Viren, Dialer, Phisher

Transkript

1 in Zusammenarbeit mit Sicherheitsrisiken im Internet Gefahr für Wirtschaft und Gesellschaft? Viren, Dialer, Phisher Journalisten-Reader der bpb

2 in Zusammenarbeit mit Sicherheitsrisiken im Internet Gefahr für Wirtschaft und Gesellschaft? Viren, Dialer, Phisher Journalisten-Reader der bpb

3 Organisation Impressum Inhaltsverzeichnis Veranstalter: Bundeszentrale für politische Bildung/bpb Fachbereich Multimedia, Journalistenprogramm Adenauerallee Bonn Telefon 01888/ Telefax 01888/ Tagungsleitung: Herausgeber Bundeszentrale für politische Bildung/bpb Fachbereich Multimedia, Journalistenprogramm Adenauerallee Bonn Telefon 01888/ Telefax 01888/ Redaktion: Editorial 7 Thomas Krüger, Präsident Bundeszentrale für politische Bildung/bpb Risiken begegnen, Chancen nutzen: Die Dimensionen des Internets 8 Thomas Baumgärtner, Microsoft Deutschland GmbH Verbraucheraufklärung als Erfolgsfaktor für mehr Online-Sicherheit 10 Patrick von Braunmühl, stellv. Vorstand Verbraucherzentrale Bundesverband Berthold L. Flöper Bundeszentrale für politische Bildung/bpb Telefon 01888/ Telefax 01888/ floeper@bpb.de Tagungsorganisation: Gabriele Prues Bundeszentrale für politische Bildung/bpb Telefon 01888/ Telefax 01888/ prues@bpb.de Dokumentation: Anke Vehmeier Freie Journalistin vehmeier-presse@web.de Anke Vehmeier vehmeier-presse@web.de Berthold L. Flöper (verantwortlich) floeper@bpb.de Gestaltung: Bilsing & Maußen Grafik-Design design@bilsing-maussen.de Herstellung V + V Druck info@vuvdruck.de Podiumsdiskussion: Law and Order oder: Wer hält die Betrüger für eine sichere Internet-Zukunft in Schach? 12 Thomas Baumgärtner, Microsoft Deutschland GmbH Sabine Frank, Geschäftsführerin, Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.v. Frank Felzmann, Referatsleiter IT-Sicherheit in Betriebssystemen, Bundesamt für Sicherheit in der Informationstechnik Stefan Gehrke, Geschäftsführer Mcert Deutsche Gesellschaft für IT-Sicherheit Markus Caspers, Büroleiter des SPD-Bundestagsabgeordneten Manfred Zöllmer, dem stellvertretenden Vorsitzenden des Verbraucherausschusses Dr. Per Christiansen, Principal, AOL-Deutschland Moderation: Dr. Holger Schmidt, Frankfurter Allgemeine Zeitung Global vernetzt und lokal verankert Best-Practice-Beispiele für eine Berichterstattung in lokalen und regionalen Tageszeitungen 18 Torsten Kleinz, freier Journalist Assistenz: Barbara Lich Bundeszentrale für politische Bildung/bpb Ausspioniert und abgezockt? Gefahren und Risiken für private Internet-Nutzer und wie sie sich schützen können 20 Frank Ackermann, eco Verband der deutschen Internetwirtschaft e.v. 2

4 Schlüsselqualifikation Medienkompetenz: Leitplanken zum Schutz beim Surfen für Kinder und Jugendliche 24 Isabell Rausch-Jarolimek, Freiwillige Selbstkontrolle Multimedia-Dienstanbieter e.v. Editorial Live-Hacking-Demonstration 26 Sven Thimm, Microsoft Deutschland GmbH Praxisbericht: Den Online-Betrügern auf der Spur 28 Dr. Markus Dinnes, Rechtsanwalt Wirtschaftswunder aus dem World Wide Web oder wie sieht die Zukunft der Informationstechnologie aus? Nikola John, Europäische Kommission, Vertretung in Deutschland 0 Hacker, die aus Spaß oder zu Demonstrationszwecken Computerprogramme knacken und andere, die aus politischen oder moralischen Gründen öffentlich auf Internet-Angebote aufmerksam machen, werden immer seltener. Stattdessen sind Betrüger und die organisierte Kriminalität auf dem Vormarsch. Sie nutzen die Arglosigkeit der Internet-Nutzer für ihre Straftaten aus, phishen Passwörter und Identifikationsnummern, infizieren Überwachungsprogramme und kapern Computer mit dem Ziel, sich einzuklinken, zu spionieren, abzukassieren. Die meisten Bürger kennen die Gefahren nur im Ansatz wer nicht zum Opfer werden will, muss besser informiert sein. Deshalb hat sich die Bundeszentrale für politische Bildung/bpb des Themas angenommen und in Kooperation mit der Initiative Deutschland sicher im Netz den Workshop für Wirtschafts- und Verbraucherjournalisten in lokalen und regionalen Medien am 17. und 18. November in Berlin initiiert. Die Teilnehmerinnen und Teilnehmer informierten sich über die wachsenden Risiken in der Internetwirtschaft. Im vorliegenden Reader berichten Expertinnen und Experten in einem kompakten Überblick über kriminelle Machenschaften im Netz und über die Möglichkeiten, sie zu bekämpfen. Es werden Wege aufgezeigt, wie sich normale Internet-Nutzer sowie kleine und mittelständische Unternehmen gegen die Vielzahl von Angriffen aus dem Internet, die von lästiger, elektronischer Werbung über unseriöse Angebote bis hin zu politischen Hetzseiten reichen, richtig schützen können. Wirtschaft in der Tageszeitung erfolgreiche Konzepte Ronny Gert Bürckholdt, Badische Zeitung Klaus Köhler, Augsburger Allgemeine 6 Thomas Krüger Präsident der Bundeszentrale für politische Bildung Anhang 40 4

5 Thomas Baumgärtner Risiken begegnen, Chancen nutzen: Die Dimensionen des Internets Wir haben eine global vernetzte Welt. Das birgt riesige Chancen für Wirtschaft und Gesellschaft. Es ergeben sich aber auch Gefahren für die Nutzer des Internets. Wir beobachten ein bedrohliches Schädlingswachstum: Im September 2004 gab es rund registrierte Schädlinge. Im Juli 2006 waren es bereits Experten haben festgestellt, dass 82% der Kleinen und Mittleren Unternehmen (KMU) mit Schadsoftware (IDC) in Berührung kommen. Außerdem waren 60% der privaten Nutzer, nach Angaben von TNS Infratest), bereits Opfer von Onlinebetrügern. Ein lästiges Übel ist Spam: Wenn man davon ausgeht, dass etwa vier Milliarden s jeden Tag verschickt werden, sind davon mehr als 90% Spam. 80% des Spam stammt aus Botnetzen. Der Begriff Bot bezeichnet Fernsteuerprogramme. Kompromittierte Systeme werden von einem Angreifer zentral befehligt. Sie werden in der Regel über Viren (trojanische Pferde) aber insbesondere über Würmer (automatisierte Ausnutzung von Schwachstellen) verbreitet. Ein Angreifer kann die infizierten Rechner zentral fernsteuern. Eine weitere Bedrohung besteht durch das Phishing beim Online-Banking. 78,9% der Online-Nutzer (laut TNS Infratest) hatten bereits Berührung mit Phishing und 74% der Unternehmen. Wir erkennen, dass das Sicherheitsbewusstsein bei Onlinern und in Unternehmen deutlich gestiegen ist, aber ist damit auch die Sicherheit gestiegen? Durch die automatischen Updates für Windows hat es in den vergangenen zwei Jahren keine Wurm-Epedemie gegeben. Hätten Sie gewusst, dass in den nächsten 30 Minuten mehr als IT-Administratoren Inhalte von der Microsoft Webseite abgerufen haben; mehr als Benutzer das Malicious Software Removal Tool ausführten zwei Instanzen des Sasser Wurms entfernten; 149 Bot-Instanzen fanden und entfernten; Instanzen von potentieller Schadsoftware (Spyware) entfernt wurden? Die Bedrohung hat sich kontinuierlich gesteigert: 1986 bis 1995 gab es PC-Viren, Boot Sektor Viren, Vandalismus, schlechte Scherze. Insgesamt haben sich die Bedrohungen aber langsam verbreitet bis 2000 kann als Internet Ära bezeichnet werden. Es gab Macro Viren, Script Viren, Vandalismus, schlechte Scherze wie zuvor. Aber mit dem Unterschied, dass die Verbreitung schneller wurde. In den Jahren 2000 bis 2005 ist das Breitband geläufig. Die Rechner werden bombardiert mit Spyware, Botnets, Rootkits. Die Hacker haben finanzielle Motivationen und verbreiten ihren Schaden über das breite Internet. Für die kommenden Jahre bestehen die Bedrohungen im Peer-to- Peer, Social engineering, Hyperjacking, Application attacks. Die Angriffe sind klar finanziell motiviert. Es sind gezielte Angriffe. Bei der Informationssicherheit geht es technisch um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen. Sicherheit technisch heißt, ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Informationssicherheit holistisch bedeutet Umgang mit Unsicherheit vermitteln, Maßnahmen zur Reduktion von Risiko auf ein sozial und ökonomisch verträgliches Maß zu reduzieren. Peer-to-Peer-Netze und Informationssicherheit: Ein Peer-To-Peer-Netz ist das Gegenteil vom Client-to-Server-Prinzip. Es gibt keine zentrale Datenbank, kein Überblick über das Gesamtsystem. Peers, Verbindungen und Informationen sind nicht verlässlich. Die sozialen Aspekte von Peer-to-Peer bedeuten, dass sich der Nutzer (Peer) mit Technologie sein System den eigenen Bedürfnissen und Wertesystemen anpasst. Eine Akzeptanz und weitere Verbreitung für diese Form von Info-Gesellschaft hängt vom Vertrauen der Nutzer in Technologie, Internet- Branche, Access- und Content Provider ab. Außerdem wird der Nutzer zum Medienmacher. Das bedeutet eine De-Professionalisierung des Journalismus. Die Bedrohungen der Informationsgesellschaft sind sozio-ökonomisch. Das heißt, ein Ungleichgewicht in der Gesellschaft, es entsteht ein digitaler Graben. Die Privatsphäre wird verletzt. Das ist Cyber-Terrorismus. Ökonomisch-technisch beinhaltet die Gefahr Spionage, Spam, das Kompromittieren und den Missbrauch persönlicher Daten. Kommunikativ ist zu befürchten, dass sich die Wertesysteme und der Seelenzustände (insbesondere von Jugendlichen) durch Gewaltverherrlichung, sektenartige Propaganda, fragwürde Glaubenslehren etc. verändern werden. Die Operationale Sicherheit-Strategie eines Herstellers muss es sein, eine sichere Plattform, unterstützt durch Sicherheitswerkzeuge, -services und proaktive Informationen, zu schaffen, um Anwendern mehr Sicherheit zu geben. Nötig sind Technologie-Investitionen, für eine hochqualitative Systembasis, Innovationen für Sicherheit und Prozesse. Ferner ist proaktive Information notwendig: Szenarien-basierte Informationsinhalte und Werkzeuge, Trainings und Schulungen, verantwortliche Reaktion auf Vorfälle. Strategische Partnerschaften sind gefragt, für eine Sensibilisierung in der Breite. Angestrebt werden Kooperation in der Strafverfolgung und einheitliche Leitfäden. Kontakt: Thomas Baumgärtner Pressesprecher Security und Copyright Microsoft Deutschland GmbH Tel.: 089/

6 Patrick von Braunmühl Verbraucheraufklärung als Erfolgsfaktor für mehr Online-Sicherheit eines Rechners könnte etwa ein Versicherungspaket angeboten werden. Zusammenfassung: Wir brauchen mehr Aufklärung und Verbessung der Betriebssysteme. In den Schulen müssen sichere Verhaltensweisen trainiert werden. Wir brauchen gesetzliche Rahmenbedingungen und schärfere Sanktionen. Und wir brauchen neue technische Ansätze. Kontakt: Patrick von Braunmühl Stellv. Vorstand Verbraucherzentrale Bundesverband e.v. - vzbv Markgrafenstraße Berlin Tel.: 030/ info@vzbv.de Verbraucheraufklärung ist ein wichtiger Punkt. Er allein reicht aber nicht aus, um mehr Sicherheit im Internet zu bekommen. Die Verbraucher sind verunsichert 80 bis 90% fühlen sich im Netz nicht sicher. Und sie fühlen sich allein gelassen. Die Verbraucher sind mit den ganzen Schlagwörtern wie Phishing, Pharming etc. und den daraus resultierenden Bedrohungen hoffnungslos überfordert. Sie haben größte Schwierigkeiten zu verstehen, worum es dabei eigentlich geht. Die Verantwortung für mehr Sicherheit kann allein schon deshalb nicht allein auf den Nutzern ruhen. Wir Verbraucherschützer sehen Politik und Wirtschaft gleichermaßen in der Pflicht. Wir brauchen sichere Betriebssysteme und wir brauchen einen gesetzlichen Rahmen, durch den Verbraucher sicher im Internet agieren können. So muss die Versendung von unerwünschten Müll-Mails (Spam) als Straftat verfolgt werden. Rund 2,5 Milliarden Euro Schaden entstehen in der Europäischen Union jährlich durch Spam. Das ist ein enormer volkswirtschaftlicher Schaden. Wir haben ein Aktionsbündnis gegen Spam gegründet mit eco und der Wettbewerbszentrale. Wir sind der Meinung, dass ein Anti-Spam- Gesetz für Deutschland her muss. In anderen Ländern gibt es das bereits zum Beispiel in Italien. Dort gibt es auch drastische Strafen, bis zu Gefängnisstrafen. Wir brauchen Haftungsregeln für den Missbrauchsfall, nur so kann es Hoffnung geben, dass zum Beispiel Online-Banking sicherer wird. Die rechtlichen Regeln für Online-Banking und die Bedrohung durch Phishing sind unklar. Allerdings investieren die Banken auch nicht genug in die Sicherheit. In diesem Zusammenhang müssen wir auch den Einsatz der elektronischen Signatur fördern. Anbieter müssen sich aus Sicht der Verbraucherschützer dem Grundsatz der Datensparsamkeit verpflichten. Daten ihrer Kunden dürften sie nur nach deren ausdrücklicher Zustimmung für Marketingzwecke einsetzen. Die Beweislast liegt in der Regel beim Verbraucher. Wird bei der Übertragung von Steuerdaten an das Finanzamt Missbrauch betrieben, ist der Verbraucher der Leidtragende. Es müssen sichere Räume im Internet geschaffen werden. Aufklärung und Bildung sind notwendig. Ich habe allerdings den Eindruck, dass die, die besonders laut mehr Sicherheit fordern, vergessen, dass sie in der Pflicht sind. Dass sie Verantwortung übernehmen und ihr gerecht werden müssen. Wir brauchen ein digital rights management. Es gilt, den Verbrauchern deutlich zu machen, dass Sicherheit etwas kostet, aber es müssen auch die Hilfen für die Verbraucher professionalisiert und erschwinglich werden. Beim Verkauf 8

7 Podiumsdiskussion Law and Order oder: Wer hält die Betrüger für eine sichere Internet- Zukunft in Schach? Teilnehmer: Thomas Baumgärtner, Pressesprecher, Microsoft Deutschland GmbH; Sabine Frank, Geschäftsführerin, Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.v.; Frank Felzmann, Referatsleiter IT-Sicherheit in Betriebssystemen, Bundesamt für Sicherheit in der Informationstechnik; Stefan Gehrke, Geschäftsführer, Mcert Deutsche Gesellschaft für IT-Sicherheit; Markus Caspers, Büroleiter des SPD-Bundestagsabgeordneten Manfred Zöllmer, dem stellvertretenden Vorsitzenden des Verbraucherausschusses, Dr. Per Christiansen, Principal, AOL-Deutschland Moderation: Dr. Holger Schmidt, Frankfurter Allgemeine Zeitung Schmidt: Herr Baumgärtner, kein Unternehmen hat mehr Erfahrung mit der IT-Sicherheit und muss sich häufiger gegen Angriffe aus dem Internet wehren als Microsoft. Sie können es einschätzen: Wie groß ist das Gefahrenpotential im Internet eigentlich? Wie professionell agieren die Internet-Kriminellen inzwischen, die hinter dem Geld der Nutzer her sind? Und welche Methoden der Cyber-Kriminellen werden uns in Zukunft am meisten zu schaffen machen? Baumgärtner: Microsoft ist mit der Präsenz seiner Produkte beim Kunden tatsächlich ein bevorzugtes Angriffsziel aller Arten von Hackern gewesen. Daraus haben wir aber auch viel gelernt. Zum einen haben wir vor viereinhalb Jahren mit der Trustworthy Computing Initiative die (in Auszügen) richtigen Maßnahmen ergriffen, um die Resistenz von Windows als Betriebssystem gegen solche Angriffe zu erhöhen, also Windows sicherer zu machen. Zum anderen arbeiten wir heute viel effektiver mit den weltweiten Strafverfolgungsbehörden zusammen, um die Urheber der kriminellen Machenschaften zu identifizieren. Wichtig war uns aber auch die Aufklärung der Benutzer über die Gefahren aus dem Web. Nur wer das Gefahrenpotential kennt, kann sich ausreichend davor schützen. Schmidt: Gibt es konkrete Projekte? Baumgärtner: Durch unsere Aktivitäten innerhalb der Deutschlandsicher-im-Netz Initiative, aber auch mit eigenen Aufklärungsund Sensibilisierungskampagnen, konnten wir dazu beitragen, das Bewusstsein der Nutzer, sowohl der privaten Anwender, als auch in Firmen und Organisationen zu schärfen. Die Anwender wissen heute in der Mehrzahl, dass sie selbst in der Pflicht stehen, wenn es um die sichere Einstellung ihrer Computer geht, und darum, wie man sich im Netz richtig verhält. Auch die Gefahren durch Spam und Phishing sind weitgehend bekannt. Trotzdem ist das Gefahrenpotential nicht geringer geworden. Hackern geht es heute nicht mehr um die zweifelhafte Ehre, möglichst viele Computer zum Absturz zu bringen, wie das noch vor ein paar Jahren gewesen ist. Heute stehen materielle Interessen an der Spitze der möglichen Motive. Hacker verkaufen ihre Leistung oftmals an organisierte Kriminelle, die dann selbst den Schaden beim Anwender verursachen. Auch das Erschleichen von Vertrauen ist eine beliebte Methode, an das Geld des Verbrauchers zu kommen. Insgesamt ist zwar die Zahl der geglückten Angriffe durch das gesunde Misstrauen der Benutzer zurückgegangen, aber der durchschnittlich verursachte Schaden pro Fall ist enorm gestiegen. Schmidt: Herr Felzmann, als nationale Sicherheitsbehörde ist es das Ziel des BSI, die Internet-Sicherheit in Deutschland voran zu bringen. Nun zeigen Umfragen, dass die Internetnutzer die Verantwortung für die Sicherheit in erster Linie bei sich selbst und bei der Internetwirtschaft sehen. Was kann das BSI tun, um die Sicherheit zu erhöhen? Felzmann: Um die Sicherheit gerade der Internetnutzer zu erhöhen, hat das BSI ein umfangreiches Web- Angebot mit Informationen und Empfehlungen eingerichtet. Es gibt dabei zum einen Informationen unter die sich mehr an den erfahrenen Benutzer wenden, und zum anderen unter für den nicht so technisch versierten Anwender. Dort ist auch ein Link zu der Seite auf der man einen Newsletter abonnieren kann. Darüber hinaus gibt es Kontakte zu Herstellern von Anwendungs- und Betriebssystem-Software (darunter auch Microsoft), um Empfehlungen und Vorschläge zur Verbesserung der Sicherheit in der Informationstechnik zu unterbreiten sowie auf die möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen hinzuweisen. Schmidt: Herr Christiansen, reichen die Gesetze aus, um die Kriminellen, die häufig im Ausland sitzen und ihre wahre Identität geschickt verschleiern, bestrafen zu können? Christiansen: In dem Bereich der Online-Kriminalität gibt es kaum Strafbarkeitslücken. Die letzten bestehenden Lücken sollen gerade geschlossen werden. Niemand kann ernstlich auf Straffreiheit hoffen, wenn er über das Internet anderen Geld stiehlt. Das Kernproblem liegt nicht in den Gesetzen, sondern darin, die Täter zu ermitteln, sie zu finden und dingfest zu machen. Das ist aus vielen Gründen schwierig, etwa wenn die Täter ihre Datenspuren gut zu beseitigen wissen. Eine der größten juristischen Hürden sind dabei die Verfahren der internationalen Rechtshilfe, also Verfahren, die eingehalten werden müssen, wenn die Polizei gegen Täter im Ausland ermittelt oder ausländische Polizei in Deutschland ermitteln möchte. An diesen Verfahren scheitern tagtäglich unzählige Ermittlungsverfahren, 10 11

8 weil diese im jeweils anderen Staat schlicht nicht mehr bearbeitet werden. Auch innerhalb der Europäischen Union. Aufgrund der Masse von Anfragen setzen die Staaten sich teilweise Schwellenwerte für Bagatellkriminalität, unterhalb derer sie Anfragen aus dem Ausland nicht mehr beantworten. Und einfache Fälle des Phishings etwa gelten als Bagatellkriminalität. Ist ein Rechtshilfeverfahren endlich abgeschlossen, sind oftmals die ermittlungsrelevanten Daten bereits gelöscht. In der Praxis hört man immer wieder davon, Akten würden einfach geschlossen, weil sich der Aufwand einer Ermittlung im Ausland nicht lohne. Mittelfristig gibt es zu einer wesentlichen Verbesserung dieser Verfahren keine Alternative, wenn die Ermittlungsbehörden im Internet auf Augenhöhe mit dem internationalen Verbrechen agieren können sollen. Schmidt: Herr Gehrke, Mcert sieht seine Aufgabe darin, kleinen und mittleren Unternehmen bei Problemen mit der IT-Sicherheit zu helfen. Wie oft wenden sich diese Unternehmen hilfesuchend an Sie und welche Probleme kommen besonders häufig vor? Sind nicht nur die privaten Internetnutzer, sondern auch kleine und mittlere Unternehmen überfordert, sich gegen die Gefahren aus dem Internet zu schützen? Gehrke: In den vergangenen Jahren hat sich schon eine ganze Menge getan. Die Verantwortlichen in kleinen und mittelgroßen Unternehmen wissen mittlerweile, dass IT-Sicherheit auch ein Thema für sie ist. So gibt es kaum noch ein Unternehmen, das auf Firewalls oder Anti-Virensoftware verzichtet. Aber das reicht leider nicht mehr aus. Die heutigen Angreifer werden immer krimineller und sehen es dabei ganz gezielt auf Daten aus den Unternehmen ab. Und davon kann jedes Unternehmen betroffen sein, und sei es nur als Teil eines rechtswidrigen Bot-Netzes, mit dem Spam- s versendet oder Dritte erpresst werden können. Entscheidend ist, dass die Unternehmen gut informiert sind, um rechtzeitig vor Sicherheitslücken und Angriffen gewarnt zu werden. Schmidt: Frau Frank, die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter hat seit ihrer Gründung mehrere Tausend Beschwerden der Internetnutzer über rechtswidrige oder jugendgefährdende Inhalte in Online-Diensten erhalten und bearbeitet. Worüber haben sich die Nutzer besonders häufig beschwert? Und was kann Ihr Verein tun, um die Nutzer effektiv zu schützen? Frank: Der größte Teil der Beschwerden, die uns erreichen, bezieht sich auf Kinderpornografie. Ihr Anteil am gesamten Beschwerdeaufkommen liegt bei ungefähr einem Viertel. Neben unserer Tätigkeit als Einrichtung der Freiwilligen Selbstkontrolle und der damit verbundenen umfassenden Beratung unserer Mitglieder in Fragen des Jugendmedienschutzes ist es uns ein dringendes Anliegen, die Medienkompetenz von Internetnutzern, insbesondere von Kinder und deren Erziehungsberechtigten, zu fördern, indem wir entsprechende Angebote für sie zur Verfügung stellen. Im Rahmen dieser Aufklärungsarbeit ist beispielsweise das Medienkompetenz-Portal entstanden. Wir engagieren uns in diesem Bereich, weil wir die Überzeugung vertreten, dass nur kompetente Nutzer, die zu einem selbstbestimmten Umgang mit neuen Medien fähig sind, auch in der Lage, sind, sich effektiv zu schützen. Weiterhin bieten wir eine Beschwerdestelle an, an die sich jeder Nutzer wenden kann, um sich im Bereich des Jugendmedienschutzes über strafbare oder jugendgefährdende Inhalte im Internet zu beschweren Schmidt: Herr Gehrke, gegen welche Bedrohungen müssen sich Unternehmen besonders schützen? Gehrke: Wie gesagt, die Angriffsmethoden werden immer krimineller. Den Tätern kommt es nicht mehr auf öffentliche Aufmerksamkeit, sondern vielmehr darauf an, möglichst lange unentdeckt agieren zu können. Zudem hat sich ein ganzes Geschäftsfeld um das Thema Malware entwickelt. Einer spürt die Softwarelücken auf, ein anderer schreibt die passende Angriffssoftware, ein Dritter kapert die Rechner und verküpft sie zu Botnetzen, die ein Vierter dann für verschiedenartige Angriffe verwendet. Und dass die Täter zumeist aus dem Ausland kommen, erleichtert die Strafverfolgung auch nicht gerade. Schmidt: Wie oft kommt Wirtschaftsspionage vor? Gehrke: Jedes Unternehmen, gleich welcher Größe, kann heute Opfer von Wirtschaftsspionage werden. Es wird natürlich ungern darüber gesprochen, da ein solcher Umstand auch einen großen Vertrauensschaden verursachen kann. Verschiedene Untersuchungen zeigen aber, dass viel mehr Unternehmen betroffen sein müssen, als öffentlich bekannt ist. Schmidt: Können sich Surfer überhaupt richtig schützen. Sind nicht die Anbieter von Betriebssystemen und Software eher in der Pflicht? Baumgärtner: Beim Schutz vor Kriminellen aus dem Internet sind Alle in der Pflicht. Surfer müssen sich verantwortungsvoll verhalten, nicht jede oder deren Anhang öffnen und sich nicht auf Phishingseiten leiten lassen. Im Zweifelsfall hilft immer noch ein Anruf beim Absender einer Mail, also etwa bei meiner Bank. Softwarehersteller wie Microsoft und Serviceanbieter sind ebenfalls in der Pflicht: Wir müssen an unserer Technologie arbeiten, um Hackern immer ein Stück voraus zu sein und wir müssen die Verbraucher über neue Gefahren informieren. Aber auch der Staat kann durch eine entsprechende Gesetzgebung viel zu mehr Sicherheit beitragen. In Deutschland etwa musste Microsoft eindeutig identifizierte Spammer auf dem Umweg über das Urheberrecht verklagen, weil ein wirksamer Schutz durch ein entsprechendes Anti-Spam Gesetz noch fehlt. Strafverfolgungsbehörden sollten international einfacher zusammenarbeiten können. So engagiert sich Microsoft im weltweiten Kampf gegen Phishing. In der Global Phishing Enforcement Initative (GPEI) arbeiten wir mit staatlichen Stellen, internationalen Behörden und Partnern aus der Industrie Hand in Hand. Schmidt: Es gibt Fälle von Erpressung durch Hacker? Können Sie ein Beispiel nennen? Felzmann: Ein Online-Wettbüro in England wurde bei einem lokalen Pferderennen durch einen massiven Angriff auf das Online-Angebot, ein so genannter Denial-of-Service -Angriff, so behindert, dass Online-Wetten nur eingeschränkt möglich waren. Anschließend ging eine ein mit der Aufforderung, Dollar zu überweisen, da ansonsten beim demnächst stattfinden National Derby, wo wesentlich höhere Wett-Umsätze zu erwarten wären, der Angriff wiederholt werden würde. Ähnliche Erpressungsversuche zur Behinderung von Online-Angeboten sind mittlerweile an der Tagesordnung. Schmidt: Woher droht die größte Gefahr und was können Provider zum Schutz beitragen? Christiansen: Das ist wie im Straßenverkehr. Mit einer Haltung Mir passiert nichts oder Das geht noch gut schafft man größte Gefahrenquellen für sich und andere. Als Internet-Nutzer 12 13

9 muss man sich für Internet-Sicherheit interessieren, genauso wie man beim Kauf eines Neuwagen auf ABS achtet. Als Provider hat man zum einen die Möglichkeit, die eigenen Kunden durch Sicherheitstechnologien zu schützen, etwa durch Spam- und Virenfilter oder Funktionen, die vor Dialern oder potentiellen Phishing-Sites warnen. Solche Technologien sind im Prinzip wirksam, in der Praxis werden sie von Kunden oft nicht genutzt. Angesichts der Vielzahl von verfügbaren Virenscannern dürfte es eigentlich kaum noch Infektionen geben. Das Gegenteil ist der Fall, weil Virenscanner oftmals nicht aktualisiert oder zur Verringerung der Systemlast ausgeschaltet werden. Auch darf eines nicht übersehen werden: Schutzmaßnahmen durch Provider basieren notwendig auf dem Prinzip, zu prüfen, ob die Handlungen der Kunden plausibel und authentisch oder in irgendeiner Weise verdächtig erscheinen. Ein Dialer-Warner muss erkennen, dass der Nutzer eine Dialer-Verbindung ausgelöst hat und entsprechend bei dem Nutzer nachfragen. Wie viel Bevormundung durch solche Systeme halten wir für akzeptabel? Nutzer zu verbessern und die Kunden gezielt zu sicherem Verhalten anzuleiten. Dies kann durch umfangreiche Webseiten zu Sicherheitsthemen oder durch spezifisch auf eine Situation abgestimmte Tipps erfolgen, etwa durch den bekannten Hinweis, Mitarbeiter der Bank XY werden Sie niemals nach Ihrem Passwort fragen. AOL hat es sich zur Aufgabe gemacht führend bei der Internetsicherheit zu sein. In Zusammenarbeit mit dem AOL-Sicherheitsrat, einem Gremium mit Experten aus Politik, Wirtschaft und Medien, hat die Geschäftsleitung Zielvereinbarungen getroffen um die Sicherheit für AOL, aber auch als Beispiel für die Branche zu verbessern. Im Zentrum steht die Steigerung der Medienkompetenz von Usern. Das fängt schon im Kleinen an, mit Seiten auf AOL.de, die Eltern über Gefahren im Internet aufklären und eigenen Kinderbereich. Weiterhin haben wir mit dem jüdischen Museum eine Aufklärungskampagne durchgeführt und mit dem AOL Safer Media Award Best-Practice Beispiele für sichere Mediennutzung prämiert. Schmidt: Nennen sie ein oder zwei Beispiele für Themen, die Lokalredakteure in ihrem Medien aufgreifen können? inzwischen eine Vielzahl an vor allem kleineren -Initiativen, die sich der Medienkompetenzförderung widmen. Leider sind sie vielen Menschen jedoch immer noch zu wenig bekannt. Weiterhin wäre es wünschenswert, wenn sich die Bekanntheit von Beschwerdemöglichkeiten wie der von uns in Kooperation mit dem Verband der Deutschen Internetwirtschaft eco angebotenen Internet-Beschwerdestelle erhöhen würde. Auch hierzu könnten Lokaljournalisten durch entsprechende Berichterstattung einen Beitrag leisten. Gehrke: Suchen Sie sich IT-Dienstleister in Ihrem Berichtsgebiet und sprechen Sie mit ihnen über die schlimmsten Sicherheitsvorfälle und die größten Sicherheitslücken bei deren Kunden. Sie werden mit Sicherheit keine Namen erfahren, bekommen aber einen Einblick in die Problematik. Vergessen Sie aber nicht, sich auch die Möglichkeiten, wie man es besser machen kann, erläutern zu lassen. Christiansen: Während in den USA das Thema Spyware mit der gleichen Aufmerksamkeit wie Phishing oder Spam behandelt wird, ist das Risiko durch Spyware in Deutschland kaum bekannt. Spyware bezeichnet Software, die Daten des Nutzers für kommerzielle Zwecke ausspäht. Ein anderes Thema ist die zunehmende Sorglosigkeit im Umgang mit den eigenen personenbezogenen Daten. Während zur Zeit der Volkszählung Barrikaden brannten, weil der Staat Name und Adresse erfassen wollte, wandeln sich viele Internet-Angebote zu Bereichen, in denen derjenige am meisten Anerkennung genießt, der in Profilen und anderen Selbstdarstellungen am meisten Daten über sich preisgibt. Welche Rolle spielt der Datenschutz in Zukunft? Unter dem Sicherheitsaspekt äußerst relevant sind überdies Wahlcomputer, die in Zukunft für Parlamentswahlen eingesetzt werden sollen. Die Beteuerungen der Hersteller und der prüfenden Stellen, diese Systeme seien nicht zu manipulieren, werden aus der Hackerszene nachhaltig bezweifelt. Kontakte: Thomas Baumgärtner Microsoft Deutschland GmbH Tel. 089/ Frank W. Felzmann BSI - Bundesamt für Sicherheit in der Informationstechnik Tel.: / Fax: frank.felzmann@bsi.bund.de Dr. Per Christiansen, MSc Principal, Rechtsanwalt Finance & Legal AOL Deutschland GmbH & Co. KG Telefon: +49 (0) 40 / ChristiansenDE@aol.com Sabine Frank Freiwillige Selbstkontrolle Multimedia-Diensteanbieter Tel frank@fsm.de Stefan Gehrke Mcert Deutsche Gesellschaft für IT-Sicherheit Tel. 030/ s.gehrke@mcert.de Markus Caspers Büro des Bundestagsabgeordneten Manfred Zöllmer Tel manfred.zoellmer.ma01@bundestag.de Zum anderen haben die Provider die Möglichkeit, durch gezielte Informationen die Risikowahrnehmung und die Medienkompetenz der Frank: Lokalredakteure könnten über medienpädagogische Projekte informieren, sowohl auf nationaler als auch auf lokaler Ebene. Es gibt 14 15

10 Torsten Kleinz Global vernetzt und lokal verankert Was ist Computersicherheit? Computer-Sicherheit ist computer safety und computer security. Wer über Computersicherheit schreiben will, muss sie auch praktizieren! Die schlechte Nachricht lautet: 100-prozentige Sicherheit gibt es nicht. n Es gibt Tausende von Viren und Trojanern. n Jede Sicherheitsmaßnahme wird umgangen. n Die größte Sicherheitslücke ist der Mensch. Die digitale Welt ist schnelllebig, deshalb ist es für Journalisten unerlässlich, auf dem aktuellen Stand zu bleiben. Dazu gehört, n eine Computerzeitschrift (Print) zu abonnieren, n ein bis zwei IT-Newsticker zu verfolgen, sowie n private Neugier am PC. Recherchewege sind Zeitungsarchive, Fachartikel, n Googeln, n Usenet, n Weblogs sind wichtige Instrumente. Außerdem lohnen sich Besuche von n Messen, Kursen und Informationsveranstaltungen. n Für die tägliche Arbeit ist es wichtig, jeden Rechercheschritt zu dokumentieren, denn: Online-Nachweise verschwinden! n Bei aktuellen Sicherheitslücken müssen die Betroffenen informiert werden und alle Schritte zur Schließung der Lücke veranlasst werden. n Es empfiehlt sich, doppelt zu kontrollieren ob die Verantwortlichkeiten stimmen. n Immer möglichst mit Verantwortlichen sprechen. Kontakt: Torsten Kleinz, freier Journalist Tipps für Journalisten, um IT-Sicherheit zu praktizieren: verschlüsselung. Das funktioniert mit einem n öffentlichen und einem privaten Schlüssel. n Mails an mich werden mit meinem öffentlichen Schlüssel verschlüsselt und können vom Absender dann nicht mehr gelesen werden. n Ich kann die Mail mit meinem privaten Schlüssel lesen. Bei der Festplattenverschlüsselung werden n die Dateien in einen verschlüsselten Container gepackt. Die Dateien können nur mit dem richtigen Passwort entschlüsselt werden. Auch wenn die Festplatte kopiert wird, ist der Inhalt sicher. n Lösungen sind bei jedem modernen Betriebssystem enthalten. n Komplettverschlüsselungen sind aufwändiger und gefährlicher. Computersicherheit geht alle User an. Deshalb gehört das Thema unbedingt in den Lokal- und Regionaljournalismus. Lokaljournalisten haben die Nähe zum Leser: Jeder Leser wird von Viren, Spam und Dialern belästigt und n viele der Leser leben vom Internet vom Ebay-Verkauf bis zum Forenmoderator bewegen sie sich im Netz. n Es gibt viele Firmen, die Internetdienstleistungen anbieten Systemhäuser, Webdesigner, Provider auch in der eigenen Region. Ein bundes- oder weltweites Thema hat Einfluss auf die eigenen Leser. Beispiele für Themen im Lokalen sind Wahlcomputer, Sicherheitslücken bei Banken, Code-RedLeser. n Computersicherheit ist nicht nur eine Frage von Fakten, Computersicherheit ist Politik. Für die Berichterstattung ist es wichtig, die Interessen der Akteure zu kennen: Firmen, Softwarehersteller, Sicherheitsdienstleister und Kunden

11 Frank Ackermann Ausspioniert und abgezockt? Gefahren und Risiken für private Internet-Nutzer und wie sie sich schützen können Die sicherheitsrelevanten Besonderheiten im Internet sind: Alles ist und alle sind vernetzt, aber der Nutzer ist weitgehend autonom. Die Nutzungsdaten werden nicht sicher vorgehalten, so geschehen Manipulationen zumeist unbemerkt. Fazit: Nichts ist geheim! Im Internet lauern verschiedene Gefahren. Phishing, beziehungsweise -basiertes (klassisches) Phishing hat verschiedene Bedrohungsszenarien. Der Benutzer erhält eine vertraute mit Formularfeldern zur Eingabe seiner personenbezogenen Daten. Oder der Benutzer erhält eine vertraute , die zu einer gefälschten Seite führt, die nicht dem Original gleicht. In einem anderen Fall erhalten User vertraute s, die zu einer gefälschten Seite führen, die dem Original gleichen. Es gibt auch folgende Möglichkeit: Der Benutzer erhält eine vertraute , die zu einer gefälschten Seite führt, die dem Original gleicht und die GUI nachbildet. Schließlich noch dieses Szenario: Der User erhält eine vertraute , die Malware (z.b. Trojaner, Würmer, Viren) enthält. Betroffen von Phising sind vorwiegend Banken, aber auch Online-Marktplätze. Erstaunlich ist, dass die Erfolgsquote von Phishing-Mails noch immer bei etwa 14% liegt. Ein Spezialfall ist Pharming. Angriffspunkt ist das Domain Name System (DNS). Beim DNS Spoofing fälscht der Angreifer die Antwort auf eine Anfrage nach xybank.de. 16-Bit Transaction ID muss geraten werden (simpel bei WLAN). Beim DNS-Flooding wird einem Rechner auf Verdacht eine Adressauflösung suggeriert, noch bevor er diese beim echten DNS-Server abgefragt hat. Beim DNS Cache Poisoning werden falsche Informationen in einem der Caches, etwa DNS Spoofing, Name Chaining, etc. gespeichert. Beim Pharming unterhalten die Täter häufig eine große Anzahl von Servern zum Hosten der gefälschten Websites ( Serverfarmen ). Es werden hosts.txt durch Trojaner verändert. hosts. txt enthält statische Zuordnungen Domain IP- Adresse. Die Bedrohung wird lokal auf der Festplatte gespeichert. Der Trojaner fügt einen Eintrag, z.b. xybank.de der IP-Adresse des Angreifers hinzu. Es besteht die Gefahr der Täuschung. Beim Frame Spoofing wird nur ein Teil des Web Browsers, ein Frame, nachgebildet. Die Verbindungs- und Sicherheitsindikatoren des User Interfaces bleiben unberücksichtigt. Das Visual Spoofing ist eine Variante des Web Spoofings mit Fokus auf Fälschung der Sicherheitsindikatoren. Der Benutzer glaubt, in einer SSL- Umgebung zu sein. Der Doppelgänger Window Attack ist eine Nachbildung eines Applikations-Fensters, das zur Authentifikation eines Benutzers auffordert, um Zugang, etwa zum WLAN zu erlangen. Weitere Gefahren drohen durch Malware. Ein Spezialfall ist Keylogging. Es wird durch Aufruf einer bestimmten URL aktiviert und sendet Zugangsdaten, etwa PIN & TAN, an den Täter. Es handelt sich um teilweise gesteuerte Falsch- Übermittlung der Daten, etwa bei TANs an Bankserver, um Validität des Zugangsdatums zu erhalten. Die Infektion droht durch s, insbesondere Anhänge, durch Skripten, insbesondere Active-X und Java sowie Browser Helper Objects (BHOs). Systembedingte Gefahren bestehen durch Phishing aus allgemeinen Quellen, zum Beispiel Cookies, Browser-Cache sowie Dateien und Dateiverzeichnisse. Fazit: In 2006 wurden bisher mehr als doppelt so viele Fälle des Passwort-Missbrauchs im Vergleich zum Vorjahreszeitraum registriert. Das bedeutet einen Anstieg von 3,2% auf 6,8% der Sicherheitsverstöße ( InformationWeek ). Es gibt einen blühenden Markt für gefälschte Bank-Webadressen. Allgemeine Schutzmaßnahmen gegen Phishing: 1. Pflege der Browser-Software mit Sicherheits-Updates 2. Überprüfung des Sicherheitszertifikats der Webseite 3. Überprüfung einer gesicherten Übertragung ( 4. Nicht Links folgen, sondern URL manuell eingeben 5. Deaktivierung von Javascript und Windows Scripting Hosts, Einschränkung von Active-X 6. Keine Mails von unbekannten Absendern öffnen 7. Auffällige Mails von vertrauten Absendern telefonisch verifizieren 8. Zugangsdaten grundsätzlich nicht preisgeben 9. Aufklärung aller Nutzer des Internet-Zugangs 10. Aktueller Virenfilter mit Überwachung des Posteingangs oder/und Firewall 11. regelmäßiges Löschen der Caches 12. Cookiespeicherung nur auf Bestätigung des Nutzers speziell gegen Keylogging: 1. Verwendung des itan-verfahrens = indiziertes TAN-Verfahren = TAN mit Challenge & Response Protokoll 2. itan nur sicher in Verbindung mit SSL 3. etan (elektronische TAN) nur sicher gegen Man-In-The-Middle durch Integration von Zielkonto und Betrag 4. SSL neuerdings auch eingesetzt bei Phishing-Sites, aber, weil selbstgemacht, mit Warnung. Nicht ignorieren! Praktische Schutzmaßnahmen sind die Nutzung von alternativen Betriebssystemen und die Nutzung von alternativen Browsern. Aber: IE7 hat Active-X per Default deaktiviert, Phishing-Filter mit Auto-Update, Security Status Bar mit mehr Infos (URL in jedem Fenster, Zertifikat, etc.), Cross Domain Barriers gg. Cross-Site-Scripting, kein Zugriff des Browsers auf außerhalb der Browserumgebung liegende Systembereiche, eingeschränkte Kompatibilität (nicht erhältlich für Windows 2000). Die User sollten niemals WLAN unverschlüsselt nutzen, erst recht keine unverschlüsselte Bereitstellung (LG Hamburg, Urteil vom , 308 O 407 / 06). Vorsicht ist geboten bei Aufforderungen, die eigenen Kontodaten zur Abwicklung von Zahlungen zur Verfügung zu stellen. Falls etwas passiert ist, etwa PIN und/oder TAN ausgespäht wurden, diese ändern und Betroffenes Unternehmen benachrichtigen. Wurde der Online-Marktplatz-Zugang ausgespäht: 18 19

12 Passwort ändern, wenn bereits durch Täter geschehen, Betroffenes Unternehmen benachrichtigen. Und: Strafanzeige stellen. Was unternimmt eigentlich die Internet-Gemeinde gegen diese Angriffe? 1. Technical Engineering: Softwarelösungen 2. Social Engineering: Aufklärungsarbeit (etwa durch PhishTank, APWG, MAAWG) 3. Unterstützung von Strafverfolgungsbehörden (SpotSpam) 4. Beschwerdestellen (etwa www. internet-beschwerdestelle.de) 5. Begleitung der Gesetzgebungsprozesse 7. Neue Gefahren drohen mit neuen Technologien (SPIT, PHIT,?), aber: No risk no fun! Kontakt: RA Frank Ackermann Fachbereich Content eco Verband der deutschen Internetwirtschaft e.v. Lichtstraße 43h Köln Tel.: 0221 / Fax: 0221 / frank.ackermann@eco.de 20 21

13 Isabell Rausch-Jarolimek Schlüsselqualifikation Medienkompetenz: Leitplanken zum Schutz beim Surfen für Kinder und Jugendliche Warum Medienkompetenzvermittlung? Jugendschutz im Internet kann niemals allumfassend sein. Es gibt viele Anbieter und unterschiedliche Wertvorstellungen. In den verschiedenen Ländern herrschen unterschiedliche rechtliche Rahmenbedingungen. Das Internet bietet zahlreiche Möglichkeiten der Anonymisierung. Umso wichtiger ist deshalb der aufgeklärte Nutzer. Das Internet gehört für rund 41% der Kinder zwischen sechs und 13 Jahren bereits fest zum Alltag, sagt die KIM (Studie Kinder und Medien) ,5% der sechs - 12 jährigen waren schon einmal im Internet (Quelle: Kinder Online 2004). Und laut KIM-Studie darf rund ein Drittel der Kinder ohne Aufsicht surfen. Die Initiative Deutschland sicher im Netz verpflichtete sich deshalb, ein Portal für Kinder im Alter von acht bis 13 Jahren zu entwickeln, das über die Möglichkeiten und Risiken der Neuen Medien aufklärt und sie befähigt, diese aktiv, kompetent und selbst bestimmt zu nutzen. Weiterhin werden Eltern und Lehrern relevante Materialien und Unterrichtseinheiten zur Vermittlung von Medienkompetenz zur Verfügung gestellt. Das Portal Die Internauten ( de) wird lebendig durch drei pfiffige, besonders ausgebildete Kids, die Verbrechen und Respektlosigkeit im Internet bekämpfen. Die Figuren sind die Rechercheurin, der Kommander und der Sicherheitsexperte. Die Aufgabe dieser Spezialeinheit ist es, Kinder über Spammer, Hacker und andere Gangster, die sich im Internet tummeln, aufzuklären und ihnen zu zeigen, wie man sich vor ihnen schützt. Die Internauten richten sich an Kinder zwischen acht und 13 Jahren, Eltern, Lehrer/Pädagogen. Die Internauten bieten Aufklärung über eine sichere Nutzung des Mediums Internet mit seinen verschiedenen Diensten, zum Beispiel Chat, Suchmaschinen usw. Die User erhalten Informationen über im Internet geltende Gesetze, z. B. Jugendmedienschutz-Staatsvertrag, Urheberrechtsgesetz. Gleichzeitig gibt es wissenswerte Informationen zum Thema Kinder und Konsum, z.b. Mobilfunk, Werbung. Das Ziel des Angebots ist die spielerische Vermittlung von Medienkompetenz: Die Internauten klären auf kindgerechte Weise auf. Zu den wesentlichen Elementen der Website gehören interaktive Comics, Quizfragen, Spiele und ein Chat. Außerdem können Kinder den Internauten ihre Link- und Buchtipps schicken. Es gibt auf der Homepage einen Kids-Bereich, einen Eltern- und Lehrer-Bereich sowie die Community. Die spielerischen Elemente sind zum Beispiel die Chat-Simulation, dort bekommen die Kinder wie in einem richtigen Chat von ihrem Gegenüber Fragen gestellt, die sie beantworten sollen. Geben sie zum Beispiel ihr Alter an, werden sie darauf hingewiesen, dass sie niemandem im Internet ihr Alter verraten sollen. Es gibt praktische Beispiele zum Download oder zu Suchmaschinen, und Spam oder auch zum Blog. Dazu erhalten die Mädchen und Jungen Quizfragen. Im Rahmen der Community können sie u.a. hierfür Punkte sammeln und kleine Preise gewinnen. Die Kinder erhalten zudem Buch- und Surftipps. Es gibt einen Internauten- Medienkoffer für Lehrer zum Bestellen. Darin enthalten sind ein Lehrerheft mit Vorschlägen zur Gestaltung des Unterrichts, Comics, Poster und ein Kartenspiel sowie eine CD-ROM mit einer offline-version der Homepage und weiteren Materialien. Derzeit wird ein Lehrerheft für Grundschullehrer zum Thema IT-Sicherheit in Kooperation mit secure-it.nrw entwickelt. Der Internauten Medienkoffer wird überarbeitet und in einer vierten Auflage produziert werden. Außerdem werden Materialien für Eltern entwickelt. Auch die Website wird regelmäßig durch neue Themen und Missionen ergänzt. Die Internauten registrieren rund User pro Monat. Die Community hat derzeit mehr als Mitglieder. Kontakt: Isabell Rausch-Jarolimek Freiwillige Selbstkontrolle Multimedia-Diensteanbieter (FSM) e. V. Spreeufer Berlin Tel.: 030/ Fax: 030/ rausch-jarolimek@fsm.de Web:

14 Sven Thimm Live Hacking oder: Was ist so schwierig an Computersicherheit? Fragen und Meinungen, die ich zum Thema IT-Sicherheit immer wieder höre sind: Warum sollte ich in IT-Sicherheit investieren? Das ist doch nur eine Masche der Computerindustrie! Oder: Sicherheitstechnologie macht doch nur alles schwieriger und die Anwender kommen nicht damit zurecht! Was ist schon bei uns ( oder bei mir daheim ) zu holen? Der Hacker geht doch lieber zur Deutschen Bank/ zu American Express/zum Deutschen Bundestag Viele User meinen auch, dass die grundlegenden Sicherheitsmaßnahmen doch nicht ausreichen, das sind doch alles Profis vor denen ich mich nicht schützen kann! 6. Der User hat als lokaler Administrator gearbeitet 7. Der User hat Sicherheitswarnungen nicht beachtet Fazit: Der User hat sich nicht vernünftig verhalten!!! Zusammenfassung: Jeder Internetuser ist tagtäglich Ziel von Angriffen auf Computersysteme, die mit dem Internet verbunden sind. Jeder PC-Benutzer sollte sich und damit auch andere Nutzer schützen! Dies kann mit grundlegenden Sicherheitsmaßnahmen geschehen, wie aktuelle Schutzsoftware (Viren, Trojaner, Spyware, etc.), einer lokalen Firewall ( Personal Firewall ), die automatische Aktualisierung des Betriebssystems und der wichtigsten Anwendungen: sicherheitsbewusstes Verhalten! Literatur-Tipps: Kevin Mitnick und William Simon: Die Kunst des Einbruchs und Die Kunst der Täuschung. Mitp-Verlag, März 2006, 416 S. Kontakt: Sven Thimm Senior Consultant IT-Sicherheit und Betriebssysteme Microsoft Deutschland GmbH v-svthim@microsoft.com Das Thema Sicherheit geht uns alle an und die Bedrohungen beziehungsweise Täter sind sehr unterschiedlich. Es gibt den Profi-Hacker. Er geht zielgerichtet vor, ist in der Regel gut ausgebildet und hochintelligent. Außerdem ist er extrem hoch motiviert, einmal finanziell, aber auch von persönlichem Ehrgeiz getrieben. Hacker sind sehr gut vernetzt und haben viel Zeit! Was es für einen Schutz gibt: keinen! Eine andere Gruppe sind die sogenannten Script-Kids ( Schrotflinte be aware of fools with tools). Sie verwenden in erster Linie frei im Internet verfügbare Tools. Sie hacken aus Spaß an der Freude. Vor ihnen kann man sich schützen, durch grundlegende Sicherheitsmaßnahmen und sicherheitsbewusstes Verhalten. Ich habe im geschlossenen Kreis der Teilnehmer des Workshops einige Tools und Methoden gezeigt, mit denen Hacker vorgehen. Aus Sicherheitsgründen kann ich an dieser Stelle nicht weiter darauf eingehen, sonst könnte jemand auf die Idee kommen, das Gezeigte nachzuahmen. Bitte haben Sie Verständnis. Der gezeigte Angriff konnte aus unterschiedlichen Gründen funktionieren. Im Umkehrschluss können diese Maßnahmen helfen, sich vor einem Angriff zu schützen: 1. Es wurde kein Virenschutzprogramm eingesetzt oder er wurde nicht aktualisiert beziehungsweise der Virenschutz war abgeschaltet (denn: Virenschutz macht alles langsamer eine gefährliche Sichtweise!) 2. Es ist keinen Schutz vor Trojanern / Spyware eingesetzt! 3. Das Betriebssystem ist nicht aktualisiert! 4. Ich habe keine lokale Firewall ( Personal Firewall ) eingesetzt! 5. Oder: Das Unternehmen kümmert sich nicht richtig um die zentrale Firmen-Firewall 24 25

15 Dr. Markus Dinnes Den Online-Betrügern auf der Spur Es gibt unterschiedliche Formen des Onlinebetrugs: Phishing, Spamming, Viren und Dialer. Beim Phishing werden die User auf vermeintlich echte Seiten, zum Beispiel von Kreditinstituten und Banken, gelockt, mit der Absicht, ihre Daten zu stehlen. Die Seiten sehen den echten täuschend ähnlich und sind für Laien kaum erkennbar. Phishing ist eine strafbare Handlung. Dabei lassen sich unterschiedliche Tatbestände aufzeigen: administrativen Server (Command-and-Control-Server) kontrolliert werden. Diese Kontrolle wird durch Viren bzw. Trojanische Pferde erreicht, die den Computer infizieren und dann auf Anweisungen warten, ohne auf dem infizierten Rechner Schaden anzurichten. Diese Netzwerke können für Spam-Verbreitung, Proxy-Dienste usw. verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen. Die IT-Forensik wird tätig. Die Experten verifizieren beziehungsweise infizieren einen Bot-PC und werden automatisch in das Botnet eingebunden. Nun sind sie in der Lage, einen Live- Mitschnitt des Netzwerkverkehrs aufzuzeichnen. Der Arbeitsspeicher wird gesichert. Allerdings gibt es Schwierigkeiten bei den Ermittlungen. Es handelt sich um eine technisch höchst komplexe Materie. Die Spuren können in der Regel nur bei einer Online-Verbindung erlangt werden. Außerdem gibt es einen Auslandsbezug. Globale Unternehmen können helfen. Ferner wechseln die Phisher häufig die Server. Wer sind die Täter? Die Betrüger gehören zur Organisierten Kriminalität. Es handelt sich um eine Gruppe von mindestens 20 Personen vermutlich über mehrere Länder verteilt. Und zwar in Osteuropa und den USA. Es gibt einen Webdesigner, mehrere Kontaktleute für Finanzagenten, einen Administrator, mindestens zehn Betreiber von Phishingseiten. Die aktuellen Entwicklungen geben Anlass zur Sorge. Denn Phisher haben vermutlich mehr Kontendaten als sie je verwenden werden können. Die Suche nach Finanzagenten/Auszahlung des Geldes gestaltet sich zunehmend schwierig. Die Aktuelle Masche: Die Betrüger suchen nach Dienstleistern, die durch die Phisher in Anspruch genommen werden. Das funktioniert so: Ein höherer Betrag wird von dem gephishten Konto überwiesen, als der der nach den jeweiligen Verträgen dem Finanzagenten zusteht. Kurz nach Eingang der Überweisung erfolgt die Bitte, den zuviel gezahlten Betrag mittels Bargeldversendern in das (zumeist osteuropäische) Ausland zu transferieren. n Fälschung beweiserheblicher Daten 269 Abs. 1 StGB (durch die nachgemachte Webseite) n n Betrug, 263 StGB, wenn die Handlungen des Phishers bereits konkretisiert sind Ausspähung von Daten 202a StGB, wenn der Phisher sich Zugang zum Konto verschafft hat und die dort hinterlegten Daten eingesehen werden. n Kennzeichenverletzung nach 143a, 143 Abs. 1 und Abs. 2 MarkenG vorliegen, da die gefälschte Webseite stets die Unternehmenskennzeichen und Marken des betroffenen Unternehmens ohne Erlaubnis verwendet. n Geldwäsche beim Finanzagenten, 261 StGB. Unterschiedliche Ermittlungsansätze führen auf die Spur des Täters: Im ersten Schritt wird versucht, die Herkunft der Phishing zu ermitteln. Ein zweiter Ansatz führt über den Weg des Geldes (Auszahlung des Finanzagenten). Dabei gibt es allerdings ein großes Problem: Allein in Moskau gibt es 400 Ausgabestellen von Western Union das Geld ist ohne eine nachverfolgbare Bankstruktur in wenigen Minuten verschwunden. Beispiel: Der Fall Kiwi Vorbeobachtungen: Pro Tag werden neue Spam-Seiten erstellt. Die Lebensdauer der Seiten beträgt 1 bis 5 Tage. Die Phishing s werden in Wellen versandt, dabei ist ein hoher Anstieg zum Wochenende hin bis montags zu beobachten. Die Betrüger verwenden ständig verschiedene Banken. Die Tätergruppe arbeitet weltweit. Die Überweisungen laufen hauptsächlich über Western Union. Die Rückverfolgung der Phishing s über die IP Adresse führt zu einem Botnet. Unter einem Botnet versteht man ein fernsteuerbares Netzwerk (im Internet) von PCs, welche von einem Die Ermittlungen im Fall Kiwi führten zu zehn Servern in den USA. Im Botnet sind im Schnitt PCs online, insgesamt umfasst es PCs. Es gibt ein automatisiertes Management sowie eine SQL-Datenbank (z.b. für die Botnets PCs). Die Ermittler finden einen Beute-Server mit den Kredit- und Accountdaten sowie einen Master-Server mit -Verkehr, Erstellung und Administrierung der Seiten, Kontaktaufnahme an die Finanzagenten. Außerdem identifizieren sie mehrere Spiegelserver als Notfallebene. Rund 20 Millionen -Adressen sind auf unterschiedlichen Servern gespeichert. Es gibt eine zunehmende Verurteilung von Finanzagenten in Deutschland (bislang sind drei bekannt). Kontakt: Rechtsanwalt Dr. Markus Dinnes FPS Fritze Paul Seelig, Frankfurt am Main Tel: Verfasser@fps-law.de

16 Nikola John Forschung und liegt damit hinter Japan (EURO 350) und den USA (EURO 400) zurück. tumsschub geben wollen, müssen wir ihre Sicherheit investieren: Wirtschaftswunder durch Informationstechnologie? 3. Förderung einer Informationsgesellschaft, die alle Menschen einbezieht. Dazu zählen elektronische, bürgernahe Behördendienste, Lebensqualität - Technologien für eine alternde Bevölkerung, sowie digitale Bibliotheken, über die alle Zugang zu Multimedia und zur multilingualen europäischen Kultur haben Was heißt eigentlich Netz- und Informationssicherheit (NIS)? NIS ist die Fähigkeit von Systemen, böswillige Aktionen, unvorhergesehne Zwischenfälle abzuwehren und somit die Verfügbarkeit, die Authentizität, die Integrität und das Vertrauen von gespeicherten oder übertragenen Daten zu garantieren. Lissabon Strategie Die Lissabon-Strategie geht auf einen Sondergipfel im März 2000 in Lissabon zurück. Dort hatten die Staats- und Regierungschefs ein Programm verabschiedet. Mit dem ehrgeizigen Ziel, die EU bis 2010 zum wettbewerbsfähigsten und dynamischsten wissensbasierten Wirtschaftsraum der Welt zu machen gab es den ernüchternden Zwischenbericht vom ehemaligen niederländischen Premier Wim Kok und der Sachverständigengruppe: In den vergangenen fünf Jahren wurden kaum Fortschritte erzielt. Die EU würde ihr Ziel es bis 2010 zu schaffen verfehlen. Die EU bräuchte verstärkte und koordinierte Reformanstrengungen. Der Schwerpunkt müsse auf Wachstum und Beschäftigung gelegt werden. Entscheidend sei, dass sich die Mitgliedstaaten die Lissabon-Agenda stärker zu Eigen machen und die notwendigen Reformen durchsetzen. Das nahmen die Staats- und Regierungschefs im März 2005 auf, denn zwischenzeitlich hatte sich der Wachstumsabstand zu den USA noch weiter vergrößert. Strategie i2010 Europa braucht mehr Wachstum. Dafür brauchen wir aber die Informations- und Kommunikationsstrategien. Es geht um den viel versprechenden Wirtschaftssektor der EU: IKT hat einen Anteil von 40 % am Produktivitätswachstum und 25 % am BIP-Wachstum in Europa. Deshalb hatte die Europäische Kommission Mitte 2005 ihre i2010 Strategie zum Aufbau einer europäischen Informationsgesellschaft für Wachstum und Beschäftigung beschlossen. Diese Strategie soll sämtliche politischen Instrumente der Gemeinschaft modernisieren und einsetzen, um den weiteren Ausbau der digitalen Wirtschaft voranzubringen: Rechtsvorschriften, Forschung und Partnerschaften mit der Industrie. Drei politische Schwerpunkte: 1. Schaffung eines offenen und wettbewerbsfähigen europäischen Binnenmarkts für die Dienste der Informationsgesellschaft und der Medien. Strategie für eine effiziente Frequenzverwaltung, eine Modernisierung der Vorschriften für die audiovisuellen Mediendienste (Ende 2005), eine Aktualisierung des Rechtsrahmens für elektronische Kommunikation (2006), 2. Erhöhung der EU-Investitionen in die Forschung auf dem Gebiet der Informations- und Kommunikationstechnologien (IKT) auf 80 %. Europa investiert pro Kopf nur 80 in die IKT- Ein erster Bericht der i2010-initiative hat gezeigt, dass die MS nach wie vor nicht das volle Potential ausschöpfen. Wenn wir wollen, dass unsere Wirtschaft wächst, müssen wir mehr tun. Noch schrecken sie vor grenzüberschreitendem Wettbewerb im Telekommunikationssektor zurück. Sie kennen mit Sicherheit den momentanen Streit zwischen der EU-Kommission und der Bundesregierung zu den Investitionen der Telekom im Glasfasernetz: Die Bundesregierung will das drei Milliarden Euro teure VDSL-Netz (Glasfasernetz) der Telekom für eine befristete Zeit von der Regulierung ausnehmen. EU-Medienkommissarin Viviane Reding lehnt dies ab. Mit einer Geschwindigkeit von 50 MBit pro Sekunde soll VDSL bis zu 50 Mal schneller sein als eine einfache DSL- Leitung. Die Mitgliedstaaten haben die Ziele der i2010 in ihre Pläne aufgenommen. Nun gilt es, die Bürger mitzunehmen. Viele Menschen schrecken noch immer davor zurück, die Dienste der Informationsgesellschaft und der Medien zu nutzen zumeist weil sie Bedenken in Bezug auf die Sicherheit und den Schutz ihrer Privatsphäre haben. Diese Sicherheit ist der Schlüssel für die Zukunft der Informationstechnologien Netz- und Informationssicherheit Die Risiken eines unzureichenden Schutzes der Netze und Informationen werden von den Unternehmen, Privatpersonen und öffentlichen Verwaltungen in Europa noch immer unterschätzt. Nur etwa 5 13 % der IT-Ausgaben entfallen derzeit auf die Sicherheit. Das ist bedenklich wenig. Wenn wir die IKT nutzen wollen und somit Europa einen nachhaltigen Wachs- Warum ist NIS so wichtig? Information ist eine wichtige Wirtschaftskomponente und ein immer wichtigerer Baustein für unsere Infrastrukturen. Verlässliche elektronische Kommunikationsnetzwerke und -dienste haben enorm an sozialer und wirtschaftlicher Bedeutung gewonnen. Schutz ist wichtig, um den Wettbewerb aufrecht zu erhalten, für das kommerzielle Image, Wirtschaftskontinuität, um Betrug zu vermeiden, um Vertrauen in die Informationsgesellschaft zu sichern. Welches Risiko bei geringer Sicherheit? Es kann nie eine vollkommene Sicherheit geben. Aber gute Sicherheitssysteme können helfen, negative Konsequenzen und mögliche Sicherheitsprobleme zu vermeiden oder zu verringern. Sicherheitsprobleme können zu direktem Geldverlust führen, z.b. wenn eine bekannte ecommerce Seite aus technischen Problemen offline gehen muss. Oder wenn Kreditkartennummern missbraucht werden. Verheerende Folgen können Sicherheitslücken in sensiblen Infrastrukturbereichen (egal ob Angriffe oder technisches Versagen) haben: Energie, Transport etc. Größte Herausforderung für NIS? Wir werden immer abhängiger von elektronischen Kommunikationsnetzen und den dazugehörenden Informationstechnologien. Je komplexer diese werden, desto mehr Sicherheitsprobleme treten auf. Auch das Bedrohungsszenario hat sich gewandelt. Während in der Vergangenheit die Angriffe eher aus Neugier oder der Absicht seine Virtuosität zur Schau zu stellen, erfolgten, sind sie heute oft mit organisiertem Verbrechen verbunden. Diesen Herausforderungen müssen wir uns alle stellen, stellt sich die EU. Wie stellt sich die EU diesen Herausforderungen? 28 29

17 Die EU hat drei Schwerpunkte: Spezifische Initiativen zu Netz- und Informationssicherheit, inklusive Investition in Forschung und Entwicklung, ENISA, Rechtsrahmen für elektronische Kommunikation. Der Schutz der Privatsphäre Kampf gegen Cyberkriminalität Diese drei Aspekte können an sich nicht getrennt werden und erfordern eine koordinierte Strategie. Sie müssen in allen Politikbereichen berücksichtigt werden, die einen Einfluss auf die Informationssicherheit haben. Nur so wird eine optimale Entfaltung geeigneter Maßnahmen und Prozesse gesichert. Es gibt seit 2000 eine Reihe von wichtigen Initiativen der Kommission dazu: Schutz der Privatsphäre 1. Die Datenschutzrichtlinie für elektronische Kommunikation ist eine 2002 erlassene Richtlinie der Europäischen Gemeinschaft, die verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation setzt. Durch die Richtlinie sollen einerseits die Grundrechte und die Privatsphäre der Einwohner der Europäischen Union geschützt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewährleistet werden. Die EU-Mitgliedsstaaten sind verpflichtet, telekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfangen von s zu verbieten. Außerdem enthält die Richtlinie Vorgaben zu Einzelgebührennachweisen, zu den Möglichkeiten der Anzeige und Unterdrückung von Telefonnummern. Sehr wichtig ist: Die Mitgliedstaaten müssen unerwünschte Werbung per oder über andere elektronische Nachrichtensysteme wie SMS und MMS untersagen, sofern nicht der Teilnehmer zuvor seine Zustimmung erteilt hat. Ausgenommen hiervon sind lediglich s (oder SMS) über vergleichbare Produkte oder Dienste ein und derselben Person an ihre Kunden. Ein weiterer wichtiger Impuls ging von einem Kommissionsvorschlag über Angriffe auf Informationssysteme (2005 angenommen) aus. Auslöser war die zunehmende Bedeutung der Elektronischen Kommunikations- und Informationsnetze für den Erfolg der EU-Wirtschaft und die steigende Bedrohung durch internationale Angriffe auf die Systeme. Die Kommission unterscheidet dabei nach verschiedenen Angriffsformen: n Unberechtigter Zugang zu Informationssystemen (dazu zählt das Hacking) n Störung von Informationssystemen also Dienste im Internet zu blockieren oder anzugreifen. Es gab Fälle, da ging der Schaden in die mehrere Hunderttausende n Bösartige Software, die Daten verändert oder zerstört (Viren wie Melissa) n Überwachung des Fernmeldeverkehrs (gefährdet Vertraulichkeit sniffing) n Täuschung/Irreführung des Benutzers (Malicious misrepresentation) z.b. Annahme der Identität einer anderen Person im Internet und deren Nutzung in böswilliger Absicht spoofing. Die Kommission fordert darin von den MS mehr Prävention und Aufklärung und vor allem Angleichung des Strafrechts und mehr Informationen und Statistiken zu Computerkriminalität. Die Vorschriften der MS weisen erhebliche Unterschiede auf. Europa braucht eine optimale Zusammenarbeit bei Straftaten im Zusammenhang mit Angriffen auf die Informationssysteme. Trotz dieser Regelungen wird Spam immer mehr zu einem wesentlichem Problem für die Entwicklung des elektronischen Handels und der Informationsgesellschaft ist also die Spam-Flut (60 % aller erhaltenen s sind Spams) waren es lediglich 7%. Die Kommission hat deshalb ihre Vorschläge zum Kampf gegen Spam konkretisiert: MITTEILUNG DER KOMMISSION AN DAS EU- ROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZI- ALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN über unerbetene Werbenachrichten (Spam) 2004 Der Erlass von Rechtsvorschriften ist ein erster, notwendiger Schritt, aber nur teilweise eine Antwort. In dieser Mitteilung werden verschiedene Maßnahmen aufgezeigt, die notwendig sind, um die EU-Vorschriften abzurunden und das Spamverbot in die Praxis umzusetzen. Vorgeschlagen werden folgende Maßnahmen: n Effiziente Umsetzungs- und Durchsetzungsmaßnahmen durch Mitgliedstaaten und staatliche Behörden z.b. grenzüberschreitende Beschwerden, Zusammenarbeit mit Drittländern, n Selbstregulierung und technische Maßnahmen der Industrie, insbesondere für Marktteilnehmer, z.b. vertragliche Vereinbarungen, Verhaltenskodizes, zulässige Marketing-Praktiken, Kennzeichnungen, alternative Streitbeilegungsverfahren, technische Lösungen wie Filter- und Sicherheitsfunktionen (Abschnitt 4). n Aufklärungsmaßnahmen für Regierungen und Behörden, Marktteilnehmer, Verbraucherverbände u.a. Dazu gehören z.b. Vorbeugungs-, Verbrauchererziehungs- und Berichterstattungsverfahren. Nur wenn alle, von den Mitgliedstaaten über staatliche Behörden und Unternehmen bis hin zu Verbrauchern und Nutzern des Internets und der elektronischen Kommunikation, ihre Aufgabe dabei wahrnehmen, lässt sich die Ausbreitung des Spam eindämmen. Einige dieser Maßnahmen sind mit spürbaren Kosten verbunden. Dies muss jedoch in Kauf genommen werden, wenn und elektronische Dienste als effiziente Kommunikationswerkzeuge fortbestehen sollen. Einer der wichtigsten Instrumente der Europäischen Kommission bei der Netz- und Informationssicherheit ist ENISA: Die Europäische Agentur für Netz- und Informationssicherheit (kurz ENISA, zu engl. European Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegründete Einrichtung. Sitz der seit September 2005 voll geschäftsfähigen ENISA ist Heraklion auf Kreta. Aufgabe der ENISA ist die Beratung und Koordination der einzelnen Mitgliedsstaaten beim Aufbau kompatibler IT-Sicherheitsstandards. Darüber hinaus soll sie dabei helfen, Bürger, Unternehmen und Verwaltungen der Europäischen Union über Risiken im Zusammenhang mit der Nutzung des Internet und anderer Informationssysteme aufzuklären und damit einen reibungslosen Binnenmarkt innerhalb der Europäischen Union zu gewährleisten. ENISA unterstützt die Europäische Kommission, die Mitgliedstaaten der EU und somit auch Unternehmen, den Anforderungen der modernen Informationsgesellschaft und der entsprechenden Gesetzgebung gerecht zu werden. ENISA soll als Ansprechpartner und für den Informationsaustausch dienen. ENISA wird von einem geschäftsführenden Direktor geführt und verfügt über circa 50 Mitarbeiter. Die Agentur wird von einem Verwaltungsrat überwacht, der sich aus Delegierten der Mitgliedstaaten, der Europäischen Kommission und Interessenvertretern der Wirtschaft, des Verbraucherschutzes und aus der Forschung zusammensetzt. ENISA kooperiert auf nationaler Ebene der Europäischen Union mit allen zuständigen Ministerien, Regulierungsbehörden und vielen weiteren nachgeordneten Behörden (CERT, police) und Institutionen, wie zum Beispiel: Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, Deutschland. Die EU hat der Computerkriminalität den Kampf angesagt. Die Initiativen auf europäischer Ebene sind weg weisend, aber der Kampf bleibt nach wie vor ein globaler. Die Europäische Kommission arbeitet intensiv an einer Zusammenarbeit mit Drittländern bilateral als auch in internationalen Foren wie der OECD Organisation für wirtschaftliche Zusammenarbeit und Entwicklung und der internationalen Fernmeldeunion. Die Internationale Fern

18 meldeunion (Kürzel ITU; englisch: International Telecommunication Union; französisch: Union internationale des télécommunications, UIT) mit Sitz in Genf ist eine Unterorganisation der UNO und die einzige Organisation, die sich offiziell und weltweit mit technischen Aspekten der Telekommunikation beschäftigt. Wegweisend für die Internationale Zusammenarbeit bei Spams war der Weltgipfel über die Informationsgesellschaft in Tunis vom 16. bis 18. November Tunis brachte eine weitgehende politische Einigung über schrittweise Internationalisierung der Internet-Verwaltung und eine stärkere zwischenstaatliche Zusammenarbeit. Diese verstärkte Zusammenarbeit ist der einzig richtige Weg und eine unabdingbare Voraussetzung für die Umsetzung der internationalen Verpflichtung zur wirksamen Bekämpfung von Spam und Schadprogrammen sowie zur Sicherung der Tragfähigkeit des Internets als ein globales Netz. Sicherheit der Inhalte Mehr Sicherheit im Internet Der Rat Telekommunikation der EU verabschiedete Ende 2004 das Programm Mehr Sicherheit im Internet, das Eltern und Lehrern Instrumente zur sicheren Nutzung des Internet an die Hand geben will. Das Programm ist 2005 bis 2008 mit 45 Millionen Euro ausgestattet. Aufgabe ist der Kampf gegen illegale und schädliche Inhalte im Internet. Es wird sich vor allem an die Endnutzer richten, also an Eltern, Lehrer und Kinder. Eine neue, EU-weite Eurobarometer-Erhebung über die Internetnutzung zeigt, dass Eltern mit steigendem Wissen über das Internet immer mehr Informationen darüber wünschen, wie sie seine Nutzung für ihre Kinder sicher machen können. Viele Eltern sind sich der Risiken nicht bewusst, die ihren Kindern beim Surfen im Internet drohen, und fast 60 % aller europäischen Eltern wissen nicht, wo sie illegale und schädliche Inhalte melden können. Das will das Programm beheben. Nach zwei Jahren hat eine unabhängige Bewertung dem EU-Programm Mehr Sicherheit im Internet. Große Erfolge bei der Bekämpfung illegaler und schädlicher Inhalte im Internet bei gleichzeitiger Wahrung der Meinungsfreiheit bescheinigt. Interessengruppen sehen die EU als Vorkämpfer, da sie das Problem illegaler und schädlicher Inhalte bereits früh erkannt hat. Heute dienen Form und Konzept des Aktionsplans für mehr Sicherheit im Internet als Modell in vielen anderen Ländern, in der Region Asien-Pazifik sowie in Nord- und Lateinamerika für Strategien zur Bekämpfung derartiger Online-Inhalte und gleichzeitigen Wahrung der Meinungsfreiheit. Die Sachverständigen heben auch die Effizienz des Programms hervor. Zu seinen wichtigsten Ergebnissen zählen: ein europäisches Netz von 21 nationalen Meldestellen, bei denen Endnutzer illegale Internetinhalte anonym anzeigen können, sowie 23 nationale Sensibilisierungszentren zur Förderung von mehr Sicherheit im Internet für Kinder, Eltern und Lehrer. Nach Informationen von INHOPE, dem internationalen Verband der Internet-Meldestellen, wurden 2005 etwa Anzeigen zwecks weiterer Maßnahmen und Nachforschungen an nationale und internationale Justizbehörden weitergeleitet. In Deutschland wurde im Zuge des Programms beispielsweise die sogenannte Internet-Beschwerdestelle eingerichtet, die der Verband der deutschen Internetwirtschaft und die Freiwillige Selbstkontrolle Multimedia (FSM) gemeinsam betreuen: Nach Angaben einer Sprecherin verzeichnete allein die FSM 2005 knapp 1400 Eingaben, in etwa 44 Prozent der Fälle ging es dabei um Kinderpornografie oder Pornografie. Mit der Initiative Safer Internet Plus werden aktuell EU-weit Meldestellen und Zentren zur Aufklärung über sichere Internetnutzung miteinander verknüpft. Um dieses gute Ergebnis noch auszubauen, eine Verknüpfung von Meldestellen und Sensibilisierungszentren vorgesehen. Intensivere Unterstützung wird von den Mitgliedstaaten benötigt, um die Bekanntheit der Meldestellen bei den Endnutzern zu verbessern und eine engere Zusammenarbeit zwischen Meldestellen und anderen Interessengruppen zu fördern, insbesondere Polizei und Anbieter von Internetdiensten. Programm der Kommission für mehr Sicherheit im Internet: Meldestellen: listet alle möglichen Stellen auf Die Freiwillige Selbstkontrolle Multimedia (FSM e.v.), 1997 von verschiedenen Medienverbänden und Medienunternehmen gegründet, erhält auch finanzielle Unterstützung des EU Safer Internet Action Plan. Seit 1997 unterhält die FSM eine Hotline, an die man Beschwerden über illegale Internetinhalte richten kann The German Awareness Node klicksafe.de Wir wollen, dass Europas Wirtschaft wächst, wir wollen Arbeit für die Menschen, wir wollen Sicherheit dann müssen wir in die Sicherheit investieren. Ohne sichere IKTs keine Zukunft. Kontakt: Nikola John Vertretung der Europäischen Kommission in Deutschland Tel Nikola.john@ec.europa.eu 32 33

19 Die Badische Zeitung ist ein: n Familienunternehmen n Auflage: knapp unter n n n Freiburg im Breisgau Im Dreiländereck Deutschland-Schweiz- Frankreich 21 Lokalausgaben Ronny Gert Bürckholdt Konzept des Wirtschaftsteils der Badischen Zeitung Die Wirtschaftsredaktion: Wie bei den Themen sorgt auch die Mischung der Darstellungsformen (Textarten) für Spannung: Dazu zählen neben Meldungen und Berichte auch Reportagen, Interviews, Analysen, Porträts und Kommentare. Unser Prinzip ist es, hinter die Nachricht zu blicken: große Analysen statt nur tägliches Klein-Klein. Das Frage-und-Antwort-Spiel hat auch eine reinigende Funktion für die Journalisten selbst: Wie viel weiß ich nicht über ein Thema? Sich selbst Fragen zu stellen, offenbart Wissenslücken, die man sonst im Alltagsstress gern umkurvt. Themen sehr groß zu präsentieren, setzt voraus, dass man sich den Platz schafft, indem man die anderen Themen klein darstellt. Dies geschieht stets im Spannungsverhältnis zwischen der Chronistenpflicht einer Tageszeitung einerseits (wir müssen alles Wichtige haben) und dem Zwang zur attraktiven, spannenden Präsentation andererseits. Zum Abschluss: In der Regel macht die Badische Zeitung auf der Titelseite mit überregionalen Themen auf und entscheidet sich damit bewusst gegen die Provinzialität. Wenn aber ein regionales Thema genug Nachrichtenwert besitzt, dann muss es eine Regionalzeitung groß präsentieren. Kontakt: Ronny Gert Bürckholdt Redakteur Wirtschaftsredaktion Badische Zeitung Basler Straße Freiburg Tel. 0761/ Sie besteht aus vier Redakteuren, die jeden Tag zwei Seiten produzieren, plus eine Börsen-Kurs- Seite. Zusätzlich wird eine Verbraucherseite pro Woche angeboten. Die Redaktion liefert Beiträge zu den täglichen fünf Kommentarplätzen. Zuarbeiter sind Korrespondenten von Washington über Berlin bis Tokio. Außerdem werden die Agenturen dpa und AFP genutzt. Unser Konzept besteht scherzhaft aus der heiligen Dreifaltigkeit : Überregionales: Wirtschaftspolitik, Arbeitsmarkt, Sozial- und Umweltpolitik, große Konzerne, Wirtschaft und Soziales aus anderen Ländern. Regionales: Gewichtung zugunsten regionaler Themen, Porträts südbadischer Firmen, Nachrichten herunterbrechen (regionalisieren/beispiel: Arbeitslosenzahlen müssen nach Kreisen des Verbreitungsgebietes aufbereitet werden) Regionalisieren lässt sich fast jedes Thema. Wir hatten eine Themenseite zur Produktpiraterie. Hier steht am Fuß der Seite eine regionale Geschichte über den Streit zweier südbadischer Lampenhersteller: Wer hat von wem abgekupfert? Aber: zwanghaftes Regionalisieren ist peinlich und provinziell. Wichtige harte Themen gehören auch in eine Regionalzeitung. Verbraucherjournalismus: Von Versicherungen bis Energiesparen, Telefon- Vergleichstabellen, Telefonaktionen. Die Mischung macht s. Deshalb keine Angst, weiche Themen großflächig zu präsentieren, etwa ein Test regionaler Biere, der viele Leserreaktionen ausgelöst hat. Viel Arbeit, aber viele positive Reaktionen brachte der Vergleich regionaler Strompreise

20 Klaus Köhler Konzept Wirtschaft in der Augsburger Allgemeine * einmal wöchentlich zusätzliche Tabelle mit Kredit- und Sparzinsen, Fonds, Versicherungen, Märkte, Heizölpreise, Eierpreis * mindestens einmal im Vierteljahr Lesertelefon zu aktuellen Themen oder wichtigen Verbraucherthemen (Erbrecht, Riester-Rente etc.) * Sonderaktionen (Depot-Check) Kontakt Klaus Köhler Augsburger Allgemeine Wirtschaftsredaktion Telefon 08 21/ kkoehler@augsburger-allgemeine.de Der Stellenwert der Wirtschaftsberichterstattung ist enorm gestiegen (Themen auf Seite 1, Kommentare). Der Wirtschaftsteil ist gegenüber 1998 mehr als verdoppelt. Es gibt Wirtschaftsseiten in den Lokalteilen und auch Wirtschaftsredakteure in den Lokalteilen. Auch Politikthemen spielen häufig in den Bereich Wirtschaft hinein. Wirtschaftsthemen werden immer öfter auf der Reportagenseite (Seite 3) präsentiert. Nahezu täglich gibt es einen oder mehrere Kommentare auf Seite 2. Allgemeine Zielsetzungen * Nähe * Nutzwert * Faszination Die Stärke liegt in der Region Schwerpunkt Region Themen mit Bezug zum Verbreitungsgebiet sind die Stärke der Zeitung. Es gibt eine Aufteilung zwischen Gesamtwirtschaft und 25 Lokalteilen. Wo vorhanden, wird der regionale Bezug hergestellt das liefert keine Agentur. Börse und Unternehmen Der Börsenteil unverzichtbar, könnte sogar noch größer sein. Firmennachrichten wichtiger Unternehmen werden gemeldet, nicht nur DAX; auch hier gilt natürlich: in der Region liegt unsere Stärke. Die Leser sind über die wesentlichen Fakten häufig schon durch Fernsehen oder Internet informiert. Deshalb gilt: Hintergrund, Analyse, Auswirkungen auf die Leser und ihre Umgebung, nur noch die wichtigsten Zahlen, ergänzend: Internet-Hinweis mit Link zu den Unternehmensdaten. Tägliche Themen-Zielsetzung * möglichst eine Geschichte (oder mehr) mit regionalem Bezug * möglichst ein Verbraucherstück * möglichst eine Geschichte, in der es um Menschen geht davon ein Thema als Schwerpunkt aufbereitet, mit Zweit- und evtl. Dritteinstieg * ein Thema, das noch nicht durch die elektronischen Medien und die überregionalen Zeitungen gegangen ist. Feste Elemente Börsenteil mit Börsenkommentar * täglich: Telefontarife 36 37