Wie lässt sich Cybersicherheit üben?

Militär exerziert, führt Manöver durch, übt. In allen militärischen Dimensionen wird geübt, ob zu Lande, in der Luft, im Weltraum oder zur See. Im Cyber- und Informationsraum als eigenständige militärische Dimension gehen die Herausforderungen jedoch weiter.

Während zivile Organisationen die Cybersicherheit im Fokus haben, besteht für die Dimension CIRCyber- und Informationsraum zusätzlich der Auftrag zur Verteidigung. Die Differenzierung ist notwendig, weil für Streitkräfte zwei deutlich unterschiedliche Situationen bestehen. Der Grundbetrieb in Friedenszeiten (Cybersicherheit) entspricht im Wesentlichen den Anforderungen im zivilen Bereich. Daneben gibt es den Kernauftrag, für die Landes- und Bündnisverteidigung vorbereitet zu sein (Cyberverteidigung).

Besonderheiten der Verteidigung in der Dimension CIRCyber- und Informationsraum 

Cyberverteidigung zu trainieren, unterscheidet sich in einigen Punkten deutlich vom klassischen militärischen Manöver. Ein Grundrauschen, ständige Wachsamkeit und regelmäßige scharfe Einsätze müssen nicht extra geübt werden: Das Fachpersonal ist 24/7 an 365 Tagen im Jahr im Einsatz. Es bleibt dabei nicht bei der reinen Bedrohungslage. Die Bundeswehr – wie fast alle staatlichen Akteure – ist ein beliebtes Ziel für Cyberangriffe. Diese Angriffe zu erkennen, zu verhindern, einzugrenzen und Schäden zu minimieren, ist Tagesgeschäft des Zentrums für Cyber-Sicherheit der Bundeswehr. Somit ist ein Grundniveau an Übung und Expertise ständig vorhanden.

Herausfordernder wären groß angelegte Cyberattacken bis hin zu solchen, die man als kriegerischen Akt verstehen mag. Die Bundeswehr agiert auf solche Angriffe ähnlich wie zivile Organisationen: Mit der Entsendung eines Incident Response Teams (IRTIncident Response Team) kann flexibel und vor Ort auf die Attacke reagiert werden. Die Größe und Fähigkeiten des IRTIncident Response Team werden je nach Auftrag und Lage angepasst. Innerhalb weniger Stunden einsatzbereit sein und in eine eskalierende Lage geworfen werden – das lässt sich alles üben.

Flexibilität als Grundvoraussetzung

In der Welt der Cybersicherheit spricht man von Blue Teams, wenn es um die Defensive geht. Kein größeres ITInformationstechnik-Unternehmen kommt im 21. Jahrhundert ohne ein Blue Team aus. Das militärische Blue Team muss aber über die eigenen ITInformationstechnik-Systeme hinaus handlungsfähig bleiben. Teil eines solchen Teams kann ein militärisches IRTIncident Response Team  sein. 

Der präventive Anspruch liegt aber höher. Während im Zivilen Produktions- und Verwaltungsprozesse in der ITInformationstechnik abgebildet sind, muss die ITInformationstechnik für Streitkräfte auch das Führen und Wirken zur Auftragserfüllung sicherstellen. Somit ist die wesentliche Leistung, eine Einschränkung oder gar einen Ausfall von ITInformationstechnik-Systemen und Fähigkeiten in den Gefechtsständen durch Cyber Capability Protection Teams nur soweit zuzulassen, dass der Auftrag der Bundeswehr weiterhin erfüllt werden kann. Dafür werden die Fähigkeiten Sensorik, Schwachstellenanalyse, Penetrationstest und Netzwerküberwachung zwingend benötigt.

Bei Cyberübungen der Bundeswehr werden die Blue Teams meist gemischt eingesetzt. So wird Seite an Seite mit anderen Behörden, aber auch mit zivilen Partnern aus Wissenschaft und Wirtschaft geübt. Dies stärkt zudem das Wissen um Cybersicherheit in der Gesellschaft und fördert die Resilienz. Gleichzeitig trainieren Führungskräfte der Bundeswehr die Integration externer Fachleute. Eine Win-win-Situation, geboren aus der Absicht, möglichst realitätsnah zu trainieren.

Einsatz in fremden Systemen

Wie sich Konflikt- und Kriegsszenarien entwickeln, ist schwer vorherzusehen. Für eine Armee im Krieg ist der Schutz eines Staudamms vielleicht genauso relevant wie der der eigenen Kommunikationskanäle – das zeigte spätestens die Sprengung des Kachowka-Staudamms in der Ukraine. Nur wird der nächste Staudamm vielleicht durch eine Cyberattacke angegriffen.

Während der jährlich von der NATONorth Atlantic Treaty Organization ausgerichteten Übung zur Cyberverteidigung Locked Shields wird konsequent umgesetzt, dass fremde Systeme geschützt werden müssen. Es kommt auf Verfahren und technisches Know-how an, weniger auf Erfahrungen mit bestimmten Anlagen. 

In Übungsszenarien wird das berücksichtigt, indem Expertinnen und Experten für ein System unterstützen. Wie in der Realität auch würde sich ein Cyber Capability Protection Team dabei auf ortskundiges Personal abstützen. Um erfolgreich zu sein, müssen die Administratoren vor Ort mit den Fachleuten für Cybersicherheit schnell und effektiv zusammenarbeiten können.

Hohe Intensität für maximale Ergebnisse 

Ein wichtiger Bestandteil jeder militärischen Übung ist die erhöhte Intensität. Innerhalb kürzester Zeit muss ein Vielfaches der üblichen Attacken abgewehrt werden. Übungen wie Locked Shields oder Defence Cyber Marvel sind bewusst so angelegt, dass nicht alle Angriffe verhindert oder komplett abgewehrt werden können. Die Verteidigenden müssen priorisieren und die Folgen erfolgreicher Angriffe eindämmen.

Um diese Intensität zu erreichen, wird mit realistischen Gegnern geübt, den Red Teams, die in feindliche Systeme eindringen und dort einen Auftrag erfüllen sollen. Red Teams verfolgen ihr Ziel genauso intensiv wie in einem realen Szenario. Damit sind sie perfekte Sparringspartner. Für sie geht in einer Übung zur Cyberverteidigung primär darum, Konfigurationslücken rechtzeitig zu identifizieren und auszunutzen. Die Blue Teams dagegen sollen diese Lücken schließen, Angriffe erkennen und darauf reagieren, um das digitale Gefecht für sich zu entscheiden.

Cyber Range – der virtuelle Übungsplatz

Ein weiterer Faktor für das Katz-und-Maus-Spiel zwischen Blue und Red Teams ist eine Infrastruktur, die die Realität virtuell kopiert: Cyber Ranges ermöglichen realitätsgetreues Üben durch Virtualisierung von Systemen als potenzielle Ziele. Diese Ranges bieten Raum für Live-fire-Betrieb und ermöglichen es Teilnehmenden, remote an Übungen teilzunehmen. Innerhalb des Systems sind diese künstlichen Systeme maximal realitätsgetreu und schaffen damit einen Rahmen, den man sich wie einen virtuellen Übungsplatz vorstellen kann.

Train as you fight

Militärische Cyberverteidigungsübungen unterscheiden sich also im Detail von anderen militärischen Übungen, aber die Grundzüge sind dieselben: Train as you fight. Die Bundeswehr bereitet sich auf vielfältige Einsatzszenarien der Cyberverteidigung vor: sowohl mit der konsequenten Ausrichtung an realen Bedrohungen als auch durch externe Expertinnen und Experten sowie realistisch agierende Red Teams.

Nur so kann die Bundeswehr ihre Aufgaben in der Gegenwart meistern und in der Zukunft das verteidigen, was schützenswert ist.

von Presse- und Informationszentrum Cyber- und Informationsraum   E-Mail schreiben