[datensicherheit.de, 29.09.2023] Am 27. und 28. September 2023 fand nach Angaben der Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX 23) statt. Das BBK hat demnach diese Übung koordiniert und wurde bereits bei der Vorbereitung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich unterstützt. Das Szenario 2023 laut BBK: Die an der Übung beteiligte Bundes- und Landesbehörden sahen sich im Rahmen des fiktiven Szenarios eines Cyber-Angriffs auf das Regierungshandeln mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert. „Sie trainierten anhand dessen nicht nur ihre eigenen Krisenmanagementstrukturen, sondern tauschten sich übergreifend mit anderen Übungsbeteiligten beispielsweise über die sich verschärfende Lageentwicklung aus oder erarbeiteten aufeinander abgestimmte Kommunikationsstrategien.“ Erstmals in der fast 20-jährigen Geschichte der Übungsreihe LÜKEX seien alle Bundesländer beteiligt gewesen.

Rund 2.500 Teilnehmer am Stresstest der LÜKEX 23

„Über 60 Akteure aus Bund, Ländern sowie weiteren Organisationen und damit insgesamt rund 2.500 Personen haben teilgenommen und sich auf diesen Stresstest eingelassen“, berichtet der BBK-Präsident, Ralph Tiesler, in seiner aktuellen Stellungnahme. Das sei eine Rekordbeteiligung und ein großer Erfolg. Er selbst sei Teil des im Bundesministerium des Innern und für Heimat (BMI) eingerichteten Krisenstabs gewesen und habe sich unmittelbar in die Krisenbewältigung einbringen können.

Tiesler führt weiter aus: „Nicht nur meine Eindrücke sind noch sehr frisch und nach den intensiven Übungstagen werden wir nun die bisherigen Planungen und Umsetzungen gründlich analysieren und auswerten.“ Die bei der LÜKEX 23 gewonnenen Erkenntnisse sollten dazu beitragen, „dass Bund und Länder auch bei zukünftigen Herausforderungen handlungsfähig bleiben“. Er appelliert: „Wir wollen die Impulse nutzen, das ressortübergreifende Krisenmanagement gezielt weiterzuentwickeln.“

Auswertungsphase und Prozess zur Sicherung der Nachhaltigkeit der LÜKEX 23 gestartet

Das BBK koordiniere nun zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen. Bereits während der Planung, Vorbereitung und vor allem bei der Erarbeitung des Drehbuchs seien erste Erkenntnisse gewonnen und dokumentiert worden. Schon jetzt zeige sich, „dass die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden konnten“.

„Die zentralen Lehren werden nun in einem Auswertungsbericht zusammengefasst.“ Das BBK werde im kommenden Jahr (2024) zudem einen Auswertungsworkshop ausrichten, um sich über konkrete Umsetzungsschritte nach der LÜKEX 23 auszutauschen. Damit sollten die gewonnenen Erkenntnisse nachhaltig das Krisenmanagement weiter stärken.

Beteiligte der LÜKEX 23 unter anderem mit Problemen bei der Wasser- und Stromversorgung konfrontiert

Zentrales Ziel der Übung sei die Aufrechterhaltung der Staats- und Regierungsfunktionen vor dem Hintergrund eines Cyber-Angriffs durch eine Hacker-Gruppierung gewesen. Wichtige staatliche Aufgaben seien dabei einem Stresstest unterzogen worden. Dabei sei deutlich geworden, dass die Aufrechterhaltung unterschiedlicher Funktionen durch wesentliche Faktoren erschwert werde – darunter die hohe Abhängigkeit kritischer Verwaltungsprozesse von Informationstechnik und die Gefahr der schnellen Ausbreitung einer IT-Krise.

So hätten sich die Beteiligten unter anderem mit Problemen bei der Wasser- und Stromversorgung auseinandersetzen müssen und seien wie in echten Krisen damit konfrontiert gewesen, unter Unsicherheit und hohem Druck Entscheidungen treffen zu müssen. Geübt worden sei dabei auch der Umgang mit Desinformation oder die Reaktion auf Drohvideos der Angreifer-Gruppierung.

Übungsreihe LÜKEX soll komplexe Herausforderungen des 21. Jahrhunderts meistern helfen

Vor dem Hintergrund des fiktiven Hacker-Angriffs sei deutlich geworden, „dass Krisen der Gegenwart immer komplexer werden und nur durch routiniertes und geschlossenes Handeln gemeistert werden können“.

Dafür müssen sich alle beteiligten Organisationen laut BBK ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen. Im Rahmen der Übungsserie LÜKEX würden seit Jahren bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2023
LÜKEX 23: Simulierter Angriff auf das Regierungshandeln / Am 27. und 28. September 2023 findet die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX) statt

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln

[datensicherheit.de, 26.09.2023] Am 27. und 28. September 2023 soll die neunte „Länder- und Ressortübergreifende Krisenmanagementübung“ (LÜKEX 23) stattfinden – nach Angaben des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden Bund und Länder einen simulierten Angriff auf das Regierungshandeln üben, um auf den Ernstfall vorbereitet zu sein.

LÜKEX 23 als simulierter Stresstest für die übenden Organisationen

Bei LÜKEX 23 handelt sich demnach um einen simulierten Stresstest für die übenden Organisationen. „Das zugespitzte Übungsszenario sieht Angriffe auf das Regierungshandeln vor, die sich auch auf zahlreiche Behörden des Bundes und der Länder sowie weitere Institutionen auswirken.“

Auslöser der fiktiven Krise sei ein massiver Cyber-Angriff, dessen Auswirkungen sich im Übungsverlauf verschärfen und durch eine Medienkampagne einer Angreifer-Gruppierung begleitet würden.

Insgesamt seien über 60 Akteure an der LÜKEX 23 mit unterschiedlichen Intensitäten beteiligt, darunter zum ersten Mal in der nahezu 20-jährigen Geschichte der LÜKEX alle Bundesländer.

Planung, Vorbereitung, Durchführung und Auswertung der LÜKEX 23 durch das BBK

„Wir freuen uns sehr über die große Beteiligung. Das intensive Üben ist Teil der staatlichen Krisenvorsorge und wird das ressortübergreifende Krisenmanagement auf allen Ebenen verbessern“, so der BBK-Präsident, Ralph Tiesler. Zwar seien die Bürger nicht unmittelbar beteiligt, jedoch sei ein resilienter Staat Voraussetzung für eine gesamtgesellschaftliche Resilienz.

Für die Planung, Vorbereitung, Durchführung und Auswertung der LÜKEX 23 ist nach eigenen Angaben das BBK zuständig. Aufgrund der Übungsthematik sei eine enge fachliche Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt.

Das Szenario der LÜKEX 23 sieht laut BBK vor, dass die an der Übung beteiligten Bundes- und Landesbehörden mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert werden. Auf diesen „Ernstfall“ hätten sich zahlreiche Behörden des Bundes und der Länder seit Monaten vorbereitet, ohne Details des Übungsverlaufs zu kennen. Hierzu seien unter anderem bereits Abläufe zur Einrichtung von Krisenstäben überprüft, Alarmierungsverfahren getestet und die (Krisen-)Kommunikation untereinander verfeinert worden.

Strategisches Krisenmanagement bei der LÜKEX 23 durch simulierten Ernstfall vor großer Herausforderung

Zu den gemeinsamen Übungszielen zählten die Aufrechterhaltung der Staats- und Regierungsfunktionen, die übergreifende Zusammenarbeit im nationalen Krisenmanagement sowie die Abstimmung einer gemeinsamen Kommunikationsstrategie. Anders als bei einer Katastrophenschutz-Übung, in der taktische Einheiten vor Ort Einsatzabläufe praktisch erprobten, sei in der LÜKEX das strategische Krisenmanagement gefordert.

Tiesler erläutert: „Wir greifen in der LÜKEX 23 eine für die öffentliche Verwaltung ernstzunehmende Bedrohung auf. Das strategische Krisenmanagement von Bund und Ländern wird diese Woche in der LÜKEX 23 in einem simulierten Ernstfall vor große Herausforderungen gestellt. Wir wollen Schwächen identifizieren und daraus lernen.“ Der BBK-Präsident zeigt sich überzeugt, dass das intensive Üben und die lange Vorbereitung darauf einen nachhaltigen Trainingseffekt haben und Netzwerke entstehen lässt, die auch über die Übung hinaus wirken. „Das alles macht uns als Staat resilienter für eine echte Krise.“

Das BBK werde im Anschluss an die Übung die gemeinsame Auswertung mit allen übenden Stellen koordinieren. So sollen Handlungsempfehlungen entwickelt werden, welche zur Verbesserung des strategischen und ressortübergreifenden Krisenmanagements beitragen.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln