apa.at
Reportage

Vor­sicht vor dem Vogelmann

APA-Sci­ence zu Besuch beim KSÖ-Cyber­se­cu­ri­ty-DACH-Plan­spiel 2021
Gestell­te Sze­ne; AIT

Was tun im Fal­le einer Cyber­at­ta­cke? Bei einem Plan­spiel des Kura­to­ri­um Siche­res Öster­reich (KSÖ) in Zusam­men­ar­beit mit dem Aus­tri­an Insti­tu­te of Tech­no­lo­gy (AIT) beka­men Unter­neh­men die Mög­lich­keit, in durch­misch­ten Teams ihre Abwehr­fä­hig­kei­ten zu tes­ten und an Kom­mu­ni­ka­ti­on und Koope­ra­ti­on im Ernst­fall zu arbeiten.

Auf einem Bild­schirm lau­fen Zah­len von eins bis zehn rück­wärts, beglei­tet von bedroh­li­cher Musik im Hin­ter­grund. Dann erscheint eine schwarz­ge­klei­de­te Per­son mit Schna­bel­mas­ke und ent­rich­tet mit ver­zerr­ter Stim­me einen „Gruß an die Welt“. Anony­mous war ges­tern, die neue Bedro­hung aus dem Reich der Cyber­kri­mi­na­li­tät nennt sich VS38.

„Wenn ihr nicht auf­hört, den Men­schen Gift zu inji­zie­ren, wer­den wir gezwun­gen sein, dras­ti­sche Maß­nah­men zu ergreifen” Ein Spre­cher des erfun­de­nen Hacker­kol­lek­tivs VS38

Phar­ma­un­ter­neh­men im Visier der Hacker 

Die Auf­ma­chung des Spre­chers (die typi­sche Beklei­dung eines mit­tel­al­ter­li­chen Pest­dok­tors) schien ein Sei­ten­hieb gegen die moder­ne Medi­zin zu sein, denn dafür steht das Kol­lek­tiv – unter ande­rem. „Wenn ihr nicht auf­hört, den Men­schen Gift zu inji­zie­ren, wer­den wir gezwun­gen sein, dras­ti­sche Maß­nah­men zu ergrei­fen“, droh­te der Vogel­mann: „Impf­stoff­pro­duk­ti­ons­stät­ten und Test­ein­rich­tun­gen, ihr alle seid Ziele.“

Hin­ter der bedroh­li­chen Video­bot­schaft ver­barg sich ein spie­le­ri­sches Set­ting, hin­ter dem spie­le­ri­schen Set­ting wie­der­um ein erns­tes The­ma. Bereits zum fünf­ten Mal (zuletzt 2017) ver­an­stal­te­te das KSÖ gemein­sam mit dem AIT ein „KSÖ Cyber­si­cher­heits-Plan­spiel“, bei dem ähn­lich wie bei einer Feu­er­übung die Abwehr von Cyber­an­grif­fen in einer rea­li­täts­na­hen Umge­bung durch­ge­spielt wer­den kann. Das Video mit der Dro­hung des VS38 dien­te als Ein­lei­tung. Der Name des Hacker­kol­lek­tivs steht für Vac­ci-Stop, 38 ist eine rein erdach­te Zahl für eine Gruppierung.

Der Cybercrime-Report 2020 des Bun­des­mi­nis­te­ri­ums für Inne­res habe von 2019 auf 2020 einen Anstieg der Cybercrime-Delik­te von zwan­zig Pro­zent gezeigt, sag­te KSÖ-Prä­si­dent Erwin Hame­se­der vor Beginn des Spiels. „Das ist ein Phä­no­men, mit dem wir uns dau­er­haft beschäf­ti­gen wer­den müssen.“

Dass das Plan­spiel heu­er coro­nabe­dingt unter ver­schärf­ten Rah­men­be­din­gun­gen statt­fand, ist ange­sichts der The­ma­tik der Atta­cke beson­ders pas­send, haben die Angrei­fer doch aus­ge­rech­net Phar­ma­un­ter­neh­men im Visier.

Koope­ra­ti­on und Kom­mu­ni­ka­ti­on im Mittelpunkt

 

Eine wei­te­re Beson­der­heit des heu­ri­gen Jah­res: Die Spie­ler kamen nicht nur aus Öster­reich, son­dern (online zuge­schal­tet) aus dem gan­zen Dach-Raum. „Zusam­men­ar­beit über die Gren­zen hin­weg hat beson­ders bei die­sem The­ma einen hohen Stel­len­wert“, beton­te Hameseder.

 

Acht durch­misch­te Teams stell­ten sich am 20. und 21. Sep­tem­ber im Raiff­ei­sen Forum in Wien der Bedro­hung. Als acht Phar­ma­un­ter­neh­men, die bei der Bekämp­fung einer Pan­de­mie eine Schlüs­sel­rol­le inne­hat­ten und einen Impf­stoff pro­du­zie­ren, lagern und ver­tei­len muss­ten, wur­den sie durch media­le Des­in­for­ma­ti­on, Phis­hing-Mails, Hacker­an­grif­fe und Sabo­ta­ge gestört.

„Nie­mand gibt ger­ne zu, Opfer eines Cyber­an­grif­fes gewor­den zu sein” Erwin Hame­se­der

Wer­den einer ein­zel­nen Per­son Daten gestoh­len, so sei das ledig­lich für die­se eine Per­son ein Desas­ter, es erschüt­te­re aber weder den Staat, noch die Gesell­schaft, erklär­te Hel­mut Leo­pold, Head of Cen­ter for Digi­tal Safe­ty & Secu­ri­ty des AIT. „Aber wenn eine grö­ße­re Anzahl Unter­neh­men, kri­ti­sche Infra­struk­tur mit Ein­fluss auf Ernäh­rung, Ver­sor­gung oder sogar die gan­ze Gesell­schaft durch Des­in­for­ma­ti­on und Angrif­fe betrof­fen ist, dann kommt es zu einer Bedro­hung unse­rer Existenz.“

Ziel des Plan­spiels war es nicht nur, die Angrif­fe abzu­weh­ren, son­dern auch den kor­rek­ten Kon­takt mit den diver­sen Behör­den zu üben. „Nie­mand gibt ger­ne zu, Opfer eines Cyber­an­grif­fes gewor­den zu sein“, weiß Hame­se­der. Genau die­se Bereit­schaft zur Kom­mu­ni­ka­ti­on in den Köp­fen zu ver­an­kern, sei das Ziel der Übung. „Es geht nicht nur um die rein tech­ni­sche Exper­ti­se, es geht um Ent­schei­dungs­ab­läu­fe, Kom­mu­ni­ka­ti­ons­pro­zes­se und Infor­ma­ti­ons­trans­fers.“ Aus die­sem Grund befand sich in dem Saal, in dem das Plan­spiel abläuft, auch ein gro­ßer Tisch, besetzt mit Ver­tre­tern natio­na­ler Behör­den wie dem Innen‑, Außen- und Ver­tei­di­gungs­mi­nis­te­ri­um, die von den Spie­lern über die Vor­fäl­le infor­miert wer­den sollten.

„Cyber Ran­ge“ ermög­licht rea­li­täts­na­hes Spiel

 

VS38, die „Angrei­fer“, kamen vom AIT. Halb ver­bor­gen hin­ter einer Rei­he von sil­ber­nen Com­pu­ter­bild­schir­men in einem Eck des gro­ßen Saa­les ent­war­fen die Spiel­lei­ter Atta­cken und pass­ten den Schwie­rig­keits­grad fle­xi­bel an die Fähig­kei­ten des jewei­li­gen Teams an.

 

Gespielt wur­de in der IT-Simu­la­ti­ons­um­ge­bung „Cyber Ran­ge“ des AIT. Mit­hil­fe die­ses vir­tu­el­len Com­pu­ter­netz­werks (das unter ande­rem von der Inter­na­tio­na­len Atom­ener­gie­be­hör­de IAEA als Trai­nings­ein­heit ein­ge­setzt wird) las­sen sich IT-Infra­struk­tu­ren und Kom­mu­ni­ka­ti­ons­pro­zes­se rea­li­täts­nah simu­lie­ren. Alle Aktio­nen des Plan­spiels wur­den zur spä­te­ren Ana­ly­se über die Platt­form pro­to­kol­liert. Noch, so Leo­pold, gel­te die Phar­ma­in­dus­trie nicht als Teil der kri­ti­schen Infra­struk­tur, das kön­ne aber noch kommen.

Die Aus­wer­tung des Plan­spiels wird noch eini­ge Zeit in Anspruch neh­men, „aber was wir jetzt schon sagen kön­nen ist, dass die Spie­ler­teams sehr gut auf die Angrif­fe reagiert haben“ heißt es von Sei­ten des AIT. „Im Ver­gleich zum letz­ten Plan­spiel 2017 sehen wir als Trainer*innen eine enor­me Stei­ge­rung der Skills der Teil­neh­men­den, was u.a. auch dadurch begrün­det ist, dass sich alle Sta­ke­hol­der lau­fend wei­ter­ent­wi­ckeln und ‑bil­den müs­sen, da die angrei­fen­den Grup­pen eben­so stän­dig neue und effek­ti­ve­re Metho­den anwen­den – es ist ein stän­di­ges Wettrüsten.“

Die voll­stän­di­ge Droh­bot­schaft der Hacker kön­nen Sie im Inter­view mit Hel­mut Leo­pold hören:

Podcast
Hel­mut Leo­pold über die Abläu­fe des Plan­spiels, Beweg­grün­de hin­ter Cyber­kri­mi­na­li­tät und die Gefahr bil­li­ger Technik
Stichwörter