Erneute Leistungssteigerung an der Cyberübung Locked Shields
Im April fand die diesjährige Ausgabe der international grössten Cyberübung Locked Shields statt. Die Schweiz nahm in einem Joint Blue Team mit Estland und Belgien teil. Gegenüber dem Vorjahr konnte sich die Schweiz vom zehnten auf den siebten Rang verbessern. Damit setzt sich der Aufwärtstrend der letzten Jahre fort.
04.05.2023 | Kommunikation Verteidigung, Andreas Müller
Finger hauen in die Tasten, angeregte Diskussionen und Fachsimpeleien sorgen für einen ständigen Grundpegel. In den Räumlichkeiten des Blue Team 12 schwebte eine beinahe greifbare Spannung in der Luft. Hochkonzentriert und motiviert begannen die Teilnehmenden des Joint Blue Teams 12 bereits über zwei Wochen vor dem sogenannten «Day Zero» mit der Vorbereitung auf die Übung. In dieser Zeit voller Fleissarbeit wurden vor allem die später zu schützenden Systeme gehärtet, also gegen möglichst viele Arten von Angriffen geschützt. In der Übung Locked Shields müssen sich die Blue Teams mit einer Vielzahl von Bedrohungen auseinandersetzen. Dazu gehören Phishing-Angriffe, Ransomware-Attacken, DDoS-Attacken und andere Bedrohungen (siehe Box).
Die Teilnehmenden müssen in Echtzeit ihre Fähigkeiten zur Erkennung und Abwehr von Cyber-Angriffen unter Beweis stellen. Das fordert ein hohes Mass an Konzentration und Durchhaltevermögen. Während der «Live Fire»-Phase der Übung machten die Teilnehmenden gestaffelt Pausen, um die ständige Überwachung der Systeme garantieren zu können. Der ständige Stress, ob man wohl gleich vom Mittagessen zurück an den Computer zurück muss, um einen aktiven Angriff abzuwehren, war den Teilnehmenden ständig anzusehen. Die Übung Locked Shields ist eine der wichtigsten und grössten «Live Fire»-Cyberübungen weltweit und ein wichtiger Bestandteil der Aus- und Weiterbildung von IT-Spezialisten im Bereich der Cyber Abwehr. Neben den technischen Fähigkeiten müssen die Teilnehmenden der Übung Locked Shields auch über ausgezeichnete Kommunikations- und Kooperationsfähigkeiten verfügen. Bedrohungen durch Cyber-Angriffe können sehr schnell eskalieren und auf andere Bereiche übergreifen, was ein schnelles und koordiniertes Handeln erfordert.
Berylia vs. Crimsonia
In der fiktiven Welt von Locked Shields, in welcher Berylia bei der Abwehr von Angriffen aus Crimsonia Unterstützung benötigt, gibt es nicht nur Aufgaben für Cyberspezialisten. Auch die Informationssphäre und die Rechtslage sind wichtige Bestandteile der Auswertung. So musste das Info-Team bereits in der Vorbereitungsphase Informationskampagnen organisieren und veröffentlichen. Während der Übungstage wurde das Team zusätzlich mit komplexen Medienanfragen konfrontiert, deren Beantwortung stets die Zusammenarbeit mit dem Legal Team und die Abstimmung mit den technischen Teams erforderte. Das Legal Team war nicht nur beratend für die anderen Teams tätig, sondern wurde auch selbst mit schwierigen Anfragen konfrontiert.
Internationale Kooperation als Schlüssel zum Erfolg
Die Übung Locked Shields ist wichtig für eine bessere Zusammenarbeit zwischen verschiedenen Ländern und Armeen im Bereich der Cyber Abwehr. Die Teilnehmenden der Übung kamen aus 34 Nationen und mussten jeweils innerhalb der Blue Teams eng zusammenarbeiten, um Bedrohungen zu erkennen und abzuwehren. Dies fördert nicht nur die Kooperation und den Austausch von Best Practices, sondern stärkt auch das Vertrauen zwischen den Nationen.
Die Teilnahme der Schweizer Armee an der Übung Locked Shields ist ein elementarer Bestandteil der immer besser werdenden Cyber Abwehr in der Schweiz. Die Bedrohungen durch Cyber-Angriffe werden immer komplexer und anspruchsvoller, da sie nicht nur Unternehmen, sondern auch die Betreiber von kritischen Infrastrukturen wie Energie- und Wasserversorgung, Verkehr und Gesundheitswesen betreffen können. Deshalb ist es wichtig, dass die Schweiz über die notwendigen Fähigkeiten und Technologien verfügt, um auf diese Bedrohungen zu reagieren und ihre eigenen Systeme und Infrastrukturen zu schützen. Um die Zusammenarbeit im Sicherheitsverbund Schweiz zu trainieren, waren auch Mitarbeitende von Betreibern Kritischer Infrastrukturen Teil des Blue Team 12.
Aufwärtstrend bestätigt
Die Schweiz nahm schon über zehn Mal an Locked Shields teil und kann auch dieses Jahr ihren Aufwärtstrend bestätigen. Das Blue Team 12 erreicht dieses Jahr den siebten Rang. Für die Schweizer Teilnehmenden bedeutet dies eine Verbesserung um drei Plätze. «Rang sieben von 24 macht uns sehr stolz und zuversichtlich», sagt Oberst i Gst Pierre Kilchenmann, Blue Team Leader des estnisch-belgisch-schweizerischen Joint Teams. Besonders gut abgeschnitten haben dieses Jahr das Info Team (2. Rang) und das Legal Team (3. Rang). Auch das Forensik Team, das beispielsweise Datensätze auf Spuren von Malware untersucht, kann mit seiner Leistung mehr als zufrieden sein (3. Rang).
Fotos
Attacken
Was gab es für Attacken?
DDoS-Attacke:
Eine DDoS-Attacke (Distributed Denial of Service Attack) ist eine Cyberattacke, bei der ein Zielserver oder eine Website durch eine überwältigende Anzahl von Anfragen und Datenverkehr überlastet wird. Diese Anfragen kommen von vielen verschiedenen Quellen, die oft Teil eines sogenannten Botnetzes sind, das von einem Angreifer kontrolliert wird. Das Ziel einer DDoS-Attacke besteht darin, den Server oder die Website so zu überlasten, dass sie für normale Benutzer nicht mehr zugänglich ist und somit den Betrieb beeinträchtigt oder ganz lahmlegt.
Phising-Attacke
Eine Phishing-Attacke ist eine Form von Cyberangriff, bei der ein Angreifer versucht, persönliche Informationen von ahnungslosen Nutzern zu stehlen, indem er sich als eine vertrauenswürdige Quelle ausgibt. Dies kann in Form von gefälschten E-Mails, Websites oder Nachrichten geschehen, die den Benutzer dazu bringen sollen, vertrauliche Daten wie Benutzernamen, Passwörter oder Kreditkarteninformationen preiszugeben.
Stromausfall-Attacke
Eine Stromausfall-Attacke kann sowohl durch kinetische Angriffe sowie durch ein Cyberangriff erreicht werden. Die Systeme und Netze, welche nicht auf einem Notstromnetz sind, werden nicht korrekt heruntergefahren. Das Neustarten der Systeme und Netze, insbesondere Router, Switches und Firewalls kann je nach Konfigurationen von Stunden bis zu Tagen dauern. Weiter kommt oft vor, dass die Geräte diesen abrupten Unterbruch der Stromversorgung nicht überleben und ersetzt werden müssen.
STRATEX
Parallel zum technischen Teil der NATO-Cyberübung Locked Shields übte das Netzwerk Cyber der Bundesverwaltung die gemeinsame Bewältigung eines Cybervorfalls. Die Teilnehmer bestimmten Verantwortlichkeiten und Massnahmen für Krisenfälle. Alle können rascher handeln, wenn sie das Ökosystem und die Köpfe kennen. Bei der Strategieübung von Locked Shields 2023 (STRATEX) arbeiteten insgesamt 15 beratende Expertinnen und Experten der Entscheidungsträger aus fünf Departementen und 7 Bundesämtern zusammen. Die STRATEX-Gruppe führte Florian Egloff, Chef Cyber des Bereichs Digitalisierung und Cybersicherheit VBS.