Trainingszentrum für IT-Personal Topfit für den Cyberkrieg

In diesem Unterricht wird angegriffen: Das CyberGym in Israel ist eine professionelle Schule für IT-Sicherheitsleute. Ex-Cyber-Soldaten der Armee lehren dort Fachkräfte aus Unternehmen das Fürchten. Die Angst vor Hackern ist Geschäftsmodell.

Max Biederbeck

Von Max Biederbeck


Hadera - Goldbird braucht nur einige Sekunden. Der 35-Jährige hämmert Befehle in seine Tastatur. Dann kapert er das Netzwerk des Nachbargebäudes. Es dauert eine weitere Minute, bis nebenan die Feuermelder aufjaulen und die Deckenbeleuchtung verrückt spielt. Der Hacker grinst: Operation gelungen, Netzwerk des Gegners tot.

Goldbird, dessen echter Name ein Geheimnis bleiben soll, ist einer von zwölf Hackern des "Red Teams". Früher haben er und seine Kollegen für private Sicherheitsdienste und die israelische Armee gearbeitet. Heute hackt er für das CyberGym Israel, ein Joint Venture des Sicherheitskonzerns Cyber Control und der Israel Electric Corporation (IEC), dem größten Stromanbieter des Landes. Auf einem Trainingsgelände nahe der israelischen Hafenstadt Hadera bildet das Unternehmen seit September Cyber-Sicherheitsleute aus. Fachkräfte aus Industrie und Politik treten gegen die Sparringspartner aus Militär und IT-Branche an. Die Kunden bilden das "Blue Team". Goldbirds Job: sie anzugreifen, bis das System zusammenbricht.

IT-Sicherheitstrainings für Fachpersonal gibt es an vielen Orten und in diversen Formen. Das CyberGym aber ist eine Art Schulungszentrum für Kunden aus aller Welt, samt einer Mini-Turbine für die Simulation von Angriffen auf Kraftwerke.

"Konkrete Angriffe mit physischen Auswirkungen"

Der israelische Energiekonzern betrachtet die Ausbildungseinrichtung auch als Selbstschutzmaßnahme. "Die IEC wird wöchentlich rund 100.000 Mal das Ziel von Angriffen aus dem Internet", sagt Gilad Yoshi, einer der CyberGym-Geschäftsführer. "Oft handelt es sich nur um Malware, aber eben auch immer wieder um echten Cyber-Terrorismus". Er glaubt, die Kriege von morgen werden digital geführt. Etwa, indem ganze Kraftwerke ausgeschaltet werden, der Strom ausfällt oder die Infrastruktur eines Landes zusammenbricht. "Wir müssen lernen, dass neben Spionage auch ganz konkrete Angriffe mit physischen Auswirkungen erfolgen können", so Yoshi.

Die Angst vor solchen Szenarien scheint groß. Hier ist sie Teil des Geschäftsmodells. Die Trainingsseminare sind bis Mitte des Jahres ausgebucht. Sogar Brasilien habe angeklopft, sagt Yoshi. Die dortige Polizei wolle lernen, wie sie die Olympischen Spiele 2016 vor Online-Terroristen schützen kann. Für kommendes Jahr sei die Eröffnung eines Gyms in Deutschland geplant.

Heute besteht das Blue Team aus eigenen Mitarbeitern der IEC. Sie haben es gerade geschafft, den Feueralarm wieder unter Kontrolle zu bekommen. Sie konnten den Trojaner von Goldbird finden und seine Verbindung nach draußen kappen. Jetzt sollen sie den Nachbau eines Kraftwerks verteidigen, das als kleine Turbine dargestellt wird. In anderen Szenarien geht es zum Beispiel darum, Server oder Sicherungen zu beschützen. Oder Steuerungssysteme, wie sie vor einigen Jahren in Iran vom Wurm Stuxnet angegriffen wurden.

"Im echten Leben hätte es schwerwiegende Folgen"

Ein neuer Angriff lässt die Turbine verrückt spielen. Sie läuft heiß oder hört kurz völlig auf zu arbeiten. "Wir müssen sie regelmäßig auswechseln, weil Goldbird und seine Leute sie zerstören", sagt Yoshi. Im Spiel ein Schaden von rund 200 Euro. In der Realität, sagt der Manager, wären es bis zu 200 Millionen. Schließlich entscheidet das Blue Team, die Turbine ganz vom Netz zu nehmen, um den Angreifer auszusperren.

Ein Fehler, sagt Eitan Caspi, einer der Trainer. "Im echten Leben hätte es schwerwiegende Folgen, das Kraftwerk vom Netz zu nehmen." Nicht nur wegen der wirtschaftlichen Schäden, sondern auch wegen der Glaubwürdigkeit des Unternehmens. Im Fall eines Konzerns wie der IEC drohe sogar ein Sicherheitsrisiko für den Staat.

Ein separater Computer zeichnet im Training alle Fehler auf. Noch am Abend wird das Blue Team erfahren, wie groß der theoretische Schaden war, den es angerichtet hat. Doch für die 15 IEC-Mitarbeiter zählt im Moment nur eins - den Angreifer endlich aus dem System zu werfen.

Goldbird kennt diese Gedankengänge. "Nicht die Computer sind die Schwachstelle", sagt er. Nicht die Server, nicht der Mangel an Schutzsoftware. "In einem Netzwerk, zum Beispiel im Büro, arbeiten immer Menschen. Deshalb komme ich auch immer hinein, wenn ich will." Sei es ein Anruf als angeblicher IT-Mitarbeiter, der einen Angestellten auf eine gehackte Website lockt, ein verseuchter USB-Stick, eine SMS oder eine verwurmte E-Mail. "Die Schüler müssen lernen, auf Hinweise zu achten." Ein Flackern auf dem Bildschirm, ein merkwürdiger Code in einer Betreffzeile, all das könnten Hinweise darauf sein, dass sich ein Hacker gerade im System breitmacht.

"Hier im Gym lernt man, einen Angriff schon zu erkennen, bevor er passiert. Die Indizien zu verstehen und richtig zu deuten", sagt Goldbird. Manchmal lässt er die Schüler auch gewinnen. Grinsend fügt er hinzu: "Ich will sie ja auch nicht deprimieren."



Forum - Diskutieren Sie über diesen Artikel
insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
itse 17.01.2014
1. wenige Minuten
klar, ein Angriff in echt dauert möglicherweise nur wenige Minuten. Aber nur dann wenn es sich um einen harmlosen Skript-Kiddie-Angriff handelt der bei eingespielten Patches in der Regel harmlos sein sollte. ODER Wenn es sich um einen genau einstudierten und perfekt geplanten Angriff handelt welcher im Allgemeinen Insiderwissen oder sehr lange Erfahrung benötigt. Die Planungsdauer kann hier auch mehrere Mannwochen - Mannjahre erfordern. Mal eben so gehackt, dass in der Firma nebenan die Alarmanlage/Feuerwehrmelder jault ist nicht. Schließlich muss man selbst bei völlig ungeschütztem Netzwerk erst mal die Anlage zum jaulen bringen und mit dem Abschicken eines "ping 1.1.1.1" ist es da nicht getan.
disi123 17.01.2014
2. laptop
War mir nur aufgefallen, das ist ein Dell E6320 und die haben wir auch in der Firma. Die Distribution BackTrack ist ja bekannt fuer alle moeglichen Netzwerk tools zur Analyse von Datenpaketen. Die Haelfte davon mag in Deutschland aber bereits verboten sein.
momentum 17.01.2014
3. optional
Na klar, Itse! Die Jungs sind alles angeberische Stümper und letztendlich, weißt auch nur du, wie man auch der NSA Paroli bietet. Aber ... dieses Selbstvertrauen braucht auch das Gegenüber. ;-)
rumpelstielchen 17.01.2014
4. Pech für Anwendung auf Kernkraftwerke
Kernkraftwerke sind nicht an das Internet angeschlossen, haben ein unabhängiges Netzwerk und sind deshalb sicher vor solchen Angriffen. Die Iraner haben daraus gelernt. ;-)
Gott 17.01.2014
5.
Zitat von disi123War mir nur aufgefallen, das ist ein Dell E6320 und die haben wir auch in der Firma. Die Distribution BackTrack ist ja bekannt fuer alle moeglichen Netzwerk tools zur Analyse von Datenpaketen. Die Haelfte davon mag in Deutschland aber bereits verboten sein.
Warum sollten die Tools verboten sein?! Solange ich sie nicht für etwas illegales einsetze, ist es doch idiotisch sie zu verbieten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.