Berichterstattung Fraud Tagung

Transcription

Berichterstattung Fraud Tagung
praxis+wissen
Fraud Tagung 2014
Betrug und Missbrauch in der Telekommunikation, Cybercrime
E. Gozdal, H. Malleck
Vom 12. bis 13. März 2014 fand zum
zwölften Mal die Fraud Tagung des Arbeitskreises für technische Koordination
für öffentliche Kommunikationsnetze
und -dienste (AK-TK) statt, diesmal wieder im Austria Trend Hotel Salzburg.
Betreiber öffentlicher Telekommunikationsnetze und Anbieter von Telekommunikationsdienstleistungen sehen sich seit
Jahren mit einer steigenden Anzahl von
Missbrauchsfällen bei der Nutzung ihrer
Telekommunikationsnetze und -dienstleistungen konfrontiert. 90 Delegierte
von Polizei, von IKT-Netz- und Dienstebetreibern, vom Deutschen Fraud Forum
und weitere Tagungsteilnehmer/innen
tauschten Informationen über aktuelle
Missbrauchsszenarien aus, erörterten gesetzliche Rahmenbedingungen und harmonisierte Vorgangsweisen.
Partner der Fraud Tagung 2014, die
wesentlichen Anteil am Zustandekommen der Tagung hatten, waren A1 Telekom Austria AG, atms Telefon- und
Marketing Services GmbH, Cedros Gesellschaft für Datenverarbeitung mbH, CRIF
GmbH, Ericsson Austria, Fachhochschule
Technikum Wien, Fachverband der Telekommunikations- und Rundfunkunternehmungen, Hutchison Drei Austria
GmbH, ISPA – Internet Service Providers
Austria, nic.at GmbH, Mass Response
Service GmbH, Rundfunk und Telekom
Regulierungs-GmbH (RTR-GmbH), Tele2
Telecommunication GmbH, T-Mobile
Austria GmbH und UPC Austria Services
GmbH.
Beitrag 1: Auswirkungen der EU Datenschutzreform auf die Kooperation zwischen Polizei und Telekommunikationsunternehmen – das Zusammenspiel der
Grundverordnung und der Richtlinie für
den Polizei- und Justizbereich nach den
aktuellen Vorschlägen im Reformprozess
Der Vorschlag der EU-Kommission für
eine Datenschutzreform aus 2012 enthält
neben einer Datenschutz-Grundverordnung auch einen Entwurf für eine Datenschutz-Richtlinie für den Bereich der
Strafverfolgung und -prävention. Der Beitrag von Dr. Christof Tschohl, Zentrum für
digitale Menschenrechte, bot einen Überblick zu den wichtigsten Neuerungen sowie eine Einschätzung der Auswirkungen
auf die Kooperation zwischen IKT-Anbietern und Strafverfolgungs- bzw. Sicherheitsbehörden.
Beitrag 2: Standortdatenbeauskunftung
– eine Baustelle für den Gesetzgeber?
Mag. Peter Gildemeister von der Oberstaatsanwaltschaft Wien stellte die rechtliche Situation zur Standortdatenbeauskunftung in Österreich dar. Die Welt der
elektronischen Kommunikation, die vor
einem Jahrzehnt im Wesentlichen noch
Festnetz und Mobiltelefonie einschließlich der Standarddienste Fax, SMS und
E-Mail umfasste, erweitert sich zunehmend um sonstige Text-, Audio und Videonachrichtendienste, die nicht mehr
von nationalen Netzbetreibern und/oder
Diensteanbietern, sondern von global
agierenden Anbietern zur Verfügung
gestellt werden. Dies stellt den im nationalen Rahmen agierenden Gesetzgeber
vor die Herausforderung, insbesondere
seine Bestimmungen über Datenspeicherund Mitwirkungsverpflichtungen bezüglich Kommunikationsüberwachung an die
neue Realität anzupassen.
Beitrag 3: Sicherheit und Integrität von
Netzen und Diensten nach der TKG-Novelle 2011
1
Mag. Leopold Löschl, Bundeskriminalamt/BMI schloss mit dem Vortrag an seine Ausführungen „Cybercrimestrategie und Einrichtung des C4 im BMI“ bei der Fraud Tagung 2013 an, vgl. e&i 130 (2013), H. 4-5, S.
a26 - a28.
April/Mai 2014
© Springer-Verlag Wien
Dipl.-Jur. Andreas Ney LL.M. vom Fachverband Telekom-Rundfunk der Wirtschaftskammer Österreich führte aus,
dass die Integrität von Datennetzen und
die Sicherheit der darüber transportierten
Daten eine Kernaufgabe der Provider ist,
die neben ständiger Wachsamkeit hohe
Investitionen in Infrastruktur und Steuerungstechnik erfordert, um das von den
Kunden erwartete hohe Sicherheitsniveau zu gewährleisten. Die österreichischen Telekom- und Internetprovider
erfüllen diese Anforderungen seit Jahren schon auf höchstem Niveau. Nichtsdestotrotz werden auch künftig große
Anstrengungen nötig sein, den Missbrauchsszenarien wirksam entgegenzutreten.
Beitrag 4: Das ISPA Mustersicherheitskonzept
Betreiber von Kommunikationsnetzen
sind gesetzlich dazu verpflichtet, die Integrität ihrer Netze zu gewährleisten. Für
diesen Zweck haben sie technisch und
organisatorisch geeignete Maßnahmen
zu ergreifen, welche für die Beherrschung
der Risiken geeignet sind. Martin Prager,
Vorstand der ISPA – Internet Service Providers Austria, referierte darüber, dass die
ISPA in Zusammenarbeit mit der Rundfunk und Telekom Regulierungs-GmbH
(RTR-GmbH) ein Mustersicherheitskonzept erarbeitet hat, das speziell kleineren
und mittleren Unternehmen dabei behilflich sein soll, gesetzliche Vorgaben hinsichtlich der Integrität und Sicherheit von
Netzen umzusetzen.
Beitrag 5: Aktuelle Entwicklungen im C4
Cybercrime Competence Center1
Cybercrime als eine internationale Kriminalitätsform gewinnt zunehmend an
Bedeutung, die Hersteller von Antivirenprogrammen berichten von weltweit 1,5
Millionen Opfern durch Internetkriminalität pro Tag. Diese massive Bedrohung
heft 3.2014
a 19
praxis+wissen
stellt insbesondere die Polizeibehörden
vor eine große Herausforderung und erfordert eine neue, schnellere Form der
Zusammenarbeit sowie eine besondere
Bürgernähe.
In Österreich wurde daher im Bundeskriminalamt das Cybercrime Competence Center, kurz C4, eingerichtet.
Einerseits soll damit die nationale und
internationale polizeiliche Zusammenarbeit in Form einer Zentralstelle koordiniert werden. Anderseits bildet C4 die
österreichweite Schnittstelle zur Bevölkerung. Am 01.03.2014 wurde deshalb
in der C4-Meldestelle ein 24/7-Journaldienst eingerichtet. Zu den Aufgaben
der C4-Meldestelle gehören neben den
Schnittstellen- und Koordinierungsfunktionen auch die IT-technische Erstdiagnose,
Einleitung von internationalen Ermittlungen, inkl. Auslandskorrespondenz,
sowie Einleitung und Durchführung von
Sofortmaßnahmen, wie beispielsweise
„Ad hoc“-Sicherungen, Sicherung von
IT-Beweismitteln und mobilen Geräten
sowie erforderlichenfalls deren Auswertung. In C4 sind darüber hinaus viele
Schulungsaktivitäten, entsprechend dem
von Mag. Löschl projektierten Schulungskonzept, in Vorbereitung, welche
ab Juni 2014 auf Expertenebene beginnen.
Beitrag 6: Inside Cybercrime
Im Vortrag „Inside Cybercrime“ von Erhard Friessnik, MSc, vom Cyber Crime
Competence Center des Bundeskriminalamtes und FH-Prof. Dipl.-Ing. Dr. Thomas Sommer von der Fachhochschule
Technikum Wien wurde die Economy des
Cybercrimes, der Handel mit Malware
in Untergrundforen sowie die organisierten Prozesse der Cyber-Kriminellen
vorgestellt. Technische Zusammenhänge
wurden erklärt, im Speziellen „Drive By
Download“-Angriffe sowie kriminelle Anwendungsbereiche von Botnetzen. Dabei
wurde auf die Wichtigkeit der Schaffung
von Awareness bei Usern, Entwicklern
und Entscheidungsträgern hingewiesen
sowie die sich aus der Cyber-Kriminalität
ergebenden Herausforderungen für die
Polizei aufgezeigt.
a 20
heft 3.2014
Beitrag 7: Cybercrime, Cyberwar und
Hacktivism – aktuelle Bedrohungen im
Internet
Einleitend stellte Robert Schischka, CERT.
at die Aufgaben des nationalen Computer
Emergency Response Teams als Ansprechpartner für IT-Sicherheit bei Sicherheitsvorfällen und als Plattform für Vernetzung
der IT-Security-Experten in Österreich dar.
Aktuelle Gefahren im Cyberspace werden
durch Trends zu Professionalisierung und
Arbeitsteilung auf allen Ebenen verstärkt.
Fallstudien ergaben, dass kein IKT-System
100 % sicher ist und es Incidents auch
bei Security-Hersteller geben kann. Botnetze – das „Schweizer Taschenmesser“
der Underground Economy – erlauben
sehr einfach alle Arten von Angriffen, unterstützt durch zunehmende Leistungsfähigkeit der Endgeräte und durch „always
on“. Investitionsbereitschaft für IT-Sicherheit entspricht kaum den permanenten
Bedrohungen.
Beitrag 8: Vorratsdatenspeicherung aktuell – eine rechtliche Beurteilung der
Schlussanträge des Generalanwalts beim
EuGH
Der Vortrag von Dr. Christof Tschohl,
Zentrum für digitale Menschenrechte,
bot eine kritische Auseinandersetzung
mit der Vorratsdatenspeicherung nach
der Richtlinie 2006/24/EG. Im Zentrum
standen das Verfahren beim Gerichtshof
der Europäischen Union (EuGH) und die
zugrunde liegende österreichische Massenbeschwerde von 11.139 Menschen an
© Springer-Verlag Wien
den Verfassungsgerichtshof (VfGH). Der
Antragsautor und Erstbeschwerdeführer der „Sammelbeschwerde“ kritisierte
die flächendeckende Datenspeicherung
ohne Verdacht als unverhältnismäßig
und grundrechtswidrig. Am 08.04.2014
hat nun der EuGH die Richtlinie aufgehoben und ist dabei weitgehend den
Argumenten der Antragsteller gefolgt.
Der VfGH wird im Herbst 2014 über die
innerstaatliche Umsetzung entscheiden
und diese wahrscheinlich aufheben.
Beitrag 9: Mit Daten Mehrwert schaffen – Betrugsprävention durch OnlineAuthentifizierung
Sepp Puwein, BSc, von CRIF Austria
weckte das Interesse der Zuhörer mit dem
Beitrag „Mit Daten Mehrwert schaffen –
Betrugsprävention durch Online-Authentifizierung“. Mit dem stetigen Wachstum
des E-Commerce steigt auch zunehmend
die Gefahr von Identitätsdiebstahl und
Online-Betrug. Der CRIF IdentCheck ermöglicht es, einen Ausweis online und
ohne Medienbruch zu überprüfen und
dabei gleichzeitig die Daten entsprechend
weiterzuverarbeiten.
Beitrag 10: c.-FIRST – gemeinsam stark
mit einer Fraud Firewall
Bernd Ritscher, Cedros GmbH, stellte
einen Usecase für International Revenue Share Fraud vor und demonstrierte,
welche Gefahren für die Telekommunikationsanbieter daraus entstehen. Mit
c.-FIRST „Fraud Identity Register - Service
e&i elektrotechnik und informationstechnik
praxis+wissen
for Telco‘s“ entwickelt Cedros eine Plattform, über die Provider auffällige Kennungen aus ihrem Fraud-Monitoring sicher, schnell und strukturiert austauschen
können. c.-FIRST kann länderübergreifend eingesetzt und mit umfangreichen
Informationen zu Rufnummerngassen,
Gerätekennungen u.v.m. aufwarten. Ein
gutes Hilfsmittel für die Fraud-Erkennung.
Beitrag 11: Bitcoin Mythen – transparent, sicher und anonym?
Die digitale Währung Bitcoin hat in den
letzten Jahren enormes mediales Echo erfahren. Dabei werden aber häufig tatsächliche Fakten mit Mythen um die CyberWährung vermischt. Dr. Dietmar Schreiner
vom Bundeskriminalamt/BMI erklärte im
Beitrag „Bitcoin Mythen – transparent,
sicher und anonym?“ die tatsächliche
Funktionsweise der Währung und des zugrundeliegenden globalen Systems. Der
Vortrag beleuchtete Möglichkeiten der
Sicherstellung und Ermittlung, erörterte
häufig kolportierte falsche Annahmen
und Trugschlüsse im Bereich Sicherheit
und Anonymität und skizzierte Angriffsszenarien auf das Bitcoin-System selbst.
Beitrag 12: Identitätsmissbrauch – wer
bist Du und wie oft gibt es Dich?
Dieter Zeller (Chairman Deutsches Fraud
Forum, Deutsche Telekom AG Group
Services, Group Business Security, Leiter
Sicherheitslage, Notfall-, Krisenmanage-
ment) stellte die Aufgaben und Ziele des
Deutschen Fraud Forums vor und bot weitere Vernetzung in gemeinsamen Themen
an.
Claudia Sehr (Boardmember Deutsches
Fraud Forum, 1&1 Internet AG) erklärte
das Spannungsfeld, in dem sich Firmen
bei Vermarktung der Produkte im Internet
bewegen, wie beispielsweise nur wenige
Hürden im Bestellprozess und schnelle Bereitstellung der Dienstleistung. Für Fraud
Manager entstehen durch Produktvielfalt,
Angebote, Vertriebswege, Datenabfrage,
Zahlungs- und Versandwege große Herausforderungen, angemessen und zeitnah mit risikominimierenden Maßnahmen zu reagieren, um Missbrauch und
Betrug zu verhindern. Alle Betrugsarten
im Bestellprozess wurden dargestellt, insbesondere der Identitätsmissbrauch, dem
oftmals der Diebstahl echter Identitäten
vorausgeht. Möglichkeiten, um diese
und andere Betrugsarten zu identifizieren, wurden dargestellt, wobei meist die
Kombination verschiedener Maßnahmen
den gewünschten Effekt bringt.
Beitrag 13: Fraud Management in the
Networked Society – from Counter Fraud
Solutions to Real Time proacitve Fraud
Detection
Von der Firma Ericsson präsentierten Ricardo Bacena und Stephen Huggard das
Thema „Fraud Management in der vernetzten Gesellschaft“. Unsere vernetzte
Gesellschaft ist auf dem Weg zu „5G“ als
Summe integrierter Funktechnologien.
Sicherheitsgefährdungen treten aus der
Koexistenz von Schlüsselbereichen auf:
Kommunikation von Geräten, flächendeckende Erreichbarkeit, minimaler DatenOverhead, geringste Latenz, höchste Zuverlässigkeit etc. Durch Zusammenarbeit
mit weltweit führenden Telekom-Betreibern wurde von Ericsson das bisher einzig
echte End-to-End OSS/BSS-Lösungsportfolio mit Sicherheits- und Fraud-Management-Dienstleistungen entwickelt. Das
Sicherheitszuverlässigkeitsmodell
SRM
(Security Reliability Model) von Ericsson
gewährleistet das erforderliche Sicherheitsniveau in allen Produkten, eine gute
Ausgangsposition in künftigen Netzen,
die eine immer zentralere Rolle in der Gesellschaft einnehmen werden.
Trotz der in zwei Halbtage gedrängten
Vortragsfolge bot die gut organisierte
Tagung den Teilnehmern wieder ausreichend Gelegenheit für Erfahrungsaustausch und für Networking.
Autoren
Edith Gozdal, Dipl.-Ing. Dr. Helmut Malleck, Geschäftsstelle des Arbeitskreises für technische Koordination für öffentliche Kommunikationsnetze
und -dienste (AK-TK) in der ÖFEG GmbH, Arsenal
Objekt 24, 1031 Wien, E-Mail: ak-tk@oefeg.at,
Internet: www.oefeg.at/ak-tk
8. FNN-/ETG-Tutorial Schutz- und Leittechnik 2014
Bericht von der FNN-/ETG-Fachtagung
Am 5. und 6. Februar 2014 wurde in
Neuss/D das 8. FNN-/ETG-Tutorial Schutzund Leittechnik durchgeführt. Diese für
die Fachleute der Schutz- und Leittechnik
sehr wichtige Fachtagung findet ca. alle
zwei Jahre statt und stand dieses Mal
unter dem Motto „Auswirkung der Energiewende auf die Energieversorgungs-
April/Mai 2014
netze, insbesondere auf die Schutz- und
Leittechnik“. Die Tagung war mit 420
Teilnehmer/innen sehr gut besucht und
bot mit 22 namhaften Ausstellern eine
umfangreiche Fachausstellung. Somit
bildete sie eine messeartige Plattform für
die Marktpartner der Schutz- und Leittechnik.
© Springer-Verlag Wien
Dank der traditionell guten Zusammenarbeit vor allem der deutschen und österreichischen Fachgremien und mit Unterstützung durch die Fachverbände aus
Deutschland, Österreich und der Schweiz
hatte die Programmkommission ein anspruchsvolles und aktuelles Programm
erstellt, das von kompetenten Referenten
heft 3.2014
a 21