Das Kompetenzzentrum Sicheres Österreich (KSÖ) veranstaltete am 06. und 07. November gemeinsam mit dem AIT Austrian Institute of Technology und der BAWAG Group das bereits siebte Cyber-Planspiel. Die auf modernster IT-Infrastruktur stattfindende Cybersicherheitsübung zielte darauf ab, dass Vertreter:innen österreichischer, aber auch internationaler Unternehmen und Behörden den Ernstfall anhand eines fiktiven hybriden Angriffs auf Staat, Wirtschaft und Gesellschaft trainierten. Der Mehrwert realistischer Planspiele und Trainings wurde in den letzten Jahren im Rahmen vieler Übungen von den verschiedenen Stakeholdern als sehr positiv und wichtig bestätigt (siehe auch https://cyberrange.at/news/).
Das Übungsszenario: Hybrider Angriff auf die Bankeninfrastruktur
In diesem Cyber-Sicherheitstraining befanden sich die ca. 100 Teilnehmenden in verschiedenen Rollen von Mitarbeitenden des fiktiven Industrieunternehmens OptiTeq und der fiktiven OeBank, die jeweils Ziele einer massiven Cyberangriffswelle waren, die durch ein kriminelles Syndikat durchgeführt wurde. Um diese Angriffe abzuwehren, mussten die Teilnehmenden entsprechend reagieren, um die Bedrohungen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen. Zu den Herausforderungen zählten der Schutz sensibler Daten, die Verteidigung gegen einen Ransomware-Angriff, die Eindämmung von gefälschten Informationen und Desinformationskampagnen sowie die Verhinderung von finanziellen Diebstählen. Zudem wurden die Teilnehmenden mit physischen Angriffsvektoren auf Produktionsanlagen und gefälschten Banktransaktionen konfrontiert. Ziel des Trainings war es, die Fähigkeit zur Reaktion auf komplexe, koordinierte Angriffe für die Sicherstellung der Geschäftskontinuität in kritischen Situationen zu verbessern.
6 Teams kämpften gegen hybride Cyberangriffe
Das KSÖ-Planspiel 2024 richtete sich an Sicherheitsakteure und Expert:innen aus verschiedenen Ländern (Österreich, Deutschland, Liechtenstein und Italien) sowie aus betroffenen Sektoren und Branchen (Finanzsektor, Industrie, IT-Dienstleister). Auch Ministerien aus den genannten Ländern sowie GOV-CERTs und CERTs waren beteiligt. Die Teilnehmenden wurden mit einem ausgeklügelten, hybriden Cyberangriff-Szenario konfrontiert, um die bestehenden Sicherheits- und Kommunikationsmaßnahmen in ihren Organisationen zu evaluieren. Besonderes Augenmerk lag zudem auf der Koordination und Kooperation zwischen den einzelnen Organisationen. Die im Szenario geltenden erschwerten Bedingungen, wie beispielsweise die Unklarheit über die Herkunft der Angriffe, die Schwere des Vorfalls und damit zusammenhängende sektorenübergreifende Auswirkungen, boten die Grundlage, um die vorgesehenen Kommunikationsprozesse und abgestimmten Abläufe zu erproben und anschließend zu bewerten. Da für die teilnehmenden Organisationen die NIS2-Richtlinien bzw. die DORA-Verordnung gelten, diente diese Übung allen Beteiligten auch als Vorbereitung auf die bevorstehenden Umsetzungen der Richtlinien.
Training in einer modernen digitalen Simulationsumgebungen
Das Bedrohungsszenario wurde von Expert:innen für Cybersicherheit des AIT in der „AIT Cyber Range“ umgesetzt. Dabei handelt es sich um eine flexible digitale Simulationsumgebung für Cybersicherheitsübungen. In der „AIT Cyber Range“ werden IT-Infrastrukturen und Kommunikationsprozesse realitätsnah simuliert, damit die Erkennung und Abwehr unterschiedlichster Angriffe trainiert werden können. Dadurch wird es möglich, die Abwehr von Cyberangriffen in Extremsituationen und sogar in kritischen Infrastrukturen zu trainieren, bei denen „echte“ Tests in der realen Welt aus Sicherheits- oder Kostengründen oft nicht möglich sind. So können, Strukturen und Prozesse analysiert und Fehlerquellen eruiert werden. Die Wechselwirkungen von Auswirkungen und Handlungen sowie Reaktionen können somit sicher und transparent nachvollzogen werden, um eine hohe Resilienz zu erreichen.
Zitate:
Mag. Gerhard Karner, Bundesminister für Inneres:
„Die enge Kooperation zwischen der öffentlichen Verwaltung und der Wirtschaft ist gerade beim Thema Cybersicherheit von entscheidender Bedeutung. Ich danke allen Teilnehmern für ihr Engagement und ihren Einsatz und dem KSÖ für die mustergültige Organisation.“
Mag. Michael Höllerer, Präsident KSÖ:
„Das Thema Cybersicherheit muss ganzheitlich sowie länder- und branchenübergreifend betrachtet werden. Unser Ziel ist es, die verschiedensten Stakeholder, national und international, zu identifizieren und zu vernetzen. Der vielschichtige Austausch trägt maßgeblich dazu bei, Österreich sicherer zu machen und die Resilienz der Unternehmen zu erhöhen.“
Dr. Guido Jestädt, Vorstandsmitglied bei der BAWAG Group AG:
„Die Bedrohung durch Cyberkriminalität nimmt stetig zu und stellt die gesamte Branche vor große Herausforderungen. Der Schlüssel zur Eindämmung dieser Gefahren liegt in nationaler und internationaler Zusammenarbeit zwischen Banken, Bankkunden, Telekommunikationsunternehmen, der Polizei und dem Gesetzgeber. Nur so kann Cyberkriminellen effektiv entgegengehalten werden.”
Dr. Helmut Leopold, Head of Center for Digital Safety & Security, AIT:
„Nur durch eine enge Kooperation von Wissenschaft, Unternehmen und Behörden können wir international eine Vorreiterrolle im Bereich der Cybersicherheit einnehmen. Modernste Technologien und höchste Kompetenzen kombiniert mit praktischen Erfahrungen in der Abwehr von Cyberattacken durch solche Übungen und Planspiele sind die Grundlage für einen nachhaltigen digitalen Schutz für unsere Wirtschaft und Gesellschaft. Wir sind stolz, mit einer der modernsten digitalen Cyber Security-Übungsplattformen, der AIT Cyber Range, international eine führende Rolle eingenommen zu haben.“
KOMPETENZZENTRUM SICHERES ÖSTERREICH
Erfahrungsaustausch, Weiterentwicklung und Ansprache neuer Themen rund um den zentralen Bereich innere Sicherheit – vor diesem Hintergrund versammelt das KSÖ bereits seit 1975 engagierte Persönlichkeiten aus Wirtschaft, Wissenschaft, Verwaltung und Politik an einem Tisch. Unser übergeordnetes Ziel ist, Österreich sicherer zu machen. Dabei ist allen Beteiligten eines klar: Die Polizei allein kann nicht für die Sicherheit aller garantieren – es braucht mehr engagierte Akteure! Um dies zu erreichen, arbeitet das KSÖ permanent daran, das Problembewusstsein der Menschen im Bereich Sicherheit zu schärfen und die Zusammenarbeit zwischen Bürgern, Exekutive, Politik, Medien, Wissenschaft und Wirtschaft
zum Thema Sicherheit laufend weiter zu verbessern. Mit einer ganzen Reihe von Initiativen konnten in den letzten Jahren die Österreicherinnen und Österreicher, vor allem aber auch die Medien als Meinungsmultiplikatoren für viele Sicherheitsthemen, sensibilisiert werden.
AIT AUSTRIAN INSTITUTE OF TECHNOLOGY
Das AIT Austrian Institute of Technology nimmt in Österreich eine führende Position bei Innovationen ein und spielt zudem auf europäischer Ebene eine Schlüsselrolle als jene Forschungs- und Technologieeinrichtung, die sich mit den zentralen Infrastrukturthemen der Zukunft befasst. Durch die Forschung und technologischen Entwicklungen des AIT werden grundlegende Innovationen für die nächste Generation von Infrastrukturtechnologien in den Bereichen Energy, Transport Technologies, Health & Bioresources, Digital Safety & Security, Vision, Automation & Control und Technology Experience verwirklicht. Ergänzt werden diese wissenschaftlichen Forschungsgebiete um die Kompetenz im Bereich Innovation Systems & Policy. Als nationaler und internationaler Knotenpunkt an der Schnittstelle zwischen Wissenschaft und Industrie macht das AIT dank seiner wissenschaftlich-technologischen Kompetenz, Erfahrung auf den Märkten, der engen Kundenbindung und einer hervorragenden Forschungsinfrastruktur Innovationen möglich.
BAWAG GROUP AG
Die BAWAG Group AG ist die börsennotierte Holdinggesellschaft mit Sitz in Wien, Österreich und betreut 2,5 Millionen Privat-, KMU- und Firmenkunden sowie Kunden des öffentlichen Sektors in Österreich, Deutschland, der Schweiz, den Niederlanden, Westeuropa sowie den USA. Der Konzern bietet unter diversen Marken und über unterschiedliche Vertriebswege ein breites Sortiment an Spar-, Zahlungsverkehrs-, Kredit-, Leasing- und Veranlagungsprodukten sowie Bausparen und Versicherungen an. Die Bereitstellung von einfachen, transparenten und erstklassigen Produkten sowie Dienstleistungen, die den Bedürfnissen der Kunden entsprechen, steht in allen Geschäftsbereichen im Zentrum ihrer Strategie.
