Red Team vs. Blue Team: Cyber-Abwehrübungen für Militärorganisationen

Von Corvus Intelligence Engineering-Team · Über das Team →

4. Juni 2026 9 Min. Lesezeit

Jeder Cyber-Kommandeur stellt sich nach einem Sicherheitsaudit früher oder später dieselbe unbequeme Frage: Hätten Ihre SOC-Analysten einen staatlichen Angreifer erkannt, der sich in den letzten sechs Monaten in Ihren Netzwerken befunden hat? Die ehrliche Antwort ist für die meisten Militärorganisationen: wahrscheinlich nicht — nicht weil die Verteidiger inkompetent sind, sondern weil klassifizierte Netzwerke komplex sind, operative Kontinuitätsanforderungen den Einsatz aggressiver Abwehr-Tools einschränken und das Tradecraft von Bedrohungsakteuren weit über das hinausgegangen ist, was signaturbasierte Erkennung allein abfangen kann. Red-Team/Blue-Team-Übungen existieren, um diese Frage zu beantworten, bevor es ein Angreifer tut. Sie gehören zu den ertragreichsten Investitionen, die eine militärische Cyber-Organisation tätigen kann — und zu den am schlechtesten durchgeführten, wenn die Planungsdisziplin fehlt.

Dieser Artikel behandelt den vollständigen Bogen einer militärischen Cyber-Übung: warum Verteidigungsnetzwerke einzigartige Herausforderungen darstellen, wie Übungstypen entlang eines Reifegradkontinuums strukturiert werden, wie Red- und Blue-Team-Rollen besetzt und abgegrenzt werden, welche technische Infrastruktur eine effektive Übung erfordert und wie aus der After-Action-Review verwertbare Verbesserungen gewonnen werden. Die WARG Multi-Domänen-Übungsplattform unterstützt die Integration von Cyber-Domänenereignissen in die umfassendere gemeinsame Übungsplanung — eine Fähigkeit, die im letzten Abschnitt untersucht wird.

Warum militärische Cyber-Übungen sich von kommerziellen unterscheiden

Die Prinzipien des Red-Team/Blue-Team-Tests gelten sektorübergreifend, aber Militärnetzwerke bringen Einschränkungen und Anforderungen mit sich, für die es kein kommerzielles Pendant gibt. Das Verständnis dieser Unterschiede ist Voraussetzung für die Konzeption einer Übung, die nützliche Trainingsdaten statt einer geskripteten Darbietung produziert.

Klassifizierte Netzwerkarchitektur. Militärnetzwerke umspannen mehrere Geheimhaltungsstufen — von nicht klassifizierten Verwaltungssystemen bis zu geheimen und höheren Enklaven — und die Grenzen zwischen ihnen sind selbst hochwertige Ziele. Ein Red Team, das eine fortgeschrittene persistente Bedrohung emuliert, versucht nicht nur Daten zu exfiltrieren; es könnte einen domänenübergreifenden Transfer versuchen, der eine falsch konfigurierte Datendiode oder eine schlecht implementierte Cross-Domain-Lösung ausnutzt. Übungen, die nur auf nicht klassifizierten Ranges operieren, können die operativ relevantesten Angriffspfade übersehen.

Operative Kontinuitätsanforderungen. Ein kommerzieller Penetrationstester kann eine Webanwendung eine Stunde lang außer Betrieb setzen, ohne katastrophale Folgen. Ein Red Team, das in einem Netzwerk operiert, das aktives Führungs- und Kontrollwesen unterstützt, kann den Betriebsverkehr nicht ohne Missionsauswirkungen unterbrechen, die weit über die Übung hinausgehen. Diese Einschränkung erzwingt einen Kompromiss: Übungen auf produktionsnahen Netzwerken sind realistischer, tragen aber echtes operatives Risiko; Übungen auf isolierten Cyber-Ranges sind sicherer, können aber die tatsächlichen Abwehrlücken in operativen Systemen nicht aufdecken. Erfahrene Übungsdesigner begegnen diesem mit einem geschichteten Ansatz — isolierte Range-Übungen zur Technikvalidierung, begrenzte produktionsnahe Übungen für realistisches Umgebungstesting.

OPSEC während der Übung selbst. Die Existenz einer Red-Team-Übung ist operativ sensible Information. Ein Angreifer, der erfährt, dass eine Einheit interne Tests durchführt, könnte seinen Zeitplan anpassen, um das Übungsfenster zu vermeiden, oder echte Eindringaktivitäten in den Übungslärm einzumischen versuchen. Übungsplanung und -kommunikation sollten auf angemessenen Geheimhaltungsstufen behandelt werden, und der Kreis der Mitarbeiter mit Kenntnis des Übungszeitplans sollte minimiert werden — insbesondere gegenüber Blue-Team-Personal, dessen Erkennungstraining echte Unsicherheit darüber erfordert, ob beobachtete Aktivität übungsbedingt oder real ist.

Rechtsgrundlage für offensive Techniken. Red-Team-Operateure, die offensive Cyber-Tools gegen Militärnetzwerke einsetzen, benötigen ausdrückliche schriftliche Genehmigung, die nicht standardmäßig besteht. Der Computer Fraud and Abuse Act in den Vereinigten Staaten und entsprechende Gesetze in alliierten Nationen begründen strafrechtliche Haftung für unbefugten Computerzugang unabhängig von der Zugehörigkeit des Akteurs. Die Einholung der ordnungsgemäßen Rechtsgrundlage — Befehlsgenehmigungsdokumente, Einsatzregeln und Freistellungsbriefe — vor Beginn jeglicher Red-Team-Aktivität ist kein bürokratischer Verwaltungsaufwand; es ist die Grundlage, die die Übung rechtlich verteidigbar macht.

Übungstypen entlang des Reifegradkontinuums

Militärische Cyber-Übungen reichen von kostengünstigen Tabletop-Diskussionen bis hin zu vollständigen Live-Feuer-Simulationen auf dedizierter Range-Infrastruktur. Organisationen auf unterschiedlichen Reifegradstufen profitieren von verschiedenen Übungstypen, und der Fortschritt vom Tabletop zum Live-Feuer ist selbst ein strukturierter Entwicklungspfad.

Tabletop-Übungen bringen das Incident-Response-Team zusammen, um ein Szenario ohne jede Live-Technikaktivität durchzuspielen. Der Moderator präsentiert ein Szenario — "Sie haben einen Alert erhalten, dass ein Endpunkt im Kommandantursnetzwerk ein ungewöhnliches ausgehendes DNS-Abfragemuster initiiert hat; was tun Sie?" — und das Team diskutiert seinen Reaktionsprozess. Tabletops sind kostengünstig, benötigen keine technische Infrastruktur und sind sehr effektiv darin, Prozesslücken aufzudecken: fehlende Eskalationsverfahren, undefinierte Rollen, Entscheidungsambiguitäten und Kommunikationsausfälle zwischen dem SOC und dem Incident Commander. Sie produzieren keine Daten darüber, ob die Erkennungs-Tools tatsächlich funktionieren, aber sie zeigen, ob das Team weiß, wie es sie einzusetzen hat.

Vollständige Simulationsübungen beinhalten ein menschliches Red Team, das aktiv gegen eine Zielumgebung operiert, während das Blue Team in Echtzeit verteidigt. Das Red Team verwendet echte offensive Tools und Techniken; das Blue Team verwendet seine operativen Erkennungs- und Reaktions-Tools. Diese Übungen sind das hochwertigste verfügbare Training, das nur von der Reaktion auf einen echten Einbruch übertroffen wird, und sie sind der einzige Übungstyp, der realistische MTTD- und MTTR-Metriken produziert. Sie erfordern die meiste Planung, die meiste technische Infrastruktur und die sorgfältigste Rechtsgrundlagendokumentation.

Live-Feuer auf Range-Netzwerken verwendet einen dedizierten Cyber-Range — eine isolierte Netzwerkumgebung, die die Produktionsarchitektur widerspiegelt, ohne operativen Verkehr zu übertragen — als Übungsumgebung. Dieser Ansatz bewahrt die operative Kontinuität, während dem Red Team erlaubt wird, das gesamte Spektrum autorisierter Techniken einzusetzen, einschließlich solcher, die auf einem Produktionsnetzwerk Dienstunterbrechungen verursachen würden. Cyber-Ranges können vor Ort, cloudbasiert oder durch nationale Trainingsorganisationen bereitgestellt werden. Die Investition in Range-Infrastruktur ist erheblich, aber auf viele Übungen pro Jahr amortisierbar.

Koalitionsübungen (CWIX-Stil) umfassen mehrere alliierte Nationen, die gemeinsam in einer gemeinsamen Übungsumgebung agieren. Das Cyber Warfare Interoperability eXercise (CWIX)-Modell ermöglicht es teilnehmenden Nationen, nicht nur ihre internen Abwehrfähigkeiten zu testen, sondern auch ihre Fähigkeit, Bedrohungsintelligenz zu teilen und Incident Response über nationale und organisatorische Grenzen hinweg zu koordinieren. Diese Übungen decken Interoperabilitätslücken auf — inkompatible Ticketsysteme, inkompatible Indikatorteilungsformate, Sprach- und Terminologiebarrieren bei hochtemporaler Incident Response — die interne Übungen nicht aufdecken können.

Wesentliche Erkenntnis: Das häufigste Versagen in militärischen Cyber-Übungsprogrammen besteht darin, eine Live-Red-Team-Übung zu versuchen, bevor das Tabletop- und Prozessfundament etabliert ist. Ein Blue Team, das seine Incident-Response-Verfahren nie in einem Tabletop durchgegangen ist, wird in einer Live-Übung damit beschäftigt sein, Prozesslücken zu entdecken, anstatt Erkennungs- und Reaktionsfähigkeiten zu trainieren. Der Reifegrad-Fortschritt — zuerst Tabletop, dann Simulation, dann Live-Feuer — ist nicht optional.

Red-Team-Struktur und Bedrohungsakteur-Emulation

Der Wert einer Red-Team-Übung ist direkt proportional dazu, wie genau das Red Team die tatsächliche Bedrohung emuliert. Ein Red Team, das Techniken von vor fünf Jahren verwendet, oder das lauter operiert als eine echte APT, weil es das Tradecraft fehlt, um subtil zu sein, produziert Trainingsdaten, die das Blue Team nicht auf die Bedrohung vorbereiten, der es tatsächlich gegenübersteht. Effektive militärische Red Teams sind um spezifische Bedrohungsakteur-Emulation herum strukturiert, nicht um generisches Penetrationstesting.

Für Militärnetzwerke im NATO- und Five-Eyes-Kontext sind die operativ relevantesten Bedrohungsakteure staatliche Gruppen mit nachgewiesener Fähigkeit zum Eindringen in Militärnetzwerke. APT28 (Fancy Bear, dem GRU-Einheit 26165 zugeschrieben) hat eine dokumentierte Geschichte der Zielausrichtung auf Militär- und Regierungsnetzwerke unter Verwendung von Spear-Phishing, Zugangsdatendiebstahl und Living-off-the-Land-Techniken, die den für Endpunkt-Erkennung sichtbaren Fußabdruck minimieren. APT29 (Cozy Bear, dem SVR zugeschrieben) operiert mit längerer Verweildauer und geduldiger operativer Kadenz, hält den Zugang oft monatelang aufrecht, bevor es sein Missionsziel ausführt. Red Teams, die diese Akteure emulieren, sollten aus ihren dokumentierten TTP-Playbooks heraus operieren und MITRE ATT&CK als Organisationsrahmen verwenden.

Living-off-the-Land (LotL)-Techniken sind besonders wichtig zu emulieren, weil sie die Erkennungsherausforderung darstellen, die die meisten signaturbasierten Abwehren besiegt. Ein Red Team, das nur Open-Source-Exploit-Frameworks verwendet, erzeugt Alerts, die jedes kommerzielle EDR-Produkt abfangen wird; ein Red Team, das integrierte Windows-Verwaltungstools (PowerShell, WMI, PsExec, geplante Tasks) für laterale Bewegung einsetzt, operiert auf dieselbe erkennungsresistente Weise wie ein ausgefeilter staatlicher Akteur. Die Fähigkeit des Blue Teams, die böswillige Nutzung legitimer Tools von routinemäßiger Verwaltungsaktivität zu unterscheiden, ist die Kernkompetenz, die eine gut konzipierte Übung entwickelt.

Command-and-Control (C2)-Infrastruktur sollte zweckgebaut für die Übung sein, anstatt kommerzielle Penetrationstest-Frameworks wiederzuverwenden, die von Netzwerksicherheitsprodukten stark signiert werden. DNS-Tunneling, HTTPS-Beaconing zu domänenfrontierter Infrastruktur und verdeckte Kanäle über erlaubte Protokolle (ICMP, legitime Cloud-Speicher-APIs) stellen die C2-Techniken dar, die operative Red Teams einsetzen. Tooling-Optionen umfassen CALDERA für automatisierte TTP-Ausführung und Cobalt Strike oder Havoc für manuelle C2-Operationen durch Red-Team-Operateure mit entsprechender Ausbildung und Genehmigung.

Blue-Team-Rollen und SOC-Struktur während einer Übung

Das Blue Team ist während einer Cyber-Übung keine homogene Gruppe — es umfasst unterschiedliche Rollen, die unter Zeitdruck koordinieren müssen. Übungen, die diese Rollen nicht explizit definieren, produzieren konfuse Reaktionen, bei denen mehrere Analysten Arbeit duplizieren oder kritische Entscheidungen auf eine Autorität warten, von der niemand weiß, dass er sie innehat.

SOC-Analysten (Tier 1 und 2) sind die Erkennungsschicht. Ihr Übungstrainingsziel ist es, Alerts präzise zu triagieren, bestätigte verdächtige Aktivitäten unverzüglich zu eskalieren und echte Kompromittierungsindikatoren nicht als Falsch-Positive zu verwerfen. Die Übung sollte ein realistisches Alert-Volumen generieren — nicht nur Red-Team-Aktivität, sondern simuliertes Hintergrundrauschen aus routinemäßigen Netzwerkereignissen — um Analysten unter Bedingungen zu trainieren, die der operativen Last nahekommen.

Der Incident Commander hält die Entscheidungsbefugnis während eines deklarierten Vorfalls. Sein Übungstrainingsziel ist es, bei unvollständigen Informationen korrekte Triageentscheidungen zu treffen: wann Eindämmungsverfahren einzuleiten sind, die Dienstunterbrechungen verursachen werden, wann Angreiferaktivität für Geheimdienstsammlungszwecke fortgesetzt werden darf und wann an die Befehlsautorität zu eskalieren ist. Incident Commander, die diese Entscheidungen nie in einer simulierten Umgebung geübt haben, treffen unter der kognitiven Belastung eines echten Vorfalls zuverlässig suboptimale Entscheidungen.

Das Forensikteam rekonstruiert Angriffszeitlinien nach der Eindämmung. Sein Übungstrainingsziel ist es, eine genaue Zeitleiste aus verfügbaren Log-Daten innerhalb eines definierten Zeitrahmens zu erstellen. Die Qualität der forensischen Rekonstruktion — ob sie den initialen Zugriffsvektor, den vollständigen Umfang der lateralen Bewegung und die Daten, auf die zugegriffen wurde, korrekt identifizieren — ist ein direktes Maß für die Fähigkeit der Organisation, Post-Incident-Remediation durchzuführen, anstatt einfach das Incident-Ticket zu schließen.

Wesentliche Erkenntnis: Die Incident-Commander-Rolle ist die am wenigsten trainierte Position in den meisten militärischen SOC-Strukturen. SOC-Analysten erhalten regelmäßiges technisches Training; Incident Commander üben selten Entscheidungsfindung unter simuliertem Incident-Druck. Eine Cyber-Übung, die alle drei Blue-Team-Rollen gleichzeitig ausführt — Analyst, Incident Commander, Forensik — produziert weit mehr Trainingswert als eine, die sich ausschließlich auf die Erkennungsschicht konzentriert.

Purple Team für kontinuierliche Verbesserung

Das traditionelle adversarielle Red-vs-Blue-Modell produziert ein binäres Ergebnis: Entweder hat das Blue Team die Technik erkannt oder nicht. Purple Teaming modifiziert dieses Modell, um kontinuierliche, kollaborative Verbesserung statt eines einzelnen Messereignisses zu erzeugen. In einer Purple-Team-Übung arbeiten Red- und Blue-Team-Mitglieder zusammen — das Red Team führt eine spezifische Technik aus, das Blue Team versucht sie zu erkennen, und beide Teams diskutieren sofort, welche Log-Daten generiert wurden, welche Erkennungsregel sie abfangen würden und welche Änderungen im Erkennungs-Stack nötig sind. Dieser Prozess wird über den gesamten TTP-Katalog hinweg iteriert.

Purple Teaming ist kein Ersatz für adversarielle Red-Team-Übungen — der Trainingswert des Operierens unter echter Unsicherheit, ohne zu wissen, welche Techniken eingesetzt werden, ist für die Blue-Team-Entwicklung unersetzlich. Purple Teaming ist ein Komplement, das Detection-Engineering-Fähigkeiten schneller aufbaut als adversarielle Übungen allein. Der Rhythmus für die meisten Militärorganisationen sollte lauten: jährlich adversarielle Red-Team-Übung, vierteljährlich Purple-Team-Workshops, kontinuierliche automatisierte Angreifer-Emulation mit CALDERA auf Range-Netzwerken als dauerhafte Hintergrundaktivität.

Technische Infrastruktur für militärische Cyber-Übungen

Der technische Infrastrukturbedarf für eine militärische Cyber-Übung skaliert mit dem Übungstyp. Tabletop-Übungen benötigen nur einen Besprechungsraum und ein Szenariodokument. Vollständige Simulationsübungen auf einem isolierten Cyber-Range erfordern Netzwerkinfrastruktur, Virtualisierungsplattformen, Log-Aggregation und Tooling, das eine erhebliche, aber einmalige Investition darstellt.

Der Cyber-Range sollte die Produktionsnetzwerkarchitektur so genau wie möglich widerspiegeln — gleiche Betriebssystemversionen, gleiche Netzwerksegmentierungsmodell, gleiche Sicherheits-Tools — weil Erkennungslücken, die auf dem Range existieren, mit hoher Wahrscheinlichkeit auch im Produktionsnetzwerk existieren. Ranges, die auf generischen Vorlagen statt auf Produktionsklonen aufgebaut sind, liefern Übungsergebnisse, die sich nicht auf operative Abwehrverbesserungen übertragen lassen. Cloud-basierte Cyber-Ranges (Azure Government, AWS GovCloud) haben die Infrastrukturkosten der Range-Bereitstellung erheblich gesenkt, aber der Konfigurationsaufwand der genauen Modellierung der Produktionsarchitektur bleibt erheblich.

Angriffssimulations-Tooling für das Red Team sollte umfassen: CALDERA für automatisierte TTP-Ausführung und Szenarioverknüpfung; Atomic Red Team für individuelle Technikvalidierung gegen den Erkennungs-Stack; und geeignete C2-Frameworks, die für den Übungsumfang autorisiert sind. Der MITRE ATT&CK Navigator liefert eine visuelle Abdeckungskarte — die Techniken des Übungsszenarios den Techniken mit bestätigter Erkennungsabdeckung überlagert — die das einzeln nützlichste Planungsartefakt sowohl für Red-Team-Szenariodesign als auch für die Verfolgung von Post-Übungsremediationen ist.

Logging- und SIEM-Konfiguration ist der häufigste Infrastrukturausfall in Übungen. Übungen, die keine nutzbaren Erkennungsdaten erzeugen, weil Log-Quellen nicht in das SIEM eingespeist wurden oder weil Aufbewahrungsfristen zu kurz für die forensische Rekonstruktion nach der Übung waren, produzieren unabhängig davon, wie gut das Red Team ausgeführt hat, keinen Trainingswert. Log-Quellenabdeckung vor Übungsbeginn überprüfen, nicht danach.

Scoring und Metriken: Messen, was zählt

Mean Time to Detect (MTTD) — das Intervall von der Ausführung der Red-Team-Technik bis zum bestätigten Blue-Team-Alert — ist die primäre quantitative Metrik für eine militärische Cyber-Übung. Sie wird pro Technik berechnet, nicht als einzelner übungsweiter Durchschnitt, weil ein Blue Team mit ausgezeichneter Netzwerkerkennung und schwacher Endpunkt-Erkennung sehr unterschiedliche MTTD-Werte über das Technikspektrum hinweg zeigen wird. Die Aufschlüsselung nach Technik ist es, was gezielte Remediation statt einer generischen "Erkennung verbessern"-Empfehlung vorantreibt.

Mean Time to Respond (MTTR) — vom bestätigten Alert bis zur abgeschlossenen Eindämmungsmaßnahme — misst die Effektivität des Incident-Response-Prozesses statt des Erkennungs-Stacks. Hoher MTTD und niedriger MTTR weist auf ein Detection-Engineering-Problem hin. Niedriger MTTD und hoher MTTR weist auf ein Prozess- oder Personalproblem hin. Beide Metriken sind notwendig, um die Art der erforderlichen Remediation zu unterscheiden.

Datenexfiltrationssimulation liefert eine Missionsauswirkungsmetrik. Das Red Team versucht, einen synthetischen Datensatz zu exfiltrieren (Platzhalterdateien, die mit der Klassifizierung und dem Datentyp der Zieldaten beschriftet sind, aber keine echten sensiblen Inhalte enthalten), und die Übung bewertet, ob die Exfiltration erkannt und verhindert wurde, nachträglich erkannt wurde oder vollständig unentdeckt blieb. Diese Metrik verbindet die technische Übung mit der operativen Konsequenz, die Senior-Kommandeure verstehen: Was hätte ein echter Angreifer mitgenommen, wenn dies real gewesen wäre?

Abdeckungsrate — der Prozentsatz der Red-Team-Techniken, die überhaupt eine Erkennung ausgelöst haben, unabhängig von MTTD — ist die Detection-Engineering-Vollständigkeitsmetrik. Eine Abdeckungsrate unter 60 % deutet darauf hin, dass der Erkennungs-Stack erhebliche blinde Flecken hat, die ein ausgefeilter Angreifer frei ausnutzen kann. Organisationen, die das MITRE ATT&CK-Framework als Basis für ihre Übungsplanung verwenden, sollten die Abdeckung gegen die vollständige Technikmatrix verfolgen, nicht nur gegen die Techniken, die in einem spezifischen Übungsszenario enthalten sind.

After-Action-Review-Methodik

Die After-Action-Review ist der Ort, an dem der Trainingswert der Übung realisiert wird. Eine Übung, die keine strukturierte AAR produziert, bringt keine nachhaltige Verbesserung der Verteidigungsposition, unabhängig davon, wie gut die technische Ausführung war. Militärorganisationen, die auf Cyber-Übungen dieselbe AAR-Disziplin anwenden wie auf kinetische Trainingsübungen, schließen Abwehrlücken; diejenigen, die ein kurzes Debriefing abhalten und zum Routinebetrieb zurückkehren, tun dies nicht.

Die Cyber-Übungs-AAR sollte die vollständige Zeitleiste aus beiden Perspektiven gleichzeitig rekonstruieren: jede Red-Team-Aktion mit ihrem genauen Zeitstempel und jedes Blue-Team-Erkennungs- oder Nicht-Erkennungsereignis zum entsprechenden Zeitpunkt. Das Überlagern dieser Zeitleisten zeigt die Erkennungslücken visuell — die Intervalle, in denen das Red Team aktiv operierte und Log-Daten generierte, die das Blue Team entweder nicht gesehen, nicht triagiert oder nicht eskaliert hat. Für jede Lücke identifiziert die AAR die spezifische Ursache: fehlende Erkennungsregel, fehlende Log-Quelle, Alert als Falsch-Positiv verworfen oder Alert generiert, aber Reaktionsprozess versagt.

Jede identifizierte Lücke muss zu einer verfolgten Abhilfemaßnahme mit einem Verantwortlichen und einer Frist werden. Organisationen, die lange Listen von AAR-Erkenntnissen produzieren, ohne Verantwortliche zuzuweisen und Abschluss zu verfolgen, haben ihre Verteidigungsposition nicht verbessert — sie haben sie dokumentiert. Der Remediation-Tracking-Prozess ist der Mechanismus, der Übungserkenntnisse in operative Sicherheitsverbesserungen umwandelt. Eine Folge-Tabletop- oder Purple-Team-Sitzung innerhalb von 90 Tagen nach der Hauptübung sollte validieren, dass kritische Remediationen implementiert wurden, bevor die in der Übung identifizierten Abwehrlücken von einem echten Angreifer ausgenutzt werden konnten.

Die Planung von Cyber-Übungen in großem Maßstab — die Integration von Cyber-Domänen-Trainingsevents in Multi-Domänen-Gemeinschaftsübungen — profitiert von Übungsmanagementplattformen, die Szenarien, Teilnehmer und After-Action-Daten domänenübergreifend koordinieren. Die WARG-Plattform unterstützt diese Multi-Domänen-Übungsplanungsfähigkeit und ermöglicht es, Cyber-Übungsereignisse innerhalb desselben Planungsrahmens zu planen, zu besetzen und nachzubereiten wie kinetische Domänen-Trainingsevents. Weiterführende Lektüre: Live-Militärübungen vs. KI-Kriegsspiele und After-Action-Review-Software für das Militärtraining.

Wesentliche Erkenntnis: Die häufigste Ursache für stagnante Verteidigungsposition in militärischen SOC-Organisationen ist das Versäumnis, den Regelkreis zwischen Übungserkenntnissen und Remediationsverifikation zu schließen. Eine AAR, die eine Liste von Erkenntnissen ohne verfolgbare Verantwortliche und Folgevalidierung produziert, ist ein Verwaltungsdokument, kein Trainingsergebnis. Das Übungsprogramm ist nur so wertvoll wie die Remediationsdisziplin, die ihm folgt.

Cyber-Übungen in Ihr gemeinsames Trainingsprogramm integrieren

Wir entwickeln Multi-Domänen-Übungsplanungsplattformen für Verteidigungsorganisationen — vom Cyber-Range-Szenariodesign bis zur gemeinsamen After-Action-Review-Integration.

WARG Platform → Demo buchen

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die missionskritische Software für Verteidigungs- und Regierungsorganisationen entwickeln. Erfahren Sie mehr über unser Team →

Häufig gestellte Fragen

Wie häufig sollten Militärorganisationen Red-Team-Cyber-Übungen durchführen?

Die meisten Sicherheitsrahmenwerke für die Verteidigung empfehlen mindestens eine vollständige Red-Team/Blue-Team-Übung pro Jahr für jeden sicherheitskritischen Netzbereich, ergänzt durch vierteljährliche Tabletop-Übungen. Hochprioritäre Netzwerke, die das operative Führungs- und Kontrollwesen unterstützen, erfordern häufigere Tests — halbjährliche Live-Übungen, ergänzt durch kontinuierliche automatisierte Angreifer-Emulation mit Tools wie CALDERA. Die Häufigkeit sollte mit der Sensitivität der verarbeiteten Daten und den betrieblichen Auswirkungen eines erfolgreichen Eindringens skalieren. Organisationen, die keine interne Red-Team-Kapazität aufrechterhalten können, sollten mindestens einem jährlichen externen Red-Team-Einsatz durch einen beauftragten Bedrohungsemulationsanbieter Priorität einräumen.

Wie kann eine Militäreinheit Red-Team-Fähigkeiten ohne interne Einstellungen aufbauen?

Für Organisationen, die kein dauerhaftes internes Red Team besetzen können, gibt es mehrere Optionen. Erstens: Cyber-Abwehrbehörden auf nationaler Ebene — CYBERCOM in den USA, NCSC-angegliederte Einheiten in alliierten Nationen — stellen untergeordneten Kommandos Red-Team-Unterstützung im Rahmen eines Auftragsrahmens zur Verfügung. Zweitens: Beauftragte Bedrohungsemulationsanbieter verfügen über die erforderlichen Sicherheitsfreigaben und können unter ordnungsgemäßen Rechtsgrundlagenvereinbarungen gegen klassifizierte Enklaven operieren. Drittens: Koalitionsübungen wie CWIX und Locked Shields ermöglichen Einheiten die Teilnahme an multinationalen Cyber-Übungen, bei denen die Red-Team-Funktion zentral verwaltet wird. Viertens: Automatisierte Angreifer-Emulationsplattformen wie CALDERA können als dauerhaftes kostengünstiges Red-Team-Ergänzungsmittel zwischen Live-Übungen dienen und kontinuierliche szenariobasierte Angriffe auf isolierte Range-Netzwerke ausführen, ohne ein dauerhaftes menschliches Red Team zu erfordern.

Welche rechtlichen Rahmenbedingungen gelten für Red-Team-Operationen gegen Militärnetzwerke?

Red-Team-Operationen gegen Militärnetzwerke erfordern ausdrückliche schriftliche Genehmigung, bevor jegliche Aktivität beginnt. In den Vereinigten Staaten ergibt sich dies aus den Ausnahmen des Computer Fraud and Abuse Act für autorisierten Tests, kombiniert mit Befehlsbefugnis aus Operationsbefehlen oder einem spezifischen Testgenehmigungsdokument. NATO-Mitgliedsoperationen unterliegen zusätzlich dem anwendbaren SOFA (Status of Forces Agreement), wenn Multinationalpersonal beteiligt ist. Die entscheidenden Dokumente sind: ein Einsatzregeldokument, das festlegt, welche Systeme im Geltungsbereich liegen und welche Angriffstechniken zugelassen sind; ein vom zuständigen Kommandeur unterzeichneter Freistellungsbrief, den Red-Team-Operateure während der Übung bei sich tragen; und ein Dekonfliktionsmechanismus mit laufenden Verteidigungsoperationen, um zu verhindern, dass eine echte Incident Response ausgelöst wird. Das Versäumnis, diese Befugnisse vor Übungsbeginn festzustellen, ist das häufigste rechtliche Risiko in militärischen Red-Team-Programmen.

Was ist der Unterschied zwischen einer Red-Team-Übung und einem Penetrationstest im militärischen Kontext?

Ein Penetrationstest ist eine begrenzte technische Bewertung: Tester erhalten ein definiertes Ziel, einen definierten Zeitrahmen und ein definiertes Ziel — typischerweise das Auffinden von Schwachstellen in einem bestimmten System. Es handelt sich um eine Prüfungsaktivität, keine Trainingsübung. Eine Red-Team-Übung ist eine Angreifer-Simulation: Das Red Team erhält Missionsziele und agiert mit großem Spielraum, um jede Technik einzusetzen, die ein echter Bedrohungsakteur verwenden würde, einschließlich Social Engineering, physischer Zugriffsversuche und Supply-Chain-Angriffssimulation. Für Militärorganisationen ist die Red-Team-Übung das primäre Trainingsfahrzeug — sie trainiert das Blue Team, um realistische Angreiferverhalten zu erkennen und darauf zu reagieren, während ein Penetrationstest Systemadministratoren trainiert, spezifische Schwachstellen zu beheben. Beide sind notwendig; keines ersetzt das andere.

Wie misst man den Erfolg einer militärischen Cyber-Abwehrübung?

Die primären quantitativen Metriken sind Mean Time to Detect (MTTD) — das Intervall von der Etablierung des ersten Stützpunkts durch das Red Team bis zur Generierung eines bestätigten Alerts durch das Blue Team — und Mean Time to Respond (MTTR) — das Intervall vom bestätigten Alert bis zur abgeschlossenen Eindämmungsmaßnahme. Sekundärmetriken umfassen den Prozentsatz der Red-Team-Techniken, die überhaupt eine Erkennung ausgelöst haben (Abdeckungsrate), die Falsch-Positiv-Rate während des Übungsfensters und ob das Red Team sein angegebenes Missionsziel erreicht hat, bevor es vertrieben wurde. Qualitative Metriken aus der After-Action-Review erfassen die Entscheidungsqualität: Hat der Incident Commander die Bedrohung korrekt triagiert, wurden die richtigen Eskalationsentscheidungen getroffen, und wurde die forensische Zeitleiste nach der Übung korrekt rekonstruiert? Ein Blue Team, das das Red Team schnell eindämmt, aber den Angriffsvektor falsch identifiziert, hat ein kritisches Trainingsziel verfehlt, auch wenn sein MTTR ausgezeichnet ist.