Cybersicherheit: Österreich erprobt den Ernstfall
Dieser Artikel ist älter als ein Jahr!
In der zweiten Jahreshälfte 2018 übernimmt Österreich den EU-Vorsitz. Was passiert, wenn terroristische Gruppen während dieser Zeit Betreiber kritischer Infrastrukturen bedrohen, um ihre politischen Ziele durchzusetzen, war Gegenstand des Cybersecurity Planspiels des Kuratorium Sicheres Österreich (KSÖ), das am Montag und Dienstag im Wiener Tech Gate stattfand.
Gemeinsam mit dem Innenministerium und dem AIT Austrian Institute of Technology probten dort rund 200 IT-Sicherheitsexperten von 32 Behörden und Unternehmen aus den Bereichen Energie, Informationstechnologie, Transport, Finanz und Telekommunikation den Ernstfall.
Cyberangriff auf Steuerungsanlage
Konkret ging es um eine Cyberattacke auf eine industrielle Steuerungsanlage, bei dem mittels Phishingangriff Schadsoftware installiert wurde. "Wir haben eine Anlage nachgebaut, die kritische Elemente steuert", erzählt Helmut Leopold, vom Center for Digital Safety & Security beim AIT, das mit der AIT "Cyber Range" eine Entwicklungsumgebung geschaffen hat, in der Abläufe unter realitätsnah getestet werden können "Der Zugriff auf die Sensoren der Anlage hätte wirtschaftlichen Schaden nach sich ziehen können."
Cybersicherheitsgesetz
Wie genau die Meldewege bei Cyberangriffen auf kritische Infrastrukturen aussehen sollen, regelt künftig das Cybersicherheitsgesetz, mit dem die EU-Richtline für Netzwerk- und Informationssicherheit (NIS) in Österreich umgesetzt wird. Bis Mai 2018 soll das Gesetz erarbeitet und beschlossen werden, ein Gesetzesentwurf werde nach der Konstituierung der neuen Regierung in Begutachtung gehen, kündigte Roland Ledinger, Leiter der Abteilung Digitales und E-Government im Bundeskanzleramt, an. Man sei dazu seit zwei Jahren mit Unternehmen im Austausch, sagte Ledinger. Aus Übungen, wie dem Cybersecurity Planspiel gewinne man wertvolle Erkenntnisse.
Die Herausforderungen im digitalen Raum seien gewaltig und nur durch die Zusammenarbeit von Staat, Wirtschaft und Zivilgesellschaft zu bewältigen, sagte KSÖ-Präsident Erwin Hameseder. Bei dem Planspiel gehe es darum, Unbekanntes beherrschbar und einschätzbarer zu machen. "Man ist dann besser vorbereitet, wenn man in der Realität von solchen Phänomenen getroffen wird."
"Abläufe kritisch hinterfragen"
Ein kleiner Umstand könne massive Auswirkungen habe, sagte Manfred Spanner, Sicherheitschef der ÖBB, die bereits zum dritten Mal an einem solchen Planspiel teilnahm. "Wir können Abläufe und Prozesse testen und kritisch hinterfragen, ob das, was wir uns überlegt haben, funktioniert."
Übungen wie das Cybersecurity Planspiel würden nicht nur dazu dienen, Prozesse auszuprobieren, sagte AIT-Bereichsleiter Leopold: "Für die Forschung und Industrie sind sie auch ein extrem wichtiger Input, um zu verstehen, wie man die Systeme von morgen besser und anders bauen kann."
Zusammenspiel wichtig
Wie wichtig das Zusammenspiel von Behörden, Wirtschaft und Wissenschaft sei, habe die NoPetya-Attacke im Juni gezeigt, führte die Generaldirektorin für öffentliche Sicherheit, Michaela Kardeis, aus. Die Attacke habe in der Ukraine begonnen und weltweit einen Schaden von mehr als einer Milliarde Euro angerichtet. In Österreich sei es den beteiligten Organisationen gelungen innerhalb von drei Stunden ein gesamtstaatliches Lagebild zu erstellen, sagte Kardeis: "Die Betreiber kritischer Infrastruktur konnten damit ihre Lage einschätzen und Maßnahmen einleiten."
Kommentare