Berichterstattung Fraud Tagung
Transcription
Berichterstattung Fraud Tagung
praxis+wissen Fraud Tagung 2014 Betrug und Missbrauch in der Telekommunikation, Cybercrime E. Gozdal, H. Malleck Vom 12. bis 13. März 2014 fand zum zwölften Mal die Fraud Tagung des Arbeitskreises für technische Koordination für öffentliche Kommunikationsnetze und -dienste (AK-TK) statt, diesmal wieder im Austria Trend Hotel Salzburg. Betreiber öffentlicher Telekommunikationsnetze und Anbieter von Telekommunikationsdienstleistungen sehen sich seit Jahren mit einer steigenden Anzahl von Missbrauchsfällen bei der Nutzung ihrer Telekommunikationsnetze und -dienstleistungen konfrontiert. 90 Delegierte von Polizei, von IKT-Netz- und Dienstebetreibern, vom Deutschen Fraud Forum und weitere Tagungsteilnehmer/innen tauschten Informationen über aktuelle Missbrauchsszenarien aus, erörterten gesetzliche Rahmenbedingungen und harmonisierte Vorgangsweisen. Partner der Fraud Tagung 2014, die wesentlichen Anteil am Zustandekommen der Tagung hatten, waren A1 Telekom Austria AG, atms Telefon- und Marketing Services GmbH, Cedros Gesellschaft für Datenverarbeitung mbH, CRIF GmbH, Ericsson Austria, Fachhochschule Technikum Wien, Fachverband der Telekommunikations- und Rundfunkunternehmungen, Hutchison Drei Austria GmbH, ISPA – Internet Service Providers Austria, nic.at GmbH, Mass Response Service GmbH, Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH), Tele2 Telecommunication GmbH, T-Mobile Austria GmbH und UPC Austria Services GmbH. Beitrag 1: Auswirkungen der EU Datenschutzreform auf die Kooperation zwischen Polizei und Telekommunikationsunternehmen – das Zusammenspiel der Grundverordnung und der Richtlinie für den Polizei- und Justizbereich nach den aktuellen Vorschlägen im Reformprozess Der Vorschlag der EU-Kommission für eine Datenschutzreform aus 2012 enthält neben einer Datenschutz-Grundverordnung auch einen Entwurf für eine Datenschutz-Richtlinie für den Bereich der Strafverfolgung und -prävention. Der Beitrag von Dr. Christof Tschohl, Zentrum für digitale Menschenrechte, bot einen Überblick zu den wichtigsten Neuerungen sowie eine Einschätzung der Auswirkungen auf die Kooperation zwischen IKT-Anbietern und Strafverfolgungs- bzw. Sicherheitsbehörden. Beitrag 2: Standortdatenbeauskunftung – eine Baustelle für den Gesetzgeber? Mag. Peter Gildemeister von der Oberstaatsanwaltschaft Wien stellte die rechtliche Situation zur Standortdatenbeauskunftung in Österreich dar. Die Welt der elektronischen Kommunikation, die vor einem Jahrzehnt im Wesentlichen noch Festnetz und Mobiltelefonie einschließlich der Standarddienste Fax, SMS und E-Mail umfasste, erweitert sich zunehmend um sonstige Text-, Audio und Videonachrichtendienste, die nicht mehr von nationalen Netzbetreibern und/oder Diensteanbietern, sondern von global agierenden Anbietern zur Verfügung gestellt werden. Dies stellt den im nationalen Rahmen agierenden Gesetzgeber vor die Herausforderung, insbesondere seine Bestimmungen über Datenspeicherund Mitwirkungsverpflichtungen bezüglich Kommunikationsüberwachung an die neue Realität anzupassen. Beitrag 3: Sicherheit und Integrität von Netzen und Diensten nach der TKG-Novelle 2011 1 Mag. Leopold Löschl, Bundeskriminalamt/BMI schloss mit dem Vortrag an seine Ausführungen „Cybercrimestrategie und Einrichtung des C4 im BMI“ bei der Fraud Tagung 2013 an, vgl. e&i 130 (2013), H. 4-5, S. a26 - a28. April/Mai 2014 © Springer-Verlag Wien Dipl.-Jur. Andreas Ney LL.M. vom Fachverband Telekom-Rundfunk der Wirtschaftskammer Österreich führte aus, dass die Integrität von Datennetzen und die Sicherheit der darüber transportierten Daten eine Kernaufgabe der Provider ist, die neben ständiger Wachsamkeit hohe Investitionen in Infrastruktur und Steuerungstechnik erfordert, um das von den Kunden erwartete hohe Sicherheitsniveau zu gewährleisten. Die österreichischen Telekom- und Internetprovider erfüllen diese Anforderungen seit Jahren schon auf höchstem Niveau. Nichtsdestotrotz werden auch künftig große Anstrengungen nötig sein, den Missbrauchsszenarien wirksam entgegenzutreten. Beitrag 4: Das ISPA Mustersicherheitskonzept Betreiber von Kommunikationsnetzen sind gesetzlich dazu verpflichtet, die Integrität ihrer Netze zu gewährleisten. Für diesen Zweck haben sie technisch und organisatorisch geeignete Maßnahmen zu ergreifen, welche für die Beherrschung der Risiken geeignet sind. Martin Prager, Vorstand der ISPA – Internet Service Providers Austria, referierte darüber, dass die ISPA in Zusammenarbeit mit der Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) ein Mustersicherheitskonzept erarbeitet hat, das speziell kleineren und mittleren Unternehmen dabei behilflich sein soll, gesetzliche Vorgaben hinsichtlich der Integrität und Sicherheit von Netzen umzusetzen. Beitrag 5: Aktuelle Entwicklungen im C4 Cybercrime Competence Center1 Cybercrime als eine internationale Kriminalitätsform gewinnt zunehmend an Bedeutung, die Hersteller von Antivirenprogrammen berichten von weltweit 1,5 Millionen Opfern durch Internetkriminalität pro Tag. Diese massive Bedrohung heft 3.2014 a 19 praxis+wissen stellt insbesondere die Polizeibehörden vor eine große Herausforderung und erfordert eine neue, schnellere Form der Zusammenarbeit sowie eine besondere Bürgernähe. In Österreich wurde daher im Bundeskriminalamt das Cybercrime Competence Center, kurz C4, eingerichtet. Einerseits soll damit die nationale und internationale polizeiliche Zusammenarbeit in Form einer Zentralstelle koordiniert werden. Anderseits bildet C4 die österreichweite Schnittstelle zur Bevölkerung. Am 01.03.2014 wurde deshalb in der C4-Meldestelle ein 24/7-Journaldienst eingerichtet. Zu den Aufgaben der C4-Meldestelle gehören neben den Schnittstellen- und Koordinierungsfunktionen auch die IT-technische Erstdiagnose, Einleitung von internationalen Ermittlungen, inkl. Auslandskorrespondenz, sowie Einleitung und Durchführung von Sofortmaßnahmen, wie beispielsweise „Ad hoc“-Sicherungen, Sicherung von IT-Beweismitteln und mobilen Geräten sowie erforderlichenfalls deren Auswertung. In C4 sind darüber hinaus viele Schulungsaktivitäten, entsprechend dem von Mag. Löschl projektierten Schulungskonzept, in Vorbereitung, welche ab Juni 2014 auf Expertenebene beginnen. Beitrag 6: Inside Cybercrime Im Vortrag „Inside Cybercrime“ von Erhard Friessnik, MSc, vom Cyber Crime Competence Center des Bundeskriminalamtes und FH-Prof. Dipl.-Ing. Dr. Thomas Sommer von der Fachhochschule Technikum Wien wurde die Economy des Cybercrimes, der Handel mit Malware in Untergrundforen sowie die organisierten Prozesse der Cyber-Kriminellen vorgestellt. Technische Zusammenhänge wurden erklärt, im Speziellen „Drive By Download“-Angriffe sowie kriminelle Anwendungsbereiche von Botnetzen. Dabei wurde auf die Wichtigkeit der Schaffung von Awareness bei Usern, Entwicklern und Entscheidungsträgern hingewiesen sowie die sich aus der Cyber-Kriminalität ergebenden Herausforderungen für die Polizei aufgezeigt. a 20 heft 3.2014 Beitrag 7: Cybercrime, Cyberwar und Hacktivism – aktuelle Bedrohungen im Internet Einleitend stellte Robert Schischka, CERT. at die Aufgaben des nationalen Computer Emergency Response Teams als Ansprechpartner für IT-Sicherheit bei Sicherheitsvorfällen und als Plattform für Vernetzung der IT-Security-Experten in Österreich dar. Aktuelle Gefahren im Cyberspace werden durch Trends zu Professionalisierung und Arbeitsteilung auf allen Ebenen verstärkt. Fallstudien ergaben, dass kein IKT-System 100 % sicher ist und es Incidents auch bei Security-Hersteller geben kann. Botnetze – das „Schweizer Taschenmesser“ der Underground Economy – erlauben sehr einfach alle Arten von Angriffen, unterstützt durch zunehmende Leistungsfähigkeit der Endgeräte und durch „always on“. Investitionsbereitschaft für IT-Sicherheit entspricht kaum den permanenten Bedrohungen. Beitrag 8: Vorratsdatenspeicherung aktuell – eine rechtliche Beurteilung der Schlussanträge des Generalanwalts beim EuGH Der Vortrag von Dr. Christof Tschohl, Zentrum für digitale Menschenrechte, bot eine kritische Auseinandersetzung mit der Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG. Im Zentrum standen das Verfahren beim Gerichtshof der Europäischen Union (EuGH) und die zugrunde liegende österreichische Massenbeschwerde von 11.139 Menschen an © Springer-Verlag Wien den Verfassungsgerichtshof (VfGH). Der Antragsautor und Erstbeschwerdeführer der „Sammelbeschwerde“ kritisierte die flächendeckende Datenspeicherung ohne Verdacht als unverhältnismäßig und grundrechtswidrig. Am 08.04.2014 hat nun der EuGH die Richtlinie aufgehoben und ist dabei weitgehend den Argumenten der Antragsteller gefolgt. Der VfGH wird im Herbst 2014 über die innerstaatliche Umsetzung entscheiden und diese wahrscheinlich aufheben. Beitrag 9: Mit Daten Mehrwert schaffen – Betrugsprävention durch OnlineAuthentifizierung Sepp Puwein, BSc, von CRIF Austria weckte das Interesse der Zuhörer mit dem Beitrag „Mit Daten Mehrwert schaffen – Betrugsprävention durch Online-Authentifizierung“. Mit dem stetigen Wachstum des E-Commerce steigt auch zunehmend die Gefahr von Identitätsdiebstahl und Online-Betrug. Der CRIF IdentCheck ermöglicht es, einen Ausweis online und ohne Medienbruch zu überprüfen und dabei gleichzeitig die Daten entsprechend weiterzuverarbeiten. Beitrag 10: c.-FIRST – gemeinsam stark mit einer Fraud Firewall Bernd Ritscher, Cedros GmbH, stellte einen Usecase für International Revenue Share Fraud vor und demonstrierte, welche Gefahren für die Telekommunikationsanbieter daraus entstehen. Mit c.-FIRST „Fraud Identity Register - Service e&i elektrotechnik und informationstechnik praxis+wissen for Telco‘s“ entwickelt Cedros eine Plattform, über die Provider auffällige Kennungen aus ihrem Fraud-Monitoring sicher, schnell und strukturiert austauschen können. c.-FIRST kann länderübergreifend eingesetzt und mit umfangreichen Informationen zu Rufnummerngassen, Gerätekennungen u.v.m. aufwarten. Ein gutes Hilfsmittel für die Fraud-Erkennung. Beitrag 11: Bitcoin Mythen – transparent, sicher und anonym? Die digitale Währung Bitcoin hat in den letzten Jahren enormes mediales Echo erfahren. Dabei werden aber häufig tatsächliche Fakten mit Mythen um die CyberWährung vermischt. Dr. Dietmar Schreiner vom Bundeskriminalamt/BMI erklärte im Beitrag „Bitcoin Mythen – transparent, sicher und anonym?“ die tatsächliche Funktionsweise der Währung und des zugrundeliegenden globalen Systems. Der Vortrag beleuchtete Möglichkeiten der Sicherstellung und Ermittlung, erörterte häufig kolportierte falsche Annahmen und Trugschlüsse im Bereich Sicherheit und Anonymität und skizzierte Angriffsszenarien auf das Bitcoin-System selbst. Beitrag 12: Identitätsmissbrauch – wer bist Du und wie oft gibt es Dich? Dieter Zeller (Chairman Deutsches Fraud Forum, Deutsche Telekom AG Group Services, Group Business Security, Leiter Sicherheitslage, Notfall-, Krisenmanage- ment) stellte die Aufgaben und Ziele des Deutschen Fraud Forums vor und bot weitere Vernetzung in gemeinsamen Themen an. Claudia Sehr (Boardmember Deutsches Fraud Forum, 1&1 Internet AG) erklärte das Spannungsfeld, in dem sich Firmen bei Vermarktung der Produkte im Internet bewegen, wie beispielsweise nur wenige Hürden im Bestellprozess und schnelle Bereitstellung der Dienstleistung. Für Fraud Manager entstehen durch Produktvielfalt, Angebote, Vertriebswege, Datenabfrage, Zahlungs- und Versandwege große Herausforderungen, angemessen und zeitnah mit risikominimierenden Maßnahmen zu reagieren, um Missbrauch und Betrug zu verhindern. Alle Betrugsarten im Bestellprozess wurden dargestellt, insbesondere der Identitätsmissbrauch, dem oftmals der Diebstahl echter Identitäten vorausgeht. Möglichkeiten, um diese und andere Betrugsarten zu identifizieren, wurden dargestellt, wobei meist die Kombination verschiedener Maßnahmen den gewünschten Effekt bringt. Beitrag 13: Fraud Management in the Networked Society – from Counter Fraud Solutions to Real Time proacitve Fraud Detection Von der Firma Ericsson präsentierten Ricardo Bacena und Stephen Huggard das Thema „Fraud Management in der vernetzten Gesellschaft“. Unsere vernetzte Gesellschaft ist auf dem Weg zu „5G“ als Summe integrierter Funktechnologien. Sicherheitsgefährdungen treten aus der Koexistenz von Schlüsselbereichen auf: Kommunikation von Geräten, flächendeckende Erreichbarkeit, minimaler DatenOverhead, geringste Latenz, höchste Zuverlässigkeit etc. Durch Zusammenarbeit mit weltweit führenden Telekom-Betreibern wurde von Ericsson das bisher einzig echte End-to-End OSS/BSS-Lösungsportfolio mit Sicherheits- und Fraud-Management-Dienstleistungen entwickelt. Das Sicherheitszuverlässigkeitsmodell SRM (Security Reliability Model) von Ericsson gewährleistet das erforderliche Sicherheitsniveau in allen Produkten, eine gute Ausgangsposition in künftigen Netzen, die eine immer zentralere Rolle in der Gesellschaft einnehmen werden. Trotz der in zwei Halbtage gedrängten Vortragsfolge bot die gut organisierte Tagung den Teilnehmern wieder ausreichend Gelegenheit für Erfahrungsaustausch und für Networking. Autoren Edith Gozdal, Dipl.-Ing. Dr. Helmut Malleck, Geschäftsstelle des Arbeitskreises für technische Koordination für öffentliche Kommunikationsnetze und -dienste (AK-TK) in der ÖFEG GmbH, Arsenal Objekt 24, 1031 Wien, E-Mail: ak-tk@oefeg.at, Internet: www.oefeg.at/ak-tk 8. FNN-/ETG-Tutorial Schutz- und Leittechnik 2014 Bericht von der FNN-/ETG-Fachtagung Am 5. und 6. Februar 2014 wurde in Neuss/D das 8. FNN-/ETG-Tutorial Schutzund Leittechnik durchgeführt. Diese für die Fachleute der Schutz- und Leittechnik sehr wichtige Fachtagung findet ca. alle zwei Jahre statt und stand dieses Mal unter dem Motto „Auswirkung der Energiewende auf die Energieversorgungs- April/Mai 2014 netze, insbesondere auf die Schutz- und Leittechnik“. Die Tagung war mit 420 Teilnehmer/innen sehr gut besucht und bot mit 22 namhaften Ausstellern eine umfangreiche Fachausstellung. Somit bildete sie eine messeartige Plattform für die Marktpartner der Schutz- und Leittechnik. © Springer-Verlag Wien Dank der traditionell guten Zusammenarbeit vor allem der deutschen und österreichischen Fachgremien und mit Unterstützung durch die Fachverbände aus Deutschland, Österreich und der Schweiz hatte die Programmkommission ein anspruchsvolles und aktuelles Programm erstellt, das von kompetenten Referenten heft 3.2014 a 21