Mitschrift

Werte Kolleginnen und Kollegen, vor ungefähr einer Woche haben Sie eine eMail von mir erhalten. Betreff und Inhalt dieser eMail war Ihr Internetverhalten. Sie wurden aufgefordert, ein Dokument zu öffnen und dort Ihr Paßwort einzugeben. Viele von Ihnen haben genau das getan. Das Problem? Die eMail war nicht von mir. Es war eine Phishing-Mail, wenn auch keine echte  - es ist kein Schaden dadurch entstanden. Die Kolleginnen und Kollegen des WienCERT – also die IT-Sicherheits-Expert*innen bei der MA01 – Wien Digital – haben diese eMail ausgeschickt, so wie das Hacker auch tun würden, nämlich in meinem Namen, um Sie zu täuschen. Das Ziel: Wir wollen die Aufmerksamkeit für solche eMails schärfen. Ich möchte in diesem kurzen Video daher vier Punkte ansprechen. Warum machen wir diese Kampagne? Phishing-Mails stellen häufig den Ursprung für Cybersicherheitsvorfälle dar. Daher kommt der Bewusstseinsbildung der Mitarbeiterinnen und Mitarbeiter in diesem Zusammenhang eine besondere Bedeutung zu. Die Stadt Wien hat in der Vergangenheit bereits einige Phishing-Kampagnen durchgeführt, um die Bewusstseinsbildung bei den Mitarbeiter*innen zu schärfen und gleichzeitig auf das bestehende Informations- und Schulungsangebot zu diesem Thema hinzuweisen. Im Mai 2022 wurde bekannt, dass das Land Kärnten Opfer eines massiven Cyberangriffes wurde – Sie haben das sicherlich in den Medien verfolgt. Wochenlang war die Landesverwaltung in Kärnten nur sehr eingeschränkt arbeitsfähig. Auslöser für den Angriff war eine Phishing-Mail. Von ähnlichen Vorfällen hören wir immer wieder – aus Unternehmen, aus Spitälern, aus Einrichtungen der Verwaltung. Wir haben es hier mit hochprofessionellen, kriminellen Strukturen zu tun, die gezielt Sicherheitslücken nutzen, um Unternehmensinformationen auszuspionieren oder um so Millionenbeträge zu erbeuten. Dabei rücken immer häufiger die Mitarbeiterinnen und Mitarbeiter ins Zentrum. Sie können durch ihr sicherheitsbewusstes Verhalten mithelfen, solche Angriffe zu vermeiden und somit einen Schaden für die Stadt Wien zu verhindern. Gab es früher relativ leicht erkennbare Texte – etwa die Erbschaft des berühmten nigerianischen Prinzen – so sind die Mails heute auf Sie zugeschnitten: Sie kommen scheinbar direkt von Ihrem Kollegen, Ihrer Vorgesetzten, Ihrem Mitarbeiter, ihrer Vertragspartnerin. Deshalb haben diese Mails eine hohe Glaubwürdigkeit. Und Sie spielen natürlich mit Ihrer Neugier: was wissen die über mein Internetverhalten? Und damit kommen wir zum zweiten Punkt: Gehen Phishing-Angriffe wirklich so wie dieser? Die Kurze Antwort ist: ja. Etwas genauer ist es so: Die Kampagne ist vollständig ohne interne Informationen ausgekommen. Dass ich der CIO der Stadt bin lässt sich leicht er-googeln. Dass meine Mail-Adresse dann klemens.himpele@wien.gv.at ist, lässt sich schließen bzw. ist offiziell bekannt. Aufmerksame LeserInnen haben gesehen, dass vor meiner Mailadresse eine Kennung „Stern extern Stern“ zu sehen ist. Sie müssen also davon ausgehen, solche Phishing-Mails zu bekommen. Wenn Sie also Mails bekommen, bei denen Sie nicht sicher sind  - fragen Sie den vermeintlich Absender, wenden Sie sich an die MA 01, die entsprechende eMail-Adresse ist eingeblendet (absue@wien.gv.at). Im Unterschied zu einer echten Phishing-Kampagne haben wir Ihre Passwörter aber weder gespeichert noch sonst wie weiter verarbeitet. Ein echter Angreifer nutzt diese Informationen, um sich weiter in unserem Netzwerk zu bewegen und sich Informationen zu verschaffen. 3. Was tun wir für eine sichere IT? Die Stadt Wien tut technisch sehr viel, um Angriffe abzuwehren. Alle 2 Sekunden findet ein Angriffsversuch statt. Wir erweitern und erneuern den technischen Schutz kontinuierlich. Und ich weiß, dass das nicht immer nur zu Ihrer aller Freude passiert, bspw. wenn zwei-Faktor-Authentifizierungen verlangt werden. Die Technik wird hier auch immer ein entscheidender Faktor sein, aber eben nur einer. Und damit kommen wir zum vierten und letzten Punkt: Was können Sie tun, damit wir gemeinsam für eine sichere IT sorgen? Sie sind der wesentliche Faktor für den Erfolg einer Stadtverwaltung. Wir brauchen Ihre Aufmerksamkeit auch im Bereich der IT-Sicherheit. Um diese Aufmerksamkeit weiter zu schärfen, haben wir diese Kampagne gemacht. Nutzen Sie bitte die zahlreichen Schulungsangebote. Seien Sie achtsam, gemeinsam werden wir die Sicherheit des Netzes der Stadt Wien weiter auf einem hohen Niveau halten. Sie haben das bereits in der Vergangenheit getan. Dafür darf ich mich herzlich bei Ihnen bedanken. Und auch in Zukunft zählen wir auf Sie – und auch dafür möchte ich mich schon heute bedanken!