Ausgewählte Ergebnisse der 5. Länderübergreifenden Krisenmanagement-Übung

Seit 2004 verwandelt die nationale Übungsreihe LÜKEX (Länder Übergreifende Krisenmanagement-Übung/ EXercise) die Republik alle zwei Jahre an zwei Tagen in eine einzige Übungsarena. So geschehen auch am 30. November und am 1. Dezember 2011: Deutschland, d. h. die Krisenstäbe auf Länder- und Bundesebene und in bestimmten Sektoren der Kritischen Infrastruktur, probten den Umgang mit massiven Angriffen auf Regierungsnetze und die jeweilige IT-Infrastruktur. Es gehört zum Konzept, dass nationale Krisenmanagement-Übungen auf politisch-administrativer Ebene intensiv mit allen Beteiligten vorbereitet werden.

Dreh- und Angelpunkt der länder-, ressort- und behördenübergreifenden Gespräche im Vorfeld der zweitägigen Übungsdurchführung ist die Entwicklung eines plausiblen und realitätsnahen Übungsszenarios. Letztlich nimmt dieses in Form eines komplexen Drehbuchs erst zum Ende der Vorbereitungsphase Gestalt an und erlaubt so, die bundesweite Übung zu steuern. Erfahrungssätze aus Vorgängerübungen zur Anlage von strategischen Übungen haben Eingang gefunden in den Leitfaden für strategische Krisenmanagement-Übungen (Hrsg.: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2011, Bonn) und die Krisenstäbe bei Bund und Ländern können auf eine gewachsene Übungskultur verweisen. Dennoch hat gerade die Übung LÜKEX 11 zum Thema „IT-Sicherheit“ gezeigt, wie wichtig die intensive Übungsvorbereitung ist, um einheitliche Standards und anschlussfähige Strukturen im Bereich der Krisenvorsorge zu erreichen. Im Nachhinein betrachtet, war die Investition in eine 22-monatige Vorbereitungszeit gerechtfertigt. Gerade der engen fachlichen Zusammenarbeit aller Übungsbeteiligten während der Übungsvorbereitung verdankt sich die Tatsache, dass die übergeordneten Übungsziele, nämlich

  • Sensibilisierung für die Gesamtthematik,
  • Integration des IT-Krisenmanagements in das allgemeine Krisenmanagement,
  • Ausbau der ressort- und ebenenübergreifenden gesamtstaatlichen und gesamtgesellschaftlichen Vorbereitung auf IKT-Bedrohungen und ihre Folgen,
  • Vernetzung relevanter Akteure,

weitestgehend erreicht werden konnten. LÜKEX 11 unterstreicht damit wiederum, dass der Mehrwert strategischer Übungen auch – aber eben nicht nur – in der Einübung des strategischen Krisenmanagements an zwei Tagen zu sehen ist. Über die erste bundesweite Übung dieser Größenordnung zum Thema „Cyber-Sicherheit“ konnten vielmehr bundesweit Prozesse erstmals in Gang gesetzt oder beschleunigt werden, die angesichts der Herausforderungen und neuen Bedrohungen des IT-Zeitalters von existentieller Bedeutung sind.

Übungsbeteiligung und Medienwirksamkeit, Übungskritik

An der Übung waren in unterschiedlicher Intensität der Bund (zehn Bundesressorts, 20 Bundesbehörden, das nationale Cyber-Abwehrzentrum (Cyber-AZ)), die Länder (insgesamt zwölf Länder) sowie 45 Unternehmen beteiligt. Auf europäischer Ebene waren zusätzlich die Europäische Zentralbank (EZB) und Eurocontrol einbezogen, da wesentliche Übungsannahmen den Verkehrs- und Finanzsektor betrafen, so dass mittelbar auch der EU-Raum betroffen war.

Das erstmalig während der Übungsdurchführung angebotene internationale Begleitforum zu LÜKEX 11 führte zu einer deutlich erhöhten Wahrnehmung der Übung bei den Medien und innerhalb der (Fach-)Öffentlichkeit. Durch das Begleitforum konnten der nationale und supranationale Erfahrungsaustausch zum Thema IT-Bedrohungen intensiviert und die Notwendigkeit bereichsübergreifender koordinierter Vorsorge auf staatlicher und privater Seite verdeutlicht werden. Die Begleitveranstaltung für Fachbesucher an den Übungstagen ist positiv beurteilt worden und soll bei künftigen Übungszyklen fortgeführt werden.

Im Verlauf des Übungszyklus LÜKEX 11 haben sich auch Entwicklungsmöglichkeiten im Hinblick auf Methodik und Verfahren bei der Anlage von strategischen Übungen ergeben. So wurde insbesondere im Rahmen der Übungsauswertung eine effizientere Ausgestaltung der Übungsvorbereitungsphase angemahnt. Umgekehrt soll daraus in Zukunft der Aufwand bei den Intensiv-Übungsländern reduziert werden. In der Folge sollen frühzeitig Eckpunkte des Übungsszenarios festgelegt werden, um eine übermäßig Diversifizierung des Szenarios zu vermeiden. Gleichzeitig soll dadurch die Auswahl möglicher Übungsbeteiligter erleichtert werden. Das maßgebliche Dokument für den Übungszyklus, der Übungsrahmen, soll ferner mit höherer Verbindlichkeit gegenüber allen Übungsbeteiligten ausgestattet werden. In zeitlicher Hinsicht führen diese Innovationen zu einer Verschiebung der Übungsphasen: Die Planungsphase mit dem Ziel der Konzeption und Abstimmung des Übungsrahmens verlängert sich auf Kosten der Vorbereitungsphase, die auf die Entwicklung des Szenarios gerichtet ist.

Mit dieser Änderung der zeitlichen Disposition soll zusätzlich die Einbindung der Betreiber von KRITIS-Unternehmen und betroffenen Verbänden früher erfolgen. Die zu späte Beteiligung der Privatunternehmen war bei LÜKEX 11 kritisiert worden, da so deren Expertise nur unzureichend in die Übung hatte einfließen können.

CP-312_40_Abb_2

Strukturen des strategischen

Krisenmanagements

Der schon während der Vorbereitungsphase festgestellte unterschiedliche Ausbaustand der Krisenmanagementstrukturen im Falle von IT-Krisen machte sich in Teilen auch während der Übungsdurchführung bemerkbar. Bei der Erstellung eines gemeinsamen Lagebildes sowie der Koordinierung zu treffender Maßnahmen fehlten teilweise noch eingespielte Routinen. Im Verlauf der Übungsvorbereitung getroffene Vereinbarungen zwischen Bund und Ländern (z. B. Informationssteuerung über Single points of contact) konnten erstmals an den Übungstagen getestet werden. Diese Verfahren zeigten im Bereich des Informationsmanagements bereits positive Wirkungen. Eine Verstetigung dieser Bemühungen zwischen dem Bundesamt für die Sicherheit der Informationstechnik (BSI) auf Bundesseite und den zuständigen Stellen der Länder lassen in absehbarer Zeit weitere Fortschritte (z. B. Einrichtung eines sogenannten „VerwaltungsCERT -Verbunds“; CERT = Computer Emergency Response Team) erwarten.

Resilienz bei Fachbehörden und Dienstleistern

Im Hinblick auf die strukturelle und personelle Durchhaltefähigkeit bei länger andauernden IT-Krisen (Ausfälle oder massive Störungen über mehrere Tage oder Wochen) haben beteiligte IT-Dienstleister und Systembetreiber Defizite festgestellt. Während der Übung hat sich herausgestellt, dass die notwendigen Ressourcen für langfristige Krisensituationen in Teilbereichen nicht im ausreichenden Umfang vorhanden sind. Eventuell können durch enger vernetzte Strukturen Entlastungen oder Abhilfen geschaffen werden.

Einbindung von KRITIS-Betreibern

Ausbaufähig, so hat sich im Verlauf der Übung erwiesen, ist auch die strukturelle Einbindung von privaten KRITIS-Unternehmen in die Krisenvorsorge. Bewährt hat sich insoweit in der Praxis das übergreifende Gesprächsforum zwischen privaten und den öffentlichen IKT-Verantwortlichen, das sich im Rahmen des UP KRITIS (Umsetzungsplan Kritische Infrastrukturen) gebildet hat. Ähnliche Kooperationsforen nach diesem Vorbild und der Ausbau in Richtung auf weitere KRITIS-Sektoren erscheinen hier zur Vorbereitung auf flächendeckende IKT-Ausfälle und IT-Krisen zielführend.

Interaktion der Krisenstäbe

Zur Abstimmung der Maßnahmen von Bund und Ländern haben sich Telefonschaltkonferenzen (TSK) erneut bewährt. Es zeigte sich jedoch, dass es notwendig ist, den hohen Koordinierungsbedarf auf strategischer Entscheidungsebene durch fachliche Telefonschaltkonferenzen auf Arbeitsebene vorzubereiten. Auf diese Weise soll künftig eine bessere ebenen- und zielorientierte Lageerörterung und eine zeitgerechte Entscheidungsfindung ermöglicht werden.

Redundante Kommunikationssysteme bei IT-Ausfällen, Ausfallvorsorge

Kritisch wurde von einigen Übungsbeteiligten angemerkt, dass die Auswirkungen von IT-Ausfällen auf den Kommunikationssektor nicht ausreichend reflektiert wurden. Sowohl in der Übungsvorbereitung wie auch während der Übungsdurchführung seien Ausweichtechnologien und alternative Kommunikationssysteme zu wenig berücksichtigt worden. Tatsächlich wurde die Frage der Kommunikationsfähigkeit zwischen den handelnden Krisenstäben präventiv nur in einem Land im nennenswerten Umfang in die Überlegungen zur Krisenbewältigungen einbezogen. Dies führte dort zu Anfragen bei der Bundeswehr. Die Übung hat gezeigt, dass Kommunikationsstrukturen von essentieller Bedeutung für eine gelingende Krisenbewältigung sind, ihr potentieller Ausfall jedoch nicht immer ausreichend berücksichtigt wird. Dies wirft die grundsätzliche Frage nach verfügbaren Redundanzsystemen für herausragende IKT-Strukturen, Prozesse und Fachverfahren im Sinne einer strategischen Ausfallvorsorge und gesamtgesellschaftlichen Daseinsvorsorge auf.

Integration von Krisenmanagementstrukturen

Es hat sich im Verlauf der Übung gezeigt, dass die Integration von existierenden IT-Notfall- bzw. IT-Krisenmanagementstrukturen in das allgemeine Krisenmanagement in unterschiedlichem Umfang entwickelt und durchaus verschieden organisiert ist. Teilweise sind hier strukturelle Anpassungen zu vollziehen, um den Anforderungen einer aufwachsenden Bedrohungslage, insbesondere der Bildung eines gemeinsamen politisch-administrativen Entscheidungsgremiums, gerecht werden zu können. Im Ereignisfall ergeben sich hier erfahrungsgemäß schnell Engpässe und Kapazitätsgrenzen hinsichtlich der Erfüllbarkeit von steigenden Informations- und Meldeverpflichtungen. Integrative Verfahrenslösungen sind daher unverzichtbar.

IT-Fachberater

Durchweg bewährt hat sich die intensive Einbindung interner und externer Expertise in die Arbeit der Krisenstäbe. Insbesondere hat sich gezeigt, dass IT-Fachberater zumindest zeitweise in die Krisenstabsarbeit einbezogen werden müssen. In einigen Fällen hat sich die vorhandene Infrastruktur für einen erweiterten Krisenstab als unzureichend erwiesen.

Gesamtstaatliches Informationsmanagement, Cyber-AZ

Im Bereich des Informationsmanagements bei IT-Krisen kommt dem Bundesamt für die Sicherheit der Informationssicherheit (BSI) eine zentrale Rolle zu. Die Übung hat gezeigt, dass die Rolle des BSI als Informationsknoten im Bereich der IT-Sicherheit für Bund, Länder und Wirtschaft gestärkt werden muss. Da diese Rolle im Bereich des allgemeinen Krisenmanagements u. a. dem Gemeinsamen Melde- und Lagezentrum (GMLZ) beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zukommt, hat sich ein Abstimmungsbedarf zwischen BSI (IT-Lagezentrum) und dem BBK (GMLZ) ergeben. Für den Informationsaustausch im Krisenfall zwischen dem öffentlichen und privaten Bereich wurde ferner erkannt, dass einige Berichtsformate (z. B. Berichte des GMLZ) – wenigstens im Ereignisfall – auch an Schlüsselunternehmen weitergegeben werden sollten. Bewährt haben sich sogenannte Single points of contact in den Sektoren der Wirtschaft, die in der Lage sind, Informationen in beide Richtungen zielgerichtet und zeitgerecht zu steuern.

Das im April 2011 neu eingerichtete Cyber-Abwehrzentrum (Cyber-AZ) hat im Verlauf der Übung in Vollbesetzung getagt und seine Aufgabe als Informationsdrehscheibe zwischen den beteiligten Behörden angenommen. Das Cyber-AZ sollte entsprechend dem wachsenden Problemdruck zügig ausgebaut und seine Möglichkeiten zur strategischen Lagebewertung fortentwickelt werden, um so die Krisenstäbe in die Lage zu versetzen, „vor die Lage“ zu kommen.

Krisenkommunikation und Nutzung von Web 2.0

Wie bei bisher allen LÜKEX-Übungen bildete die Einübung einer abgestimmten Krisenkommunikation einen Schwerpunkt der Übung LÜKEX 11. Erstmals waren durch Angriffe auf Webseiten (sogenannte Webdefacements) die Arbeitsmittel der Krisenkommunikation unmittelbar betroffen. Es zeigte sich im Verlauf der Übungsdurchführung, dass Krisenkommunikation von der Verfügbarkeit und Integrität der Kommunikationsmittel und -wege abhängig ist. Die Krisenstäbe reagierten darauf entweder durch eine intensivere Bedienung anderer Kommunikationskanäle oder die Abschaltung kontaminierter Medien. Erstmals wurde im Verlauf des Übungszyklus der Blick auf die Online-Medien (Soziale Netzwerke, Web 2.0) gelenkt. In moderatem Umfang wurden auch fiktive Medien im Rahmen der Mediensimulation an den beiden Übungstagen (Twitter-Meldungen auf „Lüki-Tweet“ und Datenabfluss analog Wikileaks auf „Lüki-Leck“) eingesetzt. Das Ziel der Sensibilisierung der Krisenstäbe für die Chancen und Risiken der Neuen Medien im Rahmen des strategischen Krisenmanagements konnte auf diese Weise erreicht werden. In den Krisenstabssitzungen führte dies zu Überlegungen über neue Kommunikationsstrategien in Krisenlagen. In den Diskussionen waren Nutzen oder Nutzbarkeit dieser Neuen Medien nicht unumstritten (Verifikation der Meldungen, Verfügbarkeit der Systeme). Allgemein wurde erkannt, dass die bestehenden Presse- und Medienstrukturen der Krisenstäbe derzeit nicht auf eine Nutzung der Sozialen Netzwerke für das Krisenmanagement vorbereitet sind. Deutlich wurde indessen, dass dem Dialog mit der Bevölkerung bei den Krisenstäben ein wachsender Stellenwert eingeräumt wird.

Nachhaltigkeit in Bezug auf Handlungs­empfehlungen aus LÜKEX-Übungen

Im Zuge der Übungsauswertung wurde die berechtigte Kritik laut, dass es an einem nachhaltigen Konzept zur Umsetzung der vielfältigen Handlungsempfehlungen, mit denen LÜKEX-Übungen üblicherweise abschließen, fehle. Notwendig sei, so die Forderung, eine Überprüfung des Erreichten in einem geeigneten zeitlichen Abstand zur Übung. Es frage sich nämlich, inwieweit festgestellte Schwachstellen beseitigt und Empfehlungen zur Fortentwicklung des gesamtstaatlichen Krisenmanagements beherzigt worden seien. Richtigerweise sollte der Gedanke der Nachhaltigkeit daher zukünftig eine größere Rolle spielen. Fraglich ist indessen, wie eine Nachhaltigkeitsstrategie zu LÜKEX im Einzelnen aussehen und eine wechselseitige Evaluierung konkret und besser organisiert werden kann. Da die Zuständigkeiten für die Umsetzung der LÜKEX-Handlungsempfehlungen ebenso breit gestreut sind wie die Übungsbeteiligten selbst, obliegt die Umsetzung der Empfehlungen zunächst jedem Übungsbeteiligten selbst. Über Kabinetts- und Vorstandsbeschlüsse kann hier der notwendige Druck entfaltet werden, der sich sodann kaskadierend nach unten fortsetzen sollte, um die nötige Krisenvorsorge ins Werk zu setzen.

Fazit

LÜKEX 11 lieferte wertvolle Beiträge und Impulse zur Fortentwicklung der IT-Sicherheit in Deutschland. Es hat sich gezeigt, dass sich ein gesamtstaatlicher Strukturansatz, der nicht nur Bund und Länder integriert, sondern sich zudem auf die Potentiale der KRITIS-Betreiber besinnt, auszahlt. Die neuen Bedrohungen aus dem weltweiten Netz (Hacktivismus, Cyber-Crime, Cyber-War etc.) übersteigen alles Bekannte. Umso mehr ist übergreifendes Denken und Handeln und sind übergreifende Strukturen zur gezielten Gefahrenabwehr erforderlich. Wie wirksam und zeitgemäß übergreifende Governance-Strategien sind, hat die Übung LÜKEX 11 am Beispiel des angestrebten „VerwaltungsCERT-Verbunds“ sehr anschaulich machen können. Wenn Deutschland demnächst über einen IT-Informationsverbund dieser Art als Frühwarnsystem verfügen wird, repräsentiert dies nicht nur einen Meilenstein im Bereich der IT-Sicherheit, sondern zugleich einen Beleg für die Wirksamkeit strategischer Übungen.

Ausblick

Nach der Übung ist indessen vor der Übung. Ganz in diesem Sinne ist die Projektgruppe LÜKEX des Bundes bereits mit völlig anders gearteten Gefahren für die Bevölkerung befasst. Der neue, aktuelle Übungszyklus, LÜKEX 13, hat das Thema „Außergewöhnliche biologische Bedrohungslagen“.

Autoren:
Botho von Schrenk, Norbert Reez

Anschrift des Verfassers:
Botho von Schrenk
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
Akademie für Krisenmanagement, Notfallplanung und Zivilschutz (AKNZ)
Lehrbereich IV.6
Postfach 15 20
53460 Bad Neuenahr-Ahrweiler
E-Mail: botho.vonschrenk@bbk.bund.de

Botho von Schrenk
geb. am 11. März 1962 in Bonn-Bad Godesberg

  • Studium der Sicherheitstechnik an der Bergischen Universität Wuppertal mit Schwerpunkt Brand- und Explosionsschutz
  • Selbstständiger und Angestellter in Fachgebieten des Brandschutzes, dem Einsatz von Explosivstoffen sowie der Waldbrandbekämpfung
  • Seit 2005: Referent im Lehrbereich IV.6 „Ressort- und länderübergreifende Krisenmanagementübungen, LÜKEX“ an der Akademie für Krisenmanagement, Notfallplanung und Zivilschutz sowie in der Projektgruppe LÜKEX