Cyberkriminalität

Nach Cyberangriff auf Telekom Austria: Diskussion um härtere Strafen

Anfang dieser Woche wurde eine Cyberattacke bei der Telekom Austria bekannt, die im Mai nach sechs Monaten abgewehrt wurde. Als Reaktion fordert Innenminister Nehammer schärfere Strafen für Datendiebstahl, die derzeit ausgesprochen gering seien.

Nach dem Cyberangriff auf die Telekom Austria hat Innenminister Karl Nehammer (ÖVP) schärfere Strafen für Datendiebstahl gefordert. Die Strafandrohungen seien derzeit gering, teilte er in einer Stellungnahme mit. Die Ermittlungsbehörden bräuchten mehr Handhabe.

Aktuell sei beispielsweise laut Strafgesetzbuch auf den widerrechtlichen Zugriff auf ein Computersystem ein Strafrahmen von maximal sechs Monaten vorgesehen.

Angriff auf Telekom Austria dauerte sechs Monate

Anfang dieser Woche wurde eine Cyberattacke bei der Telekom Austria bekannt, die im Mai nach sechs Monaten abgewehrt wurde. Unbekannte Angreifer hatten ein halbes Jahr lang Zugriff auf Systeme des Konzerns. Der Angriff habe im November 2019 begonnen und sei nach einem Monat, im Dezember, durch gekaperte Konten in den Office-Systemen entdeckt worden.

White Paper zum Thema

Auf Kundendatenbanken habe es keine Zugriffe gegeben, so Telekom-Sicherheitschef Wolfgang Schwabl. Das könne man anhand der Systemprotokollen (Logfiles) nachvollziehen. Es habe sich um eine gezielte, manuelle Attacke gehandelt, nicht um einen Virus, einen Erpressungstrojaner oder ein anderes automatisiertes Schadprogramm. "Der oder die Angreifer haben sich sehr für die Sendekatasterdatenbank interessiert", so Schwabl. Darin ist gespeichert, wo in Österreich die Funkmasten von A1 stehen.

Insgesamt sei auf "einige wenige Dutzend" von tausenden Telekom-Servern zugriffen worden. Schwabl vermutet, dass die Hacker versucht haben, Vorbereitungen für eine spätere Spionage zu treffen. Bei der Abwehr im Mai seien alle Server zurückgesetzt worden und bei allen Passwörtern eine Zwei-Faktor-Authentifizierung eingeführt worden, der Angreifer sei seither draußen, so Schwabl. Die kritische Infrastruktur wie das Mobilfunknetz oder Festnetz waren abgekoppelt worden.

Die Behörden seien von Anfang an involviert gewesen, wurde betont. Die mediale Information sei aber erst im Nachhinein erfolgt, um dem Angreifer nicht zu verraten, was man über ihn wisse. Durch den Corona-Lockdown hatte sich der Tag der Abwehr von März auf Mai verzögert.

"Minister Nehammer: Ermittler arbeiten mit Hochdruck"

"Die Ermittler unserer Spezialeinheiten arbeiten mit Hochdruck an der Aufklärung dieser Kriminalfälle - leider fehlt ihnen dazu aber aufgrund der geringen Strafandrohungen oftmals die Handhabe. Daher braucht es schärfere Strafen bei Datendiebstahl", so der Innenminister.

Derzeit führten "die digitalen Gegebenheiten und die derzeit geltenden Cybercrime-Bestimmungen" zum Teil in sehr sensiblen Ermittlungsverfahren immer wieder zu Ermittlungshindernissen bzw. auch zu Strafbarkeitslücken, hieß es aus dem Innenministerium. Im Regierungsprogramm seien Strafverschärfungen vorgesehen. Nehammer werde nun einen Dialogprozess mit allen relevanten Playern starten, um eine Reform der gesetzlichen Rahmenbedingungen voranzutreiben, kündigte das Ministerium an.

Arge Daten lehnt Nehammers Forderung ab

Ablehnend äußerte sich Hans Zeger von der Arge Daten im APA-Gespräch. Schon jetzt gebe es genügend Möglichkeiten, Cyberkriminalität zu bekämpfen, nur müsste man das Internet "endlich ernst nehmen" und nicht wie eine Krankheit behandeln, die irgendwann wieder verschwinden werde. Man müsse akzeptieren, dass hier auch Geschäfte gemacht werden und es gebe eine Reihe von Maßnahmen, mit denen man die Bedrohung stark verringern, wenn auch nicht ganz verhindern, könnte. Dazu gehören laut Zeger eine Zwei-Faktor-Authentifizierung und die laufende Beobachtung ungewöhnlichen Verhaltens.

Nehammer sollte sich, wenn es ihm nicht nur um mehr Rechte für die Polizei geht, um eine sichere Infrastruktur kümmern. Dies könnte etwa dadurch geschaffen werden, wenn vom Gesetz her geschäftliche Kommunikation nur mehr mit einer digitalen Signatur erlaubt wäre. Diese würde ein Unternehmen lediglich fünf Euro pro Jahr kosten und, so der Obmann der Arge Daten, eine automatische Selektion betrügerischer Mails ermöglichen. Letztlich würde das in Österreich Hunderte Millionen bis Milliarden Euro sparen.

"Thema Cybercrime in Österreich ernst nehmen"

Generell müsste man das Thema Cybercrime ernst nehmen, was in Österreich oft nicht der Fall wäre: "Was es da beim Bundeskriminalamt und den Landeskriminalämtern gibt, ist personell ein Witz." Man benötige laut Zeger mindestens 100 bis 200 Leute, wovon man sehr weit entfernt wäre. Aber auch international bestünde Handlungsbedarf: Weltweit gäbe es eine größere Zahl internationaler Organisationen, die sich mit Cybersicherheit beschäftigen. "Österreich glänzt dort durch Abwesenheit." (apa/red)