Sicherheit

Erkenntnisse aus der länderübergreifenden  Krisenmanagementübung LÜKEX 11  des BBK

Anfälligkeit „Kritischer Infrastrukturen“ der Energieversorgung

Wie jüngste, großflächige Ausfallerscheinungen in der Energieversorgung (Ostküste der USA und München) gezeigt haben, sind die Kritischen Infrastrukturen, hier insbesondere der Energieversorgung, extrem anfällig gegen Störungen aller Art, hervorgerufen durch Naturereignisse, menschliches Versagen oder durch gezielte Angriffe aus dem Cyber-Raum.

Bei der „Länderübergreifende Krisenmanagementübung – EXERCISE – LÜKEX 11“ des BBK handelt es sich um eine länder- und bereichsübergreifende Übung auf politisch-administrativer Ebene im Bereich des nationalen Krisenmanagements. Zielgruppe sind die politischen Entscheidungsträger von Bund und Ländern sowie die Betreiber „Kritischer Infrastrukturen“. Einer der Schwerpunkte der Übung war die besondere Bedeutung der Informationstechnik für die öffentliche Sicherheit.

Die steigende Zahl von Sicherheitsvorkommnissen im IT-Bereich gibt Anlass zu einer umfassenden Bedrohungsanalyse. Aber nicht nur Deutschland ist von derartigen Angriffen betroffen, wie der jüngste Angriff bisher noch Unbekannter auf den Server der Internationalen Atombehörde (IAEA) in Wien zeigt.

Übungsszenario „LÜKEX 11“

Ziel der Übung war die Erprobung entsprechender Verfahren in den Verwaltungsstäben des Bundes und der Länder auf politisch-strategischer Entscheidungsebene unter Einbeziehung von Betreibern Kritischer Infrastrukturen. Für die Planung der Übung unter Beteiligung von Bundes- und Landesbehörden wurden vier, für die Planung des Übungsszenarios 20 Monate benötigt. Die Übung selbst lief insgesamt drei Tage; vier Monate wurden für die Auswertung benötigt.

Das Übungsszenario ging von zielgerichteten Angriffen aus dem Cyber-Raum gegen Schwachstellen in IT-Netzen und bei Regierungsstellen aus. Einzelheiten hierzu wurden jedoch nicht veröffentlicht. Eine einheitliche Tätergruppe – im Szenario als „Hacktivisten“ – bezeichnet, setzte eine multifunktionale Schadsoftware unter der Bezeichnung „SPYtool“ ein. Ob sich diese angenommene Schadsoftware an Parametern bereits aktuell auftretender Schadsoftware orientiert, war nicht zu erfahren. Staat und Verwaltung, Informationstechnik und Kommunikation, Transport und Verkehr sowie das Finanz- und Versicherungswesen wurden als mögliche Angriffsziele betrachtet.

Teilnehmer der Übung

An der Übung beteiligt waren zehn Ressorts des Bundes, davon fünf mit eigenen Szenario-Anteilen, 20 Bundesbehörden, das „Nationale Cyber-Abwehrzentrum“, die Bundesländer Hamburg, Niedersachsen, Hessen sowie Sachsen mit „Intensiv-Beteiligung“. Die Bundesländer Brandenburg, Berlin, Baden-Württemberg, Bayern, Mecklenburg-Vorpommern, Rheinland-Pfalz sowie Sachsen-Anhalt waren als „Übende Länder“ mit geringerer Einbindung in das Übungsgeschehen beteiligt.

45 Unternehmen und Verbände der „Kritischen Infrastruktur“ waren in das Übungsgeschehen integriert. Die Europäische Zentralbank (EZB) wie auch EUROCONTROL beteiligten sich an der Übung. Insgesamt waren mehr als 3000 Personen in die Übung eingebunden.

Erkenntnisse aus der Übung

Die Übung hat gezeigt, dass noch eine weitergehende Netzwerkbildung zwischen der öffentlichen Verwaltung und den privaten Kritis-Betreibern erforderlich ist. Die Übung machte die existentielle Bedeutung einzelner, herausragender IKT-Strukturen deutlich. Ein Maßnahmeplan für den längerfristigen Ausfall von IKT-Regelstrukturen ist daher erforderlich. Auch sind Optimierungsmaßnahmen bei der Abstimmung zwischen den einzelnen Bundesländern in Krisensituationen erforderlich. Bei der Kommunikation zwischen den Ländern besteht akuter Optimierungsbedarf.

Bund, Länder und KRITIS-Unternehmen müssen IKT-Strukturen und Verfahren identifizieren, die für die Daseinsvorsorge und die öffentliche Sicherheit von existentieller Bedeutung sind. Auf der Ebene der Krisenstäbe sind künftig IT-Fachbehörden, IT-Dienstleister und IT-Fachberater in die Arbeit der Krisenstäbe einzubeziehen. Offenbar ist der Krisenstab des Bundesministeriums des Innern ausreichend auf seine Aufgaben vorbereitet. Allerdings sollte das IKT-Krisenmanagement ressortübergreifend institutionalisiert und in das allgemeine Krisenmanagement integriert werden. Eine redundante, von öffentlichen Netzen unabhängige IKT-Struktur sollte für den Krisenfall bereitgehalten werden.

Die Ergebnisse der Übung zeigten auch, dass die Zusammenarbeit in den Landeskrisenstäben im Bereich des Informationsaustauschs und im Verwaltungs-CERT-Verbund kontinuierlich verbessert werden muss. Dies gilt auch für die Zusammenarbeit der Länder mit dem nationalen IT-Krisenreaktionszentrum. Zu den wesentlichen Erkenntnissen dieser Übung gehören auch die künftige verbindliche Festlegung von Stabsstrukturen für das strategische Krisenmanagement.

Das IT-Notfall-Management der IT-Dienstleister sollte strukturell angepasst und enger an die politisch-administrativen Entscheidungsebenen angebunden sein. Die bereichsübergreifende Zusammenarbeit des Krisenmanagements bei IT-Krisen sollte weiter vertieft und bei Übungen in die Praxis umgesetzt werden. Der Verwaltungs-CERT-Verbund sollte bundesweit in die Praxis umgesetzt werden und dabei die Kapazitäten des nationalen IT-Krisenreaktionszentrums genutzt und die Rolle des Bundesamtes für die Sicherheit in der Informationstechnik – BSI – entsprechend gestärkt werden. Handlungsfelder ergeben sich auch bei der „Zivil-Militärischen Zusammenarbeit – ZMZ“ durch organisatorische Veränderungen der Bundeswehr.

Im Bereich des Informationsmanagements, der Lagebeurteilung und der Entscheidungsfindung sowie beim formalisierten Informationsaustausch zwischen Bund und Ländern besteht noch erheblicher Nachsteuerungsbedarf. Insbesondere bei der Lagebeurteilung durch die Krisenstäbe auf unterschiedlichen Ebenen zeigte sich die prognostische Komponente noch wenig ausgeprägt. Die künftige Rolle des nationalen Cyber-Abwehrzentrums als Informationsdrehscheibe sollte gestärkt werden.







Praxishinweise


  • Die Auswertung der Übung hat gezeigt, dass in Deutschland für den Schutz „Kritischer Infrastrukturen“ noch erheblicher Abstimmungsbedarf zwischen den Behörden in Bund, Ländern und mit den Betreibern „Kritischer Infrastrukturen“ besteht.

  • Durch die internationale Vernetzung der Informations- und Kommunikationsstrukturen lassen sich Probleme nicht im nationalen Alleingang lösen. Verstärkt werden diese durch die erkennbar steigende Anwendung von „Cloud Computing“ im Behördenbereich, in der Wirtschaft und bei Privaten.

  • Die Initiative der EU zur Einrichtung einer zentralen Meldestelle für Angriffe auf IT-Systeme, die auch durch das BMI für den nationalen Bereich geplant ist, ist vielleicht nicht zielführend.

  • Die EU arbeitet an einer Gesetzesvorlage zur Regulierung von IT- Anwendungen unter besonderer Berücksichtigung des Cloud-Computing in der EU.

  • Bei der erkennbar ansteigenden asymmetrischen Bedrohung aus dem Cyberraum durch politisch, militärisch oder kriminell motivierte Angriffe auf IKT-Systeme, bereits im Vorfeld krisenhafter Entwicklungen, muss damit gerechnet werden, dass derartige Angriffe unterschiedlicher Intensität und Zielrichtung jederzeit auch gegen Deutschland geführt werden können.

  • Die Unternehmen sollten rechtzeitig für Redundanzen bei Ausfall ihrer Systeme sorgen. Dies kann auch für die Behörden des Bundes und der Länder gelten.

  • Die „Kritischen IKT-Strukturen“ der Sicherheitsbehörden in Bund und Ländern und der öffentlichen Verwaltung, deren Ausfall oder Manipulation zu weitreichenden Folgen führen würde, wurden nicht betrachtet.





Quellen: Auswertungsbericht „LÜKEX 11“ IT-Sicherheit in Deutschland (Kurzfassung); BBK-Projektgruppe LÜKEX Bund © Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bonn, 2012;

Nakashima , E. As cyberwarfare heats up, allies turn to U.S. companies for expertise, Washington Post, 23.11.2012; Angriff auf IAEA-Server in Wien, SWR 4, 28.11.2012, 07.00 Uhr.