Cyber-Situationsbewusstsein (CyberSA) ist die Fähigkeit von Kommandeuren und Sicherheitsoperatoren, den aktuellen Zustand der Cyberumgebung in ihrer Auswirkung auf militärische Operationen wahrzunehmen, zu verstehen und zu projizieren. Es ist eine Kommandofunktion, nicht nur eine Sicherheitsoperationsfunktion — die Unterscheidung ist wichtig, da sie eine fundamental andere Designphilosophie für die Tools und Dashboards bestimmt, die sie unterstützen.
Ein traditionelles Security Operations Center Dashboard ist für Sicherheitsanalysten optimiert: dichte Alert-Warteschlangen, detaillierte Ereignis-Zeitlinien, Untersuchungs-Workflows. Ein CyberSA-Dashboard für Kommandeure (BMVg-Kontext) muss einen synthetisierten, handlungsfähigen Status präsentieren: welche Systeme gefährdet sind, welche Maßnahmen ergriffen werden und welche operationale Auswirkung laufende Cyber-Aktivitäten haben — alles in einem Format, das für einen unter Zeitdruck stehenden Offizier konsumierbar ist.
Was Cyber-Situationsbewusstsein für Kommandeure bedeutet
Das Endsley-Modell des Situationsbewusstseins — Wahrnehmung, Verständnis, Projektion — lässt sich direkt auf das CyberSA-Problem übertragen. Wahrnehmung ist die Erfassung von Rohdaten: Netzwerktelemetrie, Endpoint-Ereignisse, SIEM-Warnungen, Schwachstellen-Scan-Ergebnisse, Threat-Intelligence-Feeds. Verständnis ist die Synthese dieser Rohsignale zu einem kohärenten Bild des aktuellen Sicherheitszustands: was ist normal, was ist anomal, was ist bekannt-schlecht. Projektion ist die Vorwärtsschätzung: Was wird in den nächsten 15 Minuten, der nächsten Stunde, dem nächsten Tag wahrscheinlich passieren?
Datenquellen: Aufbau des Sensor-Stacks
Netzwerktelemetrie ist die Echtzeit-Datenquelle mit der höchsten Wiedergabetreue für CyberSA. Full Packet Capture an Engpässen, NetFlow/IPFIX-Datensätze von der Netzwerkinfrastruktur und DNS-Abfrageprotokolle bilden zusammen einen umfassenden Überblick darüber, was mit was kommuniziert. Netzwerktelemetrie ist die Ground Truth für die Erkennung von Lateral Movement, Datenexfiltration und C2-Kommunikation.
CTI-Feed-Integration fügt die Kontextschicht hinzu: bekannte schlechte Infrastruktur, bekannte TTP-Muster von Bedrohungsakteuren, aktuelle Kampagnenindikatoren. Eine CyberSA-Plattform, die Netzwerktelemetrie automatisch gegen einen Live-CTI-Feed korrelieren und Übereinstimmungen in Echtzeit aufdecken kann, bietet qualitativ besseres Situationsbewusstsein als eine, die nur auf Telemetrie operiert.
Dashboard-Architektur: Stream-Processing und Aggregation
Die Datenvolumen in Echtzeit-CyberSA erfordern eine Stream-Processing-Architektur, keine Batch-Processing-Architektur. Kafka ist der Standard-Message-Broker für diesen Architekturtyp: Log-Quellen veröffentlichen Ereignisse in Kafka-Topics, und Stream-Processing-Engines (Kafka Streams für einfachere Transformationen; Apache Flink für komplexe Ereignisverarbeitung) konsumieren diese Topics, wenden Anreicherungs- und Aggregationslogik an und veröffentlichen Ergebnisse an nachgelagerte Konsumenten.
Physisch-Cyber-Integration: Vorfälle auf die operative Karte legen
Die wertvollste Funktion einer militärischen CyberSA-Plattform ist die Fähigkeit, Cybervorfälle auf die operative Karte zu legen. Ein Cyberangriff auf ein Logistikmanagementsystem ist je nach den unterstützten Einheiten mehr oder weniger schwerwiegend. Ein DoS-Angriff gegen eine Kommunikationsrelaisstation ist je nach den von dieser Relaisstation abhängigen operativen Elementen mehr oder weniger schwerwiegend. Die technische Implementierung erfordert eine CMDB, die sowohl Cyber-Attribute jedes Assets als auch seine physisch-operativen Attribute speichert.
Alert-Triage-UX: Design für unter Zeitdruck stehende Operatoren
Alert-Ermüdung ist der primäre Ausfallmodus von Sicherheits-Dashboards in operativen Umgebungen. Das CyberSA-Dashboard-Design muss eine klare Meinung zur Schweregrad-Rangfolge haben. Die Schweregrad-Klassifizierung muss automatisiert sein und auf operativen Auswirkungen basieren, nicht nur auf technischem Schweregrad. Ein-Klick-Reaktionsaktionen reduzieren die kognitive Belastung für unter Zeitdruck stehende Operatoren.
Kernaussage: Der größte Ausfallmodus im CyberSA-Plattform-Design besteht darin, ein System zu bauen, das für Tool-Implementierer und nicht für die Kommandeure optimiert ist, die es verwenden müssen. Technische Teams, die Sicherheitsplattformen entwickeln, neigen dazu, die Informationsdichte zu maximieren. Kommandeure unter operativem Druck benötigen Informationsreduktion — die Plattform muss die drei Dinge aufdecken, die jetzt wichtig sind, nicht die dreihundert Dinge, die wichtig sein könnten.