Anfälligkeit „Kritischer Infrastrukturen“ der Energieversorgung
Wie jüngste, großflächige Ausfallerscheinungen in der Energieversorgung (Ostküste der USA und München) gezeigt haben, sind die Kritischen Infrastrukturen, hier insbesondere der Energieversorgung, extrem anfällig gegen Störungen aller Art, hervorgerufen durch Naturereignisse, menschliches Versagen oder durch gezielte Angriffe aus dem Cyber-Raum.
Bei der „Länderübergreifende Krisenmanagementübung – EXERCISE – LÜKEX 11“ des BBK handelt es sich um eine länder- und bereichsübergreifende Übung auf politisch-administrativer Ebene im Bereich des nationalen Krisenmanagements. Zielgruppe sind die politischen Entscheidungsträger von Bund und Ländern sowie die Betreiber „Kritischer Infrastrukturen“. Einer der Schwerpunkte der Übung war die besondere Bedeutung der Informationstechnik für die öffentliche Sicherheit.
Die steigende Zahl von Sicherheitsvorkommnissen im IT-Bereich gibt Anlass zu einer umfassenden Bedrohungsanalyse. Aber nicht nur Deutschland ist von derartigen Angriffen betroffen, wie der jüngste Angriff bisher noch Unbekannter auf den Server der Internationalen Atombehörde (IAEA) in Wien zeigt.
Übungsszenario „LÜKEX 11“
Ziel der Übung war die Erprobung entsprechender Verfahren in den Verwaltungsstäben des Bundes und der Länder auf politisch-strategischer Entscheidungsebene unter Einbeziehung von Betreibern Kritischer Infrastrukturen. Für die Planung der Übung unter Beteiligung von Bundes- und Landesbehörden wurden vier, für die Planung des Übungsszenarios 20 Monate benötigt. Die Übung selbst lief insgesamt drei Tage; vier Monate wurden für die Auswertung benötigt.
Das Übungsszenario ging von zielgerichteten Angriffen aus dem Cyber-Raum gegen Schwachstellen in IT-Netzen und bei Regierungsstellen aus. Einzelheiten hierzu wurden jedoch nicht veröffentlicht. Eine einheitliche Tätergruppe – im Szenario als „Hacktivisten“ – bezeichnet, setzte eine multifunktionale Schadsoftware unter der Bezeichnung „SPYtool“ ein. Ob sich diese angenommene Schadsoftware an Parametern bereits aktuell auftretender Schadsoftware orientiert, war nicht zu erfahren. Staat und Verwaltung, Informationstechnik und Kommunikation, Transport und Verkehr sowie das Finanz- und Versicherungswesen wurden als mögliche Angriffsziele betrachtet.
Teilnehmer der Übung
An der Übung beteiligt waren zehn Ressorts des Bundes, davon fünf mit eigenen Szenario-Anteilen, 20 Bundesbehörden, das „Nationale Cyber-Abwehrzentrum“, die Bundesländer Hamburg, Niedersachsen, Hessen sowie Sachsen mit „Intensiv-Beteiligung“. Die Bundesländer Brandenburg, Berlin, Baden-Württemberg, Bayern, Mecklenburg-Vorpommern, Rheinland-Pfalz sowie Sachsen-Anhalt waren als „Übende Länder“ mit geringerer Einbindung in das Übungsgeschehen beteiligt.
45 Unternehmen und Verbände der „Kritischen Infrastruktur“ waren in das Übungsgeschehen integriert. Die Europäische Zentralbank (EZB) wie auch EUROCONTROL beteiligten sich an der Übung. Insgesamt waren mehr als 3000 Personen in die Übung eingebunden.
Erkenntnisse aus der Übung
Die Übung hat gezeigt, dass noch eine weitergehende Netzwerkbildung zwischen der öffentlichen Verwaltung und den privaten Kritis-Betreibern erforderlich ist. Die Übung machte die existentielle Bedeutung einzelner, herausragender IKT-Strukturen deutlich. Ein Maßnahmeplan für den längerfristigen Ausfall von IKT-Regelstrukturen ist daher erforderlich. Auch sind Optimierungsmaßnahmen bei der Abstimmung zwischen den einzelnen Bundesländern in Krisensituationen erforderlich. Bei der Kommunikation zwischen den Ländern besteht akuter Optimierungsbedarf.
Bund, Länder und KRITIS-Unternehmen müssen IKT-Strukturen und Verfahren identifizieren, die für die Daseinsvorsorge und die öffentliche Sicherheit von existentieller Bedeutung sind. Auf der Ebene der Krisenstäbe sind künftig IT-Fachbehörden, IT-Dienstleister und IT-Fachberater in die Arbeit der Krisenstäbe einzubeziehen. Offenbar ist der Krisenstab des Bundesministeriums des Innern ausreichend auf seine Aufgaben vorbereitet. Allerdings sollte das IKT-Krisenmanagement ressortübergreifend institutionalisiert und in das allgemeine Krisenmanagement integriert werden. Eine redundante, von öffentlichen Netzen unabhängige IKT-Struktur sollte für den Krisenfall bereitgehalten werden.
Die Ergebnisse der Übung zeigten auch, dass die Zusammenarbeit in den Landeskrisenstäben im Bereich des Informationsaustauschs und im Verwaltungs-CERT-Verbund kontinuierlich verbessert werden muss. Dies gilt auch für die Zusammenarbeit der Länder mit dem nationalen IT-Krisenreaktionszentrum. Zu den wesentlichen Erkenntnissen dieser Übung gehören auch die künftige verbindliche Festlegung von Stabsstrukturen für das strategische Krisenmanagement.
Das IT-Notfall-Management der IT-Dienstleister sollte strukturell angepasst und enger an die politisch-administrativen Entscheidungsebenen angebunden sein. Die bereichsübergreifende Zusammenarbeit des Krisenmanagements bei IT-Krisen sollte weiter vertieft und bei Übungen in die Praxis umgesetzt werden. Der Verwaltungs-CERT-Verbund sollte bundesweit in die Praxis umgesetzt werden und dabei die Kapazitäten des nationalen IT-Krisenreaktionszentrums genutzt und die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik – BSI – entsprechend gestärkt werden. Handlungsfelder ergeben sich auch bei der „Zivil-Militärischen Zusammenarbeit – ZMZ“ durch organisatorische Veränderungen der Bundeswehr.
Im Bereich des Informationsmanagements, der Lagebeurteilung und der Entscheidungsfindung sowie beim formalisierten Informationsaustausch zwischen Bund und Ländern besteht noch erheblicher Nachsteuerungsbedarf. Insbesondere bei der Lagebeurteilung durch die Krisenstäbe auf unterschiedlichen Ebenen zeigte sich die prognostische Komponente noch wenig ausgeprägt. Die künftige Rolle des nationalen Cyber-Abwehrzentrums als Informationsdrehscheibe sollte gestärkt werden.
Praxishinweise
|
Quellen: Auswertungsbericht „LÜKEX 11“ IT-Sicherheit in Deutschland (Kurzfassung); BBK-Projektgruppe LÜKEX Bund © Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bonn, 2012;
Nakashima , E. As cyberwarfare heats up, allies turn to U.S. companies for expertise, Washington Post, 23.11.2012; Angriff auf IAEA-Server in Wien, SWR 4, 28.11.2012, 07.00 Uhr.