Ein Einblick in das Security Operations Center
Der Security Incident Manager bei der Arbeit
Wie erhöht die Bundeswehr durch Schutz und Überwachung der eigenen ITInformationstechnik die Informationssicherheit gegenüber Cyberangriffen im Falle der Landes- und Bündnisverteidigung? Der Einblick in ein Security Operations Center während der Übung Gelber Merkur verschafft davon einen Eindruck.
Es ist 7 Uhr morgens. Schichtbeginn für Kapitänleutnant Torben N.* und seinen Analysten. Als Erstes wird von der Nachtschicht an die Tagschicht übergeben. Danach geht es nahtlos an die Überwachung. Erstes Ereignis des Tages ist ein Sicherheitsvorfall, in der Übung als „Inject“ bezeichnet.
Kapitänleutnant Torben ist Security Incident Manager. Er ist Entscheidungsträger und der Erste, der aufkommende Informationssicherheitsvorkommnisse bearbeitet, die zur Bearbeitung und Dokumentation in der Meldeplattform M@rvin der Bundeswehr geführt werden. Kapitänleutnant Torben koordiniert Maßnahmen, Untersuchungen und Interaktionen bei Ereignissen in der Informationssicherheit. Er informiert die entscheidenden Akteure über Ereignisse mit besonderer Relevanz und berät den Informationssicherheitsbeauftragten.
Oberfeldwebel Oliver S.* hat als First Level Analyst den Auftrag, eine Erstanalyse bei Ereignissen im Bereich der Informationssicherheit durchzuführen sowie dem Security Incident Manager zuzuarbeiten und zu beraten. Er geht den Events nach, die durch die Sensorik erfasst werden, wertet diese aus und leitet entsprechende Maßnahmen ein.
In der Sensorik taucht ein Event zu einem unbekannten Gerät auf, in diesem Fall das Laden eines privaten Mobiltelefons über USB-Port. Der externe Datenträger ist nicht registriert, wird aber an einem dienstlichen System angeschlossen und gilt somit als unbekanntes Gerät. Der Informationssicherheitsgehilfe vor Ort erkennt das Fehlverhalten und meldet dieses Informationssicherheitsvorkommnis über Telefon an das SOCSecurity Operations Center. Zur Dokumentation und weiteren Bearbeitung wird ein Ticket über den Vorfall erstellt. Ebenso erzeugen die ausgebrachten Sicherheitskomponenten ein Event/Alert, welches vom Analysten ausgewertet wird.
Erstbewertung durch Security Incident Manager
Nun muss der Security Incident Manager reagieren und eine erste Bewertung abgeben, um die Informationssicherheit so schnell wie möglich wiederherzustellen und eventuelle Auswirkungen auf das System zu verhindern oder einzudämmen. Mögliche Handlungen sind hier zunächst der Abzug des Gerätes inklusive Sicherstellung.
Des Weiteren werden Details über das Informationssicherheitsvorkommnis bei Nutzerin oder Nutzer erfragt. Welche Erstmaßnahmen haben diese bereits getroffen? Wurde nur eine Person mit der privaten ITInformationstechnik in Verbindung gebracht? Gab es Meldungen an der dienstlichen ITInformationstechnik wie Warnmeldungen oder Aufforderungen zur Eingabe von Daten? Sind bereits Virenscan-Prozesse angestoßen worden, um eine gegebenenfalls übermittelte Schadsoftware zu erkennen?
Unterstützung aus dem Reachback
Das SOCSecurity Operations Center der Betriebsführungseinrichtung arbeitet in der Vorfallbearbeitung eng mit dem zentralen SOCSecurity Operations Center der Bundeswehr (CSOCBw) im Zentrum für Cybersicherheit der Bundeswehr zusammen. Dieses unterstützt mit seiner tiefgehenden Fachexpertise zum Beispiel mit den Incident Response Teams und der ITInformationstechnik-Forensik aus dem Reachback. Was während der Übung Gelber Merkur 24 zur Abwehr von Cyberangriffen geübt wird, stellt dort den Alltag der Kameradinnen und Kameraden dar.
Wenn im Anschluss keine weiteren Auffälligkeiten auftreten, wird die Information zurück an den Informationssicherheitsbeauftragten geleitet, um die weiteren Maßnahmen zu klären. Das Gerät kann in diesem Fall wieder ans Netz und in Betrieb genommen werden.
Das Security Operations Center ist für die Bearbeitung auftretender Informationssicherheitsvorkommnisse zuständig. Es bildet ein zentrales Element, das sich mit der Überwachung, Analyse und Reaktion auf Informationssicherheitsvorfälle befasst. Hierzu überwacht es kontinuierlich die ITInformationstechnik-Infrastruktur, um potenzielle Bedrohungen zu erkennen und somit die Sicherheit der ITInformationstechnik zu erhöhen.
Vorfälle reichen von einfachen Benutzerfehlern bis hin zu Cyberangriffen. Das SOCSecurity Operations Center spielt somit eine wichtige Rolle bei der Erkennung und Abwehr von Cyberangriffen sowie bei der Implementierung von Sicherheitsmaßnahmen, um die Integrität, Vertraulichkeit und Verfügbarkeit von Daten und der ITInformationstechnik zu schützen.
Darüber hinaus überwacht das SOCSecurity Operations Center die Einhaltung von Vorgaben der Informationssicherheit und unterstützt bei deren Umsetzung. Sollte es einen Vorfall bemerken, leitet es Gegenmaßnahmen ein und unterstützt bei der bestmöglichen Wiederherstellung der Informationssicherheit in Zusammenarbeit mit dem Informationssicherheitsbeauftragten, den Administratoren der betroffenen Systeme oder auch den Nutzern, um schnellstmöglich die gewohnte Servicequalität zu gewährleisten und operationell notwendige Services wiederherzustellen. Das SOCSecurity Operations Center als eine der Säulen der Betriebsführungseinrichtung lernt aus der Erfahrung aufgetretener Vorfälle und lässt diese in die Weiterentwicklung und Verbesserung der eigenen Abwehrmaßnahmen einfließen.
Das SOCSecurity Operations Center unterstützt in diesem Fall wie auch bei Übungen bei der Aufrechterhaltung der Grundwerte der Informationssicherheit. Diese lauten: Integrität, Verfügbarkeit und Vertraulichkeit der durch das ITInformationstechnik-Bataillon als Betriebsführungseinrichtung bereitgestellten ITInformationstechnik-Systeme und ITInformationstechnik-Services. Die grundsätzliche Verantwortung für die eigens betriebene ITInformationstechnik liegt bei der jeweiligen Dienstellenleitung.
Dieser wägt zwischen operationeller Notwendigkeit und Informationssicherheit ab und versucht der Gefährdung zum Beispiel durch Risikoanalysen vorzubeugen und Schaden abzuwenden. Das SOCSecurity Operations Center berät dahingehend mit seiner Expertise und gibt Maßgaben vor. Hier im Übungsfall wird außerdem auf das Einhalten der Grundsätze Nichtverkettung, Transparenz und Intervenierbarkeit im Sinne des Datenschutzes geachtet.
Das SOCSecurity Operations Center wird von einer Offizierin oder Offizier in der Funktion des Security Incident Managers geführt. Sie oder er wird durch einen Feldwebel, dem Security First Level Analyst, unterstützt. Die Dienstposten sind Schichtdienstposten, geteilt in Nacht- und Tagschicht. Somit ist das SOCSecurity Operations Center 24/7 besetzt.
Verortet ist das SOCSecurity Operations Center in der Betriebsführungseinrichtung des Gelben Merkur 2024. Auf den ersten Blick ist es lediglich ein Zelt mit eingerichteten PC-Arbeitsplätzen, Tafeln, Besprechungsräumen mit allem, was dazu gehört. Dieses Jahr wird das SOCSecurity Operations Center durch Soldatinnen und Soldaten des ITInformationstechnik-Bataillons 281 gestellt.
Die ITInformationstechnik-Nutzenden sensibilisieren
Kapitänleutnant Torben erklärt: „In diesem Fall ist es wichtig, den Nutzer zu sensibilisieren und auf die möglichen Auswirkungen einer solch unbedachten Handlung hinzuweisen. Nachdem der Incident erfolgreich gelöst werden konnte, wird das Ticket ebenfalls in
Es gibt aber auch die Möglichkeit, dass der angeschlossene Datenträger jedwede Schadsoftware beinhaltet. In diesem Fall, also bei einem entsprechenden Verdacht, wird das Gerät nicht wieder in das dienstliche Netz zurückgeführt. Nachdem es quarantänisiert wurde, wird das Gerät dem CSOCBw als nächste Instanz zugeführt, um hier genauere Untersuchungen durchzuführen. Dadurch sollen weitere Kompromittierungen ausgeschlossen werden, möglicherweise sind Muster eines Angriffes und weitere Zusammenhänge zu erkennen.
Torben betont, „dass ein der Bearbeitung von Informationssicherheitsvorkommnissen kein „Schema F“ gibt, das man als Grundlage zur Bearbeitung von Fällen anwenden kann. Lediglich eine gezielte sowie hochwertige Ausbildung des Personals, festgelegte Prozesse und Erfahrung helfen, die Situationen zu beherrschen. Jede Situation ist anders und benötigt differenzierte Entscheidungen im Verlauf der Bearbeitung.
Auch in dem bei der Übung ausgebrachten SOCSecurity Operations Center herrscht also ein enorm hoher Lernfaktor. Für die Teilnehmenden bedeutet das: Durch immer mehr Vorkommnisse in der Informationssicherheit werden sie einen enorm hohen Erfahrungsschatz gewinnen. Damit werden sie bei zukünftigen Vorfällen immer handlungsfähiger, um die Informationssicherheit in der Truppe nach Cyberangriffen wiederherzustellen
Phishing-Kampagnen über E-Mail
Neben Informationssicherheitsvorkommnissen, die relativ einfach und zeitnah gelöst werden können, gibt es auch jene, die größere Ausmaße annehmen und deshalb mehr Ressourcen binden. Allgemein bekannt sind Phishing-Kampagnen über E-Mail. Als zweites Übungsszenario empfingen die Teilnehmenden der Übung eine täuschend echt aussehende E-Mail von einer vermeintlich vertrauenswürdigen Quelle. Die E-Mail enthält einen Link, der zu einer Seite führt, um Zugangsdaten zu einem bekannten System zu ändern. Kurze Zeit später hat ein Nutzer diese trügerische Mail entlarvt und über den ISB/Informationssicherheitsgehilfen gemeldet. Jetzt wird zunächst die eigene Betroffenheit geprüft.
Es kann nach der Erstanalyse erkannt werden, ob es sich beim Angriff nur um eine breit angelegte Welle handelt oder ein zielgerichteter Cyberangriff auf die Bundeswehr erfolgte. Durch enge Zusammenarbeit mit dem Nutzer und dem ISB kann das weitere Vorgehen festgelegt werden. Die Größe des Empfängerkreises ist dabei von Bedeutung.
Auswertung zahlreicher Logdaten- Quellen
In dieser Phase stellt der 1st Level Analyst seine Expertise zur Verfügung und kann mit seinem Know-how aufschlussreiche Informationen sammeln und aufbereiten, während parallel geprüft wird, ob ähnliche Vorfälle bereits in der Bundeswehr bekannt sind, um ein Gesamtlagebild zu erstellen.
Das SOCSecurity Operations Center sucht nach sogenannten IOCs ( Indicators of Compromise), also Kompromittierungsindikatoren, welche Sicherheitsexperten nach dem Feststellen verdächtiger Aktivitäten manuell sammeln oder aber mithilfe von Funktionen zur Cybersicherheitsüberwachung automatisch erfassen.
Diese Informationen können zum Eindämmen eines laufenden Angriffes und zum Beseitigen eines bestehenden Sicherheitsvorfalls genutzt werden. Auch können dadurch Tools „intelligenter“ gemacht werden, damit verdächtige Dateien künftig erkannt und isoliert werden. Indikatoren sind etwa IP-Adressen, Domains und Datei-Hashes. Es handelt sich hierbei um einen reaktiven Ansatz.
Jeweils am Morgen, Mittag und am Abend des Übungstages gibt es eine Betriebslage mit der Übungsleitung, um diese auf dem aktuellen Stand zu halten und über die aufgekommenen Vorfälle zu briefen. Um 19:30 Uhr übernimmt wieder die Nachtschicht und Torben bereitet sich auf sein Schichtende vor, indem er die Vorfälle des Tages noch einmal reflektiert.
Übungsende – Ziel erreicht?
Ziel der Übung im Bereich SOCSecurity Operations Center ist die Sensibilisierung der Soldatinnen und Soldaten in Bezug auf Informationssicherheit sowie die Implementierung der SOCSecurity Operations Center in die Betriebsführungseinrichtung. Es wurden sehr viele neue Erkenntnisse gewonnen und auch Lösungen erarbeitet, um einen solchen Einsatz des SOCSecurity Operations Center auch in einem verlegefähigen Szenario der Einrichtung zu bewerkstelligen und diesen Einsatz sinnvoll zu gestalten.
Diese Übung war Torbens erste Verwendung in der Funktion als Security Incident Manager. Zum Übungsende zieht er ein Fazit: „Ich bewerte diese Übung für mich persönlich als sehr gelungen. Der Security Incident Manager ist quasi ein neuer Dienstposten mit dem erstmaligen Aufbau der Säule SOCSecurity Operations Center in der Betriebsführungseinrichtung.“
Für ihn lagen die Herausforderungen in dem breiten Spektrum an Incidents, die eine schnelle Erstbewertung im Rahmen der Informationssicherheit benötigen. Auch sieht er die Übung als Chance, diverse Kommunikationsbeziehungen in einem Szenario der Landes- und Bündnisverteidigung weiter auszubauen und zu verfestigen. „Als Highlight konnten zum Beispiel die aktuellen Phishing-Kampagnen mein starkes Eigeninteresse an neuen systematisch auftauchenden Events in der Informationssicherheit mit fundiertem Wissen bereichern. Besonders für mich war der umfangreiche Einblick in die Arbeit des ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr und der Umgang mit Tools zum Zwecke der Cyberabwehr.“
*Name zum Schutz der Soldaten abgekürzt.