Gemeinsam im Einsatz: BLKA und LSI trainieren am FI CODE
25 März 2024
Mitarbeiterinnen und Mitarbeiter vom Bayerischen Landeskriminalamt (BLKA) und dem bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) trainierten vergangene Woche in der Cyber-Range des FI CODE für den Ernstfall. LSI-Präsident Bernd Geisler und Vizepräsident Dr. Thomas Kaiser sowie Vertreter des BLKA besuchten die zwölf Teilnehmenden vor Ort und nutzten die Gelegenheit für Gespräche mit CODE-Direktor Prof. Dr. Wolfgang Hommel.
In der Cyber-Range des FI CODE trainierten am 21. und 22. März Mitarbeitende von BLKA und LSI gemeinsam die Bekämpfung von Cyberangriffen. Die zwölf aktiven Teilnehmenden wurden in einem realitätsnahen Szenario herausgefordert. Ziel war es, die Reaktion auf einen komplexen Cyberangriff auf ein Krankenhaus zu üben.
Realitätsnahe Herausforderung: Ein Advanced Persistent Threat (APT)
Im Szenario „InTime“ sahen sich die Teilnehmenden mit einer bedrohlichen Situation konfrontiert: Das IT-System eines Krankenhauses war durch Ransomware verschlüsselt worden. Dies hatte katastrophale Auswirkungen auf den Betrieb und die Patientensicherheit. Jedoch blieb es nicht bei einem einfachen einstufigen Angriff. Der Angriff stellte einen sogenannten Advanced Persistent Threat (APT) dar, bei dem der Angreifer sich nicht nur Zugang zum Netzwerk verschafft, sondern dort auch weiterhin unauffällig agiert, indem er sich tarnt und weitere Systeme übernimmt. Auch Evasion-Techniken zur Umgehung von Sicherheitssoftware wurden von Angreifer eingesetzt.
Besonders herausfordernd war dabei die Tatsache, dass den Teilnehmenden keinerlei Zusatzinformationen, wie beispielsweise Netzpläne, zur Verfügung gestellt wurden. Alle relevanten Informationen mussten selbst beschafft werden, sei es durch Befragung der Lagedarsteller oder durch andere investigative Methoden. Dies spiegelt die Realität wider, in der Forensiker und IT-Experten oft mit unvollständigen Informationen arbeiten müssen.
Um den Angriff so authentisch wie möglich zu gestalten, wurden reale Vulnerabilities ausgenutzt. Drei Schwachstellen aus dem Jahr 2021 wurden von den Trainingsleitern miteinander verknüpft, um den fiktiven Angreifern den Zugriff auf das System zu ermöglichen. Diese Art der Herangehensweise bot den Teilnehmenden die Gelegenheit, auch ihre Fähigkeiten hinsichtlich Identifizierung und Behebung von Sicherheitslücken zu schärfen.
Ein Schlüsselaspekt des Trainings war die enge Zusammenarbeit innerhalb des gemischten Teams. (Foto: FI CODE)
Praxisnahe Übung und intensive Herausforderung: Reaktion auf den Angriff und forensische Analyse
Das Training begann mit einfachen Übungen, bei denen sich die Teilnehmenden mit dem verwendeten System und den Tools vertraut machen konnten. Das eigentliche Szenario, das den APT-Angriff simulierte, startete dann am Mittag des ersten Trainingstages und lief bis zum Ende des zweiten Tages. Während dieses Zeitraums mussten die Ermittelnden nicht nur den Angriff selbst bewältigen, sondern auch forensische Analysen durchführen und die Abläufe im Krankenhausnetzwerk verstehen.
Die enge Zusammenarbeit innerhalb des gemischten Teams war dabei ein Schlüsselaspekt des Trainings. Durch den Austausch von Know-how und Ressourcen konnten die Teilnehmenden wertvolle Einblicke gewinnen und ihre Fähigkeiten im Umgang mit Cyberangriffen weiterentwickeln. Solche Übungen sind entscheidend, um die Sicherheit der digitalen Infrastruktur auch in Zukunft zu gewährleisten und die Reaktionsfähigkeit der Behörden in Krisensituationen weiter zu stärken.
Gespräche zu Möglichkeiten der engeren Zusammenarbeit
In einer parallel zur Übung stattfindenden Gesprächsrunde zwischen hochrangigen Vertreterinnen und Vertretern von LSI, BLKA und FI CODE sprach man am Donnerstagnachmittag über den weiteren Bedarf an Cyber-Range-basierten Trainings sowie über Möglichkeiten zur engeren Zusammenarbeit der drei Institutionen.
Sprachen über den weiteren Bedarf an Cyber-Range-basierten Trainings und die Möglichkeiten zur engeren Zusammenarbeit (v.l.n.r.): Dr. Thomas Kaiser (Vizepräsident LSI), Prof. Dr. Wolfgang Hommel (Leitender Direktor FI CODE), Bernd Geisler (Präsident LSI), KD Dieter Hausberger (Dezernatsleiter Cybercrime, BLKA), LtdKD Simone Lang (Abteilungsleiterin Zentrale kriminalpolizeiliche Dienste, BLKA). (Foto: FI CODE)
Teaserbild: LSI-Präsident Bernd Geisler (r.) besuchte zusammen mit LSI-Vizepräsident Dr. Thomas Kaiser sowie Vertreterinnen und Vertretern des BLKA die zwölf Trainingsteilnehmenden vor Ort am FI CODE. (Foto: FI CODE)