Für Franz Regul, bis vor rund einem Jahr Chief Information Security Officer der Olympischen und Paralympischen Spiele Paris 2024, war die Absicherung der Spiele ein Vorhaben ohne Vorlage. Sportveranstaltungen seien dem Cyberrisiko normalerweise nicht in dem Maß ausgesetzt wie die Olympischen Spiele, erklärt er im Interview mit Dark Reading. Ein Handbuch dafür, wie man ein solches Ereignis absichert, existiere nicht. Sein Team habe sich auf Erfahrung, internationale Gespräche mit dem Internationalen Olympischen Komitee und begrenzten Austausch mit dem Team der vorangegangenen Spiele in Tokio gestützt und vieles im Verlauf gelernt.

Die technische Grundlage war umfangreich: mehr als 200 Anwendungen und über 10.000 Arbeitsplätze, dazu Sportstätten, die Regul als “Computer mit Menschen darin” beschreibt. Oberste Priorität sei die Widerstandsfähigkeit gewesen – die Spiele sollten reibungslos ablaufen. Geschützt werden mussten kritische Systeme wie das Active Directory, der IT-Kernnetzbetrieb sowie Zeitmessung, Ergebnisermittlung und Netzwerke. Zugleich galt es, das Organisationskomitee während der viereinhalbjährigen Vorbereitung vor einer Kompromittierung zu bewahren.

Einen Schwerpunkt legte Regul auf Zusammenarbeit. Innerhalb des Komitees, das sich Jahr für Jahr personell verdoppelte, sei der Aufbau einer Sicherheitskultur schwierig gewesen. Nach außen mussten Behörden, Partner, Sponsoren, Zulieferer und Infrastrukturbetreiber, die in Sicherheitsfragen sonst getrennt arbeiten, an einen Tisch gebracht werden – eine “Cyber-Solidarität”. Konkret verband sein Team rund 25 Organisationen, die während der Spiele und in den Wochen davor nahezu in Echtzeit Informationen über Vorgänge in ihren Systemen austauschten. Erkannte etwa eine Organisation eine Phishing-Mail, konnten die ermittelten Kompromittierungsindikatoren mit der gesamten Gemeinschaft geteilt werden, sodass andere über ihre EDR- und Erkennungssysteme geschützt waren.

In der Vorbereitung untersuchte das Team frühere Spiele, insbesondere den Fall PyeongChang 2018, und analysierte spezifische Szenarien. Dazu zählten Anzeige- und Tonsysteme in Sportstätten, die bei einer Übernahme durch Angreifer großen Schaden anrichten könnten, sowie die Frage, wie temporäre und bestehende Veranstaltungsorte mit eigenen Betreibern abzusichern seien. Regul verweist auch auf die nationale Dimension: Selbst ein gestörter Zugverkehr hätte die Spiele massiv beeinträchtigt, obwohl er außerhalb seiner Zuständigkeit lag.

Neben der technischen Resilienz nennt Regul den Schutz von Menschen und Reputation. Zu überwachen seien Desinformation in sozialen Medien, der Schutz personenbezogener Daten der Athleten und vor allem betrügerische Ticketverkaufsseiten – dem Volumen nach die größte Bedrohung, die Besuchern hunderte oder tausende Euro abnehmen wollte. Man müsse daher nicht nur die eigenen Systeme schützen, sondern das Internet nach allem absuchen, was die eigene Marke gefährden könnte.

Die Eröffnungszeremonie sei dabei der “Ground Zero” gewesen. Es gehe nicht um die Frage, ob, sondern wann man angegriffen werde – und bei Olympia wisse man das ziemlich genau. Eine Störung der meistgesehenen Veranstaltung der Welt wäre für Angreifer ein großer Erfolg, weshalb das Team in diesem Moment auf höchster Stufe arbeitete. Doch auch über die mehr als zwei Wochen hinweg habe man durchgehend wachsam bleiben müssen.

Als bleibende Lehre nennt Regul, dass Cybersicherheit vor Technik und Prozessen vor allem eine Frage der Menschen sei. Entscheidend sei nicht nur, die besten Einzelexperten zu haben, sondern ein Team, das füreinander einsteht. Diese Haltung präge auch seine heutige Arbeit bei BPI France.