LÜKEX 2011

Der simulierte Cyberangriff

Johannes Klostermeier ist ein freier Journalist aus Berlin. Zu seinen Spezialgebieten zählen unter anderem die Bereiche Public IT, Telekommunikation und Social Media. Auf cio.de schreibt er über CIO Auf- und Aussteiger.
Zum fünften Mal startet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) die gesamtstaatliche Krisenmanagementübung „LÜKEX“. Dieses Mal geht es um den Schutz von IT-Systemen und -Strukturen gegen Angriffe von außen. BBK-Präsident Christoph Unger zu den Zielen der Übung.

CIO.de: Was hat Ihre Behörde mit Cyberkriminalität zu tun?

Christoph Unger, Präsident des BBK: Unser Ansatz ist das gemeinsame Üben von Bund und Ländern auf der strategischen Ebene. Die Entscheidungsträger der Ministerien sollen sich miteinander abstimmen. Das ist in föderalen Strukturen ja nicht immer ganz einfach. Das Thema IT-Sicherheit ist das Szenario, das wir in diesem Jahr üben.

BBK-Präsident Christoph Unger: "Bisher lag unser Fokus auf der physischen Infrastruktur."
BBK-Präsident Christoph Unger: "Bisher lag unser Fokus auf der physischen Infrastruktur."
Foto: BBk

In den vergangenen Jahren haben wir andere Szenarien, andere Inhalte und andere Lagen unter derselben Überschrift genutzt. „LÜKEX" steht für „Länderübergreifende Krisenmanagement-Übung/Exercise". Es geht dabei immer darum, die gesamtgesellschaftliche Sicherheitsvorsorge zu optimieren, indem Bund und Länder sowie verschiedene Ressorts und Behörden über alle Geschäftsbereiche hinweg zusammen üben. Es sind aber auch immer private Unternehmen dabei, etwa die Bahn, Flughäfen oder Banken. Der Staat will innerhalb dieser komplexen Strukturen auf einer hohen Ebene bestimmte Szenarien üben, um entsprechend vorbereitet zu sein. 2007 haben wir etwa eine Pandemie simuliert und dabei angenommen, dass 30 Prozent der Bevölkerung erkrankt sind.

CIO.de: Jetzt beschäftigen Sie sich mit Cyberangriffen.

Unger: Ja, in diesem Jahr sind Angriffe auf die IT-Strukturen von Behörden und Unternehmen unser Thema. Es geht uns dabei aber nicht um die Technik an sich, sondern um das, was passiert, wenn mithilfe von IT Behörden attackiert werden oder Unternehmen angriffen. Im Hinterkopf haben wir dabei die Cyber-Attacke auf die estländische Infrastruktur 2007 oder das Schadprogramm Stuxnet, ein Cyber-Angriff auf das iranische Atomprogramm.

CIO.de. Beschäftigen Sie sich auch sonst mit dem Thema?

Die Übungsserie durchzuführen, ist ein Dauerauftrag unserer Behörde. Im Bereich Cyber sind wir seit Beginn des Jahres eine der drei Trägerbehörden des Nationalen Cyberabwehrzentrums. Wir verfügen zwar im Bereich IT über keine besonderen Fähigkeiten, beschäftigen aber uns schon seit Jahren mit dem Schutz von kritischen Infrastrukturen. Bisher lag unser Fokus auf der physischen Infrastruktur: Wir arbeiten etwa eng mit der Stromwirtschaft zusammen. Jetzt ergänzen wir das mit dem Thema IT. Denn für uns ist es egal, ob der Strom ausfällt, weil Strommasten umfallen oder weil die Computer, die die Netze steuern, durch einen Angriff ausfallen. Die Auswirkungen sind ähnlich.