Wenn Impfgegner Pharmaunternehmen angreifen
Das Szenario passt zur Pandemie und ist nicht unrealistisch. Eine Gruppe anonymer Impfgegner*innen droht in einem online verbreiteten Video, Produktionsstätten und Testeinrichtungen für COVID-Impfstoffe anzugreifen und auszuschalten. "Ihr alle seid Ziele. Ihr könnt uns nicht aufhalten", heißt es in dem fiktiven Clip.
Bei einem zweitägigen Cybersicherheits-Planspiel, das vom Kuratorium Sicheres Österreich (KSÖ) veranstaltet wird und noch bis Mittwoch im Wiener Raiffeisenforum stattfindet, versuchen Cybersicherheitsexpert*innen aus Österreich, Deutschland und der Schweiz die fiktiven Angriffe auf die österreichischen Tochterfirmen eines internationalen Pharmakonzerns zu erkennen und Gegenmaßnahmen einzuleiten.
Am Dienstagmorgen ist es an den Tischen im Veranstaltungssaal des Raiffeisengebäudes am Wiener Donaukanal noch relativ ruhig. Auf Bildschirmen werden Messdaten von Kühlsystemen der Pharmaunternehmen angezeigt, während die von Vertreter*innen von österreichischen Unternehmen der kritischen Infrastrukturen dargestellten fiktiven IT-Expert*innen der Pharmafirmen eher entspannt vor ihren Rechnern sitzen. Noch ist alles im grünen Bereich.
Schon bald aber werden die ersten Lampen rot aufleuchten. Die Aktivist*innen werden die Website eines der 8 fiktiven Pharmaunternehmen übernommen haben und auch dort ihr Drohvideo ausspielen. Kurz darauf wird es eine zusätzliche Attacke geben, bei der das Kühlsystem eines Unternehmens gekapert und mit Ransomware verschlüsselt werden soll.
Kommunikationsabläufe
"Es geht nicht nur um die technische Perspektive", sagt KSÖ-Präsident Erwin Hameseder. Im Zentrum des Planspiels steht auch die Zusammenarbeit zwischen den Unternehmen einer Branche und zwischen Unternehmen und Behörden und zwischen den Behörden selbst. Bei der Übung sollen vor allem Kommunikations- und Informationsmaßnahmen durchgespielt werden.
Wer welche Vorfälle wann an wen meldet ist dabei ebenso Thema wie Warnungen an Unternehmen und Behörden benachbarter Länder. "Wenn nicht klar ist, wie man kommunizieren kann oder darf, macht man einen Spalt auf, der von Kriminellen genutzt werden kann", sagt Hameseder.
"Die Behörden müssen ein Lagebild bauen können", sagt Helmut Leopold, Leiter des des Center for Digital Safety & Security am Austrian Institute of Technology AIT. Sie müssen die einzelnen Vorfälle einordnen und darauf reagieren und auch entscheiden, ob andere Unternehmen informiert werden sollen, um sie vor ähnlichen Angriffen zu schützen.
Realitätsnahe Übungsplattform
Das AIT hat die Simulationsumgebung für die Cybersicherheitsübung bereitgestellt. Mit der Cyber Range, so der Name der Plattform, könne jede Form von IT-Infrastruktur und Kommunikationsprozesse rund um die Angriffe durchgespielt werden, erklärt Leopold. Neue Geräte, neue Software und neue Sensoren könnten im Schulungsbetrieb nur schwer nachgebildet werden. Auf einer Übungsplattform wie der Cyber Range aber sehr wohl, sagt Leopold. Man könne IT-Systeme, interne Prozesse und auch die Kommunikation zu den Behörden im Sinne von Stresstests nachspielen: "Es ist sehr realitätsnah."
„Schaden minimieren“
Die Behördenvertreter*innen sitzen am hinteren Ende des Saales. Vertreten sind neben Teilnehmer*innen des Innen-, Außen- und Verteidigungsministeriums sowie des Bundeskanzleramts auch Expert*innen von Cert.at, die Soforthilfe leisten und auch als niederschwellige Anlaufstelle für Informationen rund um Sicherheitsvorfälle dienen sollen. Cert-Experte Otmar Lendl vergleicht seine Aufgabe mit der der Feuerwehr: "Wir müssen den Schaden minimieren und schauen, ob andere Unternehmen auch betroffen sind."
In Österreich regelt seit Ende 2018 das Netz- und Informationssicherheitsgesetz (NIS) Meldepflichten bei sicherheitsrelevanten Vorfällen von Unternehmen der kritischen Infrastruktur. Dazu zählen etwa Energieversorger, Verkehrsunternehmen, Banken, das Gesundheitswesen und digitale Infrastruktur. Die Pharmabranche gehört nicht dazu, wohl auch weil das Gesetz lange vor der Corona-Pandemie verabschiedet wurde.
KMUs wenig cybersicher
Aber auch viele kleinere und mittlere Unternehmen sind von den Sicherheitsvorschriften nicht erfasst. Das könnte zum ernsthaften Problem werden, warnt KSÖ-Präsident Hameseder. Die Zahl der Angriffe auf KMUs habe in den vergangenen Jahren stark zugenommen, 60 Prozent seien von Angriffen betroffen gewesen. Dass das auch dramatische Auswirkungen haben könne, habe erst vor kurzem ein Ransomware-Angriff auf einen Milchproduzenten gezeigt.
Bei der Cybersicherheitsübung im Saal ist es unterdessen schon hektischer geworden. Dafür, dass es den Teilnehmer*innen nicht langweilig wird, werden laut Leopold auch die Experten des AIT sorgen, die bei der Übung die Angreifer*innen mimen. "Die Spielleitung kann eingreifen und die Szenarien jederzeit schwieriger machen."