Cyber Attack Decision and Support Platform – Technische Machbarkeitsstudie und Validierung
In den letzten Jahren haben großflächige Cyber Angriffe rapide zugenommen. Diese Angriffe machen sich sowohl bekannte Angriffsvektoren, wie z.B. DDoS Angriffe, als auch bisher unbekannte Sicherheitslücken im Zuge hochentwickelter APT-Angriffe zu Nutze. Angriffsziele sind nicht nur Betriebe und Privatpersonen, sondern mittlerweile auch staatliche Einrichtungen. Das BMLV ist hierbei aufgrund seiner Rolle in der Landesverteidigung ein besonders „prestige-trächtiges“ Ziel für unterschiedlichste Angreifergruppen. Daher ist das Bundesheer bestrebt seine Infrastrukturen bestmöglich zu schützen, um die Hoheit über seine unternehmenskritische Information zu bewahren und einen wesentlicher Beitrag für die gesamtstaatliche Sicherheit im Bereich Cyber Defence zu leisten. Das Auftreten eines massiven Cyber-Vorfalls, bedingt durch einen Cyber-Angriff, massiver Fehlkonfiguration oder überaus ungünstigen Ausfalls wesentlicher Dienste, ist nur eine Frage der Zeit. Vorbereitende Maßnahmen sind daher dringend notwendig, um im Fall des Falles angemessen zu reagieren, und (i) einen Vorfall rechtzeitig aufdecken zu können (Monitoring, Sensorik), (ii) Zusammenhänge zu erkennen und die richtigen Schlüsse zu ziehen (Datenanalyse), (iii) die relevanten Akteure zielgruppenspezifisch mit Informationen zu versorgen (Informationsverteilung), (iv) die aktuelle Lage hinreichend akkurat einzuschätzen (Lagebilddarstellung), (v) und die richtigen Gegenmaßnahmen einzuleiten (Cyber Incident Response).
Während für privatwirtschaftlich geführte Unternehmen diverse effiziente Lösungen im SOC-Bereich existieren, sind diese allerdings auf das BMLV nicht unmittelbar voll anwendbar. Einerseits ist dessen Struktur fundamental anders aufgebaut, andererseits die Zielsetzungen diametral zur Industrie. Während private Unternehmen grundsätzlich unter Kostendruck eine Gewinnmaximierung anstreben, stehen beim BMLV mit seinen besonders sensiblen Daten (bis zur Klassifizierung „streng geheim“) höhere Schutzziele im Vordergrund. Das heißt aber auch, dass Risiken gelindert werden müssen, welche unter rein ökonomischen Aspekten akzeptiert werden würden. Folglich müssen daher auch Monitoring und Cyber Incident Response im BMLV anders aufgestellt werden, bzw. folgen wesentlich härteren Anforderungen, als in der Privatwirtschaft. Dies führt zu dem Umstand, dass existierende Lösungen nur in adaptierter Form verwendet werden können, bzw. überhaupt erst neue Konzepte, Methoden und Lösungen für Cyber Incident Response im militärischen Umfeld erarbeitet werden müssen.
Das Ziel von CADSP war die wissenschaftlich-fundierte Konzeption und prototypische Evaluierung einer Cyber Attack Decision and Support Plattform (CADSP) für ausgewählte BMLV (Bundesministerium für Landesverteidigung) Anwendungsfälle und definierte Prozesse für Cyber Incident Responses speziell im militärischen Umfeld. Dabei untersuchte CADSP welche Datenquellen im zwei exemplarischen Anwendungsfällen verfügbar waren, um hinreichend akkurate Informationen zur Lageeinschätzung in Bezug auf den aktuellen Sicherheitsstatus der eigenen Infrastruktur und stattfindender Cyber-Angriffe zu ermöglichen. Darauf aufbauend wurde eine passende Benutzeroberfläche und Lagebildvisualisierung generiert, die den Cyber Incident Response Prozess optimal unterstützen soll. Im Speziellen können User Interface je nach Bedarf nach dem Need-to-know-Prinzip für einzelne Stakeholder angepasst werden. Somit ist es möglich, eine Lagebildvisualisierung für unterschiedliche Zielgruppen und in einer Vielzahl von Anwendungsfällen und Einsatzzwecke mit ausgewählten Informationen zu erzielen. Die Entwicklung des Prototyps/Demonstrators erfolgte dabei in enger Abstimmung mit dem Bedarfsträger mit agilen Entwicklungsmethoden. Prototypen/Demonstratoren wurden sobald verfügbar dem Bedarfsträger für Feedback zur Verfügung gestellt bzw. in regelmäßigen Abstimmungsmeetings diskutiert und anschließend für die Einsatzzwecke verfeinert.
Das bei diesem Forschungsprojekt gewonnene Wissen unterstützt das BMLV/OEBH beim Fähigkeitserhalt der Kontrolle über den eigenen Cyber-Raum / Informations-Raum. Die Vielzahl an unterschiedlichen Ereignissen im Cyber-Raum, welche sich direkt oder indirekt auf die Informationssicherheit des BMLV/OEBH in der eigenen IKT-Infrastruktur auswirken, ist enorm. Um sich darüber ein repräsentatives Bild machen zu können war es unbedingt notwendig so viele Schritte im Prozess der Informationsgewinnung und -weitergabe zu automatisieren wie möglich.
Die Aufgaben des Militärischen Cyberlagezentrums, die BMLV/OEBH interne Cybersicherheitslage (cybersicherheitsrelevante Information) zu erheben und entsprechend ebengerechte Reports für das taktische, operative (und strategische) militärische Entscheiden zu jeder beliebigen Zeit, in der gewünschten Form und an jedem benötigten Ort zur Verfügung zu stellen, wurde durch das Forschungsprojekt CADSP maßgeblich unterstützt. Die Erkenntnisse flossen in weiterer Folge bei der Digitalisierung der Prozesse des Militärischen Cyberlagezentrums mit ein. Diese Entwicklung der Automatisierung verlief und verläuft parallel zu den unterstützenden Forschungsprojekten, um möglichst optimal Synergien nutzen zu können.
Zusammenfassend kann gesagt werden, dass ohne dieses bzw. andere Forschungsprojekte alleine mit BMLV/OEBH-eigenen Ressourcen kein so effektives und effizientes Umsetzen beim Fähigkeitsaufbau und –erhalt des Militärischen Cyberlagezentrums möglich wäre. Dies ist insbesondere auch dem Fakt geschuldet, dass es in diesem Bereich auch noch keine militärisch sinnvoll einsetzbaren kommerziellen Lösungen gibt und somit die Forschung, als Unterstützung in diesem Bereich, für das BMLV/OEBH am zielführendsten war.
- Partner: AIT Austrian Institute of Technology (Koordinator), Frequentis AG, Bundesministerium für Landesverteidigung
- Projektlaufzeit: 11/2019 – 04/2022
- Förderprogramm: FFG FORTE Ausschreibung 2018