Cyber-Defence Campus: Erfolgreiche Krisensimulation stärkt Cybersicherheitskompetenzen in der Schweiz
In Reaktion auf die zunehmende Komplexität der Cybersicherheit auf nationaler Ebene wurde der Cyber-Defence Campus, armasuisse W+T, mit dem Pilotprojekt «Cyber Training @ Cyber-Defence Campus» beauftragt. Das Pilotprojekt wurde im Zusammenhang mit der Nationalen Cyberstrategie (NCS) des Bundesrates ins Leben gerufen. Das Ziel ist es, verschiedene Organisationen von nationaler Bedeutung als Community zusammenzubringen und ihnen ein fundiertes Cyber-Training-Angebot zur Verfügung zu stellen. Diese Übungen richten sich primär an kantonale und Bundesbehörden, Polizeieinheiten sowie kritische Infrastrukturen und werden in enger Zusammenarbeit mit dem Bundesamt für Cybersicherheit (BACS) konzipiert. Synergien mit der Industrie und der Cyber Training Range der Schweizer Armee werden ebenfalls genutzt.
Andrea Thäler, Fachbereich Cybersicherheit und Data Science, Kompetenzbereich armasuisse Wissenschaft und Technologie
Mit dem neuen Projekt «Cyber Training @ Cyber-Defence Campus» können Schweizer Behörden kritischer Infrastrukturen ein Cyber-Training absolvieren. Dies ermöglicht ihnen, ihre eigenen Cyber-Aktivitäten zu reflektieren, potenzielle Schwachstellen zu erkennen und Möglichkeiten zu deren Schliessung zu identifizieren.
Am Donnerstag, 16. Mai 2024, fand am Cyber-Defence Campus Standort in Zürich die «Cyber-Defence Campus, Cyber Crisis Simulation» statt. An dieser ganztägigen Veranstaltung nahmen 20 Personen aus kritischen Infrastrukturen, Polizeieinheiten, kantonalen und Bundesbehörden sowie deren Dienstleister teil. Die Simulation wurde durchgehend von Mitarbeitenden des Cyber-Defence Campus sowie zwei Milizoffizieren des Kommando Cyber der Schweizer Armee unterstützt.
Die Veranstaltung begann mit einer Ansprache von Dr. Vincent Lenders, Leiter des Cyber-Defence Campus, und einer Übersicht von Cédric Aeschlimann, wissenschaftlicher Projektleiter am Cyber-Defence Campus, welcher die Ziele der Übung erläuterte. Anschliessend wurden die Teilnehmenden in vier Gruppen eingeteilt, die jeweils von den Organisatoren betreut wurden und für Fragen und Unterstützung zur Verfügung standen.
Cyber Crisis Simulation
Während der Simulation wurden die Teilnehmenden mit einem erfundenen, jedoch spezifischen Szenario konfrontiert: Die Zürich Energy Company, ein fiktives Unternehmen, das für die Energieversorgung der Stadt Zürich verantwortlich ist und sich vollständig im Besitz des Kantons und der Gemeinde befindet, musste eine Krise bewältigen. Das Unternehmen betreibt Kraftwerke, Dämme und Windparks und verwaltet auch die Stromleitungen zu den Kunden. Da es keine vorab bestehenden Krisenmanagement-Richtlinien gab, mussten die Teilnehmenden diese während der Übung entwickeln. Der Krisenstab des Unternehmens bestand aus fünf Abteilungen: Kundenbeziehungen, Stromproduktion, Netzwerkmanagement, Öffentlichkeitsarbeit und IT-Management.
In diesem fiktiven Szenario stieg im Jahr 2023 die Anzahl der gemeldeten Cybervorfälle, insbesondere betrügerische E-Mails, Phishing und Ransomware-Angriffe. Angriffe auf industrielle Kontrollsysteme und operationelle Technologien stellen die grösste Bedrohung für Energieunternehmen dar.
Die Teilnehmenden erhielten verschiedene Ereignisse, sogenannte Injects, die sie beantworten mussten. Diese Injects kamen als E-Mails an, die von fiktiven Personen innerhalb und ausserhalb der Organisation sowie von Medienschaffenden gesendet wurden. Die Teilnehmenden mussten entscheiden, auf welche Injects sie antworten, einen Kommunikationsplan erstellen und umsetzen sowie einen Kontinuitätsplan entwickeln, um die Krise zu bewältigen. Über den Verlauf der Übung mussten die Teilnehmenden folgende Lieferobjekte einreichen:
- Situationsbewertung
- Kommunikationsplan und Zusammenfassung der ergriffenen Massnahmen (zweimal am Tag)
- Geschäftskontinuitätsplan
Coaches des Cyber-Defence Campus und Hilfsmittel wie Vorlagen standen den Teilnehmenden, welche in Gruppen zusammenarbeiteten, während des Tages zur Verfügung, um Ratschläge und Unterstützung zu bieten und die Teilnehmenden zu begleiten.
Lessons Learned
Am Ende des Tages fand ein gemeinsames After Action Report und Debriefing statt. Alle Teilnehmenden kamen zusammen, um den Tag zu reflektieren und Feedback zu geben. Die Rückmeldungen waren überwiegend positiv. Viele Teilnehmende betonten, dass die Übung ihnen verdeutlicht habe, wo ihre Organisationen Lücken haben und was intern verbessert werden muss. Zudem wurde erwähnt, wie wichtig es ist, solche Situationen regelmässig zu üben.
Besonders positiv hervorgehoben wurden die Vorlagen, die während der Übung genutzt wurden, sowie die Möglichkeit, fehlendes Wissen zu identifizieren und zu verstehen, woran gearbeitet werden muss. Die Teilnehmenden lobten weiter die diverse Zusammensetzung der Arbeitsgruppen, die realistischen Szenarien und die Injects. Ausserdem wurde betont, dass Teamarbeit von grosser Bedeutung ist und es wichtig ist, zu wissen, was, wann an wen kommuniziert werden muss.
Aus der Sicht der Helfer der Milizoffiziere des Kommando Cyber der Schweizer Armeewurde das Fazit gezogen, dass eine genaue Struktur und Aufgabenteilung essenziell sind. In Krisensituationen ist es von entscheidender Bedeutung, dass keine Annahmen getroffen werden. Zudem muss sichergestellt werden, dass eine Person die Protokollierung übernimmt. Die wichtigsten Erkenntnisse aus der Übung wurden wie folgt zusammengefasst:
- Regelmässiges Üben ist unverzichtbar ("Exercise, exercise, exercise"),
- jeder in der Organisation sollte die eigenen Stärken, Schwächen und Ressourcen kennen,
- und es ist wichtig, die richtigen Personen für Unterstützung zu kennen.
Während der Übung standen den Teilnehmenden Crisis Communication Guidelines und Crisis Management Guidelines der Schweizer Armee zur Verfügung. Diese unterstützenden Materialien wurden als hilfreich empfunden. Die Crisis Communication Guidelines der Armee umfassten unter anderem klare und präzise Kommunikation während einer Krise, die Definition von Kommunikationskanälen und -wegen sowie die Zuweisung von Verantwortlichkeiten für die Kommunikation.
Der Event «Cyber-Defence Campus, Cyber Crisis Simulation» war somit ein voller Erfolg. Die Teilnehmenden konnten wertvolle Erfahrungen sammeln und erhielten wichtige Erkenntnisse darüber, wie sie ihre internen Prozesse verbessern können. Die positive Resonanz und die Lessons Learned betonen die Bedeutung solcher Übungen für die Stärkung der Cybersicherheitsfähigkeiten in Industrie und kritischen Infrastrukturen.
Ein Dank gilt insbesondere den Mitarbeitenden des BACS und der Schweizer Armee, die tatkräftig bei der Vorbereitung und Durchführung dieses Anlasses involviert waren.