Unter Federführung des AIT haben erstmals Sicherheitsakteure den Ernstfall eines Blackout-Szenarios in Österreich trainiert. Helmut Leopold, Leiter des AIT Center for Digital Safety & Security über die Herausforderungen bei der Simulation von Krisen.
Ob Unternehmen, Behörden oder Einsatzorganisationen, ein Blackout – ein großflächiger Stromausfall – würde jede Einrichtung in Österreich betreffen. Ein Ausfall von kritischen Institutionen kostet nicht nur viel Zeit, Geld und Nerven, sondern kann sogar lebensbedrohliche Konsequenzen haben. Ende November der Vorjahres veranstaltete das Kompetenzzentrum Sicheres Österreich (KSÖ) gemeinsam mit dem AIT Austrian Institute of Technology und der Industriellenvereinigung ein Planspiel, in dem die weitreichenden Konsequenzen nach einem Blackout, ausgelöst durch einen technischen Zwischenfall im Energienetz, realitätsnahe durchgespielt wurden. Das Training rund um technische und kommunikative Prozesse lieferte wertvolle Erfahrungen für den Ernstfall.
Bild oben: AIT-Manager Helmut Leopold hat die Resilienz der Gesellschaft und Wirtschaft in Österreich und in Europa im Fokus.
Wie nahe an der Wirklichkeit können die Auswirkungen auf Wirtschaft und Gesellschaft durch einen Ausfall des Stromnetzes tatsächlich simuliert werden?
Helmut Leopold: Wir haben in Vorbereitung des Planspiels gemeinsam mit wichtigen Stakeholdern wie beispielsweise Energieversorgern entsprechende Szenarien entworfen, welche den realen Bedrohungsanforderungen entsprechen. Beschreibungen der Abhängigkeiten von unterschiedlichen Infrastrukturen und Dienstleistungen und Prozessabläufe der realen Welt wurden aufgenommen und in unserer Simulationsumgebung entsprechend abgebildet.
Beispielgebend für die unterschiedlichen Sektoren, die in einem Ernstfall betroffen sind und miteinander kommunizieren müssen, wurden dann verschiedene Bereiche wie etwa der Finanzsektor mit Unternehmensvertretenden herausgearbeitet, die Logistikbranche, Behörden und andere. Wir fokussieren bei der Simulation stark auf die Kommunikationswege in einem Krisenfall. Wo man in der Realität zum Telefon oder zum Internetanschluss greifen würde, hat bei uns über Tischgespräche stattgefunden. Wir haben aber natürlich auch den Ausfall von Kommunikationsplattformen einbezogen. Hier kommt dann das Behördenfunksystem BOS des Innenministeriums zum Einsatz, welches bundesweit als hochsicheres und hochverfügbares Kommunikationssystem für Behörden konzipiert wurde.
Die Simulation muss dabei aber auch überschaubar bleiben, ist aber so gestaltet, dass ein realistisches Abbild der Wirklichkeit erreicht wird. Während im Finanzbereich zum Beispiel die Versorgung von Bankomaten mit Bargeld und auch das Funktionieren der Automaten in einem Krisenfall ein Gegenstand der Simulationen ist, haben wir auch gesellschaftliche Themen wie zum Beispiel die Aufrechterhaltung des Schulbetriebs gemeinsam mit Vertretenden aus dem Bildungssektor im Planspiel.
Sie sprechen davon, dass ein Krisenfall nicht nur eine technische Herausforderung ist, sondern auch die richtigen Kommunikationsprozesse erfordert.
Leopold: Die Energienetzbetreiber sind bereits miteinander in Verbindung, die Banken haben ebenso Ausfallspäne für ihre Bereiche erarbeitet. Doch besonders spannend sind die Interaktionen der Sektoren miteinander und die wechselseitigen Abhängigkeiten. Großflächige Energieausfälle bringen ja vielfältige Konsequenzen mit sich. Wie gehen wir mit der Gesamtsituation um? Was ist zuerst zu tun? Welche Entscheidungen treffen wir in kurzen Zeiträumen? Das kann nicht ausschließlich technisch gelöst werden, sondern es ist ein komplexer Kommunikationsprozess mit einem vielschichtigen Daten- und Informationsaustausch zwischen Unternehmen, Behörden und der Zivilgesellschaft. Es sind unterschiedlichste Ökosysteme von Unternehmen und Menschen betroffen. Und nachdem unsere Wirtschaft und Gesellschaft immer digitaler und vernetzter wird – und unsere Kommunikationsprozesse mittlerweile oft softwarebasierte Informationsverarbeitung bedingen – müssen wir auch mit dieser grundlegenden Abhängigkeit umgehen lernen.
Ein Zurück in die alte analoge Welt ist nicht mehr denkbar. Sich auf einzelne Akteure zu verlassen, die ihre IT-Systeme sauber und sicher halten, wird durch die Abhängigkeiten der Systeme voneinander nicht mehr ausreichen. Vor allem bei erhöhten Cyberbedrohungen werden komplementär zu technischen Schutzfunktionen effektive Kommunikationsprozesse und Informationsaustauschmechanismen – innerhalb von Unternehmen aber auch zwischen Unternehmen und zu Behörden – immer wichtiger. Um diese geht es im Besonderen auch bei den Trainings, die das AIT mit einer der modernsten »Cyber Ranges« bietet. Hundertprozentigen Schutz wird man niemals technisch bauen können. Also müssen wir daneben Fähigkeiten entwickeln, wie Personen auf staatlicher, aber auch zwischenstaatlicher Ebene Informationen austauschen und verarbeiten.
In welchen Bereichen kommt die AIT Cyber Range bereits zum Einsatz?
Leopold: Kunden aller Art können hier ihre Sicherheitsmaßnahmen testen und validieren, die Resilienz unterschiedlicher IT-Architekturen überprüfen und betriebliche Sicherheitsprozesse trainieren. International setzt zum Beispiel die Atomenergiebehörde bereits auf Kompetenz und Technologie »made in Austria«. Das ist für mich auch die gute Nachricht, dass nicht immer nur die Infrastrukturen von Multi-Billionen-Dollar-Unternehmen benötigt werden, um erfolgreich im Digitalbereich zu agieren – sondern dass so etwas auch aus dem kleinen Österreich heraus funktioniert. Wir haben mittlerweile das Know-how und die richtigen Leute, um ein solches Cybertraining auch wirtschaftlich effektiv zu gestalten. Wir können stolz sein, dass erste weltweite IAEA Collaboration-Centre der Atomenergiebehörde zum Thema Cybersicherheit zu stellen.
Man muss also kein eigenes Atomkraftwerk im Land haben, um ein solches simulieren zu können?
Leopold: Ein Kraftwerk ist wie eine Fabrik – mit Steuerungssystemen, Netzwerken und Geräten wie etwa Pumpen. Die Technik im Inneren, der Bereich OT (Anm.: Operations Technology) ist sicherlich von den Herstellern und von Branchenspezifika abhängig. Wir sind aber in der Lage, mit einem sehr hohen Automatisierungsgrad Umgebungen mit ihren Strukturen und Problemstellungen flexibel zu gestalten. Die AIT Cyber Range ist modular und flexibel aufgebaut. Wir können Steuerungen, unterschiedliche Software und Betriebssysteme und auch verschiedene Architekturen und die Angriffe darauf simulieren. Sei es eine Ransomware-Attacke oder eine Phishing-Mail – wir haben bereits auch Vorgänge in Organisationen mit 2.000 Mitarbeiter*innen durchgespielt.
Nachdem so ein Test im Alltag eines Kraftwerks oder einer Fabrik niemals in dieser Vollständigkeit durchführbar wäre, bieten wir Unternehmen eine wirtschaftlich sinnvolle Umgebung dafür. Der Mehrwert ist schnell gegeben, da rasch auch Szenarien gewechselt werden können.
Welche weiteren Unternehmen adressieren Sie damit?
Leopold: Neben großen internationalen Infrastrukturbetreibern setzen bereits zahlreiche Energieversorger auf die AIT Cyber Range, ebenso wie Industriebetriebe vom Mittelstand bis zum Großunternehmen. Im Prinzip betrifft das vor allem jene Unternehmen, die unter das NIS-Gesetz für Betreiber kritischer Infrastrukturen fallen. Mit der neuen EU-Richtlinie NIS 2 fallen in Österreich schon gut tausend Unternehmen in diesen Bereich. Sie alle haben besondere Berichtspflichten und müssen tiefgehende Sicherheitsmaßnahmen in ihren Organisationen durchführen und auch dokumentieren.
Über das Unternehmen
Im AIT Austrian Institute of Technology arbeiten im Center for Digital Safety & Security mehr als 200 Expert*innen an Informations- und Kommunikationstechnologien, um diese im Kontext der Digitalisierung und Vernetzung von Systemen hochsicher und zuverlässig bauen sowie benutzen zu können. Adressiert werden Märkte wie die Halbleiterindustrie, Automotive, kritische Infrastrukturen wie Energienetze und Kraftwerke, Finanzmärkte, Umweltmonitoring sowie Krisen- und Katastrophenmanagement. Das Center besitzt in nationalen und internationalen Innovationsprogrammen wie KIRAS und Horizon Europe eine anerkannte Position und gestaltet zahlreiche Industrie- und Forschungsinitiativen mit.