Was passiert, wenn Hacker versuchen, die Produktion von Covid-Impfungen lahmzulegen? Bei einem Planspiel probten Behörden und Unternehmen den Ernstfall.
Der Angriff beginnt mit einer zornigen Gestalt mit Schnabelmaske. „Wir haben eure Lockdowns lange genug mitgemacht!“, sagt der Krähenschnabel. Er ist plötzlich auf dem Bildschirm erschienen, alles an ihm ist schwarz: Hut, Umhang, Maske. „Wir sind VS 38“, sagt er. VS 38 ist das Synonym einer Hackergruppe, die die Covid-Impfung bekämpfen will. „Wir stoppen das jetzt an der Quelle!“
Plötzlich geht es los: VS 38 greift acht Pharma-Unternehmen an, die Covid-Impfungen herstellen. Erst kommen Phishing-eMails, später werden Homepage und Server gekapert und Schutzgeld erpresst, irgendwann klinkt sich VS 38 in die digitale Steuerung der Kühlschränke ein und versucht, Impfdosen zu zerstören und die Produktion zu verunmöglichen.
An dieser Stelle kommt die gute Nachricht: VS 38 existiert nicht wirklich, sondern nur hier, im Wiener Raiffeisen Forum, wo das Kuratorium Sicheres Österreich (KSÖ) mit dem Austrian Institute of Technology (AIT) eine Cyber-Attacke übt.
Das Szenario ist aktuell: Acht Sub-Unternehmen eines Pharmakonzerns, dem in der Pandemie eine Schlüsselrolle zukommt, werden angegriffen und müssen sich wehren.
Ein Untergangsszenario? Mitnichten. Allein in den vergangenen zwölf Monaten wurden fast 60 Prozent aller heimischen Unternehmen Opfer von Cyberattacken. Und wenn solche Attacken Wasser-, Energie- oder Lebensmittelversorgung beeinflussen, kann schnell eine veritable Krise entstehen – man stelle sich vor, Hacker lassen in ganzen Landstrichen den Strom ausfallen.
„Wir sind als Gesellschaft insgesamt verletzlicher geworden“, sagt Helmut Leopold vom AIT. Es sind seine Experten, die in der Versuchsanordnung die „Bösen“, also VS 38, spielen.
Helmut Leopold, Leiter des des Center for Digital Safety & Security am Austrian Institute of Technology AIT (li.) und Erwin Hameseder, Präsident des Kuratorium Sicheres Österreich.
Übungsgelände
Das AIT hat eine „Cyber Range“ entwickelt, also ein virtuelles Trainingsgelände, in dem Unternehmen ihre Mitarbeiter Situationen aussetzen, die man in der Realität nicht erleben will. „Wir bauen auch die IT von Kernkraftwerken nach, um Stresstests zu machen“, so Leopold.
An acht Tischen sitzen also die acht „Pharma-Unternehmen“ bzw. deren Mitarbeiter und werden Stück für Stück vor Herausforderungen gestellt.
Mit im Raum: Echte Vertreter echter Behörden wie von Innen- und Verteidigungsministerium, die – auch wie im echten Leben – ständig Meldungen der attackierten Unternehmen bekommen und entscheiden müssen: Ist die ausgefallene Kühlkette von Firma A nur ein ärgerlicher Einzelfall – oder trifft das demnächst auch Firma B, und wird daraus eine nationale Krise?
„Im Bundesheer haben wir schon vor 30 Jahren Pandemie-Szenarien durchgespielt“, sagt Erwin Hameseder, Raiffeisen-Chef und Präsident des KSÖ. Schon damals habe sich gezeigt, dass sich die Praxis nie 1:1 an vorbereitete Krisen-Pläne halte. „Allein die Tatsache, dass man sich für eine Übung mit einem Thema auseinandersetzt, kann im Ernstfall helfen. Es geht darum, Risiken zu minimieren.“
Kommentare