Das neue Informationsfreiheitsgesetz (IFG) stärkt die Bürgerrechte, doch die Transparenz hat einen Preis: Erhöhte Betrugsgefahr. Im Interview mit ITWelt.at erklären Elisabeth Sardy-Rauter und Andreas Frohner von EY, welche neuen Risiken auf Kommunen zukommen und wie sie sich schützen können. [...]
Welche Veränderungen bringt das IFG für Städte und Gemeinden?
Elisabeth Sardy-Rauter: Mit dem Inkrafttreten des IFG wird das Amtsgeheimnis abgeschafft und durch ein verfassungsrechtlich verankertes Grundrecht auf Zugang zu Informationen ersetzt. Für Städte und Gemeinden bedeutet das einen grundlegenden Wandel in ihrer Verwaltungskultur und Arbeitsweise, denn ab nun gilt einerseits die proaktive Veröffentlichungspflicht für Gemeinden über 5.000 Einwohner und andererseits das Informationsbegehren, bei dem Bürger formlos Informationsanfragen stellen können.
Das IFG soll Bürgernähe und demokratische Teilhabe fördern – gleichzeitig steigt das Risiko für Betrugsfälle.
Andreas Frohner: Mit der neuen Offenlegungspflicht müssen aus unserer Sicht auch präventive Sicherheitsmaßnahmen in allen Gemeinden und Städten mitgedacht werden. Zahlungsprozesse und Rechnungsfreigaben sollten nur nach einem strengen Vier-Augen-Prinzip erfolgen. Bei der Änderung von Bankdaten ist besondere Vorsicht geboten. Hier ist das effektivste Mittel die Awareness – also das aktive Problembewusstsein – von Mitarbeitenden und das erreiche ich nur durch konsequente und regelmäßige Schulungen.
Inwiefern verändert das IFG die Angriffsvektoren für Cyberkriminelle?
Frohner: Betrüger könnten das formlose Informationsbegehren dazu missbrauchen, um Zuständigkeiten, Organigramme oder gar Entscheidungswege von Städten und Gemeinden zu erfragen. Social Engineers könnten diese Informationen nutzen, um gezielt Täuschungsversuche zu starten, etwa durch gefälschte E-Mails. Cyberkriminelle könnten diese Informationen dazu nutzen, um authentisch wirkende Rechnungen oder Mahnungen zu legen. Die Möglichkeiten zu betrügen sind nahezu grenzenlos und ohne entscheidende Antibetrugsmaßnahmen ist eine wirksame Risikominimierung nicht möglich.
Welche neuen Angriffsszenarien auf die digitale Verwaltung erwarten Sie?
Frohner: Durch die proaktive Veröffentlichungspflicht erhalten Angreifer leicht Zugang zu Daten, wie etwa Rechnungen oder Verträgen. Diese können wiederum für bekannte Betrugsmuster, beispielsweise für Phishing, CEO-Fraud oder die Ausstellung von Fake-Rechnungen genutzt werden. Über die letzten Monate und Jahre haben wir schon regelmäßig solche Fälle begleitet und da war das Amtsgeheimnis noch in Kraft – durch die Abschaffung des Amtsgeheimnisses können die Angreifer entsprechend ausgeklügelter vorgehen und die Erkennung wird zusätzlich erschwert.
Was macht kleine Kommunen besonders anfällig?
Sardy-Rauter: In kleinen Gemeinden gibt es oft wenige Mitarbeitende, die viele Aufgaben gleichzeitig übernehmen müssen. Dadurch fehlt häufig die Spezialisierung in Bereichen wie IT-Sicherheit, Vertragsprüfung oder das Fachwissen, wenn es um die Umsetzung von Bauvorhaben geht. Besonders bei Letzteren fehlt oft die Routine im Umgang mit größeren Bauvorhaben.
Welche konkreten IT- und Compliance-Maßnahmen empfehlen Sie Gemeinden?
Frohner: In erster Linie empfehle ich, unter den eigenen Mitarbeitenden ein entsprechendes Bewusstsein zu schaffen und die internen Prozesse auf Schwachstellen abzuklopfen. Weiters ist die IT-Sicherheit seit Jahren ein zentrales Thema, welche damit erneut in den Fokus rückt. Cyberangriffe werden immer ausgeklügelter und können Gemeinden und Unternehmen unterschiedlichster Größe treffen. Heutzutage empfehle ich jeder noch so kleinen Gemeinde, eine 24/7 Cyber Incident Response Nummer parat zu haben.
Be the first to comment