Cyber- und Informationsraum

Nadeln im digitalen Heuhaufen finden – die Bundeswehr bei Cyber Phoenix 2024

Datum:: Gestern

Ort:: München

Lesedauer:: 3 MIN

Forensische Analysen gibt es nicht nur in der Gerichtsmedizin, sondern auch in der ITInformationstechnik. Nach einem Cyberangriff werden Schäden erfasst und der Weg eines Angreifers in das eigene Netzwerk nachvollzogen, bevor die Schwachstelle geschlossen und abgesichert wird. Beim Forschungsinstitut CODE in München hat die Speerspitze Cyberreserve genau das trainiert.

Ein Gruppenbild der deutschen Teilnehmenden bei Cyberreserveübung Phoenix — Im Verbund mit den niederländischen Kameradinnen und Kameraden bildet die Speerspitze die erste Verteidigungslinie bei einem Cyberangriff auf deutsche Netzwerke
Bundeswehr/Fabian Riediger-Pleqi

Auf dem Rechner öffnet sich eine Befehlszeile, die selbstständig einen Prozess startet und eine Schwachstelle installiert. Diese fungiert als Einfallstor, über die der Angreifer Zugriff auf den Rechner bekommt. Der in einem Netzwerk integrierte Rechner ist jetzt infiziert – die Schutz- und Überwachungssysteme wurden überwunden. Nun ist es an den Teilnehmenden von Cyber Phoenix 2024 herauszufinden, wie es dazu kommen konnte. Bei der diesjährigen Übung der Cyberreserve des Cyber- und Informationsraumes, der jüngsten Teilstreitkraft der Bundeswehr, wird ein sogenannter Supply-Chain-Angriff simuliert.

Was ist ein Supply-Chain-Angriff?

Wenn eine Firma A anderen Firmen ein Programm zum Verkauf anbietet und sich in dieses Programm ein Angreifer eingeschlichen hat, spricht man von einem Supply-Chain-Angriff. Mit der kompromittierten Software kann der Angreifer nun das Netzwerk von Firma B infiltrieren und angreifen. Sich im Netzwerk umzusehen und als Industriespion Informationen abzugreifen, kann dabei bereits das primäre Ziel des Angriffes sein. In Krisen und Konflikten könnte der Gegner so kritische Infrastruktur eines Staates angreifen, der die Software von Firma A nutzt. Solche Angriffe über einen Zulieferer haben in den letzten Jahren zugenommen. Was ein Problem mit einer Zulieferersoftware bereits ohne einen Angriff anrichten kann, wurde zum Beispiel durch die ITInformationstechnik-Probleme der Crowd Strike-Software im Sommer 2024 deutlich, aufgrund derer zur Hauptreisezeit tausende Flüge weltweit ausfielen und viele weitere Probleme in verschiedensten Branchen auftraten.

In den Szenarios von Cyber Phoenix 2024 wird die Incident Response, also die Maßnahmen die ein Unternehmen als Reaktion auf einen Cyberangriff vornimmt, mit erhöhtem Fokus auf die forensischen Anteile geübt: Die Teilnehmenden müssen nachvollziehen, wie der Angriff stattfand und wo sich der Angreifer im System verbirgt. Einer der Mitarbeiter des Forschungsinstituts CODE der Münchener Bundeswehr-Universität stellt klar, dass bei der Übung nicht auf eine gerichtliche Verwertbarkeit der gesammelten Informationen aus dem System geachtet werden müsse. Es reiche der Nachweis, wie die Angreifer in das Netzwerk gelangen konnten. Aufgeteilt in sechs Teams wird dieses durchsucht und die Schwachstellen aufgedeckt. Dabei wird der Weg des Eindringlings verfolgt und möglichst alle Spuren werden identifiziert, die er dabei im Netzwerk hinterlassen hat.

Spurensuche im Netzwerk

Deutsche und niederländischer Soldat Seite an Seite an ihren Computern. — Seite an Seite mit den Kameraden des Nachbarlands werden die Spuren des Cyberangriffs identifiziert
Bundeswehr/Fabian Riediger-Pleqi

Die Teilnehmenden der Übung sind Reservistendienstleistende der Bundeswehr und der niederländischen Streitkräfte, die sich jährlich in der Cyberrange von CODE treffen. Unterstützt werden sie dabei von Studierenden der Universität. Die deutschen Kräfte sind Teil der Speerspitze „Cyberreserve“, die von den ITInformationstechnik-Spezialistinnen und Spezialisten des Zentrums für Cybersicherheit der Bundeswehr weitergebildet werden und damit Verstärkungskräfte für die regulären Incident Response Kräfte der Bundeswehr sind. Die Ausbildung umfasst jährlich insgesamt vier Wochen, aufgeteilt in zwei 14-tägige Module. Den Abschluss bildet jedes Jahr die Übung Cyber Phoenix, bei der das Erlernte eine Woche lang mit Verbündeten trainiert wird.

Cyberkrieg auf Holländisch

Gemeinsam mit der deutschen Speerspitze trainieren auch Cyberreservisten der Niederlande in München den Ernstfall. Im Interview schildert ein Eerste Liutenant der Niederländischen Streitkräfte (vergleichbar einem Oberleutnant in der Bundeswehr) seine Erfahrungen bei Cyber Phoenix 2024 und erklärt auch, wie er zu seinem Posten kam.

Guten Tag, Herr Eerste Liutenant. Können Sie uns kurz etwas zu sich erzählen?

Natürlich. Ich bin 58 Jahre alt und seit viereinhalb Jahren in der Reserve. Nachdem ich vor 30 Jahren meine Wehrpflicht in den Niederlanden geleistet hatte, war ich sehr interessiert daran, wieder den Streitkräften beizutreten.

Warum sind Sie in die Cyberreserve eingetreten?

Ich interessiere mich sehr für das Themengebiet. Meine Zeit hier zu nutzen, um meine Erfahrungen zu teilen und neue sammeln zu können, ist für mich sehr ansprechend. Vor allem, wenn ich damit wieder meinem Land dienen kann.

Wie funktioniert die Reserve in den Niederlanden?

Wir treffen uns regelmäßig, um miteinander zu üben und im Austausch zu bleiben. Jeder Reservist macht nach der Bewerbung einen Cybertest und kennt sich dementsprechend gut in diesem Themenfeld aus. Aber man kann immer etwas Neues lernen.

Welchem Zweck dient die Übung Cyber Phoenix?

Cyber Phoenix dient neben dem Beüben an sich auch dazu, neue Szenarien kennenzulernen. Zudem können wir im Rahmen der Übung unsere Kenntnisse austauschen und die Zusammenarbeit untereinander wird gefördert. So findet die Übung nicht nur in starren Übungsabläufen statt, sondern auch mal bei einem abendlichen Barbeque.

Warum ist diese Art von Zusammenarbeit wichtig?

In der NATONorth Atlantic Treaty Organization ist nicht nur der Austausch von Erfahrungen wichtig. Durch die Arbeit mit unterschiedlichen Systemen und den Ansätzen verschiedener Nationen erweitert man sein eigenes Fähigkeitsspektrum.

Welche Eindrücke haben Sie nach der Zusammenarbeit mit der Bundeswehr?

Unsere Arbeitsabläufe sind sich grundsätzlich sehr ähnlich. Ein Unterschied war das Level an Realismus bei der Übung. Viele niederländische Kameraden haben sich, so wie ich, über das realistische Setting gefreut. Das ist ein wichtiger Aspekt, da wir schließlich für den Ernstfall üben, und der wird unglaublich realistisch sein. Es ist gut, dass Cyber Phoenix in diese Richtung geht.

Soldaten sitzen in einem Raum und hören einem Vortrag zu. — Neben dem praktischen Training am System gehören natürlich auch theoretische Briefings und Debriefings zum Übungsgeschehen
Bundeswehr/Fabian Riediger-Pleqi

Ein Erfolgsprojekt für die Bundeswehr

Die Fähigkeiten der Speerspitze kommen besonders dem Zentrum für Cybersicherheit der Bundeswehr zu Gute. Oberstleutnant Rolf L.* vom ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr beschreibt die Speerspitze als Erfolgsprojekt. Mit ihr könne wertvolles Personal für die Incident Response gewonnen werden, dass bei der Landes- und Bündnisverteidigung oder anderen krisenhaften Entwicklungen auf einem hohen Niveau einsetzbar sei. Die Besetzung der Dienstposten der in der Speerspitze der Cyberreserve liegt derzeit bei etwa 50 Prozent.

Das ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr plant, bis Jahresende 2025 eine 75-prozentige Besetzung der Stellen für ITInformationstechnik-Expertinnen und Experten zu erreichen. Wer ein Teil davon werden möchte, muss – neben den fachlichen Kenntnissen und einem Reservisten-Status – auch die Bereitschaft zur Teilnahme an mindestens vier Wochen Ausbildung im Jahr mitbringen.

Interessenten und Interessentinnen wenden sich an: KdoCIRCyberCommunity@bundeswehr.org

*Namen zum Schutz gekürzt.

von Luna van Balen und Fabian Riediger-Pleqi E-Mail schreiben

Messe
TSKTeilstreitkräfte CIRCyber- und Informationsraum zwischen Gamern und Publishern
- Bundeswehr und Gesellschaft
- Cyber- und Informationsraum
- 29.08.2024
- Köln
Dimension CIRCyber- und Informationsraum
Cyberübungen: Realitätsnahes Training
- Cyber-Sicherheit
- Cyber- und Informationsraum
- 21.08.2024
- Bonn
CWIXCoalition Warrior Interoperability eXploration, eXperimentation, eXamination eXercise 2024
PRADAPrognosefähigkeit: Änderung des Ausfallverhaltens für die Truppe
- Bundeswehr
- Cyber- und Informationsraum
- 13.08.2024
- Bonn
Ukraine-Krieg
Lehren aus dem Krieg
- Lage in der Ukraine
- Cyber- und Informationsraum
- 26.07.2024
- Bonn
Übung Vigilant Owl in Litauen
Mit Hightech elektromagnetische Ausstrahlungen erfassen
- Landes- und Bündnisverteidigung
- Cyber- und Informationsraum
- 23.07.2024
- Litauen
CWIXCoalition Warrior Interoperability eXploration, eXperimentation, eXamination eXercise 2024
Training für das Gefechtsfeld der Zukunft
- Multinationalität
- Cyber- und Informationsraum
- 11.07.2024
- Bydgoszcz
Information
Neue Broschüre Reservistendienst CIRCyber- und Informationsraum
- Reserve
- Cyber- und Informationsraum
- 18.06.2024
- Bonn
Grand Quadriga
Führungsunterstützung bei Grand Quadriga
- Übung
- Cyber- und Informationsraum
- 17.06.2024
- Litauen
Halbzeit für EUEuropäische Union-Projekt
Das Cyber and Information Domain Coordination Centre
- Sicherheitspolitik
- Cyber- und Informationsraum
- 14.06.2024
- Bonn

Nadeln im digitalen Heuhaufen finden – die Bundeswehr bei Cyber Phoenix 2024