Die IT-Sicherheit von Unternehmen ist nicht nur zu einer Frage des Erfolgs, sondern zu einer Überlebensfrage geworden. Wie lässt sie sich also trainieren? Am besten über die Grenzen des eigenen Betriebs hinaus, sind die Veranstalter eines jährlich stattfindenden »Cyber-Planspiels« des Kompetenzzentrum Sicheres Österreich (KSÖ) überzeugt.

Im November waren Sicherheitsexpert*innen von Unternehmen und Behörden in der Zentrale der BAWAG Group in Wien zu Gast. Simuliert wurde ein hybrider Angriff auf Staat, Wirtschaft und Gesellschaft. Unterschiedlich zusammengesetzte Team aus Österreich, Deutschland, Liechtenstein und Italien trainierten technische Maßnahmen für den Ernstfall, aber auch Kommunikationswege zu Branchenvertretern und Behörden.

»Von Banküberfällen hört man selten in diesen Tagen, Cyberkriminalität ist dagegen allgegenwärtig«, unterstreicht Bawag-Vorstandsmitglied Guido Jestädt die Notwendigkeit für entsprechendes Sicherheitsbewusstsein und Trainings auch im Finanzsektor. Das Bedrohungsszenario wurde vom AIT mit der einzigartigen Trainingsumgebung »Cyber Range« umgesetzt. Dabei werden IT-Infrastrukturen und Kommunikationsprozesse realitätsnah simuliert, wenn »echte« Tests in der realen Welt aus Sicherheits- oder Kostengründen nicht möglich sind. Auch die Internationale Atomenergie-Organisation nutzt bereits die Übungsplattform, um Angriffsbedrohungen in Atomkraftwerken zu simulieren.

Im Cyber-Sicherheitstraining befanden sich gut 100 Teilnehmende in Rollen von Mitarbeitenden eines fiktiven Industrieunternehmens und einer fiktiven »OeBank«, die Ziele einer massiven Cyberangriffswelle waren, die durch ein kriminelles Syndikat durchgeführt wurde. Zu den Herausforderungen in der Abwehr zählten der Schutz sensibler Daten, die Verteidigung gegen Ransomware, die Eindämmung von gefälschten Informationen und Desinformationskampagnen sowie die Verhinderung von finanziellen Diebstählen. Zudem sind die Teilnehmenden mit physischen Angriffsvektoren auf Produktionsanlagen und gefälschten Banktransaktionen konfrontiert worden.

Ziel des Trainings war es, die Fähigkeit zur Reaktion auf komplexe, koordinierte Angriffe für die Sicherstellung der Geschäftskontinuität in kritischen Situationen zu verbessern. Das gehören auch fristgerechte Meldungen an die Behörden, wie es Gesetze wie DORA und NIS verlangen, und die Weitergabe von Informationen an CERTs – unabhängige Sicherheitsstellen, die Warnungen in die Wirtschaft weitertragen.

»Durch eine enge Kooperation von Wissenschaft, Unternehmen und Behörden können wir international eine Vorreiterrolle im Bereich der Cybersicherheit einnehmen«, ist Helmut Leopold, Leiter des Center for Digital Safety & Security im AIT, überzeugt.

Das Cyber-Planspiel des KSÖ fand zum siebenten Mal statt. Hatte es im ersten Jahr noch Vorbehalte der Akteure bei der Weitergabe von Informationen und Einblick in die Organisation von Unternehmen gegeben, ist schnell das Vertrauen ins gemeinsame Agieren gestiegen. Auch der Blick auf die Behörden bei Sicherheitsvorfällen wurde erneuert – weg von drohend strafenden Organen, hin zu einem festen Bestandteil eines breit aufgestellten Resilienz-Mechanismus unserer Wirtschaft und Gesellschaft.