Prävention

Hirn einschalten!

Mit Tipps gegen Cybercrime wendet sich die geplante Gruppe Digitale Sicherheit an „normale Anwender“.

Hirn einschalten!“ steht auf einer Seite der Präsentation beim „Basisvortrag Computer- und Internetkriminalität“ von Kontrollinspektor Werner Schweiger. Prägnant, pointiert und manchmal auch mit ungewöhnlichen Methoden vermittelt der Mitarbeiter des Bereichs Digitale Sicherheit, Kriminalprävention AB 04 im Landeskriminalamt Wien, seine Botschaft: Der „Faktor Mensch“ ist die größte Schwachstelle, über die sich Kriminelle Zugang zu sensiblen Daten verschaffen und sich unter Anwendung unterschiedlicher Betrugsmaschen bereichern.
Daher verwundert es auch nicht, dass unter den fünf beim Vortrag präsentierten Tipps zum Schutz vor Cybercrime „seinen Verstand nützen“ an erster Stelle gereiht ist. Bevor man die Einschalttaste seines Computers drückt, sollte man das Gleiche – bildlich gesprochen – auch mit dem eigenen Oberstübchen tun. Und noch etwas wäre sinnvoll, um zu verstehen, wie man sich überhaupt schützen kann: „RTFM“. Auf Schweigers Frage an das Publikum, wer diese Abkürzung kennt, heben meist nur wenige die Hände – denn die Zielgruppe von Vorträgen auf dem Gebiet der Digitalen Sicherheit sind reine Anwender, denen IT-Insiderausdrücke genauso fremd sind wie oft auch die grundlegendsten Sicherheitsmaßnahmen.

RTFM. Die Auflösung folgt sogleich: „Read the friendly manual“. Friendly? Wem die Langform des Kürzels mit einem anderen mit „f“ beginnenden Wort geläufig ist, hat schon recht, nur hat dieses in einer anständigen Präsentation nichts zu suchen. Auf alle Fälle sind die Zuhörer um einen Fachausdruck reicher – und Schweiger hat die volle Aufmerksamkeit seines Publikums. „Das Thema nach außen tragen können, sich trauen, vor Leuten zu sprechen, von dem überzeugt sein, was man sagt“, sei hier wichtiger als IT- Expertenwissen, so der Präventionsbeamte.
Schweiger ist kein IT-Fachmann und muss es auch nicht sein. 18 Jahre bei der Kriminalpolizei, davon 14 in der Prävention, haben ihm – ergänzt durch eine 14-tägige Präventionsbeamtenausbildung für Cybercrime – das erforderliche Rüstzeug verschafft, um bei (potentiellen) Opfern von Computerkriminalität für Aufklärung zu sorgen. Eine auf Dauer deutlich weniger belastende Tätigkeit als in der Gewaltprävention, die fast eineinhalb Jahrzehnte lang im 19. Bezirk seine Aufgabe war. „Man ist mit dem Leid der Opfer konfrontiert, das baut psychischen Druck auf. Da ist ein Jobwechsel nach einer gewissen Zeit nicht schlecht“, nennt Schweiger einen wesentlichen Grund für seinen damaligen Wunsch, sich beruflich zu verändern.
Da kam es gerade recht, dass für die neu zu installierende Gruppe „Digitale Sicherheit“ Mitarbeiter gesucht wurden. Nachdem sich Schweiger intensiv mit dem Thema Cybercrime auseinandergesetzt hatte, nahm er 2019 die Herausforderung an und ist seither der zweite Mann in dem davor nur aus Bezirksinspektor Christof Peter, BSc, bestehenden Tätigkeitsbereich. Auch bei Peter handelt es sich nicht um einen IT-Profi – dafür aber um jemanden, der schon vor dem Besuch der Polizeischule am FH-Campus Wien berufsbegleitend integriertes Sicherheitsmanagement studiert hatte. Nach seinem Eintritt in den Polizeidienst im Jahr 2012 war er schon bald in Favoriten als Präventionsbeamter tätig; 2017 wechselte er ins LKA zur Gruppe Eigentum.

Einfach erklären. „Im AB 06 Forensik und Technik habe ich 'mitgeschnuppert', um einen Einblick zu bekommen. Dann habe ich die Informationen zusammengeschrieben, strukturiert und geschaut, welche Themen für unsere Arbeit wichtig sind“, schildert Peter die Vorbereitung auf seine derzeitige Aufgabe. Die Gruppe Digitale Sicherheit sieht er als Bindeglied zwischen IT-Fachleuten und Bevölkerung: „Wir lassen uns von den Experten alles erklären und geben die Info so weiter, dass die normalen Anwender sie verstehen.“ Wie viel – bzw. wenig – man voraussetzen kann, klärt Peter bei Fragen an seine Zuhörer ab, welche oft schon daran scheitern, zu erklären, was ein Browser oder ein Virenschutzprogramm ist.
Bei der Konzeption der Gruppe Digitale Sicherheit wurden der strategische Ansatz und das Leitbild des BM.I mit einbezogen, so Peter. Wie in anderen Deliktbereichen sei auch bei Cybercrime das Ziel, die Kriminalitätsrate zu senken, die Bevölkerung zu informieren und ihr eine Ansprechstelle zu bieten. Die Hauptaufgabe der zukünftigen Gruppe besteht darin, Bevölkerung und Kollegen bei Vorträgen und Workshops zu informieren.
Das Angebot umfasst 30 Minuten dauernde Kurzvorträge, ein bis zwei Stunden lange Vorträge, drei- bis vierstündige interaktive Vorträge und eintägige Workshops. Die Schwerpunkte sind bei allen Formaten die gleichen: Sensibilisierung für IT-Sicherheit sowie die Präsentation der fünf Tipps zum Schutz vor Cybercrime: „seinen Verstand nützen“, wie eingangs erwähnt, sowie „Software aktualisieren“, „sichere Passwörter verwenden“, „Backup regelmäßig durchführen“ und „Kommunikationsschnittstellen abschalten“. Anschließend folgt ein Überblick über die häufigsten Formen von Computerkriminalität.
Bei der Vermittlung der Inhalte können Schweiger und Peter auf ihre Erfahrungen als Präventionsbeamte zurückgreifen. Immerhin gibt es zwischen Computerkriminalität und Sucht bzw. Gewalt ja einige Überschneidungen – etwa, wenn Drogen über das Internet ge- und verkauft werden oder bei Cyberstalking, das als psychische Gewalt einzustufen ist und oft auch mit physischen Übergriffen einhergeht. Computerkriminalität kann als Querschnittmaterie gesehen werden, da diese Kriminalitätsform nicht nur in den Bereichen Gewalt und Suchtmittel, sondern z. B. auch im Eigentumsbereich zu finden ist. Von Cybercrime betroffen sein kann jeder, vom Jugendlichen bis zum Pensionisten.

Vermittlungsmethoden. Welche Vermittlungsmethoden tatsächlich „funktionieren“, habe man vor den Vorträgen und Workshops mit Kollegen ausprobiert, erzählt Peter, der dabei auch einige Wissenslücken in den eigenen Reihen entdeckt hat. Defizite gibt es beispielsweise bei der Erstellung von sicheren Passwörtern. Backups werden, wenn überhaupt, oft nur sporadisch statt regelmäßig durchgeführt. „Da wären interne Schulungen nötig, aber dafür fehlen uns die Ressourcen wie Räumlichkeiten oder zusätzliches Personal“, bedauert der Präventionsbeamte.
Zur externen Zielgruppe zählen Unternehmen und Verbände ebenso wie Einrichtungen der öffentlichen Hand. Vor allem die Kurzvorträge werden gern als Keynotes auf Tagungen oder bei Messen gebucht. Dass Veranstalter und Teilnehmer „auf den Geschmack kommen“ und mehr wissen wollen, ist ganz im Sinn der Sache, da man in zwei Stunden oder weniger zwar Informationen vermitteln, aber kaum dauerhafte Verhaltensänderungen bewirken kann. Zu diesem Zweck ist es notwendig, die Zuhörer auch auf der emotionalen Ebene anzusprechen.
Das geschieht bei den interaktiven Vorträgen und Workshops, bei denen Schweiger und Peter gerne auch auf unkonventionelle Methoden zurückgreifen. Dabei merken die Teilnehmer sehr schnell, dass es nicht immer nur „die anderen“ sind, die Anweisungen befolgen, ohne nachzudenken, gutgläubig Dinge tun, die sie später bereuen könnten, und sich selbst in peinliche Situationen hineinmanövrieren, die sie lieber keiner breiteren Öffentlichkeit zugänglich machen würden.

Denkanregung. Zu viel soll hier nicht verraten werden, aber ein konkretes Beispiel nennt Peter doch: Der Präventionsbeamte gibt vor, mit den Teilnehmern „Aktivierungsübungen“ zu machen. Die Bewegungen, zu denen er anleitet, werden immer lächerlicher, dazu kommt Körperkontakt mit dem jeweiligen Nachbarn, wenn dieser zustimmt. Zur Dokumentation der Veranstaltung wird fotografiert bzw. zumindest so getan. Was die Teilnehmer dann hören, soll sie laut Peter zum Nachdenken anregen: „Sie wissen nicht, ob der Vortragende tatsächlich von der Polizei ist, Dienstausweis haben sie ja keinen gesehen. Fast alle haben mit- und sich dabei zum Narren gemacht – und sie haben sich sogar fotografieren lassen.“
Die Parallele zur digitalen Welt liegt auf der Hand: Bevor man im Internet etwas von sich preisgibt, sollte man sich davon überzeugen, ob das virtuelle Gegenüber tatsächlich ist, was es zu sein scheint. Vorsicht geboten sei nicht nur mit der Eingabe von Pass­wörtern und Kreditkartennummern, warnt Schweiger: „Auch Name, Adresse und Telefonnummer sind sensible Daten, da man mit ihnen ein Persönlichkeitsprofil erstellen kann.“ Peinlich wird es, wenn Bilder in Sozialen Netzen kursieren, auf denen man beispielsweise in nicht ganz nüchternem Zustand abgebildet ist. Oder spärlich bekleidet, dazu verleitet von einer Chat-Partnerin, die die Aufnahmen dann zur Erpressung, als „Sextortion“ bezeichnet, verwendet.
„In meinen Vorträgen spreche ich bewusst auch Sextortion an, weil es viele betrifft, auch wenn sie nicht darüber reden“, erklärt Schweiger. Das Gleiche gilt für den Besuch von Porno-Websites, mit dem man sich mit etwas Pech nicht nur Schad-Software einhandelt, sondern auch unangenehme Fragen – falls man sich die einschlägigen Filmchen z. B. am Firmencomputer angesehen hat. Löscht man den Verlauf, lässt sich das nicht mehr so leicht nachvollziehen. Spuren im Internet hat man jedoch trotzdem hinterlassen.

Datenklau. Peter räumt auch mit dem Missverständnis auf, dass man selbst wo draufklicken oder etwas eingeben muss, damit jemand anderer in den Besitz der eigenen Daten gelangt. „Die wenigsten wissen, dass sich, wenn am Smartphone W-LAN aktiviert ist, ein anderes Gerät als Heim-W-LAN 'ausgeben' und dann Benutzerdaten und Passwort auslesen kann“, so der Präventionsbeamte.
Aber es geht noch fieser: „Wenn man ein Programm wie WhatsApp verwendet, muss man sich bewusst sein, dass dieses auch Informationen über Personen zusammenführen kann, die das Programm selbst nicht installiert haben. WhatsApp verfügt dann über ein Profil, das anhand der von anderen Nutzern gespeicherten Informationen – etwa Geburtsdatum, Spitzname, Adresse, Beruf oder Hobbys – erstellt worden ist.“
Angesichts der durchaus drastisch geschilderten Bedrohungslage ist eine Frage aus dem Publikum unvermeidlich: Wie kann man sich schützen? Die Antwort fällt für viele unerwartet aus: Man muss sich nicht die neueste und teuerste Schutz-Software anschaffen, der Standard-Virenschutz des Herstellers oder kostenlose Open-Source-Programme reichen in der Regel aus. Wichtig ist nur, dass diese regelmäßig aktualisiert werden. Allerdings – und das ist die schlechte Nachricht – könne auch ein guter Virenscanner nur weniger als 50 Prozent aller Schadprogramme erkennen, erklärt Peter und betont: „Der beste Schutz befindet sich zwischen Rückenlehne und Tastatur.“
Damit ist er wieder beim Punkt „Hirn einschalten“ angelangt. Der Hausverstand sagt, dass man den Haus­türschlüssel zum Schutz vor Einbrüchen zweimal umdrehen sollte. Noch besser wäre es, Zusatzschloss und Alarmanlage anzubringen. Was viele tun, obwohl es einen Mehraufwand mit sich bringt. „Beim Computer ist es genauso“, stellt der Präventionsbeamte fest. Auch wenn es mühsamer ist, sollte man zum Entsperren des Handys eine Zahlenkombination eingeben, statt ein „L“ als Wischmuster zu verwenden, Virenschutz-Updates herunterladen und regelmäßig Backups machen. Und immer wachsam bleiben, wie Schweiger rät, wenn er zur letzten Seite seiner Präsentation weiterklickt, auf der „RTFM und be aware!“ zu lesen ist. Rosemarie Pexa

Kontakt bei Cybercrime-Verdachtsfällen:
Meldestelle der Polizei:
aganist-cybercrime@bmi.gv.at
Cyber-Security-Hotline der WKO für Unternehmer: Telefon 0800/888133