IT-Sicherheit

Datendiebstahl – Gefahr und Bedrohung

Innenminister Gerhard Karner, das Bundeskriminalamt (BK) und die PSA Payment Services Austria GmbH (PSA) luden am 23. November 2023 im Bundeskriminalamt zur Auftaktveranstaltung der "Plattform gegen Daten-Phishing". Die Veranstaltung bot den teilnehmenden Bankinstituten und Institutionen die Möglichkeit zur Information und Vernetzung.

"Im Fokus der heute gestarteten Plattform steht vor allem die enge Vernetzung zwischen Banken und der Polizei. Das wirksamste Mittel im entschlossenen Vorgehen gegen den Internetbetrug ist die Prävention und Aufklärung. Genau dieses Ziel verfolgen wir durch den gemeinsamen Auftakt zur Plattform gegen Datendiebstahl im Internetbetrug", so Gerhard Karner.

"Ermittlungen gegen die Täter sind höchst komplex und führen meist ins Ausland", erklärte BK-Direktor Andreas Holzer. "Als Kriminalpolizei müssen wir daher einen noch stärkeren Fokus auf die Prävention in diesem Bereich setzen. Das gelingt uns am besten, wenn wir mit allen Beteiligten Hand in Hand arbeiten und für einen raschen Informationsaustausch sorgen."

"Es zeigt sich einmal mehr, dass es nicht nur repressive, sondern auch präventive Maßnahmen benötigt, um dieses Phänomen zu bekämpfen. Die heutige Plattform bietet daher nicht nur die Möglichkeit sich zu vernetzen, sondern auch von gemeinsamen Erfahrungen zu profitieren und neue Vorgehensweisen zu erarbeiten", sagte Generaldirektor Franz Ruf.

Im Rahmen der Veranstaltung teilten neben Experten des Bundeskriminalamts auch Vertreter unterschiedlicher Institutionen, Unternehmen und Banken ihr Wissen und ihre Erfahrungen. Bernhard Schafrath, Leiter des Büros für Kriminalprävention und Opferschutz im BK und Thomas Von der Gathen von PSA stellten gemeinsam die Intention der "Plattform gegen Phishing" vor. "Wir wollen in regelmäßiger Zusammenarbeit, bei Tagungen und Arbeitsgruppen, einen raschen Informationsaustausch aller Stakeholder sicherstellen. Gemeinsam werden wir Maßnahmen erarbeiten, die die Bürgerinnen und Bürger noch weiter für die Bedrohungen sensibilisieren und sie so bestmöglich vor jeglichen Datendiebstahl schützen", erklärte Bernhard Schafrath. Robert Schischka, Geschäftsführer von nic.at CERT.at informierte über altbekannte und neue Trends beim Phishing und Patricia Staniek erklärte Phishing aus der Sicht der Verhaltensanalyse.

Cyber-Experten des Bundeskanzleramts, der Telekom Austria, der Bawag Group und der Bank Austria zeigten aktuelle Fallbeispiele und Vertreter von Watchlist Internet erklärten, wie sich Fallen erkennen und ein Bewusstsein im Hinblick auf Datendiebstahl stärken lässt.

"Betrug im Internet hat viele Gesichter - neben Phishing mit E-Mails und SMS setzen Cyberkriminelle aktuell auf Social Engineering Angriffe wie beispielsweise den 'Hallo Mama/Papa'-Trick oder vorgetäuschte Callcenter-Anrufe. Wir gehen davon aus, dass Betrüger zunehmend auch künstliche Intelligenz zum Einsatz bringen werden. Diese Bedrohung können wir nur gemeinsam abwehren - und zwar durch eine intensivere Zusammenarbeit der Banken mit Telekommunikations-Anbietern, der Exekutive und unseren Kunden, die für Cyber-Gefährdungslagen bestmöglich sensibilisiert sein müssen.", erklärte Guido Jestädt, Vorstandsmitglied bei der BAWAG Group.

Im Rahmen des vorangehenden Pressegesprächs erklärte Gerda Holzinger-Burgstaller, Vorstandsvorsitzend Erste Bank: "Die Gefährdung durch Phishing nimmt leider weiter zu. Die Methoden von Kriminellen, sich Zugang zu Passwörtern und persönlichen Daten zu verschaffen, werden immer raffinierter. Oft sind für Kundinnen und Kunden die betrügerischen Absichten nur schwer zu erkennen und trotz aller Warnmitteilungen über Medien und allen zur Verfügung stehenden Kanälen geben Kundinnen und Kunden immer wieder - im guten Glauben und ohne weitere Überprüfung der Plausibilität - Zahlungen frei. Wir sehen einen großen Bedarf an weiteren Schritten und Aufklärungskampagnen, um die Menschen vor diesen Betrügern zu schützen. Deshalb werden wir gemeinsam und mit geballter Kraft den Betrügern den Kampf ansagen. Der höchstmögliche Schutz der Kundinnen und Kunden ist unser gemeinsames Ziel."

Harald Flatscher, Geschäftsführer PSA Payment Services Austria GmbH betonte: "Wir schätzen den aktiven Austausch und das gemeinsame Vorgehen mit den Sicherheitsbehörden und den Banken außerordentlich. Nur durch einen Schulterschluss aller Beteiligten kann es gelingen, die Gefahren für alle sichtbar zu machen und Gegenmaßnahmen zu kommunizieren, um zu verhindern, dass Menschen durch Betrügereien im digitalen Raum geschädigt werden. Genau dafür haben wir gemeinsam mit dem Bundesministerium für Inneres und den heimischen Banken diese Plattform gegen Daten-Phishing ins Leben gerufen, um so für ein sicheres, digitales Österreich sorgen."

"Erstmals ist es gelungen, dass Vertreterinnen und Vertretern aus allen Bereichen – der Polizei, der Banken, der Telekommunikationsanbieter – an einem Strang ziehen, um dem Phänomen des Phishing Herr zu werden. Im Mittelpunkt steht für uns alle die Sicherheit unserer Kundinnen und Kunden beim bargeldlosen Zahlungsverkehr. Ich bin überzeugt davon, dass unser gemeinsames Vorgehen ein wichtiger Schritt in die richtige Richtung ist und bedanke mich bei den Initiatoren für das große Engagement", sagte Mag. Gregor Hofstätter-Pobst, CFO/CRO Wüstenrot Gruppe und Wüstenrot Bank.

"Der heutige Tag setzt ein Zeichen und macht deutlich, wie wichtig ein gemeinsames Vorgehen gegen Phishing ist – wir bündeln unsere Anstrengungen und arbeiten gemeinsam daran die Bevölkerung dafür zu sensibilisieren. Aufklärung und Prävention sind hier der Schlüssel zum Erfolg. Wir sind stolz darauf, dass wir von Beginn an Teil dieser Initiative sind und unsere Erfahrungen und Kenntnisse hier einbringen können und dazu beitragen, gemeinsam die Sicherheitsstandards für den elektronischen Bezahlvorgang weiterhin zu optimieren und abzusichern", unterstrich Robert Fritz, COO/CIO Mitglied des Vorstandes von Card Complete.
"Das Thema IT-Sicherheit und Cyber-Security genießt bei der Raiffeisenlandesbank NÖ-Wien mit Blick auf unsere Kundinnen und Kunden höchste Priorität. Wir verfügen hier über ein engmaschiges Kontrollsystem und umfassende Maßnahmen gegen etwaige Bedrohungsszenarien. Zudem unterziehen wir uns im Rahmen stetiger Qualitäts- und Sicherheitskontrollen regelmäßigen internen wie externen Überprüfungen. Wir begrüßen daher diese Expert:innen-Plattform für den Austausch über mögliche Gefahrenquelle. Ziel ist es, Täterinnen und Tätern einen Schritt voraus zu sein und gemeinsam wichtige Aufklärungsarbeit zum Schutz der Menschen zu leisten", erklärte Roland Mechtler, Vorstandsdirektor Effizienz, Technology und Treasury der Raiffeisenlandesbank Niederöstereich-Wien.

"In unseren Beratungen über Strategien, Technologien und Richtlinien steht ein Ziel im Fokus: Wir wollen den Cyber-Bedrohungen immer einen Schritt voraus sein und insbesondere unsere Kundinnen und Kunden bestmöglich schützen. Cyber-Kriminalität lässt sich nur dann effektiv bekämpfen und Schäden minimieren, wenn wir branchenintern sowie branchenübergreifend intensiv zusammenarbeiten – und genau das werden wir tun!", betonte Robert Zadrazil, stellvertretende Obmann der Sparte Bank und Versicherung der Wirtschaftskammer Österreich, Präsident des Bankverbandes und CEO der UniCredit Bank Austria.

Was ist Phishing?
Phishing ist eine Technik, mit der Cyberkriminelle über das Internet oder SMS versuchen durch Betrug und Täuschung an persönliche Daten zu kommen. Über E-Mails, SMS oder betrügerische Webseiten werden Empfängerinnen und Empfänger aufgefordert, Links zu folgen oder Dateianhänge (zum Beispiel Formulare) zu öffnen und anschließend persönliche Daten wie Kontodaten, Kreditkartennummern oder Zugangsdaten zu Accounts einzugeben. Kriminelle geben sich auf verschiedene Arten als Bankinstitute aus und versuchen den Opfern Daten, Pins oder Tans zu stehlen oder Schadsoftware auf den Endgeräten der Opfer zu installieren.

Ein Angriff besteht aus drei Komponenten
1. Der Angriff erfolgt immer über ein elektronisches Kommunikationsmittel wie E-Mail, SMS, WhatsApp-Nachricht oder Telefon.
2. Der Täter gibt sich als ein vertrauenswürdiges Unternehmen oder Person aus.
3. Das Ziel besteht darin, dem Opfer vertrauliche persönliche Informationen wie Zugangsdaten oder Kreditkartennummern zu entlocken oder die Opfer zu Zahlungen, die sie selbst durchführen, zu verleiten.

Verschiedene Varianten
E-Mail Phishing: Das ist die häufigste Form von Phishing und findet über den Versand von E-Mails statt. In den E-Mails befinden sich Links zu Betrugs-Webseiten, die den originalen Seiten zum Verwechseln ähnlich sehen. Die Empfängerinnen und Empfänger werden anschließend aufgefordert den Links zu folgen und dort gebeten persönliche Daten wie Passwörter, Pins und Tans, etc. einzugeben.
Smishing: Diese Form verläuft mittels SMS oder WhatsApp. Man erhält eine SMS, in der man aufgefordert wird einen Link anzuklicken oder eine App zu installieren. Wenn dies erfolgt, werden möglicherweise Malware auf ihr Mobilgerät heruntergeladen.
Website-Phishing: Phishing-Websites sind gefälschte Kopien vertrauenswürdiger Websites. Täter wollen ihre Opfer mit diesen Websites dazu verleiten, sich mit ihren Benutzerdaten anzumelden, um so an die Daten zu gelangen. Später können sich die Täter mit den Benutzerdaten bei den echten Konten ihrer Opfer anmelden.

Empfehlungen der Kriminalprävention
• Kein seriöses Unternehmen verlangt per E-Mail persönlichen Daten wie Passwörter.
• Folgen Sie keinen Links in E-Mails oder SMS, die zur Eingabe persönlicher Daten auffordern! Geben Sie außerdem niemals Login-Daten, Passwörter oder TANs weiter, egal ob über Links, E-Mails oder telefonisch!
• Überlegen Sie, ob Sie überhaupt Kunden dieses betreffenden Unternehmens sind!
• Wenn Sie den Inhalt der Nachrichten prüfen wollen, rufen Sie die Website des Anbieters, von dem die Nachricht angeblich stammt, auf üblichem Wege auf und loggen Sie sich dort ein oder wenden Sie sich direkt an den Kundenservice des jeweiligen Unternehmens!
• Achten Sie auf sprachliche Fehler, insbesondere Rechtschreibung und Grammatik, in den Nachrichten!
• Prüfen Sie, ob die Verlinkungen in den Nachrichten Sie auf die echte Website weiterleiten, indem Sie mit Ihrer Maus, ohne zu klicken, über diese fahren!
• Öffnen Sie keine unbekannten Dateianhänge in unerwarteten E-Mails oder sonstigen Nachrichten. Es handelt sich häufig um Schadsoftware!
• Verschieben Sie Phishing-Mails in Ihren Spam-Ordner, so wird Ihr E-Mail-Programm angelernt und verschiebt in weiterer Folge Phishing-Mails automatisch in den Spam-Ordner!
• Oft werden Sie auf Phishing-Seiten und -Mails zur Installation vermeintlicher Sicherheits-Apps aus unbekannter Quelle aufgefordert. Installieren Sie Apps nur aus bekannten Stores! Durch den Zugriff auf Ihr Computer-System erlauben Sie den Kriminellen, Ihr Gerät auszuspionieren.
• Übermitteln Sie keine Ausweiskopien an unbekannte Personen oder Unternehmen beziehungsweise nur mit Wasserzeichen versehen! Des Weiteren soll ersichtlich sein zu welchem Zweck, für wen der Ausweis bestimmt ist und das Datum muss ersichtlich sein.

Sie sind in die Phishing-Falle getappt?
• Kontaktieren Sie sofort das Unternehmen, das als vermeintlicher Absender der Phishing-Nachrichten angegeben ist und besprechen Sie das weitere Vorgehen zur Schadensabwehr und Schadensminimierung!
• Sollten Sie bereits vertrauliche Daten wie Bankdaten, TANs oder Kreditkartendaten bekanntgegeben haben, lassen Sie sicherheitshalber die entsprechenden Bankkonten, Online-Banking-Zugänge oder Kreditkarten sperren. Dadurch vermeiden Sie den Zugriff durch unbefugten Zugriff!
• Sollten Sie Ihre persönlichen Daten bereits bekannt geben haben, loggen Sie sich in den entsprechenden Accounts ein und ändern Sie sofort Ihr Passwort! Achten Sie auf getätigte Bestellungen und stornieren Sie diese gegebenenfalls! Ist kein Login mehr möglich, da die Betrüger/innen Ihr Passwort bereits geändert haben, setzen Sie sich mit den Website-Betreibern in Verbindung und verlangen Sie die umgehende Deaktivierung des entsprechenden Accounts!

Weitere Informationen erhalten Sie auf der Homepage der Kriminalprävention des Bundeskriminalamtes, der Watchlist Internet und natürlich auch auf jeder Polizeiinspektion.