Maria Leitner ist Professorin für Informatik an der Universität Wien und als Wissenschafterin für das AIT Austrian Institute of Technology im Einsatz. Sie arbeitet an der Schnittstelle von Forschung und Anwendung an kritischen Themen wie Cybersicherheit und automatisierte prozessorientierte Systeme.

Report: Welches Forschungsgebiet haben Sie im Rahmen Ihrer Professur an der Universität Wien? In welchen Projekten sind Sie aktuell tätig?

Maria Leitner: Ich bin seit Anfang März Professorin der Universität Wien und beschäftige mich dort mit Digitalisierungsthemen, insbesondere mit Prozessautomatisierung. Ich gehe der Frage nach, wie die Industrie und generell Organisationen Technologie für die Unterstützung von Prozessen sukzessive einsetzen. Dabei geht es nicht nur um Effizienz und Optimierung, sondern auch um den Menschen. Denn der Mensch ist stets ein Teil der Veränderungen in industriellen Prozessen, die durch Technologie ausgelöst werden.

Die Erfahrung zeigt, dass eine möglichst frühe Einbindung der Nutzer*innen optimal ist, wenn es darum geht eine harmonische Zusammenarbeit zwischen Mensch und Maschinen zu erreichen. Ich spreche hier von der Adaptierung von Prozessen und die Anpassung von Technik an den Menschen etwa in Sicherheitsfragen, aber auch in umgekehrte Richtung – dabei geht es um das Aufbauen von Kompetenzen und Heranführen der Menschen an Technologien, die unterdessen immer komplexer werden. Wir bauen dazu gerade ein Forschungslabor mit kollaborativen Robotern auf.

Diese zeichnen sich besonders durch flexible Einsatzmöglichkeiten aus und wir untersuchen hier insbesondere den prozessorientierten Einsatz in neuen Forschungsansätzen. Fragestellungen dabei können zum Beispiel sein: Welche Arbeitsplatzgestaltung brauchen wir mit kooperativer Technologie künftig? Wie kann eine Interaktion besser gestaltet werden, auch in Punkto Effizienz, Sicherheit und Flexibilität?

Kollaborative Roboter werden heute vielfach entweder für gefährliche und kraftraubende Tätigkeiten eingesetzt – etwa für Schweißarbeiten oder das Bewegen von schweren Teilen – oder für schnelle, präzise Abfolgen beispielsweise bei Bohr- und Schraubtätigkeiten. Es geht darum, industrielle Abläufe zu beschleunigen. Wir wollen nun die unterschiedlichen Anwendungsfelder und Entwicklungen dazu analysieren, und dabei das Augenmerk auf den Menschen richten – wie dieser beim Ausrollen neuer Produkte und Lösungen einbezogen und begleitet werden kann. Damit soll generell auch die Erfolgsrate von Digitalisierungsprojekten in weitesten Sinne verbessert werden.

Report: Was ist Ihre Aufgabe beim AIT? Was bietet das AIT im Bereich Cybersicherheit?

Leitner: Ich bin im Forschungsschwerpunkt Cyber Security am AIT tätig und dort Teil des AIT Cyber Range Trainingscenters. Dabei unterstütze ich unter anderem bei der Gestaltung und Umsetzung von Planspielen und Projekten. Unser Fokus liegt auf Cybersicherheitstrainings für kritische Infrastrukturen und für alle anderen Organisationen – da dürfen wir niemanden ausschließen. Mit unserer virtuellen technischen Infrastruktur können potenzielle Angriffsvektoren und auch Bedrohungen in Produktionssystemen sicher simuliert und getestet werden.

Unternehmen können hier Incident-Response-Prozesse – wie in einer Organisation mit Sicherheitsvorfällen umgegangen wird – testen und trainieren. Das AIT bietet dazu fachspezifische Schulungen für das Reagieren auf Schwachstellen ebenso wie allgemeine Awareness-Trainings an. Viele erfahren dabei zum ersten Mal, wie man zum Beispiel auf Phishing-Mails reagieren muss oder wie Ransomware-Attacken aussehen.

Das AIT hat beispielsweise die nationale Cybersicherheitsübung 2017 des Kuratorium Sicheres Österreich (KSÖ) unterstützt, die auf der AIT Cyber Range abgehalten wurde. An der Übung haben ca. 200 Personen aus Behörden, Wirtschaft und Wissenschaft teilgenommen. Es wurden beispielsweise die Meldeprozesse und Meldewege zwischen Organisationen und nationalen Stakeholdern wie dem CERT.at, dem Austrian Energy CERT und den Behörden interaktiv getestet – damals im Vorfeld der NIS-Richtlinie (Anm. europäische Richtline für Netz- und Informationssystemsicherheit), die später inkraftgetreten ist.

Auf der Cyber Range können nicht nur Übungen sondern auch Softwaretests durchführt und andere Aspekte in verschiedensten Anwendungsszenarien betrachtet werden.
Auch mit der Internationalen Atomenergiebehörde IAEA haben wir eine international ausgerichtete Kooperation im Bereich Cybersicherheit. Auch hier bieten wir Schulungen und die digitale Simulation von Vorfällen an – denn, dies in einem Produktivsystem in einem Atomkraftwerk durchzuspielen, geht natürlich nicht.

Report: Was ändert sich in der Cybersicherheit für die Energiewirtschaft und generell die Industrie in Bereichen, die traditionell keine Internetanbindung nach außen hatten – also den klassischen Bereich der Operational Technology?

Leitner: Das betrifft nicht nur die Energiewirtschaft und Industrie. Vor dieser Herausforderung stehen sehr viele Organisationen, die ihre Systeme digitalisieren. Sie alle müssen feststellen, welche potenziellen Angriffsvektoren drohen und welche Maßnahmen zu deren Verhinderung gesetzt werden können. Früher wurden technische Systeme unter der Annahme entworfen, dass sie isoliert funktionieren und nicht vernetzt sind. Ich formuliere das bewusst allgemein, denn das muss nicht unbedingt eine Anbindung ans Internet sein. Wir alle wissen aber, dass die Vernetzung nun tendenziell weiter anhalten wird. Es braucht also sichere Systemarchitekturen, Verschlüsselungen oder andere Techniken, um Verbindungen und Inhalte abzusichern und abhörsicher zu gestalten.

Ein aktuelles Beispiel ist der Ransomware-Angriff auf eine große Treibstoff-Pipeline in den USA. Das Beispiel und viele andere zeigen auf, dass alle Organisationen von Cyber-Angriffen betroffen sein können. Zu betonen ist, dass es nicht immer bewusst herbeigeführte Fälle sein müssen– auch Unfälle und unbeabsichtigte Fehler können zu einer Bedrohung werden.

Report: Welche Erkenntnisse haben Sie aus vergangenen Cybersecurity-Planspielen mitnehmen können? Was sind die Faktoren für ein verlässliches Zusammenspiel und Reagieren bei Ereignissen?

Leitner: In den Planspielen selbst haben wir gesehen, wie wichtig Kommunikation und das Teilen von Information ist – das ist auch stets ein Aspekt dieser Übungen. Das heißt nicht, dass man gleich jegliche Information mit allen Teilen der Öffentlichkeit austauschen muss. Vielmehr gibt es entsprechende Stellen in Österreich, Ansprechpartner und auch Beratungsfirmen, die im Anlassfall unterstützen können. Das Teilen von gewissen Informationen in »Trust Circles« ist bedeutend, denn es hilft nicht nur dabei schneller und gemeinsam Lösungen zu finden, sondern auch dabei anderen Betroffenen zu helfen – die in derselben Branche oder vor einer ähnlichen Situation stehen. Diese Zusammenarbeit ist insbesondere bei großen Sicherheitsvorfällen wichtig – mit Stellen wie CERT.at, an die sich Betroffene wenden und informelle Anfragen stellen als auch proaktiv Informationen ausgetauscht werden.

In den Planspielen werden Situationen durchgespielt, die eine realitätsnahe Sicht bieten. Das heißt: Wir setzten bewusst die Teams unter Druck, indem Sicherheitsvorfälle in einer befristeten Zeit gelöst werden müssen. Zum einen geht es um die technische Analyse, zum anderen um eine organisatorische Komponente. Kernfragen dabei sind: Wie kommuniziere ich im Team und mit Vorgesetzten? Welche Externen – das kann eine Ansprechperson zum Thema Datenschutz sein – liefern mir wichtige Informationen? Man nimmt hier wertvolle Erfahrungen mit, um für den Ernstfall gerüstet zu sein. Das heißt aber nicht, dass es bei Sicherheitsvorfälle in der Realität nicht trotzdem stressig sein wird.

Report: Es heißt: Hundertprozentige Sicherheit gibt es nicht. Wird unsere zunehmend technisch vernetzte Wirtschaft und auch Gesellschaft nun immer gefährdeter?

Leitner: Es ist ein immerwährender Zyklus, der wahrscheinlich nie aufhören wird. Es gibt immer wieder neue Technologien als auch neue Angriffstechniken – aber eben auch neue Sicherheitstechniken. Es wird immer Menschen geben, die versuchen, Dinge zu umgehen und gleichzeitig Personen geben, die Angriffe zu verhindern versuchen. Es gehört jedenfalls dazu, offen darüber zu reden. Das hat sich in den vergangenen Jahren im Kontext der Cybersicherheit, denke ich, zum Positiven verändert.

Wir alle müssen die öffentliche Diskussion und das Bewusstsein stärken, dass immer etwas passieren kann, aber es ebenso zahlreiche Möglichkeiten gibt sich zu schützen. CEO-Fraud-Fälle, die es auch in Österreich gegeben hat, sind so ein Beispiel dafür. Wir müssen daraus lernen, wir können mithelfen und Mitarbeiter*innen präventiv informieren – müssen aber auch in einer Nachsorge festlegen, welche Maßnahmen in einer Organisation künftige Schadensfälle verhindern können. So ist zum Beispiel beim Verlassen von Mitarbeiter*innen eines Unternehmens, dem sogenannten Offboarding, künftig stärker als bisher auf den Sicherheitsaspekt zu achten.

Wir sitzen alle im selben Boot und schauen, dass wir durch den Weg der Digitalisierung bestmöglich gemeinsam navigieren. Es gibt eine starke und interaktive Community dazu in Österreich – und darüber hinaus. Wir nutzen sie und sind Teil davon.