Die Vielzahl an Berichten, Zeitungsartikel und Reportagen über Cybersicherheit und Cyberkriminalität (z.B. Ransomware, Phishing, DDoS, CEO Fraud) zeigt, wie vielschichtig und komplex Cybervorfälle (Incidents) mittlerweile sein können. Diese Angriffe machen sich bekannte als auch unbekannte Angriffsvektoren im Zuge hochentwickelter APT-Angriffe zu Nutze, die sowohl KMUs als auch große Betriebe betreffen. Das Auftreten eines landesweiten Cybervorfalls, bedingt durch multiple Cyberangriffe, beispielsweise auf Betreiber kritischer Infrastrukturen, und eine damit verbundene mögliche Aktivierung der im Netz- und Informationssicherheitsgesetz (NISG) vorgesehenen gesamtstaatlichen Krisenmechanismen, so auch des Cyberkrisenmanagements (CKM), scheint also nur noch eine Frage der Zeit zu sein.

Die Entwicklung von Strategien zur bestmöglichen Vorbereitung auf großflächige und langandauernde Cybervorfälle ist also wesentlich und wurde von den Projektpartnern und Bedarfsträgern des KIRAS-Projektes ACCSA entsprechend erkannt und aufgegriffen. Schließlich werden die Strukturen des CKM nicht nur in Arbeitskreisen der zuständigen Ministerien (BMI, BKA, BMLV) ausgestaltet. Sowohl die NIS-Richtlinie (NIS-RL) als auch das NIS-Gesetz (NISG) sowie die Österreichische Strategie für Cyber Sicherheit (ÖSCS) sehen insbesondere Vorbereitung durch Übungen, bei denen Szenarien mit Sicherheitsvorfällen in Echtzeit simuliert werden, und Schulungen vor. Dementsprechend existieren bereits die unterschiedlichsten Initiativen in verschiedensten Kreisen und auf verschiedensten Ebenen (z.B. KSÖ Cybersecurity Planspiel; ENISA Cyber Europe; NATO CCD CoE; Aktivitäten des Cyber-PPP, der ECSO (European Cyber Security Organisation)).

Bereits im klassischen Krisen- und Katastrophenmanagement haben sich regelmäßige Großübungen (z.B. Übung eines Chemieumfalls) als probates Mittel erwiesen um allen Beteiligten Praxis zu ermöglichen. Ein vergleichbarer Einsatz von Schulungs- und Übungskonzepten speziell für CKM mit technisch-organisatorischer Unterstützung gab es jedoch vor der Durchführung des Projekts ACCSA noch nicht. Klassische Übungen fokussieren häufig nur auf nicht-dynamische und lineare Übungsmöglichkeiten. Technische Produkte für Schulungen sind meist nur kommerziell, nur für Mitglieder gewisser Fachkreise verfügbar oder nicht öffentlich zugänglich.

ACCSA zielte darauf ab genau diese Lücke zu schließen und die Vorbereitung auf Cyberkrisen mit umfangreichen Schulungs-, Übungs- und Auswertekonzepten für alle Akteure im CKM (vgl. Abbildung 1) zu ermöglichen und dadurch Reaktionszeiten und Fehlerraten im Falle einer echten Cyberkrise zu verringern. Die CKM Konzepte, Prozesse und Methoden wurden durch die Realisierung einer CKM Toolbox unterstützt, ein System zur Software-gestützten Schulungs- und Übungsdurchführung die sich über mehrere CKM Kommunikationsebenen (z.B. Technik, Management, First Responder, Politik) erstrecken. Im Projekt wurden erstmals CKM Schulungs- und Übungskonzepte für alle relevanten Akteure erstellt sowie technisch-organisatorische Unterstützungsmaßnahmen unter Einbeziehung des Stands der Technik und vorangegangener Projektergebnisse für Übungen erarbeitet.

Die Ergebnisse aus ACCSA fließen direkt in die Weiterentwicklung von Störungs-, Notfall- und Krisenmanagement-Einsatzgrundlagen bei Organisationen und Unternehmen im Sinne von Beratungsdienstleistungen ein. Dieses Know-How ist wesentlich für kritische Infrastrukturen und Betreiber Wesentlicher Dienste gemäß NISG und NIS-VO. Das in ACCSA entwickelte Reifegradmodell als auch die CKM-Tools können auch bei der Auditierung und für Nachweise der Wirksamkeit konzeptioneller Grundlagen im Business Continuity Management und Betriebskontinuität bei Betreibern Wesentlicher Dienste eingesetzt werden. Weiters soll das in ACCSA als Teil der CKM Toolbox entwickelte KoordTool, welches im Zuge dezidierter Workshops mit den am Projekt beteiligten Bedarfsträgern in der Anwendung erprobt wurde, in weiterführenden F&E-Aktivitäten für den Realeinsatz weiterentwickelt und letztlich bei CERT.at ausgerollt werden. Das KoordTool ermöglicht die Zusammenarbeit von dislozierten CKM Experten zur gemeinsamen Lagebeurteilung im Cyber-Bereich.

Aus den Erkenntnissen des finalen Planspiels, insbesondere jedoch auf Basis der Erfahrungen aus COVID-19, wurde eine Aus- und Fortbildung zu distanten Kollaborationsmechanismen notwendig. Hier standen u.a. Verfahren der Stabsarbeit, abgestützt auf einfachen Videokonferenzsystemen, im Fokus. Parallel dazu wurden die Aspekte gerichtsfester Dokumentation bei Entscheidungen in/bei Videokonferenzen unter Nutzung qualifizierter Signaturmechanismen erwogen.

Damit wurden in ACCSA die Grundlagen für eine Vielzahl von Folgeaktivitäten und Verwertungsmöglichkeiten geschaffen, nämlich (i) die Vorbereitung, Durchführung, Auswertung von organisationsinternen CKM-Übungen auf Basis der in ACCSA entwickelten Methoden; (ii) organisationsübergreifende Übungen unter Nutzung der entwickelten Tools bis hin zum staatlichen Krisenmanagement (nicht nur in Österreich); (iii) Schulungen, Aus- und Fortbildungen der CKM-Grundlagen bei Betreibern wesentlicher Dienste; (iv) detaillierte Kompetenz- und Ausbildungsprofile für alle Akteure des CKM, welche zur Besetzung kritischer Funktionen herangezogen werden können; und (v) die Einsteuerung der Erkenntnisse zu den NIS-Audit-Kriterien.