INDUCE - Cyber-Sicherheitskompetenz durch Cyber-Übungen

INDUCE hat das Ziel Cybersicherheitskompetenzen und -fähigkeiten mit Cyber-Übungen für eine breite Zielgruppe zugänglich zu machen und ein Bewusstsein für die Herausforderungen der digitalen vernetzten Welt zu schaffen. Im Rahmen des Projektes werden daher existierende Cyber-Übungen (z.B. Technologien oder Cyber-Szenarien) anhand der Diversitätsdimensionen und Chancengerechtigkeit evaluiert und aufbauend darauf neu entwickelt, erweitert bzw. adaptiert. Mit INDUCE sollen langfristig Kompetenzen für die Bevölkerung in diesem Bereich aufgebaut und weiterentwickelt werden, die die Handlungsfähigkeit vielfältiger Zielgruppen in einer digitalen Gesellschaft erweitert.

 

Projektbeschreibung

AusgangssituationSicherheit und Privatsphäre sind wichtige Aspekte im Zuge der Digitalisierung und Vernetzung von Informations- und Kommunikationstechnologien (IKT). In den letzten Jahren wurden eine Vielzahl an verschiedenen Übungen und Trainingsmodelle entwickelt, die spezifisch Cybersicherheitskompetenzen und -fähigkeiten abfragen, erweitern und fördern. Zu diesen Übungen zählen unter anderem Table-Top-Übungen, die Awareness und Verständnis für die Thematik fördern oder technische Cyber-Übungen, die durch die Unterstützung von technischen Simulationen technische Fähigkeiten oder Kenntnisse im Bereich Informationssicherheit fördern. Etablierte Übungen sind derzeit bereits z.B. im Bereich der Informationssicherheit, im akademischen Bereich, in Netzwerken und Innovationshubs, in Organisationen, die bereits Cybersicherheitskompetenzen in diesem Bereich aufbauen bzw. aufgebaut haben, zu finden. Beispiele dafür sind z.B. die Austria Cyber Security Challenge oder das KSÖ Planspiel. Derzeit ist der Personenkreis, der an Übungen teilnimmt, sehr limitiert. Beispielsweise nehmen Frauen nur im einstelligen Prozentbereich an technischen Cyber-Übungen teil. Diese praxis- und Szenario-orientierten Übungen wären jedoch auch für weitere Zielgruppen wichtig, damit eine breitere und kritischere Masse an Personen und Organisationen mit den digitalen Herausforderungen umgehen lernt, versteht und lösungsorientierte Ansätze zur Vermeidung, Erkennung und Eindämmung von Cybervorfällen in der täglichen Praxis anwenden kann.

Ziele

Im Rahmen des Projektes werden vier zentrale Bausteine durchgeführt:

  • Öffnung und Erweiterung von Cyber-Übungen für neue Zielgruppen mittels Vielfaltsmanagement;
  • Entwicklung von diversitätssensiblen Cyber-Szenarien, Algorithmen und Technologien für Cyber-Übungen;
  • Aufbau und die Förderung eines Innovationsnetzwerkes für Cyber-Übungen
  • Umsetzung und Evaluierung für verschiedene Zielgruppen mit Hilfe von Future Labs.

Mit dem entwickelten Ansatz in INDUCE können langfristig Cybersicherheitskompetenzen für die Bevölkerung aufgebaut und weiterentwickelt werden, die im Zuge der Digitalisierung zur Handlungsfähigkeit vielfältiger Zielgruppen in einer digitalen Gesellschaft beitragen.

Ergebnisse/Nutzen/Innovation

Die vorläufigen Projektergebnisse (Stand Jänner 2024) beinhalten eine Projektzielgruppendefinition für die einzelnen Projektpartner*innen, sowie eine Literaturrecherche zur Ermittlung des wissenschaftlichen Status Quo in der Analyse von Cyberübungen sowie zur Identifikation von Analysekategorien. Es wurden auch Sensibilisierungsworkshops zum Thema Zielgruppenansprache, ergänzt mit einem Überblick zu diversitätssensiblen didaktischen Ansätzen mit dem Projektteam, durchgeführt. Des Weiteren wurden sechs unterschiedliche (Cyber-)Übungsmodelle mit jeweils unterschiedlichen Zielgruppen evaluiert und mit der Erstellung von allgemeinen Handlungsempfehlungen für die diversitätssensible Gestaltung, Erweiterung und Adaption von Cyber-Übungen für Organisator*innen und Entwickler*innen inkl. konkreter Handlungsempfehlungen für unterschiedliche Übungskonzepte und Zielgruppen begonnen.

Eine Awareness-Kampagne für Ein-Personen-Unternehmen (EPU) und Klein und Mittelbetriebe (KMU) in Kooperation mit der Wirtschaftskammer Wien (2023) wurde gestartet. Diese „Cybersecurity-Tipps“ beinhalteten 30 Newsletter-Kurzbeiträge (Cybersecurity-Tipps - WKO) mit einem abschließendem Selbst-Wissenstest und eine Feedback-Umfrage. Des Weiteren wurde ein Katalog für Cyber-Übungen erstellt, der über die INDUCE Webseite einzusehen ist. 

Abgesehen von der Entwicklung von Cyber-Security-Übungen von leicht verständlichen Incident Response Plänen kam es auch zu der Entwicklung eines individualisierbaren Cyber-Security -Incident Response Plans in Form von 2h Webinaren (iterativ getestet). Es wurden Intro-Videos für verschiedene Branchen und Zielgruppen als Teaser für Incident Response Plan Entwicklung produziert. Parallel zur Erstellung des Incident Response Planes auf Papier (Excel-Sheets) wurde auch begonnen eine Handy-APP zu designen, die individualisierbare Inhalte aufbereitet und die nicht über einen offiziellen APP-Store (Google/iOS) vertrieben werden kann inkl. einer Windows Version.

Neben den erfolgreichen Durchführungen der strategischen Mentimeter-Übung, wurden „Mini-Szenarien“ entwickelt. Diese werden auf einer technischen Infrastruktur geübt und sollen jeweils niederschwellig ein Sicherheitsthema übermitteln (z.B. Umgang mit Passwörtern, Phishing, Backups, etc.). Das Ziel dieser Mini-Szenarien ist, dass trotz wenig Vorkenntnisse im Umgang mit Cybersicherheit durch Beispiele und Hands-on-Übungen Bewusstsein für Gefahren übermittelt wird. Die Arbeit an diesen Mini-Szenarien wird im dritten Projektjahr fortgesetzt.

Auch die Netzwerkarbeit kam nicht zu kurz. Der Aufbau eines Innovationsnetzwerks, das Vereine, Forschung, Wirtschaft (EPU/KMU und WKO), sowie Behörden beinhaltet, wurde begonnen. Zudem wurde das Projekt zwecks Erhöhung der Projektbekanntheit INDUCE (onlinesicherheit.gv.at) im IKT-Sicherheitsportal vorgestellt. Eine Machbarkeitsanalyse bezüglich einer erneuten Teilnahme von Gesellschaftsvertreter/innen am KSÖ-Planspiel 2023 und Erarbeitung einer passenden Projekt-Nachhaltigkeitsstrategie wird noch erstellt. Zusätzlich kam es zu einer Erweiterung des Cyber Security Portfolios durch Vertreter*innen von Interessenvertretungen, die i.d.R in den Organisationen nur wenige Mitarbeiter*innen beschäftigen: Apothekerkammer, Pharmazeutische Kassen, Steuerberater*innen, Architekt*innen / Agenturen. 

 

Eckdaten

Programm/Ausschreibung

Laura Bassi 4.0 – 2. Ausschreibung

Projektlaufzeit (von bis)

1. April 2021 bis 31. August 2024 (nach Verlängerung)

Projektpartner*innen

  • AIT Austrian Institute of Technology (Leadpartner)
  • Kuratorium Sicheres Österreich (KSÖ)
  • Cyber Security Austria - Verein zur Förderung der digitalen Sicherheit, abgekürzt: CSA
  • Infraprotect Gesellschaft für Risikoanalyse, Notfall- und Krisenmanagement GmbH
  • FH OÖ Forschungs & Entwicklungs GmbH

Kontakt

DI Petra Kölndorfer
petra.koelndorfer@ait.ac.at
https://induce.ait.ac.at/