Bei Hackerangriffen auf Unternehmen werden die IT-Abteilungen zur Zentrale für die Abwehr.

Foto: Getty Images / Martin Barraud

In unserer vernetzten Welt werden Konflikte nicht mehr nur auf realen Schlachtfeldern ausgetragen, sondern häufig in der virtuellen Sphäre: Hackerangriffe können ganze Staaten ins Chaos stürzen. Helmut Leopold, Leiter des Center for Digital Safety & Security des Austrian Institute of Technology (AIT), fasst das Bedrohungsszenario zusammen: "Wenn einer Einzelperson oder einem Unternehmen Daten gestohlen werden, ist das ein Desaster. Wenn aber eine größere Anzahl an Unternehmen und damit die kritische Infrastruktur von Cyberangriffen getroffen wird, ist das eine Bedrohung unserer Existenz – gesellschaftlich wie wirtschaftlich."

In der Theorie beschäftigt sich die Informatik weltweit schon länger mit diesem Thema. Was aber ist in der Praxis zu tun, wenn ein solcher Ernstfall tatsächlich eintritt? Das versuchte man vergangene Woche in Wien im Raiffeisen-Forum zu beantworten: Das AIT hatte dorthin in Kooperation mit dem Kuratorium Sicheres Österreich (KSÖ) eine größere Runde von IT-Expertinnen und -Experten eingeladen, um die Reaktion auf einen großangelegten Hack möglichst realistisch zu simulieren.

Praktische Erfahrungen sammeln

Das Szenario: Militante Impfgegner starten eine Cyberattacke auf einen Pharmakonzern. Die Partnerunternehmen müssen nun reagieren: Sind die Angreifer bereits ins jeweilige System eingedrungen? Wenn ja, wie werden sie bekämpft? Wenn nein, wie wird die eigene Infrastruktur jetzt verteidigt?

So stellten sich für die anwesende Expertenrunde zahlreiche knifflige Aufgaben. Damit man sich aber nicht in unproduktive Sackgassen verirrt, veränderte das AIT-Team, das die Angriffe orchestrierte, den Spielverlauf je nach Fortschritt der einzelnen Teams.

Leopold: "Wenn es zu leicht ist, lernt man nichts. Aber wenn es zu schwer ist, passiert nichts." Alle Akteure sollten nämlich nicht bloß ihr Know-how überprüfen, sondern auch eine praktische Erfahrung mitnehmen.

Realistische Krisensimulation

Schließlich bekomme man so einen Eindruck in der Form sonst nicht, betont Leopold: "Früher hat man solche Planspiele noch auf dem Papier durchgeführt. Das ist aber sehr realitätsfern. Jedoch wird kein Unternehmen zulassen, dass in seinem System gespielt wird und dann zum Beispiel wirklich Server abgeschaltet werden." Bei einer Feuerübung werde schließlich auch kein echter Brand gelegt.

Um den ganzen Ablauf aber möglichst realistisch erscheinen zu lassen, kam als Spielfläche die vom AIT entwickelte "Cyber Range" zum Einsatz — eine Plattform, auf der die jeweils zu testende Digitalarchitektur eins zu eins nachgebaut wird. Zusätzlich wird hier jede Aktion dokumentiert: So haben alle Teilnehmer, wenn der Stresstest vorbei ist, die Möglichkeit, den gesamten Verlauf noch einmal durchzugehen und zu analysieren.

Meldepflicht bei Angriffen

Da in diesem Planspiel aber nicht bloß die Attacke auf einzelne Unternehmenssysteme simuliert werden sollte, sondern der Großangriff auf eine landesweite Infrastruktur, hieß es für die einzelnen Teams, nicht nur im eigenen Haus wieder für Ordnung zu sorgen, sondern sich im gesamten Prozess auch mit Industriepartnern und Behörden auszutauschen. Gerade die Betreiber der kritischen Infrastruktur unterstehen laut Netz- und Informationssystemsicherheitsgesetz einer Meldepflicht bei Hackerangriffen.

Wie sich aber zeigte, ist das in einem solchen Krisenfall eine Herausforderung: Bei derartigen Hacks stehen auch immer wieder die digitalen Kommunikationskanäle unter Beschuss und werden mit Fehlinformationen geflutet. Somit rauchten auch die Köpfe am anderen Ende der Leitung: Neben den IT-Experten waren ebenfalls die Vertreter der bei so einem Angriff relevanten Behörden beteiligt, die ausgehend von den übermittelten Informationen ein Lagebild erstellten und über weitere mögliche Maßnahmen berieten.

Suche nach dem Täter

Darüber hinaus waren Sicherheitsvertreter aus Deutschland und der Schweiz zugeschaltet, die ständig über den Lauf der Entwicklung unterrichtet wurden. Denn eine solche Attacke kann durchaus schnell eine bilaterale, wenn nicht gar internationale Angelegenheit werden, sofern die Ausbreitung der grassierenden Computerviren nicht schnell genug eingedämmt wird. Hier konnten die Forscher am Ende des Tages jedoch aufatmen: Der Angriff wurde erfolgreich abgewehrt, und die Produktion des Impfstoffs konnte somit aufrechterhalten werden.

Zudem hatten es die beteiligten Spieler im Eifer des Gefechts geschafft, dreimal Anzeige bei den anwesenden Repräsentanten der Polizei zu erstatten. Deren Arbeit würde in einem solchen Fall nun erst richtig beginnen: Wenn ein Feuer gelöscht wurde, geht schließlich die Suche nach dem Brandstifter los. (Johannes Lau, 2.10.2021)