CIO.de: Was hat Ihre Behörde mit Cyberkriminalität zu tun?
Christoph Unger, Präsident des BBK: Unser Ansatz ist das gemeinsame Üben von Bund und Ländern auf der strategischen Ebene. Die Entscheidungsträger der Ministerien sollen sich miteinander abstimmen. Das ist in föderalen Strukturen ja nicht immer ganz einfach. Das Thema IT-Sicherheit ist das Szenario, das wir in diesem Jahr üben.
Foto: BBk
In den vergangenen Jahren haben wir andere Szenarien, andere Inhalte und andere Lagen unter derselben Überschrift genutzt. „LÜKEX" steht für „Länderübergreifende Krisenmanagement-Übung/Exercise". Es geht dabei immer darum, die gesamtgesellschaftliche Sicherheitsvorsorge zu optimieren, indem Bund und Länder sowie verschiedene Ressorts und Behörden über alle Geschäftsbereiche hinweg zusammen üben. Es sind aber auch immer private Unternehmen dabei, etwa die Bahn, Flughäfen oder Banken. Der Staat will innerhalb dieser komplexen Strukturen auf einer hohen Ebene bestimmte Szenarien üben, um entsprechend vorbereitet zu sein. 2007 haben wir etwa eine Pandemie simuliert und dabei angenommen, dass 30 Prozent der Bevölkerung erkrankt sind.
CIO.de: Jetzt beschäftigen Sie sich mit Cyberangriffen.
Unger: Ja, in diesem Jahr sind Angriffe auf die IT-Strukturen von Behörden und Unternehmen unser Thema. Es geht uns dabei aber nicht um die Technik an sich, sondern um das, was passiert, wenn mithilfe von IT Behörden attackiert werden oder Unternehmen angriffen. Im Hinterkopf haben wir dabei die Cyber-Attacke auf die estländische Infrastruktur 2007 oder das Schadprogramm Stuxnet, ein Cyber-Angriff auf das iranische Atomprogramm.
CIO.de. Beschäftigen Sie sich auch sonst mit dem Thema?
Die Übungsserie durchzuführen, ist ein Dauerauftrag unserer Behörde. Im Bereich Cyber sind wir seit Beginn des Jahres eine der drei Trägerbehörden des Nationalen Cyberabwehrzentrums. Wir verfügen zwar im Bereich IT über keine besonderen Fähigkeiten, beschäftigen aber uns schon seit Jahren mit dem Schutz von kritischen Infrastrukturen. Bisher lag unser Fokus auf der physischen Infrastruktur: Wir arbeiten etwa eng mit der Stromwirtschaft zusammen. Jetzt ergänzen wir das mit dem Thema IT. Denn für uns ist es egal, ob der Strom ausfällt, weil Strommasten umfallen oder weil die Computer, die die Netze steuern, durch einen Angriff ausfallen. Die Auswirkungen sind ähnlich.
CIO.de: Aber bei der Übung ist alles nur Simulation?
Unger: Ja, der normale Bürger bekommt davon nichts mit. Es ist keine Übung, bei der Einsatzkräfte durch die Gegend fahren. Es ist eine „Table-Top"-Übung, die von uns aus Bonn und von unserer Akademie aus Bad Neuenahr über das Internet gesteuert wird. Die Übungsteilnehmer in den Bundesländern, den Behörden, den Unternehmen und im Krisenstab in Berlin sitzen in ihren normalen Einsatzräumen und spielen vor Ort mit. Wir werden auch tatsächlich keinen Virus in die Welt schicken oder einen Angriff mit Massen-Spam durchführen. Es gibt stattdessen ein Übungsdrehbuch mit unterschiedlichen Lageeinspielungen für alle Beteiligten. Irgendwas fällt aus, und die Beteiligten müssen darauf reagieren.
Fiktive Medien spielen eine große Rolle, auch Twitter und Facebook sind dabei
Ein ganz wichtiges Element ist dabei die Auswertung von fiktiven Medien. Wir haben extra eine besondere Tagesschausendung produzieren lassen, auf die die Stäbe reagieren müssen. Auch Zeitungen und Agenturmeldungen haben wir produziert. Es ist aber nicht so, dass an einem Flughafen wirklich irgendeine Software ausfällt.
CIO.de: Ist es besser, wenn viel schief geht oder wenn alles klappt?
Unger: Diese zwei Übungstage sind ja nur das I-Tüpfelchen eines langen Prozesse, der rund zwei Jahre umfasste. Wir hoffen insofern, dass nicht so viel schief geht, denn wir haben dafür in den vergangenen zwei Jahren sehr viel und intensiv miteinander gearbeitet. Als wir vor zwei Jahren fragten, wer mit üben wolle, stießen wir auf großes Interesse. Dann fingen die Vorbereitungen an.
Foto: Gerd Altmann / pixelio.de
Es ist ein langer Prozess. Da muss im Vorfeld etwa eine Behörde ihre Krisenmanagementstrukturen anpassen. Man überprüft die eigenen Verfahren, macht Fortbildungen und nimmt an Qualifizierungsmaßnahmen teil. Zum Beispiel zum Thema Presse- und Öffentlichkeitarbeit. Denn zunehmend treibt uns das Thema Social Media um. Wie reagiert die Bevölkerung auf Gerüchte und Informationen auf Facebook und bei Twitter? Bei der Übung prüfen wir, ob unsere dafür optimierten Strukturen stimmen. Aber natürlich wird es auch Fehler, Defizite und Mängel geben.
CIO.de: Ist das Cyber-Thema etwas Besonderes für Sie – oder läuft so eine Übung immer ähnlich ab?
Unger: Die Zielsetzung und die grundsätzlichen Regeln sind die gleichen. Es geht immer um das Krisenmanagement in föderalen Strukturen unter Beteiligung von Privaten. Im Bundesinnenministerium sitzt derselbe Krisenstab wie bei der letzten Übung im Januar 2010 – allerdings mit anderen Fachkompetenzen, die hinzugezogen werden.
Wir kommen ja aus dem „Blaulichtbereich". So eine Cyber-Übung ist deswegen auch für uns eine Herausforderung. Denn auch wir müssen ja erst einmal lernen, mit der IT-Welt klarzukommen. Das ist für uns schon schwerer als eine simulierte Sturmflut. Dafür haben wir aber kompetente Partner wie das BSI und andere, die uns unterstützt haben. In der IT reagiert man meistens ja sehr technisch, deswegen ist es uns wichtig, den Blick hier auch zu weiten.
CIO.de: Der Übungsplan ist geheim? Oder können den auch Cyberterroristen lesen?
Unger: Nein, das ist schon als vertraulich eingestuft. Deswegen gehen wir damit vorsichtig um. Das betrifft auch den Auswertungsbericht. Es wird im April 2012 eine offizielle Fassung geben, dort wird es eine grobe Darstellung geben, Konkretes legen wir aber nicht einer breiten Öffentlichkeit auf den Tisch.
Nächste Übungen: Sturmflut und Lebensmittelsicherheit
CIO.de: Wird es jetzt öfter bei Ihnen um IT gehen?
Unger: Für uns ist das im Rahmen von LÜKEX und im Auftrag des Innenministeriums in absehbarer Zeit das einzige Mal. In zwei Jahren wollen wir uns um die Lebensmittelsicherheit kümmern, danach wird es um eine simulierte Sturmflut gehen. Es sind aber alle aufgefordert, in diesem Bereich selbst oder mit unserer Unterstützung regelmäßig zu üben.
CIO.de: Wie ist das Feedback, wollten noch mehr mitmachen als sonst?
Unger: Die Beteiligung an der LÜKEX-Serie ist sowieso schon ständig gewachsen. Wir erhalten auch aus den Ländern eine immer stärkere Beteiligung. 2004 begann es mit vier Ländern, jetzt sind bis auf drei alle Bundesländer beteiligt. Die anderen müssen sich vielleicht noch von der Zusatzbelastung der letzten Übung erholen. Wir registrieren auch ein immer größeres Interesse von privater Seite, aus der Wirtschaft. Es sind dieses Mal große Unternehmen dabei, auch der Bitkom. Wir haben ein sehr großes Besucher- und Medieninteresse. Und es gibt parallel zur Übung ein Fachforum, für das sich schon 140 Besucher angemeldet haben.
CIO.de: Was ist Ihre Kernbotschaft an die Öffentlichkeit?
Unger: Mir ist wichtig zu sagen, dass LÜKEX nicht nur eine Übung ist, die an zwei Tagen stattfindet. Es ist ein System, das über zwei Jahre läuft und das verbunden ist mit vielen Veranstaltungen, Fortbildungen und Coaching-Maßnahmen. Zweimal zwölf Stunden, das wäre wirklich auch viel zu wenig.