Blue Teaming: Wie man die Verteidigung gegen Internetangriffe übt
Rot gegen Blau
Nicht nur das Angreifen von IT-Systemen und Unternehmensnetzwerken will gelernt sein, sondern auch das Abwehren solcher Angriffe. In Übungen spielen sogenannte Blue Teams verschiedene Szenarien durch.
Vielen IT-Sicherheitsspezialisten wird noch unbekannt sein, dass die estnische Hauptstadt Tallinn nicht nur das wirtschaftliche und kulturelle Zentrum des Landes ist, sondern auch einen wesentlichen Beitrag zur Verteidigung im Cyberraum leistet. Die militärischen Führer haben hier das NATO Cooperative Cyber Defence Centre of Excellence (kurz CCDCOE) eingerichtet.
Gemeinsam mit Industrie und Forschung findet hier seit 2010 die mittlerweile weltweit größte Cyberverteidigungsübung statt. Bei den „Locked Shields“ handelt es sich aber nicht um eine der üblichen Kommandostabsübungen, bei denen vorrangig einzelne Befehlsketten trainiert und die Maßnahmen ausschließlich in der Theorie durchgespielt werden. Stattdessen haben das CCDCOE und seine Partner hier über 4000 virtuelle Systeme eingerichtet, auf denen in mehr als 2500 Angriffen ein realer Cyberüberfall auf ein NATO-Mitgliedsland simuliert wird. Es treten rote gegen blaue Teams an, die eine hochkomplexe Infrastruktur angreifen beziehungsweise verteidigen müssen.
Auch wenn die Bilder einer großen LAN-Party ähneln, so haben die Veranstalter im Laufe der Jahre ein sehr hohes Niveau erreicht, das auch auf internationaler Ebene bisher einzigartig ist. Hier müssen die Teilnehmer in Echtzeit und auf realen Systemen beweisen, ob sie den vielschichtigen Cyberangriffen standhalten können und in der Lage sind, erfolgreich Gegenmaßnahmen einzuleiten. Angesichts der realen Cyberbedrohung bieten die „Locked Shields“ den internationalen Teams die Möglichkeit, ihre Infrastruktur (zum Beispiel Stromnetze, Wasserversorgung und öffentliche Einrichtungen) realen Angriffen auszusetzen und entsprechende Konsequenzen abzuschätzen.
Verantwortliche und Teilnehmer
Die im April 2019 durchgeführte Übung „Locked Shields“ wurde in Kooperation mit den estnischen, finnischen und amerikanischen Streitkräften organisiert. Weitere Unterstützung erhielten sie vom National Security Research Institute der Republik Korea und der Technischen Universität in Tallinn. Darüber hinaus beteiligten sich verschiedene Industriepartner wie die Siemens AG, Ericsson, Cisco und viele weitere Helfer aus der ganzen Welt.
Diesmal traten 24 Blue Teams an, die vorrangig von ihren nationalen Standorten aus agierten. Die deutschen Teilnehmer waren von der Luftwaffenkaserne Köln/Wahn und aus dem Standort Euskirchen mit dem Übungsnetz verbunden (Abbildung 1). Unterstützung erhielten die vorrangig militärischen Übungsteilnehmer aus dem Organisationsbereich Cyber- und Informationsraum (CIR) und der Luftwaffe von zivilen Mitarbeiten des BSI, der BWI GmbH, des Fraunhofer FKIE Bonn und den Firmen Siemens und Symantec.
Sie hatten die Aufgabe, als schnelle Reaktionskräfte einen fiktiven NATO-Staat bei der Abwehr von Cyberangriffen und deren vielfältigen Auswirkungen zu unterstützen (siehe Kasten „Das Szenario der Abwehrübung“). Besonders großer Wert wurde dabei auf die Einsatzbereitschaft der Systeme unter Angriffsbedingungen gelegt. Selbstverständlich war nicht allein der technische Sachverstand gefragt, die Teilnehmer mussten auch strategische Entscheidungen treffen und rechtliche Fragen klären. Um der komplizierten Lage im Einsatzland Herr zu werden, spielte der Umgang mit den Medien und der Bevölkerung eine wichtige Rolle. Dazu betrieb jedes Blue Team eigene Webseiten und beugte durch aktive Informationspolitik Falschmeldungen vor.