Cyber- und Informationsraum

Virtuelle Schilde hoch – Locked Shields 2023

Datum:: 02.05.2023

Lesedauer:: 4 MIN

Jährlich steht im April die größte NATO-Cyberübung mit Echtzeitbedrohung, die Locked Shields, an. Hier können Cyberexpertinnen und Experten aus Militär und Wirtschaft gemeinsam zeigen, was sie können und wie sie gegen einen großangelegten Cyberangriff gewappnet sind.

Mehrere Menschen und viele PCs in einem Saal. Vorne ein Mann mit einem ausgedruckten Netzplan. — Geschäftiges Treiben im großen Konferenzsaal. Wenn die Monitore nicht mehr reichen, muss auch mal ein Netzplan ausgedruckt werden.
Bundeswehr/Luna van Balen

Bei der größten NATO Cyberabwehrübung Locked Shields handelt es sich um eine realitätsnahe Live-Fire Übung, bei der Expertinnen und Experten mit echten Mitteln gegen einen real agierenden Feind antreten. 2023 haben über 2.600 Teilnehmerinnen und Teilnehmer aus 38 Nationen einen fiktiven Staat gegen tausende Angriffe auf die Infrastruktur verteidigt. Die Übung wird vom in Tallinn ansässigen Cooperative Cyber Defence Centre of Excellence der NATO durchgeführt, die 24 Blue Teams der Verteidiger arbeiten weltweit vernetzt. Die Arbeit der teilweise multinationalen Teams wird in ein Ranking übertragen. Mit bei der Übung war auch das deutsche Blue Team 03, unter der Führung vonKorvettenkapitän Christoff F. vom Zentrum für Cybersicherheit der Bundeswehr.

Ein Mann und eine Frau sitzen an einem Tisch. Der Mann trägt Uniform, die Frau trägt zivile Kleidung — Zusammen einen Plan machen. Die zivil-militärische Zusammenarbeit funktioniert im Team reibungslos.
Bundeswehr/Luna van Balen

Eineinhalb Wochen haben die Teilnehmerinnen und Teilnehmer den Auftrag, die gesamte Infrastruktur, inklusive der Gasversorgung, einer Bank und dem vernetzten Flugabwehrsystem der Streitkräfte, auf eine große Cyberoffensive vorzubereiten und sie dann zwei Tage aktiv zu verteidigen. Die Gegner sind hierbei ebenfalls Cyberexpertinnen und -experten, welche darauf spezialisiert sind, in feindliche Systeme einzudringen. Mit dabei waren Delegationen von Technikfirmen und auch Behörden wie der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS), dem Bundesamt für Sicherheit in der Informationstechnik (BSIBundesamt für Sicherheit in der Informationstechnik) und der Bundespolizei. Sie alle arbeiteten Seite an Seite mit den Soldatinnen und Soldaten des Organisationsbereichs CIRCyber- und Informationsraum.

Information

Blue Team
Das verteidigende Team in Übungen der ITInformationstechnik-Sicherheit wird „Blue Team“ genannt. Ein Blue Team muss seine ITInformationstechnik-Systeme je nach Übung in Echtzeit gegen Tausende von simulierten Angriffen verteidigen, Schäden beheben, und kompromittierte Systeme gegebenenfalls wiederherstellen. Es bedient sich dazu derselben Mittel und Methoden, wie es sie auch außerhalb der Simulationsumgebung einer Cyber Range anwenden würde. Das Blue Team kann aus unterschiedlichen Fachexpertinnen und Experten zusammengestellt sein – unterschiedliche Spezialisierungen, Dienstgrade oder Nationalitäten.

Red Team
Das angreifende Team in einer Übung im Cyber- und Informationsraum wird „Red Team“ genannt. Auch außerhalb einer Simulationsumgebung testen zum Beispiel Unternehmen mit eigenen Red Teams ihre ITInformationstechnik-Sicherheit. Das Red Team hat nur ein Ziel: Die in einer Cyber Range virtualisierten Systeme des „Blue Teams“ anzugreifen, zu übernehmen, zu manipulieren oder unbrauchbar zu machen. Dies geschieht in Echtzeit und mit Mitteln und Methoden, wie sie auch echte gegnerische Kräfte anwenden (live fire). Während der Locked Shields agieren die multinationalen Red Teams aus Tallinn, Estland heraus.

Ebenfalls mit dabei waren Expertinnen und Experten zur Rechtsberatung, die Fragen zu den juristischen Aspekten der Übungslage beantworten mussten und Forensikerinnen und Forensiker, die zur Attribuierung, dem Zuweisen eines Angriffs zu einer bestimmten Gruppe, im Code von versteckten Dateien nach Informationen und Spuren der Angreifer suchen müssen. Neben dem eigentlichen Netz gibt es auch soziale Medien und Nachrichtenseiten, die Informationen zur Lageentwicklung und bevorstehenden Angriffen enthalten können. Eine eigene Media-Zelle war mit der Informationsarbeit betraut und hatte die Aufgabe, die simulierte Bevölkerung zu informieren und Pressemitteilungen zu verfassen. Alle diese Bereiche flossen in die Gesamtbewertung ein.

Angriff mit allen Mitteln

Ein Mann in ziviler Kleidung sitzt vor einem Computer. — Volle Konzentration. In der aktiven Phase wird auf jedes Detail geachtet und nichts entgeht den ITInformationstechnik-Experten.
Bundeswehr/Luna van Balen

In der aktiven Phase heißt es dann für das Blue Team 03, der Flut von Angriffen aus dem Red Team beizukommen. Die Auswirkungen der Angriffe können dann von Defacements auf den Webseiten, Serviceeinschränkungen im täglichen Leben oder gar zum Zusammenbruch der Services, wie dem digitalen Zahlungsverkehr, reichen. Währenddessen werden die Bereiche Rechtsberatung und Medien mit Fragen und Aufforderungen konfrontiert, denen sie so schnell wie möglich nachkommen müssen.

Nach der Übung ist vor der Übung

EIn Gruppenbilder der Teilnehmenden des Blue Teams der Übung Locked Shields 2023. — Zivil und Militär, Seite an Seite: Die Angehörigen des Blue Teams 03.
Bundeswehr/Luna van Balen

Für die Teilnehmerinnen und Teilnehmer beginnt jetzt, nach der Übung, ein längerer Prozess. Die vom CCDCOECooperative Cyber Defence Centre of Excellence bereitgestellten Unterlagen werden ausgewertet und Erkenntnisse für den eigenen Auftrag werden festgehalten. Die am besten bewerteten Teams waren das Team aus Schweden und Norwegen, das Team aus Estland und den USA, sowie das Team aus Polen. Korvettenkapitän Christoph F. war nach der Übung guter Dinge: „Ich denke, dass wir hier sehr viel von der Übung mitnehmen können und unsere Fähigkeiten gut ausbauen konnten.“ Für ihn beginnt jetzt der Prozess von lessions learned und lessions identified, die er in einem Workshop mit ausgewähltem Personal bespricht. Fazit der Übung: 70TB an Traffic, die das CCDCOECooperative Cyber Defence Centre of Excellence innerhalb von drei Tagen wahrgenommen hat und ein großer Erfahrungsschatz für alle Beteiligten.

von Luna van Balen E-Mail schreiben

Locked Shields

Bei der Locked Shields werden in Echtzeit Cyber-Angriffe erkannt und abgewehrt.

Information
Neue Broschüre Reservistendienst CIRCyber- und Informationsraum
- Reserve
- Cyber- und Informationsraum
- 18.06.2024
- Bonn
Grand Quadriga
Führungsunterstützung bei Grand Quadriga
- Übung
- Cyber- und Informationsraum
- 17.06.2024
- Litauen
Halbzeit für EUEuropäische Union-Projekt
Das Cyber and Information Domain Coordination Centre
- Sicherheitspolitik
- Cyber- und Informationsraum
- 14.06.2024
- Bonn
Katastrophenhilfe
Bundeswehr im Hochwasser-Einsatz
- Amtshilfe
- Cyber- und Informationsraum
- 07.06.2024
- Dillingen an der Donau
Bündnisverteidigung
Cyber-Übung CWIXCoalition Warrior Interoperability eXploration, eXperimentation, eXamination eXercise: Entwickeln, Testen, Optimieren
- Multinationalität
- Cyber- und Informationsraum
- 05.06.2024
- Bydgoszcz
Weltraumfähigkeiten
Einsatzunterstützung aus dem Weltraum
- Weltraum
- Cyber- und Informationsraum
- 05.06.2024
- Bonn
Digitallabor
Zentrum für Digitalisierung bei der ILAInternationale Luft- und Raumfahrtausstellung 2024
- Digitalisierung
- Cyber- und Informationsraum
- 07.05.2024
- Bonn
Partner in der Industrie
Vertreter der Deutschen Telekom bei Locked Shields 2024
- Cyber-Sicherheit
- Cyber- und Informationsraum
- 03.05.2024
- Kalkar
Bundeswehr – SMART durch KIkünstliche Intelligenz
Wie können wir Künstlicher Intelligenz vertrauen?
- Digitalisierung
- Cyber- und Informationsraum
- 29.04.2024
- Berlin
NATO-Übung
Soldaten der Cyber-Reserve bei Locked Shields 2024
- Cyber-Sicherheit
- Cyber- und Informationsraum
- 29.04.2024
- Kalkar

Virtuelle Schilde hoch – Locked Shields 2023