Das Drehbuch für die Krisenmanagement-Übung hat einen Computerwurm vorgesehen, den man sich als Mischung zwischen Stuxnet und Conficker vorstellen kann. Über die Urheber ist nichts bekannt. Antiviren-Software erkennt ihn nicht. Er nutzt alle möglichen Verbreitungswege und hat jede Menge Schadfunktionen, verschlüsselt Festplatten, vertauscht Datensätze und installiert sich als Bot. Um die Epidemie einzudämmen, müssen Netze heruntergefahren werden. Web und E-Mail fallen aus. Beamte und Angestellte greifen zu Telefon und Fax. Und die Bürger stellen fest, dass nichts mehr funktioniert, wie gewohnt.
"Es werden Zugangskontrollsysteme beispielsweise angegriffen auf Flughäfen. Und im Bankensektor kommt es zu Fehlbuchungen. Oder aber bei Polizei und Feuerwehr sind Einsatzleitsysteme zum Beispiel kompromittiert."
So Norbert Reez vom Bundesamt für Bevölkerungs- und Katastrophenschutz, quasi der Chefdramaturg der Lükex. Besonders abgesehen hat es sein digitaler Hauptdarsteller auf die Geldversorgung. Das Online-Banking und Geldautomaten fallen aus. Und staatliche Transferzahlungen geraten ins Stocken.
"Ein denkbarer Angiffsvektor oder eine Angriffsvariante, die wir auch berücksichtigen, ist zum Beispiel ein Angriff auf ein Auszahlungssystem, so dass beispielsweise Elterngeld nicht rechtzeitig ausgezahlt wird. Das wiederum hat zur Folge, dass die Bürger sich beschweren und ein entsprechender Mediendruck in den Stäben entsteht, so dass die Pressereferate dann aufgefordert sind, Presseerklärungen und Statements abzugeben, wo denn die Ursachen liegen und was denn der Staat und was die betroffenen Unternehmen zu tun gedenken."
Dementsprechend liegt denn auch ein Schwerpunkt einer jeden Lükex – auch bei den vorangegangenen zu Nicht-IT-Themen war das so – auf der Öffentlichkeitsarbeit. Für die Übung werden einige Journalisten eingekauft, die die Reaktion der Presse auf den Krisenverlauf simulieren, indem sie Nachrichtensendungen produzieren und Zeitungsartikel schreiben. Neu ist in diesem Jahr, dass über den Verlauf der geprobten Krise auch gebloggt und getwittert worden ist. So etwas sei wichtig für den realistischen Ablauf eines Manövers, sagt Norbert Reez.
"Es gibt nämlich so etwas – und das zeigt die Notwendigkeit auch von strategischen Krisenmanagementübungen – wie eine sekundäre Medienkrise. Derart, dass einfach durch fehlerhafte Statements oder unvollständige oder auch falsche Informationen im Grunde eine Beunruhigung in der Bevölkerung eintritt, die dann die Krise verschärft."
Am Mittwoch und Donnerstag dieser Woche war der Höhepunkt der aktuellen LÜKEX. Am Mittwoch ist der ominöse Computerwurm ausgebrochen, pünktlich, wie das Drehbuch es vorgesehen hat. Genauso ist er Donnerstag Abend dann wieder verschwunden. Und während dieser beiden Tage hatten die 3000 Beteiligten richtig Stress, Beamte aus vier dutzend Bundes- und Länderressorts und Angestellte aus 33 Schlüsselunternehmen. Die gesamte Übung allerdings dauert viel länger.
"Eine LÜKEX-Übung wie LÜKEX 2011 umfasst in ihrer Gesamtheit 24 Monate. Das ist auch Alleinstellungsmerkmal dieses Übungstypus. Es gibt keine vergleichbare Übung, die so lange dauert."
Von einem LÜKEX-Prozess spricht das Bundesamt für Bevölkerungs- und Katastrophenschutz denn auch. Es ist kein Test, den die Beteiligten bestehen oder bei dem sie durchfallen könnten. Vielmehr ist die Entwicklung der Übungsszenarien ein wichtiger Bestandteil des Prozesses. Währenddessen entwickeln die Beteiligten ein Bild von der Bedrohungssituation in ihrem Bereich und von den Wechselwirkungen mit anderen. Die aktuelle LÜKEX hat denn auch bereits Anfang des vergangenen Jahres begonnen, zu einer Zeit also, als ein Stuxnet noch nicht entdeckt war. Und in den kommenden Monaten wird jetzt der Verlauf der LÜKEX von Beteiligten und von Wissenschaftlern ausgewertet.
Zum Themenportal "Risiko Internet"
"Es werden Zugangskontrollsysteme beispielsweise angegriffen auf Flughäfen. Und im Bankensektor kommt es zu Fehlbuchungen. Oder aber bei Polizei und Feuerwehr sind Einsatzleitsysteme zum Beispiel kompromittiert."
So Norbert Reez vom Bundesamt für Bevölkerungs- und Katastrophenschutz, quasi der Chefdramaturg der Lükex. Besonders abgesehen hat es sein digitaler Hauptdarsteller auf die Geldversorgung. Das Online-Banking und Geldautomaten fallen aus. Und staatliche Transferzahlungen geraten ins Stocken.
"Ein denkbarer Angiffsvektor oder eine Angriffsvariante, die wir auch berücksichtigen, ist zum Beispiel ein Angriff auf ein Auszahlungssystem, so dass beispielsweise Elterngeld nicht rechtzeitig ausgezahlt wird. Das wiederum hat zur Folge, dass die Bürger sich beschweren und ein entsprechender Mediendruck in den Stäben entsteht, so dass die Pressereferate dann aufgefordert sind, Presseerklärungen und Statements abzugeben, wo denn die Ursachen liegen und was denn der Staat und was die betroffenen Unternehmen zu tun gedenken."
Dementsprechend liegt denn auch ein Schwerpunkt einer jeden Lükex – auch bei den vorangegangenen zu Nicht-IT-Themen war das so – auf der Öffentlichkeitsarbeit. Für die Übung werden einige Journalisten eingekauft, die die Reaktion der Presse auf den Krisenverlauf simulieren, indem sie Nachrichtensendungen produzieren und Zeitungsartikel schreiben. Neu ist in diesem Jahr, dass über den Verlauf der geprobten Krise auch gebloggt und getwittert worden ist. So etwas sei wichtig für den realistischen Ablauf eines Manövers, sagt Norbert Reez.
"Es gibt nämlich so etwas – und das zeigt die Notwendigkeit auch von strategischen Krisenmanagementübungen – wie eine sekundäre Medienkrise. Derart, dass einfach durch fehlerhafte Statements oder unvollständige oder auch falsche Informationen im Grunde eine Beunruhigung in der Bevölkerung eintritt, die dann die Krise verschärft."
Am Mittwoch und Donnerstag dieser Woche war der Höhepunkt der aktuellen LÜKEX. Am Mittwoch ist der ominöse Computerwurm ausgebrochen, pünktlich, wie das Drehbuch es vorgesehen hat. Genauso ist er Donnerstag Abend dann wieder verschwunden. Und während dieser beiden Tage hatten die 3000 Beteiligten richtig Stress, Beamte aus vier dutzend Bundes- und Länderressorts und Angestellte aus 33 Schlüsselunternehmen. Die gesamte Übung allerdings dauert viel länger.
"Eine LÜKEX-Übung wie LÜKEX 2011 umfasst in ihrer Gesamtheit 24 Monate. Das ist auch Alleinstellungsmerkmal dieses Übungstypus. Es gibt keine vergleichbare Übung, die so lange dauert."
Von einem LÜKEX-Prozess spricht das Bundesamt für Bevölkerungs- und Katastrophenschutz denn auch. Es ist kein Test, den die Beteiligten bestehen oder bei dem sie durchfallen könnten. Vielmehr ist die Entwicklung der Übungsszenarien ein wichtiger Bestandteil des Prozesses. Währenddessen entwickeln die Beteiligten ein Bild von der Bedrohungssituation in ihrem Bereich und von den Wechselwirkungen mit anderen. Die aktuelle LÜKEX hat denn auch bereits Anfang des vergangenen Jahres begonnen, zu einer Zeit also, als ein Stuxnet noch nicht entdeckt war. Und in den kommenden Monaten wird jetzt der Verlauf der LÜKEX von Beteiligten und von Wissenschaftlern ausgewertet.
Zum Themenportal "Risiko Internet"