Staatliches „Cyber Wargame“ in Deutschland

Übungszentrum Netzverteidigung, eine Übung zur Sensibilisierung in Sicherheitsfragen

Interplay of fingerprint, digital circuitry and technological background on the subject of security, hacking, online accounts and privacy

Bei der Vorbereitung dieses Kapitels trafen die bereits vorhergesehenen Probleme ein. Auch wenn Firmen interne Sicherheitsprogramme haben, die der Präsentation sicherlich würdig gewesen wären, wollte kein Unternehmen unter Namensnennung, sozusagen „vor laufender Kamera“, etwas über seine Sicherheitsstrategien veröffentlicht sehen. Und eine komplett anonymisierte Darstellung von Methoden und Verfahren ist sicherlich auch nicht so spannend wie die tägliche, reale Welt der Unternehmenssicherheit.

Exemplarisch wollen wir hier nun zwei Beispiele vorstellen, die verdeutlichen, in welcher Bandbreite sich „Angriff und Verteidigung“ im realen Leben der Unternehmen darstellen.

  • Übungszentrum Netzverteidigung          Unser erstes Fallbeispiel stammt aus einem Seminar, das das BSI in regelmäßigen Abständen stattfinden lässt. In gutem Deutsch heißt es Übungszentrum Netzverteidigung und ist eine einwöchige Veranstaltung, die mehrmals im Jahr stattfindet. Den Mitgliedern der Allianz für Cyber-Sicherheit steht es kostenlos zur Verfügung, allerdings ist die Wartelist sehr lang und die Plätze werden entsprechend nur ausgelost. Diese Übung würde im anglo-amerikanischen Sprachraum wahrscheinlich eher „Cyber Warfare“ heißen und dramatischer aufgebaut sein. Allerdings hat man am Ende der Woche, die in einem Angriff auf ein (simuliertes) Krankenhaus-Netzwerk gipfelt und in der die Teilnehmer zu gleichen Teilen Angreifer und Verteidiger sind, eine umfassende Schulung genossen und ein adrenalinfördernde Übung durchgeführt, in der man ein Gefühl dafür bekommt, was ein echter Angriff bedeutet. Dieser Lerneffekt gilt für Angreifer und Verteidiger gleichermaßen.

„Man muss überleben, während man angegriffen wird – weiterarbeiten während jemand anders im eigenen Netz ist und die wertvollen Daten mehr schützen als die normalen Daten“. Dieses Zitat stammt von dem Ex-Chef der NSA, General Hayden und beschreibt die Quintessenz dieser Betrachtungen sicherlich besonders prägnant.

1.1.1       Übungszentrum Netzverteidigung

Mehrmals im Jahr können 20 Teilnehmer der Allianz für Cybersicherheit an einem vom BSI organisierten Übungszentrum Netzverteidigung teilnehmen. Hierbei handelt es sich um einen 5-tägigen Kurs, der alle wichtigen Themen rund um das Thema Sicherheit für Behörden-und Unternehmens-IT behandelt. Am Schluss werden die Teilnehmer in zwei Gruppen namens Angreifer und Verteidiger eingeteilt und auf ein simuliertes Krankenhaus-Netzwerk „losgelassen“. Das ist die klassische Idee eines War Game, einer Übung zur Netzverteidigung.

Dieses Seminar soll etwas ausführlicher behandelt werden, weil es exemplarisch zeigt, wie eine Ausbildung im Bereich Sicherheit aussehen sollte und vor allem, weil es die Realitäten im Falle eines echten Angriffs widerspiegelt und die Unsicherheit über das Verhalten im Ernstfall nimmt. Solch ein Kurs wird in dieser Form nicht nur vom BSI angeboten, es gibt national und international weitere Kurse. Diese werden oft nicht nur als Präsenzkurse angeboten, sondern sind auch online verfügbar. Auch SAP bietet einen solchen Kurs an, das sei hier der Vollständigkeit halber vermerkt. Wer ernsthaftes Interesse hat und eine Rolle nicht nur in der SAP-IT-Sicherheit seines Unternehmens übernimmt, sollte den Besuch eines solchen Kurses ernsthaft in Erwägung ziehen.

Die Veranstaltung soll ausdrücklich nur eine Demonstration zur „Sensibilisierung“ in Bezug auf IT-Sicherheitsthemen in Unternehmen sein. Es soll keine Chance haben, zu einer „Hacker-Plattform zu werden, in der aktives Hacking unterrichtet wird. Und die Zielgruppe soll auch eindeutig bleiben, das soll die Ausrichtung auf Behörden und die „Allianz für Cyber-Sicherheit“ gewährleisten. Dieser Charakter der Demonstration und Darstellung zieht sich auch durch alle Übungen durch, Die Illustration der Gefahren wird immer deutlich.

Während des Kurses frischen die Teilnehmer ihre Kenntnisse über Netzwerke und Protokolle, Router und Firewall auf und lernen die Standard-Tools der Hacker-Welt wie Nmap, Metasploit und sqlmap in der Kali-Linux-Distribution kennen. Das sind die Fähigkeiten und Werkzeuge, die jeder Administrator, jeder Mitarbeiter in der IT-Sicherheit mitbringen und trainiert haben sollte. Auch für Sie, der sich für das Thema SAP-Sicherheit interessiert, sind dies die Grundlagen, die in einer Sicherheitsdiskussion auch bei SAP-Systemen immer wieder gebraucht werden. Nicht die Tatsache, dass man der schnellste Hacker am Linux-Prompt ist, sondern eher der Fakt, dass man in einem überraschenden Angriff auf einmal in der Verteidiger-Gruppe für das eigene Unternehmensnetzwerk steht und dort eine Funktion übernehmen muss, sollte Motivation sein, solche Thematik kennenzulernen und sich einer solchen Situation in einem Test-Umfeld zu stellen und nicht erst im Ernstfall.

Auch der Schulungs-Tag über Angriffe (meistens mittels Metasploit) hat einen eigenen Wert für Unternehmen. Es ist eben ein Unterschied, ob man über die Verletzbarkeit von Windows XP oder Windows-Servern, über die Angriffe auf E-Mail-Server hört oder ob man selber diese Angriffe ausführt und sieht, wie leicht es oft geht, wenn die Systeme nicht ausreichend gepatcht sind. Spätestens an diesem Punkt hat man gelernt (und die meisten Administratoren haben es entsprechend mit nach Hause genommen) dass es für alle IT-Geräte zwingend notwendig ist, auf einem aktuellen Patch-Stand zu sein.

Es geht oft nicht darum, wie abenteuerlich eine Lücke ist. Es reicht aus, dass die Lücke dokumentiert ist. Denn einige Tage oder Wochen später steht eine entsprechende „Payload“ für die Werkzeuge wie Metasploit bereit, die es erlaubt, diese Lücke automatisch und wiederkehrend auszunutzen. Und diesem Punkt muss man durch aktuelles Patch-Management begegnen. Es sind oft die kleinen, exotischen Lücken, an die niemand gedacht hat, die dann ausgenutzt werden. Ein Werkzeug kann mehrere Hundert Sicherheitslücken einfach durchprobieren – und unterscheidet hierbei eben nicht nach Leichtigkeit, sondern arbeitet eine Liste ab.

Beispiel: Stirb Langsam 4.0

Der Action-Film Stirb Langsam 4.0 aus der Die Hard-Reihe mit Bruce Willis hat durchaus zu Aufregung bei den amerikanischen Geheimdiensten geführt. Die Macher wurden von der NSA kritisiert, die hier in der ersten halben Stunde des Action-Reißers eine komplette Anleitung und Drehbuch für Cyber-Terroristen gesehen hat. Dem Zuschauer wird minutiös gezeigt, wie man ganz Washington nur durch Infrastruktur-Hacks zerstören kann. Es ist wirklich ein durchaus sehenswerter Lehrfilm für jeden ernsthaften Hacker mit Sinn für Unterhaltung.

Die Übung zu Netzangriff und Netzverteidigung am letzten Tag bildet den Abschluss der Woche. Waren die 4 Tage davor noch vom Lernen und Üben beherrscht, sollen die Teilnehmer nun am letzten Tag das Gelernte unter Stress umsetzen. Die Angreifer bekamen die IP-Adresse von Router und Netzwerk des Hospitals mitgeteilt und die Verteidiger einen „veralteten“ Plan ihres Krankenhaus-Netzwerkes, das aus ca. 10 Servern und ebenso vielen Desktops bestand.

Ziel des „Capture The Flag“ war ein 3D-Transplantations-Drucker, der die ganze Zeit mehrere Ohren druckte (die dann verschenkt wurden) Wäre dieser Drucker erobert (und stillgelegt) worden, wäre die Übung vorbei gewesen.

Das Spannende an der Übung war die Dynamik, die sich hier entfaltete. Als Mitglied der Verteidiger sah ich mich mit dem klassischen Problem konfrontiert, das sicherlich alle Leser (in ihren Unternehmen) kennen. Es gibt nämlich viel mehr Server als man auf dem Diagramm vor sich hat und einige davon sind auch noch kritisch. Also wird mit nmap noch während des Angriffs dokumentiert, was der Netzwerk-Scan hergibt.

Nachdem wir nach etwa einer Stunde ein Gefühl dafür entwickelt hatten, welches Ziel die Angreifer im Visier hatten, konnte wir durch gezielte tcpdumps zwischen Firewall und Zielserver den Netzwerk-Verkehr ansehen und daraus ableiten, was geplant war. Gleichzeitig musste man aber alle anderen Perimeter im Auge behalten, denn es konnte ja sein, das ein Angriff, den man beobachtete, nur ein Ablenkungsmanöver war.

Wie das Übungszentrum Netzverteidigung ausging? In unserem Buch über SAP Security haben wir weitere Informationen zu diesem „Wargame“ und weitere Beispiel für Cyber Emergency Response Teams.

Weitere Informationen zu dem Buch: SAP Systeme schützen