Risikovorsorge durch Cybertrainings – realitätsnah auf der "Cyber Range"
Wird ein Unternehmen Opfer eines Cyberangriffs, dann haben sich Angreifer in der Regel über längere Zeit in mehreren Schritten zu ihrem Ziel vorgearbeitet. Dabei bestünde häufig die Möglichkeit, einen sich anbahnenden Angriff noch rechtzeitig zu erkennen und die Katastrophe zu verhindern. Hierzu braucht man Personal mit Erfahrung in der Erkennung und Verteidigung solcher Angriffe. Dafür helfen Cybertrainings auf einer "Cyber Range".
Laut BSI-Lagebericht von 2024 ist die Situation der IT-Sicherheit in Deutschland sehr angespannt. Das Versicherungsunternehmen Allianz sieht in Cyberangriffen zum wiederholten Mal auch im Jahr 2025 das weltweit größte Geschäftsrisiko. Laut Bitkom haben 2024 die Schäden für die deutsche Wirtschaft 178,6 Mrd. € betragen. Die internationale Cyberkriminalität hat sich stark professionalisiert; es hat sich eine regelrechte Schattenwirtschaft für Cyberangriffe entwickelt.
Cyberangriffe bieten Hackern eine Möglichkeit für ein sehr einträgliches Geschäft mit geringen Risiken für sie selbst. Die Abläufe sind aus der Tagespresse hinlänglich bekannt: Unternehmen erhalten Lösegeldforderungen von Hackern, nachdem sie wichtige betriebliche Abläufe unterbrochen haben, z.B. durch Unterbindung jeglicher Zugriffe von Mitarbeitenden auf Unternehmensdaten, oder der Drohung, vertrauliche Geschäftsdaten zu veröffentlichen. Die immensen Kosten dieser Angriffe entstehen etwa durch entgangenes Geschäft aufgrund von Betriebsunterbrechung, durch negative Auswirkungen auf die Unternehmensreputation und Einbrüche in der Kundenakquise.
Schutz der IT-Infrastruktur in Unternehmen
Zum Schutz ihrer IT-Infrastrukturen investieren Unternehmen erhebliche Mittel in Technologie. Das ist gut und wichtig. Schutz durch Technik allein genügt jedoch bei weitem nicht, denn wie die Praxis zeigt, ist dieser Schutz nicht perfekt. Angreifer finden immer wieder Wege durch die Abwehr. Hier lohnt sich ein Blick darauf, wie Angriffe ablaufen: Diese bestehen üblicherweise aus mehreren aufeinander aufbauenden Schritten. Haben Hacker die erste Verteidigungslinie überwunden, hangeln sie sich über weitere Schritte in Richtung des Angriffsziels vor. Hierfür brauchen Angreifer Zeit.
Laut einer Studie von IBM aus 2024 liegt die durchschnittliche Dauer zwischen dem Eindringen in die IT-Infrastruktur bis zu dem Zeitpunkt, bis die Organisation bemerkt, dass sie angegriffen wird, bei 194 Tagen. Bei letztgenanntem Zeitpunkt handelt es sich entweder um die rechtzeitige Entdeckung oder um das Wahrnehmen eines Angriffs an seinen Folgen. Das ist eine sehr lange Zeit, innerhalb welcher die für die operative Cybersicherheit verantwortlichen Personen einzelne Angriffsschritte hätten erkennen können.
In Unternehmen sollte man daher Fähigkeiten entwickeln, sich anbahnende Angriffe früher zu erkennen. Hierfür gibt es Cybertrainings. Für effektives und effizientes Reagieren in kritischen Situationen führt man auch in anderen Bereichen Trainings durch, die keine Kollateralschäden verursachen; so trainieren Piloten in Flugsimulatoren und die Feuerwehr führt Löschübungen durch, um auf Ernstfälle vorbereitet zu sein. Für Trainings zum Schutz gegen Cyberangriffe gibt es Cyber Ranges; auch hier entstehen durch Fehler bei den Übungen keine Schäden.
Cybertrainings auf Cyber Ranges
Eine Cyber Range ist eine interaktive Plattform, die Netzwerke, Systeme, Werkzeuge und Softwareanwendungen in einer virtuellen Umgebung simuliert. Cyber Ranges können für verschiedene Zwecke genutzt werden, wie etwa zum Lernen und Trainieren, auch zum gemeinsamen Trainieren, aber auch zur Überprüfung des Leistungsstands von Personen und Teams. Insbesondere kann man auf einer Cyber Range als abgeschottete Umgebung echte Angriffe durchführen, welche die Teilnehmer genauso wie in einem Produktivsystem wahrnehmen. Zu diesem Zweck sind auf der Cyber Range die typischen Werkzeuge vorhanden, welche Organisationen üblicherweise in ihren IT-Infrastrukturen einsetzen, z.B. Firewalls, Endpoint Security, SIEM-Systeme. Darüber hinaus hat man in der simulierten IT-Infrastruktur Komponenten, wie man sie in realen Unternehmensnetzen kennt, z.B. Datenbanken, Mailserver, Webserver.
Trainings auf einer Cyber Range sind für alle Personen relevant, die operativ zur Cybersicherheit in Organisationen beitragen. Das ist unabhängig davon, welche Strukturen eine Organisation hierfür eingerichtet hat und wie tiefgehend die Fachkenntnisse der Personen sind, von der IT-Administration bis hin zu einem spezialisierten Security Operation Center. Die Trainingsziele bestehen darin, Teilnehmende zu befähigen, kritische Schäden zu vermeiden. Es geht darum, dass bei einem der Angriffsschritte Hinweise oder Spuren bemerkt werden, um Maßnahmen zur Analyse und ggf. zur Abwehr einleiten zu können. Ob dies dann organisationsintern oder unter Einbeziehung externer Spezialisten durchgeführt wird, ist für die Vermeidung kritischer Schäden nachrangig.
Den Ernstfall trainieren
Aktuell kann man auf der Athene Cyber Range den Ernstfall für insgesamt 22 verschiedene komplexe Angriffe in 9 Kursen trainieren, jeweils ein- oder zweitägig. Beispiele für solche Kurse sind etwa „Spionageangriffe auf Organisationen“ oder „Angriffe zur Unterbrechung von Geschäfts- und Betriebsprozessen“.
Weitere Infos - hier klickenWas sollten Entscheider hierzu wissen?
Angesichts der erheblichen Bedrohungen leisten Cybertrainings heute einen wichtigen Beitrag zur Risikovorsorge in Unternehmen. Verbesserte Reaktionsfähigkeit hat mehrere Facetten: Angriffe werden schneller erkannt, Prozesse für den Ernstfall werden geprobt, Handlungs- und Entscheidungssicherheit werden für den Ernstfall verbessert. Man kann sich in Angriffe einarbeiten, die man sonst nur aus Nachrichten, Blogs und Internetforen kennt. All dies führt für Unternehmen zur Reduktion von Risiken: geringere Ausfallzeiten, Vermeidung von Schäden, geringere finanzielle Verluste, Schutz der Reputation, Verringerung von Datenschutzrisiken, Erkennung bestehender Defizite und Nachbesserungsbedarfe.
Cybertrainings auf Cyber Ranges gehören heute zum Stand der Technik. Es gehört zur Verantwortung und den Sorgfaltspflichten der Leitungsebene in Organisationen, Schäden abzuwehren. Diese implizieren auch die Durchführung von Cybertrainings, da sich dadurch Risiken reduzieren lassen. Aufgrund der zunehmenden Abhängigkeit von IT-Systemen und der Bedrohungslage gehören adäquate Cybersicherheit zu den Kernpflichten einer sorgfältig handelnden Geschäftsführung.
Die Athene Cyber Range
Das Fraunhofer SIT betreibt im Nationalen Forschungszentrum für angewandte Cybersicherheit Athene die Athene Cyber Range. Personen anderer Organisationen können dort unter Anleitung ihre defensiven Fähigkeiten in Bezug auf Cyberangriffe trainieren. Die Trainingskurse haben unterschiedliche Schwerpunkte je nach eingesetzter Technologie oder Angriffszielen. Das Erreichen dieser Ziele würde üblicherweise einen größeren Schaden implizieren, wie z.B. Datenverlust, Geschäftsprozessunterbrechung oder Publikation von Geschäftsinformationen kombiniert mit Erpressung.
Aktuell kann man auf der Athene Cyber Range den Ernstfall für insgesamt 22 verschiedene komplexe Angriffe in neun Kursen trainieren, jeweils ein- oder zweitägig, Infos dazu siehe hier. Beispiele für solche Kurse sind etwa „Spionageangriffe auf Organisationen“ oder „Angriffe zur Unterbrechung von Geschäfts- und Betriebsprozessen“. Das Angebot wird kontinuierlich ausgebaut, analog zur Weiterentwicklung von Angriffsmethoden und praktisch verwendeter Technik.
Fazit
Die hohen Schäden durch Cyberangriffe machen deutlich, dass der herkömmliche Schutz nicht genügt. Es besteht ein erhebliches Potenzial, Angriffe während ihrer langen Anbahnungszeit früher zu erkennen und verhindern zu können, und dadurch Risiken zu reduzieren, wozu Cybertrainings beitragen können. Hierfür wurden Cyber Ranges entwickelt. Systematische Risikovorsorge und die Vermeidung von Schäden für Unternehmen gehören zu den Kernaufgaben von Entscheidern.
