Freitag, April 26, 2024

Planspiel für den Ernstfall



Unter Federführung des AIT haben erstmals Sicherheitsakteure den Ernstfall eines Blackout-Szenarios in Österreich trainiert. Helmut Leopold, Leiter des AIT Center for Digital Safety & Security über die Herausforderungen bei der Simulation von Krisen.

Ob Unternehmen, Behörden oder Einsatzorganisationen, ein Blackout – ein großflächiger Stromausfall – würde jede Einrichtung in Österreich betreffen. Ein Ausfall von kritischen Institutionen kostet nicht nur viel Zeit, Geld und Nerven, sondern kann sogar lebensbedrohliche Konsequenzen haben. Ende November der Vorjahres veranstaltete das Kompetenzzentrum Sicheres Österreich (KSÖ) gemeinsam mit dem AIT Austrian Institute of Technology und der Industriellenvereinigung ein Planspiel, in dem die weitreichenden Konsequenzen nach einem Blackout, ausgelöst durch einen technischen Zwischenfall im Energienetz, realitätsnahe durchgespielt wurden. Das Training rund um technische und kommunikative Prozesse lieferte wertvolle Erfahrungen für den Ernstfall. 

Bild oben: AIT-Manager Helmut Leopold hat die Resilienz der Gesellschaft und Wirtschaft in Österreich und in Europa im Fokus.

Wie nahe an der Wirklichkeit können die Auswirkungen auf Wirtschaft und Gesellschaft durch einen Ausfall des Stromnetzes tatsächlich simuliert werden?

Helmut Leopold: Wir haben in Vorbereitung des Planspiels gemeinsam mit wichtigen Stakeholdern wie beispielsweise Energieversorgern entsprechende Szenarien entworfen, welche den realen Bedrohungsanforderungen entsprechen. Beschreibungen der Abhängigkeiten von unterschiedlichen Infrastrukturen und Dienstleistungen und Prozessabläufe der realen Welt wurden aufgenommen und in unserer Simulationsumgebung entsprechend abgebildet.

Beispielgebend für die unterschiedlichen Sektoren, die in einem Ernstfall betroffen sind und miteinander kommunizieren müssen, wurden dann verschiedene Bereiche wie etwa der Finanzsektor mit Unternehmensvertretenden herausgearbeitet, die Logistikbranche, Behörden und andere. Wir fokussieren bei der Simulation stark auf die Kommunikationswege in einem Krisenfall. Wo man in der Realität zum Telefon oder zum Internetanschluss greifen würde, hat bei uns über Tischgespräche stattgefunden. Wir haben aber natürlich auch den Ausfall von Kommunikationsplattformen einbezogen. Hier kommt dann das Behördenfunksystem BOS des Innenministeriums zum Einsatz, welches bundesweit als hochsicheres und hochverfügbares Kommunikationssystem für Behörden konzipiert wurde.

Die Simulation muss dabei aber auch überschaubar bleiben, ist aber so gestaltet, dass ein realistisches Abbild der Wirklichkeit erreicht wird. Während im Finanzbereich zum Beispiel die Versorgung von Banko­maten mit Bargeld und auch das Funktionieren der Automaten in einem Krisenfall ein Gegenstand der Simulationen ist, haben wir auch gesellschaftliche Themen wie zum Beispiel die Aufrechterhaltung des Schulbetriebs gemeinsam mit Vertretenden aus dem Bildungssektor im Planspiel.

Sie sprechen davon, dass ein Krisenfall nicht nur eine technische Herausforderung ist, sondern auch die richtigen Kommunikationsprozesse erfordert.

Leopold: Die Energienetzbetreiber sind bereits miteinander in Verbindung, die Banken haben ebenso Ausfallspäne für ihre Bereiche erarbeitet. Doch besonders spannend sind die Interaktionen der Sektoren miteinander und die wechselseitigen Abhängigkeiten. Großflächige Energieausfälle bringen ja vielfältige Konsequenzen mit sich. Wie gehen wir mit der Gesamtsituation um? Was ist zuerst zu tun? Welche Entscheidungen treffen wir in kurzen Zeiträumen? Das kann nicht ausschließlich technisch gelöst werden, sondern es ist ein komplexer Kommunikationsprozess mit einem vielschichtigen Daten- und Informationsaustausch zwischen Unternehmen, Behörden und der Zivilgesellschaft. Es sind unterschiedlichste Ökosysteme von Unternehmen und Menschen betroffen. Und nachdem unsere Wirtschaft und Gesellschaft immer digitaler und vernetzter wird – und unsere Kommunikationsprozesse mittlerweile oft softwarebasierte Informationsverarbeitung bedingen – müssen wir auch mit dieser grundlegenden Abhängigkeit umgehen lernen.

Ein Zurück in die alte analoge Welt ist nicht mehr denkbar. Sich auf einzelne Akteure zu verlassen, die ihre IT-Systeme sauber und sicher halten, wird durch die Abhängigkeiten der Systeme voneinander nicht mehr ausreichen. Vor allem bei erhöhten Cyberbedrohungen werden komplementär zu technischen Schutzfunktionen effektive Kommunikationsprozesse und Informationsaustauschmechanismen – innerhalb von Unternehmen aber auch zwischen Unternehmen und zu Behörden – immer wichtiger. Um diese geht es im Besonderen auch bei den Trainings, die das AIT mit einer der modernsten »Cyber Ranges« bietet. Hundertprozentigen Schutz wird man niemals technisch bauen können. Also müssen wir daneben Fähigkeiten entwickeln, wie Personen auf staatlicher, aber auch zwischenstaatlicher Ebene Informationen austauschen und verarbeiten.

In welchen Bereichen kommt die AIT ­Cyber Range bereits zum Einsatz? 

Leopold: Kunden aller Art können hier ihre Sicherheitsmaßnahmen testen und validieren, die Resilienz unterschiedlicher IT-Architekturen überprüfen und betriebliche Sicherheitsprozesse trainieren. International setzt zum Beispiel die Atom­energiebehörde bereits auf Kompetenz und Technologie »made in Austria«. Das ist für mich auch die gute Nachricht, dass nicht immer nur die Infrastrukturen von Multi-Billionen-Dollar-Unternehmen benötigt werden, um erfolgreich im Digitalbereich zu agieren – sondern dass so etwas auch aus dem kleinen Österreich heraus funktioniert. Wir haben mittlerweile das Know-how und die richtigen Leute, um ein solches Cybertraining auch wirtschaftlich effektiv zu gestalten. Wir können stolz sein, dass erste weltweite IAEA Collaboration-Centre der Atomenergiebehörde zum Thema Cybersicherheit zu stellen.

Man muss also kein eigenes Atomkraftwerk im Land haben, um ein solches simulieren zu können?

Leopold: Ein Kraftwerk ist wie eine Fabrik – mit Steuerungssystemen, Netzwerken und Geräten wie etwa Pumpen. Die Technik im Inneren, der Bereich OT (Anm.: Operations Technology) ist sicherlich von den Herstellern und von Branchenspezifika abhängig. Wir sind aber in der Lage, mit einem sehr hohen Automatisierungsgrad Umgebungen mit ihren Strukturen und Problemstellungen flexibel zu gestalten. Die AIT Cyber Range ist modular und flexibel aufgebaut. Wir können Steuerungen, unterschiedliche Software und Betriebssysteme und auch verschiedene Architekturen und die Angriffe darauf simulieren. Sei es eine Ransomware-Attacke oder eine Phishing-Mail – wir haben bereits auch Vorgänge in Organisationen mit 2.000 Mitarbeiter*innen durchgespielt.

Nachdem so ein Test im Alltag eines Kraftwerks oder einer Fabrik niemals in dieser Vollständigkeit durchführbar wäre, bieten wir Unternehmen eine wirtschaftlich sinnvolle Umgebung dafür. Der Mehrwert ist schnell gegeben, da rasch auch Szenarien gewechselt werden können.

Welche weiteren Unternehmen adressieren Sie damit?

Leopold: Neben großen internationalen Infrastrukturbetreibern setzen bereits zahlreiche Energieversorger auf die AIT Cyber Range, ebenso wie Industriebetriebe vom Mittelstand bis zum Großunternehmen. Im Prinzip betrifft das vor allem jene Unternehmen, die unter das NIS-Gesetz für Betreiber kritischer Infrastrukturen fallen. Mit der neuen EU-Richtlinie NIS 2 fallen in Österreich schon gut tausend Unternehmen in diesen Bereich. Sie alle haben besondere Berichtspflichten und müssen tiefgehende Sicherheitsmaßnahmen in ihren Organisationen durchführen und auch dokumentieren.

Über das Unternehmen
Im AIT Austrian Institute of Technology arbeiten im Center for Digital Safety & Security mehr als 200 Expert*innen an Informations- und Kommunikationstechnologien, um diese im Kontext der Digitalisierung und Vernetzung von Systemen hochsicher und zuverlässig bauen sowie benutzen zu können. Adressiert werden Märkte wie die Halbleiterindustrie, Automotive, kritische Infrastrukturen wie Energienetze und Kraftwerke, Finanzmärkte, Umweltmonitoring sowie Krisen- und Katastrophenmanagement. Das Center besitzt in nationalen und internationalen Innovationsprogrammen wie KIRAS und Horizon Europe eine anerkannte Position und gestaltet zahlreiche Industrie- und Forschungsinitiativen mit.

Meistgelesene BLOGS

Firmen | News
01. März 2024
Deutsch-Österreichisches Technologieforum: Transformation der Wirtschafts- und Energiesysteme
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Read More
Nicole Mayer
26. Jänner 2024
Jetzt einreichen: Staatspreis sucht exzellente Betriebe
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Read More
Alfons A. Flatscher
02. Jänner 2024
Das Neue kommt …
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Katharina Bisset
07. Februar 2024
Digital Services Act: neue Pflichten für Plattformen, Marktplätze und Co.
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Read More
Alfons A. Flatscher
26. Jänner 2024
Neues statt sparen
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Read More
Firmen | News
14. März 2024
Letzte Chance: Sind Sie Österreichs „CISO of the Year"? Anmeldungen noch bis 29. März 2024 möglich
Bereits zum dritten Mal verleiht die auf Informationssicherheit spezialisierte Zertifizierungsinstanz CIS - Certification & Information Security Services GmbH die begehrte Personenauszeichnung „CI...
Read More
Mario Buchinger
22. Jänner 2024
Braucht die Organisationsentwicklung noch Coaching und Consulting?
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Read More

REPORT | Meistgelesen

A1 übernimmt NTT Austria

Apr..04

Die Rechtsform des Vertrauens

Apr..17

Additionalitätsprinzip als Damoklesschwert über grünem Wasserstoff?

Apr..02

Die besten Arbeitgeber der Branche

Apr..17

MAWEV: Ein Event zum Anfassen & unsere Highlights

Apr..09

Der Neue im Büro

März.28

Schalungszukunft

Apr..09

Aufstieg in die Chefetage

Apr..10

Deutlich mehr Pleiten, Bau voran

März.28

GenAI: der nächste Sprung – nicht nur technisch

Apr..12

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com