Cybersicherheitsübung Defence Cyber Marvel Two
Die jährlich stattfindende Übung Defence Cyber Marvel testet die Fähigkeiten der Teilnehmenden, potenzielle Cyberangriffe gegen verbündete Streitkräfte in einem realen Szenario einzuschränken und zu stoppen. Dabei spielen auch Teambuilding und Kommunikationswege eine wichtige Rolle.
Was ist Defence Cyber Marvel Two?
Die Übung Defence Cyber Marvel Two (DCM2) ist eine von der britischen Army Cyber Association organisierte multinationale „Live-Fire“ Cybersicherheitsübung, bei der die Teilnehmenden in Echtzeit ihre fachlichen Kompetenzen in einem sich stetig verändernden und immer stärker eskalierenden asymmetrischen Szenario unter Beweis stellen müssen. Ein deutsches Team ist seit 2023 erstmalig mit dabei.
Die Übung wird zentral aus Tallinn in Estland gesteuert, wobei die meisten Teams remote aus ihren Heimatländern teilnehmen. Die meisten der Teams bestehen schon länger, haben feste Strukturen und sind somit aufeinander eingespielt. Das bunt gemischte 16-köpfige deutsche Blue Team ist eines der wenigen Joined-Teams: Es besteht aus Angehörigen der Cyber-Reserve sowie aus Studierenden der Universität der Bundeswehr München. Die studierenden Offiziere und Offiziersanwärterinnen und -anwärter engagieren sich alle in der Interessengemeinschaft Cyber an ihrer Universität. Diese Gruppe hat neben den fachlichen Aufgaben die zusätzliche Herausforderung, erst einmal Teamstrukturen zu bilden und einen Workflow aufzubauen. Aus dem Reachback am Forschungsinstitut CODE (FI CODE) in München haben die Teilnehmenden aus Deutschland Zugriff auf die Übungsumgebung.
Was sind die Ziele?
Die DCM2 ist eine multinationale Übung, die den Teilnehmenden die Möglichkeit bietet, ihre fachlichen Kenntnisse im Bereich der Cybersicherheit zu vertiefen: Sie können Fähigkeiten und Verfahren zur Verteidigung nationaler ITInformationstechnik-Systeme und kritischer Infrastruktur in Echtzeit in einem Team trainieren und verbessern. Daneben steht das Teambuilding im Vordergrund: Um zu gemeinsamen Lösungen zu finden, ist nicht nur eine erfolgreiche Kommunikation innerhalb des Teams unerlässlich. Eine Herausforderung besteht auch darin, die unterschiedlichen Fähigkeiten der einzelnen Mitglieder zusammenzuführen, um die Übung erfolgreich zu bewältigen.
„Zusammenarbeit fördern und gemeinsam trainieren: Bei der DCM2 konnten junge Studierende und erfahrene Fachkräfte aus der Wirtschaft voneinander lernen und als Team überzeugen!“
Kurz erklärt
Das verteidigende Team in Übungen der ITInformationstechnik-Sicherheit wird „Blue Team“ genannt. Ein Blue Team muss seine ITInformationstechnik-Systeme je nach Übung in Echtzeit gegen Tausende von simulierten Angriffen verteidigen, Schäden beheben, und kompromittierte Systeme gegebenenfalls wiederherstellen. Es bedient sich dazu derselben Mittel und Methoden, wie es sie auch außerhalb der Simulationsumgebung einer Cyber Range anwenden würde. Das Blue Team kann aus unterschiedlichen Fachexpertinnen und Experten zusammengestellt sein – unterschiedliche Spezialisierungen, Dienstgrade oder Nationalitäten.
Das angreifende Team in einer Übung im Cyber- und Informationsraum wird „Red Team“ genannt. Auch außerhalb einer Simulationsumgebung testen zum Beispiel Unternehmen mit eigenen Red Teams ihre ITInformationstechnik-Sicherheit. Das Red Team hat nur ein Ziel: Die in einer Cyber Range virtualisierten Systeme des „Blue Teams“ anzugreifen, zu übernehmen, zu manipulieren oder unbrauchbar zu machen. Dies geschieht in Echtzeit und mit Mitteln und Methoden, wie sie auch echte gegnerische Kräfte anwenden (life fire).
Eine Cyber Range ist eine virtuelle, kontrollierte und interaktive Simulationsumgebung in der Cybersicherheitspersonal in Echtzeit lernt und übt Angriffe im Cyber- und Informationsraum abzuwehren. In einer Cyber Range werden Arbeitsplätze, Mittel und Bedingungen wirklichkeitsnah gehalten. Realistisch trainieren ist das oberste Gebot. Die eigenen Fähigkeiten und Fertigkeiten zur Cyberabwehr und gegebenenfalls zum Angriff werden in der Cyber Range abgefragt und herausgefordert. Eine Cyber Range kann als Truppenübungsplatz des Cyberraums gesehen werden. Wie auf physischen Schießbahnen üben die ITInformationstechnik-Spezialistinnen und -Spezialisten des Organisationsbereichs CIRCyber- und Informationsraum hier den scharfen Schuss – nur eben virtuell.
In der kontrollierten Umgebung einer Cyber Range werden in Echtzeit wirkliche Angriffs- und Abwehrmethoden im und aus dem Cyber- und Informationsraum durchgeführt. Dies bezeichnet man daher auch als „live fire“. Solche Angriffe auf virtualisierte Systeme können die gleichen Auswirkungen wie auf Einrichtungen in der echten Welt haben. Während der DCM2 waren das unter anderem Folgen für kritische Infrastruktur – KRITISKritische Infrastrukturen – beispielsweise die Strom- und Wasserversorgung.