Cyberabwehr-Übung LÜKEX 23

Mit ein wenig zeitlichem Abstand wollen wir von einem Thema berichten, das in der breiten Öffentlichkeit eher wenig Aufmerksamkeit erfahren hat. Es handelt sich um die Cyberabwehr-Übung LÜKEX 23, deren sogenannte Kernübungstage am 27. und 28. September dieses Jahres stattfanden. Das Ziel der Übung lautete, trotz eines bundesweiten Angriffs auf die IT- Infrastruktur des Bundes die Handlungsfähigkeit von Regierung und Staat aufrecht zu halten.

Aktiv beteiligten sich die Bundesländer Baden-Württemberg, Bayern, Berlin, Brandenburg, Hessen, Mecklenburg-Vorpommern, Nordrhein-Westfalen, Niedersachsen, Sachsen, Sachsen-Anhalt und Thüringen. Die übrigen Bundesländer Bremen, Hamburg, Rheinland-Pfalz, das Saarland und Schleswig-Holstein hatten Beobachterstatus. Die zahlreichen weiteren Teilnehmer – insgesamt waren es rund 60 – zeigen, wie komplex das Thema staatliche Cyberabwehr ist. Neben vier Bundesministerien waren dies unter anderem die Bundeswehr, die Bundespolizei, das Bundeskriminalamt, das Technische Hilfswerk sowie das Bundesamt für Strahlenschutz. Die Bund-Länder-Kooperation ist vor allem deshalb wichtig, weil der Zivilschutz eine Bundesaufgabe ist, während der Katastrophenschutz auf Landesebene verortet ist.

Die Bezeichnung LÜKEX steht für Länder- und Ressortübergreifende Krisenmanagementübung (bzw. Exercise). LÜKEX 23 war die neunte ihrer Art. Dabei üben staatliche Krisenstäbe ein gezielt entwickeltes Szenario, um die entsprechenden Netzwerke und damit Deutschlands Bevölkerungsschutz insgesamt zu stärken. Laut dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ist es unverzichtbar, bereits im Vorfeld eines möglichen Ernstfalls die Strukturen, Verfahren und Ressourcen des Krisenmanagements festzulegen, inhaltlich vorzubereiten und schließlich in der Praxis zu beüben.

Szenarien, wie sie bei LÜKEX geübt werden, finden in der Regel in einem inneren und einem äußeren Kreis statt. Beim inneren Kreis geht es um das Aufrechterhalten der staatlichen Regierungs- und Handlungsfähigkeit. So sollten der Bundestag, die zahlreichen Behörden, Bundeswehr, Polizei, Feuerwehr, etc. auch bei einem Cyberangriff auf die Kritische Infrastruktur (KRITIS) oder ähnlichen Krisenlagen in der Lage sein, ihre Aufgaben wahrzunehmen. Allein dieses Ziel erscheint aus CRONIQ-Sicht schon höchst anspruchsvoll und ambitioniert. Was jedoch geschieht, wenn der äußere Kreis, das heißt die Bevölkerung, in Mitleidenschaft gezogen wird? Dieses Szenario ist zweifellos denkbar, sofern es zu einem IT-bedingten Ausfall der Strom- oder Wasserversorgung kommt, der Flug-, Schiffs-, Schienen und Autoverkehr behindert wird oder die digitalen Kommunikationsnetze ausfallen.

Da wir uns als Praktiker verstehen, halten wir die Kritik, die Manuel Atug an LÜKEX 23 im Zuge eines Interviews mit dem rbb24 Inforadio übte, für höchst erwähnenswert. Er ist Gründer und Sprecher der Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS), die aus 40 Mitgliedern besteht. Atug bemängelte in erster Linie, dass es sich bei LÜKEX 23 um eine reine „Trockenübung“ gehandelt habe. Es wurden zwar auf theoretischer Basis Verfahren und Prozesse geübt, aber auf konkrete, in der Praxis aus seiner Sicht unbedingt erforderliche, Maßnahmen verzichtet. Der Experte betonte insbesondere, dass die wahren Probleme erst aufträten, wenn es darum geht, Menschen und Technik tatsächlich zu bewegen, um Gefahren entgegenzutreten. Vor diesem Hintergrund hält Atug zwei Empfehlungen bereit. Nach seiner Auffassung sollte einerseits der Ausfall von KRITIS und ihre Wiederherstellung praktisch trainiert werden. Andererseits rät er, für eine umfassende defensive Cybersicherheitsstrategie zu sorgen. Dazu gehören beispielsweise Backups, die offline vorgehalten werden, um einen Ausfall der Hauptsysteme zügig kompensieren können.

Auch Unternehmen, die nicht im Bereich KRITIS aktiv sind, können von den entsprechenden Erkenntnissen lernen und sollten eine umfassende Vorsorge treffen, um sich vor Cyberangriffen zu schützen. Wir empfehlen bei den umfangreichen Sicherheitsmaßnahmen, die bei den IT-Systemen unserer Kunden einzurichten und umzusetzen sind, die strukturierte Herangehensweise auf der Basis eines “Managements der Informationssicherheit” gemäß einer der bekannten Standards.

• ISO/IEC 27001 (für Konzerne und große Unternehmen)
• BSI-Grundschutz (für Behörden und öffentliche Einrichtungen)
• VdS 10000 (für kleine und mittlere Unternehmen)

Viele unserer Kunden, die mit Begriffen wie ISO 27001, BSI-Grundschutz oder VDS-Richtlinien 10000 konfrontiert werden, sind zunächst verwirrt, möglicherweise überfordert oder sogar abgeschreckt. Dazu besteht überhaupt kein Grund. Schließlich ist es auch nicht erforderlich, dass sich Unternehmer um die Wartung ihrer Firmenfahrzeuge, Maschinen, Heizungsanlage oder Röntgengeräte selbst kümmern. Für jede dieser Aufgaben gibt es Experten, die sich bestens auskennen und sowohl für Funktionsfähigkeit als auch für Sicherheit sorgen. Analog verhält es sich auf dem Gebiet des Betriebs von IT-Systemen und bei der Cybersicherheit. Unternehmer müssen lediglich grob wissen, was erforderlich ist und was diese Themen mit den eigenen unternehmerischen Ziele zu tun haben, und können die Details einem externen, zuverlässigen und vertrauenswürdigen Dienstleister überlassen.