Wien – Ukraine, Frühling 2015: Mitarbeiter des Unternehmens Kyivoblenergo bekommen Phishing-E-Mails mit dem Absender ukrainisches Parlament und laden daraufhin eine Schadsoftware namens Black Energy herunter. Im Laufe der folgenden Monate übermittelt diese beständig Informationen über Betriebssysteme und interne Daten an die Urheber. Nachdem diese alles nötige Wissen abgesaugt haben, sorgen sie im Dezember für einen dreistündigen Stromausfall, der über 200.000 Menschen betrifft..

Wie also reagieren, wenn sich internationale Hacker plötzlich Zugriff auf sensible Daten oder Steuerelemente verschaffen?

70 Spieler, zehn Teams

Bereits zum vierten Mal war Cybersecurity Thema eines Planspiels, das Anfang der Woche vom Kuratorium Sicheres Österreich (KSÖ) veranstaltet wurde. Vertreter aus 24 Unternehmen wichtiger Infrastrukturen und diverser Behörden von Innenministerium bis Bundesheer, stellten sich den IT-Aufgabestellungen.

Dabei teilten sich 70 Spieler auf zehn Teams auf, alle mit demselben Ziel: einen Cyberangriff rechtzeitig erkennen, darauf reagieren, und schließlich die notwendigen behördlichen Schritte einleiten, wodurch auch andere gewarnt werden können.

"Kein Unternehmen der Welt wird sich freiwillig zur Verfügung stellen, um seine Cybersecurity zu testen", so Helmut Leopold, Leiter des Zentrums für Digital Safety and Security am Austrian Institute of Technology (AIT) und einer der Entwickler des Spiels. Deshalb zimmerte das AIT eine virtuelle Unternehmens-IT, auf die während des Spiels zugegriffen wird. Sie umschließt eine nachgebaute interne IT-Infrastruktur, von Kundendaten bis Mailservern, als auch elektronische Steuerelemente wie beispielsweise Photovoltaikanlagen oder fiktive Schalter in Fabriken.

Pläne für das Szenario einer solchen Bedrohung gäbe es in den meisten Unternehmen, jedoch würden sie oft nur in der Schublade liegen, so ein Vertreter der ÖBB. Für seine Mitarbeiter und auch die vieler anderer Unternehmen aus den Bereichen Telekommunikation, Energie, oder Finanz geht es um das Üben einer praktischen Umsetzung.

Angriff mit Phishing-E-Mail

Im ukrainischen Fall hatten die Hacker auch Microsoft Office Dokumente manipuliert und sogar versucht, über zahlreiche Anrufe an das Kundencenter, die Erreichbarkeit lahmzulegen – ein synchronisierter Angriff der auf zahlreichen Ebenen stattfand.

Das Rahmenszenario des KSÖ-Planspiels orientierte sich an einer fiktiven Bedrohung während der bevorstehenden EU-Ratspräsidentschaft. Auch hier löste eine Phishing Email den "Angriff" aus, wie im ukrainischen Fall. Nachdem sich der erste Tag des Planspiels am Montag um die technischen Abläufe gedreht hatte, konzentrierte man sich am Dienstag auf die Möglichkeiten, aus dem Vorfall zu lernen und insbesondere darüber zu informieren. Diese Meldepflicht ist seit August 2016 auch in einer entsprechenden EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) geregelt und soll im Mai auch in Österreich gesetzlich verankert werden.

Von Mikro zu Makro

Der Fall der Ukraine sorgte international für Aufruhr: Russland wurde beschuldigt den sensiblen Konflikt auch online auszuführen und für die Hackerangriffe verantwortlich zu sein. Regeln für den Cyberspace werden sogar in Hinsicht des internationalen Völkerrechts der Vereinten Nationen diskutiert und weisen auf die weitreichenden Zusammenhänge des Problems hin.

Die vielschichtigen Ebenen der Cybersecurity werden auch durch Diskussionen im Datenrecht sichtbar: "Wie kann ich einen Angriff kommunizieren, ohne die eigenen Daten weiterzugeben?", stellt Experte Helmut Leopold als Frage in den Raum.

Deswegen sei es auch wichtig, das Planspiel wissenschaftlich zu begleiten, um so zukünftig Erkenntnisse für Behörden zu ziehen und Kommunikation mit der breiten Gesellschaft zu suchen. Ziel sei es, den Überraschungseffekt einer Attacke schon im Vorraus zu erkennen. Das aber bedeute auch, das Bewusstsein für die immer wichtigeren Fragen der Internetsicherheit zu schärfen, was im Idealfall auch dazu beitragen kann, internationale Kollateralschäden zu vermeiden. (Katharina Kropshofer, 7. 11. 2017)