Viren, Dialer, Phisher

Sicherheitsrisiken im Internet –

Gefahr für Wirtschaft und Gesellschaft?

Journalisten-Reader der bpb

in Zusammenarbeit mit

Sicherheitsrisiken im Internet –

Gefahr für Wirtschaft und Gesellschaft?

Journalisten-Reader der bpb

Viren, Dialer, Phisher

in Zusammenarbeit mit

Inhaltsverzeichnis

Editorial 7

Thomas Krüger, Präsident Bundeszentrale für politische Bildung/bpb

„Risiken begegnen, Chancen nutzen: Die Dimensionen des Internets“ 8

Thomas Baumgärtner, Microsoft Deutschland GmbH

„Verbraucheraufklärung als Erfolgsfaktor für mehr Online-Sicherheit“ 10

Patrick von Braunmühl, stellv. Vorstand Verbraucherzentrale Bundesverband

Podiumsdiskussion:

„Law and Order oder: Wer hält die Betrüger für eine sichere Internet-Zukunft in Schach?“ 12

Thomas Baumgärtner, Microsoft Deutschland GmbH

Sabine Frank, Geschäftsführerin, Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V.

Frank Felzmann, Referatsleiter IT-Sicherheit in Betriebssystemen, Bundesamt für Sicherheit in der Informationstechnik

Stefan Gehrke, Geschäftsführer Mcert Deutsche Gesellschaft für IT-Sicherheit

Markus Caspers, Büroleiter des SPD-Bundestagsabgeordneten Manfred Zöllmer, dem stellvertretenden Vorsitzenden des Verbraucherausschusses

Dr. Per Christiansen, Principal, AOL-Deutschland

Moderation: Dr. Holger Schmidt, Frankfurter Allgemeine Zeitung

„Global vernetzt und lokal verankert – Best-Practice-Beispiele für eine Berichterstattung in lokalen und regionalen Tageszeitungen“ 18

Torsten Kleinz, freier Journalist

„Ausspioniert und abgezockt?“ Gefahren und Risiken für private Internet-Nutzer und wie sie sich schützen können 20

Frank Ackermann, eco Verband der deutschen Internetwirtschaft e.V.

�

Organisation

Veranstalter:

Bundeszentrale für politische Bildung/bpb Fachbereich Multimedia, Journalistenprogramm

Adenauerallee 86 53113 Bonn Telefon 01888/515 558 Telefax 01888/515 586 E-Mail: floeper@bpb.de

Tagungsleitung:

Berthold L. Flöper

Bundeszentrale für politische Bildung/bpb Telefon 01888/515 558 Telefax 01888/515 586 E-Mail: floeper@bpb.de

Tagungsorganisation:

Gabriele Prues

Bundeszentrale für politische Bildung/bpb Telefon 01888/515 555 Telefax 01888/515 586 E-Mail: prues@bpb.de

Dokumentation:

Anke Vehmeier

Freie Journalistin E-Mail: vehmeier-presse@web.de

Assistenz:

Barbara Lich

Bundeszentrale für politische Bildung/bpb

Impressum

Herausgeber

Bundeszentrale für politische Bildung/bpb Fachbereich Multimedia, Journalistenprogramm

Adenauerallee 86 53113 Bonn Telefon 01888/515 558 Telefax 01888/515 586 E-Mail: floeper@bpb.de

Redaktion:

Anke Vehmeier

E-Mail: vehmeier-presse@web.de

Berthold L. Flöper (verantwortlich)

E-Mail: floeper@bpb.de

Gestaltung:

Bilsing & Maußen Grafik-Design

E-Mail: design@bilsing-maussen.de

Herstellung

V + V Druck

info@vuvdruck.de

2

Editorial

Hacker, die aus Spaß oder zu Demonstrationszwecken Computerprogramme knacken und andere, die aus politischen oder moralischen Gründen öffentlich auf Internet-Angebote aufmerksam ma-chen, werden immer seltener. Stattdessen sind Betrüger und die organisierte Kriminalität auf dem Vormarsch. Sie nutzen die Arglosigkeit der Internet-Nutzer für ihre Straftaten aus, „phishen“ Pass-wörter und Identifikationsnummern, infizieren Überwachungsprogramme und kapern Computer mit dem Ziel, sich einzuklinken, zu spionieren, abzukassieren. Die meisten Bürger kennen die Gefahren nur im Ansatz – wer nicht zum Opfer werden will, muss besser informiert sein.

Deshalb hat sich die Bundeszentrale für politische Bildung/bpb des Themas angenommen und in Kooperation mit der Initiative „Deutschland sicher im Netz“ den Workshop für Wirtschafts- und Verbraucherjournalisten in lokalen und regionalen Medien am 17. und 18. November in Berlin initiiert. Die Teilnehmerinnen und Teilnehmer informierten sich über die wachsenden Risiken in der Internetwirtschaft. Im vorliegenden Reader berichten Expertinnen und Experten in einem kompakten Überblick über kriminelle Machenschaften im Netz und über die Möglichkeiten, sie zu bekämpfen. Es werden Wege aufgezeigt, wie sich normale Internet-Nutzer sowie kleine und mittelständische Unternehmen gegen die Vielzahl von Angriffen aus dem Internet, die von lästi-ger, elektronischer Werbung über unseriöse Angebote bis hin zu politischen Hetzseiten reichen, richtig schützen können.

Thomas Krüger

Präsident der Bundeszentrale für politische Bildung

„Schlüsselqualifikation Medienkompetenz: ‚Leitplanken‘ zum Schutz beim Surfen für Kinder und Jugendliche“ 24

Isabell Rausch-Jarolimek, Freiwillige Selbstkontrolle Multimedia-Dienstanbieter e.V.

Live-Hacking-Demonstration 26

Sven Thimm, Microsoft Deutschland GmbH

Praxisbericht: „Den Online-Betrügern auf der Spur“ 28

Dr. Markus Dinnes, Rechtsanwalt

„Wirtschaftswunder aus dem World Wide Web oder wie sieht die Zukunft der Informationstechnologie aus?“ �0

Nikola John, Europäische Kommission, Vertretung in Deutschland

Wirtschaft in der Tageszeitung – erfolgreiche Konzepte �6

Ronny Gert Bürckholdt, Badische Zeitung

Klaus Köhler, Augsburger Allgemeine

Anhang 40

4 �

W ir haben eine global vernetzte Welt. Das birgt riesige Chancen für Wirt-schaft und Gesellschaft. Es ergeben

sich aber auch Gefahren für die Nutzer des Internets. Wir beobachten ein bedrohliches Schädlingswachstum: Im September 2004 gab es rund 100.000 registrierte Schädlinge. Im Juli 2006 waren es bereits 200.000. Experten haben festgestellt, dass 82% der Kleinen und Mittleren Unternehmen (KMU) mit Schadsoftware (IDC) in Berührung kommen. Außerdem waren 60% der privaten Nutzer, nach Angaben von TNS Infra-test), bereits Opfer von Onlinebetrügern.

Ein lästiges Übel ist Spam: Wenn man davon ausgeht, dass etwa vier Milliarden E-Mails je-den Tag verschickt werden, sind davon mehr als 90% Spam. 80% des Spam stammt aus Botnet-zen. Der Begriff „Bot“ bezeichnet Fernsteuer-programme. Kompromittierte Systeme werden von einem Angreifer zentral befehligt. Sie wer-den in der Regel über Viren (trojanische Pferde) aber insbesondere über Würmer (automatisier-te Ausnutzung von Schwachstellen) verbreitet. Ein Angreifer kann die infizierten Rechner zen-tral fernsteuern. Eine weitere Bedrohung be-steht durch das Phishing beim Online-Banking. 78,9% der Online-Nutzer (laut TNS Infratest) hatten bereits Berührung mit Phishing – und 74% der Unternehmen.

Wir erkennen, dass das Sicherheitsbewusstsein bei Onlinern und in Unternehmen deutlich ge-stiegen ist, aber ist damit auch die Sicherheit gestiegen? Durch die automatischen Updates für Windows hat es in den vergangenen zwei Jahren keine Wurm-Epedemie gegeben.

Hätten Sie gewusst, dass in den nächsten 30 Minuten mehr als 1.500 IT-Administratoren In-halte von der Microsoft Webseite abgerufen

haben; mehr als 50.000 Benutzer das Mali-cious Software Removal Tool ausführten – zwei Instanzen des Sasser Wurms entfernten; 149 Bot-Instanzen fanden und entfernten; 7.500 Instanzen von potentieller Schadsoftware (Spy-ware) entfernt wurden?

Die Bedrohung hat sich kontinuierlich gesteigert: 1986 bis 1995 gab es PC-Viren, Boot Sektor Vi-ren, Vandalismus, schlechte Scherze. Insgesamt haben sich die Bedrohungen aber langsam ver-breitet. 1995 bis 2000 kann als Internet Ära be-zeichnet werden. Es gab Macro Viren, Script Vi-ren, Vandalismus, schlechte Scherze wie zuvor. Aber mit dem Unterschied, dass die Verbreitung schneller wurde. In den Jahren 2000 bis 2005 ist das Breitband geläufig. Die Rechner wer-den bombardiert mit Spyware, Botnets, Root-kits. Die Hacker haben finanzielle Motivationen und verbreiten ihren Schaden über das breite Internet. Für die kommenden Jahre bestehen die Bedrohungen im Peer-to- Peer, Social en-gineering, Hyperjacking, „Application attacks“. Die Angriffe sind klar finanziell motiviert. Es sind gezielte Angriffe.

Bei der Informationssicherheit geht es tech-nisch um Vertraulichkeit, Integrität und Verfüg-barkeit von Informationen und Systemen. Si-cherheit technisch heißt, ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Informationssicherheit holistisch bedeutet Um-gang mit Unsicherheit vermitteln, Maßnahmen zur Reduktion von Risiko auf ein sozial und öko-nomisch verträgliches Maß zu reduzieren.

Peer-to-Peer-Netze und Informationssicherheit:

Ein Peer-To-Peer-Netz ist das Gegenteil vom Client-to-Server-Prinzip. Es gibt keine zentrale Datenbank, kein Überblick über das Gesamt-system. Peers, Verbindungen und Informati-onen sind nicht verlässlich. Die sozialen As-pekte von Peer-to-Peer bedeuten, dass sich der Nutzer (Peer) mit Technologie sein System den eigenen Bedürfnissen und Wertesystemen an-passt. Eine Akzeptanz und weitere Verbreitung für diese Form von Info-Gesellschaft hängt vom Vertrauen der Nutzer in Technologie, Internet-Branche, Access- und Content Provider ab. Au-ßerdem wird der Nutzer zum „Medienmacher“. Das bedeutet eine De-Professionalisierung des Journalismus.

Die Bedrohungen der Informationsgesellschaft sind sozio-ökonomisch. Das heißt, ein Ungleich-gewicht in der Gesellschaft, es entsteht ein di-gitaler Graben. Die Privatsphäre wird verletzt.

Das ist Cyber-Terrorismus. Ökonomisch-tech-nisch beinhaltet die Gefahr Spionage, Spam, das Kompromittieren und den Missbrauch per-sönlicher Daten. Kommunikativ ist zu befürch-ten, dass sich die Wertesysteme und der See-lenzustände (insbesondere von Jugendlichen) durch Gewaltverherrlichung, sektenartige Pro-paganda, fragwürde Glaubenslehren etc. verän-dern werden.

Die Operationale Sicherheit-Strategie eines Herstellers muss es sein, eine sichere Platt-form, unterstützt durch Sicherheitswerkzeuge, -services und proaktive Informationen, zu schaf-fen, um Anwendern mehr Sicherheit zu geben. Nötig sind Technologie-Investitionen, für eine hochqualitative Systembasis, Innovationen für Sicherheit und Prozesse. Ferner ist proaktive Information notwendig: Szenarien-basierte In-formationsinhalte und Werkzeuge, Trainings und Schulungen, verantwortliche Reaktion auf Vorfälle. Strategische Partnerschaften sind ge-fragt, für eine Sensibilisierung in der Breite. An-gestrebt werden Kooperation in der Strafverfol-gung und einheitliche Leitfäden.

Kontakt:

Thomas Baumgärtner

Pressesprecher Security und Copyright Microsoft Deutschland GmbH

Tel.: 089/3176-5392 E-Mail: thomba@microsoft.com

Thomas Baumgärtner

Risiken begegnen, Chancen nutzen:

Die Dimensionen des Internets

76

Verbraucheraufklärung ist ein wichtiger Punkt. Er allein reicht aber nicht aus, um mehr Sicherheit im Internet zu bekom-

men. Die Verbraucher sind verunsichert – 80 bis 90% fühlen sich im Netz nicht sicher. Und sie fühlen sich allein gelassen. Die Verbrau-cher sind mit den ganzen Schlagwörtern wie Phishing, Pharming etc. und den daraus re-sultierenden Bedrohungen hoffnungslos über-fordert. Sie haben größte Schwierigkeiten zu verstehen, worum es dabei eigentlich geht. Die Verantwortung für mehr Sicherheit kann allein schon deshalb nicht allein auf den Nutzern ruhen. Wir Verbraucherschützer sehen Politik und Wirtschaft gleichermaßen in der Pflicht. Wir brauchen sichere Betriebssysteme und wir brauchen einen gesetzlichen Rahmen, durch den Verbraucher sicher im Internet agieren können.

So muss die Versendung von unerwünschten Müll-Mails (Spam) als Straftat verfolgt werden. Rund 2,5 Milliarden Euro Schaden entstehen in der Europäischen Union jährlich durch Spam. Das ist ein enormer volkswirtschaftlicher Scha-den. Wir haben ein Aktionsbündnis gegen Spam gegründet mit eco und der Wettbewerbszentra-le. Wir sind der Meinung, dass ein Anti-Spam-Gesetz für Deutschland her muss. In anderen Ländern gibt es das bereits – zum Beispiel in Italien. Dort gibt es auch drastische Strafen, bis zu Gefängnisstrafen.

Wir brauchen Haftungsregeln für den Miss-brauchsfall, nur so kann es Hoffnung geben, dass zum Beispiel Online-Banking sicherer wird. Die rechtlichen Regeln für Online-Banking und die Bedrohung durch Phishing sind unklar. Allerdings investieren die Banken auch nicht genug in die Sicherheit. In diesem Zusammen-

hang müssen wir auch den Einsatz der elektro-nischen Signatur fördern. Anbieter müssen sich aus Sicht der Verbraucherschützer dem Grund-satz der „Datensparsamkeit“ verpflichten. Da-ten ihrer Kunden dürften sie nur nach deren ausdrücklicher Zustimmung für Marketingzwe-cke einsetzen.

Die Beweislast liegt in der Regel beim Verbrau-cher. Wird bei der Übertragung von Steuerda-ten an das Finanzamt Missbrauch betrieben, ist der Verbraucher der Leidtragende. Es müssen sichere Räume im Internet geschaffen wer-den. Aufklärung und Bildung sind notwendig. Ich habe allerdings den Eindruck, dass die, die besonders laut mehr Sicherheit fordern, ver-gessen, dass sie in der Pflicht sind. Dass sie Verantwortung übernehmen und ihr gerecht werden müssen. Wir brauchen ein „digital rights management“.

Es gilt, den Verbrauchern deutlich zu machen, dass Sicherheit etwas kostet, aber es müssen auch die Hilfen für die Verbraucher professiona-lisiert und erschwinglich werden. Beim Verkauf

eines Rechners könnte etwa ein Versicherungs-paket angeboten werden.

Zusammenfassung:

Wir brauchen mehr Aufklärung und Verbessung der Betriebssysteme. In den Schulen müssen sichere Verhaltensweisen trainiert werden. Wir brauchen gesetzliche Rahmenbedingungen und schärfere Sanktionen. Und wir brauchen neue technische Ansätze.

Kontakt:

Patrick von Braunmühl

Stellv. Vorstand Verbraucherzentrale Bundesverband e.V. - vzbv

Markgrafenstraße 66 10969 Berlin Tel.: 030/25800-0 E-Mail: info@vzbv.de

Patrick von Braunmühl

Verbraucheraufklärung als Erfolgsfaktor für

mehr Online-Sicherheit

8 �

Podiumsdiskussion

Law and Order oder: Wer hält die Betrüger

für eine sichere Internet- Zukunft in Schach?

10 11

(in Auszügen)

Teilnehmer: Thomas Baumgärtner, Pres-sesprecher, Microsoft Deutschland GmbH; Sabine Frank, Geschäftsführerin, Freiwil-

lige Selbstkontrolle Multimedia-Diensteanbie-ter e.V.; Frank Felzmann, Referatsleiter IT-Si-cherheit in Betriebssystemen, Bundesamt für Sicherheit in der Informationstechnik; Stefan Gehrke, Geschäftsführer, Mcert Deutsche Ge-sellschaft für IT-Sicherheit; Markus Caspers, Büroleiter des SPD-Bundestagsabgeordneten Manfred Zöllmer, dem stellvertretenden Vorsit-zenden des Verbraucherausschusses, Dr. Per Christiansen, Principal, AOL-Deutschland

Moderation: Dr. Holger Schmidt, Frankfurter Allgemeine Zeitung

Schmidt: Herr Baumgärtner, kein Unternehmen hat mehr Erfahrung mit der IT-Sicher-heit und muss sich häufiger ge-gen Angriffe aus dem Internet weh-ren als Microsoft. Sie können es ein-

schätzen: Wie groß ist das Gefahrenpotential im Internet eigentlich? Wie professionell agie-ren die Internet-Kriminellen inzwischen, die hin-ter dem Geld der Nutzer her sind? Und welche Methoden der Cyber-Kriminellen werden uns in Zukunft am meisten zu schaffen machen?

Baumgärtner: Microsoft ist mit der Präsenz seiner Produkte beim Kunden tatsächlich ein bevorzugtes Angriffsziel aller Arten von Hackern gewesen. Daraus haben wir aber auch viel ge-lernt. Zum einen haben wir vor viereinhalb Jah-ren mit der Trustworthy Computing Initiative die

richtigen Maßnahmen ergriffen, um die Resis-tenz von Windows als Betriebssystem gegen solche Angriffe zu erhöhen, also Windows si-cherer zu machen. Zum anderen arbeiten wir heute viel effektiver mit den weltweiten Strafver-folgungsbehörden zusammen, um die Urheber der kriminellen Machenschaften zu identifizie-ren. Wichtig war uns aber auch die Aufklärung der Benutzer über die Gefahren aus dem Web. Nur wer das Gefahrenpotential kennt, kann sich ausreichend davor schützen.

Schmidt: Gibt es konkrete Projekte?

Baumgärtner: Durch unsere Aktivitäten inner-halb der „Deutschland-sicher-im-Netz“ – Ini-tiative, aber auch mit eigenen Aufklärungs- und Sensibilisierungs-kampagnen, konnten wir

dazu beitragen, das Bewusstsein der Nutzer, so-wohl der privaten Anwender, als auch in Firmen und Organisationen zu schärfen. Die Anwender wissen heute in der Mehrzahl, dass sie selbst in der Pflicht stehen, wenn es um die sichere Einstellung ihrer Computer geht, und darum, wie man sich im Netz richtig verhält. Auch die Gefahren durch Spam und Phishing sind weit-gehend bekannt. Trotzdem ist das Gefahrenpo-tential nicht geringer geworden. Hackern geht es heute nicht mehr um die zweifelhafte „Ehre“, möglichst viele Computer zum Absturz zu brin-gen, wie das noch vor ein paar Jahren gewesen ist. Heute stehen materielle Interessen an der Spitze der möglichen Motive. Hacker verkaufen ihre Leistung oftmals an organisierte Kriminelle, die dann selbst den Schaden beim Anwender verursachen. Auch das Erschleichen von Ver-

trauen ist eine beliebte Methode, an das Geld des Verbrauchers zu kommen. Insgesamt ist zwar die Zahl der geglückten Angriffe durch das gesunde Misstrauen der Benutzer zurückge-gangen, aber der durchschnittlich verursachte Schaden pro Fall ist enorm gestiegen.

Schmidt: Herr Felzmann, als nationale Sicher-heitsbehörde ist es das Ziel des BSI, die Inter-net-Sicherheit in Deutschland voran zu bringen. Nun zeigen Umfragen, dass die Internetnutzer die Verantwortung für die Sicherheit in erster Li-nie bei sich selbst und bei der Internetwirtschaft sehen. Was kann das BSI tun, um die Sicherheit zu erhöhen?

Felzmann: Um die Si-cherheit gerade der Internetnutzer zu er-höhen, hat das BSI ein umfangreiches Web-Angebot mit Informa-tionen und Empfeh-lungen eingerichtet. Es gibt dabei zum einen Informationen unter

www.bsi.bund.de, die sich mehr an den erfah-renen Benutzer wenden, und zum anderen unter www.bsi-fuer-buerger.de für den nicht so tech-nisch versierten Anwender. Dort ist auch ein Link zu der Seite www.buerger-cert.de, auf der man einen Newsletter abonnieren kann. Darü-ber hinaus gibt es Kontakte zu Herstellern von Anwendungs- und Betriebssystem-Software (darunter auch Microsoft), um Empfehlungen

und Vorschläge zur Verbesserung der Sicher-heit in der Informationstechnik zu unterbreiten sowie auf die möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen hin-zuweisen.

Schmidt: Herr Christiansen, reichen die Gesetze aus, um die Kriminellen, die häufig im Ausland sitzen und ihre wahre Identität geschickt ver-schleiern, bestrafen zu können?

Christiansen: In dem Bereich der Online-Kriminalität gibt es kaum Straf-barkeitslücken. Die letzten bestehen-den Lücken sollen gerade geschlossen werden. Niemand

kann ernstlich auf Straffreiheit hoffen, wenn er über das Internet anderen Geld stiehlt.

Das Kernproblem liegt nicht in den Gesetzen, sondern darin, die Täter zu ermitteln, sie zu fin-den und dingfest zu machen. Das ist aus vielen Gründen schwierig, etwa wenn die Täter ihre Datenspuren gut zu beseitigen wissen.

Eine der größten juristischen Hürden sind dabei die Verfahren der internationalen Rechtshilfe, also Verfahren, die eingehalten werden müssen, wenn die Polizei gegen Täter im Ausland ermit-telt oder ausländische Polizei in Deutschland ermitteln möchte. An diesen Verfahren schei-tern tagtäglich unzählige Ermittlungsverfahren,

12 1�

weil diese im jeweils anderen Staat schlicht nicht mehr bearbeitet werden. Auch innerhalb der Europäischen Union. Aufgrund der Masse von Anfragen setzen die Staaten sich teilweise Schwellenwerte für Bagatellkriminalität, unter-halb derer sie Anfragen aus dem Ausland nicht mehr beantworten. Und einfache Fälle des Phi-shings etwa gelten als Bagatellkriminalität. Ist ein Rechtshilfeverfahren endlich abgeschlos-sen, sind oftmals die ermittlungsrelevanten Daten bereits gelöscht. In der Praxis hört man immer wieder davon, Akten würden einfach ge-schlossen, weil sich der Aufwand einer Ermitt-lung im Ausland nicht lohne.

Mittelfristig gibt es zu einer wesentlichen Ver-besserung dieser Verfahren keine Alternative, wenn die Ermittlungsbehörden im Internet auf Augenhöhe mit dem internationalen Verbrechen agieren können sollen.

Schmidt: Herr Gehrke, Mcert sieht seine Auf-gabe darin, kleinen und mittleren Unternehmen bei Problemen mit der IT-Sicherheit zu helfen. Wie oft wenden sich diese Unternehmen hilfe-suchend an Sie und welche Probleme kommen besonders häufig vor? Sind nicht nur die pri-vaten Internetnutzer, sondern auch kleine und mittlere Unternehmen überfordert, sich gegen die Gefahren aus dem Internet zu schützen?

Gehrke: In den vergangenen Jah-ren hat sich schon eine ganze Menge getan. Die Verant-wortlichen in klei-nen und mittelgroß-en Unternehmen wissen mittlerweile, dass IT-Sicherheit auch ein Thema

für sie ist. So gibt es kaum noch ein Unterneh-men, das auf Firewalls oder Anti-Virensoftware verzichtet. Aber das reicht leider nicht mehr aus. Die heutigen Angreifer werden immer krimineller und sehen es dabei ganz gezielt auf Daten aus den Unternehmen ab. Und davon kann jedes Un-ternehmen betroffen sein, und sei es nur als Teil eines rechtswidrigen Bot-Netzes, mit dem Spam-E-Mails versendet oder Dritte erpresst werden können. Entscheidend ist, dass die Unternehmen gut informiert sind, um rechtzeitig vor Sicherheits-lücken und Angriffen gewarnt zu werden.

Schmidt: Frau Frank, die Freiwillige Selbstkont-rolle Multimedia-Diensteanbieter hat seit ihrer Gründung mehrere Tausend Beschwerden der Internetnutzer über rechtswidrige oder jugend-gefährdende Inhalte in Online-Diensten erhalten und bearbeitet. Worüber haben sich die Nutzer besonders häufig beschwert? Und was kann Ihr Verein tun, um die Nutzer effektiv zu schützen?

Frank: Der größte Teil der Beschwer-den, die uns errei-chen, bezieht sich auf Kinderpornogra-fie. Ihr Anteil am ge-samten Beschwer-deaufkommen liegt bei ungefähr einem Viertel.

Neben unserer Tätigkeit als Einrichtung der Freiwilligen Selbstkontrolle und der damit ver-bundenen umfassenden Beratung unserer Mit-glieder in Fragen des Jugendmedienschutzes ist es uns ein dringendes Anliegen, die Medien-kompetenz von Internetnutzern, insbesondere von Kinder und deren Erziehungsberechtigten, zu fördern, indem wir entsprechende Angebote für sie zur Verfügung stellen. Im Rahmen die-ser Aufklärungsarbeit ist beispielsweise das Medienkompetenz-Portal www.internauten.de entstanden. Wir engagieren uns in diesem Be-reich, weil wir die Überzeugung vertreten, dass nur kompetente Nutzer, die zu einem selbstbe-stimmten Umgang mit neuen Medien fähig sind, auch in der Lage, sind, sich effektiv zu schüt-zen. Weiterhin bieten wir eine Beschwerdestel-le an, an die sich jeder Nutzer wenden kann, um sich im Bereich des Jugendmedienschutzes über strafbare oder jugendgefährdende Inhalte im Internet zu beschweren

Schmidt: Herr Gehrke, gegen welche Bedro-hungen müssen sich Unternehmen besonders schützen?

Gehrke: Wie gesagt, die Angriffsmethoden werden immer krimineller. Den Tätern kommt es nicht mehr auf öffentliche Aufmerksamkeit, sondern vielmehr darauf an, möglichst lan-ge unentdeckt agieren zu können. Zudem hat sich ein ganzes Geschäftsfeld um das Thema „Malware“ entwickelt. Einer spürt die Software-lücken auf, ein anderer schreibt die passende Angriffssoftware, ein Dritter kapert die Rechner

und verküpft sie zu Botnetzen, die ein Vierter dann für verschiedenartige Angriffe verwendet. Und dass die Täter zumeist aus dem Ausland kommen, erleichtert die Strafverfolgung auch nicht gerade.

Schmidt: Wie oft kommt Wirtschaftsspionage vor?

Gehrke: Jedes Unternehmen, gleich welcher Größe, kann heute Opfer von Wirtschaftsspi-onage werden. Es wird natürlich ungern darü-ber gesprochen, da ein solcher Umstand auch einen großen Vertrauensschaden verursachen kann. Verschiedene Untersuchungen zeigen aber, dass viel mehr Unternehmen betroffen sein müssen, als öffentlich bekannt ist.

Schmidt: Können sich Surfer überhaupt richtig schützen. Sind nicht die Anbieter von Betriebs-systemen und Software eher in der Pflicht?

Baumgärtner: Beim Schutz vor Kriminellen aus dem Internet sind Alle in der Pflicht. Sur-fer müssen sich verantwortungsvoll verhalten, nicht jede E-Mail oder deren Anhang öffnen und sich nicht auf Phishingseiten leiten lassen. Im Zweifelsfall hilft immer noch ein Anruf beim Ab-sender einer Mail, also etwa bei meiner Bank. Softwarehersteller wie Microsoft und Servicean-bieter sind ebenfalls in der Pflicht: Wir müssen an unserer Technologie arbeiten, um Hackern immer ein Stück voraus zu sein und wir müs-sen die Verbraucher über neue Gefahren infor-mieren. Aber auch der Staat kann durch eine entsprechende Gesetzgebung viel zu mehr Si-cherheit beitragen. In Deutschland etwa muss-

te Microsoft eindeutig identifizierte Spammer auf dem Umweg über das Urheberrecht ver-klagen, weil ein wirksamer Schutz durch ein entsprechendes Anti-Spam Gesetz noch fehlt. Strafverfolgungsbehörden sollten international einfacher zusammenarbeiten können. So enga-giert sich Microsoft im weltweiten Kampf gegen Phishing. In der „Global Phishing Enforcement Initative“ (GPEI) arbeiten wir mit staatlichen Stellen, internationalen Behörden und Partnern aus der Industrie Hand in Hand.

Schmidt: Es gibt Fälle von Erpressung durch Hacker? Können Sie ein Beispiel nennen?

Felzmann: Ein Online-Wettbüro in England wurde bei einem lokalen Pferderennen durch einen massiven Angriff auf das Online-Ange-bot, ein so genannter „Denial-of-Service“-An-griff, so behindert, dass Online-Wetten nur ein-geschränkt möglich waren. Anschließend ging eine E-Mail ein mit der Aufforderung, 10.000 Dollar zu überweisen, da ansonsten beim dem-nächst stattfinden National Derby, wo wesent-lich höhere Wett-Umsätze zu erwarten wären, der Angriff wiederholt werden würde. Ähnliche Erpressungsversuche zur Behinderung von On-line-Angeboten sind mittlerweile an der Tages-ordnung.

Schmidt: Woher droht die größte Gefahr und was können Provider zum Schutz beitragen?

Christiansen: Das ist wie im Straßenverkehr. Mit einer Haltung „Mir passiert nichts“ oder „Das geht noch gut“ schafft man größte Gefahren-quellen für sich und andere. Als Internet-Nutzer

Nutzer zu verbessern und die Kunden gezielt zu sicherem Verhalten anzuleiten. Dies kann durch umfangreiche Webseiten zu Sicherheitsthemen oder durch spezifisch auf eine Situation abge-stimmte Tipps erfolgen, etwa durch den be-kannten Hinweis, Mitarbeiter der Bank XY wer-den Sie niemals nach Ihrem Passwort fragen.

AOL hat es sich zur Aufgabe gemacht führend bei der Internetsicherheit zu sein. In Zusammen-arbeit mit dem AOL-Sicherheitsrat, einem Gre-mium mit Experten aus Politik, Wirtschaft und Medien, hat die Geschäftsleitung Zielverein-barungen getroffen um die Sicherheit für AOL, aber auch als Beispiel für die Branche zu ver-bessern. Im Zentrum steht die Steigerung der Medienkompetenz von Usern. Das fängt schon im Kleinen an, mit Seiten auf AOL.de, die Eltern über Gefahren im Internet aufklären und eige-nen Kinderbereich. Weiterhin haben wir mit dem jüdischen Museum eine Aufklärungskampagne durchgeführt und mit dem AOL Safer Media Award Best-Practice Beispiele für sichere Me-diennutzung prämiert.

Schmidt: Nennen sie ein oder zwei Beispiele für Themen, die Lokalredakteure in ihrem Medi-en aufgreifen können?

Frank: Lokalredakteure könnten über medien-pädagogische Projekte informieren, sowohl auf nationaler als auch auf lokaler Ebene. Es gibt

inzwischen eine Vielzahl an – vor allem kleineren -Initiativen, die sich der Medienkompetenzför-derung widmen. Leider sind sie vielen Men-schen jedoch immer noch zu wenig bekannt. Weiterhin wäre es wünschenswert, wenn sich die Bekanntheit von Beschwerdemöglichkeiten wie der von uns in Kooperation mit dem Ver-band der Deutschen Internetwirtschaft eco an-gebotenen Internet-Beschwerdestelle erhöhen würde. Auch hierzu könnten Lokaljournalisten durch entsprechende Berichterstattung einen Beitrag leisten.

Gehrke: Suchen Sie sich IT-Dienstleister in Ih-rem Berichtsgebiet und sprechen Sie mit ihnen über die schlimmsten Sicherheitsvorfälle und die größten Sicherheitslücken bei deren Kun-den. Sie werden mit Sicherheit keine Namen erfahren, bekommen aber einen Einblick in die Problematik. Vergessen Sie aber nicht, sich auch die Möglichkeiten, wie man es besser ma-chen kann, erläutern zu lassen.

Christiansen: Während in den USA das The-ma Spyware mit der gleichen Aufmerksamkeit wie Phishing oder Spam behandelt wird, ist das Risiko durch Spyware in Deutschland kaum be-kannt. Spyware bezeichnet Software, die Da-ten des Nutzers für kommerzielle Zwecke aus-späht.

Ein anderes Thema ist die zunehmende Sorglo-sigkeit im Umgang mit den eigenen personenbe-zogenen Daten. Während zur Zeit der Volkszäh-lung Barrikaden brannten, weil der Staat Name und Adresse erfassen wollte, wandeln sich viele Internet-Angebote zu Bereichen, in denen der-jenige am meisten Anerkennung genießt, der in Profilen und anderen Selbstdarstellungen am meisten Daten über sich preisgibt. Welche Rolle spielt der Datenschutz in Zukunft?

Unter dem Sicherheitsaspekt äußerst relevant sind überdies Wahlcomputer, die in Zukunft für Parlamentswahlen eingesetzt werden sollen. Die

Beteuerungen der Hersteller und der prüfenden Stellen, diese Systeme seien nicht zu manipu-lieren, werden aus der Hackerszene nachhaltig bezweifelt.

Kontakte:

Thomas Baumgärtner Microsoft Deutschland GmbH Tel. 089/31765392 E-Mail: thomba@microsoft.com

Frank W. Felzmann BSI - Bundesamt für Sicherheit in der Informationstechnik Tel.: 01888-9582-5248 / Fax: 01888-10-9582-5248 E-Mail: frank.felzmann@bsi.bund.de http://www.bsi.bund.de

Dr. Per Christiansen, MSc Principal, Rechtsanwalt Finance & Legal AOL Deutschland GmbH & Co. KG Telefon: +49 (0) 40 / 361 59-7302 E-Mail: ChristiansenDE@aol.com

Sabine Frank Freiwillige Selbstkontrolle Multimedia-Diensteanbieter Tel. 030 – 29 35 06 88 E-Mail: frank@fsm.de

Stefan Gehrke Mcert Deutsche Gesellschaft für IT-Sicherheit Tel. 030/30 87 43 – 74 E-Mail: s.gehrke@mcert.de

Markus Caspers Büro des Bundestagsabgeordneten Manfred Zöllmer Tel. 030-227-70112 E-Mail: manfred.zoellmer.ma01@bundestag.de

14 1�

muss man sich für Internet-Sicherheit interes-sieren, genauso wie man beim Kauf eines Neu-wagen auf ABS achtet.

Als Provider hat man zum einen die Möglichkeit, die eigenen Kunden durch Sicherheitstechno-logien zu schützen, etwa durch Spam- und Vi-renfilter oder Funktionen, die vor Dialern oder potentiellen Phishing-Sites warnen. Solche Technologien sind im Prinzip wirksam, in der Praxis werden sie von Kunden oft nicht ge-nutzt. Angesichts der Vielzahl von verfügbaren Virenscannern dürfte es eigentlich kaum noch Infektionen geben. Das Gegenteil ist der Fall, weil Virenscanner oftmals nicht aktualisiert oder zur Verringerung der Systemlast ausgeschaltet werden.

Auch darf eines nicht übersehen werden: Schutz-maßnahmen durch Provider basieren notwendig auf dem Prinzip, zu prüfen, ob die Handlungen der Kunden plausibel und authentisch oder in irgendeiner Weise verdächtig erscheinen. Ein Dialer-Warner muss erkennen, dass der Nutzer eine Dialer-Verbindung ausgelöst hat und ent-sprechend bei dem Nutzer nachfragen. Wie viel „Bevormundung“ durch solche Systeme halten wir für akzeptabel?

Zum anderen haben die Provider die Möglich-keit, durch gezielte Informationen die Risiko-wahrnehmung und die Medienkompetenz der

Was ist Computersicherheit? Compu-ter-Sicherheit ist computer safety und computer security.

Wer über Computersicherheit schreiben will, muss sie auch praktizieren!

Die schlechte Nachricht lautet: 100-prozentige Sicherheit gibt es nicht.

n Es gibt Tausende von Viren und Trojanern.

n Jede Sicherheitsmaßnahme wird umgangen.

n Die größte Sicherheitslücke ist der Mensch.

Tipps für Journalisten, um IT-Sicherheit zu prak-tizieren:

Emailverschlüsselung. Das funktioniert mit einem

n öffentlichen und einem privaten Schlüssel.

n Mails an mich werden mit meinem öffent-lichen Schlüssel verschlüsselt und können vom Absender dann nicht mehr gelesen werden.

n Ich kann die Mail mit meinem privaten Schlüssel lesen.

Bei der Festplattenverschlüsselung werden

n die Dateien in einen verschlüsselten „Contai-ner“ gepackt. Die Dateien können nur mit dem richtigen Passwort entschlüsselt werden. Auch wenn die Festplatte kopiert wird, ist der Inhalt sicher.

n Lösungen sind bei jedem modernen Be-triebssystem enthalten.

n Komplettverschlüsselungen sind aufwän-diger und gefährlicher.

Computersicherheit geht alle User an. Deshalb gehört das Thema unbedingt in den Lokal- und Regionaljournalismus. Lokaljournalisten haben die Nähe zum Leser: Jeder Leser wird von Vi-ren, Spam und Dialern belästigt und

n viele der Leser leben vom Internet – vom Ebay-Verkauf bis zum Forenmoderator bewe-gen sie sich im Netz.

n Es gibt viele Firmen, die Internetdienst-leistungen anbieten – Systemhäuser, Webde-signer, Provider – auch in der eigenen Regi-on. Ein bundes- oder weltweites Thema hat Einfluss auf die eigenen Leser. Beispiele für Themen im Lokalen sind Wahlcomputer, Si-cherheitslücken bei Banken, Code-RedLe-ser.

n Computersicherheit ist nicht nur eine Fra-ge von Fakten, Computersicherheit ist Politik. Für die Berichterstattung ist es wichtig, die In-teressen der Akteure zu kennen: Firmen, Soft-warehersteller, Sicherheitsdienstleister und Kunden.

Die digitale Welt ist schnelllebig, deshalb ist es für Journalisten unerlässlich, auf dem aktuellen Stand zu bleiben. Dazu gehört,

n eine Computerzeitschrift (Print) zu abonnieren,

n ein bis zwei IT-Newsticker zu verfolgen, sowie

n private Neugier am PC. Recherchewege sind Zeitungsarchive, Fachartikel,

n Googeln,

n Usenet,

n Weblogs sind wichtige Instrumente. Außerdem lohnen sich Besuche von

n Messen, Kursen und Informationsveranstal-tungen.

n Für die tägliche Arbeit ist es wichtig, jeden Rechercheschritt zu dokumentieren, denn: Online-Nachweise verschwinden!

n Bei aktuellen Sicherheitslücken müssen die Betroffenen informiert werden und alle Schritte zur Schließung der Lücke veranlasst werden.

n Es empfiehlt sich, doppelt zu kontrollieren ob die Verantwortlichkeiten stimmen.

n Immer möglichst mit Verantwortlichen sprechen.

Kontakt:

Torsten Kleinz, freier Journalist

http://www.kleinz.net

Torsten Kleinz

Global vernetzt und lokal verankert

16 17

D ie sicherheitsrelevanten Besonderheiten im Internet sind: Alles ist und alle sind vernetzt, aber der Nutzer ist weitgehend

autonom. Die Nutzungsdaten werden nicht si-cher vorgehalten, so geschehen Manipulati-onen zumeist unbemerkt. Fazit: Nichts ist ge-heim!

Im Internet lauern verschiedene Gefahren. Phishing, beziehungsweise E-Mail-basiertes (klassisches) Phishing hat verschiedene Be-drohungsszenarien. Der Benutzer erhält eine vertraute E-Mail mit Formularfeldern zur Ein-gabe seiner personenbezogenen Daten. Oder der Benutzer erhält eine vertraute E-Mail, die zu einer gefälschten Seite führt, die nicht dem Original gleicht. In einem anderen Fall erhal-ten User vertraute E-Mails, die zu einer ge-fälschten Seite führen, die dem Original glei-chen. Es gibt auch folgende Möglichkeit: Der Benutzer erhält eine vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Origi-nal gleicht und die GUI nachbildet. Schließ-lich noch dieses Szenario: Der User erhält eine vertraute E-Mail, die Malware (z.B. Tro-janer, Würmer, Viren) enthält. Betroffen von Phising sind vorwiegend Banken, aber auch Online-Marktplätze. Erstaunlich ist, dass die Erfolgsquote von Phishing-Mails noch immer bei etwa 14% liegt.

Ein Spezialfall ist Pharming. Angriffspunkt ist das Domain Name System (DNS). Beim DNS Spoo-fing fälscht der Angreifer die Antwort auf eine Anfrage nach xyBank.de. 16-Bit Transaction ID muss „geraten“ werden (simpel bei WLAN). Beim DNS-Flooding wird einem Rechner „auf Verdacht“ eine Adressauflösung suggeriert, noch bevor er diese beim echten DNS-Server abgefragt hat. Beim DNS Cache Poisoning wer-

den falsche Informationen in einem der Caches, etwa DNS Spoofing, Name Chaining, etc. ge-speichert.

Beim Pharming unterhalten die Täter häufig eine große Anzahl von Servern zum Hosten der gefälschten Websites („Serverfarmen“). Es wer-den hosts.txt durch Trojaner verändert. hosts.txt enthält statische Zuordnungen Domain–IP-Adresse. Die Bedrohung wird lokal auf der Festplatte gespeichert. Der Trojaner fügt einen Eintrag, z.B. xyBank.de – der IP-Adresse des Angreifers hinzu.

Es besteht die Gefahr der Täuschung. Beim Frame Spoofing wird nur ein Teil des Web Browsers, ein Frame, nachgebildet. Die Ver-bindungs- und Sicherheitsindikatoren des User Interfaces bleiben unberücksichtigt. Das Visual Spoofing ist eine Variante des Web Spoofings mit Fokus auf Fälschung der Sicherheitsindi-katoren. Der Benutzer glaubt, in einer SSL-Umgebung zu sein. Der Doppelgänger Window Attack ist eine Nachbildung eines Applika-tions-Fensters, das zur Authentifikation eines

Benutzers auffordert, um Zugang, etwa zum WLAN zu erlangen.

Weitere Gefahren drohen durch Malware. Ein Spezialfall ist Keylogging. Es wird durch Auf-ruf einer bestimmten URL aktiviert und sendet Zugangsdaten, etwa PIN & TAN, an den Täter. Es handelt sich um teilweise gesteuerte Falsch-Übermittlung der Daten, etwa bei TANs an Bankserver, um Validität des Zugangsdatums zu erhalten. Die Infektion droht durch E-Mails, insbesondere Anhänge, durch Skripten, insbe-sondere Active-X und Java sowie Browser Hel-per Objects (BHOs).

Systembedingte Gefahren bestehen durch Phi-shing aus allgemeinen Quellen, zum Beispiel Cookies, Browser-Cache sowie Dateien und Dateiverzeichnisse.

Fazit: In 2006 wurden bisher mehr als dop-pelt so viele Fälle des Passwort-Missbrauchs im Vergleich zum Vorjahreszeitraum registriert. Das bedeutet einen Anstieg von 3,2% auf 6,8% der Sicherheitsverstöße („InformationWeek“). Es gibt einen blühenden Markt für gefälschte Bank-Webadressen.

Allgemeine Schutzmaßnahmen gegen Phishing:

1. Pflege der Browser-Software mit Sicherheits-Updates

2. Überprüfung des Sicherheitszertifikats der Webseite

�. Überprüfung einer gesicherten Übertragung (https://)

4. Nicht Links folgen, sondern URL manuell eingeben

�. Deaktivierung von Javascript und Windows Scripting Hosts, Einschränkung von Active-X

6. Keine Mails von unbekannten Absendern öffnen

7. Auffällige Mails von vertrauten Absendern telefonisch verifizieren

8. Zugangsdaten grundsätzlich nicht preisgeben

�. Aufklärung aller Nutzer des Internet-Zugangs

10. Aktueller Virenfilter mit Überwachung des Posteingangs oder/und Firewall

11. regelmäßiges Löschen der Caches

12. Cookiespeicherung nur auf Bestätigung des Nutzers

speziell gegen Keylogging:

1. Verwendung des iTAN-Verfahrens = indiziertes TAN-Verfahren = TAN mit Challenge & Response Protokoll

2. iTAN nur sicher in Verbindung mit SSL

�. eTAN (elektronische TAN) nur sicher gegen „Man-In-The-Middle“ durch Integration von Zielkonto und Betrag

4. SSL neuerdings auch eingesetzt bei Phishing-Sites, aber, weil selbstgemacht, mit Warnung. Nicht ignorieren !

Praktische Schutzmaßnahmen sind die Nutzung von alternativen Betriebssystemen und die Nut-zung von alternativen Browsern. Aber: IE7 hat Active-X per Default deaktiviert, Phishing-Filter mit Auto-Update, Security Status Bar mit mehr Infos (URL in jedem Fenster, Zertifikat, etc.), Cross Domain Barriers gg. Cross-Site-Scrip-ting, kein Zugriff des Browsers auf außerhalb der Browserumgebung liegende Systembe-reiche, eingeschränkte Kompatibilität (nicht er-hältlich für Windows 2000).

Die User sollten niemals WLAN unverschlüsselt nutzen, erst recht keine unverschlüsselte Bereit-stellung (LG Hamburg, Urteil vom 26.07.2006, 308 O 407 / 06). Vorsicht ist geboten bei Auffor-derungen, die eigenen Kontodaten zur Abwick-lung von Zahlungen zur Verfügung zu stellen. Falls etwas passiert ist, etwa PIN und/oder TAN ausgespäht wurden, diese ändern und Betrof-fenes Unternehmen benachrichtigen. Wurde der Online-Marktplatz-Zugang ausgespäht:

Frank Ackermann

Ausspioniert und abgezockt?

Gefahren und Risiken für private Internet-Nutzer und wie sie sich

schützen können

18 1�

Passwort ändern, wenn bereits durch Täter geschehen, Betroffenes Unternehmen benach-richtigen. Und: Strafanzeige stellen.

Was unternimmt eigentlich die Internet-Gemeinde gegen diese Angriffe?

1. Technical Engineering: Softwarelösungen

2. Social Engineering: Aufklärungsarbeit (etwa durch PhishTank, APWG, MAAWG)

�. Unterstützung von Strafverfolgungs- behörden (SpotSpam)

4. Beschwerdestellen (etwa www. internet-beschwerdestelle.de)

�. Begleitung der Gesetzgebungsprozesse

7. Neue Gefahren drohen mit neuen Technologien (SPIT, PHIT, … ?), aber: No risk – no fun!

Kontakt:

RA Frank Ackermann

Fachbereich Content eco – Verband der deutschen Internetwirt-schaft e.V.

Lichtstraße 43h 50825 Köln Tel.: 0221 / 7000 48 - 24 Fax: 0221 / 7000 48 - 11 frank.ackermann@eco.de

20 21

Warum Medienkompetenzvermittlung? Jugendschutz im Internet kann niemals allumfassend sein. Es gibt viele An-

bieter und unterschiedliche Wertvorstellungen. In den verschiedenen Ländern herrschen un-terschiedliche rechtliche Rahmenbedingungen. Das Internet bietet zahlreiche Möglichkeiten der Anonymisierung. Umso wichtiger ist deshalb der aufgeklärte Nutzer. Das Internet gehört für rund 41% der Kinder zwischen sechs und 13 Jah-ren bereits fest zum Alltag, sagt die KIM (Studie Kinder und Medien) 2005. 83,5% der sechs - 12 jährigen waren schon einmal im Internet (Quel-le: Kinder Online 2004). Und laut KIM-Studie darf rund ein Drittel der Kinder ohne Aufsicht surfen.

Die Initiative Deutschland sicher im Netz ver-pflichtete sich deshalb, ein Portal für Kinder im Alter von acht bis 13 Jahren zu entwickeln, das über die Möglichkeiten und Risiken der Neu-en Medien aufklärt und sie befähigt, diese ak-tiv, kompetent und selbst bestimmt zu nutzen. Weiterhin werden Eltern und Lehrern relevante Materialien und Unterrichtseinheiten zur Ver-mittlung von Medienkompetenz zur Verfügung gestellt.

Das Portal „Die Internauten“ (www.internauten.de) wird lebendig durch drei pfiffige, besonders ausgebildete Kids, die Verbrechen und Re-spektlosigkeit im Internet bekämpfen. Die Fi-guren sind die Rechercheurin, der Kommander und der Sicherheitsexperte. Die Aufgabe dieser Spezialeinheit ist es, Kinder über Spammer, Ha-cker und andere „Gangster“, die sich im Inter-net tummeln, aufzuklären und ihnen zu zeigen, wie man sich vor ihnen schützt.

Die Internauten richten sich an Kinder zwischen acht und 13 Jahren, Eltern, Lehrer/Pädagogen. Die Internauten bieten Aufklärung über eine si-

chere Nutzung des Mediums Internet mit seinen verschiedenen Diensten, zum Beispiel Chat, Suchmaschinen usw. Die User erhalten Infor-mationen über im Internet geltende Gesetze, z. B. Jugendmedienschutz-Staatsvertrag, Urhe-berrechtsgesetz. Gleichzeitig gibt es wissens-werte Informationen zum Thema Kinder und Konsum, z.B. Mobilfunk, Werbung. Das Ziel des Angebots ist die spielerische Vermittlung von Medienkompetenz: Die Internauten klären auf kindgerechte Weise auf.

Zu den wesentlichen Elementen der Website gehören interaktive Comics, Quizfragen, Spiele und ein Chat. Außerdem können Kinder den In-ternauten ihre Link- und Buchtipps schicken.

Es gibt auf der Homepage einen Kids-Bereich, einen Eltern- und Lehrer-Bereich sowie die Community.

Die spielerischen Elemente sind zum Beispiel die Chat-Simulation, dort bekommen die Kin-der – wie in einem richtigen Chat – von ihrem Gegenüber Fragen gestellt, die sie beantwor-

ten sollen. Geben sie zum Beispiel ihr Alter an, werden sie darauf hingewiesen, dass sie nie-mandem im Internet ihr Alter verraten sollen. Es gibt praktische Beispiele zum Download oder zu Suchmaschinen, E-Mail und Spam oder auch zum Blog. Dazu erhalten die Mädchen und Jungen Quizfragen. Im Rahmen der Community können sie u.a. hierfür Punkte sammeln und klei-ne Preise gewinnen. Die Kinder erhalten zudem Buch- und Surftipps. Es gibt einen Internauten-Medienkoffer für Lehrer zum Bestellen. Darin enthalten sind ein Lehrerheft mit Vorschlägen zur Gestaltung des Unterrichts, Comics, Poster und ein Kartenspiel sowie eine CD-ROM mit ei-ner offline-Version der Homepage und weiteren Materialien.

Derzeit wird ein Lehrerheft für Grundschulleh-rer zum Thema IT-Sicherheit in Kooperation mit secure-it.nrw entwickelt. Der Internauten Medi-enkoffer wird überarbeitet und in einer vierten Auflage produziert werden. Außerdem werden

Materialien für Eltern entwickelt. Auch die Web-site wird regelmäßig durch neue Themen und Missionen ergänzt.

Die Internauten registrieren rund 50.000-60.000 User pro Monat. Die Community hat derzeit mehr als 8.000 Mitglieder.

Kontakt:

Isabell Rausch-Jarolimek

Freiwillige Selbstkontrolle Multimedia-Diensteanbieter (FSM) e. V.

Spreeufer 5 10178 Berlin Tel.: 030/24048430 Fax: 030/24048459 Email: rausch-jarolimek@fsm.de Web: www.fsm.de

Isabell Rausch-Jarolimek

Schlüsselqualifikation Medienkompetenz: „Leitplanken“ zum

Schutz beim Surfen für Kinder und Jugendliche

22 2�

F ragen und Meinungen, die ich zum Thema IT-Sicherheit immer wieder höre sind: War-um sollte ich in IT-Sicherheit investieren?

Das ist doch nur eine Masche der Computer-industrie! Oder: Sicherheitstechnologie macht doch nur alles schwieriger und die Anwender kommen nicht damit zurecht! Was ist schon bei uns (…oder bei mir daheim…) zu holen? Der Hacker geht doch lieber zur Deutschen Bank/zu American Express/zum Deutschen Bundes-tag… Viele User meinen auch, dass die grund-legenden Sicherheitsmaßnahmen doch nicht ausreichen, „das sind doch alles Profis vor de-nen ich mich nicht schützen kann!“

Das Thema Sicherheit geht uns alle an und die Bedrohungen beziehungsweise Täter sind sehr unterschiedlich. Es gibt den „Profi-Hacker“. Er geht zielgerichtet vor, ist in der Regel gut aus-gebildet und hochintelligent. Außerdem ist er extrem hoch motiviert, einmal finanziell, aber auch von persönlichem Ehrgeiz getrieben. Ha-cker sind sehr gut vernetzt und haben viel Zeit! Was es für einen Schutz gibt: keinen!

Eine andere Gruppe sind die sogenannten Script-Kids („Schrotflinte“ – be aware of fools with tools). Sie verwenden in erster Linie frei im Internet verfügbare Tools. Sie hacken aus Spaß an der Freude. Vor ihnen kann man sich schützen, durch grundlegende Sicherheitsmaß-nahmen und sicherheitsbewusstes Verhalten.

Ich habe im geschlossenen Kreis der Teilneh-mer des Workshops einige Tools und Metho-den gezeigt, mit denen Hacker vorgehen. Aus Sicherheitsgründen kann ich an dieser Stelle nicht weiter darauf eingehen, sonst könnte je-mand auf die Idee kommen, das Gezeigte nach-zuahmen. Bitte haben Sie Verständnis.

Der gezeigte Angriff konnte aus unterschied-lichen Gründen funktionieren. Im Umkehr-schluss können diese Maßnahmen helfen, sich vor einem Angriff zu schützen:

1. Es wurde kein Virenschutzprogramm eingesetzt oder er wurde nicht aktualisiert beziehungsweise der Virenschutz war abgeschaltet (denn: Virenschutz macht alles lang- samer – eine gefährliche Sichtweise!)

2. Es ist keinen Schutz vor Trojanern / Spyware eingesetzt!

�. Das Betriebssystem ist nicht aktualisiert!

4. Ich habe keine lokale Firewall („Personal Firewall“) eingesetzt!

�. Oder: Das Unternehmen kümmert sich nicht richtig um die zentrale Firmen-Firewall

6. Der User hat als lokaler Administrator gearbeitet

7. Der User hat Sicherheitswarnungen nicht beachtet

Fazit: Der User hat sich nicht vernünftig verhalten!!!

Zusammenfassung:

Jeder Internetuser ist tagtäglich Ziel von Angrif-fen auf Computersysteme, die mit dem Inter-net verbunden sind. Jeder PC-Benutzer sollte sich – und damit auch andere Nutzer – schüt-zen! Dies kann mit grundlegenden Sicherheits-maßnahmen geschehen, wie aktuelle Schutz-software (Viren, Trojaner, Spyware, etc.), einer lokalen Firewall („Personal Firewall“), die auto-

matische Aktualisierung des Betriebssystems und der wichtigsten Anwendungen: sicherheits-bewusstes Verhalten!

Literatur-Tipps:

Kevin Mitnick und William Simon: „Die Kunst des Einbruchs“ und „Die Kunst der Täuschung“. Mitp-Verlag, März 2006, 416 S.

Kontakt:

Sven Thimm

Senior Consultant IT-Sicherheit und Betriebssysteme Microsoft Deutschland GmbH

E-Mail: v-svthim@microsoft.com

Sven Thimm

Live Hacking oder: Was ist so schwierig an

Computersicherheit?

24 2�

Es gibt unterschiedliche Formen des On-linebetrugs: Phishing, Spamming, Viren und Dialer. Beim Phishing werden die

User auf vermeintlich echte Seiten, zum Bei-spiel von Kreditinstituten und Banken, gelockt, mit der Absicht, ihre Daten zu stehlen. Die Sei-ten sehen den „echten“ täuschend ähnlich und sind für Laien kaum erkennbar.

Phishing ist eine strafbare Handlung. Dabei las-sen sich unterschiedliche Tatbestände aufzei-gen:

n Fälschung beweiserheblicher Daten § 269 Abs. 1 StGB (durch die nachgemachte Webseite)

n Betrug, § 263 StGB, wenn die Handlungen des Phishers bereits konkretisiert sind

n Ausspähung von Daten § 202a StGB, wenn der Phisher sich Zugang zum Konto verschafft hat und die dort hinterlegten Daten eingesehen werden.

n Kennzeichenverletzung nach §§ 143a, 143 Abs. 1 und Abs. 2 MarkenG vorlie- gen, da die gefälschte Webseite stets die Unternehmenskennzeichen und Marken des betroffenen Unternehmens ohne Erlaubnis verwendet.

n Geldwäsche beim Finanzagenten, § 261 StGB.

Unterschiedliche Ermittlungsansätze führen auf die Spur des Täters:

Im ersten Schritt wird versucht, die Herkunft der Phishing E-Mail zu ermitteln.

Ein zweiter Ansatz führt über den Weg des Geldes (Auszahlung des Finanzagenten). Dabei gibt es allerdings ein großes Problem: Allein in Moskau gibt es 400 Ausgabestellen von Wes-tern Union – das Geld ist ohne eine nachver-folgbare Bankstruktur in wenigen Minuten ver-schwunden.

Beispiel: Der Fall „Kiwi“

Vorbeobachtungen: Pro Tag werden 300-500 neue Spam-Seiten erstellt. Die Lebensdauer der Seiten beträgt 1 bis 5 Tage. Die Phishing E-Mails werden in Wellen versandt, dabei ist ein hoher Anstieg zum Wochenende hin bis montags zu beobachten. Die Betrüger verwen-den ständig verschiedene Banken. Die Täter-gruppe arbeitet weltweit. Die Überweisungen laufen hauptsächlich über Western Union. Die Rückverfolgung der Phishing E-Mails über die IP Adresse führt zu einem Botnet. Unter einem Botnet versteht man ein fernsteuerbares Netz-werk (im Internet) von PCs, welche von einem

administrativen Server (Command-and-Cont-rol-Server) kontrolliert werden. Diese Kontrolle wird durch Viren bzw. Trojanische Pferde er-reicht, die den Computer infizieren und dann auf Anweisungen warten, ohne auf dem infi-zierten Rechner Schaden anzurichten. Diese Netzwerke können für Spam-Verbreitung, Pro-xy-Dienste usw. verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen.

Die IT-Forensik wird tätig. Die Experten verifi-zieren beziehungsweise infizieren einen Bot-PC und werden automatisch in das Botnet einge-bunden. Nun sind sie in der Lage, einen Live-Mitschnitt des Netzwerkverkehrs aufzuzeich-nen. Der Arbeitsspeicher wird gesichert.

Allerdings gibt es Schwierigkeiten bei den Er-mittlungen. Es handelt sich um eine technisch höchst komplexe Materie. Die Spuren können in der Regel nur bei einer Online-Verbindung erlangt werden. Außerdem gibt es einen Aus-landsbezug. Globale Unternehmen können helfen. Ferner wechseln die Phisher häufig die Server.

Die Ermittlungen im Fall „Kiwi“ führten zu zehn Servern in den USA. Im Botnet sind im Schnitt 30.000 PCs online, insgesamt umfasst es 60.000 PCs. Es gibt ein automatisiertes Management sowie eine SQL-Datenbank (z.B. für die Botnets PCs). Die Ermittler finden einen Beute-Server mit den Kredit- und Accountdaten sowie einen Master-Server mit E-Mail-Verkehr, Erstellung und Administrierung der Seiten, Kontaktaufnah-me an die Finanzagenten. Außerdem identifizie-ren sie mehrere Spiegelserver als Notfallebene. Rund 20 Millionen E-Mail-Adressen sind auf un-terschiedlichen Servern gespeichert.

Wer sind die Täter? Die Betrüger gehören zur Organisierten Kriminalität. Es handelt sich um eine Gruppe von mindestens 20 Personen – vermutlich über mehrere Länder verteilt. Und zwar in Osteuropa und den USA. Es gibt einen Webdesigner, mehrere Kontaktleute für Finanz-agenten, einen Administrator, mindestens zehn Betreiber von Phishingseiten.

Die aktuellen Entwicklungen geben Anlass zur Sorge. Denn Phisher haben vermutlich mehr Kontendaten als sie je verwenden werden können. Die Suche nach Finanzagenten/Aus-zahlung des Geldes gestaltet sich zunehmend schwierig.

Die Aktuelle Masche: Die Betrüger suchen nach „Dienstleistern“, die durch die Phisher in An-spruch genommen werden. Das funktioniert so: Ein höherer Betrag wird von dem „gephishten“ Konto überwiesen, als der der nach den jewei-ligen Verträgen dem Finanzagenten zusteht. Kurz nach Eingang der Überweisung erfolgt die Bitte, den zuviel gezahlten Betrag mittels Bar-geldversendern in das (zumeist osteuropäische) Ausland zu transferieren.

Es gibt eine „zunehmende“ Verurteilung von Fi-nanzagenten in Deutschland (bislang sind drei bekannt).

Kontakt:

Rechtsanwalt Dr. Markus Dinnes

FPS Fritze Paul Seelig, Frankfurt am Main

Tel: 069 95 95 7 – 248 E-Mail: Verfasser@fps-law.de www.fps-law.de

Dr. Markus Dinnes

Den Online-Betrügern auf der Spur

26 27

Lissabon Strategie

Die Lissabon-Strategie geht auf einen Sonder-gipfel im März 2000 in Lissabon zurück. Dort hatten die Staats- und Regierungschefs ein Programm verabschiedet. Mit dem ehrgeizigen Ziel, die EU bis 2010 zum wettbewerbsfähigs-ten und dynamischsten wissensbasierten Wirt-schaftsraum der Welt zu machen.

2004 gab es den ernüchternden Zwischenbe-richt vom ehemaligen niederländischen Premi-er Wim Kok und der Sachverständigengrup-pe: In den vergangenen fünf Jahren wurden kaum Fortschritte erzielt. Die EU würde ihr Ziel – es bis 2010 zu schaffen – verfehlen. Die EU bräuchte verstärkte und koordinierte Reform-anstrengungen. Der Schwerpunkt müsse auf Wachstum und Beschäftigung gelegt werden. Entscheidend sei, dass sich die Mitgliedstaaten die Lissabon-Agenda stärker zu Eigen machen und die notwendigen Reformen durchsetzen. Das nahmen die Staats- und Regierungschefs im März 2005 auf, denn zwischenzeitlich hatte sich der Wachstumsabstand zu den USA noch weiter vergrößert.

Strategie i2010

Europa braucht mehr Wachstum. Dafür brau-chen wir aber die Informations- und Kommu-nikationsstrategien. Es geht um den viel ver-sprechenden Wirtschaftssektor der EU: IKT hat einen Anteil von 40 % am Produktivitäts-wachstum und 25 % am BIP-Wachstum in Eu-ropa.

Deshalb hatte die Europäische Kommission Mitte 2005 ihre i2010 Strategie zum Aufbau ei-ner europäischen Informationsgesellschaft für

Wachstum und Beschäftigung beschlossen. Diese Strategie soll sämtliche politischen Ins-trumente der Gemeinschaft modernisieren und einsetzen, um den weiteren Ausbau der digi-talen Wirtschaft voranzubringen: Rechtsvor-schriften, Forschung und Partnerschaften mit der Industrie.

Drei politische Schwerpunkte:

1. Schaffung eines offenen und wettbewerbs-fähigen europäischen Binnenmarkts für die Dienste der Informationsgesellschaft und der Medien. Strategie für eine effiziente Frequenz-verwaltung, eine Modernisierung der Vor-schriften für die audiovisuellen Mediendienste (Ende 2005), eine Aktualisierung des Rechts-rahmens für elektronische Kommunikation (2006),

2. Erhöhung der EU-Investitionen in die For-schung auf dem Gebiet der Informations- und Kommunikationstechnologien (IKT) auf 80 %. Europa investiert pro Kopf nur € 80 in die IKT-

Forschung und liegt damit hinter Japan (EURO 350) und den USA (EURO 400) zurück.

�. Förderung einer Informationsgesellschaft, die alle Menschen einbezieht. Dazu zählen elek-tronische, bürgernahe Behördendienste, „Le-bensqualität“ - Technologien für eine alternde Bevölkerung, sowie digitale Bibliotheken, über die alle Zugang zu Multimedia und zur multilin-gualen europäischen Kultur haben

Ein erster Bericht der i2010-Initiative hat ge-zeigt, dass die MS nach wie vor nicht das volle Potential ausschöpfen. Wenn wir wollen, dass unsere Wirtschaft wächst, müssen wir mehr tun. Noch schrecken sie vor grenzüberschrei-tendem Wettbewerb im Telekommunikations-sektor zurück. Sie kennen mit Sicherheit den momentanen Streit zwischen der EU-Kom-mission und der Bundesregierung zu den In-vestitionen der Telekom im Glasfasernetz: Die Bundesregierung will das drei Milliarden Euro teure VDSL-Netz (Glasfasernetz) der Telekom für eine befristete Zeit von der Regulierung ausnehmen. EU-Medienkommissarin Viviane Reding lehnt dies ab. Mit einer Geschwindig-keit von 50 MBit pro Sekunde soll VDSL bis zu 50 Mal schneller sein als eine einfache DSL-Leitung.

Die Mitgliedstaaten haben die Ziele der i2010 in ihre Pläne aufgenommen. Nun gilt es, die Bür-ger mitzunehmen. Viele Menschen schrecken noch immer davor zurück, die Dienste der Infor-mationsgesellschaft und der Medien zu nutzen – zumeist weil sie Bedenken in Bezug auf die Sicherheit und den Schutz ihrer Privatsphäre haben.

Diese Sicherheit ist der Schlüssel für die Zu-kunft der Informationstechnologien

Netz- und Informationssicherheit

Die Risiken eines unzureichenden Schutzes der Netze und Informationen werden von den Unternehmen, Privatpersonen und öffentlichen Verwaltungen in Europa noch immer unter-schätzt. Nur etwa 5–13 % der IT-Ausgaben entfallen derzeit auf die Sicherheit. Das ist be-denklich wenig. Wenn wir die IKT nutzen wollen und somit Europa einen nachhaltigen Wachs-

tumsschub geben wollen, müssen wir ihre Si-cherheit investieren:

Was heißt eigentlich Netz- und Informationssi-cherheit (NIS)? NIS ist die Fähigkeit von Sys-temen, böswillige Aktionen, unvorhergesehne Zwischenfälle abzuwehren und somit die Ver-fügbarkeit, die Authentizität, die Integrität und das Vertrauen von gespeicherten oder übertra-genen Daten zu garantieren.

Warum ist NIS so wichtig? Information ist eine wichtige Wirtschaftskomponente und ein immer wichtigerer Baustein für unsere Infrastrukturen. Verlässliche elektronische Kommunikations-netzwerke und -dienste haben enorm an sozi-aler und wirtschaftlicher Bedeutung gewonnen. Schutz ist wichtig, um den Wettbewerb aufrecht zu erhalten, für das kommerzielle Image, Wirt-schaftskontinuität, um Betrug zu vermeiden, um Vertrauen in die Informationsgesellschaft zu sichern.

Welches Risiko bei geringer Sicherheit? Es kann nie eine vollkommene Sicherheit geben. Aber gute Sicherheitssysteme können helfen, negative Konsequenzen und mögliche Sicher-heitsprobleme zu vermeiden oder zu verringern. Sicherheitsprobleme können zu direktem Geld-verlust führen, z.B. wenn eine bekannte eCom-merce Seite aus technischen Problemen offline gehen muss. Oder wenn Kreditkartennummern missbraucht werden.

Verheerende Folgen können Sicherheitslücken in sensiblen Infrastrukturbereichen (egal ob An-griffe oder technisches Versagen) haben: Ener-gie, Transport etc.

Größte Herausforderung für NIS? Wir werden immer abhängiger von elektronischen Kom-munikationsnetzen und den dazugehörenden Informationstechnologien. Je komplexer diese werden, desto mehr Sicherheitsprobleme treten auf. Auch das Bedrohungsszenario hat sich ge-wandelt. Während in der Vergangenheit die An-griffe eher aus Neugier oder der Absicht seine Virtuosität zur Schau zu stellen, erfolgten, sind sie heute oft mit organisiertem Verbrechen ver-bunden.

Diesen Herausforderungen müssen wir uns alle stellen, stellt sich die EU.

Wie stellt sich die EU diesen Herausforde-rungen?

Nikola John

Wirtschaftswunder durch Informations-

technologie?

28 2�

Die EU hat drei Schwerpunkte:

Spezifische Initiativen zu Netz- und Informati-onssicherheit, inklusive Investition in Forschung und Entwicklung, ENISA, Rechtsrahmen für elektronische Kommunikation.

Der Schutz der Privatsphäre

Kampf gegen Cyberkriminalität

Diese drei Aspekte können an sich nicht ge-trennt werden und erfordern eine koordinierte Strategie. Sie müssen in allen Politikbereichen berücksichtigt werden, die einen Einfluss auf die Informationssicherheit haben. Nur so wird eine optimale Entfaltung geeigneter Maßnah-men und Prozesse gesichert.

Es gibt seit 2000 eine Reihe von wichtigen Initi-ativen der Kommission dazu:

Schutz der Privatsphäre

1. Die Datenschutzrichtlinie für elektronische Kommunikation ist eine 2002 erlassene Richt-linie der Europäischen Gemeinschaft, die ver-bindliche Mindestvorgaben für den Datenschutz in der Telekommunikation setzt.

Durch die Richtlinie sollen einerseits die Grund-rechte und die Privatsphäre der Einwohner der Europäischen Union geschützt, anderseits auch der freie Daten- und Warenverkehr zwischen den EU-Mitgliedsstaaten gewährleistet werden.

Die EU-Mitgliedsstaaten sind verpflichtet, te-lekommunikationsspezifische Regelungen zum Datenschutz zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfan-gen von E-Mails zu verbieten. Außerdem enthält die Richtlinie Vorgaben zu Einzelgebührennach-weisen, zu den Möglichkeiten der Anzeige und Unterdrückung von Telefonnummern.

Sehr wichtig ist:

Die Mitgliedstaaten müssen unerwünschte Wer-bung per E-Mail oder über andere elektronische Nachrichtensysteme wie SMS und MMS unter-sagen, sofern nicht der Teilnehmer zuvor seine Zustimmung erteilt hat. Ausgenommen hiervon sind lediglich E-Mails (oder SMS) über ver-

gleichbare Produkte oder Dienste ein und der-selben Person an ihre Kunden.

Ein weiterer wichtiger Impuls ging von einem Kommissionsvorschlag über Angriffe auf In-formationssysteme (2005 angenommen) aus. Auslöser war die zunehmende Bedeutung der Elektronischen Kommunikations- und Informa-tionsnetze für den Erfolg der EU-Wirtschaft und die steigende Bedrohung durch internationale Angriffe auf die Systeme.

Die Kommission unterscheidet dabei nach verschiedenen Angriffsformen:

n Unberechtigter Zugang zu Informationssys-temen (dazu zählt das Hacking)

n Störung von Informationssystemen – also Dienste im Internet zu blockieren oder anzu-greifen. Es gab Fälle, da ging der Schaden in die mehrere Hunderttausende

n Bösartige Software, die Daten verändert oder zerstört (Viren wie Melissa)

n Überwachung des Fernmeldeverkehrs (ge-fährdet Vertraulichkeit – sniffing)

n Täuschung/Irreführung des Benutzers (Ma-licious misrepresentation) z.B. Annahme der Identität einer anderen Person im Internet und deren Nutzung in böswilliger Absicht – spoo-fing.

Die Kommission fordert darin von den MS mehr Prävention und Aufklärung und vor allem An-gleichung des Strafrechts und mehr Informati-onen und Statistiken zu Computerkriminalität. Die Vorschriften der MS weisen erhebliche Un-terschiede auf. Europa braucht eine optimale Zusammenarbeit bei Straftaten im Zusammen-hang mit Angriffen auf die Informationssyste-me.

Trotz dieser Regelungen wird Spam immer mehr zu einem wesentlichem Problem für die Ent-wicklung des elektronischen Handels und der Informationsgesellschaft ist also die Spam-Flut (60 % aller erhaltenen Emails sind Spams). 2001 waren es „lediglich“ 7%.

Die Kommission hat deshalb ihre Vorschlä-ge zum Kampf gegen Spam konkretisiert:

MITTEILUNG DER KOMMISSION AN DAS EU-ROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZI-ALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN über unerbetene Werbenachrichten (Spam) 2004

Der Erlass von Rechtsvorschriften ist ein ers-ter, notwendiger Schritt, aber nur teilweise eine Antwort. In dieser Mitteilung werden verschie-dene Maßnahmen aufgezeigt, die notwendig sind, um die EU-Vorschriften abzurunden und das Spamverbot in die Praxis umzusetzen.

Vorgeschlagen werden folgende Maßnahmen:

n Effiziente Umsetzungs- und Durchsetzungs-maßnahmen durch Mitgliedstaaten und staat-liche Behörden z.B. grenzüberschreitende Be-schwerden, Zusammenarbeit mit Drittländern,

n Selbstregulierung und technische Maßnah-men der Industrie, insbesondere für Marktteil-nehmer, z.B. vertragliche Vereinbarungen, Ver-haltenskodizes, zulässige Marketing-Praktiken, Kennzeichnungen, alternative Streitbeilegungs-verfahren, technische Lösungen wie Filter- und Sicherheitsfunktionen (Abschnitt 4).

n Aufklärungsmaßnahmen für Regierungen und Behörden, Marktteilnehmer, Verbraucher-verbände u.a. Dazu gehören z.B. Vorbeugungs-, Verbrauchererziehungs- und Berichterstattungs-verfahren.

Nur wenn alle, von den Mitgliedstaaten über staatliche Behörden und Unternehmen bis hin zu Verbrauchern und Nutzern des Internets und der elektronischen Kommunikation, ihre Aufga-be dabei wahrnehmen, lässt sich die Ausbrei-tung des Spam eindämmen.

Einige dieser Maßnahmen sind mit spürbaren Kosten verbunden. Dies muss jedoch in Kauf genommen werden, wenn E-Mail und elektro-nische Dienste als effiziente Kommunikations-werkzeuge fortbestehen sollen.

Einer der wichtigsten Instrumente der Europä-ischen Kommission bei der Netz- und Informa-tionssicherheit ist ENISA:

Die Europäische Agentur für Netz- und Informa-tionssicherheit (kurz ENISA, zu engl. European

Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegrün-dete Einrichtung. Sitz der seit September 2005 voll geschäftsfähigen ENISA ist Heraklion auf Kreta.

Aufgabe der ENISA ist die Beratung und Koor-dination der einzelnen Mitgliedsstaaten beim Aufbau kompatibler IT-Sicherheitsstandards.

Darüber hinaus soll sie dabei helfen, Bürger, Un-ternehmen und Verwaltungen der Europäischen Union über Risiken im Zusammenhang mit der Nutzung des Internet und anderer Informations-systeme aufzuklären und damit einen reibungs-losen Binnenmarkt innerhalb der Europäischen Union zu gewährleisten.

ENISA unterstützt die Europäische Kommissi-on, die Mitgliedstaaten der EU und somit auch Unternehmen, den Anforderungen der moder-nen Informationsgesellschaft und der entspre-chenden Gesetzgebung gerecht zu werden. ENISA soll als Ansprechpartner und für den In-formationsaustausch dienen.

ENISA wird von einem geschäftsführenden Di-rektor geführt und verfügt über circa 50 Mitar-beiter. Die Agentur wird von einem Verwaltungs-rat überwacht, der sich aus Delegierten der Mitgliedstaaten, der Europäischen Kommission und Interessenvertretern der Wirtschaft, des Verbraucherschutzes und aus der Forschung zusammensetzt.

ENISA kooperiert auf nationaler Ebene der Eu-ropäischen Union mit allen zuständigen Minis-terien, Regulierungsbehörden und vielen wei-teren nachgeordneten Behörden (CERT, police) und Institutionen, wie zum Beispiel: Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, Deutschland.

Die EU hat der Computerkriminalität den Kampf angesagt. Die Initiativen auf europäischer Ebe-ne sind weg weisend, aber der Kampf bleibt nach wie vor ein globaler.

Die Europäische Kommission arbeitet intensiv an einer Zusammenarbeit mit Drittländern – bi-lateral als auch in internationalen Foren wie der OECD Organisation für wirtschaftliche Zusam-menarbeit und Entwicklung und der internatio-nalen Fernmeldeunion. Die Internationale Fern-

�0 �1

meldeunion (Kürzel ITU; englisch: International Telecommunication Union; französisch: Union internationale des télécommunications, UIT) mit Sitz in Genf ist eine Unterorganisation der UNO und die einzige Organisation, die sich offiziell und weltweit mit technischen Aspekten der Te-lekommunikation beschäftigt.

Wegweisend für die Internationale Zusammen-arbeit bei Spams war der Weltgipfel über die In-formationsgesellschaft in Tunis vom 16. bis 18. November 2005.

Tunis brachte eine weitgehende politische Ei-nigung über schrittweise Internationalisierung der Internet-Verwaltung und eine stärkere zwi-schenstaatliche Zusammenarbeit. Diese ver-stärkte Zusammenarbeit ist der einzig richtige Weg und eine unabdingbare Voraussetzung für die Umsetzung der internationalen Verpflich-tung zur wirksamen Bekämpfung von Spam und Schadprogrammen sowie zur Sicherung der Tragfähigkeit des Internets als ein globales Netz.

Sicherheit der Inhalte – „Mehr Sicherheit im Internet“

Der Rat „Telekommunikation“ der EU verab-schiedete Ende 2004 das Programm „Mehr Si-cherheit im Internet“, das Eltern und Lehrern In-strumente zur sicheren Nutzung des Internet an die Hand geben will. Das Programm ist 2005 bis 2008 mit 45 Millionen Euro ausgestattet. Aufga-be ist der Kampf gegen illegale und schädliche Inhalte im Internet. Es wird sich vor allem an die Endnutzer richten, also an Eltern, Lehrer und Kinder.

Eine neue, EU-weite Eurobarometer-Erhebung über die Internetnutzung zeigt, dass Eltern mit steigendem Wissen über das Internet immer mehr Informationen darüber wünschen, wie sie seine Nutzung für ihre Kinder sicher machen können. Viele Eltern sind sich der Risiken nicht bewusst, die ihren Kindern beim Surfen im In-ternet drohen, und fast 60 % aller europäischen Eltern wissen nicht, wo sie illegale und schäd-liche Inhalte melden können. Das will das Pro-gramm beheben.

Nach zwei Jahren hat eine unabhängige Bewer-tung dem EU-Programm „Mehr Sicherheit im

Internet“. Große Erfolge bei der Bekämpfung illegaler und schädlicher Inhalte im Internet bei gleichzeitiger Wahrung der Meinungsfreiheit bescheinigt.

Interessengruppen sehen die EU als Vorkämp-fer, da sie das Problem illegaler und schädlicher Inhalte bereits früh erkannt hat. Heute dienen Form und Konzept des Aktionsplans für mehr Sicherheit im Internet als Modell in vielen an-deren Ländern, in der Region Asien-Pazifik so-wie in Nord- und Lateinamerika für Strategien zur Bekämpfung derartiger Online-Inhalte und gleichzeitigen Wahrung der Meinungsfreiheit.

Die Sachverständigen heben auch die Effizienz des Programms hervor. Zu seinen wichtigsten Ergebnissen zählen: ein europäisches Netz von 21 nationalen Meldestellen, bei denen Endnut-zer illegale Internetinhalte anonym anzeigen können, sowie 23 nationale Sensibilisierungs-zentren zur Förderung von mehr Sicherheit im Internet für Kinder, Eltern und Lehrer. Nach Informationen von INHOPE, dem internationa-len Verband der Internet-Meldestellen, wurden 2005 etwa 65 000 Anzeigen zwecks weiterer Maßnahmen und Nachforschungen an natio-nale und internationale Justizbehörden weiter-geleitet.

In Deutschland wurde im Zuge des Programms beispielsweise die sogenannte Internet-Be-schwerdestelle eingerichtet, die der Verband der deutschen Internetwirtschaft und die Freiwilli-ge Selbstkontrolle Multimedia (FSM) gemein-sam betreuen: Nach Angaben einer Sprecherin verzeichnete allein die FSM 2005 knapp 1400 Eingaben, in etwa 44 Prozent der Fälle ging es dabei um Kinderpornografie oder Pornografie. Mit der Initiative „Safer Internet Plus“ werden aktuell EU-weit Meldestellen und Zentren zur Aufklärung über sichere Internetnutzung mitein-ander verknüpft.

Um dieses gute Ergebnis noch auszubauen, eine Verknüpfung von Meldestellen und Sen-sibilisierungszentren vorgesehen. Intensivere Unterstützung wird von den Mitgliedstaaten be-nötigt, um die Bekanntheit der Meldestellen bei den Endnutzern zu verbessern und eine enge-re Zusammenarbeit zwischen Meldestellen und anderen Interessengruppen zu fördern, insbe-sondere Polizei und Anbieter von Internetdiens-ten.

Programm der Kommission für mehr Sicherheit im Internet: http://ec.europa.eu/saferinternet

Meldestellen: http://www.inhope.org/ – listet alle möglichen Stellen auf

Die Freiwillige Selbstkontrolle Multimedia (FSM e.V.) , 1997 von verschiedenen Medien-verbänden und Medienunternehmen gegrün-det, erhält auch finanzielle Unterstützung des EU Safer Internet Action Plan. Seit 1997 un-terhält die FSM eine Hotline, an die man Be-schwerden über illegale Internetinhalte rich-ten kann

The German Awareness Node „klicksafe.de“

Wir wollen, dass Europas Wirtschaft wächst, wir wollen Arbeit für die Menschen, wir wollen Sicherheit – dann müssen wir in die Sicherheit investieren. Ohne sichere IKTs keine Zukunft.

Kontakt:

Nikola John

Vertretung der Europäischen Kommission in Deutschland

Tel. 030 2280 2410 E-Mail: Nikola.john@ec.europa.eu

�2 ��

Die Badische Zeitung ist ein:

n Familienunternehmen

n Auflage: knapp unter 150 000

n Freiburg im Breisgau

n Im Dreiländereck Deutschland-Schweiz- Frankreich

n 21 Lokalausgaben

Die Wirtschaftsredaktion:

Sie besteht aus vier Redakteuren, die jeden Tag zwei Seiten produzieren, plus eine Börsen-Kurs-Seite. Zusätzlich wird eine Verbraucherseite pro Woche angeboten. Die Redaktion liefert Bei-träge zu den täglichen fünf Kommentarplätzen. Zuarbeiter sind Korrespondenten von Washing-ton über Berlin bis Tokio. Außerdem werden die Agenturen dpa und AFP genutzt.

Unser Konzept besteht scherzhaft aus der „hei-ligen Dreifaltigkeit“:

Überregionales:

Wirtschaftspolitik, Arbeitsmarkt, Sozial- und Umweltpolitik,

große Konzerne, Wirtschaft und Soziales aus anderen Ländern.

Regionales:

Gewichtung zugunsten regionaler Themen, Por-träts südbadischer Firmen, Nachrichten „her-unterbrechen“ (regionalisieren/Beispiel: Ar-beitslosenzahlen müssen nach Kreisen des

Verbreitungsgebietes aufbereitet werden) Regio-nalisieren lässt sich fast jedes Thema. Wir hatten eine Themenseite zur Produktpiraterie. Hier steht am Fuß der Seite eine regionale Geschichte über den Streit zweier südbadischer Lampenherstel-ler: Wer hat von wem abgekupfert?

Aber: zwanghaftes Regionalisieren ist peinlich und provinziell. Wichtige harte Themen gehören auch in eine Regionalzeitung.

Verbraucherjournalismus:

Von Versicherungen bis Energiesparen, Telefon-Vergleichstabellen, Telefonaktionen.

Die Mischung macht’s. Deshalb keine Angst, weiche Themen großflächig zu präsentieren, etwa ein Test regionaler Biere, der viele Leser-reaktionen ausgelöst hat. Viel Arbeit, aber viele positive Reaktionen brachte der Vergleich regi-onaler Strompreise.

Wie bei den Themen sorgt auch die Mischung der Darstellungsformen (Textarten) für Span-

nung: Dazu zählen neben Meldungen und Be-richte auch Reportagen, Interviews, Analysen, Porträts und Kommentare.

Unser Prinzip ist es, hinter die Nachricht zu blicken: große Analysen statt nur tägliches Klein-Klein. Das Frage-und-Antwort-Spiel hat auch eine reinigende Funktion für die Journa-listen selbst: Wie viel weiß ich nicht über ein Thema? Sich selbst Fragen zu stellen, offenbart Wissenslücken, die man sonst im Alltagsstress gern umkurvt. Themen sehr groß zu präsen-tieren, setzt voraus, dass man sich den Platz schafft, indem man die anderen Themen klein darstellt. Dies geschieht stets im Spannungs-verhältnis zwischen der Chronistenpflicht einer Tageszeitung einerseits (wir müssen alles Wich-tige haben) und dem Zwang zur attraktiven, spannenden Präsentation andererseits.

Zum Abschluss: In der Regel macht die Ba-dische Zeitung auf der Titelseite mit überregi-onalen Themen auf und entscheidet sich damit bewusst gegen die Provinzialität. Wenn aber ein regionales Thema genug Nachrichtenwert be-sitzt, dann muss es eine Regionalzeitung groß präsentieren.

Kontakt:

Ronny Gert Bürckholdt

Redakteur Wirtschaftsredaktion Badische Zeitung

Basler Straße 88 79115 Freiburg Tel. 0761/496-5074

Ronny Gert Bürckholdt

Konzept des Wirtschaftsteils der Badischen Zeitung

�4 ��

Der Stellenwert der Wirtschaftsberichter-stattung ist enorm gestiegen (Themen auf Seite 1, Kommentare). Der Wirtschafts-

teil ist gegenüber 1998 mehr als verdoppelt. Es gibt Wirtschaftsseiten in den Lokalteilen und auch Wirtschaftsredakteure in den Lokalteilen. Auch Politikthemen spielen häufig in den Be-reich Wirtschaft hinein. Wirtschaftsthemen wer-den immer öfter auf der Reportagenseite (Seite 3) präsentiert. Nahezu täglich gibt es einen oder mehrere Kommentare auf Seite 2.

Allgemeine Zielsetzungen

* Nähe

* Nutzwert

* Faszination

Die Stärke liegt in der Region

Schwerpunkt Region – Themen mit Bezug zum Verbreitungsgebiet sind die Stärke der Zeitung. Es gibt eine

Aufteilung zwischen Gesamtwirtschaft und 25 Lokalteilen.

Wo vorhanden, wird der regionale Bezug herge-stellt – das liefert keine Agentur.

Börse und Unternehmen

Der Börsenteil unverzichtbar, könnte sogar noch größer sein.

Firmennachrichten wichtiger Unternehmen wer-den gemeldet, nicht nur DAX; auch hier gilt na-türlich: in der Region liegt unsere Stärke.

Die Leser sind über die wesentlichen Fakten häufig schon durch Fernsehen oder Internet informiert. Deshalb gilt: Hintergrund, Analyse, Auswirkungen auf die Leser und ihre Umgebung, nur noch die wichtigsten Zahlen, ergänzend: Internet-Hinweis mit Link zu den Unternehmensdaten.

Tägliche Themen-Zielsetzung

* möglichst eine Geschichte (oder mehr) mit re-gionalem Bezug

* möglichst ein Verbraucherstück

* möglichst eine Geschichte, in der es um Men-schen geht

davon ein Thema als Schwerpunkt aufbereitet, mit Zweit- und evtl. Dritteinstieg

* ein Thema, das noch nicht durch die elektro-nischen Medien und die überregionalen Zei-tungen gegangen ist. Feste Elemente

Börsenteil mit Börsenkommentar

* täglich: Telefontarife

* einmal wöchentlich zusätzliche Tabelle mit Kredit- und Sparzinsen, Fonds, Versicherungen, Märkte, Heizölpreise, Eierpreis

* mindestens einmal im Vierteljahr Lesertelefon zu aktuellen Themen oder wichtigen Verbrau-cherthemen (Erbrecht, Riester-Rente etc.)

* Sonderaktionen (Depot-Check)

Kontakt

Klaus Köhler

Augsburger Allgemeine Wirtschaftsredaktion

Telefon 08 21/7 77 20 71 E-Mail: kkoehler@augsburger-allgemeine.de

Klaus Köhler

Konzept Wirtschaft in der

Augsburger Allgemeine

�6 �7

�8 ��

Publikationsliste: „Sicherheit im Netz“

Print

„Digitalisierung und Datenschutz“Aus Politik und Zeitgeschichte, 5-6/2006, #7605 (online unter http://www.bpb.de/publikationen/5BN920,0,0,Digitalisierung_und_Datenschutz.html)

„Digitalisierung des Alltags“Aus Politik und Zeitgeschichte, 42/2003, #7342 (online unter http://www.bpb.de/publikationen/BNQ07J,0,0,Digitalisierung_des_Alltags.html)

„Online-Gesellschaft“Aus Politik und Zeitgeschichte, 39-40/2002, #7239 (online unter http://www.bpb.de/publikationen/ML8Q57,0,0,OnlineGesellschaft.html)

„Medienpolitik“Aus Politik und Zeitgeschichte, 41-42/2000, #7041 (online unter http://www.bpb.de/publikationen/MMSS8C,0,0,Medienpolitik.html)

Christiane Schulzki-Haddouti, „Bürgerrechte im Netz“Schriftenreihe 1382

Jeannette Hoffmann, „Wissen und Eigentum“Schriftenreihe 1552

Geert Lovink, „Dark Fiber“Schriftenreihe 1425

Volker Grassmuck, „Freie Software – zwischen Privat- und Gemeineigentum“,Schriftenreihe 1458, (komplett online unter: http://freie-software.bpb.de/)

Konrad Becker et al., „Die Politik der Infosphäre“Schriftenreihe 1386

Hans Bredow-Institut für Medienforschung, „Medien von A bis Z“Schriftenreihe 1564 „Sicherheitspolitik im 21. Jahrhundert“

Informationen zur politischen Bildung, 42�1 „Massenmedien“ Informationen zur politischen Bildung, 4260, (vergriffen, online verfügbar unter http://www.bpb.de/publikationen04850952034553141195224309211891,0,0,Massenmedien.html)

„Datenschutz“Das Parlament – Themenausgabe 34-35/2006, #6643: Die Publikationen können online unter www.bpb.de bestellt werden.

„Datenschutz für Verbraucher“99+1 Beispiel und Tipps zum Bundesdatenschutzgesetz, Hrsg. Unabhängiges Landes- zentrum für Datenschutz Schleswig-Holstein in der Publikationsreihe der Verbraucher- zentrale Bundesverband

„(N)Onliner Atlas 2006. Eine Topographie des digitalen Grabens durch Deutschland“Eine Untersuchung von TNS Infratest, herausgegeben in Zusammenarbeit mit der Initiative D21. Infos: michael.knippelmeyer@tns-infratest.com

Online

„Medien und Informationsgesellschaft“, Online-Dossierhttp://www.bpb.de/themen/7F2SDJ,0,0,Informations_und_Mediengesellschaft.html

„Besitzrechte an Informationen“, Online-Schwerpunkt http://www.bpb.de/themen/DY3YRV,0,0,Besitzrechte_an_Information.html

„UN-Weltgipfel Informationsfreiheit“, Online-Spezialhttp://www.bpb.de/themen/F54CBN,0,0,UNWeltgipfel_zur_Informationsgesellschaft.html

„Illegale Inhalte“, Online-Interview 200� mit Thomas Rickert http://www.bpb.de/veranstaltungen/656SYX,0,Illegale_Inhalte_%96_Das_Internet_als_rechtsfreier_Raum.html

„Aus Politik und Zeitgeschichte: Sicherheit im Internet“, Bundeszentrale für politische Bildung http://www.bpb.de/publikationen/IL02MB,0,Sicherheit_im_Internet.html

40 41

Linktipps:

(eine Auswahl von Websites, ohne Anspruch auf Vollständigkeit und ohne Bewertung)

http://www.internet-beschwerdestelle.de/Der Verband der deutschen Internetwirtschaft eco und die Freiwillige Selbstkontrolle Multi-mediadiensteanbieter FSM betreiben Hotlines zur Entgegennahme von Beschwerden über illegale und schädigende Internetinhalte. Sie haben die gemeinsame Webseite Internet-Be-schwerdestelle.de eingerichtet.

http://www.bsi-fuer-buerger.de/Seite des Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Downloads zur Si-cherheit, Programmen und Bildschirmschoner.

http://www.klicksafe.de/In Deutschland hat die Europäische Kommission das Konsortium aus Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz, Landesanstalt für Medien Nordrhein-Westfalen (LfM) und Europäisches Zentrum für Medienkompetenz (ecmc) beauftragt, als „klicksafe.de“ das Safer Internet Programm der Europäischen Kommission umzusetzen und einen nationalen Knotenpunkt in Deutschland aufzubauen.

http://www.buerger-cert.de/Das Bürger-CERT ist ein gemeinsames Projekt des Bundesamtes für Sicherheit in der Infor-mationstechnik (BSI) und Mcert Deutsche Gesellschaft für IT-Sicherheit. Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und anderen Sicherheitslücken – kostenfrei.

http://www.blinde-kuh.de/fbitips.html#kidsSicherheit im Internetz für Kinder. Eine Übersetzung von Tipps aus den USA und zwar der amerikanischen Bundespolizei FBI.

http://www.zeit.de/2006/0�/Onlinemedien_0�aus: Die Zeit online: „Mit doppeltem Netz. Wie das schnelle Medium Internet daran arbeitet, solide und glaubwürdig zu werden.“ Von Wenke Husmann.

http://www.jugendschutz.net/Verstöße gegen den Jugendschutz überprüft jugendschutz.net und setzt sich dafür ein, dass Anbieter die Bestimmungen des Jugendschutzes einhalten und Rücksicht auf Kinder und Jugendliche nehmen.

http://www.internet-abc.deWerbefreie Plattform für den Einstieg ins Internet für Kinder, Eltern und Pädagogen.

http://www.secure-it.nrw.de/Sicherheit, Vertrauen und Datenschutz beim digitalen Geschäftsverkehr sind die Kern-themen der Initiative „secure-it.nrw“, die bei der IHK Bonn/Rhein-Sieg angesiedelt ist.

42