Coordination Cell - Frau D.

Frau D. ist für das Blue Team 04 in der Coordination Cell. Sie koordiniert die Ansprechpartner für das Reporting innerhalb des Blue Teams und steht während der Übung mit diesen in engem Austausch. Aus den eingehenden Incidents erstellt sie mit ihren Kollegen das kontinuierlich anzupassende Lagebild und berichtet regelmäßig über eingetretene Sicherheitsvorfälle und Cyber-Bedrohungen an die übergeordnete Ebene der Entscheider.

Im Real Life ist Frau D. Projektmanagerin im Geschäftsbereich Digitale Forensik der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in der bayerischen Landeshauptstadt, einer Sicherheitsbehörde im Geschäftsbereich des Bundesinnenministeriums. Sie hat die Aufgabe, Bundesbehörden mit Sicherheitsaufgaben im Hinblick auf informationstechnische Fähigkeiten zu unterstützen und zu beraten. Dazu entwickelt und erforscht ZITiS Methoden und Werkzeuge in den Bereichen Telekommunikationsüberwachung, Kryptoanalyse, Digitale Forensik und Big Data und stellt diese ihren Bedarfsträgern, dem Bundeskriminalamt, dem Bundesamt für Verfassungsschutz, der Bundespolizei sowie dem Bundesnachrichtendienst, dem Bundesamt für den Militärischen Abschirmdienst und dem Zollkriminalamt zur Verfügung. Mit fünf Teilnehmerinnen und Teilnehmern ist ZITiS im Blue Team 04 der Locked Shield 2022 vertreten. Zwei am Standort Euskirchen im Forensik Team, zwei im ICS/SCADA Team und Frau D. in der Coordination Cell in München.

Die ZITiS bezeichnet sich selbst als „Die Cyber-Behörde 4.0“. Was bedeutet das?

Es bedeutet, dass wir für unsere Bedarfsträger relevante Technologieentwicklungen frühzeitig identifizieren und in diesen Themenbereichen vorausschauend forschen, entwickeln und beraten. Ein Beispiel: An Tatorten fallen immer mehr digitale Spuren aus unterschiedlichen Geräten an. Wir im Geschäftsfeld Digitale Forensik untersuchen und entwickeln Methoden und Werkzeuge diese digitalen Spuren zu sichern und aufzubereiten. Ein anderes Beispiel: Im Geschäftsfeld Telekommunikationsüberwachung (TKÜ) arbeiten wir in Standardisierungsgremien an zukünftigen Mobilfunkstandards mit, damit Strafverfolgungsbehörden und Nachrichtendienste auch in Zukunft ihrem gesetzlichen Auftrag nachkommen können, beispielsweise wenn es um die richterliche Anordnung von TKÜ-Maßnahmen geht. Grundsätzlich gilt hierbei allerdings: ZITiS selbst hat keine polizeilichen oder nachrichtendienstlichen Eingriffsbefugnisse.

Welche Fähigkeiten bringen Sie, und Sie als Vertreterin Ihrer Behörde, in das Blue Team ein?

Bei ZITiS bin ich als Projektmanagerin im Geschäftsfeld Digitale Forensik tätig. Meine Aufgaben sind die fachliche Projektleitung, die unter anderem die Projektplanung, die Identifikation von Aufgaben für das Projektteam und das Reporting an Vorgesetzte beinhaltet. Diese Aufgaben fallen auch in der Coordination Cell an: Mit unseren Ansprechpartnern für das Reporting in den verschiedenen technischen Teams haben wir abgestimmt, dass sie – gegebenenfalls in Rücksprache mit den technischen Experten – Incidents erfassen und an uns melden. Wir in der Coordination Cell führen die eingehenden Informationen mit Erkenntnissen aus dem Media und Legal Team zusammen, reichern diese an und verfassen für die übergeordnete Ebene der Entscheider einen Situation Report, der einem allgemeinen Lagebericht entspricht, sowie einen technisch ausgerichteten Cyber Threat Intelligence Report.

Was war die größte Herausforderung während der beiden Übungstage?

In der Vorbereitungswoche müssen die Teilnehmerinnen und Teilnehmer mit ihren unterschiedlichen beruflichen Hintergründen und Erfahrungswerten zusammengeführt werden, damit sich das Team findet. Das ist eine Herausforderung, aber auch sehr spannend herauszufinden, wie andere Blue Team Kolleginnen und Kollegen üblicherweise in der operativen Cyber-Abwehr vorgehen und handeln. Besonders für die Coordination Cell bedeutet das ein hoher Abstimmungsbedarf im Voraus der Übung, damit später zum Beispiel jeder ein „Key Event“ oder ein „Threat“ gleich interpretiert und weiß, wie die jeweiligen Incidents erfasst, gemeldet und – und in manchen Fällen bereichsübergreifend – abgearbeitet werden sollen.

Was hat Sie erschreckt? Was hat Ihnen Mut gemacht?

Erschreckend ist leider, dass aufgrund der gegenwärtigen Situation die Wahrscheinlichkeit für Worst-Case-Szenarien, wie wir sie in der Cyberabwehr-Übung Locked Shields trainieren, zugenommen hat. Hier macht mir Mut, dass bei der Locked Shields die Bundeswehr, Sicherheitsbehörden, Industriepartner und Forschungseinrichtungen organisationsübergreifend auf eine sehr konstruktive und kollegiale Weise an dem gemeinsamen Ziel arbeiten, Cyberangriffe erfolgreich abzuwehren.

Hierfür waren alle Teilnehmerinnen und Teilnehmer bereit, sich in den intensiven zwei Wochen überdurchschnittlich einzubringen und zum Teil bis spät in die Nacht Skripte zu schreiben und letzte Härtungsmaßnahmen durchzuführen. An dieser Stelle ein großer Dank unserem Blue Team Leader, der mit hohem persönlichen Einsatz unser Team durch diese Übung geleitet hat.

Verbesserungsvorschläge?

Dem allgemeinen Feedback habe ich entnommen, dass die Etablierung eines koordinierenden Teams wie der Coordination Cell, das Informationen zusammenführt, auswertet und diese verschiedenen Stakeholdern in unterschiedlicher Granularität und mit unterschiedlichen Schwerpunkten zur Verfügung stellt, perspektivisch erwünscht ist. Diesem Fazit schließe ich mich an.

Sollte sich ein solches Team bei zukünftigen Locked Shields etablieren, würde es sich anbieten, den Einsatz der frei wählbaren Kommunikationsplattformen wie zum Beispiel dem Ticketing-System – einige sind ja durch das CCDCOECooperative Cyber Defence Centre of Excellence vorgegeben – längerfristig zu planen. Den im Team diskutierten Vorschlag, hierzu ein Kernteam einzurichten, das unterjährig vergangene Locked Shields nach- und zukünftige Locked Shields vorbereitet, finde ich gut. Ich bin mir sicher, damit wäre zukünftig eine Platzierung unter den Top 3 möglich.

Was nehmen Sie mit in die ZITiS?

Die Teilnahme an der Locked Shields 22 war ein persönliches Highlight – meine Kolleginnen und Kollegen waren ebenfalls begeistert. Neben neuen Methoden und Tools, die wir kennen gelernt haben, haben wir verschiedene Kontakte geknüpft, mit denen wir im fachlichen Austausch bleiben möchten. Wir werden die Eindrücke nun intern nachbereiten. Unser Fazit lautet allerdings schon jetzt: wir wären im nächsten Jahr gerne wieder bei der weltgrößten Cyberabwehr-Übung dabei.

Wie empfanden Sie die Zusammenarbeit mit den Militärs des Organisationsbereichs CIRCyber- und Informationsraum?

Die Zusammenarbeit mit den Spezialistinnen und Spezialisten des Organisationsbereichs CIRCyber- und Informationsraum und die Einblicke in deren Aufgabenbereiche und Herangehensweisen war sehr spannend. Besonders toll fand ich die Aufgeschlossenheit der Soldatinnen und Soldaten gegenüber anderen Sicherheitsbehörden und Unternehmensvertretern und den kollaborativen Arbeitsansatz während der Übung. Die Arbeit der Soldatinnen und Soldaten war sehr professionell und man hat sich jederzeit gegenseitig geholfen.

von Markus  Schlenker  E-Mail schreiben