CRISCROSS

Crisismanagment/RISkanalysis - CROSSover system

Programm / Ausschreibung KIRAS, Kooperative F&E-Projekte, KIRAS Kooperative F&E-Projekte 2016 Status abgeschlossen
Projektstart 01.10.2017 Projektende 31.03.2019
Zeitraum 2017 - 2019 Projektlaufzeit 18 Monate
Keywords

Projektbeschreibung

Zur Erstellung eines gesamtstaatlichen Risiko-Lagebilds muss Wissen über Systeme, ihre Bedrohungen, ihre Verwundbarkeiten und bereits erfolgte Angriffe auf diese Systeme aggre-giert werden. Die Grundlagen für die wissenschaftliche Erarbeitung dieses gesamtstaatlichen Lagebildprozesses wurden im KIRAS-Projekt STRATFÜSYS gelegt und durch das KIRAS-Projekt GeRiAn „Gesamtstaatliche Risikoanalyse“ fortgesetzt. Dabei wurde gezeigt, dass die Schaffung von gesamtstaatlichen Risiko- und Bedrohungsanalysen (ein „Risikoanalysesys-tem“) eine unverzichtbare Ergänzung des bisherigen sicherheitspolitischen Lagebildes und somit aus gesamtstaatlicher Sicht sicherheitspolitisch notwendig ist. Aufgabe dieses notwen-digen Risikoanalysesystems ist es, dem Führungs- und Managementsystem Risikobeurtei-lungen als Grundlage für strategische Entscheidungen zu liefern.
Zur Erstellung einer gesamtstaatlichen Risiko- und Bedrohungsanalyse bedarf es einer ko-operativen Vorgangsweise unter Einbindung einer Vielzahl von Quellen, um ExpertInnen aus dem Bereich der Verwaltung, der Wirtschaft und der Wissenschaft in den Analyseprozess einzubinden und Informationen aus bestehenden technischen Cyber-Lagebildern aufnehmen zu können. Diese Quellen liefern jene Indikatoren, die sowohl eine kurz- als auch eine lang-fristige Risiko-, Bedrohungs- und Trendanalyse ermöglichen sollen. Insbesondere die Harmo-nisierung der Indikatoren ist bei einer solchen Quellenvielfalt eine wesentliche Aufgabe; die verfügbaren Daten müssen entsprechend aufbereitet werden, um ihre Lesbarkeit für mittlere und höhere Führungsebenen sicherstellen zu können.
Dazu soll im Rahmen des empfohlenen Projektes ein kennzahlenbasiertes Tool entwickelt werden, das einerseits die österreichische (Cyber-)Risikolandschaft in einer Scorecard abbil-det und das andererseits eine laufende Sammlung, Aufbereitung und Harmonisierung von Informationen, eine Bewertung der Risikolandschaft und eine Auswertung der Risiken und Bedrohungen für politische Entscheidungsträger ermöglicht – als strategisches Planungs-werkzeug und Ad-hoc-Informationssystem zur Unterstützung von Entscheidungsprozessen. Wesentlich für den Erfolg des Tools ist die Schaffung der Schnittstellen (sowohl für den Da-tenimport als auch für den Export der Ergebnisse) wodurch Risikobewertungen und Verände-rungen in der Risikolandschaft so rasch als möglich in vorhandene Lagebildanalysen auf mehreren Planungsebenen aufgenommen werden können.
Durch die Einbindung von Bedarfsträgern und einschlägige Workshops wird ermöglicht, dass dieses Tool für ExpertInnen, Entscheidungsträge und Krisenstäbe zu einem laufenden Beglei-ter bei Entscheidungsprozessen wird, so dass im Krisenfall schnell und effizient erforderliche Entscheidungen getroffen werden können.

Abstract

To depict cyber-situations accurately, knowledge about systems, the threats posed to them, their vulnerabilities and already occurred attacks against these systems has to be accumulat-ed in a nation-wide situation-overview. The basis for the scientific development of this nation-wide situation-overview has been laid by the KIRAS-project „STRATFÜSYS“ and was further developed by the KIRAS-project GeRiAn „Gesamtsaatliche Risiko- und Bedrohungsanalyse“. In these projects, it was demonstrated that the creation of a nation-wide risks- and threats-analysis (a „system of risks“) would be an indispensable supplement of the current security-political situation. It is the task of this system for risk-analysis to provide leadership- and man-agement systems with risks-evaluation as a basis for strategic decisions.

To undertake a state-wide risk- and threat-analysis, cooperation and a wide range of sources is required in order to integrate experts from administration, economics and science into the analysis process and obtain information from already existing technical cyber-situational overviews. These sources provide the indicators which are supposed to enable short- and long-term risk-, threat- and trend analysis. Especially the harmonisation of indicators is a cru-cial task due to the variety of sources; available data has to be edited to guarantee legibility in middle and higher management.

Therefore, within the recommended project, a tool based on key figures will be developed, which on the one hand depicts risks in a scorecard and, on the other hand, enables for politi-cians a continuous collection, edition and harmonisation of information, an evaluation of risks and threats – as a strategic planning-tool and ad-hoc-information-system to support decision making. It is crucial for the success of the tool to create interfaces (for the import and export of data) so that risk-evaluation and changes to risks can be incorporated as soon as possible into already existing analysis-systems on various layers of decision-planning and -making.

Through an exemplary training-concept, which will be conceived in the recommended pro-ject, this tool will become a companion for experts, decision makers and crisis management so that in the event of crisis rapid and efficient decisions can be taken.