CYBERATTACKEN

Cyberattacken kosten laut Forbes 2019 geschätzt $2 Billionen. Herr Dr. Valentin Gattol verfügt über mehrjährige Erfahrung als Forscher in den Bereichen Design und Produktentwicklung. Sowohl in seiner wissenschaftlichen Arbeit als auch in der Zusammenarbeit mit Industriepartner*innen hat er sich auf innovationsbezogene Fragestellungen aus der Sicht von Anwender*innen spezialisiert. In seiner Forschung am AIT koordiniert er internationale Forschungsprojekte, die sich mit dem Schutz vor Cyber-Attacken beschäftigen.

Der digitale Schwarzmarkt boomt. Welche Varianten von Phishing gibt es momentan und anhand welcher Merkmale kam man sie erkennen? 

Die derzeit am meisten verbreitete Variante nennt sich Spear-Phishing. Im Gegensatz zu traditionellem Phishing – bei dem E-Mails an Millionen unbekannter Benutzer*innen gesendet werden – sind Spear-Phishing-Attacken typischerweise auf die Zielgruppe oder eine/n Benutzer*in begrenzt und auf diesen/diese eigens zugeschnitten. Dabei recherchieren Cyber-Kriminelle oft vorab im Internet nach Hintergrundinformationen (z.B. in Sozialen Medien), was die Phishing-Attacke beim Empfänger glaubwürdiger erscheinen lässt. Ein paar Merkmale, an denen sich Phishing-Nachrichten erkennen lassen: keine persönliche oder unpassende Anrede; viele Rechtschreib- oder Grammatikfehler; Dringlichkeit der Nachricht und Androhung von Konsequenzen (z.B., wenn darin aufgefordert wird innerhalb von 24h sein Passwort zurückzusetzen, weil sonst das BenutzerInnen-Konto gesperrt wird).

Wie schätzen Sie den jährlich entstehenden finanziellen Schaden durch den Faktor Mensch ein?  

Eine Schätzung von Forbes für das Jahr 2019 geht von einem weltweiten finanziellen Schaden von 2000 Mrd. Dollar aus. Der überwiegende Teil der Attacken nutzt dabei menschliche Schwachstellen aus. Insofern ist der Schaden durch den Faktor Mensch beträchtlich.

Haben Sie ein Gefühl für den internationalen Vergleich? Wie gut ist Österreich aufgestellt? 

Viele Unternehmen unterschätzen die Gefahren teils massiv. Vor allem Klein- und Mittelbetriebe sind im internationalen Vergleich nicht ausreichend vorbereitet. Nur wenige Unternehmen verfügen derzeit über eine umfassende IT-Sicherheitsstrategie oder geeignete Maßnahmen zur Sensibilisierung von Mitarbeitern und Mitarbeiterinnen.

Mit welchen Sensibilisierungsmaßnahmen und Lösungsansätzen versucht das AIT diesem wichtigen Thema die notwendige Gewichtung zu geben? 

Am Center for Technology Experience am AIT arbeiten wir mit unterschiedlichen Ansätzen. Dazu zählen klassische Awareness-Maßnahmen wie Workshops und Infomaterialien (Poster, Lernvideos), aber insbesondere auch eine Reihe von spielerischen Ansätzen. Bei den spielerischen Ansätzen unterscheiden wir solche, die Gamification-Elemente nutzen (Anwendung spieltypischer Elemente in spielfremden Kontexten) von sogenannten Serious Games (digitale Spiele zur Vermittlung von Informationen und Inhalten). Beispiele für am AIT entwickelte Serious Games sind Sectopia (aus dem EU Horizon 2020 Projekt COMPACT: https://www.compact-project.eu/) und PhishingWars (aus dem EU Horizon 2020 Projekt DOGANA: https://www.dogana-project.eu/).