Eingespieltes Team

Die Übung war Teil einer Übungsserie, die Bund und Länder seit 2004 gemeinsam durchführen. Die Übungen finden alle zwei Jahre statt. Übungsbeteiligung und Übungsthema wechseln. Planung, Vorbereitung, Durchführung und Auswertung der Übungen sind dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) aufgetragen.

„Lükex 2011“ hatte die Sicherheit in der Informationstechnik (IT) zum Thema. IT-Infrastrukturen sind wichtige Lebensadern für fast alle Bereiche in Staat, Gesellschaft und Wirtschaft. Ein Ausfall, selbst schon Störungen in wesentlichen Bereichen könnten weitreichende Auswirkungen auf das öffentliche Leben haben. Dem Schutz dieser Strukturen muss deshalb durch hohe Sicherheitsanforderungen Rechnung getragen werden. Dies zu erproben und dafür zu sensibilisieren, dass der Befall mit Malware, der Abfluss vertraulicher Daten und Integritätsverletzungen von IT-Systemen zur existentiellen Bedrohung für Behörden und Unternehmen werden können, war wesentliches Ziel der Übung.

An der Krisenmanagement-Übung waren für das allgemeine Krisenmanagement und das IT-Sicherheitsmanagement wichtige Stellen von Bund und Ländern breit beteiligt, ebenso Unternehmen der kritischen Infrastrukturen (Kritis) sowie gesellschaftliche Organisationen (Hilfsorganisationen) und Verbände. Die Länder Hamburg, Hessen, Niedersachsen, Sachsen und Thüringen waren besonders intensiv beteiligt (Intensiv-Übungsländer). Insgesamt wirkten elf Bundesressorts, 21 Bundesbehörden, zwölf Länder mit 37 Landesbehörden, 33 Kritis-Unternehmen und Verbände sowie zwei internationale Organisationen mit. Im Verlauf der Übungsdurchführung nahmen an den beiden Tagen bundesweit ungefähr 3.000 Personen teil, entweder als Übende in den Krisenstäben oder in der Übungssteuerungsorganisation.

Die fast 18-monatige Phase der Übungsvorbereitung war für das Erreichen der Übungsziele von besonderer Bedeutung. In dieser Phase bot die Übung eine breite Informationsplattform für die Behandlung zahlreicher Aspekte des Übungsthemas.

Die Übungsbeteiligten setzten sich in themenbezogenen Workshops, Diskursen und Arbeitssitzungen intensiv mit den Übungsinhalten auseinander; wissenschaftliche Gutachten zu Fachfragen wurden eingeholt. Erkannte Schwachstellen in Organisation und Verfahren wurden schon vor der Übungsdurchführung behoben. Auf Grund der engen, intensiven Zusammenarbeit der für das allgemeine und das IT-Krisenmanagement Verantwortlichen entstanden „Kooperations-Netzwerke“, die weit über die Übung hinaus dazu beitragen, das strategische Krisenmanagement in realen Krisenlagen zu fördern.

„Lükex 11“ war als strategische Stabsrahmenübung konzipiert. Dieser Übungstyp ist nach allen Erfahrungen für die politisch-administrative Ebene besonders geeignet. Das Übungskonzept zielte darauf, das strategische Krisenmanagement in außergewöhnlichen, länder- und bereichsübergreifenden Gefahren- und Schadenslagen zu optimieren. Der Übungsschwerpunkt lag auf der Arbeit der Krisenstäbe/Verwaltungsstäbe des Bundes und der Länder, insbesondere auf deren konzertiertem Handeln auf der politisch-administrativen Entscheidungsebene unter Einbeziehung des IT-Krisenmanagements.

Das Übungsszenario ging in Anlehnung an aktuelle Bedrohungsanalysen und IT-Störungen von zielgerichteten Angriffen auf IT-Schwachstellen aus. Davon besonders betroffen waren IT-Strukturen und -Anwendungen aus vier ausgewählten Kritis-Sektoren: Behörden und Verwaltung, Information und Kommunikation, Transport und Verkehr, Banken und Versicherungen. In der Ausgangslage wurde Schadsoftware gegen Verwaltungen des Bundes und der Länder eingesetzt. Im Umfeld der ausgewählten Kritis-Sektoren traten Beeinträchtigungen und Versorgungsengpässe ein, erste Auswirkungen auf wichtige Bereiche des öffentlichen Lebens zeichneten sich ab.

Die Übungsdurchführung selbst dauerte zwar „nur“ zwei Tage, aber sie war der „Lackmustest“ für die nationalen Krisenmanagementstrukturen und die Arbeit aller beteiligten Krisenstäbe. In dieser Phase erhärteten sich die Vermutungen der Ausgangslage, dass die IT-Aktivitäten darauf zielten, an vertrauliche Informationen zu gelangen oder zentrale Computersysteme zu stören. Die Arbeit der übenden Stäbe konzentrierte sich darauf, in bundesweit enger Kooperation von Behörden, Unternehmen und Organisationen die Krisenlage zu bewältigen und die Störungen zurückzuführen.

Die Krisenmanagement-Übung, die wegen der Aktualität des Themas große Aufmerksam der Medien und der Öffentlichkeit erfuhr, verlief erfolgreich. Insbesondere ist es gelungen, für die Bedeutung der IT-Sicherheit und die Notwendigkeit zu sensibilisieren, IT-Krisenmanagement und allgemeines Krisenmanagement zusammenzuführen. Mit der bei Übungsplanung, -vorbereitung und -durchführung von Lükex erreichten breiten Netzwerkbildung ist eine gute Basis dafür entstanden, diesen notwendigen Prozess der Zusammenführung von allgemeinem Krisenmanagement und IT-Krisenmanagement von Bund, Ländern und betroffenen Kritis-Unternehmen weiter zu befördern.

Nach den Erfahrungen von nunmehr fünf Übungen kann das Übungskonzept inzwischen als bewährte Grundlage für die Anlage strategischer Übungen gelten. Die Übungen haben darüber hinaus wichtige Impulse für das strategische Krisenmanagement in der Bundesrepublik insgesamt gegeben, nicht zuletzt durch die intensive Nutzung des Lükex-Prozesses als Informationsplattform und die Bildung von Kooperations-Netzwerken, aber auch auf Grund vielfältiger Spin-off-Effekte für zahlreiche andere Bereiche und Handlungsfelder.