Krisenübung Lükex: Viel Bürokratie, wenig Sinn für Social Media

In einem Bericht zu der Simulation von Cyberangriffen während der Stabsrahmensübung Lükex 2011 wird u.a. "Übungsbürokratie" moniert, die keinen inhaltlichen Mehrwert gebracht habe.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Detlef Borchers

Als erstes Bundesland hat Hessen seinen Bericht über die Stabsrahmensübung Lükex 2011 online veröffentlicht (PDF-Datei). Anders als die durchweg positive Bewertung des Bundesinnenministeriums kommen die hessischen Fachleute zu dem Schluss, dass Lükex 2011 von einem hohen Maß an Übungsbürokratie geprägt war, die keinen inhaltlichen Mehrwert produzierte. Außerdem sei entgegen der Übungsplanung die Kommunikation über Social Media nur unzureichend realisiert worden.

Lükex 2011 war eine Krisenmanagement-Übung, in der ein Angriff aus dem Cyberspace auf staatliche wie private Webseiten simuliert wurde. Durchgespielt wurde der Angriff von Malware über infizierte PDF-Anhänge auf fiktive Webseiten des Bundesinnenministeriums, des BSI, des Flughafen Frankfurts und des sozialen Netzwerkes Lüki-VZ. Der Lükex-Krisenstab hatte die Aufgabe, möglichst schnell die wirklich sicherheitsrelevanten IT-Störungen festzustellen, Gegenmaßnahmen einzuleiten und diese mittels Presse der Bevölkerung zu vermitteln, die durch eine drastisch gestiegene Zahl von nicht mehr erreichbaren Webseiten und Fehlbuchungen bei den Banken verunsichert war. Durch reißerische Berichterstattung der Security-Fachpresse wurde die Unsicherheit in der Bevölkerung noch weiter erhöht und die geschalteten Telefonleitungen für Auskünfte brachen dementsprechend zusammen. Im Internet funktionierte nur noch die Kommunikation mittels Lüki-Tweet. Im Bundesland Hessen brachen mehrere IT-Dienste zusammen, darunter das Active Directory des Landes, die Zahlung von Elterngeld und die Durchführung von Sicherheitsüberprüfungen durch Polizei und Verfassungsschutz.

In der Bekämpfung dieses fiktiven Szenarios bewährte sich die in Hessen eingesetzte Software (ILIAS-Hessen) ebenso wie die Zusammenarbeit der verschiedenen einberufenen Krisenstäbe, heißt es im hessischen Abschlussbericht, der auch Kritik übt: "Es war ein hohes Maß an Übungsbürokratie festzustellen, ohne dass erkennbar war, welcher inhaltliche Mehrwert damit generiert wurde."

Die Stabsrahmenübung wurde von beauftragten Wissenschaftlern beobachtet, die weitere Kritik übten. So wurde bemängelt, dass das Vertrauen der Krisenstäbe in den Nutzen und die Nutzung von Social Media nicht sehr ausgeprägt war und stellenweise geradezu abgelehnt wurde. "Dennoch ist die Nutzung von Social Media definitiv nicht mehr nur alltägliche Praxis von einer kleinen Personengruppe, sondern vielmehr deutlich ausgeprägter und alters- und schichtübergreifender. Außerdem wird hierbei auch das positive Potential dieser Medien für die unterstützende Informationsgewinnung oder Problemlösung verkannt", lautet das Fazit des Zentrums für interdisziplinäre Forschung der Universität Bielefeld.

Beobachter von der Forschungsstelle interkulturelle Wirtschaftskommunikation der Universität Jena bemängelten in den Lagevorträgen und Handlungsanweisungen eine "Dominanz polizeilicher Sichtweisen und Themen" auf die IT-Katastophe. Wichtiger als die Bekämpfung des Angriffes aus dem Cyberspace war damit die Aufrechterhaltung polizeilicher Kommunikationsstrukturen.

Die nächste Katastrophenschutzübung der Lükex-Reihe wird sich 2013 mit dem Thema Lebensmittelsicherheit befassen. Sie soll ein Szenario durchspielen, bei dem die Bevölkerung durch ein Virus bedroht wird, das über verunreinigte Lebenmittel in den Umlauf kommt. (axk)