In ganz Deutschland wird heute geübt, was im Falle eines großen Cyberangriffs auf Regierung und Verwaltung zu tun ist., © Nicolas Armer/dpa
In ganz Deutschland wird heute geübt, was im Falle eines großen Cyberangriffs auf Regierung und Verwaltung zu tun ist. Nicolas Armer/dpa, dpa
  • Infoline
  • DPA-News

Bundesweite Krisenübung: Was tun, wenn der Hacker kommt?

27.09.2023

Krisenstäbe und Behördenleiter in Bund und Ländern üben seit dem Morgen, was bei einem massiven Cyberangriff auf Regierung und Verwaltung zu tun wäre. Der Startknopf für die zweitägige heiße Phase der Übung «Lükex 23» wurde um 9.00 Uhr beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gedrückt, wie eine Sprecherin bestätigte.

«Von der Zahl der beteiligten Akteure her ist dies die größte Lükex-Übung, die es je gab», sagt BBK-Präsident Ralph Tiesler der Deutschen Presse-Agentur. «Zum ersten Mal in der fast zwanzigjährigen Geschichte wirken alle Bundesländer mit.»

Das genaue Szenario für die Übung wurde bis zuletzt geheim gehalten, um den Übungseffekt nicht zu gefährden. Auch Tiesler, der sich als Mitglied des Krisenstabs am Mittwoch ins Lagezentrum des Bundesinnenministeriums begab, war daher vorab nicht in alle Details eingeweiht.

Was ist dabei wichtig?

Vor allem Disziplin, sagt Tiesler. Denn wenn alle durcheinander telefonieren und jeder meint, ausschweifend reden zu müssen, funktioniert Krisenmanagement nicht. Bei der Übung und dann auch in einem möglichen Ernstfall gehe es deshalb darum, «möglichst rasch das Wissen, das man hat, in Entscheidungen übersetzen zu können», sagt der BBK-Chef.

Obgleich an der Übung etwa 60 Behörden, Unternehmen und insgesamt etwa 3000 Menschen teilnehmen, dürfte die Bevölkerung davon nichts wahrnehmen. Lükex ist die Abkürzung für «länder- und ressortübergreifende Krisenmanagementübung». Bei früheren Lükex-Übungen war beispielsweise das Szenario einer Pandemie durchgespielt worden. Im November 2018 lautete das Szenario «Gasmangellage in Süddeutschland».

Für den Katastrophenschutz tragen in Deutschland die Länder die Verantwortung. Um den Zivilschutz - also den Schutz der Bevölkerung im Kriegsfall - muss sich der Bund kümmern. Es gebe laufend Zivilschutzübungen, erklärte Tiesler. Als ein Beispiel nannte er den bundesweiten Warntag, wo einmal im Jahr die Alarmierung der Bevölkerung geprobt wird.

Eine Lükex-Übung mit einem reinen Zivilschutz-Szenario, etwa einem Angriffskrieg, wie ihn die Ukraine aktuell erlebt, hat es bislang allerdings nicht gegeben. Die aktuelle Übung, für die das Szenario bereits 2018 festgelegt worden war, ist laut Tiesler «nicht in erster Linie ein Zivilschutz-Szenario, denn eine Cyberattacke kann ja auch einen kriminellen Hintergrund haben».

Laut BBK wurde am Morgen eine Nachricht per Mail an alle Teilnehmer versendet. Damit wurden ihnen die zentralen Übungsinhalte und die Ausgangslage für den ersten Übungstag vorgestellt. Um es möglichst echt wirken zu lassen, wurde eine fiktive Nachrichtensendung erstellt, die sich die Übenden anschauen sollen.

Wie lebensnah ist das Szenario?

Experten sehen große Hackerangriffe, sowohl durch kriminelle Akteure als auch durch ausländische Geheimdienste, als reale Bedrohung. Im kleineren Maßstab hat es solche Cyberattacken bereits gegeben.

Ein Beispiel, das auch in der Akademie des BBK zu Fortbildungszwecken schon vielfach diskutiert wurde, ist die Attacke auf die Landkreisverwaltung von Anhalt-Bitterfeld, wo nach einem Hackerangriff im Juli 2021 wichtige Bürger-Dienstleistungen 207 Tage lang nicht funktionierten.

Was könnte bei einer Cyberattacke alles betroffen sein?

Das geht schon beim Zugang zu Gebäuden los, für die Kartensysteme genutzt werden. Ein größeres Problem für viele Menschen wäre beispielsweise auch eine Störung, die eine Auszahlung von Bürgergeld an die Berechtigten behindern würde. Damit alle Eventualitäten mitgedacht werden, soll die Übung möglichst realitätsnah ablaufen.

«Auslöser der fiktiven Krise ist ein massiver Cyberangriff, dessen Auswirkungen sich im Übungsverlauf verschärfen und durch eine Medienkampagne einer Angreifergruppierung begleitet werden», erklärt BBK-Chef Tiesler. Mit steigender Betroffenheit entstehe dann automatisch ein Druck, sich untereinander abzustimmen, welche Maßnahmen zu treffen sind, um die Aufrechterhaltung von Verwaltungen, Staats- und Regierungsfunktionen sicherzustellen. Auch die Bundeswehr übt mit.

Und wie kommunizieren die Beteiligten?

Ein Komplettausfall der IT, bei dem auch keine E-Mails mehr verschickt werden könnten, ist laut BBK nicht Teil des Szenarios, ebenso wenig ein Ausfall des Handynetzes. Die Möglichkeit, dass auch dies ausfallen könnte, werde aber «immer mitgedacht», sagt Tiesler. Vor allem seit der Flutkatastrophe im Ahrtal, wo teilweise die Kommunikation ausgefallen war.

«Deswegen haben wir alternative Kommunikationsmittel beschafft, wie zum Beispiel Satellitentelefone, und haben die digitale Kommunikation noch mal überprüft», sagt der BBK-Chef.

Wann kommt die nächste Übung?

Die nächste Lükex-Übung soll voraussichtlich 2026 stattfinden. Welches Szenario dann gewählt wird, darüber berät die Innenministerkonferenz von Bund und Ländern im Dezember. «Man kann für die Zukunft nicht ausschließen, dass auch einmal ein Zivilschutzszenario gewählt wird, etwa das eines Angriffskrieges», sagt Tiesler.

Dass es in den vergangenen Jahren keine Übungen gab, liegt daran, dass die für 2020 geplante Lükex erst wegen der Corona-Pandemie und dann wegen des russischen Angriffskrieges gegen die Ukraine verschoben worden war. Doch hier hat ein Umdenken stattgefunden, erklärt Tiesler. Inzwischen bestehe ausdrücklich der Wunsch, künftig auch dann zu üben, wenn es gerade eine aktuelle Krise geben sollte.

© dpa-infocom, dpa:230927-99-349238/3