Die Spannung im «Main War Room» ist mit Händen greifbar. Still, ernsthaft und hoch konzentriert lauschen die teils uniformierten und teils zivil gekleideten Cyberspezialisten aus der Schweiz, aus Österreich und den USA den Worten des Schweizer Offiziers. Er erklärt im Detail, wie die Kommunikation in der Gruppe in den nächsten Tagen abläuft während der Übung zur Cyberabwehr. Auf Englisch. Das ist die Übungssprache.
Der «Kriegsraum» liegt diesmal irgendwo in den Schweizer Alpen. Wo, muss geheim bleiben. Er ist besetzt mit Pulten, Hochleistungslaptops und Bildschirmen. Von der Decke baumeln geheimnisvolle Schilder, die den War Room in CDC (Cyberverteidigungszelle), WPN (Waffen), ICS (kritische Infrastruktursysteme) und SYS (Systeme) unterteilen – die diversen Spezialtrupps. An den Betonkachelwänden hängen eng beschriebene Blätter und überdimensionierte Bildschirme. Obwohl die Fenster geöffnet sind und die Temperatur im Freien unter null Grad liegt, ist die Hitze im Raum erdrückend – wegen der Hightech-Laptops.
«Wir sind ‹kampfbereit›», sagt ein Schweizer Offizier, der anonym bleiben will. Es ist Montagnachmittag. In ein paar Stunden – am Dienstag – beginnen die über 400 Cyberangriffe, auf die sich die Cyberspezialisten aus drei Nationen vorbereiten. Sie erfolgen im Rahmen von «Locked Shields 2024», der weltweit grössten und komplexesten multinationalen Cyberabwehrübung. Es gibt sie seit 2010. Sie dauert bis Donnerstag.
Die über 100 Cyber-, Kommunikations- und Rechtsspezialisten aus der Schweiz, aus Österreich und den USA bilden Blue Team 7 und sind eines von 17 Teams. Weltweit nehmen 4000 IT-Fachleute aus 40 Nationen an der Übung teil. Weil Einzelteams nicht zugelassen sind, müssen sich die Staaten zu Teams zusammenschliessen.
Die 18 Blue Teams verteidigen den fiktiven Inselstaat Berylia im nördlichen Atlantik. Er gerät in Schwierigkeiten, weil ihn der benachbarte Inselstaat mit Cyberattacken überzieht. So sieht das Szenario des Nato Cooperative Cyber Defence Center of Excellence (CCDCoE) in Tallinn (Estland) aus. Das Kompetenzzentrum ist von der Nato akkreditiert und wurde für die Aus- und Weiterbildung ziviler und militärischer Cyberspezialistinnen und -spezialisten geschaffen. Es ist aber unabhängig von der Nato und ihren Kommandostrukturen.
Das Zentrum hat für die Übung eigens eine virtuelle Trainingsplattform – eine Cyber Range – konstruiert. Diese umfasst total 6000 Systeme, welche die gesamte kritische Infrastruktur des fiktiven Inselstaats Berylia beinhalten: Regierungs-, Militär-, Kommunikations- und Stromnetze, 5G-Mobilfunkplattform, Satellitensimulation, Gas-Rohrsysteme und mit künstlicher Intelligenz gestützte Plattformen.
Das zeigt, wie vielschichtig die Übung ist. Verschiedene Ebenen spielen ineinander. Technische Cyberexperten müssen komplexe Cyberangriffe abwehren. Kommunikationsexperten haben die Aufgabe, Fake News und Desinformation zu erkennen, die Bevölkerung aufzuklären und Medien- und Social-Media-Simulationen mit Kurznachrichtendienst und Videoplattform im Auge zu behalten. Und Rechtsexperten sollen eruieren, welche Abwehrmassnahmen das internationale Recht dem Inselstaat Berylia erlaubt.
In der Vorwoche bereitete Blue Team 7 das «Hardening» vor, das Härten. Damit umschreibt man in der Computerwelt das Vorgehen, wenn die Sicherheit eines Systems erhöht wird. Das aus Tallinn angreifende Red Team soll es so schwer haben wie möglich.
«Wir haben die Kampfvorbereitungen getroffen, die Verteidigungspositionen vorbereitet und die Sicherheitsmassnahmen hochgefahren, all dies im Cyberspace unter unserer Verantwortung», sagt Oberstleutnant Bastien vom Blue Team 7. Er spricht davon, wie sich das Team auf die Abwehr eines Cyberangriffs vorbereitet habe. Dieser kann nach dem Modell «Cyber Kill Chain» ausgeführt werden: Der Angreifer dringt Schritt für Schritt immer tiefer vor.
Hauptmann Marcel Taschwer, Pressesprecher des österreichischen Bundesheers, erklärt an einem Beispiel, wie das zu verstehen ist. «Das lässt sich mit den Massnahmen vergleichen, die man ergreift, wenn man sein Haus vor Einbrechern schützen will», sagt er. «Man schaut, ob Fenster und Türen geschlossen sind, ob im Keller nicht eine Türe für die Katze geöffnet ist, ob Bewegungsmelder, Video- und Alarmanlage eingeschaltet sind.»
Der Hauseinbrecher will an den Tresor gelangen. Das wollen – symbolisch – auch die Cybereindringlinge. Nur suchen sie digitales Gold: Daten. Dafür wandern sie von Raum zu Raum. Zentral im IT-Bereich sei deshalb, dass bei neuen Systemen auch sämtliche Passwörter neu aufgesetzt würden. Betreiber müssten dafür sorgen, dass der Zugang nicht erst dann blockiert wird, wenn ein Eindringling schon mit 15 verschiedenen Passwörtern versucht hat, ins System zu gelangen. Sondern bereits nach drei Versuchen.
Die Sicherheitsvorkehrungen sind aber ein Balanceakt. Blue Team 7 darf nicht zu extrem werden mit Passwortschutz und anderen Sicherheitsvorkehrungen. Sonst hat die Bevölkerung des Inselstaats nur noch erschwerten Zugriff auf die kritische Infrastruktur der Insel und beschwert sich.
All diese Faktoren bewertet das Übungsteam in Tallinn für jedes der 18 Blue Teams. Wer am Ende am meisten Pluspunkte hat, gewinnt die Übung «Locked Shields 2024».
Die Teilnehmenden sind begeistert von der Übungsanlage. «Mit dieser Übung stärken wir unsere Verteidigungsfähigkeit – und die Kooperation mit anderen Ländern ist ein wichtiger Faktor dafür», sagt Oberstleutnant Bastien vom Blue Team 7. «Die Übung erzeugt einen massiven Mehrwert», hält auch Taschwer vom österreichischen Bundesheer fest.
Nicht nur Militärs nehmen an der Übung teil. Auch Spezialisten aus der Bundesverwaltung und Schweizer Firmen. «Unternehmen dürfen teilnehmen», sagt Frederik Besse, Leiter Kommunikation des Kommandos Cyber der Schweizer Armee. «Das nützen vor allem Betreiber von kritischen Infrastrukturen.»
Wie die SBB. Ein Team von Cyberspezialisten nehme an der Übung teil, um die Abläufe zu üben und die Zusammenarbeit zu verbessern, teilen die SBB mit. «In Ereignisfällen ist die enge Zusammenarbeit mit Behörden und weiteren Partnern sehr wichtig.» Ziel sei es, die Cyberorganisation der SBB laufend weiterzuentwickeln.
Auch die Börsenbetreiberin SIX Group macht mit. «Als systemrelevante nationale Finanzmarktinfrastruktur haben wir ein entscheidendes Interesse an Cyber Defence», betont Chefsprecher Alain Bichsel. Die Kantonspolizei Waadt nimmt mit der Abteilung Cyber-Ermittlungen teil und sagt: «Wir wollen damit die kantonale Einsatzgruppe perfektionieren für den Fall eines Cyberangriffs.»
Auch Post, Kantonspolizei Zürich und Universitätsspital Zürich haben eine Delegation entsandt. Die Kantonspolizei Zürich will in diesem Rahmen «Abläufe und Prozesse im Zusammenspiel mit Partnerorganisationen» festigen. Und das Universitätsspital sucht Zusammenarbeit und Austausch, «um der Bedrohung durch Cyberkriminalität zu begegnen».
Die globale Übung findet statt vor dem Hintergrund des russischen Angriffskriegs in der Ukraine und der russischen Cyberattacken in Europa. Das bestätigt Mart Noorma, Direktor des CCDCoE in Tallinn, gegenüber CH Media. «Wir nutzen die Lehren, die aus der Verteidigung der Ukraine gezogen werden, bei der Entwicklung aller Produkte und Dienstleistungen des Zentrums, die wir der NATO und unseren Mitgliedstaaten zur Verfügung stellen.» Dazu zähle auch die Übung «Locked Shields 2024».
Wäre eine Teilnahme wohl noch möglich nach Annahme der Neutralitätsinitiative?