Manöver "Locked Shield": Nato rüstet sich für den Cyberkrieg
Virtuell und doch ganz real: Die Nato übt mit IT-Experten aus fast 30 Ländern in Talinn, Angriffe auf ihre Infrastruktur abzuwehren.
Es sind zwei Inseln im Atlantik, und sie liegen im Krieg – im Cyberkrieg. Der Angreifer heißt Crimsonia, das Opfer der Attacke Berylia. Und auf der Insel Berylia gibt es noch eine Gruppe gewalttätiger Aufständischer, die mit Crimsonia sympathisiert. Die Cyberattacke richtet sich auf die Strom- und Mobilfunknetze, die Wasserversorgung und auf eine Schiffsflotte.
Schon die Namen Crimsonia und Berylia deuten darauf hin: Die beiden Inselstaaten sind fiktiv. Doch ihr Bezug zur Realität ist sehr eng. Sie stehen im Zentrum des weltweit größten internationalen Manövers für einen Cyberangriff: "Locked Shields". So nennt das Nato-Zentrum für Cyber-Abwehr in der estnischen Hauptstadt Tallinn seine jährliche Übung, an der vor einigen Tagen mehr als 1200 Experten – Militärs wie Zivilisten –aus nahezu 30 Staaten teilgenommen haben.
Ein Partner Partner des Nato Cooperative Cyber Defence Centre of Excellence (CCDCOE) ist Siemens. Das Unternehmen unterstützt die Übung mit Systemen für Energienetzbetreiber. Bei der Übung in Tallinn ist unter anderem das Energienetz eines Versorgers bedroht, der eine fiktive Stadt in Berylia mit Strom beliefert.
Die Angreifer aus dem fiktiven Staat Crimsonia sind Weltklasse-Hacker sein – allerdings nur solche aus Nato-Staaten und befreundeten Ländern. Russen und Chinesen beispielsweise sind aus naheliegenden Gründen nicht beteiligt. Die Angreifer bilden das sogenannte Red Team, das zentral von Tallinn aus operiert. Die Verteidiger sind dagegen in 23 Blue Teams der Teilnehmerländer organisiert. Sie operieren von ihrer Heimatbasis aus.
Die ganzen IT-Systeme und Verbindungen sind natürlich stark gesichert. „Die Verfügbarkeit und die Sicherheit in der Kommunikation stehen an erster Stelle“, sagt Volker Distelrath, der wie sein Kollege Thomas Schreck hochrangiger Cyber-Sicherheitsexperte bei Siemens ist.
Große Herausforderung für die Experten
Die Herausforderung bei dem Cybermanöver ist enorm: Jedes Blue Team muss einen Teil von Berylia schützen, das aus 4000 virtuellen IT-Systemen besteht. Dabei kommen sowohl typische IT-Bürosysteme als auch kritische Infrastruktur-Systeme wie Kommunikationsnetze, Energieversorgungsnetze, Wasseraufbereitung und ein System zur Überwachung von Schiffsflotten zum Einsatz.
Die Blue Teams müssen die Systeme aufrechterhalten und dabei mehr als 2500 Angriffe abwehren. Schon beim Start übernehmen sie verseuchte Systeme mit Schadsoftware und versteckten Hintertüren, durch die Informationen an die Angreifer fließen und durch die Angreifer die Systeme stören und zum Beispiel einen großflächigen Stromausfall auslösen.
Anders als im realen Leben dürfen die Experten aber nicht die Verbindung nach außen unterbrechen, um ihre Systeme in Ruhe wieder aufzubauen. Eine besondere Herausforderung ist der Schutz von kritischer Infrastruktur wie dem Stromnetz. Der Betrieb muss ohne Unterbrechung weiterlaufen, auch wenn das IT-System verseucht ist. Gelingt das nicht, gibt es Minuspunkte.
"Locked Shields" gibt es seit 2010
„Es geht darum, den Stress und die Kommunikation der Teams untereinander zu trainieren“, sagt Schreck. „Die verschiedenen Blue Teams arbeiten zusammen und teilen Informationen über die Angreifer.“ Um das Szenario eines Cyberangriffs möglichst realistisch nachzustellen, müssen die Teilnehmer von Locked Shields während des Manövers auch noch fiktive Anfragen von Medien beantworten und die beunruhigte Bevölkerung aufklären.
Das Manöver "Locked Shields" gibt es seit 2010. Die Initiative ging vom Nato-Zentrum für Cyberabwehr aus. Das Zentrum in der IT-Hochburg Tallinn wird von 20 Nationen aktiv unterstützt und finanziert. Deutschland ist eine der sieben Gründungsnationen, das 2008 ins Leben gerufen wurde. Übungen wie "Locked Shields" sind besonders wichtig für Cybersecurity-Notfallteams von Unternehmen und Betreibern von Stromnetzen.
Im Dezember 2015 war es in der Ukraine zu einem großen Blackout gekommen, der durch einen Hackerangriff verursacht worden war. Verdächtigt wurde Russland.
Jens Tartler