Teamleader Monitoring - Fregattenkapitän Thomas

„Nur ein fehlgeschlagener Login auf der 52? Das können wir ignorieren“, so Fregattenkapitän Thomas. Als Teamleader Monitoring bei Locked Shields 2022 muss er schnell analysieren und noch schneller Entscheidungen treffen. Mit seinem Team findet er in unzähligen Meldungen die Ereignisse, die anzeigen, wo und wann im Systemverbund angegriffen wird.

Monitoring ist integraler Bestandteil systematischer Informationssicherheit. Eine entsprechende Zelle gehört zu jedem Blue Team, also Expertinnen- und Expertenteams, die zur Abwehr von Cyberattacken entsendet werden. Monitoring ist aber auch Grundlage für die Art der Informationssicherheit, die dauerhaft bestehende Systeme überwacht und den Grundschutz kritischer ITInformationstechnik sicherstellt. Für die Bundeswehr wird diese Fähigkeit durch das Cyber Security Operations Centre der Bundeswehr (CSOCBw) des Zentrums für Cyber-Sicherheit der Bundeswehr abgedeckt. Als ITInformationstechnik-Service „Schutz und Überwachung der Informationstechnik der Bundeswehr“ steht sie als Dienstleistung den gesamten Streitkräften zur Verfügung.

„Das bringt hier niemanden ins Schwitzen“ – Cyberangriffe erkennen und melden

Noch ist es verhältnismäßig ruhig während Locked Shields. Am ersten Nachmittag in der heißen Übungsphase registriert das fünfköpfige Team um Thomas zwar Angriffe, diese sind aber für die erfahrenen Expertinnen und Experten leicht zu erkennen und schnell an die technischen Teams weitergegeben. „Ein DDoSDistributed Denial of Service-Angriff mit 428 Paketen ist gerade groß genug für uns, um ihn sofort zu erkennen“, erklärt Thomas. Dann fügt der Teamleiter selbstsicher hinzu: „Das ist aber bei weitem nicht groß genug, um eine unserer Firewalls in die Knie zu zwingen. Das bringt hier niemanden ins Schwitzen.“

Thomas und sein Team sitzen vor unzähligen Monitoren. Diese zeigen die Auffälligkeiten im gesamten durch das österreichisch-deutsche Team überwachten Netzwerk an. Die Datenmengen, die dabei entstehen, sind gewaltig. In einer ruhigen Stunde sind hunderttausende relevante Einträge allein aus einer Systemgruppe keine Seltenheit. Das deutsche Team sichert knapp 10 solcher Systemgruppen, von einem virologischen Institut, bis hin zu der für die Wasserversorgung zuständigen ITInformationstechnik. Während der aktiven Phase bei Locked Shields 2022 sind es im Schnitt rund 6.000 Einträge pro Sekunde, die der gesamte aus allen Gruppen bestehende Systemverbund erzeugt.

Das Team muss sie alle überwachen und auswerten. Welche Zugriffe sind erwünscht, welche sind unerwünscht? Wer versucht von außen auf Maschinen zuzugreifen, welche Maßnahmen sperren Zugriffe der eigenen Leute aus? Der erfahrene ITInformationstechnik-Spezialist erklärt: „Es geht nicht darum, einfach dicht zu machen.“ Denn so Thomas: „In diesem Fall würden die Angreifer ja bekommen, was sie wollen: Ein System das nicht mehr verfügbar ist, weil es nicht kommunizieren kann.“ Wenn im Monitoring so etwas gesehen wird, geht eine Nachricht an das technische Team, in dessen Verantwortungsbereich das betroffene System fällt.

Von München nach Wien – das multinationale Team funktioniert

Tag zwei: Die Angriffe auf das Netz nehmen zu, sie werden komplexer und sind geschickter getarnt. Ein bekannter Name flimmert über den Bildschirm. Ein Routinedienst, also ein gewollter automatischer Zugriff eines Systems auf ein anderes. Auf den ersten Blick also alles in Ordnung. Thomas lässt den Ticker trotzdem anhalten. Er erklärt: „Das ist nicht der Dienst. Das ist ein Nutzer, der sich den Namen des Dienstes gegeben hat und irgendwie an weitere Informationen gekommen ist, um den Dienst zu imitieren.“ Er schlägt Alarm und schreibt ein Ticket, um sicherzustellen, dass kein Vorgang in der Masse der Fälle untergeht. Nach dieser Warnung des zuständigen technischen Teams ist er sich sicher: „Wer auch immer du bist, heute bleibst du draußen.“

Während Locked Shields besteht das Monitoring Team aus fünf Personen. Thomas ist mit zwei davon in München vor Ort und koordiniert. Zwei weitere Teammitglieder sind aus Wien zugeschaltet. Die unterschiedlichen Erfahrungen und Ausbildungen zahlen sich aus. Jedes System und jeder Architekturtyp spricht eine andere Sprache und macht im Monitoringprozess anders auf sich aufmerksam.

Die Übungsumgebung von Locked Shields ist virtuell. Die dabei benutzte Software ist für die deutschen Anteile zum Teil ungewohnt, für die wienerischen Stimmen aus dem Headset Alltag – eine perfekte Ergänzung. Das Zusammenspiel im Team leidet nicht unter der Entfernung, in Echtzeit sind sie über verschiedene Kommunikationskanäle verbunden. Thomas dazu: „Das klappt gut, gerade weil wir alle Profis sind und ich niemanden kontrollieren muss. Bevor ich zum Mikrofon gegriffen habe, ist das Problem meistens schon angegangen.“ Für Thomas und das Personal aus seinem Team ist Locked Shields 2022 eine gute Gelegenheit ihre Verfahren in einer Stresssituation zu erproben und das möglichst nah an der Realität. Sein persönliches Fazit? „Wie immer bei solchen Übungen ist es unglaublich anstrengend, weil hier in zwei Tagen so viel passiert wie sonst in Monaten, dafür lernt man aber auch wahnsinnig viel dazu.“ Das ist notwendig, denn wie er ausführt: „Die ITInformationstechnik entwickelt sich ständig weiter und gerade wir als Blue Team – egal ob in der Übung oder in der Realität - müssen immer auf der Höhe der Zeit sein!“

von Kjell  Tandetzke  E-Mail schreiben