Hohe Erwartungen erfüllt

Telekommunikation, Flughäfen, öffentliche Verwaltungen und nicht zuletzt die Kreditinstitute sind mit einem Schlag lahmgelegt. Ein hochentwickelter Trojaner hat den IT-Systemen den Garaus gemacht Plötzlich herrscht Friedhofsruhe, wo sonst das Leben pulsiert. Dieses Übungsszenario lag der 5. Strategischen Krisenmanagement-Übung „Lükex 11“ (Länderübergreifende Krisenmanagement-Übung/Exercise) zugrunde.

Bei dieser großangelegten Krisenübung stand erstmals die Prüfung der „Wirksamkeit der Strategien zum Schutz der nationalen Informationsinfrastrukturen“ in einer gemeinsamen Übung von Bund, Ländern und Unternehmen der kritischen Infrastrukturen (Kritis) auf der Agenda. Der Hintergrund: Unterbrechungsfreie IT-Prozesse werden zunehmend zur Überlebensfrage. Bundesinnenminister Hans-Peter Friedrich bezeichnete die „möglichen Schäden durch Cyber-Ausfälle oder -beeinträchtigungen“ als enorm.

Aus dem Banken- und Versicherungsbereich war eine breite Beteiligung an der „Lükex 11“ zu verzeichnen. Neben der Deutschen Bundesbank und der Europäischen Zentralbank nahmen Deutsche Bank, Commerzbank, Deutsche Post Rentenservice, Sparkassen-Finanzgruppe und die Versicherungswirtschaft, darunter der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV), teil.

Laut Auswertungsbericht „Lükex 11“ war „von zielgerichteten IT-Angriffen“ ausgegangen worden, „die Schwachstellen in den IT-Systemen und Regierungsnetzen ausnutzten“. Eine „einheitlich im Verborgenen agierende Tätergruppe (Hacktivisten) hatte die Systeme mit einer multifunktionalen Schadsoftware (Spytool) infiziert“. Bei der Übung konnten „Verfahren der Zusammenarbeit robust getestet“ werden. Das Kernziel, „Einübung und Erprobung des konzertierten Handelns der Krisen- und Verwaltungsstäbe des Bundes und der Länder (…) unter Einbeziehung von privaten Betreibern Kritischer Infrastrukturen“ wurde somit erreicht.

Teilnehmer aus den Kritis-Unternehmen bewerteten die Übung positiv. „Die jüngste Lükex hat unsere hohen Erwartungen an die IT-Sicherheit in unserer Branche bestätigt“, so Sprecherin Daniela Röben vom Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV). „Für die deutsche Versicherungswirtschaft ist der Schutz der Kunden- und Unternehmensdaten von zentraler Bedeutung. Deshalb sind Verband und Unternehmen im Bereich der IT-Sicherheit bereits sehr aktiv. Bei der Lükex-Übung haben wir weitere wertvolle Erfahrungen gesammelt, anhand derer wir das IT-Sicherheitslevel in der Branche weiter verbessern wollen.“

„Als wichtige Schnittstelle zwischen Unternehmen und Behörden aktiv in die Übung einbezogen, war auch das Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherer (LKRZV)“, so Daniela Röben weiter. „Das eigenständige LKRZV haben wir Anfang 2010 im Rahmen der IT-Sicherheitsstrategie der Bundesregierung als erste Branche eingerichtet, um Bedrohungen aus dem Internet rechtzeitig erkennen und melden zu können.“ Das LKRZV sichert im IT-Krisenfall die Kommunikation zwischen verantwortlichen Ministerien, Behörden und Versicherungsunternehmen – an sieben Tagen in der Woche und rund um die Uhr.

Das Thema IT-Sicherheit gewinne nicht nur in der Versicherungswirtschaft immer weiter an Relevanz, so Daniela Röben gegenüber W&S. „Deshalb halten wir es für richtig, dass die jüngste Lükex den Schwerpunkt auf IT-Sicherheit gelegt hat. Wir würden es auch befürworten, wenn in absehbarer Zukunft eine erneute Übung in diesem Bereich stattfände.“

Auch Alexander Kozisnik, Global Head Business Continuity Management im Bereich Group Security bei der Commerzbank AG, zieht eine positive Bilanz: „Die Commerzbank hat seit Erweiterung des Übungskreises um die kritischen Infrastrukturen an allen Lükex Übungen teilgenommen. Obwohl der Aufwand der Übungsvorbereitungen aufgrund der vielfältigen Szenarien und Übungssequenzen sehr hoch und zeitintensiv ist, nutzt die Commerzbank die Möglichkeit der Teilnahme, damit im Ernstfall das Zusammenspiel mit Behörden und anderen Unternehmen reibungslos funktioniert. Aus Unternehmenssicht erweist sich die Erweiterung des Netzwerks im Notfallmanagement, aber auch der Erhalt von Einblicken in die Aufgabengebiete und -abläufe während eines Notfalls als weiterer wichtiger Schritt der bundesweiten Übungen. Folglich nutzt die Commerzbank die Erkenntnisse aus der Lükex zur Optimierung der eigenen Notfallvorsorge."

Ein anderes teilnehmendes Finanzinstitut, das namentlich nicht erwähnt werden wollte, begrüßte gegenüber W&S die Gelegenheit, „in einer solch groß angelegten Übung mit vielen öffentlichen Stellen und anderen privaten Teilnehmern zusammenarbeiten zu können.“ Im Auswertungsbericht „Lükex 11“ wird zusammenfassend unter anderem festgestellt, dass:

• die grundsätzlich erfolgreichen Informationsabläufe zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den SPOCs (= Single Points of Contact) durch eine noch bessere Vernetzung optimiert werden könnten.
• die Lageberichte des GMLZ (= Gemeinsames Melde- und Lagezentrum im BBK), die bisher grundsätzlich nur Behörden zugänglich gemacht werden, auch für den Finanz- und Versicherungsbereich wertvolle Informationen enthalten.
• es in Krisensituationen für Kritis-Unternehmen sinnvoll sein kann, über eine Art „Notruf-Telefonbuch“ zu verfügen, das eine Autorisierung der Kommunizierenden und damit den Austausch auch vertraulicher Informationen ermöglicht.
• vor dem Hintergrund der Schnelllebigkeit der Informationstechnik die Funktionsfähigkeit der eigenen Organisation regelmäßig, zum Beispiel durch Übungen, überprüft werden sollte.

Die große Bedeutung der Single Points of Contact hob Dr. Waldemar Grudzien, Direktor im Bundesverband deutscher Banken e.V., hervor. Seine kurz Bankenverband genannte Institution nahm zwar nicht an der Lükex teil, habe aber seit 2006 die Relevanz von Meldeverfahren bei IT-Vorfällen erkannt. Die Finanzwirtschaft sei im Kritis-Bereich die Branche, die „am meisten, selbst bei niedriger Sicherheitsrelevanz“, an das BSI oder das Nationale Cyber-Abwehrzentrum (NCAZ) berichte.

Auf diesem Gebiet herrschten aber noch Defizite, so der Sprecher des Bundesministeriums des Innern (BMI), Dr. Philipp Spauschus, gegenüber W&S. Während Banken und Versicherungen bereits Ansprechpartner benannt haben, die sicherheitsKritische IT-Vorfälle anonymisiert an BSI und NCAZ leiten, stecken in anderen Branchen diese Meldewege allenfalls in den Kinderschuhen. Die gemeldeten Vorfälle sollen die genannten staatlichen Stellen in die Lage versetzen, Abwehroptionen, die allen zugutekommen, zu entwickeln. Derzeit finden im BMI Gespräche mit Vertretern der Kritis-Branchen statt, um dieses Meldeverfahren in allen Bereichen zu installieren. Auch das ist eine Lehre aus dem „System Lükex“, das sich laut BBK zu einem „wichtigen Motor innerhalb der Entwicklung des strategischen Krisenmanagements in Deutschland entwickelt hat“.