Reaktion – Hilfe bei Vorfällen

Um den neuesten Stand der Entwicklungen auch in der Praxis Rechnung tragen zu können, spielen Cyber Übungen eine zentrale Rolle. Das Training für den Ernstfall überprüft die Praxistauglichkeit der organisatorischen Strukturen, Pläne und Notfalldokumentation, der Handlungsabläufe im Sinne der in der ÖSCS definierten Handlungsfelder, um stressbedingte Fehleranfälligkeit zu minimieren, sowie daraus entstandene, umgesetzte Maßnahmen.

KSÖ Cybersecurity Planspiel 2017

Zum vierten Mal veranstaltete das Kuratorium Sicheres Österreich (KSÖ) von 6. bis 7. November 2017 ein Cybersecurity-Planspiel. Dabei wurde die Fitness Österreichs im Kampf gegen Cyberattacken, Spionage und Onlinebetrug geübt. Gemeinsam mit dem Bundesministerium für Inneres (BMI) und dem Austrian Institute of Technology (AIT) probten rund 200 heimische IT-Sicherheitsexpertinnen und IT-Sicherheitsexperten aus 32 namhaften Organisationen, bestehend aus Behörden, Wirtschaft und Wissenschaft, den Ernstfall und stellten die aktuelle EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) und die Datenschutzgrundverordnung auf eine Probe in der Praxis.

Die österreichische Strategie für Cyber Sicherheit sieht im Handlungsfeld Strukturen und Prozesse die regelmäßige Abhaltung von Cyber Übungen zwecks Testung von Abläufen des Cyber Krisenmanagement vor. Bereits seit dem Jahr 2012 sind die durch das Kuratorium Sicheres Österreich (KSÖ) gemeinsam mit dem Bundesministerium für Inneres (BMI) organisierten Planspiele ein wichtiger Bestandteil bei der Erprobung und Übung der organisatorischen und technischen Abläufe im Falle eines umfassenden Cyber Angriffes auf Unternehmen der kritischen Infrastruktur. Cyber Übungen wie etwa dieses Planspiel leisten einen erheblichen Beitrag zur Steigerung der Resilienz Österreichs und unterstützen damit die Erfüllung der Anforderungen der Österreichischen Strategie für Cyber Sicherheit.

Bereits 2012, 2014 und 2016 organisierte das KSÖ sogenannte "Cybersecurity Planspiele", um einerseits Awareness für das Thema Cybersicherheit zu generieren und andererseits die praktische Zusammenarbeit von Wirtschaft, Behörden und Wissenschaft bei der Bewältigung von Cyberbedrohungen zu testen und zu üben. Nachdem bei den vorangegangenen Planspielen die organisatorischen und rechtlichen Aspekte Vorrang hatten, bekam das Planspiel 2017 einen starken technischen Charakter. Zur Vernetzung der wesentlichen Akteure, spielte das Üben der Kooperation zwischen Staat und Wirtschaft dabei eine wesentliche Rolle. Aus diesem Grund wurden für das Planspiel 2017 auf Seite der Wirtschaft Vertreter kritischer Infrastrukturen und auf Behördenseite die für Cybersecurity zuständigen und im Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK) vertretenen Ministerien (BMI, BKA, BMLVS, BMEIA) eingeladen. Als Bindeglied zwischen diesen Gruppen wurden (wie auch in dem NIS-Gesetz definiert) CERTs und Sektor-CERTs (derzeit: CERT.at, GovCERT und Austrian Energy CERT) eingesetzt.

Während in den Vorjahren der Fokus des Planspiels eher auf das staatliche Cyber Krisenmanagement (CKM) gesetzt wurde, standen 2017 die technische Bewältigung und die Zusammenarbeit mit der operativen Koordinierungsstruktur (OpKoord) im Vordergrund. Dabei wurde zum ersten Mal bei einem KSÖ-Planspiel die Ebene der operativen Koordinierungsstruktur vollständig erprobt und beübt.

Das Übungsszenario behandelte - in Folge von politischen Auseinandersetzungen rund um die Brexit-Verhandlungen - gezielte Cyber Angriffen auf Unternehmen der österreichischen Energieversorgung. Die Ziele lagen dabei einerseits in der konkreten technischen Bewältigung der Angriffe unter Verwendung von Werkzeugen an eigens für die Übung generierten Datenbeständen. Dies wurde durch die Spieler sehr positiv aufgenommen. Auf der nächsthöheren Ebene zielte die Übung darauf ab, dass Unternehmen die Notwendigkeit der Einbindung koordinierender, staatlicher Stellen erkennen und entsprechende Meldungen an die zuständigen Behörden absetzen, wie dies von der NIS-Richtlinie vorgesehen ist. Auf einer dritten Ebene wurden durch diese Übung die Vernetzung, der Austausch und die Diskussionen zwischen den beteiligten Behörden erprobt.

Aufgrund der Vorgabe von Seiten der Übungsplanung, zu keinem Zeitpunkt die Ausrufung einer Cyber Krise zu provozieren, ermöglichte es, den Fokus konsequent auf den beteiligten Unternehmen und den staatlichen Partnern auf Ebene der operativen Koordinierung zu belassen. Der Innere Kreis der operativen Koordinierung (IKDOK) koordinierte, unterstützt von CERT.at und Austrian Energy CERT, die Gegenmaßnahmen vom ersten Eintreffen entsprechender Meldungen bis zur letztendlichen Bewältigung der Cyber Angriffe. Dabei konnte der IKDOK auf ein bereits hervorragend eingespieltes Team an staatlichen Akteuren aus mehreren verschiedenen Ressorts zurückgreifen. Diese konnten die im Rahmen der Erstellung des NIS-Gesetzes geplanten Kommunikations- und Koordinationsprozesse unter realitätsnahen Bedingungen testen und somit ebenfalls Erfahrungen sammeln.

Cyber Security Exercise der Central European Cyber Security Platform (CECSP) 2017 – Cyber Czech (Brünn)

Von 23. und 24. Mai 2017 führte das National Cyber Security Center in Brünn eine Wiederholung der technischen Cybersicherheitsübung Cyber Czech 2016 durch, an der Vertreter der CECSP-Länder Österreich, Tschechische Republik, Ungarn und Slowakei teilnahmen. Trainiert wurde in den Räumlichkeiten des zur Masaryk-Universität gehörenden Instituts für Informatik (ICS).

Die Übung wurde in Form einer Simulation in einer geschlossenen, speziell modifizierten technischen Umgebung durchgeführt, die Techniken und Manipulationen mit Inhalten ermöglicht, die in einem offenen Netzwerk eine ernsthafte Bedrohung darstellen würden. Die Vertreter der teilnehmenden Länder wurden in ein Red Team und ein Blue Team geteilt; beim Angriffsziel handelte es sich um die Zugsteuerung eines mit Atommüll beladenen Zuges, der vom Blue Team zu verteidigen war. Die Teilnehmer des Blue Teams mussten sich mit bis zu sechs Stunden andauernden, überaus komplexen Cyber-Angriffen auseinandersetzen. Regelmäßig wurde evaluiert, welche Angriffe durch das Red Team erfolgreich, welche Systeme noch intakt und welche Services durch die fiktiven User noch verwendbar waren. Punktabzug gab es für Erfolge der Angreifer (Red Team), aber auch für Services, die von den Blue Teams selbst kaputt gemacht wurden. Wie im echten Leben war also die Erfolgsstrategie, den Betrieb nicht komplett zu behindern bzw. abzudrehen. Ebenfalls geübt und getestet wurden die technischen Fähigkeiten der Teilnehmer beider Teams, als auch der als besonders wichtig erachtete, länderübergreifende Informationsaustausch.

Besonders war bei dieser Übung der Ansatz, zum Teil echte User auf den Systemen zu haben, die kleine Aufgaben zu erledigt hatten, und mit diesen zu kommunizieren. Beispielsweise war diesen zu erläutern, warum bestimmte Dinge gerade nicht funktionierten oder dass vermehrt auf Phishing Mails zu achten ist. Dies erhöhte den Realitätsgrad der Übung. Ähnlich wie bei einer funktionierenden Zusammenarbeit mit der im Planspiel fingierten Presse und Behördenvertretern konnte man auch hier Pluspunkte auf seinem Konto sammeln.

Das Ziel dieser Übung bestand nicht nur darin, auf Angriffe und technische Probleme zu reagieren, sondern auch den Umgang mit der Medien-Öffentlichkeit zu üben, und zu sehen, wie diese Akteure von den Auswirkungen der getroffenen Entscheidungen beeinflusst wurden. Mit Hilfe dieses Medienaspekts konnten die Teams sehen und lernen, wie sie bei einer realen Cyber-Krise mit dem entstehenden, erhöhten Stress besser umgehen.





<< Vorige Nächste >>