IKT-Sicherheitskonferenz 2025

Gefahren aus dem Netz

Cyber-Kriminalität, deren Bekämpfung, Schutzmaßnahmen, Krisenmanagement und KI waren Themen der IKT-Sicherheitskonferenz 2025 des Bundesheers in Dornbirn.

Seit 2002 führt das Abwehramt des Bundesministeriums für Landesverteidigung (BMLV) Informationsveranstaltungen zum Thema IKT-Sicherheit durch. Was als Seminarbetrieb gedacht war, hat sich ab 2012 zu einer jährlichen Großveranstaltung, den IKT-Sicherheitskonferenzen, entwickelt. Sie werden abwechselnd in verschiedenen Bundesländern abgehalten, Am 25. und 26. Juni 2025 fand sie in der Messe Dornbirn statt und war, wie auch schon bei den vorigen Konferenzen, mit der Finalrunde der Austrian Cyber-Security-Challenge (verbotengut.at) verbunden, an der 52 Wettkämpferinnen und Wettkämpfer teilgenommen haben. Die Siegerehrung erfolgte am 26. Juni. Mit dem Veranstalter dieses Wettbewerbs, der Cyber-Security Austria (CSA), vertreten durch den Obmann Josef Pichlmayr, schloss das BMLV einen Partnerschaftsvertrag ab. In Kurzvorträgen präsentierten jungen Forscherinnen und Forschern ihre Forschungsergebnisse.

Cybercrime nehme zu, führte Marco Eggerling, Global CISO von Check Point Software Technologies, aus. Gemessen am Brutto-Inlandsprodukt, lag nach Forschungsergebnissen des Unternehmens Cybercrime 2024 mit 10,5 Billionen US-Dollar weltwirtschaftlich an dritter Stelle nach den USA und China und erwirtschaftete mehr als das Doppelte des BIP von Deutschland (4,3 Billionen) als weltweit drittgrößter Volkswirtschaft. Die Bedrohung wird durch KI verändert. Ransomware zu erstellen, wird mit KI schneller und billiger. Die Zahl der Angriffe wird steigen und die Zeit zwischen Angriff und Datendiebstahl sich verkürzen.
Robert Lamprecht, KPMG, zeigte anhand der jährlichen Studien des Unternehmens über die Cybersecurity in Österreich auf, wie rasant die Bedeutung der Cybersecurity in das Bewusstsein der Unternehmensverantwortlichen gerückt ist. 2016 und 2017 in die Agenda aufgenommen, wurde sie ab 2021 als essenziell eingestuft.
Ab 2023 zeigt sich ein Anstieg der Zahl der Angriffe, wobei (Spear-)Phish­ing-Attacken (E-Mail-Links) nach wie vor an erster Stelle stehen, annähernd gleichauf mit Malware, die über E-Mail-Attachments eingeschleust wird. Es zeigt sich aber auch, dass die Abwehr von Malware-Angriffen bei Unternehmen bereits zum Tagesgeschäft gehört. Mehr als jeder vierte Angriff war auf einen staatlichen oder staatlich unterstützten Akteur zurückzuführen. Ferner wurden 32 Prozent der Unternehmen Opfer eines Datendiebstahls insofern, als die Daten bei einem Dienstleister gestohlen wurden. Die Lieferkette rückt immer mehr in den Mittelpunkt, was die Wichtigkeit der Umsetzung der NIS-2 RL betont.
Als 7. Cyber-Sicherheitsreport seit 2019 präsentierte Georg Schwondra, Deloitte, den Deloitte Cybersecurity-Report 2025, für den im Jänner und Februar 2025 eine telefonische Befragung bei 350 Unternehmen ab 50 Beschäftigten aus ganz Österreich durchgeführt wurde. Nach diesem Bericht hat sich die Zahl der Angriffe mit Ransomware seit 2022 fast verdoppelt. Die Angriffe wurden häufiger, aggressiver und professioneller, doch konnte mehr als die Hälfte mittlerweile mit technischen Maßnahmen abgewehrt werden. Gestiegen ist allerdings die Schadensintensität. Die Wiederherstellung der Daten über ein Back-up war nur noch in einem Drittel der Fälle möglich. Die Daten konnten 2025 nur mehr in 20 Prozent der Fälle ganz oder teilweise entschlüsselt werden, gegenüber noch 37 Prozent 2022. Es sollte eine Politik des Zero Trust verfolgt werden, dass also niemandem vertraut und jeder einzelne Datenzugriff verifiziert wird. Regelmäßig sollten Notfallübungen und Tests durchgeführt und ein Notfallmanagement implementiert werden. KI wird von knapp der Hälfte der Unternehmen auch für die eigene Cyber-Sicherheit genutzt, vor allem zur Phishing-Erkennung und zu Mitarbeiterschulungen.
Der Vertreter des Cyber-Security-Centers der Direktion Staatsschutz und Nachrichtendienst (DSN) des Bundesministeriums für Inneres (BMI) berichtete über staatliche Maßnahmen gegen Computersysteme, die unter dem Begriff APT (Advanced Persistent Threats) bzw. Cyber-Spionage zusammengefasst werden. In als kritisch eingestufte Länder sollten bei Dienstreisen keine dienstlichen oder privaten Geräte mitgeführt werden. Unverschlüsselter Datenverkehr werde mit hoher Wahrscheinlichkeit gelesen. Was das Hinterlegen von Daten in Clouds betrifft, sei hinsichtlich der Datensicherheit zu beachten, dass die Betreiber der Clouds den jeweiligen nationalen Gesetzen unterliegen.
Florian Draschbacher, TU Graz, berichtete über eine seit 2011 bestehende, als Choice-Jacking bezeichnete Gefahr, dass über öffentlich zugängliche USB-Ladestationen für Smartphones von diesen Daten abgegriffen werden könnten. Nicht alle Hersteller von Smartphones haben bisher entsprechende Schutzvorrichtungen in den Geräten installiert. Verfügt man über keinen Datablocker, sollte an solchen Stationen bloß eine Powerbank aufgeladen werden.
Auch die Landwirtschaft ist von der IT abhängig und erpressbar, wie ein Fall aus der Schweiz im August 2024 beweist, auf den Tobias Zillner und Felix Eberstaller, Limes Security, hinwiesen. Hacker hatten den Melkroboter eines Bauern samt allen Vitaldaten der Tiere lahmgelegt. Der Befruchtungszeitpunkt einer Kuh konnte nicht mehr festgestellt werden. Das Kalb starb im Körper der Kuh. Diese musste eingeschläfert werden.
Nach einer von den Vortragenden durchgeführten Befragung von 500 heimischen Landwirten werden von diesen, ähnlich häufig wie Kuh- oder Sauenplaner, nämlich zu etwa 70 Prozent, GPS-gesteuerte Landmaschinen eingesetzt. Für diese werden als Nachrüstlösung verschiedene Lenksysteme im Bereich zwischen 5.000 bis 7.000 Euro angeboten, alle von demselben chinesischen Hersteller, die eine Steuerung des Gefährts über Cloud-Anbindung vom Tablet aus ermöglichen.
Diese Verbindung hat allerdings, wie die beiden Forscher herausgefunden haben, Schwachstellen, die eine Beeinflussung durch andere ermöglichen – oder auch den Weg des Traktors verfolgen lassen, beispielsweise auf einer verbotenen Fahrt auf öffentlichen Straßen mit eingeschaltetem Lenksystem. Der Hersteller wurde vor der Veröffentlichung in Kenntnis gesetzt und hat die Schwachstellen angeblich geschlossen. Die Digitalisierung der Landwirtschaft findet, so das Resümee der Vortragenden, in rasantem Tempo statt, doch das Bewusstsein für Cybersecurity ist in diesem Bereich aktuell gering.

Gefahrenabwehr.

„Wir müssen tun, was unsere Gegner tun: uns selbst hacken“, wandelte Rüdiger Peusquens die Militärstrategie des chinesischen Generals und Militärstrategen Sun Tzu (500 v. Chr.), so zu denken wie der Feind, auf die heutigen Verhältnisse um.
Evaluierungen, Compliance-Checks, Penetration-Tests, stellen eine Art technische Qualitätssicherung dar; einem Angreifer genügt eine einzige Lücke. Durch Red-Teams müssen Sicherheitsmechanismen dynamisch ausprobiert und Angriffe mit gängigen Methoden simuliert werden, um Schwachstellen zu entdecken. In wiederkehrendem Wechsel von Angriffen eines Red-Teams auf die Blue-Teams des Verteidigers wachsen beide letztlich zu einem Purple-Team zusammen mit dem Ziel, kontinuierlich zu verbessern als hinterher zu reparieren.
Mit persönlichen Daten werde oft sorglos umgegangen, wie Marco di Filippo, Whitelisthacker und Bahnreisender, von lauten Telefonaten von Mitreisenden berichtete, oder wie leicht der schräge Blick auf den aufgeklappten Deckel des Laptops des Vordermannes das Mitlesen von Daten ermöglicht (Shoulder Surfing).
Beim Phishing, der Vorstufe möglicher weiterer Angriffe etwa durch Ransomware, wird versucht, Zugangsdaten zu erhalten, beispielsweise, indem das Opfer über geringfügig veränderte Buchstabenfolgen auf eine gefälschte Website geleitet wird (Typo­squatting). Aus Microsoft wird beispielsweise Mircosoft, oder ZOOM wird zu Z00M. Wer den angebotenen Link anklickt, hat das Tor zu weiteren Angriffen geöffnet.
Ähnlich bei SMS, die etwa über den erfolgten Versand von Waren informieren: Der angebotene Link, um festzustellen, wo sich die Ware im Moment befindet, kann zu einer Phising-Website führen (Smishing). Noch einfacher ist das Quishing: Aufkleber mit QR-Codes, mit denen vornehmlich bereits affichierte Codes überklebt werden, führen direkt auf die Website des Angreifers.
Systeme der operativen Technologie (OT; Produktionsmaschinen) wurden nie für das Internet gebaut. Ein dennoch eröffneter Zugang über das Internet of Things (IoT) muss, worauf Herbert Dirnberger, Ikarus, hinwies, ebenso abgesichert werden wie andere Computersysteme auch, und es müssen entsprechende Sensoren eingesetzt werden.

Ermittlungserfolge.

Bereits bei der Zerschlagung des Schadsoftware-Netzwerks Emotet im Jahr 2021 sind die Ermittlungsbehörden unkonventionell vorgegangen, berichtete Carsten Meywirth, Leiter der Abteilung Cybercrime im deutschen Bundeskriminalamt. Nach der Verhaftung des Systemadministrators in der Ukraine wurden die Botnetze übernommen und über diese die Mitteilung über die behördliche Sperre des Netzwerks verbreitet.
In der im Mai 2024 begonnenen Operation Endgame, die sich gegen sechs verschiedene Top-Schadsoftwarevarianten richtete, wurde, neben den klassischen Ermittlungsverfahren, eine Kampagne gestartet, die sich insbesondere an die ersten Glieder einer Malware-Infektionskette richtete, nämlich die Access Broker, die Zugänge eröffnen und zum Verkauf anbieten sowie die Dropper und Loader, die die Schadsoftware nachladen.
Ein Video (operation-endgame.com) sollte diese Personengruppe zum Nachdenken bringen und die Veröffentlichung von Lichtbildern namentlich noch unbekannter Akteure die Szene verunsichern. Letztlich wurden bei der in einer internationalen Allianz zusammen mit der Privatindustrie durchgeführten Operation bis Mai 2025 300 Servern, davon 50 in Deutschland, der Zugang entzogen, 650 Domains unschädlich gemacht, 20 Haftbefehle ausgestellt und insgesamt 70 Millionen Euro an Kryptowährung eingefroren.
Endgame sei allerdings noch nicht das Ende der organisierten Cyber-Kriminalität, meinte Volker Kozok, Verein Network Intelligence: „Crime as a Service ist wieder da.“ Aus Bumblebee wurde Bumblebee 2.0. Die Täter sind bekannt, Gelegenheit bietet sich 24/7, Tatmittel sind Computer und Handys, Opfer werden aus öffentlichen Quellen ermittelt; Schutzmaßnahmen und Gefahr der Entdeckung sind gleich Null, die Rendite ist hoch. Genutzt wird das TOR-Netzwerk.
4.500 Accessbroker bieten die von ihnen geöffneten Zugänge im Netz an. Die Website „Have I been Pwned“ (haveibeenpwned.com) weist an die 15 Milliarden gehackter Mailadressen auf. Eine neue Phishing-Variante sind gefälschte Captchas („Ich bin kein Roboter“), deren Anklicken die Verbindung zum Angreifer herstellt. Cyber-Kriminelle manipulieren Suchmaschinen, indem sie schädliche Websites in die Top-Suchergebnisse platzieren (Keyword Stuffing), gefälschte KI-Dienste anbieten oder über Typosquatting Klicks auf schädliche Webseiten weiterleiten.
Christian Cek vom Bundeskanzleramt berichtete über das Security-Framework-Bund (SFB 2.0), mit dem eine weitere Anpassung der Bundesministerien in den Bereichen physische Sicherheit, Systemadministration und Identifikations- und Zugriffsmanagement unter Berücksichtigung der Vorgaben von NIS-2 herbeigeführt werden soll.
„Wenn der Strom ausfällt, beginnen die Leute zu telefonieren“, war eine der Lehren, die Christian Zeindlhofer, A1 Telekom, aus dem Blackout in Spanien und Portugal zog („Never waste a good crisis“).
Die Notstromreserven der Funknetze fielen früher aus als angenommen. Der Stromausfall, der durch eine nicht ausreichend abgefangene Überspannung im Stromnetz ausgelöst wurde, was zu einer Kettenreaktion von Schutzabschaltungen geführt hat, begann am 28. April. 2025, 12:33 Uhr und endete in der Nacht vom 28. auf den 29. April. Es gab keine Vorwarnzeit.

KI.

Die Einführung von KI bezeichnete Prof. Dr. Isabell Welpe, Technische Universität München, als für die Gesellschaft ähnlich umwälzend wie dies seinerzeit durch Elektrizität oder Dampfkraft der Fall war. Volkswirtschaftlich gesehen, sei mit der KI ein neuer Kontinent entdeckt worden. Alles, was formal trainierbar ist, kann durch KI-Agenten durchgeführt werden, die 24/7 arbeiten, nicht krank werden und für die keine Sozialabgaben zu leisten sind. Dafür steigt die Gefahr, dass das menschliche Erinnerungsvermögen, weil immer weniger gebraucht, verkümmert. Angelerntes Wissen tritt in den Hintergrund. Gefragt werden künftig, neben perfekter Beherrschung der KI, Soft Skills sein wie emotionale Intelligenz, Kommunikationsfähigkeit und Kreativität. Was man bisher entwickelt oder geschaffen hat, wird bei der Suche nach einem Arbeitsplatz wichtiger als der Nachweis schulischer oder universitärer Ausbildung.
Ines Jansta, FH Technikum Wien, stellte in einem Kurzvortrag dar, wie Social Skills in die IT-Security-Curricula österreichischer Hochschulen eingebaut werden könnten, etwa durch Rollenspiele, Gesprächssimulationen, Feedbackrunden, Gamification-Elemente, Simulation von unvorhergesehenen Situationen.
Über den Einsatz von KI auf dem militärischen Gefechtsfeld berichtete Timo Haas, Rheinmetall. Das geht vom Erkennen feindlicher Angriffe durch Bodensensoren über die Aufklärung der Lage bis letztlich zur Abwehr des Angriffs durch Drohnenschwärme, wobei der Einsatzbefehl nach wie vor dem Menschen vorbehalten ist.
Über ein Projekt, in dem handelsübliche Drohnen dazu eingesetzt werden, mittels Prompt-Eingabe semantisch beschriebene Objekte in Echtzeit per Video zu erkennen und deren geografische Position zu bestimmen, berichteten die Professoren Eckehard Hermann und Harald Lampesberger von der Fachhochschule Hagenberg (OÖ). Am Beispiel der Aufklärung einer Hilfskonvoi-Route wurde demonstriert, wie komplexe Szenarien – etwa potenzielle Anschlagsorte – automatisiert identifiziert und deren Risiken bewertet werden können. Das zugrunde liegende Prinzip lässt sich auf zahlreiche Anwendungen übertragen, beispielsweise die Suche nach einer vermissten Person mit einem blauen Rucksack. Generell können mit dieser Technologie komplexe Situationen in Echtzeit erkannt, analysiert und hinsichtlich ihres Risikos eingeschätzt werden. Im Unterschied zum menschlichen Beobachter am Monitor lässt die Aufmerksamkeit der Drohne nicht nach, was die Effizienz und Zuverlässigkeit z. B. einer Sucharbeit erheblich steigert.
Nach einem Rückblick auf 25 Jahre Cyber-Sicherheit beim Bundesheer referierte Florian Silnusek, Militärisches Cyber-Zentrum ÖBH, über die militärstrategische Zielsetzung des ÖBH im Cyber-Bereich und bei der Digitalisierung der Streitkräfte, den Einsatz von KI in der Cybersecurity und die zu erwartenden Auswirkungen durch die Entwicklung des Quantencomputers.

Kryptografie.

Hochsichere Kryptografie bedeutet, auf mathematische Verfahren der Verschlüsselung zu verzichten und durch symmetrische physikalische Verfahren zu ersetzen, betonte Dr. Ernst Piller, FH St. Pölten. Der Aufbau quantensicherer Kommunikationsnetzwerke zur Übertragung der Quanten-Schlüssel erfolgt über die Initiative EuroQCI. Der Quantencomputer wird insofern ein Game Changer sein, als er asymmetrische Verschlüsselungsverfahren (RSA; Public-Key-Verfahren), die bisher wegen des großen Rechenaufwands selbst heutiger Supercomputer als sicher gelten, innerhalb von Sekunden wird brechen können.
Wie man strukturiert Gefahren entgegen treten könne, schilderte Lisa Buchner, die erste und einzige lizensierte Wingsuit-Trainerin in Österreich und Deutschland. Bei dieser Sportart werden beim Sprung aus einem Flugzeug durch einen speziellen Anzug Stoffflächen zwischen den Armen und dem Körper sowie zwischen den Beinen gespannt, die als Flügel wirken, sodass der Springer nicht fällt, sondern mit etwa 200 km/h in der Luft gleitet. Erst für die Landung wird der mitgeführte Fallschirm ausgelöst.
Zur Beherrschung der Risiken, die diese Sportart mit sich bringt (erst ab 200 Absprüngen mit einem Fallschirm darf mit der Ausbildung zum Wingsuit-Surfer begonnen werden) hat Lisa Buchner die Buchstabenfolge KI-TEAM entwickelt – die wohl auch auf Extremsituationen aller Art ausgeweitet werden kann. K steht dabei für die erforderliche Kompetenz, die man haben muss. Die Risiken müssen identifiziert, mitunter auch transferiert, also anderen übertragen werden, sodann eliminiert und, was übrig bleibt, akzeptiert und im Ausmaß minimiert werden.

Erste Hilfe.

Ähnlich, wie die Bergrettung verunglückten Bergsteigern zu Hilfe kommt oder Autofahrerorganisationen ihren Mitgliedern Hilfestellung bieten, soll das 2024 in Österreich, Deutschland und der Schweiz gegründete Cyber-Hilfswerk (CHW; chw.at) bei Cyber-Vorfällen durch ehrenamtlich tätige IT-Spezialisten („Digital Angels“ der digitalen Gesellschaft) Erste Hilfe leisten können. Das Vorhaben wurde von Manfred Oschouning vorgestellt.

Die IKT-Sicherheitskonferenz 2025 zählte pro Tag 1.800 Besucher. Es wurden insgesamt 100 Vorträge gehalten, 130 Aussteller waren vertreten. Die IKT-Sicherheitskonferenz 2026 wird vom 16.bis 17. September 2026 im Design Center in Linz stattfinden.

seminar.bundesheer.at  

Kurt Hickisch

---

Öffentliche Sicherheit, Ausgabe 9-10/2025

 Druckversion des Artikels (pdf, 583 kB)