LÜKEX 2011: Bewährungsprobe für die IT-Sicherheit

Während der nächsten "länderübergreifenden Krisenmanagement-Übung/Exercise" (LÜKEX) im Herbst soll das Verhalten während eines großflächigen IT-Angriffs geübt werden. In einer Veranstaltung des Studienganges Katastrophenvorsorge & Management hat LÜKEX-Leiter Norbert Reez von der Akademie für Krisenmanagement, Notfallplanung und Zivilschutz über die bevorstehende Übung informiert. Frühere Szenarien der bisher vier LÜKEX waren unter anderem der Ausbruch einer Pandemie und die Detonation einer schmutzigen Bombe.

Achtzehn Monate dauert es, bis das "Drehbuch" einer LÜKEX-Stabsrahmensübung geschrieben ist, die selbst nur zwei Tage dauert: Der IT-Angriff soll am 30. November und 1. Dezember stattfinden. Danach ist eine vier Monate lange Auswertungsphase geplant, in der der Ablauf analysiert und Empfehlungen für die beteiligten Stäbe ausgesprochen werden sollen.

Fünf Bundesländer (Hamburg, Niedersachsen, Hessen, Thüringen und Sachsen) sind diesmal die "intensiv übenden Länder", in denen der simulierte IT-Angriff stattfindet. Sieben Ministerien (Innen, Verteidigung, Verkehr, Finanzen, Wirtschaft, Arbeit) schicken ihre Katastrophenstäbe ins "Feld", dazu kommen Kräfte vom Verfassungsschutz und vom Bundesnachrichtendienst sowie der Bundespolizei. Auch das Bundeskriminalamt, das BSI und das neue nationale Cyber-Abwehrzentrum sind mit von der Partie. Zu seiner Eröffnung hatte Bundesinnenminister Hans-Peter Friedrich davon gesprochen, dass LÜKEX 2011 zu einer Bewährungsprobe dieser Einrichtung werden soll. Insgesamt sollen 3000 Personen damit beschäftigt sein, den IT-Angriff abzuwehren.

In dem Szenario soll mit einer Schadsoftware versucht werden, IT-Schwachstellen auszunutzen und Störungen und "Ereignislagen" an mehreren Orten zu produzieren, so dass verantwortliche Stäbe zur Zusammenarbeit gezwungen sind. Zum Szenario gehören auch DDoS-Attacken auf ausgewählte kritische Infrastrukturen. Der geplante Angriff soll so umfangreich sein, dass Kaskadeneffekte untersucht werden können. Details zum Angriff unterliegen der Geheimhaltung: Ein echter Angreifer könnte sich an das LÜKEX-Drehbuch halten.

Reez betonte, dass LÜKEX auch eine Mediensimulation enthält: Von der LÜKEX-Tagesschau bis LÜKEX-Tageszeitungen und eigenem Radio wird durchgespielt, wie die Bevölkerung über die Krisenlage informiert werden kann. Erstmals sollen auch Twitter und Facebook mit einbezogen werden. Den Einwand, dass bei einem echten großflächigen IT-Angriff, wie ihn etwa Estland im Jahre 2007 erlebte, auch die Medien betroffen wären, ließ Reez nicht gelten. Man entwickele ein Szenario für einen Angriff und nicht für eine Apokalypse.

LÜKEX sei ein neuer Übungstyp, mit dem gesellschaftliche Verständigungsformen in Hinblick auf "Kohärenz und Resilienz" geübt werden können, erläuterte Reez. Während für LÜKEX 2011 Computer und Kommunikationssysteme die maßgeblichen Statisten sein werden, soll bei LÜKEX 2013 die Bevölkerung wieder mit dabei sein. Dann wird das Thema Lebensmittelsicherheit durchgespielt. Das Thema wurde noch vor der EHEC-Krise auf den Übungsplan gesetzt. (anw)