Cyberangriffe

Wien setzt im Kampf gegen Hacker auf „Kopfgeld“

Nach dem Hackerangriff auf Systeme des Landes Kärnten stellt sich die Frage: „Wie sicher ist Wien?“ Die „Krone“ hat bei IT-Chef Klemens Himpele nachgefragt.

Krone: Herr Himpele, Sie sind der IT-Chef der Stadt Wien. Ihre Abteilung ist auch für Abwehr von Hackerangriffen zuständig. Warum sprechen wir per Videokonferenz? Angst, sich ein Virus einzufangen?
Himpele: Nein, wir könnten uns auch real treffen. Es ist vermutlich die Macht der Gewohnheit.

Also keine Nebenwirkungen von Corona?
Nicht in dieser Form, aber natürlich sind die digitalen Nutzungen massiv gestiegen - etwa Videocalls über unser System. Die Pandemie hat auch uns vor neue Herausforderungen gestellt. Viel mehr Prozesse wurden sowohl innerhalb der Stadtverwaltung als auch in der Kommunikation mit den Bürgern online abgewickelt.

Die Digitalisierung hat durch die Pandemie einen Schub bekommen. Konnte die Sicherheit Schritt halten?
Das mussten wir. Aber das war eine stufenweise Entwicklung. Bevor neue Services online gehen, müssen wir erstens überprüfen, ob diese funktionieren. Zweitens kommt der Sicherheitscheck: Wie weit könnte jemand ins System eindringen, wenn es eine Lücke gäbe? Und drittens: Könnte dieser Service auch rasch analog umgesetzt werden? Ein Beispiel: Wir schützen den Wiener Gesundheitsverbund. Würde die elektronische Patientenaufnahme ausfallen, müssten dennoch Kranke aufgenommen werden können. Die Implementierung digitaler Services ist daher auch immer von mehreren Seiten zu betrachten. Es hatte aber auch etwas Positives: Über Priorisierungen in der Stadt-IT mussten wir nicht diskutieren.

Bleibt Ihnen bei drei Millionen Angriffsversuchen pro Monat auf die IT-Infrastruktur der Stadtverwaltung überhaupt noch Zeit dafür?
Ja, die Magistratsabteilung 01 hat knapp 1000 Mitarbeiter. Für die Abwehr ist in erster Linie das Computer Emergency Response Team (CERT) zuständig, eine Art Cyber-Stabsstelle.

Und das kleinere Team muss sich um, 2083 Angriffe pro Minute kümmern?
Vieles davon wird zum Glück automatisch abgeblockt. Wir analysieren die Fälle und sind im Austausch mit anderen Teams.

Überraschen Sie denn die bisherigen Infos zu Kärnten?
Wir wissen noch zu wenig. Es wäre reine Spekulation. Aber sicher ist, wir reden hier nicht von 13-jährigen Kids, die das Internet nach irgendwelchen Daten absuchen. Das war vielleicht einmal vor 15 Jahren so. Wir reden von hochtechnologischen Organisationen.

Dann lassen Sie uns über Wien sprechen. Wie schützen Sie unsere Infrastruktur?
Wir klopfen sie permanent auf Schwachstellen ab. Unsere Aufgabe ist es, Fehler zu finden, bevor es Angreifer tun. Wir arbeiten viel mit sogenannten Penetrations-Tests. Wir prüfen die Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks mit Mitteln und Methoden, die tauglich sind, um unautorisiert in das System einzudringen. Außerdem haben wir als einzige Verwaltung ein „Bug-Bounty-Programm“. Wer uns Fehler in unserem System mitteilt, wird finanziell belohnt. Je dramatischer, umso höher die Belohnung. IT-Sicherheit führt zu einer paradoxen Situation: Wir müssen viel Geld dafür ausgeben, dass nichts passiert! Dazu zählen auch Bewusstseinskampagnen für die Mitarbeiter der Stadt.

Damit niemand eine Phishingmail öffnet?
Der sicherste Computer ist jener, der nicht im Netzwerk ist. Das ist aber natürlich nicht sehr effizient. Daher müssen wir technisch das System schützen, aber natürlich auch die User schulen. Das machen wir.

Also vor Mails von Prinzen, die Millionen Dollar verschenken wollen?
Diese Art von Prinzen gibt es nicht mehr. Heute sind Phishingmails sehr realitätsnah und gut gemacht. Das hat schon einen Grund, warum Finanzinstitute davor warnen, dass sie nie die PIN Ihrer Kunden abfragen. Die kriminellen Organisationen wissen sehr genau, was sie machen. Und wir müssen die Leute schulen, damit sie falsche Mails erkennen - und natürlich setzen wir auch technologische Mittel hierfür ein. Im Endeffekt untersuchen wir diese Angriffe auf ihre Funktionsweise. Wie kommt so etwas durch die Sicherheitsmechanismen? Was bewirkt es, wenn es im System ist, und wie kann man das verhindern? Es ist ein Wettlauf.

Ein Drahtseilakt zwischen Sicherheitsvorkehrungen und Anwenderfreundlichkeit?
Ja, eine 100-prozentige Sicherheit gibt es nicht.