ITInformationstechnik-Forensiker gehen gemeinsam auf Spurensuche im Cyberraum

Die Übung Cyber Phoenix brachte auch dieses Jahr Cyber-Reservistinnen und -Reservisten aus Deutschland und den Niederlanden zusammen, um realistische Szenarien von Cyberangriffen zu trainieren. Ziel war es, Angriffsverläufe zu rekonstruieren und notwendige Maßnahmen für die Cyberabwehr abzuleiten.

Hauptmann Marvin M.* ist selbstständiger ITInformationstechnik-Sicherheitsberater, Cyber-Reservist und Teilnehmer der multinationalen Übung Cyber Phoenix 2025, die Anfang September in München stattfand. Im Gespräch erläutert er, welche Methoden dabei helfen, Cyberattacken zu verstehen und effektive Verteidigungsstrategien zu entwickeln – und warum die Verbindung von ziviler und militärischer Kompetenz so bedeutsam ist.

Was stand bei der Übung Cyber Phoenix 2025 im Mittelpunkt und welche Ziele wurden verfolgt?

Im Kern ging es darum, einen komplexen Cyberangriff Schritt für Schritt zurückzuverfolgen. Wir wollten genau wissen, wer den Angriff wie durchgeführt hat und welche Systeme betroffen waren. Es ist wichtig, die Abläufe vollständig zu rekonstruieren, um die Angreifer nachvollziehen zu können.

Das Szenario war in diesem Jahr besonders umfangreich. Im Fokus stand ein simulierter Angriff auf ein Netzwerk, das gehackt wurde, um sensible Informationen zu erlangen. Im fiktiven Szenario nutzten die Angreifer anschließend die gewonnenen Informationen, um kritische Transportinfrastrukturen anzugreifen und Waffenlieferungen umzuleiten. Dabei wurden mehrere vernetzte ITInformationstechnik-Systeme nacheinander kompromittiert. Die Angreifer sind also von einem Netzwerk ins nächste übergegangen – insgesamt gab es drei Phasen, die fließend ineinander übergingen.

Das Nachvollziehen dieser Kette von Ereignissen ermöglichte es uns, das Ziel der Angreifer zu verstehen und daraufhin Handlungsempfehlungen abzuleiten. Der Realismus der Simulation hat geholfen, unsere Analysefähigkeit zu stärken. 

Warum ist es aus Ihrer Sicht wichtig, die Cyber-Reserve in solche Übungen einzubinden?

Die Cyber-Reserve bringt sowohl breites als auch spezielles Know-how mit, das in der Bundeswehr für die Incident ResponseIncident Response ist die strukturierte und koordinierte Reaktion auf Sicherheitsvorfälle, um deren Auswirkungen zu minimieren, die Ursache zu ermitteln und die Systeme schnellstmöglich wiederherzustellen. so nicht vorgehalten werden kann. Viele von uns kommen aus der ITInformationstechnik-Wirtschaft, kennen aktuelle Technologien und Angriffsmethoden aus ihrem Berufsalltag – das ist unverzichtbar für eine zeitgemäße Verteidigung. Gleichzeitig ist es wichtig, dass wir uns in den speziellen Anforderungen der Cyber-Reserve in Übung halten, um im Ernstfall schnell einsatzbereit zu sein. Die ITInformationstechnik-Forensik ist ein sehr komplexes und schnelllebiges Feld, in dem niemand allein alle Aspekte abdecken kann. Deshalb sind gut abgestimmte, multinationale Teamübungen wichtig, damit wir alle voneinander lernen und eng zusammenarbeiten können.

Welche konkrete Rolle und Aufgaben haben Sie bei der Übung übernommen?

Ich war zusammen mit einem niederländischen Kameraden für die ITInformationstechnik-Forensik an den Endgeräten zuständig. Das heißt, wir haben Daten auf den betroffenen Rechnern ausgewertet, um nachvollziehen zu können, wie die Angreifer eingedrungen sind, welche Spuren sie hinterlassen haben und welche Schadsoftware zum Einsatz kam. Die Ergebnisse lieferten eine wichtige Grundlage, um das Verhalten der Angreifer zu verstehen. Parallel dazu haben andere Teammitglieder Netzwerk- und Logdaten analysiert. Nur durch dieses Zusammenspiel bekommt man ein vollständiges Bild.

In welchem Beruf sind Sie tätig und wie fließt Ihre zivile Expertise in die Übung ein?

Ich bin selbstständiger ITInformationstechnik-Sicherheitsberater und helfe Unternehmen, ihre ITInformationstechnik-Systeme abzusichern. Die Erfahrung aus meinem Berufsalltag unterstützt mich dabei, technische Abläufe und Angriffsszenarien realistisch einzuschätzen und praxisnah anzugehen. Gleichzeitig lerne ich durch die Übung viel über militärische Arbeitsweisen, was mir hilft, meinen Horizont zu erweitern. So entsteht ein wertvoller Austausch zwischen zivilem und militärischem Know-how – davon profitieren beide Seiten.

Was hat Sie persönlich motiviert, Cyber-Reservist zu werden und an Cyber Phoenix teilzunehmen?

Ich war zwölf Jahre als Offizier in der Logistik des Heeres aktiv und wollte auch nach meinem Ausscheiden 2018 meine Fähigkeiten weiterhin für die Bundeswehr einsetzen – besonders in einem Bereich, der immer wichtiger wird. Die Cyber-Reserve bot mir die perfekte Möglichkeit, meine zivile ITInformationstechnik-Expertise sinnvoll mit militärischen Aufgaben zu verbinden. Gerade angesichts zunehmender Cyberbedrohungen und des Fachkräftemangels ist es wichtig, dass ich und andere Reservisten als Brücke zwischen Wirtschaft und Bundeswehr agieren. Die Cyber Phoenix war für mich eine großartige Gelegenheit, mich einzubringen, praxisnah zu lernen und gemeinsam mit internationalen Kameraden und Kameradinnen zu arbeiten.

*Name zum Schutz der Person abgekürzt.

von Franziska Hennecke  E-Mail schreiben