Nationale Cyber-Übungen – Anforderungen und Metriken

Master Studiengang Information Security

Christoph Elshuber, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Cyber-Angriffe und andere Cyber-Bedrohungen können von einer kurzen Betriebsunterbrechung bis hin zu einem flächendeckenden Ausfall von kritischen Diensten mit potenziell verheerenden Auswirkungen führen.

Auf nationaler und staatlicher Ebene wurden daher Anstrengungen unternommen, um das Bewusstsein für Cyber-Sicherheit sowie die Reaktion und Koordination auf Cyber-Vorfälle zu verbessern. Eine erste gesetzliche Grundlage wurde erstmalig in Österreich im Dezember 2018 mit dem Netz- und Informationssystemsicherheitsgesetz (NIS-G) geschaffen.

Nachdem diese im NIS-G definierten Anforderungen in den Unternehmen etabliert wurden, gilt es als nächsten Schritt, diese Thematik ständig und möglichst realitätsnah zu beüben.

Dafür bieten sich Cyber-Übungen an, welche eine Vielzahl an Akteuren aus verschiedenen gesamtstaatlichen Bereichen einbeziehen können wie private Unternehmen, Ministerien und Betreiber wesentlicher Dienste.

Übungen – seien es groß angelegte Simulationen oder einfache diskussionsbasierte Übungen – sind unverzichtbare, vielseitige Werkzeuge für die Situationswahrnehmung und die Vorbereitung auf Vorfälle, die für eine effektive Cyber-Sicherheit und Cyber-Abwehr von entscheidender Bedeutung sind.

Ziel

Das Ziel der Diplomarbeit ist es, Anforderungen und Metriken an nationale Cyber-Übungen zu identifizieren. Diese in der Arbeit gewonnenen Erkenntnisse sollen eine Grundlage für zukünftige nationale Cyber-Übungen bieten.

Um die Forschungsfragen zu beantworten, wird anfänglich der State-of-the-Art im Bereich der Cyber-Übungen erforscht. Nachdem der Technikstand erfasst ist, wird mit Hilfe von Experteninterviews ein nationaler Bezug hergestellt. Als sozialwissenschaftliche Erhebungsmethode wird dabei das Leitfadeninterview mit Fachleuten gewählt, die im Zuge ihrer Tätigkeiten und Positionen Erfahrungen bei nationalen und internationalen Cyber-Übungen sammeln konnten.

Ergebnis

Im Zuge der State-of-the-Art-Erfassung und den durchgeführten Experteninterviews ließen sich 16 Anforderungen ableiten, die für nationale Cyber-Übungen von Relevanz sein können. Anhand der durchgeführten Interviews zeigte sich, dass die Thematik im gesamtstaatlichen Umfeld präsent ist und daher weiterführende Forschung auf diesem Gebiet betrieben werden sollte, um die gesamtstaatliche Cyber-Resilienz fortlaufend zu erhöhen.