Vor einem Jahr betrat ich eine Welt, die mir gleichzeitig seltsam vertraut und ziemlich fremd war: Die Welt der Cybersicherheit.
Vertraut war mir der Schlag Mensch: locker, begeistert, hoch professionell, teils zurückhaltend und durchweg bescheiden. Vertraut deshalb, weil ich einen Teil meiner Jugend in Clans und Gilden unterschiedlicher PC-Spiele verbracht habe. Vertraut auch deshalb, weil einer meiner Brüder im Bereich der IT arbeitet. Die Menschen dort waren mir also von Anfang an sehr sympathisch und ich habe es genossen Unterhaltungen zu führen, in denen „lol“ ein normaler Bestandteil des aktiven Wortschatzes war.
Fremd war mir, was diese Menschen genau taten. Das änderte sich auch trotz bemühten Erklärungen nur sehr langsam. Dabei kam ich mit einer Mission nach Flensburg: Ich wollte die Methoden und Vorgehensweisen meiner Welt (Intelligence) fruchtbar machen für die Welt der Informations- und Cybersicherheit. Hierfür hatte ich zwei Wochen Zeit. Es war eine einmalige Chance, die ich auch nur deshalb hatte, weil der Gründer der Deutschen Gesellschaft für Cybersicherheit meinen Ideen gegenüber so aufgeschlossen war. Aus meiner Sicht war also klar: Am Ende dieser zwei Wochen muss ich die Grundzüge eines Trainings-Designs erarbeitet haben.
Doch war es für mich so schwierig zu verstehen, was dort konkret – im Klein Klein – getan wurde, dass ich am Ende der ersten Woche am Telefon zu meiner Frau sagte, dass das Projekt vermutlich damit enden würde, dass ich mein Ziel nicht erreichen würde. Denn nicht nur ich verstand nicht wirklich, was die Profis der DGC taten – auch die Menschen dort verstanden nicht wirklich, was ich eigentlich tat. Was also ist eigentlich Intelligence? Was bedeutet Intelligence Analysis? Wozu dienen strukturierte Analysetechniken? (// Das zu erklären ist im Übrigen eine sehr grundsätzliche Herausforderung wenn ich in Deutschland gefragt werde, was ich eigentlich beruflich mache. 😉 )
Doch in der zweiten Woche kam dann Schwung in das Projekt. Ich sah Parallelen zu dem, was ich aus meinem Tätigkeitsfeld bereits kannte. Red-Teamler kämpfen genau wie Analystinnen und Analysten mit der Herausforderung, dass Wissen teilweise nur eine kurze Halbwertszeit hat. Beispielsweise wie bestimmte Sicherheitslücken ausgenutzt werden können, bevor diese dann irgendwann geschlossen werden. Ein Problem, dass dann virulent wird, wenn neues Personal qualifiziert werden soll. Wie kann also schnell viel Personal auf einen gemeinsamen Wissensstand gebracht werden? Eine Herausforderung, bei der beispielsweise Checklisten hilfreich sein können. Oder die Herausforderung, dass vergangene Erfahrungen zu Angriffsszenarien auf aktuelle Kunden übertragen werden, obwohl nur ein oder zwei Analogien dies nahelegen aber ohne, dass eine vollständige Lagefeststellung durchgeführt worden wäre. Eine Herausforderung, der man im Intelligence-Bereich durch das Aufstellen und Testen breiter Hypothesensets begegnen kann.
Im Blue-Team-Bereich waren die Parallelen zu dem, was ich im Bereich Military Intelligence getan habe noch stärker ausgeprägt. Es geht um Fragen wie: Wer ist unser (potenzieller) Gegner? Welche Absichten hat er? Über welche Fähigkeiten und Mittel verfügt er? Wie können wir uns beziehungsweise unsere Kunden effektiv und effizient gegen diese Bedrohungen schützen? All das sind Fragen, die jeder S2, J2 oder G2 sich vermutlich tausendfach gestellt hat. Die Vorgehensweisen die hierbei etabliert wurden, die Analysetechniken die genutzt werden, lassen sich hierbei 1 zu 1 übertragen. Nur das Terrain ist ein anderes. Es kennt keine Grenzen, keine Zeiten, kein Wetter und oftmals keinen genauen Gegner. Und genau diese Unbestimmtheit macht es noch wichtiger, verfügbare Schutz-Ressourcen zielgerichtet einzusetzen. Das setzt voraus, dass die Lage mit Hilfe eines strukturierten Prozesses – also unter Nutzung strukturierter Analysetechniken – analysiert wurde. Auf diese Weise können Schutzmaßnahmen ressourcenschonend konzipiert und eingesetzt werden.
Dank Woche zwei und den geduldigen Profis der DGC konnte ich also am Ende meine Mission doch erfolgreich abschließen. Ich hatte ein Trainingskonzept erstellt, dass die wichtigsten Grundlagen aus dem Bereich Intelligence Analysis auf den Bereich insbesondere der Cybersicherheit übertrug. Daraus ist mittlerweile ein fertig entwickelter 3-Tages-Kurs entstanden.
In zwei Wochen werde ich nach Flensburg zurückkehren und dieses Training mit den Profis der DGC testen. Es werden mit Sicherheit für alle Beteiligten spannende drei Tage. Und besonders freue ich mich schon jetzt auf die Menschen dort.