Kategorie Innovation & Technologie - 1. November 2016

Wenn eine Attacke eine Kettenreaktion auslöst

Als Worst Case wird eine Cyberattacke auf ein Energienetz angenommen. Der Schaden setzt sich in weitere, nicht minder bedeutsame Einrichtungen fort, ganze Versorgungssysteme werden lahmgelegt. Auch im eigenen Umfeld sind analoge Kettenreaktionen denkbar: Der Strom im Haus fällt aus, als Folge auch die Heizung, dann die Wasserpumpe, nun ist die Wasserversorgung unterbrochen, weitere Beeinträchtigungen folgen.

Informatiker Stefan Rass von der Uni Klagenfurt (Institut für Angewandte Informatik) zeigt mit derartigen Beispielen das weite Feld des Forschungsprojekts Cerberus – „Cross Sectoral Risk Management for Object Protection of Critical Infrastructures“ – auf. Es geht um die Erfassung kritischer Infrastrukturen und deren relevante Informationen in Bezug auf den Objektschutz. Die Uni Klagenfurt ist einer der Forschungspartner des vom Austrian Institute of Technology, AIT, koordinierten Cerberus-Projekts.

Im Fokus stehen Institutionen und Einrichtungen, die eine wichtige Bedeutung für das Gemeinwesen haben. Das reicht von der Elektrizitätswirtschaft über Telekommunikationsanbieter, Wasser- und Gesundheitssysteme bis hin zu Lebensmittelversorgern.

„Einrichtungen der kritischen Infrastruktur stehen oft in wechselseitiger Abhängigkeit zueinander“, sagt Stefan Rass. Fällt ein Bereich aus, sind andere betroffen. Es kann zu Versorgungsengpässen oder Schwierigkeiten in der Gewährleistung der öffentlichen Sicherheit kommen.

Prozesspläne für Ministerien

Das von der Forschungsgesellschaft FFG geförderte Projekt ist erst vor Kurzem angelaufen. „Die Zielsetzung“, so der Informatiker Rass, „liegt bei der Erstellung von Prozessen, die wir den betroffenen Ministerien zur Verfügung stellen.“ Das sei eine unterstützende Software, gekoppelt mit Prozessanleitungen auf der organisatorischen Managementebene. So müssten große Unternehmen mehr als nur über einen Brandschutzbeauftragten verfügen. Also eine Reihe von Ansprechpersonen, Checklisten für den Ernstfall, regelmäßige Schulungen. „Für jeden Zuständigen muss ein Stellvertreter namhaft gemacht werden, der bei einem Ausfall oder einem Angriff auf das System schon da ist.“ Es sollte also stets ein Plan B vorhanden sein. Sollte man diesen nicht sofort abrufen können, dann wird die Attacke zum Hochsicherheitsrisiko.

Es geht auch um die Kommunikation in einem Unternehmen. „Das Problem ist oft das mangelnde Bewusstsein“, so Rass. Das fängt schon beim Einzelnen in dessen privatem Bereich an. So schreiben trotz wiederholter Warnungen die Leute alles ins Internet und sehen nicht das Risiko, das sie mit der Bekanntgabe von Daten eingehen.

Manipulation von Nachrichten

Stefan Rass war bereits in das bis Dezember 2015 laufende Projekt Risikomanagement für simultane Bedrohungen eingebunden. Forschungsziel war die Entwicklung eines Systems für die Risikoanalyse der Kommunikation in oder zwischen kritischen IT-Infrastrukturen. Simultane Bedrohungen waren das Abhören, Manipulieren oder Blockieren von Nachrichten.

Rass: „Die theoretischen Ansätze waren nicht beschränkt auf den Anwendungsfall und werden derzeit in dem aktuell bestehenden EU-Projekt HyRiM im Kontext eines allgemeineren Risikomanagements weiter beforscht.“ (von Erich Witzmann, Die Presse)