Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. Cybersecurity
  5. Orange Cyberdefense Teilnahme an der Übung Cyber Phoenix 2025

Orange Cyberdefense Teilnahme an der Übung Cyber Phoenix 2025

CyberdefenseCybersecurity

Share

Übung Cyber Phoenix 2025

„Cyber Phoenix 2025“ – Wertvolle Einblicke in die IT-Forensik

Bei der multinationalen Übung Cyber Phoenix 2025, einer vom Cyber- und Informationsraum der Bundeswehr organisierten Trainingsreihe, konnten wir wertvolle Einblicke in Host- und Network-Forensik gewinnen, Szenarien zur Erkennung von C2-Kommunikation auf Linux- und Windows-Systemen miterleben, Angriffe auf OT-Umgebungen und SCADA-Systeme analysieren und unser Fachwissen einbringen. In Vorträgen, Gesprächen und durch praxisnahe Tipps haben wir den internationalen Austausch gefördert und gemeinsam mit Teilnehmenden aus Militär, Reservisten, Behörden und Industrie zur Aufklärung des Falls beigetragen. Diese Erfahrung knüpft direkt an unsere Teilnahme an NATO Locked Shields an und unterstreicht einmal mehr: Wissen teilen heißt Sicherheit stärken.

  • In der Host-Forensik lag der Fokus auf der Analyse kompromittierter Linux- und Windows-Workstations sowie Server. Dabei wurden unter anderem Arbeitsspeicherabbilder (Memory Dumps) untersucht, um laufende Prozesse, verdächtige Module und mögliche In-Memory-Malware zu identifizieren.
     
  • In der Network-Forensik analysierten wir umfangreiche PCAP-Dateien (Packet Captures), um verdächtige Muster im Netzwerkverkehr zu erkennen. Ein Schwerpunkt lag auf der Identifizierung von Command-and-Control (C2) Kommunikation, sowohl über bekannte Ports und Protokolle als auch über getarnte, unauffällige Kanäle.
     
  • Ergänzend wurden Firewall-Logs und -Verbindungen ausgewertet, um ein vollständiges Bild der Angriffswege und der exfiltrierten Datenströme zu erhalten.
     
  • Für die umfassende Endpoint-Analyse und Incident Response kam zudem Endpoint Detection and Response (EDR) Tools zum Einsatz, um Artefakte aus unterschiedlichen Systemen zentral zu erfassen und auszuwerten.
     
  • Im Bereich der OT-Forensik wurden forensische Abbilder kompromittierter SCADA-Systeme untersucht, um Manipulationen an Steuerungslogiken, unautorisierte Änderungen an Prozessparametern sowie potenzielle Auswirkungen auf industrielle Anlagen zu identifizieren und zu dokumentieren.
     
  • Alle gewonnenen Erkenntnisse wurden in einem Security Information and Event Management (SIEM), zusammengeführt und korreliert. So ließ sich der zeitliche Ablauf des Angriffs rekonstruieren, einzelne Ereignisse in Zusammenhang bringen und die Vorgehensweise der Angreifer präzise nachvollziehen.

Grenzüberschreitender Wissensaustausch: Schlüssel zur Cybersicherheit

Ein zentrales Element des Szenarios war es, diese Erkenntnisse plattformübergreifend zusammenzuführen und die gewonnenen Indicators of Compromise (IOCs) mit zusätzlicher Cyber Threat Intelligence (CTI) anzureichern. Die Analyseergebnisse wurden anschließend in international zusammengesetzten Teams diskutiert, um gemeinsam den simulierten Vorfall aufzuklären und wirksame Gegenmaßnahmen zu entwickeln.

Die Übung hat uns erneut gezeigt, wie entscheidend grenzüberschreitender Wissensaustausch in der Cybersicherheit ist. Diese Erfahrung knüpft direkt an unsere Teilnahme an NATO Locked Shields. Der kontinuierliche Austausch zwischen Expertinnen und Experten aus Militär, Reservisten, Behörden und Industrie ist dabei von unschätzbarem Wert, um gemeinsam widerstandsfähige Verteidigungsstrategien zu entwickeln und auf zukünftige Bedrohungen vorbereitet zu sein.

Lessons Learned – Unsere wichtigsten Erkenntnisse

Frühe Korrelation ist entscheidend: Je schneller Daten aus Host-, Netzwerk- und Log-Analysen zusammengeführt werden, desto klarer wird das Gesamtbild eines Angriffs.

Tool-Vielfalt steigert Erkenntnisse: Der Einsatz mehrerer spezialisierter Werkzeuge liefert deutlich mehr Informationen und tiefere Einblicke, was die Trefferquote erhöht. Gleichzeitig steigt jedoch die Komplexität der Auswertung. Das volle Potenzial dieser Tools lässt sich nur mit fundierten Vorkenntnissen und sicherem Umgang mit forensischen Methoden ausschöpfen.

Internationale Zusammenarbeit beschleunigt die Aufklärung: Unterschiedliche Perspektiven und Erfahrungen führen zu schnelleren und präziseren Analysen und besseren Verteidigungsstrategien.

CTI-Anreicherung macht Ergebnisse belastbarer: Die Verknüpfung von Forensik-Daten mit Threat Intelligence erhöht die Aussagekraft und Relevanz der Befunde.

Realistische Szenarien trainieren Reaktionsfähigkeit: Übungen wie Cyber Phoenix oder NATO Locked Shields schaffen praxisnahe Bedingungen, um unter Zeitdruck fundierte Entscheidungen zu treffen.

OT-spezifische Forensik erfordert besondere Expertise: Angriffe auf industrielle Steuerungs- und SCADA-Systeme folgen oft anderen Mustern als klassische IT-Angriffe. Die Analyse forensischer Abbilder solcher Systeme ermöglicht es, Manipulationen an Steuerungslogiken, Prozessparametern oder Kommunikationswegen frühzeitig zu erkennen. Das Verständnis dieser Besonderheiten ist entscheidend, um Betriebsunterbrechungen zu vermeiden und die Integrität kritischer Infrastrukturen zu sichern.

Autoren

Markus Neumaier

Head of CyberSOC Central EU

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.