LÜKEX 23: Bund und Länder bewältigen fiktiven Hackerangriff

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat die LÜKEX 23 zwischen Bund und Ländern koordiniert und wurde in der Vorbereitung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich unterstützt; an der Übung beteiligte Bundes- und Landesbehörden sahen sich im Rahmen des fiktiven Szenarios „Hackerangriff auf das Regierungshandeln“ mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert. Sie trainierten anhand dessen nicht nur ihre eigenen Krisenmanagementstrukturen, sondern tauschten sich übergreifend mit anderen Übungsbeteiligten beispielsweise über die sich verschärfende Lageentwicklung aus oder erarbeiteten aufeinander abgestimmte Kommunikationsstrategien. Erstmals in der fast 20-jährigen Geschichte der Übung waren alle Bundesländer beteiligt.

Über 60 Akteure aus Bund, Ländern sowie weiteren Organisationen und damit insgesamt rund 2500 Personen hätten teilgenommen und sich auf diesen Stresstest eingelassen. Das sei eine Rekordbeteiligung und ein großer Erfolg, betont BBK-Präsident Ralph Tiesler. Er selbst war Teil des im BMI eingerichteten Krisenstabs und hätte sich unmittelbar in die Krisenbewältigung einbringen können. Nicht nur seine Eindrücke seien noch sehr frisch und nach den intensiven Übungstagen werde man nun die bisherigen Planungen und Umsetzungen gründlich analysieren und auswerten. Die gewonnenen Erkenntnisse sollten dazu beitragen, dass Bund und Länder auch bei zukünftigen Herausforderungen handlungsfähig blieben. Man wolle die Impulse nutzen, das ressortübergreifende Krisenmanagement gezielt weiterzuentwickeln. Er danke allen, die sich hier intensiv in die Vorbereitungen und die Übung selbst eingebracht hätten, so Tiesler.

Das BBK koordiniert zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen. Bereits während der Planung, Vorbereitung und vor allem bei der Erarbeitung des Drehbuchs wurden erste Erkenntnisse gewonnen und dokumentiert. Schon jetzt zeigt sich, dass die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden konnten.

Die zentralen Lehren werden nun in einem Auswertungsbericht zusammengefasst. Das BBK wird im kommenden Jahr zudem einen Auswertungsworkshop ausrichten, um sich über konkrete Umsetzungsschritte nach der LÜKEX 23 auszutauschen. So sollen die gewonnenen Erkenntnisse nachhaltig das Krisenmanagement weiter stärken.

Zentrales Ziel der Übung war die Aufrechterhaltung der Staats- und Regierungsfunktionen vor dem Hintergrund eines Cyberangriffs durch eine Hackergruppierung. Wichtige staatliche Aufgaben wurden einem Stresstest unterzogen. Dabei wurde deutlich, dass die Aufrechterhaltung unterschiedlicher Funktionen durch wesentliche Faktoren erschwert wird, darunter die hohe Abhängigkeit kritischer Verwaltungsprozesse von Informationstechnik und die Gefahr der schnellen Ausbreitung einer IT-Krise. So mussten die Beteiligten sich unter anderem mit Problemen bei der Wasser- und Stromversorgung auseinandersetzen und waren wie in echten Krisen damit konfrontiert, unter Unsicherheit und hohem Druck Entscheidungen treffen zu müssen. Geübt wurde dabei auch der Umgang mit Desinformation oder die Reaktion auf Drohvideos der Angreifergruppierung.

Vor dem Hintergrund des fiktiven Hackerangriffs wurde deutlich, dass Krisen der Gegenwart immer komplexer werden und nur durch routiniertes und geschlossenes Handeln gemeistert werden können. Dafür müssen alle beteiligten Organisationen sich ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen. Im Rahmen der Übungsserie LÜKEX werden seit Jahren bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht.