Die Wirtschaft Nr. 5 vom 3. Februar 2012
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Rat & Tat: Praxistipps für Unternehmen<br />
<strong>Nr</strong>. 05 · <strong>3.</strong> <strong>Februar</strong> <strong>2012</strong><br />
<strong>Die</strong> <strong>Wirtschaft</strong><br />
· Service · 25<br />
Das Telefon vor „Hackern” schützen<br />
Seit Jahren erreichen<br />
die <strong>Wirtschaft</strong>skammer<br />
monatlich ein bis zwei<br />
Anrufe, in denen Firmen<br />
von einem Hackerangriff<br />
auf ihre Telefonanlagen<br />
berichten.<br />
Durch solch einen Telefonanlagen-Hack<br />
werden oft Schäden<br />
in Höhe von mehreren Tausend<br />
Euro verursacht, die in der Regel<br />
<strong>vom</strong> Besitzer oder Errichter der<br />
Telefonanlage getragen werden<br />
müssen.<br />
Was passiert bei einem<br />
Hacker-Angriff?<br />
Eine Telefonanlage ist ein<br />
spezieller Computer, der interne<br />
Gespräche, Weiterleitungen und<br />
sonstigen Komfort bei Festnetztelefonaten<br />
ermöglicht. In der<br />
Regel sind derartige Anlagen<br />
fernwartbar. So können neue<br />
Klappen angelegt, Umleitungen<br />
eingerichtet und all die Maßnahmen<br />
gesetzt werden, die zu einem<br />
komfortablen Telefonbetrieb gehören.<br />
Der „Personal Assistant”<br />
z.B. ist eine Art der Rufumleitung,<br />
die dem Anrufer die Wahlmöglichkeit<br />
verschiedener Ziele gibt.<br />
<strong>Die</strong>ser Assistent ist von außen<br />
über die Durchwahlnummer der<br />
Voice Mail erreichbar und bietet<br />
die Konfiguration bzw. das Aktivieren<br />
und Deaktivieren über<br />
Menüfunktionen an.<br />
Grundsätzlich sollte die Funktion<br />
des „Personal Assistant” im<br />
Auslieferungszustand durch den<br />
Anlagenbetreiber deaktiviert sein<br />
und nur auf Anforderung der Kunden<br />
aktiviert werden. Dann liegt<br />
es jedoch in der Verantwortung<br />
der Anlagenutzer, die Nebenstellen<br />
durch entsprechende Passwörter<br />
(nicht etwa 0000, 1234 oder<br />
ähnliche) gegen Hack-Versuche<br />
abzusichern.<br />
Andererseits wird bei Telefonanlagen<br />
die Wartungsschnittstelle<br />
bei der Auslieferung entweder<br />
nicht passwortgesichert oder mit<br />
einem Masterpasswort gesichert,<br />
Auch die Telefonanlage ist ein Computer, dem mit kriminell genutzter<br />
Computertechnik zu Leibe gerückt wird. Foto: Waldhäusl<br />
das in Insiderkreisen bekannt ist.<br />
Wenn Kriminelle mit einer solchen<br />
ungesicherten Telefonanlage<br />
zu Geld kommen wollen, rufen<br />
sie Firmen (mittels Anrufcomputer)<br />
an und suchen nach ungesicherten<br />
Telefonanlagen. Wird der<br />
Computer bei einer Telefonanlage<br />
fündig, wird der Kontakt sofort beendet<br />
und das Ergebnis registriert.<br />
<strong>Die</strong> Kriminellen erforschen dann<br />
über Internet oder über Telefonanrufe<br />
die Arbeitsweise ihres<br />
Opfers und suchen eine möglichst<br />
lange ungestörte Zeitphase,<br />
beispielsweise ein verlängertes<br />
Wochenende.<br />
Dann wird pünktlich mit Ende<br />
des Arbeitstages die Telefonanlage<br />
angerufen und so manipuliert<br />
(Programmierung einer Rufumleitung),<br />
dass die Anlage für die<br />
nächsten Tage eine Mehrwertnummer<br />
im fernen Ausland im<br />
Minutentakt selbst anruft bzw. die<br />
<strong>vom</strong>TelefoncomputerdesHackers<br />
einlangenden Anrufe dorthin weiterleitet.<br />
Durch diese unzähligen<br />
Mehrwertanrufe entstehen dem<br />
Anschlussinhaber, der Firma mit<br />
der ungesicherten Telefonanlage,<br />
hohe Kosten, die der Netzbetreiber<br />
bei der nächsten Abrechnung<br />
der Firma vorschreibt.<br />
Wer genau angerufen hat, wo<br />
die Geldflüsse hingegangen sind<br />
und wer davon profitiert hat, lässt<br />
sich im Nachhinein schwer oder<br />
gar nicht feststellen.<br />
<strong>Die</strong> Netzbetreiber-<br />
Rechnung mit Folgen<br />
Der Telefonnetzbetreiber verlangt<br />
für die angelaufenen Telefonkosten<br />
grundsätzlich zu Recht<br />
Geld, denn die Verbindungen<br />
wurden tatsächlich realisiert, die<br />
Kosten sind angefallen. Wenn es<br />
in der Sphäre des Netzbetreibers<br />
zu keinen Unregelmäßigkeiten<br />
oder Fehlern gekommen ist,<br />
wird ein Einspruch keinen Erfolg<br />
haben. Wenn der Netzbetreiber<br />
seine Sorgfaltspflichten eingehalten<br />
hat, wird auch ein Schlichtungsverfahren<br />
bei der Rundfunk<br />
& Telekom Regulierungs-GmbH<br />
(RTR) zu Ungunsten des Kunden<br />
ausgehen.<br />
Im Schadensfall stellt sich<br />
natürlich die Frage, wer diesen<br />
tragen muss. Der Netzbetreiber<br />
vermutlich nicht. Also bleibt zuletzt<br />
der Anschlussinhaber selbst.<br />
Nur wenn der Anschlussinhaber<br />
ein Unternehmen mit der<br />
Errichtung oder Betreuung der<br />
Telefonanlage beauftragt hat,<br />
kann man prüfen, ob dieses Unternehmen<br />
für den Schaden haften<br />
muss. Das könnte bei sorgloser<br />
Wartung der Telefonanlage der<br />
Fall sein, wenn z.B. kein Passwort<br />
gesetzt bzw. das Masterpasswort<br />
unverändert gelassen wurde. Da<br />
Telefonanlagen-Hacks nicht neu<br />
sind, müsste jeder halbwegs versierte<br />
Anlagenerrichter/-betreuer<br />
das Risiko nicht oder falsch gesetzter<br />
Passwörter kennen. Wenn<br />
die Telefonanlage von der gehackten<br />
Firma selbst aufgestellt und/<br />
oder gewartet wurde bzw. wird<br />
muss der Schaden selbst bezahlt<br />
werden.<br />
Wie lassen sich solche<br />
Schäden vermeiden?<br />
Jeder, der Telefonanlagen errichtet,<br />
betreibt oder betreut,<br />
sollte die Telefonanlage kontrollieren,<br />
ob ein individuelles, nicht<br />
zu erratendes Passwort gesetzt<br />
wurde. Und wenn nicht, diesen<br />
Zustand sofort zu ändern. Denn<br />
nur so ist sichergestellt, dass<br />
Unbefugte nicht in die Telefonanlage<br />
eindringen können, um durch<br />
Manipulation Schaden anzurichten.<br />
Vielfach besteht auch die<br />
Möglichkeit, Mehrwertnummern<br />
oder Auslandszonen beim Netzbetreiber<br />
sperren lassen. <br />
Weitere Infos<br />
Mag. Sebastian Knall<br />
WKVRechtsservice<br />
T 05522/305 DW 291<br />
E knall.sebastian@wkv.at