Was ist eine Cyber Range?

Eine Cyber Range ist eine isolierte, softwaredefinierte Netzwerkumgebung, die eine Zielinfrastruktur – Betriebssysteme, Dienste, Protokolle und Datenverkehrsmuster – originalgetreu nachbildet, damit Teilnehmer Angriffs- und Verteidigungstechniken üben können, ohne reale Systeme zu gefährden. Verteidigungs-Cyber-Ranges bilden zusätzlich die spezifischen Netzwerktopologien, industriellen Steuerungssysteme und C2-Infrastrukturen ab, die Militär- und Regierungsbetreiber schützen müssen.

Wie unterscheidet sich Netzwerk-Emulation von Netzwerk-Simulation in einer Cyber Range?

Netzwerk-Simulation modelliert Paketflüsse mathematisch – Tools wie ns-3 berechnen, wie sich der Datenverkehr verhalten würde –, führt aber keine echten Betriebssystem-Stacks oder echten Anwendungs-Binärdateien aus. Netzwerk-Emulation führt tatsächliche OS-Instanzen (als virtuelle Maschinen oder Container) aus, die durch ein softwaredefiniertes Fabric verbunden sind, das Bandbreite, Latenz und Paketverlust zwischen ihnen steuert. Cyber Ranges für professionelles Training verwenden fast immer Emulation, da die Teilnehmer mit echten Tools und echten Schwachstellen interagieren müssen, nicht mit abstrakten Modellen.

Was ist Szenario-Orchestrierung in einer Cyber Range?

Szenario-Orchestrierung ist das automatisierte Management des Übungszustands: Bereitstellen und Konfigurieren der Infrastruktur, Einschleusen gegnerischer Aktionen an definierten Auslösepunkten, Skalieren des Schwierigkeitsgrads in Abhängigkeit vom Fortschritt der Teilnehmer, Erfassen von Telemetriedaten und Abbauen der Umgebung am Ende der Übung. Eine Orchestrierungsschicht liegt oberhalb der Virtualisierungsinfrastruktur und stellt eine Szenario-Definitionssprache bereit, mit der Übungsdesigner die beabsichtigte Abfolge beschreiben – welche Systeme wann kompromittiert werden, welche Lateral-Movement-Pfade existieren und welche Erkennungen ausgelöst werden sollen.

Wie werden Cyber-Range-Übungen bewertet?

Die Bewertung kombiniert Flag-Capture (Teilnehmer übermitteln in Zielsystemen eingebettete Exploit-Nachweise), Verteidiger-Metriken (Zeit zur Erkennung eines eingeschleusten Indikators, Anzahl bereinigter Systeme vor dem Pivot des Angreifers) und verhaltensbasierte Telemetrie (ausgeführte Befehlssequenzen, eingesetzte Tools, ausgeführte SIEM-Abfragen). Auf Verteidigung ausgerichtete Ranges gewichten Verteidiger-Metriken stärker als CTF-Capture-the-Flag-Bewertungen, da das Trainingsziel Erkennungs- und Eindämmungsgeschwindigkeit ist, nicht Angriffstiefe.

Wie lange dauert das Zurücksetzen einer Cyber Range zwischen Übungen?

Die Reset-Zeit hängt von der zugrunde liegenden Virtualisierungsschicht und dem Grad der während der Übung eingetretenen Zustandsdrift ab. Snapshot-basiertes VM-Revert kann Hunderte von Maschinen in unter fünf Minuten auf eine saubere Baseline zurücksetzen, wenn Snapshots auf schnellen NVMe-Arrays gespeichert sind. Container-basierte Ranges mit unveränderlichen Images setzen sich in Sekunden pro Knoten zurück. Der Engpass ist in der Regel die Netzwerk-Neukonfiguration – erneutes Anwenden von VLAN-Zuweisungen, Firewall-Regeln und Routing-Tabellen – und nicht die Wiederherstellung des Rechenzustands. Eine gut konzipierte Range erreicht einen vollständigen Reset in unter fünfzehn Minuten für eine Umgebung mit hundert Knoten.

Cyber-Range-Architektur: Aufbau einer Cyber-Trainingsumgebung für die Verteidigung

Eine Cyber Range ist das nächste Analogon zu einem Scharfschießplatz, das eine Verteidigungsorganisation für die Entwicklung und Erprobung von Cyber-Fähigkeiten hat. Wie ein physischer Schießplatz muss sie realistisch genug sein, um echten Kompetenzaufbau zu ermöglichen, sicher genug, um Schäden an operativen Systemen zu verhindern, und wiederholbar genug, um Fortschritte über Trainingsrotationen hinweg zu messen. Im Gegensatz zu einem physischen Schießplatz ist die Zielumgebung vollständig softwaredefiniert – was bedeutet, dass jede Designentscheidung darüber, was zu emulieren ist, wie Szenarien orchestriert werden und wie die Leistung der Teilnehmer bewertet wird, eine architektonische Entscheidung ist, die die Trainingseffektivität direkt bestimmt. Dieser Artikel untersucht die wichtigsten architektonischen Komponenten einer Verteidigungs-Cyber-Range und die Engineering-Entscheidungen, die funktionierende Ranges von solchen unterscheiden, die keinen Transfer in den operativen Betrieb leisten.

Kernarchitektur: vier Schichten einer Verteidigungs-Cyber-Range

Eine gut strukturierte Cyber Range trennt Zuständigkeiten in vier Schichten, jede mit eigenen Engineering-Anforderungen und operativen Schnittstellen.

1. Virtualisierungs- und Netzwerk-Emulationsschicht. Diese Schicht stellt das Rechen- und Netzwerk-Fabric bereit, auf dem die emulierte Zielumgebung läuft. Virtualisierung (KVM, VMware ESXi oder gleichwertig) hostet Betriebssystem-Instanzen mit echten OS-Images, echten Anwendungs-Stacks und echten Schwachstellen. Das Netzwerk-Emulations-Fabric – typischerweise mit einem SDN-Controller (Software Defined Networking) und virtuellen Switches implementiert – steuert die Topologie, die diese Instanzen verbindet: welche VLANs existieren, welche Bandbreiten- und Latenzeinschränkungen für jeden Link gelten und welche Firewall-Regeln den Intersegment-Datenverkehr regeln. Die charakteristische Eigenschaft dieser Schicht ist, dass sie echte Binärdateien ausführt: Ein Teilnehmer, der einen Port-Scanner gegen ein Range-Ziel ausführt, erhält dieselbe Antwort wie gegen einen Live-Host, weil das Ziel ein Live-Host ist – nur innerhalb des Range-Fabrics isoliert.

2. Szenario-Orchestrierungsschicht. Orchestrierung ist das, was eine Sammlung laufender VMs in eine Trainingsübung verwandelt. Der Orchestrator liest Szenariodefinitionen – strukturierte Dateien, die den Anfangszustand der Umgebung, die Abfolge der einzuschleusenden gegnerischen Aktionen, die Bedingungen, die das Szenario vorantreiben oder verzweigen, und die Bewertungskriterien beschreiben – und führt sie über eine API gegen die Virtualisierungsschicht aus. Wenn eine Übung gestartet wird, stellt der Orchestrator die Umgebung aus Snapshots bereit, konfiguriert den Netzwerkzustand, startet Hintergrund-Traffic-Generatoren und übergibt die Kontrolle an den Übungs-Timer. Während der Übung schleust er vorgeschriebene gegnerische Aktionen (Datei-Drops, Registry-Modifikationen, Netzwerkverbindungen, Log-Einträge) zeitgesteuert oder als Reaktion auf Teilnehmeraktionen ein. Am Ende der Übung sammelt er Telemetriedaten und löst den Umgebungs-Reset aus.

3. Traffic-Generierungs- und Telemetrieschicht. Eine Range ohne realistischen Baseline-Datenverkehr ist eine schlechte Trainingsumgebung – jede Anomalie fällt auf, weil die Baseline flach ist. Die Traffic-Generierungsschicht erzeugt protokollauthentische Hintergrundaktivität: HTTP/S-Browsersitzungen, SMTP- und IMAP-E-Mail-Flüsse, Windows-Domain-Authentifizierungssequenzen, Dateifreigabe-Zugriffe, DNS-Abfragen und – wo relevant – ICS-Protokollaustausch (Modbus, DNP3, IEC 61850). Die Telemetrieschicht erfasst gleichzeitig vollständige Paketmitschnitte und strukturierte Logs von jedem Knoten in einer SIEM-Instanz, auf die Teilnehmer während der Übung zugreifen. Das Traffic-Volumen so zu kalibrieren, dass eingeschleuster gegnerischer Datenverkehr erkennbar, aber nicht trivial offensichtlich ist, gehört zu den anspruchsvolleren Inhaltsgestaltungsaufgaben im Range-Betrieb.

4. Bewertungs-, AAR- und Verwaltungsschicht. Die Bewertung zeichnet Übungsergebnisse auf – gefangene Flags, Erkennungszeitstempel, Eindämmungsmaßnahmen, eingesetzte Tools – und präsentiert sie Übungsleitern in Echtzeit und Teilnehmern im After-Action-Review. Die Verwaltungsschicht übernimmt Benutzer- und Teamverwaltung, Umgebungszuweisung, Übungsplanung und Infrastruktur-Gesundheitsüberwachung. Diese beiden Bereiche werden oft in einer einzelnen Webanwendung zusammengefasst, haben jedoch unterschiedliche Zugangskontrollanforderungen: Bewertungsdaten müssen während der Übung vor den Teilnehmern geschützt werden, und die Infrastrukturüberwachung muss für Range-Operatoren auch dann zugänglich sein, wenn das Übungs-Frontend nicht verfügbar ist.

Netzwerk-Emulation: Topologietreue und Isolation

Die Netzwerk-Emulationsschicht ist der Bereich, in dem die meisten Verteidigungs-Cyber-Range-Architekturen ihre folgenreichsten Kompromisse eingehen. Die grundlegende Wahl besteht zwischen vollständiger VM-Emulation und Container-basierter Emulation. Virtuelle Maschinen bieten die höchste Wiedergabetreue – jeder Host führt einen vollständigen OS-Kernel mit dem genauen Patch-Level, der Konfiguration und dem Service-Set der Zielumgebung aus –, verbrauchen jedoch erheblich Arbeitsspeicher und erfordern längere Reset-Zeiten. Container teilen den Host-Kernel, starten in Sekunden und setzen sich nahezu sofort zurück, können jedoch Kernel-Level-Schwachstellen oder OS-spezifische Verhaltensweisen, die sich zwischen Linux-Distributionen und Windows unterscheiden, nicht emulieren.

Verteidigungs-Ranges verwenden häufig einen hybriden Ansatz: Windows-Hosts und ICS-Endpunkte, die ein spezifisches Kernel-Verhalten erfordern, laufen als VMs; Linux-basierte Dienste und Netzwerkinfrastruktur laufen als Container. Das SDN-Fabric (Open vSwitch mit einem OpenFlow-Controller oder einem kommerziellen Äquivalent) verbindet beide ohne Unterschied und setzt dieselben Bandbreiten-, Latenz- und ACL-Regeln unabhängig von der zugrunde liegenden Virtualisierungstechnologie durch.

Isolation ist für jede Range, die gleichzeitige Übungen hostet, nicht verhandelbar. Eine Range-Architektur, die es erlaubt, dass Datenverkehr aus dem Netzwerk eines Übungs-Tenants in das eines anderen – oder schlimmer noch in das Produktionsnetz – entweicht, ist ein Sicherheitsvorfall, keine Trainingsumgebung. Isolation muss auf SDN-Ebene mit expliziten Allow-Listen durchgesetzt werden, nicht durch Vertrauen auf VM-interne Firewall-Konfigurationen, die Teilnehmer im Rahmen der Übung möglicherweise modifizieren. Das Management-Netz, das von Range-Operatoren und der Orchestrierungsplattform genutzt wird, muss auf einem physisch oder kryptografisch getrennten Segment liegen, das Range-Teilnehmer nicht erreichen können.

ICS- und OT-Umgebungsemulation

Verteidigungsorganisationen benötigen zunehmend Ranges, die Operational-Technology (OT)-Umgebungen emulieren: industrielle Steuerungssysteme, SCADA-Netzwerke und die IT/OT-Grenze, die eine primäre Angriffsfläche bei infrastrukturfokussierten Bedrohungen darstellt. Die Emulation eines ICS mit Trainingstreue erfordert sowohl Software-Emulatoren für SPS-Logik und Engineering-Workstations als auch eine genaue Protokollsimulation für Modbus TCP, DNP3 und IEC 61850. Mehrere offene Plattformen bieten eine Software-SPS-Emulation, die für Trainingszwecke ausreicht – die wesentliche Anforderung ist, dass die emulierte SPS auf Protokollanfragen so reagiert, dass echte Angriffs- und Verteidigungstools sie als Live-Gerät erkennen.

Szenario-Orchestrierung: die Übungssteuerungsebene

Szenario-Orchestrierung ist die Komponente, die am direktesten die Qualität der Trainingserfahrung bestimmt. Eine ausgefeilte Virtualisierungsschicht, die ein mittelmäßiges Szenario ausführt, produziert mittelmäßiges Training. Die Szenariodefinition muss nicht nur codieren, welche gegnerischen Aktionen eingeschleust werden, sondern auch die realistischen Artefakte, die jede Aktion erzeugt – die spezifischen Log-Einträge, Registry-Schlüssel, Netzwerkflüsse und Dateisystemmodifikationen, die ein kompetenter Verteidiger erkennen und untersuchen würde.

Szenariodefinitionen sollten versionskontrolliert zusammen mit der Infrastruktur, auf die sie verweisen, verwaltet werden. Ein Szenario, das für eine bestimmte OS-Image-Version geschrieben wurde, kann auf einem aktualisierten Image andere Artefaktmuster produzieren – Log-Format-Änderungen, Ereignis-ID-Änderungen, Unterschiede im Netzwerk-Stack-Verhalten –, die die Trainingsgültigkeit stillschweigend unterlaufen. Szenarioinhalte wie Code zu behandeln, mit derselben Review- und Testdisziplin wie bei Software, ist die Praxis, die operativ ausgereifte Range-Programme von solchen unterscheidet, die verwirrende und inkonsistente Trainingserfahrungen erzeugen.

Die Inject-Pipeline – der Mechanismus, durch den der Orchestrator gegnerische Artefakte in laufende VMs einbringt – ist eine sicherheitskritische Komponente. Sie operiert typischerweise über einen Agenten, der auf jeder VM läuft und signierte Inject-Befehle von der Orchestrierungsschicht entgegennimmt. Der Agent muss Befehlssignaturen vor der Ausführung validieren, um zu verhindern, dass eine kompromittierte Teilnehmer-Workstation unautorisierte Artefakte einschleust. Der Kommunikationskanal des Inject-Agenten muss auf dem Management-Netz liegen, nicht auf dem Übungsnetz – wenn er vom Übungsnetz aus erreichbar ist, könnte ein geschickter Teilnehmer ihn nutzen, um den Szenariozustand zu modifizieren.

Traffic-Generierung: eine realistische Baseline erzeugen

Hintergrund-Traffic-Generierung ist die unspektakulärste und am häufigsten unterinvestierte Komponente einer Cyber Range. Die Konsequenz unzureichender Investition ist eine Range, in der jeder eingeschleuste Kompromittierungsindikator sofort offensichtlich ist, weil er der einzige nicht-triviale Datenverkehr auf der Leitung ist. Das produziert übermäßig selbstbewusste Teilnehmer, die lernen, offensichtliche Bedrohungen in einer sterilen Umgebung zu erkennen, und sich schwertun, wenn dieselben Techniken gegen die rauschende Baseline eines echten Netzwerks angewendet werden.

Ein glaubwürdiger Traffic-Generator muss semantisch kohärente Flüsse erzeugen, nicht nur statistisch plausible. Ein HTTP-Sitzungsgenerator, der zufällige Byte-Sequenzen bei HTTP-förmigen Timing-Intervallen erzeugt, täuscht keinen Teilnehmer, der Paketmitschnitte untersucht – die Payloads enthalten kein gültiges HTML, die Content-Type-Header stimmen nicht mit dem Body überein. Tools wie PCAP-Replay, Benutzer-Simulations-Agenten und zweckgebaute Range-Traffic-Plattformen bieten alle unterschiedliche Wiedergabetreue-versus-Komplexitäts-Kompromisse. PCAP-Replay aus Mitschnitten realer Unternehmensnetzwerke bietet die höchste Payload-Wiedergabetreue, kann sich jedoch nicht an die spezifische Topologie der Range anpassen oder neue Authentifizierungsereignisse mit gültigen Anmeldedaten generieren.

Wichtige Erkenntnis: Der häufigste Fehler in Verteidigungs-Cyber-Range-Programmen liegt nicht im angriffsseitigen Inhalt – sondern im Fehlen einer realistischen Baseline. Wenn jede Log-Zeile und jedes Paket in der Range vom Orchestrator eingeschleust wurde, lernen Verteidiger, jedes Artefakt als bedeutsam zu betrachten. In einem realen Netzwerk ist die Kernkompetenz Diskriminierung – die Unterscheidung von Gegneraktivität und legitimem Rauschen. Ranges, die in Baseline-Investitionen sparen, scheitern systematisch darin, diese Diskriminierungsfähigkeit zu trainieren.

Bewertung und After-Action-Review

Die Bewertungsarchitektur für eine Verteidigungs-Cyber-Range unterscheidet sich in einem wesentlichen Punkt von Capture-the-Flag-Wettbewerben: Das primäre Trainingsziel ist Erkennungs- und Eindämmungsgeschwindigkeit, nicht Angriffstiefe. Ein Bewertungsmodell, das nur Flag-Einreichungen (Exploit-Nachweise) belohnt, schafft Anreize für Teilnehmer, Flags zu suchen, anstatt die Erkennungs- und Reaktions-Workflows aufzubauen, die sich in den operativen Betrieb übertragen lassen.

Verteidigungs-Range-Bewertungen sollten den Verteidiger-Workflow direkt instrumentieren. Erkennungsmetriken zeichnen auf, wann ein Teilnehmer das SIEM mit einer Suche abfragt, die dem eingeschleusten Indikator entspricht, einen durch den eingeschleusten Datenverkehr generierten Alert öffnet oder eine Untersuchungsmaßnahme auf einem kompromittierten Host durchführt. Eindämmungsmetriken zeichnen auf, wann ein Teilnehmer einen Host isoliert, eine C2-Callback-Adresse sperrt oder kompromittierte Anmeldedaten zurücksetzt – jeweils mit einem Zeitstempel relativ zu dem Inject, der diese Maßnahmen erforderte. Diese Zeitstempel erzeugen zusammen mit der Übungsszenario-Zeitleiste eine Erkennungslücken-Metrik: das Intervall zwischen einer gegnerischen Aktion und der ersten Reaktion des Verteidigers. Diese Metrik ist das primäre Maß für die Teilnehmerkompetenz, die eine Red-Team-versus-Blue-Team-Übung darauf abzielt zu verbessern.

Das After-Action-Review erfordert eine Replay-Fähigkeit: die Möglichkeit, die vollständige Übungszeitleiste – gegnerische Injects, Netzwerkdatenverkehr, SIEM-Abfragen, Terminal-Befehle der Teilnehmer – in einer synchronisierten Ansicht zu rekonstruieren, die es Instruktoren ermöglicht, die Übung gemeinsam mit den Teilnehmern nachzuvollziehen. Vollständige Paketmitschnitte und Sitzungsaufzeichnungen von jedem Knoten sind speicherintensiv, aber operativ unverzichtbar. Eine Range, die detaillierte Bewertungsmetriken liefert, aber nicht erklären kann, warum das Ergebnis war, was es war, hat begrenzten Lehrwert. Einen umfassenderen Blick darauf, wie Simulationsarchitekturen Trainingsergebnisse domänenübergreifend unterstützen, bietet der Artikel zur Softwarearchitektur militärischer Trainingssimulationen.

Umgebungs-Reset: Infrastruktur als wiederholbares Artefakt

Die Fähigkeit, die Range-Umgebung schnell und zuverlässig auf eine bekannte saubere Baseline zurückzusetzen, ist das, was eine professionelle Range von einem improvisierten Labor unterscheidet. Eine Range, die Stunden braucht, um sich zwischen Übungsrotationen zurückzusetzen, begrenzt den Trainingsdurehsatz und erhöht die operativen Kosten. Eine Range, die sich inkonsistent zurücksetzt – bei der einige Durchläufe von einer sauberen Baseline starten und andere Zustand aus früheren Übungen mitführen –, führt Störvariablen ein, die den Leistungsvergleich über Rotationen hinweg bedeutungslos machen.

Snapshot-basierter Reset für VMs und Image-Austausch für Container sind die Standardmechanismen. Beide hängen davon ab, dass der Snapshot oder das Image tatsächlich sauber ist – kein Snapshot, der nach einer früheren Übung erstellt wurde, die Konfigurationsdrift eingebracht hat. Range-Operatoren sollten die Baseline-Gesundheit nach jedem Reset mit automatisierten Prüfungen validieren: Dienstverfügbarkeits-Sonden, Konfigurationskonformitäts-Scans und Traffic-Generierungs-Heartbeats, die bestätigen, dass die Übungsumgebung im erwarteten Zustand ist, bevor sie den Teilnehmern übergeben wird.

Infrastructure-as-Code ist die Praxis, die den Reset sowohl schnell als auch zuverlässig macht. Wenn jede VM, jede Netzwerkregel und jede Dienstkonfiguration in versionskontrollierten Templates definiert ist – und die Range-Plattform die gesamte Umgebung aus diesen Templates instantiieren kann –, wird der Reset zu einem deterministischen Vorgang anstatt zu einer manuellen Prozedur. Es ermöglicht auch, die Range auf neuer Hardware oder in einer anderen Cloud-Region mit der Gewissheit bereitzustellen, dass die resultierende Umgebung identisch mit der ist, auf der der Übungsinhalt validiert wurde.

Cyber-Trainingsübungen mit WARG aufbauen und durchführen

WARG ist die Wargaming- und Übungsplattform von Corvus Intelligence – zweckgebaut für Verteidigungsorganisationen, die wiederholbare, bewertete Cyber-Trainingsumgebungen mit realistischer Szenario-Orchestrierung und vollständigem After-Action-Replay benötigen. Zweckgebaut für das Tempo und die Klassifizierungsanforderungen von Verteidigungstrainingsprogrammen.

WARG erkunden → Briefing buchen

Diese Analyse wurde von Corvus Intelligence Engineers erstellt, die missionskritische Software für Verteidigungs- und Regierungsorganisationen entwickeln. Mehr über unser Team →