Österreich probt massiven Cyberangriff auf Banken-Sektor

Eine massive Cyberangriffswelle ist am Donnerstag auf das Industrieunternehmen Optiteq und die OeBank zugerollt. Eine kriminelle Organisation versuchte Daten abzugreifen, Lösegeld von den Unternehmen zu erpressen und verbreitete gleichzeitig gefälschte Informationen auf Social Media. 

Glücklicherweise sind die Gefahr sowie die Unternehmen nicht real, sondern Teil eines Cyber-Planspiels, das von der Bawag Group, dem Kompetenzzentrum Sicheres Österreich (KSÖ) und dem AIT Austrian Institute of Technology veranstaltet wurde.

➤ Mehr lesen: 5G-Cybernotfall wird in Österreich geprobt

“Die Bawag ist jeden Tag mit Cyberangriffen konfrontiert”, sagte Bawag-Vorstand Guido Jestädt in den Bawag-Räumen in der Nähe des Wiener Hauptbahnhofs, in denen auch das Planspiel stattfindet. “Man hört in den letzten Jahren kaum von Banküberfällen, aber immer öfter von Cyberattacken auf Banken. Daher ist es unsere oberste Priorität, den Zahlungsverkehr sicher zu gestalten.”

Internationale Experten vor Ort

Beim mittlerweile 7. KSÖ-Planspiel trainierten insgesamt 100 Personen den Ernstfall. Die Experten kamen nicht nur aus Österreich, sondern auch aus Italien, Deutschland und sogar Israel. “Kriminelle machen nicht vor nationalen Grenzen halt, also sollten wir das auch nicht tun”, so Jestädt. KSÖ-Vizepräsident und IT-Sicherheitsforscher Helmut Leopold stimmte dem bei: “Sicherheit kann nicht von einem alleine gewährleistet werden. Das ist Teamarbeit.”

➤ Mehr lesen: Wie man mit einem österreichweiten Blackout umgeht

Das Trockentraining in der digitalen Simulationsumgebung soll den Gefahren in der echten Welt möglichst nahekommen. Bankkunden sind laut Jestädt besonders exponiert, “besonders wenn es um Phishing, also das Abfischen von Kundendaten geht.” Kriminelle nutzen dabei gefälschte E-Mails oder SMS, um die Bankdaten ihrer Opfer in die Hände zu kriegen. Klickt man auf den Link, wird man meistens auf eine gefälschte Webseite weitergeleitet, wo man seine Daten eingeben kann.

Manipulation nur schwer erkennbar

Solche Maschen seien von den IT-Systemen der Banken noch gut erkennbar. Wenn etwa unübliche Käufe oder Überweisungen getätigt werden, schrillen bei der Bank bereits die Alarmglocken. “Schwieriger wird die Früherkennung, wenn die Opfer manipuliert werden, selbst Überweisungen durchzuführen - etwa beim Enkeltrick”, sagt Jestädt. Hier gilt es, die Systeme durch Künstliche Intelligenz noch schlauer zu machen, um solche “nicht koscheren Transaktionen früh zu erkennen.”

➤ Mehr lesen: Cybersecurity Planspiel: "Verbesserungspotenzial schon früh erkennen"

Beim Planspiel waren allerdings nicht nur IT- und Unternehmensexperten anwesend, sondern auch Vertreter aus dem Innenministerium. Denn auch die staatliche Seite spielt bei der Cybersicherheit eine wichtige Rolle. “Datenschutzgesetze schützen manchmal die falschen Leute, nämlich die Kriminellen”, kritisiert hier Jestädt. Gerne würde man Daten mit anderen Banken austauschen, um Betrügern schneller auf der Spur zu sein. Durch Datenschutz ist das nur schwer möglich.

Anti-Spoofing-Verordnung schränkt Spam ein

Positiv streicht er allerdings die Anti-Spoofing-Verordnung hervor, die mit 1. September umgesetzt wurde. Diese verhindert, dass ausländische Kriminelle mit österreichischen Rufnummern Spam-Anrufe durchführen können. Jestädts Hoffnung ist, dass man künftig auch weniger Spam-SMS erhält. Telekom-Anbieter könnten problematische SMS zwar technisch bereits filtern und zurückhalten, rechtlich sei das allerdings nicht zulässig.