verbreiteten Cloud Computings mache einen komfortablen Zugriff auf sensible Daten möglich. Auch gehe die Entwicklung neuer Schadsoftware so rasch vor sich, dass kein Anti-Virus-Programm damit Schritt halten könne. Mit sogenannten Bot-Netzen ist es heute möglich, die Kontrolle über fremde Rechner zu erlangen und diese in ein kriminelles Netzwerk einzubinden. Immer mehr werden auch Social-MediaPlattformen wie Facebook oder Twitter für illegale Aktivitäten benutzt, die zunehmende Internet-Anbindung mobiler Endgeräte (Tablets, Smartphones), ja sogar von Haushaltsgeräten, trägt zur Verbreitung neuer Phänomene von kriminellen Aktivitäten bei. Davon kann auch Ruchna Nigam ein Lied singen: „In jedem Gespräch, das ich im Zusammenhang mit meiner beruflichen Tätigkeit führe, werde ich nach ungefähr fünf Minuten gefragt, ob mobile Malware wirklich ein Thema ist“, erzählt Nigam, die als Analystin für das Fortinet Threat Research and Response Center arbeitet. Smartphones, die von ihren Benutzern fast immer mit sich herumgetragen werden und dabei ständig mit dem Internet verbunden bleiben, stellen ihrer Meinung nach das perfekte Angriffsziel dar. In Kombination mit GPS, Kamera und Mikrofon entsteht so etwa ein hervorragendes Werkzeug zum Mitschneiden und Spionieren. In vielen Fällen würden sich die Schadprogramme als harmlose Apps oder Spiele tarnen, zielen aber – neben dem Ausspionieren – meist darauf ab, einen Handy-User um Geld zu prellen. Der angerichtete Schaden kann vom (kostenpflichtigen) Verschicken von SMS an Premium-Nummern bis zum Diebstahl von TANs (jener Einmalpasswörter, die Banken zur Authentifizierung von Online-Transkationen auf ein Mobiltelefon schicken) gehen. In Verbindung mit traditioneller PC-Malware kann damit Online-Bankbetrug im großen Stil betrieben werden. Organisierte Cyberkriminalität Den ermittelnden Behörden geben die vielfältigen Formen von Cybercrime besondere Nüsse zu knacken auf: „Die kriminellen Aktivitäten lassen sich rund um die Welt und rund um die Uhr verteilen, ohne dass man sich persönlich in einem kriminellen Milieu bewegen müsste“, sagt Löschl. Auf diese Weise seien Strukturen entstanden, innerhalb derer Dienstleistungen angeboten und zugekauft werden, ohne dass sich die Handelnden persönlich kennen würden. Durch den Einsatz von Verschlüsselungstechnologien und Anonymisierungsdiensten ist es Cyberkriminellen zudem möglich, ihre Spuren zu verwischen und sich polizeilichen Ermittlungen zu entziehen. © privat © Bundeskriminalamt worden und könne gegen Überweisung eines Geldbetrags wieder in den ursprünglichen Zustand versetzt werden. Nicht wenige haben die angeforderte Summe überwiesen, ohne dass ihr Rechner den Trojaner losgeworden wäre. Leopold Löschl, Bundeskriminalamt, koordiniert die polizeilichen Aktivitäten zu Cybercrime. Ireen Winter leitet an der FH Wiener Neustadt einen Lehrgang zu Computer- und Wirtschaftskriminalität. Die ermittelnden Behörden müssen demgegenüber den Weg des Verbrechens über verschiedene Länder der Welt nachzeichnen, was eine Zusammenarbeit über Staatsgrenzen hinweg erforderlich macht. Die Strafverfolgung über Rechtshilfeansuchen ist aber formal aufwendig und langsam im Vergleich zur Agilität der verbrecherischen Aktivitäten. Darüber hinaus sind unterschiedliche Gesetzeslagen in unterschiedlichen Teilen der Welt zu berücksichtigen: Was in einem Land erlaubt sei, könne in einem anderen verboten sein, so Löschl. Ausbildungsprogramm für Ermittler Bei der Bekämpfung der verschiedenen Formen der Computerkriminalität müssen aber nicht nur Behörden unterschiedlicher Länder, sondern auch solche unterschiedlicher Kompetenz zusammenarbeiten. „Wirtschaftskriminalität ist heute untrennbar mit Cybercrime verbunden“, bestätigt Ireen Winter, die als Projektleiterin am Austrian Center for Law Enforcement Sciences der Uni Wien arbeitet und an der FH Wiener Neustadt (Fakultät Sicherheit) einen Lehrgang zur Weiterbildung zu beiden Arten des Verbrechens aufgebaut hat. Zu deren Bekämpfung müssten Kriminalpolizei und Finanzbehörden mit Spezialisten aus der Justiz und IT-Experten zusammenarbeiten. „Der Lehrgang wurde in Kooperation mit dem Innen- und dem Finanzministerium in fast zweijähriger Vorbereitungszeit von einem großen Team entwickelt, dem zahlreiche Praktiker aus den Behörden angehörten. Dabei hat jeder eingebracht, was er braucht, um seine Arbeit theoretisch zu untermauern“, erzählt Winter. Das Programm enthält daher Module zu rechtlichen und wirtschaftlichen Aspekten, aber auch zu technischen Fragen der Computerkriminalität. „Für viele Kriminalisten ist das Steuerrecht ebenso Neuland wie IT-Forensik und Beweissicherung im Internet für einen Finanzbeamten“, erklärt Winter das Konzept. Bei den immer größer und immer komplexer werdenden Ermittlungsverfahren sei aber eine Zusammenarbeit über die verschiedenen Kompetenzfelder hinweg erforderlich, da brauche man Experten für Zahlungsverkehr ebenso wie Spezialisten für Datenspionage. Wichtig sei dabei auch, ein Ermittlungsverfahren so sauber abzuwickeln, dass die Gerichte auf der Grundlage des zusammengetragenen Materials hinterher auch Urteile fällen können. chemiereport.at AustrianLifeScience 5/2013 | 3 ALPBACH SPEZIAL © Syda Productions – Fotolia.com Ergebnisse evaluieren und gegebenenfalls Aufbau und Auswahl der Referenten nachjustieren. Das Smartphone, das wir immer und überall mit uns herumtragen, ist ein perfektes Angriffsziel. Ein Aspekt, der bei einem solchen Großverfahren nicht unterschätzt werden darf, ist die Kommunikation mit der Öffentlichkeit: „Bei Verfahren der Wirtschaftskriminalität besteht ein berechtigtes Interesse an Information. Dabei muss aber die Balance mit Fragen des Opfer- und Täterschutzes gewährt werden“, erläutert Winter die Problematik. Zudem bestehe die Gefahr, dass komplexe Zusammenhänge in Medien verkürzt dargestellt werden. Eine entsprechende Schulung in Fragen der Öffentlichkeitsarbeit sei daher in diesem Bereich besonders wichtig. Der dreisemestrige Lehrgang an der FH Wiener Neustadt läuft derzeit im ersten Durchgang, nach Abschluss im Jänner 2014 will man die Nationale und internationale Rahmenbedingungen Was die gesetzlichen Rahmenbedingungen zum Thema Cybercrime betrifft, ist Winter mit dem, was man in Österreich erreicht hat, durchaus zufrieden: „Wir haben die Rechtslage an die europäischen Vorgaben angepasst und die Voraussetzungen für länderübergreifende Zusammenarbeit geschaffen.“ Das kann Leopold Löschl auch von Polizei-organisatorischer Seite bestätigen: „Wir haben bereits 2011 ein Projekt zur Erstellung einer Gesamtstrategie gestartet und sind jetzt mitten in der Umsetzung“, erzählt er. Im Zuge dessen wurde auch das Cybercrime Competence Center gegründet, das als zentraler Ansprechpartner für grenzüberschreitende Aktivitäten, aber auch als Anlaufstelle für österreichische Ermittler zur Verfügung steht. „Es ist auf diesem Gebiet auch wichtig, die Basis zu unterstützen“, so Löschl: „Der Beamte, der den Fall aufnimmt, sollte wissen, was hereinkommen kann und wie er damit umgehen muss.“ Dazu werden Schulungen abgehalten und die benötigten Mittel zur Verfügung gestellt. International haben sich die Staaten des Europarats mit einigen außereuropäischen Ländern auf die „Convention on Cybercrime“ geeinigt. „Was wir nicht haben, aber uns dringend wünschen würden, ist ein globaler Rahmen für unsere Arbeit“, meint Löschl. Doch das scheitere noch an der grundsätzlich unterschiedlichen Bewertung, die das Internet in verschiedenen Ländern erhalten würde. Gute Hacker, böse Hacker Wettbewerbe im Schwachstellen-Suchen Ein Team der TU-Wien hat sich schon mehrmals höchst erfolgreich an akademischen HackerWettbewerben beteiligt. Das Wissen der „White Hats“ ist auch in der Wirtschaft gefragt. A uf die Frage, was ein Hacker ist, hat der deutsche Computer-Aktivist Wau Holland einmal die Antwort gegeben: „Ein Hacker ist jemand, der versucht, einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.“ Der Nerd, der Tüftler, der jedes technische Gerät bis an seine Grenzen und darüber hinaus ausreizt und sich mit anderen dabei innerhalb einer Szene misst, ist das Urbild dessen, was man in verschiedenen Bereichen der Technik als „Hacker“ zu bezeichnen begann. In jüngerer Zeit hat sich der Begriff immer stärker auf den Bereich der Informationssicherheit verengt und dabei jenen Beigeschmack angenommen, den er heute in der breiteren Öffentlichkeit hat: Meist stellt man sich dabei einen jüngeren Mann vor, der in einer Art Studentenbude sitzt und sich unter Ausnutzung von schwierig zu findenden Sicherheitslücken und mithilfe ausgeklügelter Tricks Zugriff auf ein sonst kaum zu- 4| chemiereport.at AustrianLifeScience 5/2013 gängliches Computersystem verschafft – nicht selten in krimineller Absicht. Tatsächlich ist auch im Bereich IT-Security die Hacker-Szene wesentlich vielfältiger. „Man muss unterscheiden zwischen sogenannten ‚White Hats‘, die auf legale Weise auf Sicherheitsmängel hinweisen, und ‚Black Hats‘, die in krimineller Art und Weise und profitorientiert agieren“, erklärt Adrian Dabrowski. „Die weißen Hüte“ unterwerfen sich dabei zumeist einer Verhaltensnorm, die man „Responsible Disclosure“ nennt: Entdeckte Schwächen des Systems werden den dafür Verantwortlichen gemeldet, ohne die Sache an die große Glocke zu hängen. Nicht immer lassen sich die beiden Gruppierungen allerdings scharf voneinander trennen: „Mit dem Ausdruck ‚Grey Hat‘ bezeichnet man jemanden, der nach außen vorgibt, zu den Guten zu gehören, aber insgeheim doch verkauft, was er weiß“, erzählt Dabrowski. Einen nicht umstrittenen © TU Wien/Iseclab Das Team der TU Wien konnte den internationalen Hacker-Wettbewerb iCTF schon zweimal gewinnen. Wimpelstehlen auf elektronisch Dabrowski ist nach Abschluss seiner Diplomarbeit an der TU Wien seit kurzem Mitarbeiter bei „Secure Business Austria“, einem interuniversitären Forschungszentrum zu Fragen der Computersicherheit. Außerdem organisiert er ein Team seiner Stammuni, das schon mehrmals höchst erfolgreich am größten akademischen Hackerwettbewerb der Welt, dem von der University of California in Santa Barbara veranstalteten „International Capture the Flag“ (iCTF) teilgenommen hat. Vorbild ist dabei das alte Pfadfinderspiel Wimpelstehlen, bei dem gegnerische Teams versuchen, einander mit List und Tücke ein Fähnchen zu entwenden. Bei der IT-Version des Spiels werden die Wimpel durch „beflaggte“ Dateien ersetzt, die auf den Servern der einzelnen Teams versteckt sind. Damit die Ausgangssituation fair ist, bekommt jedes Team einen Server zur Verfügung gestellt, der mit denen der anderen Mannschaften identisch ist, von dem aber keiner zuvor weiß, wie er genau beschaffen ist. Ziel ist es, den gegnerischen Teams die beflaggten Dateien vom Server zu stehlen und der Wettbewerbsleitung vorzuweisen. Dafür hat man acht Stunden Zeit, während derer man gleichzeitig den eigenen Server vor Angriffen sichern und eingebaute Sicherheitsmängel in den Rechnern der anderen Teams für Offensiven ausnutzen muss. Dabei spielen alle Teams gleichzeitig, also jeder gegen jeden. Das ganze findet in einem geschützten, von außen nicht zugänglichen Netzwerk (einem sogenannten „Virtual Private Network“) statt. Der Wettbewerb wird online ausgetragen, jede Hacker-Mannschaft sitzt an ihrem Heimstandort. Bereits zweimal, in den Jahren 2006 und 2011, konnte das Team der TU Wien beim iCTF den ersten Platz unter immerhin 20 bis 50 (je nach Jahr) Teilnehmern erzielen, seit dem erstmaligen Antreten im Jahr 2006 gelang jedes Mal eine Platzierung unter den Top 10. Der Bewerb steht meist unter einem bestimmten Generalthema. 2006, als die Wiener Mannschaft zum ersten Mal den Sieg verbuchen konnte, wurde beispielsweise ein Bankenverbund simuliert. Eine der Aufgaben war dabei, Gewinnspiele der gegnerischen virtuellen Banken so zu manipulieren, dass man in jedem Fall ein Gewinn einfahren konnte. Studenten sind findige Köpfe Auf die Frage, warum die TU bei dem weltweit renommierten Bewerb so gut abgeschnitten hat, verweist Dabrowski auf die Rekrutierungsmethoden für das Team: „Rund zwei Drittel unserer Mannschaft sind in jedem Jahr neu dabei, meist sind es Leute, die wir aus den Fortgeschrittenen-Kursen des TU-eigenen Secure Systems Lab herausfiltern.“ 2006 war Dabrowski selbst ein Student, der diesen Kurs belegte, er wurde von dort ins Team für den Hacker-Bewerb geholt und kam so erst in Kontakt mit der wissenschaftlichen Mannschaft des Instituts. „Das war ein Schlüsselerlebnis für mich“, erzählt der Informatiker, dessen weiterer Weg sich daraus ergab: Heute ist er Leiter des Teams und wird im nächsten Wintersemester selbst Vorlesungen an der TU halten. Wenn ein „guter Hacker“ gerade nicht an Hacker-Wettbewerben teilnimmt, gibt es verschiedenartige Betätigungsfelder für ihn, wie Dabrowski erzählt. Zum einen arbeiten manche als Sicherheitsforscher an der systemischen Aufarbeitung von Adrian Dabrowski: Viele BetätiSchwachstellen in Software- gungsfelder für „gute Hacker“ Systemen. Viele werden auch von Herstellern engagiert, um vor oder nach dem Beginn des Echtbetriebes sogenannte „Penetration Tests“ durchzuführen, bei denen Computersysteme oder Netzwerke einem Härtetest unterzogen werden. Ist es einmal zu unliebsamen Angriffen gekommen, können „White Hats“ auch forensisch eingesetzt werden, um den Hergang der Ereignisse zu rekonstruieren. chemiereport.at AustrianLifeScience 5/2013 | 5 © TU Wien/Iseclab Ruf hat auch das weltweit agierende Aktivistennetzwerk „Anonymous“, das mit seinen Hacking-Attacken gesellschaftspolitische Ziele wie die Erhaltung der Redefreiheit oder den Protest gegen global agierende Konzerne und Scientology verfolgt. ALPBACH SPEZIAL Verhaltens-Codex im Facebook Wie Banken extern und intern für Sicherheit sorgen Unternehmen müssen darauf achten, auf welche Weise Mitarbeiter in sozialen Netzwerken kommunizieren. „Überall dort, wo Geld transportiert wird, gibt es auch Verbrechen.“ Warum sollten also Geldtransfers via Internet nicht davon betroffen sein? Für Hartmut Müller ist Computerkriminalität, insofern sie den Bankensektor betrifft, nur ein weiteres Glied in einer langen Kette. Der Experte, der seit 2013 Geschäftsführer der Raiffeisen Software Solution ist, sieht die Banken im Übrigen besser gegen Formen des Cybercrime geschützt als andere Bereiche. Eine größere Gefahr, als Attacken aus dem Netz sie darstellen, lauert seiner Ansicht nach aber im Inneren eines Bankunternehmens, durch das Verhalten von korrumpierten oder sorglos mit Daten umgehenden Mitarbeitern. Hier hätten die Banken eine große Aufgabe zu bewältigen. Die Strategie, die sie dabei anwenden, geht nach Müller in verschiedene Richtungen: Zunächst müssten sich die Angestellten in einer Welt, in der sich Berufliches und Privates zunehmend vermischen, richtig zu verhalten lernen. „Es hat keinen Sinn, hier Dinge zu verbieten“, meint Müller: „Ein Mitarbeiter geht ja auch zum Stammtisch, also soll er auch im Facebook sein.“ Allerdings müsse er beim Smalltalk im Netz vorsichtig sein, welche Aussagen er über seine berufliche Tätigkeit macht. Hier müsse eine Verhaltens-Etikette etabliert und von den Mitarbeitern erlernt werden. 6| chemiereport.at AustrianLifeScience 5/2013 Zu viele Schranken verderben den Brei Ein heikler Punkt ist nach Müllers Erfahrung auch die Vergabe von Berechtigungen. Jeder Mitarbeiter dürfe nur diejenigen Zugänge haben, die er für seinen Verantwortungsbereich brauche. Unübersichtliche Situationen können entstehen, wenn eine Fachkraft in eine neue Rolle wechselt, die speziellen Berechtigungen ihrer bisherigen Tätigkeit aber nicht verliert. Hier Transparenz zu schaffen, sieht Müller als einen wichtigen organisatorischen Anspruch an eine Bank an. Zu viele verschiedene Arten der Authentifizierung würden zudem das Sicherheitsniveau eher herabsetzen als erhöhen. „Wenn ich immer mehr Passwörter benötige, um meine Arbeit erledigen zu können, und diese aus einer komplizierten Abfolge von Zeichen inklusive Ziffern und Sonderzeichen zusammengesetzt sein müssen, dann schaffe ich mir Hilfsmittel, um damit umzugehen.“ In solchen Fällen klebt schon einmal ein Post-it mit den diversen Zugangsdaten eines Mitarbeiters auf dem Bildschirm – eine Situation, die die Sicherheit nicht gerade erhöht. Nach Müllers Erfahrung sind Single-Logon-Systeme, etwa unter Benützung einer Karte, ein geeigneterer und zudem komfortablerer Weg zu einem höheren Sicherheitsniveau. Bei der technischen Implementierung von Infrastruktur muss daher vielfach schon frühzeitig vorhergesehen werden, welche Arten von Sicherheitsfunktionen auf einen zukommen. „Wenn ich erwarten kann, dass in einiger Zeit flächendeckend KartenLese-Systeme für Notebooks erforderlich sind, muss ich jetzt schon darauf schauen, dass die entsprechenden Vorkehrungen getroffen werden“, gibt Müller ein Beispiel. Was Bedrohungen von außen betrifft, warnt Müller davor, die falschen Daten zu schützen. „Kunden geben bei unzähligen Gelegenheiten ihre Hartmut Müller: Die größere Gefahr Bankverbindung im Internet lauert im Inneren einer Bank. ein“, meint Müller, „ da wäre es eine Fehlinvestition, diese mit großem Aufwand zu schützen.“ Er plädiert demgegenüber dafür, diejenigen Daten zu schützen, die ein Unternehmen mit einem Kunden exklusiv teile. Wenn jedes Unternehmen so agiere, könnte auf dezentralem Weg, gesamt gesehen, ein hohes Maß an Sicherheit gewonnen werden. © Raiffeisen Software Solutions © Ogerepus – Fotolia.com Der korrumpierte oder unachtsame Umgang mit sensiblen Daten könnte für ein Bankunternehmen das größte Problem mit Cybercrime sein. Eine sinnvolle Strategie dagegen setzt an verschiedenen Stellen an. Regeln für das Netz Ist ein offenes Internet möglich? Mit dem Status quo von Sicherheit und Freiheit im Internet sind viele unzufrieden. Die Vorschläge für neue Arten von Regelungen gehen aber in unterschiedliche Richtungen. E noch weitgehend in den Händen von Profis, noch größere Gefahr drohe, wenn die Aktivitäten zunehmend auf Amateure übergriffen, wenn nicht nur Geheimdienste die Bürger eines anderen Landes ausspionierten, sondern Unternehmen einander gegenseitig. Software mit Sicherheits-Zertifikat Ein solches Problem sei nicht durch noch umfangreichere Virenscanner zu lösen, die letztlich nur die Geschwindigkeit der Rechner herabsetzten, ist Piller überzeugt – vielmehr sei es an der Zeit, vom Prinzip her anders zu denken. Zunächst will Piller hier den Gesetzgeber in die Pflicht nehmen: „Eine freiwillige Verhaltensänderung ist nicht zu erwarten“, meint Piller. Zielführender wären klare, gesetzlich verankerte Sicherheitsanforderungen an jede Art von Software, die veröffentlicht wird. „Heute kann jeder eine App schreiben und zum Download für unzählige Smartphone-User freischalten. Eine solche Situation gibt es in keiner anderen Branche“, argumentiert Piller. Bei jedem industriell gefertigten Produkt wäre es undenkbar, dass es ohne entsprechende Zertifikate unter die Leute kommt. © Brian Jackson – Fotolia.com rnst Piller ist, was die derzeitige Situation des Internets betrifft, besorgt: „Heute ist es ein Leichtes, dass die Firma A die Firma B ausspioniert, etwa um herauszufinden, zu welchen Konditionen sie bei einer Ausschreibung anbietet“, meint der Experte für ITSecurity, der Universitätsdozent an der TU Wien und Leiter des Instituts für IT-Sicherheitsforschung an der FH St. Pölten ist. Die Gefahr durch Malware sei mittlerweile unbeherrschbar geworden. Es stünden Werkzeuge zur Verfügung, mit denen man ohne großartige Programmierkenntnisse einem Konkurrenten enormen Schaden zufügen könne. Piller sieht durchaus die Möglichkeit, dass die Strukturen des Internet, die heute so wesentlich für Unternehmen und öffentliches Leben sind, in absehbarer Zeit in ihrem Bestand gefährdet sind. Das könne, so Piller, zu krisenhaften Szenarien führen, die denen auf den Finanzmärkten um nichts nachstehen. Der Grund für seine Befürchtungen: Während sich Informationsund Kommunikationstechnologien rasant fortentwickelt haben und immer mehr Bereiche des täglichen Lebens miteinbeziehen, sei das Niveau der Sicherheitstechnik weit hinter dem Erforderlichen zurückgeblieben. Dabei ssei die gefährliche Computerkriminalität Um das Sicherheitsniveau im Internet zu erhöhen, gibt es verschiedene Ansätze. chemiereport.at AustrianLifeScience 5/2013 | 7 ren Branchen zu beobachten, meint Piller. Gerade deshalb müsse man die Standards auch gesetzlich verankern, da kaum jemand bereit sei, freiwillig höhere Kosten auf sich zu nehmen. © Oxford Internet Institute © FH St. Pölten ALPBACH SPEZIAL Ernst Piller, FH St. Pölten, plädiert für gesetzlich festgeschriebene Sicherheit-Standards. Ian Brown, Oxford Internet Institute, glaubt, dass die Offenheit von Mechanismen die Informationssicherheit verbessern kann. Wenn es um die unternehmerische Nutzung des Internet geht, ist laut Piller ein weiterer Punkt zu beachten: Online kann man leicht Identitäten vortäuschen und tatsächlich in völliger Anonymität verbleiben, wenn man mit einer Firma in Kontakt tritt. „Nirgends sonst im Wirtschaftsleben ist es möglich, Bestellungen zu tätigen oder Aufträge zu vergeben, ohne sich rechtssicher identifizieren zu müssen“, so Piller. Die technischen Möglichkeiten seien auch für den Bereich des E-Commerce längst gegeben (etwa Digitale Signaturen), würden aber viel zu wenig genutzt. Was im privaten oder auch politischen Bereich (wenn man etwa an die Möglichkeiten zur Vernetzung im arabischen Frühling denkt) durchaus Sinn haben kann, ist im Verkehr mit Unternehmen eigentlich undenkbar, meint Piller. Trennung von privat und geschäftlich Überhaupt sollte man privaten und geschäftlichen Gebrauch des Internet stärker voneinander trennen, ist Piller überzeugt. „Auch bei herkömmlicher Post gibt es im privaten Bereich sinnvolle Anwendungen für eine Ansichtskarte, die jeder mitlesen kann“, vergleicht Piller. Dennoch würde im geschäftlichen Bereich niemand unverschlossene Post verschicken – derartige Vorkehrungen brauche es auch in der elektronischen Kommunikation. Am Institut für IT-Sicherheitsforschung der FH St. Pölten beschäftigt man sich seit längerem mit Technologien, die das Internet umfassend sicherer machen könnten. Dazu zählt etwa die breitere Anwendung kryptographischer Techniken zur Verschlüsselung von übermittelter Information oder neuartige Formen von Virenscannern, die Programme nach „verdächtigem Verhalten“ als bösartig identifizieren, anstatt eine Sammlung bisher gefundener Viren als Grundlage heranzuziehen. Auch plädiert Piller für die Einrichtung sicherer Zonen im Internet, an deren Grenzen eine Art „virtueller Grenzkontrolle“ stattfinden sollte. „Das Problem ist, dass es zwar viele Technologien gibt, diese aber nicht eingesetzt werden“, so Piller. Gerade KMU seien bislang oft noch schlecht geschützt. Dass vieles durch höhere Sicherheitsvorkehrungen teurer werden könnte, sei auch in ande8| chemiereport.at AustrianLifeScience 5/2013 Governance durch viele In einem Punkt stimmt Ian Brown den Aussagen von Ernst Piller zu: „Das derzeitige Niveau der Online-Sicherheit ist zu niedrig, um den Benutzern ausreichenden Schutz zu gewähren und den Stafverfolgungsbehörden eine effektive Arbeit zu ermöglichen“, sagt Brown, der Associate Director am Cyber Security Centre des Oxford Internet Institute und ein weltweit anerkannter Experte auf dem Gebiet der Internet Governance ist. Sein Rezept setzt aber eher auf Offenheit und Interoperabilität. „Es ist ein jahrhundertealtes Axiom, dass die Offenheit von Mechanismen die Informationssicherheit verbessern kann, weil eine größere Anzahl von Leuten sich die Schwächen dieser Mechanismen ansieht“, meint Brown. In „Regulating Code“, seinem jüngsten, gemeinsam mit Christopher Marsden verfassten Buch, plädiert Brown für die regulatorische Gestaltung des technologischen Kerns des Internets, der von den Autoren mit dem Begriff „Code“ bezeichnet wird. Anstatt also Geldstrafen und dergleichen zu verhängen, sollten nationale und supranationale Regulatoren die großen Player (wie Suchmaschinen-Anbieter, Software-Hersteller, Service-Provider oder Banken) dazu zwingen, die verwendeten Algorithmen so zu gestalten, dass Interoperabilität mit anderen Systemen und User-definierte Eingriffe möglich werden. Eine solche Vorgehensweise hält Brown nicht nur für geeignet, um die Dominanz bestimmter Stakeholder im Netz zurückzudrängen, sondern auch, um die Gelegenheit, verbrecherische Aktivitäten im Internet zu setzen, zu reduzieren. „Ich glaube nicht, dass wir restriktive Regeln brauchen“, ist deshalb Browns Ansicht, „eher sollten wir den wichtigsten Akteuren ökonomische Anreize geben, die Sicherheit ihrer Systeme zu verbessern.“ Brown hält die derzeitige Art der „Multistakeholder-Governance“, wie sie von Institutionen wie ICANN oder dem Internet Governance Forum gehandhabt wird, für durchaus geeignet. Diese Form gewährleiste, dass die verschiedenen Interessen von Wirtschaft, technischer Community, Regierungen und Zivilgesellschaft auf Augenhöhe verhandelt werden können. Angesichts des schnelllebigen technischen Umfelds hält Brown eine solche Art des Umgangs miteinander für effektiver als traditionelle zwischennationale Einrichtungen wie die UNO einzusetzen, die oft Jahre bräuchten, um zu Entscheidungen zu kommen. „Die neuen Institutionen, die hier wirken, müssen aber gewissenhaft das öffentliche Interesse im Auge haben und vermeiden, einzelnen Gruppen von Staaten oder Unternehmen zu viel Macht zu geben.“ Ein solcher Zugang könne ein offenes und freies Internet aufrechterhalten. www.ecoplus.at ecoplus. Die Wirtschaftsagentur des Landes Niederösterreich ecoplus. Niederösterreichs Wirtschaftsagentur GmbH Niederösterreichring 2, Haus A 3100 St. Pölten, Österreich Tel. +43 2742 9000-19600, Fax -19639 E-Mail: headoffice@ecoplus.at