Wenn sich Privatpersonen einen Computervirus einfangen oder zum Opfer einer Ransomware werden, ist das für die Betroffenen bitter, der gesamtgesellschaftliche Schaden bleibt aber überschaubar. Ganz anders hingegen, wenn cyberkriminelle Attacken die IT eines Energieversorgers lahmlegen, ein Krankenhaus oder den Tower eines Flughafens. Dann können rasch enorme finanzielle Schäden entstehen und sogar Menschenleben auf dem Spiel stehen.

Mit der IT-Sicherheit von kritischen Infrastrukturen beschäftigt sich das Forschungsprojekt Sichere Simulationstechnologien für cyber-physische Systeme (SHIFT), das mit Jahresbeginn startete und bis Ende 2023 laufen wird. Ziel ist die Entwicklung von Trainings- und Ausbildungsprogrammen für die Mitarbeiter der potenziell von Cyberkriminalität betroffenen Organisationen. Die Projektleitung liegt beim Austrian Institute of Technology (AIT). Weitere Partner sind die Universität Wien, das Verteidigungsministerium, die Grazer Firma Igaspin, Verbund, Linz Netz, Austrian Energy Cert und die Donau-Universität Krems.

Simulierte Probleme
Kernelement des Ausbildungskonzepts von SHIFT ist eine sogenannte Cyber-Range. Darunter versteht man einen mit Monitoren und Computertechnik ausgestatteten Raum, in dem alle denkbaren Szenarien von IT-Problemen unter realitätsnahen Bedingungen simuliert werden können. Derzeit gibt es in Österreich nur zwei Cyber-Ranges. Eine davon betreibt das AIT an seinem Standort in Wien Floridsdorf.

Die Teilnehmer solcher Simulationen können sich in geschützter Umgebung auf Ernstfälle vorbereiten und ihre Reaktionen darauf optimieren. Dabei beschränken sich die Projektpartner vorerst auf zwei Typen kritischer Angriffsziele: zum einen Industriesteuerungen, wie sie beispielsweise in Kraftwerken oder Anlagen der Energieverteilung zum Einsatz kommen. Und zum anderen GPS-basierte Navigationssysteme, die in der Luftfahrt für zuverlässige Orientierung sorgen. Die damit verbundenen Bedrohungsszenarien reichen von maschinennahen Vorfällen wie dem Ausfall einer Pumpe bis hin zu elaborierteren Geschehnissen, etwa wenn Logfiles fehlen oder Daten manipuliert wurden.

Bevor man Hackerangriffe simulieren kann, muss erst einmal eine Bestandsaufnahme an realen Bedrohungen erstellt werden. Ausgangspunkt des Projekts ist deshalb eine wissenschaftliche Aufarbeitung potenzieller Angriffsszenarien. Dafür zeichnet ein dreiköpfiges Team der Donau-Universität Krems verantwortlich. "Es gibt zahlreiche theoretisch mögliche Angriffsvektoren", sagt Thomas Lampoltshammer, Assistenzprofessor an der Donau-Uni. "Wir wollen uns ansehen, welche davon in Österreich tatsächlich prioritär bedrohlich sind."

Bewusstsein schärfen
Der nächste Schritt ist dann die programmiertechnische Umsetzung dieser Angriffstypen in konkrete Simulationen in der Cyber-Range. Je nachdem, auf welcher Ebene einer Infrastruktur der simulierte Angriff erfolgt, variiert auch die Zielgruppe. Manche Szenarien adressieren das Maschinenpersonal, manche die übergeordnete Kontrollebene, manche das höhere Management. Zwar wird man beim Auftreten von Cyberattacken wohl meist sofort die hauseigene IT-Abteilung informieren.

Dennoch gilt es auf jeder Ebene, das Bewusstsein für Gefahren zu schärfen. "Als Erstes muss man lernen, einen Angriff als solchen zu erkennen und ihn zum Beispiel von normalen Betriebsstörungen zu unterscheiden", meint Lampoltshammer. "Viele Angriffe haben eine Vorgeschichte. Oft sind Angreifer schon lange im System und arbeiten sich sukzessive an ihr eigentliches Ziel heran, ehe sie zuschlagen. Wenn man weiß, was möglich ist, kann man trainieren, darauf zu achten."

Ein besonderes Anliegen ist den akademischen Projektpartnern der Open-Source-Gedanke. "Wir wollen möglichst viel Entwicklungen als Open-Source-Software bereitstellen", sagt Lampoltshammer. "Diese kann dann von Interessierten verwendet und angepasst werden, das schafft einen Mehrwert auf europäischer und globaler Ebene." SHIFT findet im Rahmen von KIRAS statt, einem Förderprogramm für Sicherheitsforschung, das im Auftrag des Landwirtschaftsministeriums von der österreichischen Forschungsförderungsgesellschaft (FFG) abgewickelt wird. Das Budget beträgt rund 800.000 Euro.
(Raimund Lang, 22.2.2022)

derStandard.at
https://www.derstandard.at/story/2000133387147/trockentraining-fuer-cyberattacken