Referenz-Projekte

Regionaler IAEA-Schulungskurs über Computersicherheit für Instrumentierungs- und Kontrollsysteme für kerntechnische Anlagen

Im Rahmen der laufenden Zusammenarbeit zwischen der Internationalen Atomenergiebehörde (IAEA) und dem AIT als ernanntes IAEA-Kollaborationszentrum für Informations- und Computersicherheit für nukleare Sicherheit veranstaltet letzteres jährlich einen einwöchigen Schulungskurs in seinen Schulungsräumen in Wien. Der Kurs konzentriert sich auf die Cybersicherheit industrieller Kontrollsysteme, die in kerntechnischen Anlagen und solchen, die mit radioaktivem Material in Verbindung stehen, wie z.B. Krankenhäuser und Forschungseinrichtungen, zu finden sind. In dem Kurs werden mehrere Themen behandelt, darunter die Analyse von Sicherheitsanforderungen, defensive Computersicherheitsarchitekturen (d.h. Verteidigung in der Tiefe) und technisches Schwachstellenmanagement.

Der Kurs hat eine starke praktische Komponente. Die Teilnehmer führen Übungen an repräsentativen Geräten durch, die in kerntechnischen Anlagen zu finden sind, wie z.B. speicherprogrammierbare Steuerungen (PLCs) und Zugangskontrollsysteme. Darüber hinaus führt AIT einen technischen Vertrag mit der IAEA durch, um mehrere praktische Übungen zu entwickeln, die die AIT Cyber Range nutzen, damit die Teilnehmer aus der Ferne Übungen an repräsentativen virtualisierten Systemen durchführen können.

Cyber Range, Cyber Security Training-Raum

Die KSÖ Cybersicherheitsübungen 2017 und 2021

Bei zwei Gelegenheiten war das AIT der technische Durchführungspartner für eine nationale Cybersicherheitsübung, die vom Kompetenzzentrum Sicheres Österreich (KSÖ) organisiert wurde. Diese technischen Übungen nutzten die AIT Cyber Range und zielten darauf ab, die Zusammenarbeit zwischen Betreibern kritischer Infrastrukturen und nationalen Behörden in Österreich, wie dem nationalen CERT und den verschiedenen Ministerien, die Verpflichtungen in Bezug auf die nationale Cybersicherheit haben, zu unterstützen. Das 2017 durchgeführte Szenario bezog sich auf Cyber-Angriffe auf ein elektrisches Energieverteilungssystem, während sich das Szenario 2021 auf den pharmazeutischen Sektor (im Zusammenhang mit der Covid-19-Pandemie) konzentrierte. In beiden Fällen wurden repräsentative Systeme entwickelt und auf der AIT Cyber Range eingesetzt, nämlich die Infrastruktur eines Verteilernetzbetreibers (DSO) und ein Kühlsystem für Impfstoffe.

Die Übung wurde von acht Teams durchgeführt, die die Rolle eines CSIRT-Teams in einer fiktiven Organisation spielten, mit Verpflichtungen sowohl gegenüber ihrer Organisation als auch gegenüber nationalen Behörden, wie z.B. der Allgemeinen Datenschutzverordnung (GDPR) und der Richtlinie für Netzwerk- und Informationssicherheit (NIS). An beiden Veranstaltungen nahmen bis zu 100 Personen teil. Darüber hinaus wurde diese Schulung als erste länderübergreifende Cybersicherheitssimulationsübung organisiert, bei der die Abwehr von Cyberangriffen in hybrider Form von Teilnehmern aus Österreich, Deutschland und der Schweiz (DACH-Region) realistisch simuliert wurde.