Auf dem digitalen Gefechtsfeld – Locked Shields

Ende April fand die größte Live-Fire-Cyber-Übung Locked Shields 2018 statt. Auf dem digitalen Gefechtsfeld ging es darum, die Netzwerke und Systeme des fiktiven Staates Berylia vor Angriffen aus dem Cyberraum zu schützen – mit Erfolgen für die rund 40 deutschen Teilnehmer an der Übung.

Kontrollverlust

Eine Tür fliegt auf. „Herr Major, ich brauche eine Leitungsentscheidung. Wir haben die komplette Kontrolle über den *Router Management*-Server verloren und können uns nicht mehr einloggen“, schallt es im Stakkato durch den Raum. Die Augen von Hauptmann H. sind ungeduldig auf seinen Chef, Major Bernd Kammermeier gerichtet. Jetzt geht es schnell – Adrenalin liegt in der Luft.

Im Raum herrscht gespannte Konzentration. An einer großen Übersichtstafel ist die Darstellung eines Netzwerkes angeschlagen, in sechs Gruppen sitzen Soldaten und zivile Mitarbeiter um große Tische mit mehreren Rechnern herum. Konzentriert blicken Sie auf die Bildschirme mit Zahlenreihen. Die Finger der Soldaten fliegen über Tastaturen. Kammermeier geht zügig zu einem Tisch. „Versuchen Sie die Maschine komplett zurücksetzen und neu aufzusetzen“, gibt Kammermeier ruhig seine Anweisung.

Die Übung

Das Szenario ist Teil der Übung Locked Shields der NATONorth Atlantic Treaty Organization und erinnert nur auf dem ersten Blick an ein normales Gefecht am Boden oder in der Luft. „Locked Shields ist die größte und komplexeste internationale Live-Fire-Cyber-Abwehrübung der Welt“ erklärt Kammermeier, der Leiter des deutschen Blue Teams auf der Übung. „Live-Fire bedeutet in diesem Zusammenhang, dass man sich in Echtzeit gegen eine Vielzahl unterschiedlichster Cyber-Angriffe zur Wehr setzen muss.“ Die Übung wird vom NATONorth Atlantic Treaty Organization Cooperative Cyber Defense Center of Excellence (CCDCOECenter for Cyber Defence Centre of Excellence) in Tallinn/Estland organisiert und gesteuert. Insgesamt nehmen auch dieses Jahr wieder mehr als 20 Nationen teil – gleichzeitig, in Echtzeit, im virtuellen Raum, mit realen Teams in allen NATONorth Atlantic Treaty Organization Ländern, die aus ihren jeweiligen Heimatländern heraus im Übungsnetzwerk eingeloggt sind.

Das Gefechtsfeld

„Unser Auftrag ist, die Netzwerke und Systeme des imaginären Staates Berylia im digitalen Raum zu verteidigen“, so Kammermeier. „So versucht zum Beispiel die Hackergruppe Anti-Berylia Community, welche dem aggressiven Nachbarn aus Crimsonia nahesteht, die Kontrolle über unsere Aufklärungsdrohne zu übernehmen und gezielt in bewohntem Gebiet abstürzen zu lassen.“ Um für diese Angriffe bestens gewappnet zu sein haben sich die deutschen Blue Teams besonders aufgestellt und spezialisiert. „Wir haben ein Team für Linux, eines für Windows und so weiter“, sagt Kammermeier. „Da die Netzwerke alle Systeme verschiedener Hersteller beinhalten, würde ein anderer Kräfteansatz die Systemkompetenz zu sehr zersplittern.“ Zudem sind in dem deutschen Blue Team auch Teilnehmer aus anderen Institutionen und Firmen, zum Beispiel aus der Firma Symantec oder auch aus dem Bundesamt für Sicherheit in der Informationstechnik. Von dort kommt der Cyber-Reservist Oberstleutnant der Reserve W., der knapp beschreibt, warum er im Zentrum für Cybersicherheit der Bundeswehr übt: „Mein Ziel ist, die Zusammenarbeit zwischen dem BSIBundesamt für Sicherheit in der Informationstechnik und der Bundeswehr noch weiter zu verbessern.“

Der digitale Kampf

„Unsere Gegner belegen uns gerade nur noch mit Denial of Service (DoS) – Angriffen (völliges Außerkraftsetzen eines Systems)“ sagt Stabsfeldwebel K. aus dem Windows Team. „Ich werte das aber als Kompliment, weil ihnen nichts anderes mehr übrig bleibt als alles kaputt zu machen“. Das  eigentliche Interesse der Gegner sei, unbemerkt und „leise“ in das System einzudringen und auf diese Weise Informationen abzuschöpfen. „Das gelingt denen aber offensichtlich nicht mehr, also haben wir gut gearbeitet“, resümiert er mit einem zufriedenen Lächeln. Eine gute Stunde später sitzt er plötzlich angespannt vor seinem Bildschirm, nun hat er keinen Zugriff mehr auf den eigenen Server. Tja, manchmal kommt es anders als man denkt. Eine ganz andere Sache ist das „laute“ Angreifen von Webseiten. „Hier kommt es darauf an, dass eine möglichst hohe Anzahl Nutzer im Internet diesen Angriff wahrnimmt“, erläutert Hauptmann H. aus dem Linux Team. „Da erscheint auf dem Bildschirm plötzlich die Aufforderung an die NATONorth Atlantic Treaty Organization nach Hause zu gehen“, führt er weiter aus. „Da ist es ganz wichtig, dass dieses „Defacement“ der Seite so schnell es geht wieder rückgängig gemacht wird“, resümiert der Hauptmann und nimmt wahr, dass in diesem Augenblick schon wieder jemand die NATONorth Atlantic Treaty Organization nach Hause schicken möchte.

Die Lösung

Das Gefecht im Cyberraum wiegt hin und her. Kontrolle über Systeme geht verloren und wird wiedergewonnen, mal um mal. Warum die Netzwerke nicht von vorne herein angriffssicher gehärtet werden erklärt Major Kammermeier: „Je härter ich ein System im Vorfeld gegen Angriffe sichere, umso mehr schränke ich dessen Nutzbarkeit ein. Unsere Arbeit ist daher immer wieder ein Spagat zwischen der Nutzbarkeit der Systeme und der Absicherung. Das Risiko eines Angriffes müssen wir also bewusst eingehen, entscheidend ist, dass wir ihn auch abwehren können“, sagt Kammermeier und verweist auf das Ranking der an der Übung teilnehmenden Blue Teams, auf dem es je nach Intensität der Angriffe auf und ab geht mit dem deutschen Blue Team.
Frau B. und Stabsfeldwebel G. retten unterdessen einen Blogserver. „Der ist zu alt und kann nicht mehr gepatcht werden“, sagt Frau B. „Wir versuchen den Server neu aufzusetzen ohne die gesamte Datenbank zu zerschießen“, lautet die klare Ansage an das Team. Am Ende schaffen sie es tatsächlich, die Kontrolle über den Server wiederzuerlangen. Wie genau, bleibt ihr Geheimnis. „Sie können´s halt“, zwinkert Kammermeier vielsagend.

Der Erfolg

Am Ende landet das deutsche Blue Team im Mittelfeld der 22 angetretenen Teams der NATONorth Atlantic Treaty Organization. Eine Sonderwertung, Forensik, geht aber tatsächlich wie schon in den beiden Jahren zuvor erneut an das deutsche Team. „Das ist doch wieder ein toller Erfolg“, freut sich Major Kammermeier. Dann bringt er es aber auf den Punkt: „Wichtiger als das Ranking ist mir, dass wir uns weiterentwickeln. Wir agieren unter realen Bedingungen und können uns mit dem fiktiven Gegner messen. Da hilft auch mal eine kleine Niederlage, um uns am Ende besser zu machen“.