 Wir starten jetzt mit dem Cyberraum. Seit 2016 hat die NATO den Cyberraum auch als Operationsgebiet erklärt und deswegen sind wir sehr gespannt, sehr gespannt, was uns Aaron Lai dazu erzählen kann. Er ist langjähriges FIF-Mitglied und promovierter theoretischer Informatiker und ich gebe dir das Wort für den Vortrag. Vielen Dank für die einleitenden Worte. Das Thema Informationstechnisch-Kriegsführung beschäftigt uns im FIF schon sehr viele Jahre und ist auch seit Jahren immer mal wieder Thema gesellschaftliche Auseinandersetzung und zwar insbesondere dann, wenn bekannt wird, dass Infrastruktur oder ein wichtiges System eines Landes angegriffen wird und die Liste der Staaten, die Informationstechnische Kriegsführung üben und betreiben, ist lang und schließt die NATO-Staaten vielleicht auch selbstverständlich mit ein. Im Folgenden will ich über drei Manöver der NATO sprechen. Einiges ist auf andere Manöver übertragbar und genau, wie kam es eigentlich dazu, dass ich mich damit auseinandergesetzt habe? Vor ungefähr sechs bis sieben Jahren bin ich eher zufällig eines Nachts über ein Artikel zu solch einem Manöver gestoßen und seitdem setze ich mich immer mal wieder mit dem Thema intensiver auseinander. Kurz vorher wurde von Wikileaks die Vault 7 oder Vault 8 Publikation veröffentlicht, die die CIA Hacking Tools vorgestellt hat oder offengelegt hat und klar stelle ich mir dann die Frage, wie viel lässt sich eigentlich dann Informationen zu diesen Manövern online finden? Also wie viel ist davon öffentlich zugänglich? Erwartungsgames war die Informationslage sehr dünn. Mittlerweile findet man oder ist die Situation viel besser? Man findet doch einiges zu diesen Manövern trotzdem bleibt selbstverständlich noch sehr viel geheim. Nichtsdestotrotz möchte ich Menschen ermutigen, wenn sie über interessante Fragmente irgendwie im Netz stolpern, da dran zu bleiben, denn es ist zwar oft frustrierend, dass man so wenig erfährt, aber manchmal bekommt man doch Erkenntnisse. Der Cyberspace gilt als fünfte Domäne der Kriegsführung. Der Begriff Main, die globale Domäne bestehend aus IT-Infrastruktur rechnen und rechnen Netzen sowie eingebetteten System und Mikro-Controlern. Da die vier anderen Domänen Weltraum, Luftwasser und Land stark auf IT-Infrastruktur aufbauen, verläuft diese Domäne quer zu ihnen. Auf dem Warschauer Gipfel im Jahr 2016 hat die NATO den Cyberspace zum Operationsgebiet erklärt und sich die Verbesserung ihrer operativen Reaktionen und die Entwicklung der Kriegsführung durch Übungen zum Ziel gesetzt. Informationstechnische Angriffe wurden aber bereits 2006 auf dem Gipfel in Riga als mögliche asymetrische Bedrohung festgehalten und gemeinsame Programme zum Schutz von Informationssystem als notwendig postuliert. Seit 2018 übt die NATO in gemeinsamen Manövern den Cyberkrieg. Offensive Operationen umfassen offensiver Operationen, informationssächsischer Kriegsführung, umfassen Aktionen, die durchgeführt werden, um Daten von IT-Systemen des Ziels oder des Gegners zu exfiltrieren, Informationen zu manipulieren, Informationsflüsse zu beeinträchtigen oder Systeme zu zerstören. Ganz konkret handelt es nicht um Angriffe auf Waffensysteme und Geräte, Angriffe auf Infra-Kommunikations- und Kommandostrukturen sowie Spionage. Letzteres wurde jetzt relativ klar auch durch die neuen Enthüllungen und die Wikileaks-Publikation klar wieder der Stand ist bzw. der ist jetzt natürlich auch schon durch die Entwicklung der letzten Jahre, etwas in die Jahre gekommen. Umgekehrt gehört zur informationstechnischen Kriegsführung die Bereitstellung und aufrechterhaltung der eigenen Infra-Kommunikations- und Kommandostrukturen sowie die abwehrgegnerische Angriffe auf eigener Systeme. Die Grundlage der Kriegsführung bilden informationstechnische Angriffe, um ein System anzugreifen, werden also demnächst Angriffsvektoren durch Sicherheitslücken identifiziert und der eigentliche Angriff besteht an im Wesentlichen aus einem Exploit, also einem Programmcode, der diese Sicherheitslücke ausnutzt und dann ein Payload, also Programmcode mit schädlichem Verhalten. Auch wenn dieser Angriff jetzt schon über zehn Jahre her ist, möchte ich Stuxnet als Beispiel heranziehen. Stuxnet ist ein Computerwurm, der automatisiert mehrere Sicherheitslücken ausnutzt, um sich in Windows-Netzwerken zu verbreiten mit dem Ziel eine spezielle Art von anlangen Steuerungssystemen der Firma Siemens, also Skada Industrial Control Systems, anzugreifen. Durch die Infektion des Steuerungsrechners ist es dann auch möglich auf die sogenannten Programmable Logic Controller, kurz PLC oder im Deutschen auch Speicherprogrammierbare Steuerung genannt oder SPS, zuzugreifen und diese umzuprogrammieren. Diese PLC sind Digitalrechner zur Steuerung von Maschinen und Anlagen. Das ist ganz handelsübliche Hardware, die in unzähligen Maschinen weltweit benutzt wird. Die Einsatzgebiete erstrecken sich von Produktionsanlagen mit relativ simplen Steuerungen hin zu Robotern und Systemen mit komplexen Abläufen. Weltweit wird diese selber Hardware in Zivilen als auch militärischen System benutzt. Stuxnet hat weltweit über 200.000 Systeme infiziert, das eigentliche Ziel war aber die Zerstörung eines genau vorher spezifizierten Systems. Die Oran-Anreichungsanlagen oder die Zentrumfugen der Oran-Anreichungsanlagen im Iran in Natas. Bei diesem Angriff handelt es sich um eine große internationale Operation, bei der mindestens die NSA, CIA, GCHQ, der Mossad und das US-Military-Cyber-Kommand beteiligt waren. Entwickelt wurde dieser Wurm von den Tailor Dexels Operations der NSA und der Unit A200 vom Mossad. Da sich informationstechnische Angriffe wesentlich von konventionellen unterscheiden, macht das Aufkommen der informationstechnischen Kriegsführung aus Sicht der Betreibenden es erforderlich, dass Strategienkonzepte und Verfahren sowie Fähigkeiten und Personalstruktur umgestaltet werden. Tätigkeiten, die vorher klassisch geheim und nachrichten Dienst zugeordnet waren, werden jetzt ebenfalls vor Militär praktiziert. Entsprechend sind aber auch diese Teiles Militärs oft den Nachrichten und Geheimnizen sehr nahestehend oder deren assoziiert. Des Weiteren ist es wichtig im Mittagkopf zu behalten, dass diese Operationen oft nicht separat stattfinden, sondern als Teil dem Main übergreifende Operationen stattfinden. Okay, soviel vorweg kommen wir endlich zu den Maneuvern. Im Folgenden möchte ich über Cyber Coalition, Locked Shields und Crosswords sprechen. Meines Wissens nach sind es die drei wichtigsten Maneuver, die den NATO in wechselnder Zusammensetzung regelmäßig durchführt. Bei allen drei handelt es sich um sogenannte Multi-Level-Exercises. Das heißt, es werden unterschiedliche Schichten trainiert, also von der Strategie über Taktik zur technischen Ebene. Alle sind mit der Zeit gewachsen und haben an Komplexität zugenommen. Und bei allen drei handelt es sich um fiktive Übungsszenarien, die auf einer europäischen Geografie stattfinden. Also Cyber Coalition. Seit 2008 findet jährlich im November das Maneuver Cyber Coalition statt. Es wird als die wichtigste NATO-Übung bezeichnet, das Flaggschiff der kollektiven Cyberverteidigung und eine der größten Übungen dieser Art weltweit. Das Maneuver dauert fünf Tage. Die Übung wird vom Allied Command Transformation unter Leitung des Militärausschusses und damit formal auf höchster Ebene der militärischen Hierarchie geplant und durchgeführt. An der Übung sind zahlreiche NATO-Einrichtungen geteiligt. Darunter das NATO-Cyber-Space-Operation-Center, das die NATO-Kommunikations- und Informationsagentur, NCAA und auch eine zentrale Rolle, nimmt das im Estländischen Teilen ansässige NATO-Exzellenz-Zentrum für gemeinsame Cyberabwehr. Im Englischen Corporative Cyber-Defense Center of Excellence, CCD, COE. Das ist ein ganz wichtiges Exzellenz-Zentrum, mit dem wir uns jetzt im folgenden auch noch intensiv auseinandersetzen. In den letzten Jahren waren jeweils 700 bis 1000 Menschen mitteiligt. 2021 nahmen rund 1000 Menschen teil aus 25 NATO-Mitgliedstaaten, vier Partnerstaaten und der Europäischen Union, darunter insbesondere der EU-Militärstab und das Computer-Emergence-USPON-Team. Cyber-Coalition ist ein, wie der Name schon sagt, eine kollektive Übung. Das heißt, die Teilnehmerin arbeiten gemeinsam auf ein bestimmtes Ziel hin, um Probleme zu lösen, bestimmte Aufgaben zu erfüllen, anstatt miteinander zu konkurrieren. Das Manöver soll die Strategieplanung auf operationaler und taktischer Ebene sowie deren Umsetzung durch die NATO und ihre Mitgliedstaaten trainieren. Das bedeutet zum einen die Verbesserung der Zusammenarbeit zwischen NATO-Gremien, NATO-Verbündeten und Partnerstaaten, als auch Behörden ganz konkret. Zweitens die Verbesserung der Fähigkeiten des Bündnisses zur Durchführung von Cybersprays-Operations durch den Austausch von Informationen, Erprobung von neuen Taktiken, Techniken und Verfahren. So wie die Bewältigung von Angriffen dann ganz konkret. Und drittens die Bereitstellung einer Plattform zur Ermittlung von Fähigkeitslücken und Ausbildungsanforderungen. Die Übung findet im Cyber Security Exercise and Training Center CR 14 in Tallinn statt. Diese stellt entsprechende Infrastruktur, um die Szenarien zu erproben. Teilweise kommen die Militärs zusammen. Teilweise nehmen sie aber auch über virtuelle Netze, also einfach ein VPN dorthin, also aus ihren jeweiligen Staaten und Einrichtung teil. Mit Hilfe von Szenarien und Handlungsabläufen, unter anderen Angriffe auf kritische Infrastrukturen, Angriffe oder Eindringen in Netzwerke, Spionage, Insiderbedrohung, Exfiltration und Datenmanipulation soll das Manöver halt die Fähigkeiten der NATO verbessern. Und dabei konzentrieren sich halt diese Übung Szenarien hier auf diese fiktive Insel Eisbergen im Nordatlantik, die dann anhand von Informationstechnisch Angriffen angegriffen wird. Um es dann mal ganz konkret zu machen, wie sieht so eine Herausforderung aus. 2016 war das Szenario folgendes, also die Technische Untersuchung, Analyse und das Einleiten von Gegenmaßnahmen bei folgendem Szenario. Smartwatches, also diese intelligenten Uhren haben oft GPS-Sensoren und haben aber oft ein indikates Mikrofon. Die Ausgangslage war, dass die Smartwatch eines Offiziers komprimitiert wurde und diese Offizier an einer internationalen geheimen Besprechung daran teilgenommen hat und die Schadsoftware war halt so programmiert, dass sie anhand von GPS-Signalen sich orientiert und entsprechend ortsabhängig Gespräche aufzeichnet und diese dann über ein gekoppeltes Android mit Internetverbindungen exfiltriert. Genau, die Analysten der Teilnehmensstaaten wurden entsprechend mit Smartwatches und Androids ausgestattet und sollten entsprechend dieser Malware, also die Schadsoftware, analysieren und Gegenmaßnahmen einleiten und entsprechende Berichte fertigen. Das Training dieser Malware-Analyse oder Schadsoft-Analyse, Netzwerk und Computerforensik war aber nur ein Teil der Übung. Es ging auch darum, wie dieses Problem oder die Situation den Teilnehmerinnen dieser Geheimbesprechung über kommuniziert wird, Lösungen zu erarbeiten, wie dem organisatorisch begegnet werden soll, sowie Abläufe einzuüben und zu optimieren. Das Manöver trainiert aber nicht nur einen, sondern gleich immer mehrere Angriffe oder gleichzeitig die Informations-Technik-Angriffe auf die NATO und NATO-Mitgliedsstaaten. Zu den Szenarien 2016 gehört zum Beispiel neben diesem Smartwatch-Szenario auch mindestens ein Angriff auf ein Scatter-Industrial Control System, wie wir eben schonmals Stuxnet, so zu sagen, gehört haben, ein ganz übliches System. Mindestens 2018 wurde mindestens ein Angriff auf ein Eisenbahnsystem sowie ein Angriff auf eine Wasseraufbereitungsanlage sowie ein Angriff auf ein militärisches Kommando und Kontrollsystem geübt. Und zu den Szenarien 2021 gehört ein Angriff auf Gasversorgung, Pipelines, ein Angriff auf die Verlegung von Truppen und die Logistik sowie ein pandemiebezogener Wansomware-Angriff, bei dem Impfstoffdaten gestohlen und verschlüsselt wurden und im Programm gefährdet wurden. Genau, hier sehen wir auch noch wie sozusagen die übliche Arbeitsatmosphäre dann bei diesem Manöver so aussieht. Weiß ich nicht. Also, wie gesagt, es ist extrem schwer, Informationen zu diesen Manövern zu bekommen. So im Detail weiß es halt einfach nicht. Wird mich auch interessieren. Genau, falls irgendjemand Informationen dazu hat, genau, meine Mailadrasse findet man in meinem Kiel. Kommen wir zum zweiten Locked Shields. Seit 2010 veranstaltet die NATO jährlich im April in Tallinn die Echtzeit-Netzwerkverteidigung-Übung Locked Shields. Dieses Manöver dauert nur zwei Tage. Während Cyber Coalition primär kollaborativ ausgerichtet ist, ist dieses Manöver kompetitiv konzipiert. Nur ein verteidigendes blaues Team kann gewinnen. Die Übung ist als Wettbewerbsspiel aufgebaut, bei dem die verteidigten Teams auf der Grundlage ihrer Leistungen bewertet werden. Und trotzdem, obwohl die Teams miteinander konkurrieren, ist die Übung so angelegt, dass die Teams ermutigt werden, Informationen auszutauschen und so weit wie möglich zusammenzuarbeiten. Anfangs war es eine ausschließlich technische Übung. Mittlerweile handelt es sich ebenfalls um ein Multilevel Exercise, welches ebenfalls die operative Ebene mit einbezieht. Allerdings liegt nach wie vor der Fokus auf der technischen Ebene. Die Teilnehmerinzahl erhöhte sich alle zwei bis drei Jahre signifikant. Während ist 2012 noch 200 Teilnehmerinnen, 2014 schon 400, 2018 1.000 und seit 2021 sind das ganze 2.000 Teilnehmerinnen, die dort zusammenkommen. Aktuell nehmen fast 30 Staaten mit 24 blauen Team-Style. Das Manöver wird von diesem CCD-COE, also diesem Excellence-Zentrum, in Zusammenarbeit mit anderen NATO-Einrichtungen, also der NCAA, dem Estländischen Verteidigungsministerium, den Estländischen Streitkräften, den NATO Excellence-Zentrum für strategische Kommunikation, der Europäischen Verteidigungsagentur sowie dem Europäischen Kompetenzzentrum für die Bekämpfung Kybrida Bedrohung ausgerichtet. Hinzu kommen zahlreiche Industriepartner. Und die Blaunteams haben dann die Aufgabe, die Netze und Dienste des fektiven Landes aufrecht zu erhalten. Dazu gehört die Bewältigung und Meldung unterschiedlicher Angriffe auf eine Vielzahl von Systemen. Die Lösung forensischer Herausforderungen sowie die Reaktionen auf rechtliche und mediale Einwirkungen. Umgesetzt wird dies anhand von einem großen virtualisierten Netzwerk und eines fektiven Szenarios, inklusive simulierter Infrastruktur. Das Fachpersonal der Verteidiger soll durch eine Vizephan angriffen herausgefordert bzw. an die Grenzen zum Scheitern gebracht werden, damit diese Ausfehlern lernen und dann entsprechend auch ganz übliche Angriffe abwehren können. Die Übung findet im Hilton Hotel in Tallen statt. Des Weiteren werden die zu Verteidigungssysteme visuell und modellhaft aufbereitet. Beides dient dazu, also diese Übung für Politikerinnen, Entscheiderinnen und Sponsoren entsprechend ansprechen zu machen. Es gibt fünf Arten von Teams. Das rote Team greift an, die blauen Teams verteidigen. Darüber hinaus gibt es aber noch das weiße Team, welches die Übung leitet und verwaltet, das gelbe Team, welches für die Situationserfassung zuständig ist sowie das grüne Team, welches die Infrastruktur verwaltet und entwickelt. Das CCD-COE stellt die Personal oder das Personal für das weiße, gelbe, grüne sowie das offensive rote Team. Die NATO-Startner und Partner sind entsprechend dann für die blauen Teams zuständig. Und während die Organisatorinnen der Übungen sich vor Ort treffen, nehmen die teilnehmenden blauen Teams über VPN-Zugang zu den Übungsnetzen. 2022 waren es 5.500 virtualisierte Systeme, die mit ca. 8.000 Angriffen angegriffen wurden. Die Übung bezieht reguläre Unternehmens-IT-kritische Infrastruktur und militärische Systeme mit ein. Realistische Netzwerke, Systeme und Angriffsmethoden bilden die technische Umgebung. Die Systeme und Aufgaben haben sich allerdings auch über die Jahre gewandelt und haben an Komplexität zugenommen. Bis 2014 bestand die Übung aus klassischen, kleinseutigen Angriffen und auf Unternehmen auf die Server via Exploits. 2015 waren dann schon industrielle Steuerungssysteme, also Skate-Industrial Control Systems, Bestandteil der Übung. Des Weiteren war eine Aufgabe, die Kontrolle über ein von Feinden übernommenes autonomes Luftverzeug zurückzuerlangen. Dabei wurden diese Teams sehr unter Zeitdruck gestellt, da das bespielte Szenario lautete, dass die Drohne über einer Stadtkreise und nach drei Stunden aufgrund von Treibstoffmangel abstürzen würde. Zusätzlich zu technischen und forensischen Herausforderungen wurden mediale und rechtliche Fragestellungen erstmals Bestandteil der Übung, aber eher nebensächlich. Das war im Jahr 2017 dann schon anders. Da bekam dieser medialen und rechtlichen Aufgaben, bekam dann größeren Anteil dieser Übung. Auch in diesem Jahr war die Aufgabe der blauen Teams, die Netze und Dienste dann eines Luftwaffenstützpunktes aufrechtzuerhalten, also dann neben dem Angriffen auf militärische Kommando- und Kontrollstrukturen waren unter anderem operative Infrastrukturen, auch Angriffe auf das Kontrollsystem sowie ein von Siemens simulierte Stromnetz sowie simulierte Drohnen wieder, fliegende Drohnen, die waren auch Teil der Übung. Des Weiteren war halt wie gesagt diese Übung zum ersten Mal dann eine Multi-Level-Exercise, also während IT-Experten die Verteidigung von Kommutanezwerken und die Behaltigung von Angriffen übten, waren auch rechtliche Fragen dann Herausforderungen. Geübt wurden politische Entscheidungen oder Entscheidungen, bezüglich Entscheidungsverfahren, also wie man beispielsweise damit umgehen soll, wenn ein System informationstechnisch angegriffen wird, was dann entsprechend auf diplomatischer Ebene oder rechtlicher Ebene für Konsequenzen folgen. 2018 wurde die Situation um die Verteidigung eines 4G Mobilfunknetzes erweitert sowie einer SPS gesteuerten Wasser-Wiederaufbereitungsanlage. 2019 waren auch Maritime Unterwassersensoren Teil der Übung und 2021 enthielt die Übung neben den neuen Sensoren, also Stromnetze, Satellitenüberwachung, Luftverteidigung, Wasser-Wiederaufbereitung, mobile und militärische Kommando und Kommunikationsnetze, auch mehrere neue Herausforderungen für die strategische Entscheidungsfindung. Dort wurde insbesondere der Finanzdienstleistungssektor als Angriffsfläche für feindliche Angriffe hervorgehoben und das war auch dann dieses Jahr der Schwerpunkt der Übung. Kommen wir zum letzten Manöver, Cross-Sorts. Seit 2014 findet jährlich in Riga die Übung Cross-Sorts statt, organisiert wie diese Übung ebenfalls vom CCD-COE und ist vielleicht auch aus meiner Perspektive vielleicht auch die wichtigste Übung, auf die man sich noch mehr konzentrieren sollte, wobei aber hier die Informationslager noch dünner ist als bei den vorherigen zwei. Denn diese technische und praxisnahe Übung dauert zwar drei Tage, ist etwas länger sozusagen als die vorherige, ist wesentlich kleiner als die vorherige, also mit 120 Teilnehmerinnen aus 126 Staaten, signifikant viel kleiner. Sie legt allerdings halt den Fokus auf das Training von Penetrationstest und offensiver digitaler Forensik. Also Ziel der Übung ist das Erleeren von Fähigkeiten, wie mit verschiedenen Angriffsvektoren IT-Systeme infiltriert werden können, also Kleinzeit, Targeting, Web-Based Attacks, Malware und System Exploitation, Network and Service-Based Attacks. Ihr seht es ja auch hier auf das Leid. Neben klassischer Computer-Netzwerk oder Computer-Netzwerk Operations behandelt die Übung aber auch der Untersuchung von Angriffen auf Systeme, also klassische digitale Forensik, die oft nur oder auf Systeme, die oft halt nur in industriellen Steuerungsanlagen, also dieses SPS, PLC, sind auch hier wieder ganz vorne mit dabei. Des Weiteren trainiert Quass-Sorts digitale Forensik, um halt direkt dann anzugreifen, also das gemeinhin als Hackback bezeichnete Aufspüren und Infiltrieren von Systemen, von denen aus angegriffen wird, das wird hier schon trainiert. Zu den Übungen gehört aber auch die erfolgreiche Durchführung von verdeckten Angriffen und Ablenkungen, sowie die Zusammenarbeit, die es Teilnehmerinnen ermöglichen, Bereichsübergreifende Synergien zu nutzen, also um informationssächsische Angriffe mit klassischer Militär-Taktik zu kombinieren oder diese darin zu integrieren. Also ein Fokus liegt darauf, dieses Training ebenfalls an Spezialkräfte sozusagen zu richten, also dieses Hacking mit klassischen Spezialkräften-Operationen zu integrieren, dafür ein Bewusstsein sozusagen auch auf Führungsebene zu schaffen, wie offensive informationssächsische Angriffe mit offensiven klassischen chinesischen Angriffen kombiniert werden können. Und seit 2020 behindertet entsprechend diese Übung ein entsprechendes Führungsmodul, um einen Eindruck zu bekommen, so sieht es in etwa dort oder nicht in etwa, das ist ein Foto von dieser Übung, wie sie dort stattfindet. Es ist eine klassische Heckerin-Atmosphäre sozusagen so ein Bild, könnte man vielleicht sogar auch beim Kongress oder auf jeder anderen CTF oder irgendwie offensiven Übung aufnehmen. Was waren die anzugreifenden Systeme oder vielleicht erst, was ist so die Ausgangslage zur Verfügung stehen diesen Soldaten in 200 virtualisierte und physikalische IT-Systeme, also es ist nicht alles virtualisiert diesmal, sondern das Gerät ist teilweise direkt vor Ort. Angreifende Systeme oder anzugreifende Systeme waren zum Beispiel die Steuerungssysteme, eine Bunkertür, eine Anlagenanlage, eine IP-Kamera, ein verteilte Stromnetzsystem, Drohnen in unterschiedlicher Ausprägung, also heißt jetzt, wenn wir fliegen, fahren, auch unter Wasser, habe ich jetzt hier nicht mit aufgezählt, ein maritimes Navigation-System sollte gehackt werden, natürlich militärische Funk-Kommunikation, Mobilfunk-Basis-Station, als auch eine Eisenbahn-Kontrollstation. Beispielsweise war es 2018 so, dass Mobilfunk-Technologien gehackt werden sollten zur Identifizierung einer Zielpersonen, also Drohneüberwachung und auch 5G-Sensoren, wurden dann benutzt zur Erfassung der Standortdaten und zum Einsammeln weiterer Informationen. Diese wurden dann entsprechend an die Spezialkräfte weitergeleitet, damit diese, genau die Person ausschalten. Vielleicht auch noch mal weitere Beispiele, genau ähnliches ist es einfach bei der Bunkertür, das kann man sich einfach klar denken, das rote Team oder die Soldatinnen sollten entsprechend das Kommunikationsprotokoll rekonstruieren, dann entsprechende Befehle in die Steuerung dieser Anlage einschleusen, damit sich diese Bunkertür übers Netzwerk dann öffnen lässt, damit entsprechend die Spezialeinheiten diese Bunkertür betreten können. Genau beim verteilten Stromnetz war es der Fall, dass diese Wunderbauterminalunits zur Verwaltung und Überwachung der Stromnetzes gehackt werden sollten, also wieder das Protokoll rekonstruiert werden soll, das proprietary Protokoll. Wenn ich das richtig war, es ist auch ein Siemensystem wieder, um halt dann entsprechend das Netzwerks oder Befehle in dieses Netzwerk zu injizieren und die Energieversorgung zu steuern bzw. abzuschalten. Beim unbemanden Bodenverzeug hatten Sie es, wie man hier auf dem Bild auch sieht, das Gerät direkt vor Ort und das Ziel war es, dass die Menschen die vollständige Kontrolle über dieses System überlang sollten, indem sie entweder die Netzwerkprotokolle wieder angreifen oder halt die zu steuernen Workstations. Und vielleicht der letzte Fall, die Eisenbahn-Kontrollstation, da wurde wieder ein von Siemens entwickeltes System, also die S7, verwendet um ein simuliertes Eisenbahnnetz. Also jetzt haben Sie die Hardware nur zum Teil sozusagen parat oder vorliegen. Genau das rote Team hatte die Aufgabe, die Kontrolle über die Eisenbahn-Kontrollstation zu erlangen, um dann den Zug entsprechend zu stoppen oder auch zu entgleisen zu lassen. Kommen wir zum Fazit. Das Aufspähen und Nutzen von Sicherheitslücken im Vorfeld von geheimdienstlichen Operationen und militärischen Auseinandersetzungen ist längst Alltag. Durch das bekannt werdende Operation Olympic Games und der Analysen von Stuxnet ist auch mindestens seit 2010 eine neue Qualität von geheimdienstlicher und militärischer informationstechnischer Kriegsführung bekannt. In den gerade vorgestellten Manövern trainieren Armeen und Geheimdienste entsprechend den Cyberkrieg. Insgesamt wird deutlich, dass die Operation schon im großen Maßstab vorbereitet werden und seit 2018 systematisch in Manövern geübt werden. Und da informationstechnische Angriffe in der Regel wesentlich kotzengünstiger sind als konventionelle Angriffe und ihre Attribution schwierig ist, ist die Schwelle niedrig, dass diese Angriffe auch durchgeführt werden. Entsprechend sind diese Manöver brandbeschleuniger für die aktuellen und bevorstehenden Konflikte und eine internationale Echtung dieser Angriffe ist dringend notwendig. Erscheinen mir aber aktuell äußerst unwahrscheinlich. Und damit bedanke ich mich für eure Aufmerksamkeit und bin offen für Fragen. Vielen Dank für diese spannenden Einblicke in die aktuellen und schon länger auch aktiven Ereignisse. Gibt es direkte Fragen aus dem Auditorium dazu? Ich spreng gleich mal zu dir. Danke Aron. Frage wegen der Quellen, wo du das herst, ist das also das öffentliche Quellen oder hast du irgendwelche anderen Sachen anzupfen können? Das bin ich sehr spannend. Also teilweise publizieren die mittlerweile selber einiges dazu. Also es genau bei allen Sachen handelt sich um Information oder bei allen Informationen stütze ich mich auf Veröffentlichungen, die die NATO selbst herausgebt, sei es jetzt irgendwie, dass man Informationen schnipseln, mal in irgendwelchen YouTube Videos aufschnappt, die teilweise eher für Werbezwecke da sind. Teilweise kann man Publikationen direkt von diesem Exzellenzzentrum runterladen und sich einen Einblick über diese Manöver verschaffen. Teilweise muss man einfach Auszeitungsberichten oder Berichten über diese Manöver, die tatsächlich auch rausgegeben werden, dann Informationen zusammensammeln. Also sozusagen, es sind wirklich viele Fragmente, die einfach schon aufzufinden sind, wenn man nur hingucken will. Spannende Puzzlarbeit. Hier ist eine Frage und danach komme ich rüber. Vielen vielen Dank Aron. Ich wäre jetzt noch neugierig. Gibt es irgendwelche Abrüstungsversuche? Nein, schüttelt schon mit dem Kopf. Also auch nicht mal wie bei Dronen, so CCW in Genf, wo man sich auf einer diplomatischen Ebene trifft. Und die andere Frage wäre, das wäre ja auch eine aus der Informatik. Gibt es irgendwelche Versuche, wie man sozusagen, wie soll man sagen, kontrollieren kann, also nicht kontrollieren, aber nachvollziehen kann, wer diese Angriffe fährt. Weil ich meine, das ist ja zum Beispiel jetzt aus Sicht der Medien überhaupt nicht mehr nachvollziehbar, wer welche Cyberangriffe zum Beispiel gestartet hat. Gibt es da irgendwelche Versuche? Also dieses Problem der Attribution ist ja auch ein großes Thema, was uns einfach auch schon in diesem Bereich mindestens zehn Jahre, ich glaube sogar einfach mehr. Ich glaube das erste Mal 2009 bin ich glaube ich darauf gestoßen, dass das als große Frage auch erst mal im Raum stand, wie kann Attributionen sichergestellt werden, wer diesen Angriff fährt. Die NATO-Doktrin war dann zunächst nun, es ist weniger entscheidend zu wissen wer es war, sondern eher wem nützt es am meisten und die Person war es dann wahrscheinlich, also der Staat war es dann wahrscheinlich. Und nichtsdestotrotz hat da technische Fortschritte gegeben, also weniger diplomatische, sondern eher das riesige Datenbanken natürlich entwickelt werden. Also das war ganz interessant bei den WikiLeaks Publikation zu Vault 7. Ambridge ist das Stichwort, dass die CIA entsprechende Fingerprints oder sich sozusagen Strukturen in Schadsoftware anguckt und da versucht sozusagen Klassen oder Familien oder Urheberschaften zu rekonstruieren, um bestimmte Beziehungen halt vermeintlich herzustellen, was trotzdem noch immer alles sehr konstruiert ist, aber so eine Art Attributionen dann durchzuführen. Bestimmt haben auch andere, also die Frage war, ob auch außer der CIA entsprechende Tools existieren. Ich gehe davon aus, dass tatsächlich jede Nation oder jeder Staat weit über 100 sind mittlerweile, die informationstechnische Kriegsführung betreiben, solche Datenbanken oder solche Attributionsversuche erwegen oder auch tun, entsprechend genau, indem wir einfach davon aus, dass es der Fall ist. Nichtsdestotrotz wissen wir einfach nichts darüber. Das ist halt alles geheim. Das sind nur die wenigen Musiksteine, die wir hier sehen können. Ich gebe mal hier noch weiter zu einer Frage. Vielen Dank, dass du dir diese Arbeit machst, das alles zusammenzutragen. Dieser Cyberwall ist ein unheimliches Hypethema auch und soweit ich mich erinnere, ist auch bei den Militärs eigentlich umstritten, wie wichtig und bedeutsam das eigentlich ist als Mittel der Kriegsführung. Vor diesem Hintergrund hast du da eine Einschätzung, wie das jetzt in dem Ukraine-Krieg, ob das so eine Rolle spielt. Ich hatte den Eindruck, dass alle so ein bisschen drauf warten, wann kommt denn jetzt der große Cyberangriff, der Russen und der hat sich dann irgendwie nicht eingestellt. Genau, ich hätte eigentlich auch mit noch mehr informationstechnischen Angriffen gerechnet jetzt im Ukraine-Krieg. Vieles läuft aber, bekommen wir gar nicht so mit, also es werden einfach tatsächlich auch viele Angriffe gefahren. Ein bisschen prominenter war dann schon auch, als diese Windkraftanlagen in der Nordsee alle oft entgegen als Russland ein Satellitennetz gehackt hat. Aber genau, es wird schon eher als ein wichtiges Kampffeld der Zukunft oder auch ein aktuelles Kampffeld von US Militärs, von NATO Militärs, aber auch Militärs weltweit festgehalten und daran festgehalten, dass dort Krieg geführt werden soll. Ein Punkt wollte ich noch machen, vergessen, vielleicht komme ich gleich noch drauf. Ah, Ukraine, einen Punkt noch, ja, genau, zum Teil, aber es läuft viel weniger, als ich erwartet habe. Genau, nichts ist so trotz, auch die Ukraine war dieses Jahr das erste Mal dann an Locke Shields beteiligt. Das war neu. Die wurden sozusagen eingeladen, sich hier die Expertise abzugucken, um entsprechend ihrer Netze gegen russische Angriffe zu verteidigen. Wir werden morgen auch noch mal einen Vortrag haben, da sie nochmal stärker auf die Ukraine fokussiert. Hier haben wir jetzt aber noch zwei Nachfragen. Ich habe hier drei Informationsfragen, die mich noch interessiert. Weiß man, welche nicht NATO-Staaten an diesen Manövern teilnehmen? Also du hast jetzt gerade Ukraine erwähnt. Die zweite Frage, was mich interessiert, du hast mehrfach Siemens erwähnt, ist eigentlich von anderen Unternehmen bekannt, dass sie sich da beteiligen, in irgendeiner Weise. Und das dritte, gibt es auch Manöver, die sich so mit Psychological Operations oder ähnlichem beschäftigen? Erste Frage, genau zu Siemens. Genau, das ist nur ein, genau, den habe ich jetzt sozusagen mehrfach erwähnt, aber es ist nur ein Hersteller von vielen, die an diesen Manövern profitieren. Also insbesondere bei diesen technischen Übungen haben sie natürlich ein Interesse daran, ihre eigene Hardware zum einen zu promoten und zum anderen auch auf Sicherheitsglückung testen zu lassen, ganz kostengünstig. Und es ist genau, es ist nicht nur Siemens, die da beteiligt sind, oft oder jedes Jahr gibt es eigentlich große Werbetafeln, alle Sponsoren sind öffentlich einsehbar, man muss nur genau hingucken. Das ist genau, das ist eigentlich ziemlich bekannt, wer daran mitwirkt, steht auch auf dem Website. Die dritte Frage zu PsyOP-Manövern weiß ich nicht vielleicht. Ja. Also auch im Sinne von Desinformationen beispielsweise PsyOPs, Stichwort psychologische Kursierung. Ja, bin ich kein Experte daran, weiß ich nicht, ob es nicht immer nur übergibt. Bestimmt. Strategische Kommunikation wird noch eingebaut. Wir haben noch eine weitere Frage. Harun, danke erst mal. Ist Huawei auch mit untersucht worden, als möglich, als chinesisches Subjekt oder Objekt in der ganzen Welt? Die Frage der sozialen Systeme, also wir haben schließlich auch schon viele Angriffe gehabt auf kleinere Infrastrukturen, die lahmgelegt waren und wo es sehr viel Aufwand bedurfte, um die wieder flirt zu kriegen. Was spielt an der Ecke eine Rolle? Wo ist das überhaupt nicht bekannt? Ist nicht bekannt. Und Huawei ist so weit, ich weiß nicht, als Hersteller direkt benannt. Ja. Gibt es noch weitere Fragen? Sonst würde ich ich noch kurz eine Frage stellen. Und zwar, die ersten beiden der genannten Operationen klangen eigentlich fast schon defensiv. Also was passiert, wenn auf einmal eine Smartwatch angegriffen wird? Wie können wir damit umgehen? Wie gehen wir eigentlich mit Angriffen um? Und die dritte Operation Crosswords, die was sagen dann eher in Richtung Offensiv. Es ist nur, dass man sagen von den Offensiven weniger hört und die zu sagen verdeckte gehalten werden. Oder gibt es da vielleicht auch gibt es auch eine tendente Entwicklung, dass man sagen von Zeit zu Zeit dann stärker auch in die Offensive geht. Also Locked Shields ist eine reine defensive Übung. Bei Cyber Coalition ist leider nicht bekannt, wie viel offensive Operation da wirklich auch trainiert wird. Genau, ich habe nur über defensive Operation dort gelesen. Das heißt aber nicht, dass es nicht stattfindet. Weil das sind ja durchaus Trainings, wo man sich auch überlegen könnte, ob die nicht für noch eine breite Bevölkerung interessant wären. Also Krankenhäuser oder sagen jenseits des militärischen oder das strategisch-militärischen Bereichs. Ja. Wir wissen es auch auch in Richtung Cyber-Histwerks, wer es darüber nachgedacht hat, wie man eigentlich da Hilfe schaffen kann für Zivilorganisationen auch. Ja, also ich denke davon müssen wir ausgehen, dass es einfach trainiert wird, auch auf strategischer Ebene eintrainiert wird, wie entsprechende Infrastrukturen eines Landes angegriffen werden können, um Länder zu destabilisieren. Eine Nachfrage haben wir noch. Hallo, du hattest am Anfang deine, wie sage ich jetzt, deine drei Faktoren, also Cyber und Mariatheben und auf Land und so weiter. Und du hattest auch den Raum, also Space, auch als möglicher Austragungsort für Krieg. Tatsächlich vierte mir aber bei deinen Ausführungen auch Angriffe auf Satellitensysteme. Ja. Wird so was ins Visier genommen oder beziehungsweise probt man auch da den Angriff, weil auch das könnte uns ja die GPS und so weiter ziemlich in die Euro führen. Ja, also bei Locked Shields war eine Satellitensteuerung tatsächlich 2020 oder 2021, ich bin mir gar nicht sicher, tatsächlich die Bestandteil der Übung, die wurde da ins Visier genommen von den roten Teams und sollte entsprechend von den verteidigen blauen Teams dann verteidigt werden. Angriffe auf Satelliten wurden so entweder noch nicht trainiert oder werden nicht kommuniziert, dass es trainiert wird, kann ich nicht sagen, kann beides sein, finden aber statt. Also, das wissen wir ja auch und ich meine, dafür gibt es ja auch dann diese Weltraummanöver gegebenenfalls, wo das nochmal explizit trainiert wird. Es gibt, genau, dazu hatte ich auch letztens was geschrieben, dieses Schriever-Wargame ist halt ein bekanntes Weltraummanöver, was seit vielen Jahren auch trainiert wird, wo auch die Bundeswehr seit einigen Jahren, ich glaube seit sechs Jahren, 2016 oder 2018 sind sie das erste Mal eingeladen worden an dem Schriever-Wargame teilzunehmen, aber das ist halt nur eines von vielen Manövern, wo der Krieg im Weltraum trainiert wird, also aber dann halt nicht nur in der informationstechnischen Domäne, sondern auch ganz klar wie zum Beispiel dann auch Satelliten mit kinetischen Waffen abgeschossen werden können, wie die zum Beispiel elektromagnetisch gestört werden können oder mit Lasern oder sonst was. Das ist also sozusagen die informationstechnische Domäne oder die informationstechnische Angriffe, sind halt hier nur eine von vielen Angriffsvektoren. Vielen Dank für die angeregte Diskussion, für eure und ihre Fragen. Vielen Dank nochmal an Aaron für die Puzzlearbeit und das wunderbare Mosaik, was wir hier gesehen haben. Ein Applaus nochmal an Aaron.