Threat Hunter – Leutnant zur See Jan G.

Eine seiner Aufgaben bei der Defence Cyber Marvel 2: Angreifende Hacker finden. Als Threat Hunter spürt Leutnant z.S. Jan G. Angreifer im Netzwerk auf, die dort oft wochen- oder sogar monatelang lauern, bevor sie losschlagen.

Leutnant zur See Jan G. ist einer von acht Studierenden, die zusammen mit sechs Cyber-Reservisten das deutsche Blue Team bei der Defence Cyber Marvel 2 (DCM2) bildeten. Seit 2020 studiert er an der Universität der Bundeswehr München, seit diesem Jahr ist er im Masterstudiengang Cyber-Sicherheit eingeschrieben, wie auch die meisten Studierenden aus seinem Team. Tatsächlich ist der 23-Jährige über das Capture the Flag-Team der Universität zu seiner Spezialisierung gekommen.

Threat Hunting, Härtung der ITInformationstechnik-Systeme und Analyse

Das Szenario der DCM2 gibt vor, dass das Blue Team in einem fiktiven Einsatzland sowohl die eigenen ITInformationstechnik-Systeme als auch die des Gastlandes vor Cyberangriffen schützt. Welche Aufgaben übernimmt der Leutnant dabei? Hauptsächlich überwacht Jan die eigenen ITInformationstechnik-Netzwerke mit Elasticsearch, einer speziellen Anwendung, mit der man beispielsweise seine gesamte ITInformationstechnik-Infrastruktur durchsuchen und ausleuchten kann. „Elastic ist sehr spezialisiert. Mein Vorwissen aus dem Studium in diesem Bereich war eher gering. Der Hersteller hat aber kurz vor der DCM2 einen Workshop und ein Capture the Flag organisiert, wo wir uns zumindest einen groben Überblick über die Anwendung verschaffen konnten“, erzählt Jan von den Vorbereitungen auf die Übung. Im Laufe der DCM2 hat er sich immer besser eingearbeitet und mit zwei weiteren Teilnehmenden die Suche nach möglichen Eindringlingen als seinen Schwerpunkt übernommen.

Der Student hat aber noch andere Bereiche wie das Härten, oder auf Englisch „Hardening“, unterstützt. „Bei der Härtung der eigenen Systeme kommt es darauf an, Schwachstellen in den Systemen zu finden und auszubessern. Ein einfaches Beispiel ist ein immer wieder verwendetes Standardpasswort, dass die Angreifer schon lange kennen. Wichtig ist auch die Einschränkung der Rechte, damit nicht jeder Nutzer oder jede Nutzerin einfach irgendwelche Programme, die möglicherweise Schadsoftware enthalten, installieren kann“, erläutert Jan.

Jan war zusätzlich in der Analyse eingesetzt. „Wenn wir tatsächlich „böse“ Software auf unseren Systemen finden, versuchen wir herauszufinden, wie dieser Prozess gestartet wird oder wurde, auf welchem Weg diese Software dort hingelangt ist oder ob sogar ein Botnet aufgebaut wurde“, erklärt er die Analysetätigkeit. Durch ein Botnet, das aus zahlreichen Schadprogrammen besteht, können Cyberkriminelle Computer ohne das Wissen ihrer Besitzer „fernsteuern“ und etwa die Rechenleistung für ihre Zwecke benutzen.

Gefordert: Stressresistenz und Flexibilität

Auf jeden Fall müsse man ziemlich stressresistent sein und eine hohe Frustrationstoleranz mitbringen, denn „manche Dinge muss man 20 Mal versuchen, bevor man eine Aufgabe gelöst hat.“ Auch die Einarbeitungszeit sei sehr kurz und beim Ausfall von Systemen müsse man sich sehr schnell auf neue Aufgabenbereiche einstellen. „Aber genau das habe ich von dieser Cyberabwehr-Übung erwartet: Extrem spannende Aufgaben und viel Neues dazulernen“, so Jan. Er wollte unbedingt an der DCM2 teilnehmen, da diese eine einzigartige Erfahrung, ein besonderes Highlight für seine Zeit an der Universität bedeute. „Unter den 36 multinationalen Teams haben wir einen Platz im obersten Drittel erreicht, die Punkte unterscheiden sich da kaum zwischen den Teams. Für unsere Leistungen hat uns neben der Übungsleitung auch das gegnerische Team ausdrücklich gelobt.“
Die Infrastruktur, die ihnen für die Übung von dem NATO-akkreditierten Cooperative Cyber Defence Centre of Excellence zur Verfügung gestellt wurde, ist dieselbe Infrastruktur, die für die jährliche NATO-Übung Locked Shields, die weltweit größte und komplexeste multinationale Übung zur Cybersicherheit, genutzt wird.

Der Leutnant zur See sieht für sich die Übung auch als Chance, Einblicke in die Tätigkeit eines ITInformationstechnik-Experten der Bundeswehr zu gewinnen, zumal er nach seinem Studium einen Dienstposten im Bereich Cybersicherheit anstrebt. „Den Bereich Cyberverteidigung und Cyberabwehr sehe ich als spannendes Arbeitsumfeld, in dem ständig geistige Herausforderungen auf mich warten. Gleichzeitig ist hier noch viel Grundlagenarbeit möglich, da viele Einheiten erst seit ein paar Jahren existieren, sodass man hier in gewisser Weise Pionierarbeit leisten kann“, resümiert Jan.

von Martina Pump  E-Mail schreiben