Training für die Abwehr von Cyberangriffen

Egal ob es sich um Unternehmen, IT-Systeme, Produktionsanlagen, Verkehrssysteme oder Kraftwerke handelt: Durch die fortschreitende Digitalisierung und Vernetzung werden alle Systeme zusehends komplexer. Ständig kommen neue Technologien und Möglichkeiten hinzu. Dadurch werden zwar große Fortschritte möglich – etwa hinsichtlich der Steigerung der Effizienz oder der Minderung ökologischen Auswirkungen. Gleichzeitig wird es aber auch immer schwieriger, die Systeme zu beherrschen. Überdies gibt es immer mehr neue Bedrohungen, wie zum Beispiel Hackerangriffe. 

Darauf bereiten sich viele Unternehmen und Organisationen vor, indem sie Pläne und Prozesse entwerfen, wie zu reagieren ist, wenn kritische Situationen eintreten. „Solche Konzepte auf dem Papier auszuarbeiten ist aber etwas ganz anderes, als diese dann im Ernstfall in die Praxis auch umsetzen zu können“, sagt Maria Leitner, Forscherin im Center for Digital Safety & Security am AIT Austrian Institute of Technology. Entwickelt wurde daher eine sogenannte „Cyberrange“, in der ein reales System (z. B. ein IT-System in einer Fabrik oder in einem Atomkraftwerk) simuliert wird und in der man Abläufe und Aktionen durchspielen kann. Das ist wichtig, da man derartige Tests in diesen kritischen Infrastrukturen in der realen Welt aus Sicherheitsgründen nicht durchführen kann.

Man geht im Zuge der Simulation Schritt für Schritt verschiedene Situationen durch und überlegt, wie man die sich stellenden Herausforderungen lösen kann. Dadurch kann man Strukturen und Prozesse analysieren und eruieren, welche Auswirkungen verschiedene Handlungen und Reaktionen haben. Mit einer Cyberrange können die eigenen Cyberskills – also die Fähigkeiten, mit Bedrohungen der IT-Sicherheit umzugehen – ausprobiert und trainiert werden. „Man kommt oft erst dahinter, welche Kenntnisse oder Fähigkeiten Mitarbeiterinnen und Mitarbeiter noch brauchen, wenn man eine reale Situation durchspielt“, fasst Leitner ihre Erfahrungen zusammen. 

Und noch einen zweiten wesentlichen Punkt betont sie: Man kann auf diese Weise üben, wie die Zusammenarbeit zwischen verschiedenen Beteiligten funktioniert. Denn im Ernstfall eines Cyberangriffes ist die Kooperation mit Partnern und Behörden entscheidend.

Erstmals im großen Stil durchgespielt wurde ein solcher Bedrohungsfall bei einem Planspiel des Kuratoriums Sicheres Österreich (KSÖ): Dabei ging es darum, simulierte Cyberangriffe auf kritische Infrastrukturen zu erkennen, abzuwehren und an die zuständigen Behörden zu melden, die wiederum für die einzelnen Organisationen relevante Handlungen setzten. 

Die Einsatzgebiete von Cyberranges sind sehr vielfältig. Das AIT entwickelt z. B. gemeinsam mit der Internationalen Atomenergiebehörde IAEA ein Simulationsmodell für die Steuerung eines kritischen Teils von Atomkraftwerken, an dem Sicherheitsübungen durchgeführt werden können. Ein anderes aktuelles Beispiel ist das Projekt ACCSA (Austrian Cyber Crises Support Activities): Dort wird ein System konzipiert, mit dem Training und Großübungen für den Fall einer Cyberkrise durchgeführt werden können – analog zu klassischen Großübungen im Krisen- und Katastrophenmanagement.