„Künftig gehen wir einen Schritt weiter, indem wir bereits gefundene Schwachstellen von ITInformationstechnik-Systemen in der Bundeswehr aktiv ausnutzen und mögliche Auswirkungen auf die Einsatzbereitschaft der unterschiedlichsten Systeme feststellen“, so Oberleutnant Christian Behling aus dem Zentrum für Cyber-Sicherheit der Bundeswehr. „Dabei haben wir das große Ziel, alle vernetzten Systeme der Bundeswehr sicherer zu machen – vom einfachen Servernetz bis zur Fregatte oder dem Eurofighter.“
Behling gehört zum Penetration-Team am Zentrum für Cyber-Sicherheit der Bundeswehr. Seine Aufgabe geht deutlich weiter als festzustellen, wie viele mögliche Einfallstore ein Angreifer in den Netzen der Bundeswehr finden kann. „Dieses reine Aufspüren von Sicherheitslücken machen in der Bundeswehr unsere Kameraden der Schwachstellenanalyseteams. Dazu werden vor allem die Ergebnisse von automatisierten Tools und Scannern ausgewertet“, erzählt Behling. „Sie finden damit mögliche Angriffspunkte für Hacker und stellen fest, wo Lücken geschlossen werden müssten, um Angreifern keinen Zugang zu Systemen der Bundeswehr zu ermöglichen.“
Behlings Arbeit beginnt danach. „Wir, das Penetration-Team, testen, welche Auswirkung das Ausnutzen dieser Schwachstellen auf das System haben und welchen Schaden das im schlimmsten Fall bewirken kann“, erklärt Behling. „Wir simulieren sozusagen die Möglichkeiten von echten Cyberangreifern. Durch den höheren Zeitaufwand im Vergleich zur Schwachstellenanalyse ist dies jedoch nur selektiv möglich.“ Dabei unterscheidet sich das Penetrationtesting sowohl von der Methodik als auch von der Strategie von anderen Möglichkeiten des Testens. Behling und sein Team blicken so beispielsweise mit einem ganzheitlichen Ansatz auf das System. „Wir arbeiten eng mit den Systemadministratoren vor Ort zusammen. Sie wissen, dass wir in Ihrem System sind und stellen uns alle wichtigen Informationen wie beispielsweise Zugangsdaten zur Verfügung“, so Behling. „Uns geht es ja nicht darum, unerkannt in das System einzudringen, sondern an alle Stellen im System blicken zu können, um das Risiko einschätzen zu können.“
„Unser Hauptaugenmerk liegt dabei vor allem auf den unterschiedlichsten Waffensystemen der Bundeswehr“, so Behling. „Denn in unserer hochgradig digitalisierten Welt sind heute bereits fast alle Waffensysteme der Bundeswehr in ITInformationstechnik-Netzwerke eingebunden.“ Mit dem Internet sind diese in der Regel jedoch nicht vernetzt, was die deutlich größte Masse an Angriffspunkten bereits ausschließt. Der Personenkreis der möglichen Angreifer ist so beschränkt und spezialisiert. Behling arbeitet deshalb aktiv an Live-Systemen vor Ort. So können unter realen Bedingungen die Auswirkungen sofort beobachtet werden. „Ist das Risiko jedoch zu hoch, dass wir durch das Penetrationtesting einen tatsächlichen Schaden am System hervorrufen könnten, können wir die Systeme auch unter Laborbedingungen nachstellen.“
„Dabei bin ich kein Einzelkämpfer“, sagt Behling. „Wir funktionieren als Team. Jeder von uns hat seine eigene Herangehensweise und spezielle Fachkenntnisse.“ Diese unterschiedlichen Vorgehensweisen sind notwendig und sinnvoll, da jedes System anders ist und anders reagiert. „Oft ist hier auch große Kreativität gefragt“, erklärt Behling. „Nur wenn wir hier unsere Ideen im Team zusammenwerfen, gehen wir alle Wege, die ein möglicher Angreifer auch gehen könnte, um im System zu agieren und Schaden hervorzurufen.“
Doch auch nach dem reinen Austesten der Schwachstellen ist Behlings Arbeit noch nicht getan. „Wir wissen zwar dann welches Risiko besteht, behoben ist die Schwachstelle aber noch nicht“, erläutert Behling. „Deshalb versuchen wir nach der Risikoanalyse, vor Ort mit den Administratoren, direkt die Schwachstelle zu schließen, um ein Eindringen in das System zu verhindern.“ Gelingt dies vor Ort nicht direkt, weil zum Beispiel die Lücke nur durch die Industrie geschlossen werden kann, hält Behling in einen Abschlussbericht eine Risikoeinschätzung fest. „In Zusammenarbeit mit allen Verantwortlichen werden konkrete Empfehlungen ausgearbeitet, um diese Lücken zu schließen“, sagt Behling. „Je größer das Risiko für eine Gefährdung der Einsatzbereitschaft des Systems ist, desto höher wird dann die Behebung der Schwachstelle priorisiert.“
Um diese Tests durchführen zur können sind sehr tief gehende Fachkenntnisse nötig. Behling ist deshalb wie alle Teamangehörigen ausgebildeter und expliziter ITInformationstechnik-Spezialist. „Ich habe an der Universität der Bundeswehr Informatik studiert. Ein Schwerpunkt während meines Studiums war auch der Bereich ITInformationstechnik-Sicherheit. Außerdem habe ich zur Vorbereitung auf die Tätigkeit als Penetrationstester spezielle Industrielehrgänge besucht und verschiedene Zertifizierungen erhalten “, so Behling. „Zusätzlich bin ich an der Schule für Informationstechnik der Bundeswehr als ITInformationstechnik-Offizier ausgebildet worden.“ Neben dieser reinen fachlichen Ausbildung ist Behling aber auch militärisch ausgebildet. „Ich bin zwar Fachmann, aber immer auch noch Soldat“, so Behling. „Ich finde die Mischung macht es hier, wobei ich natürlich nicht mehr ständig auf der Schießbahn und der Hindernisbahn stehe. “
Behling und das Team sind erst vor kurzem im Rahmen der Bündelung der Fähigkeiten im Organisationsbereich Cyber- und Informationsraum neu aufgestellt worden. „Ich bin zwar schon etwas länger am Zentrum für Cyber-Sicherheit der Bundeswehr, aber vor April 2018 haben wir im Team zusammen erst einmal erarbeitet, wie ein solches Team aussehen müsste und was ein solches Team braucht um sinnvoll arbeiten zu können“, sagt Behling. „Die Grundlagen sind jetzt gelegt und wir arbeiten nun wirklich in der Praxis.“ Künftig wir das Penetration-Team weiter aufwachsen, um noch aktiver in der gesamten Bundeswehr testen zu können. „Wir brauchen hier gleichermaßen motiviertes wie spezialisiertes Personal, das leider nicht einfach zu finden ist “, so Behling. „Aber ich kann es jedem empfehlen, diesen Weg zu gehen, denn an solchen hochtechnisierten Waffensystemen und Großgeräten der Bundeswehr aktiv zu testen, kann wirklich nur die Bundeswehr bieten.“
Inhalte teilen via