Gemeinsam im Einsatz: BLKA und LSI trainieren am FI CODE

25 März 2024

Mitarbeiterinnen und Mitarbeiter vom Bayerischen Landeskriminalamt (BLKA) und dem bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) trainierten vergangene Woche in der Cyber-Range des FI CODE für den Ernstfall. LSI-Präsident Bernd Geisler und Vizepräsident Dr. Thomas Kaiser sowie Vertreter des BLKA besuchten die zwölf Teilnehmenden vor Ort und nutzten die Gelegenheit für Gespräche mit CODE-Direktor Prof. Dr. Wolfgang Hommel.

In der Cyber-Range des FI CODE trainierten am 21. und 22. März Mitarbeitende von BLKA und LSI gemeinsam die Bekämpfung von Cyberangriffen. Die zwölf aktiven Teilnehmenden wurden in einem realitätsnahen Szenario herausgefordert. Ziel war es, die Reaktion auf einen komplexen Cyberangriff auf ein Krankenhaus zu üben.

Realitätsnahe Herausforderung: Ein Advanced Persistent Threat (APT)

Im Szenario „InTime“ sahen sich die Teilnehmenden mit einer bedrohlichen Situation konfrontiert: Das IT-System eines Krankenhauses war durch Ransomware verschlüsselt worden. Dies hatte katastrophale Auswirkungen auf den Betrieb und die Patientensicherheit. Jedoch blieb es nicht bei einem einfachen einstufigen Angriff. Der Angriff stellte einen sogenannten Advanced Persistent Threat (APT) dar, bei dem der Angreifer sich nicht nur Zugang zum Netzwerk verschafft, sondern dort auch weiterhin unauffällig agiert, indem er sich tarnt und weitere Systeme übernimmt. Auch Evasion-Techniken zur Umgehung von Sicherheitssoftware wurden von Angreifer eingesetzt.

Besonders herausfordernd war dabei die Tatsache, dass den Teilnehmenden keinerlei Zusatzinformationen, wie beispielsweise Netzpläne, zur Verfügung gestellt wurden. Alle relevanten Informationen mussten selbst beschafft werden, sei es durch Befragung der Lagedarsteller oder durch andere investigative Methoden. Dies spiegelt die Realität wider, in der Forensiker und IT-Experten oft mit unvollständigen Informationen arbeiten müssen.

Um den Angriff so authentisch wie möglich zu gestalten, wurden reale Vulnerabilities ausgenutzt. Drei Schwachstellen aus dem Jahr 2021 wurden von den Trainingsleitern miteinander verknüpft, um den fiktiven Angreifern den Zugriff auf das System zu ermöglichen. Diese Art der Herangehensweise bot den Teilnehmenden die Gelegenheit, auch ihre Fähigkeiten hinsichtlich Identifizierung und Behebung von Sicherheitslücken zu schärfen.

DSC05409_bb.jpgEin Schlüsselaspekt des Trainings war die enge Zusammenarbeit innerhalb des gemischten Teams. (Foto: FI CODE)

Praxisnahe Übung und intensive Herausforderung: Reaktion auf den Angriff und forensische Analyse

Das Training begann mit einfachen Übungen, bei denen sich die Teilnehmenden mit dem verwendeten System und den Tools vertraut machen konnten. Das eigentliche Szenario, das den APT-Angriff simulierte, startete dann am Mittag des ersten Trainingstages und lief bis zum Ende des zweiten Tages. Während dieses Zeitraums mussten die Ermittelnden nicht nur den Angriff selbst bewältigen, sondern auch forensische Analysen durchführen und die Abläufe im Krankenhausnetzwerk verstehen.

Die enge Zusammenarbeit innerhalb des gemischten Teams war dabei ein Schlüsselaspekt des Trainings. Durch den Austausch von Know-how und Ressourcen konnten die Teilnehmenden wertvolle Einblicke gewinnen und ihre Fähigkeiten im Umgang mit Cyberangriffen weiterentwickeln. Solche Übungen sind entscheidend, um die Sicherheit der digitalen Infrastruktur auch in Zukunft zu gewährleisten und die Reaktionsfähigkeit der Behörden in Krisensituationen weiter zu stärken.

Gespräche zu Möglichkeiten der engeren Zusammenarbeit

In einer parallel zur Übung stattfindenden Gesprächsrunde zwischen hochrangigen Vertreterinnen und Vertretern von LSI, BLKA und FI CODE sprach man am Donnerstagnachmittag über den weiteren Bedarf an Cyber-Range-basierten Trainings sowie über Möglichkeiten zur engeren Zusammenarbeit der drei Institutionen.

DSC05445_bb_LinkedIn.jpgSprachen über den weiteren Bedarf an Cyber-Range-basierten Trainings und die Möglichkeiten zur engeren Zusammenarbeit (v.l.n.r.): Dr. Thomas Kaiser (Vizepräsident LSI), Prof. Dr. Wolfgang Hommel (Leitender Direktor FI CODE), Bernd Geisler (Präsident LSI), KD Dieter Hausberger (Dezernatsleiter Cybercrime, BLKA), LtdKD Simone Lang (Abteilungsleiterin Zentrale kriminalpolizeiliche Dienste, BLKA). (Foto: FI CODE)

 

Teaserbild: LSI-Präsident Bernd Geisler (r.) besuchte zusammen mit LSI-Vizepräsident Dr. Thomas Kaiser sowie Vertreterinnen und Vertretern des BLKA die zwölf Trainingsteilnehmenden vor Ort am FI CODE. (Foto: FI CODE)

Aktuelles

CODE-Kolloquium mit Dr. Hanzlik

Zum Thema "Fast IDentity Online with Privacy and Attributes" sprach Herr Dr. Lucjan Hanzlik vom CISPA Helmholtz-Zentrum für Informationssicherheit am 17. April 2024 im Rahmen des CODE-Kolloquiums .

Angewandte Forschung für Verteidigung und Sicherheit in Deutschland

Im Rahmen der Fachkonferenz der Deutschen Gesellschaft für Wehrtechnik e. V. (DWT) stellte Mario Silaci in der vergangenen Woche das von dtec.bw geförderte CODE-Projekt „ROLORAN“ vor.

CODE-Kolloquium mit Prof. Rieck

Wissenschaftliche Paper, die sich ihre Reviewer selbst aussuchen können? Wie dies mit Hilfe von Adversarial Machine Learning möglich ist, zeigte Professor Konrad Rieck (TU Berlin) am vergangenen Mittwoch im Rahmen des CODE-Kolloquiums.

GCMC-Vertreter zu Gast am Forschungsinstitut CODE

Vertreter des George C. Marshall Center (GCMC) in Garmisch-Partenkirchen besuchten am Dienstagvormittag das Forschungsinstitut CODE, um vor Ort Einblicke in die aktuelle Forschung und Lehre zu erhalten.

Jour Fixe Innovation CIT in Koblenz

In Koblenz kamen verschiedene Akteure aus Militär, Wissenschaft, Technik und Verwaltung zusammen, um gemeinsam über Themen der Digitalisierung und Innovation in der Bundeswehr zu sprechen.

Cyber Days zu Gast bei CODE

Mitarbeitende der Mitglieder im Digitalausschuss des Bundestages sowie Referentinnen und Referenten der Fraktionen besuchten am 14.02. im Rahmen der Cyber Days das Forschungsinstitut CODE, um sich vor Ort über die komplexen Themen der Cybersicherheit zu informieren.