Forensische Analysen gibt es nicht nur in der Gerichtsmedizin, sondern auch in der ITInformationstechnik. Nach einem Cyberangriff werden Schäden erfasst und der Weg eines Angreifers in das eigene Netzwerk nachvollzogen, bevor die Schwachstelle geschlossen und abgesichert wird. Beim Forschungsinstitut CODE in München hat die Speerspitze Cyberreserve genau das trainiert.
Auf dem Rechner öffnet sich eine Befehlszeile, die selbstständig einen Prozess startet und eine Schwachstelle installiert. Diese fungiert als Einfallstor, über die der Angreifer Zugriff auf den Rechner bekommt. Der in einem Netzwerk integrierte Rechner ist jetzt infiziert – die Schutz- und Überwachungssysteme wurden überwunden. Nun ist es an den Teilnehmenden von Cyber Phoenix 2024 herauszufinden, wie es dazu kommen konnte. Bei der diesjährigen Übung der Cyberreserve des Cyber- und Informationsraumes, der jüngsten Teilstreitkraft der Bundeswehr, wird ein sogenannter Supply-Chain-Angriff simuliert.
In den Szenarios von Cyber Phoenix 2024 wird die IncidentResponse, also die Maßnahmen die ein Unternehmen als Reaktion auf einen Cyberangriff vornimmt, mit erhöhtem Fokus auf die forensischen Anteile geübt: Die Teilnehmenden müssen nachvollziehen, wie der Angriff stattfand und wo sich der Angreifer im System verbirgt. Einer der Mitarbeiter des Forschungsinstituts CODE der Münchener Bundeswehr-Universität stellt klar, dass bei der Übung nicht auf eine gerichtliche Verwertbarkeit der gesammelten Informationen aus dem System geachtet werden müsse. Es reiche der Nachweis, wie die Angreifer in das Netzwerk gelangen konnten. Aufgeteilt in sechs Teams wird dieses durchsucht und die Schwachstellen aufgedeckt. Dabei wird der Weg des Eindringlings verfolgt und möglichst alle Spuren werden identifiziert, die er dabei im Netzwerk hinterlassen hat.
Spurensuche im Netzwerk
Die Teilnehmenden der Übung sind Reservistendienstleistende der Bundeswehr und der niederländischen Streitkräfte, die sich jährlich in der Cyberrange von CODE treffen. Unterstützt werden sie dabei von Studierenden der Universität. Die deutschen Kräfte sind Teil der Speerspitze „Cyberreserve“, die von den ITInformationstechnik-Spezialistinnen und Spezialisten des Zentrums für Cybersicherheit der Bundeswehr weitergebildet werden und damit Verstärkungskräfte für die regulären IncidentResponse Kräfte der Bundeswehr sind. Die Ausbildung umfasst jährlich insgesamt vier Wochen, aufgeteilt in zwei 14-tägige Module. Den Abschluss bildet jedes Jahr die Übung Cyber Phoenix, bei der das Erlernte eine Woche lang mit Verbündeten trainiert wird.
Cyberkrieg auf Holländisch
Gemeinsam mit der deutschen Speerspitze trainieren auch Cyberreservisten der Niederlande in München den Ernstfall. Im Interview schildert ein Eerste Liutenant der Niederländischen Streitkräfte (vergleichbar einem Oberleutnant in der Bundeswehr) seine Erfahrungen bei Cyber Phoenix 2024 und erklärt auch, wie er zu seinem Posten kam.
Guten Tag, Herr Eerste Liutenant. Können Sie uns kurz etwas zu sich erzählen?
Natürlich. Ich bin 58 Jahre alt und seit viereinhalb Jahren in der Reserve. Nachdem ich vor 30 Jahren meine Wehrpflicht in den Niederlanden geleistet hatte, war ich sehr interessiert daran, wieder den Streitkräften beizutreten.
Warum sind Sie in die Cyberreserve eingetreten?
Ich interessiere mich sehr für das Themengebiet. Meine Zeit hier zu nutzen, um meine Erfahrungen zu teilen und neue sammeln zu können, ist für mich sehr ansprechend. Vor allem, wenn ich damit wieder meinem Land dienen kann.
Wie funktioniert die Reserve in den Niederlanden?
Wir treffen uns regelmäßig, um miteinander zu üben und im Austausch zu bleiben. Jeder Reservist macht nach der Bewerbung einen Cybertest und kennt sich dementsprechend gut in diesem Themenfeld aus. Aber man kann immer etwas Neues lernen.
Welchem Zweck dient die Übung Cyber Phoenix?
Cyber Phoenix dient neben dem Beüben an sich auch dazu, neue Szenarien kennenzulernen. Zudem können wir im Rahmen der Übung unsere Kenntnisse austauschen und die Zusammenarbeit untereinander wird gefördert. So findet die Übung nicht nur in starren Übungsabläufen statt, sondern auch mal bei einem abendlichen Barbeque.
Warum ist diese Art von Zusammenarbeit wichtig?
In der NATONorth Atlantic Treaty Organization ist nicht nur der Austausch von Erfahrungen wichtig. Durch die Arbeit mit unterschiedlichen Systemen und den Ansätzen verschiedener Nationen erweitert man sein eigenes Fähigkeitsspektrum.
Welche Eindrücke haben Sie nach der Zusammenarbeit mit der Bundeswehr?
Unsere Arbeitsabläufe sind sich grundsätzlich sehr ähnlich. Ein Unterschied war das Level an Realismus bei der Übung. Viele niederländische Kameraden haben sich, so wie ich, über das realistische Setting gefreut. Das ist ein wichtiger Aspekt, da wir schließlich für den Ernstfall üben, und der wird unglaublich realistisch sein. Es ist gut, dass Cyber Phoenix in diese Richtung geht.
Ein Erfolgsprojekt für die Bundeswehr
Die Fähigkeiten der Speerspitze kommen besonders dem Zentrum für Cybersicherheit der Bundeswehr zu Gute. Oberstleutnant Rolf L.* vom ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr beschreibt die Speerspitze als Erfolgsprojekt. Mit ihr könne wertvolles Personal für die Incident Response gewonnen werden, dass bei der Landes- und Bündnisverteidigung oder anderen krisenhaften Entwicklungen auf einem hohen Niveau einsetzbar sei. Die Besetzung der Dienstposten der in der Speerspitze der Cyberreserve liegt derzeit bei etwa 50 Prozent.
Das ZCSBwZentrum für Cyber-Sicherheit der Bundeswehrplant, bis Jahresende 2025 eine 75-prozentige Besetzung der Stellen für ITInformationstechnik-Expertinnen und Experten zu erreichen. Wer ein Teil davon werden möchte, muss – neben den fachlichen Kenntnissen und einem Reservisten-Status – auch die Bereitschaft zur Teilnahme an mindestens vier Wochen Ausbildung im Jahr mitbringen.
Auf dieser Website nutzen wir Cookies und vergleichbare Funktionen zur Verarbeitung von Endgeräteinformationen und (anonymisierten) personenbezogenen Daten. Die Verarbeitung dient der Einbindung von Inhalten, externen Diensten und Elementen Dritter, der eigenverantwortlichen statistischen Analyse/Messung, der Einbindung sozialer Medien sowie der IT-Sicherheit. Je nach Funktion werden dabei Daten an Dritte weitergegeben und von diesen verarbeitet (Details siehe Datenschutzerklärung Punkt 4.c). Bei der Einbindung von sozialen Medien und interaktiver Elemente werden Daten auch durch die Anbieter (z.B. google) außerhalb des Rechtsraums der Europäischen Union gespeichert, dadurch kann trotz sorgfältiger Auswahl kein dem europäischen Datenschutzniveau gleichwertiges Schutzniveau sichergestellt werden. Sämtliche Einwilligungen sind freiwillig, für die Nutzung unserer Website nicht erforderlich und können jederzeit über den Link „Datenschutzeinstellungen anpassen“ in der Fußzeile unten widerrufen oder individuell eingestellt werden.
Es ist uns ein Anliegen, Ihre Daten zu schützen
Detaillierte Informationen zum Datenschutz finden Sie unter Datenschutzerklärung