Militärische Cyber-Incident-Response arbeitet unter Bedingungen, die im kommerziellen IR kein Äquivalent haben. Anforderungen an die Klassifizierungsbehandlung bedeuten, dass jedes während der Untersuchung erstellte Artefakt — Speicher-Dumps, Log-Exporte, Netzwerk-Captures, Analystennotizen — als klassifiziertes Material behandelt werden muss, wenn es aus einem klassifizierten Netzwerk stammt. Anforderungen an die Betriebskontinuität bedeuten, dass die Standard-IR-Maßnahme "sofort isolieren" häufig nicht verfügbar ist: ein kompromittiertes System, das aktiv eine Mission unterstützt, kann nicht einfach abgeschaltet werden. Und Anforderungen an die Berichterstattung in der Befehlskette bedeuten, dass der Vorfall über definierte militärische Kanäle in definierten Fristen eskaliert werden muss.

Dieser Artikel bietet ein vollständiges IR-Playbook für militärische und Verteidigungsumgebungen — von der Alert-Triage und ersten Eindämmung über forensische Sammlung, Bedrohungsattribution, Wiederherstellung bis hin zur obligatorischen Berichterstattung.

Militärische IR-Einschränkungen: Klassifizierung, Kontinuität und Befehlskette

Klassifizierungsbehandlung bedeutet, dass forensische Artefakte aus einem klassifizierten Netzwerk auf dem Niveau des Quellsystems klassifiziert sind. Ein Speicher-Dump von einer SECRET-Workstation ist ein SECRET-Artefakt. Er muss auf SECRET-akkreditierten Medien gespeichert, auf einer SECRET-akkreditierten Workstation analysiert, nur über genehmigte SECRET-Kanäle übertragen und gemäß Klassifizierungsvernichtungsanforderungen entsorgt werden.

Betriebskontinuität bedeutet, dass das IR-Team nicht einseitig entscheiden kann, Systeme abzuschalten. Die Kommandogewalt muss Teil der Eindämmungsentscheidung sein. Die Rolle des IR-Teams ist es, technische Optionen mit ehrlichen Risikobewertungen zu präsentieren und die Entscheidung der Kommandogewalt zu unterstützen.

Berichterstattung in der Befehlskette erfordert, dass Cybervorfälle in militärischen Netzwerken über definierte Kanäle in definierten Fristen gemeldet werden. In der US-DoD-Struktur bedeutet dies die Meldung an das relevante Cyber Protection Team (CPT) und die Befehlskette.

Erkennung: SIEM-Alert-Triage für militärische Netzwerke

Effektive Erkennung in militärischen Netzwerkumgebungen hängt von abgestimmten SIEM-Korrelationsregeln ab, die die spezifischen Verkehrsmuster militärischer Systeme berücksichtigen — und die OT/ICS-Protokollanomalien als erstklassige Indikatoren neben IT-Einbruchssignalen behandeln.

Hochzuverlässige Einbruchsindikatoren für militärische IT-Netzwerke umfassen: Lateral-Movement-Signaturen (Pass-the-Hash, Kerberoasting mit ungewöhnlich hoher Anzahl von Event-ID-4769-Ereignissen mit Verschlüsselungstyp 0x17), Beaconing-Muster in Proxy- und DNS-Logs, Privilegienerweiterung durch Service-Erstellung (Event ID 7045).

OT/ICS-Einbruchsindikatoren erfordern Überwachung auf Protokollebene. Unerwartete Modbus-Funktionscode-5- oder -16-Befehle von IT-Netzwerk-Quelladressen deuten auf eine IT-OT-Grenzüberschreitung hin. Nicht autorisierte DNP3-Funktionscodes und unerwartete BACnet-Schreiboperationen sind hochzuverlässige OT-Einbruchsindikatoren.

Erste Reaktion: Isolierung ohne Unterbrechung missionskritischer Systeme

Eindämmungsoptionen für missionskritische Systeme, die nicht abgeschaltet werden können, umfassen: VLAN-Neuzuweisung (verschiebt den kompromittierten Host in ein isoliertes Segment, während seine IP-Adresse und aktive Verbindungen erhalten bleiben), Firewall-ACL-Modifikation (erlaubt nur die für die Missionsfunktion erforderlichen Ports und Zieladressen, blockiert allen anderen Verkehr einschließlich identifizierter C2-Kanäle) und Traffic-Shaping (verschlechtert den Durchsatz des Angreifer-Kanals unter nützliche Niveaus).

Forensische Sammlung: Beweismittelkette für klassifizierte Systeme

Die Dokumentation der Beweismittelkette beginnt im Moment der Sammlung und muss erfassen: die Identität des Sammlers, Datum und Uhrzeit der Sammlung (in UTC), das spezifische Werkzeug und die Version, den Hash-Wert jedes gesammelten Artefakts (SHA-256 minimum) sowie jede nachfolgende Übergabe der Beweise.

Bedrohungsattribution: APT-TTPs und MITRE ATT&CK für ICS

Die drei für Verteidiger militärischer Netzwerke relevantesten APT-Gruppen sind APT28 (Fancy Bear, russischer GRU), APT29 (Cozy Bear, russischer SVR) und APT41. APT28 zeichnet sich durch Spearphishing mit Anmeldedaten-Harvesting-Dokumenten und Living-off-the-Land-Ausführung via PowerShell und WMI aus. APT29 ist für Supply-Chain-Kompromittierung (SolarWinds-Stil), langsame und leise Persistenz über legitime Cloud-Dienste und versteckte LDAP-Aufklärung bekannt. APT41 kombiniert staatliche Spionage mit finanziell motivierten Einbrüchen und ist für Firmware-Persistenz auf Netzwerkgeräten bekannt.

MITRE ATT&CK für ICS deckt OT-spezifische Techniken ab: Inhibit Response Function (T0838), Manipulate Control (T0831), Damage to Property (T0879) und Loss of Safety (T0880) — Auswirkungen ohne Äquivalent in der IT-Incident-Response.

Eindämmungsstrategien: Segmentierung, Credential-Rotation, Firmware-Reflash

Notfall-Credential-Rotation ist erforderlich, wenn Beweise auf gestohlene Anmeldedaten hinweisen. Die Sequenz: zweifaches Zurücksetzen des krbtgt-Kontopassworts (mit Verzögerung zwischen den Resets), Rotation aller Service- und privilegierten Kontopasswörter, Ungültigmachung aller aktiven Sitzungen und erzwungene Re-Authentifizierung aller Benutzer.

Wiederherstellung und Härtung: Sauberes Re-Imaging und STIG-Revalidierung

Nach dem Re-Imaging von einem verifizierten Basis-Image wird die STIG-Konformität mit DISAs SCAP Compliance Checker (SCC) oder einem gleichwertigen genehmigten Werkzeug revalidiert. Alle Befunde müssen behoben und dokumentiert werden, bevor das System in die Produktion zurückgebracht wird. Die Post-Incident-STIG-Revalidierung löst typischerweise auch eine neue Authority-to-Operate (ATO)-Überprüfung aus.

Berichterstattung: CISA, NATO NCIRC und öffentliche Offenlegung

US-DoD-Auftragnehmer sind verpflichtet, Cybervorfälle gemäß DFARS 252.204-7012 innerhalb von 72 Stunden nach Entdeckung an DC3 zu melden. US-Bundesbehörden melden an CISA gemäß FISMA und CIRCIA. NATO-Vorfälle, die NATO-CIS betreffen, werden gemäß der NATO CIS Incident Management Policy an NCIRC gemeldet.

Wichtige Erkenntnis: Die häufigste Lücke bei der militärischen Cyber-Incident-Response ist nicht die Verfügbarkeit von Werkzeugen — es ist der geübte Prozess. Der Kompromiss zwischen Eindämmung und Kontinuität, der Berichterstattungsrhythmus in der Befehlskette und die klassifizierten forensischen Handhabungsverfahren erfordern vorab etablierte Vereinbarungen und geübte Workflows. Ein dokumentiertes und geübtes IR-Playbook — jährlich an realistischen Szenarien getestet — ist die Investition mit dem höchsten ROI.