Übungen

Um den neuesten Stand der Entwicklungen auch in der Praxis Rechnung tragen zu können, spielen Cyber Übungen eine zentrale Rolle. Das Training für den Ernstfall überprüft die Praxistauglichkeit der organisatorischen Strukturen, Pläne und Notfalldokumentation, der Handlungsabläufe im Sinne der in der ÖSCS definierten Handlungsfelder, um stressbedingte Fehleranfälligkeit zu minimieren, sowie daraus entstandene, umgesetzte Maßnahmen.

ASDEM 2018

Bei der „Austrian Strategic Decision Making Exercise“, kurz ASDEM, handelt es sich um ein Planspiel, welches unter maßgeblicher Beteiligung des KdoFüU&CD, insbesondere in der Rolle seines Kommandanten als (ehemaliger) Cyber-Koordinator des BMLV, vom 20.02. - 21.02.2018 in WIEN an der LVAK stattfand. An dieser Veranstaltung nahmen 118 Personen aus dem IKDOK (BKA, BMLV, BMI, BMEIA, CERT) sowie aus dem Bereich der kritischen Infrastruktur teil. 70 internationale BeobachterInnen aus 21 Ländern und viele nationale BeobachterInnen von öffentlichen Institutionen und Firmen nahmen ebenfalls an der Übung teil.

Der Zweck der Übung bestand in der Überprüfung der gesamtstaatlichen Abläufe im Rahmen des Cyber-Krisenmanagements (CKM) zum Schutz der kritischen Infrastruktur bis hin zur Klärung des Überganges des zivil geleiteten CKM zum militärisch geleiteten Cyber-Verteidigungs-Fall, die Anwendbarkeit auf hybride Anlassfälle und die damit verbundenen politischen, rechtlichen und völkerrechtlichen Problemstellungen. Gerade die hybriden Angriffe, die zeitgleich in der digitalen und analogen Welt stattfanden, hoben diese Übung von anderen ab.

Der Fokus der Übung lag auf der strategischen (Entscheidungs-)Ebene sowie der Kommunikation innerhalb der Ministerien und der kritischen Infrastruktur. Daher wurden bei dieser Übung technische Problemstellungen nicht behandelt. Dementsprechend waren die CERTs nicht in Bezug auf ihre technischen Fähigkeiten gefragt, sondern in ihrer Funktion als Informationsdrehscheibe zwischen den relevanten Stellen im Sinne des NIS-Gesetzes, das damals schon in den Eckpunkten feststand. Zu dieser Funktion zählten die Rolle einer Schnittstelle zu den betroffenen, kritischen Infrastrukturen, das Bedienen internationaler Kontakte auf CERT-Ebene (v.a. über das EU CSIRTs Netzwerk), der Empfang von Meldungen sowie die Sammlung sektoraler Lagebilder inklusive deren Integration in die staatlichen Koordinationsgremien IKDOK und OpKoord.

Die Übung hob sich deutlich vom üblichen Schema der Krisenübungen ab und konnte dadurch interessante Erkenntnisse bezüglich des österreichischen Ansatzes des Cyber-Krisenmanagements (CKM) generieren.

Die Entwicklung der Übung wurde von Seiten Österreichs unterstützt, die Ausarbeitung erfolgte von Seiten der von der Europäischen Verteidigungsagentur (EDA) beauftragten "Estonian Defence League" (EDL), welche in die ASDEM integriert war und die Spielleitung stellte.

Cyber Europe und Cyber Europe Austria 2018

Alle zwei Jahre organisiert die Europäische Agentur für Netzwerk- und Informationssicherheit (ENISA) die größte pan-europäische IT-Notfall- und Krisenübung „Cyber Europe“. Im Jahr 2018 fand diese Übung bereits zum fünften Mal statt und konzentrierte sich auf ein Cyber- Bedrohungsszenario rund um den europäischen Flugsektor. Österreich beteiligt sich unter der Federführung des BKA schon seit 2010 an der Cyber Europe. Seit 2012 erfolgt dies in Form einer parallel abgehaltenen, nationalen Übung, der „Cyber Europe Austria“.

Für die Cyber Europe Austria 2018 (im Folgenden „CE.AT 2018“) wurde das von der ENISA entwickelte, internationale Rahmenszenario einer Cyberkrise im Luftfahrtsektor adaptiert und um österreichspezifische sowie die teilnehmenden Organisationen betreffende Handlungsstränge erweitert. Im Rahmen der CE.AT 2018 wurden gezielte und koordinierte Cyber-Angriffe auf öffentliche Stellen, Organisationen der zivilen Luftfahrt sowie IKT-Betreiber Österreichs simuliert. Im Rahmen dieser Simulation kam es dabei zu schwerwiegenden Störungen und Ausfällen bei diesen Organisationen sowie massiven Störungen des Flugbetriebs in Österreich.

Im Verlauf der CE.AT 2018 wurden unter anderem die folgenden Angriffsszenarien simuliert:

  • DDoS-Attacke gegen die öffentliche Infrastruktur des Flughafens Wien
  • Malwarebefall von Netzwerk-Überwachungskameras im Luftfahrtsektor
  • Manipulation von Webseiten (Defacements)
  • Spear-Phishing-Attacken auf MitarbeiterInnen verschiedener Organisationen der zivilen Luftfahrt sowie der IKT-Betreiber
  • APT-Angriffe (APT: Advanced Persistent Threat) und daraus resultierend, Verlust sensibler Daten
  • Angriffe auf Flugverkehrsmanagement-Systeme (ATM) und insbesondere auf die Software zur Verwaltung der Flugplandaten
  • Ransomware-Befall verschiedener Flughafensysteme
  • Notlandung einer Boeing 777 am Flughafen Wien
  • Störung der Kommunikation zwischen FluglotsInnen und Flugzeugen
  • Totalausfall des Mobilfunknetzes am Flughafen Wien
  • Komplikationen aufgrund von Drohnen im An- und Anflugbereich der Runways
  • Störung des Differentiellen Globalen Positionierungssystems (DGPS)

An den beiden Übungstagen (06.06. und 07.06.2018) nahmen insgesamt 12 Organisationen aus Österreich an der CE.AT 2018 teil, davon sechs aus dem öffentlichen Bereich, vier Internet-und Serviceprovider, die Österreichische Gesellschaft für Zivilluftfahrt (Austro Control) sowie der Flughafen Wien. CERT.at beteiligte sich an der Übung in zweierlei Funktion, einmal im Rahmen seiner Funktion als operativer Arm von GovCERT Austria sowie als nationales CERT.

Neben dem Tagesbetrieb eines nationalen CERTs, der während der zweitägigen Übung natürlich weiterlief, nahm CERT.at an der nationalen Übung teil und übernahm zusätzlich während dem internationalen Teil der Übung zum wiederholten Male eine zentrale Rolle im CSIRTs-Netzwerk (CNW) der EU ein. Während der internationalen Übung fungierte CERT.at als Krisenmoderator („Facilitator Role“) für alle Teams des EU CSIRTs-Netzwerk, die an der internationalen Cyber Europe mitgewirkt haben.

Die Aufgaben in dieser Rolle bestanden zum einen in der Beobachtung der über diverse Kanälen geteilten Informationen (Email, Chat-Kanäle, eigens für die Cyber Europe erstelltes „Social Media Universum“ usw.) und zum anderen in der Koordination aller notwendigen Maßnahmen (Incident Response, Forensik, etc.) zwischen den CSIRTs der 28 Mitgliedsstaaten. Die administrativen Aufgaben umfassten unter anderem die Durchführung und Moderation von Telefonkonferenzen und deren Protokollierung, die Zusammenführung von Zwischenberichten der einzelnen Teams und die Erstellung des finalen Lageberichts für die EU.

Das vorrangige Ziel der internationalen Cyber Europe ist die Verbesserung der Kooperation auf europäischer Ebene. Im Zuge dessen bot sich 2018 die Möglichkeit, Prozess- und Kooperationsmechanismen, welche sich aus der EU NIS-Richtlinie ergeben, unter den teilnehmenden Staaten im Rahmen eines Szenarios, in welchem ein internationaler, groß angelegter Cyberangriff auf die Fluginfrastruktur Europas abzielt, zu beüben.

Die Cyber Europe Austria ermöglicht es, nationale Strukturen, Kooperations- und Kommunikationsprozesse auf ihre Effektivität und Effizienz zu testen, um so Stärken und mögliche Defizite aufzuzeigen. Die Beteiligten können auf diese Weise die Vorbereitung auf einen Cyberernstfall optimieren und damit die Resilienz Österreichs erhöhen. Neben der Ausarbeitung von Handlungsempfehlungen aus den Resultaten von Cyber Übungen wie der Cyber Europe Austria, spielen die Kontinuität und das regelmäßige Überprüfen von Strukturen und Prozessen eine große Rolle, um mit den Entwicklungen von Cyberbedrohungen Schritt halten zu können und so eine nachhaltige Widerstandsfähigkeit dagegen zu erreichen. All das konnte den Teilnehmern im Rahmen der Cyber Europe Austria 2018 ermöglicht werden.


<< Vorige Nächste >>