05.12.2011, 00:00 Uhr
LÜKEX 2011: Vorbereitung auf den Cyberkrieg
Auf der diesjährigen LÜKEX 2011 wurde eine länderübergreifende Übung durchgespielt, um den Ernstfall zu erproben. Allerdings steht das Szenario bereits als realitätsfern in Kritik. Proben für den Ernstfall: Das ist das Motto der LÜKEX 2011 (?länderübergreifende Krisenmanagementübung/EXercise?), die vom 30.11.2011 bis zum 01.12.2011 in Deutschland stattfand. Diesmal stand die Simulation von Netzangriffen auf die deutsche Infrastruktur auf der Agenda des Netz-Krisenmanagements.
In der Auftaktmeldung des BMI heisst es, es solle der Ernstfall erprobt werden. Geleitet wird diese Übung vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei sollen die Bundesländer Hamburg, Niedersachsen, Sachsen, Thüringen und Hessen in der Rolle als Kernübungsländer ihr Krisenmanagement vorführen. 18 Monate lang entwickelte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) das Angriffsszenario auf die IT-Infrastruktur. Mit im Boot sind mehr als 3000 Teilnehmer, unter anderem aus dem Bankwesen, von Flughäfen und aus dem Telekommunikationssektor. Auch die Krisenstäbe des Verfassungsschutzes, des Bundesnachrichtendienstes und der Bundespolizei sind vertreten.
Der Leiter von LÜKEX 2011 Unger erklärt, dass die Krisenmanagement-Übung ausschliesslich auf dem grünen Tisch stattfindet, da es darum geht, wie die einzelnen Organisationen und die jeweiligen Länder auf einen simulierten Cyberangriff reagieren und wie die Zusammenarbeit dann funktioniert. Ziel ist es, eine Cyber-Abwehrstrategie zu entwickeln, um für eventuell künftige Angriffe auf kritische Infrastruktur gerüstet zu sein. Unger erklärt, dass der Staat alleine nicht mehr in der Lage sei, im IT-Bereich für ausreichend Sicherheit zu sorgen. Nur durch gezielte Zusammenarbeit aller Organisationen, Ämter, Ministerien und Privatunternehmen sei langfristig ein angemessener Schutz gewährleistet.
Der Technik- und Sicherheitsforscher der Freien Universität Berlin, Sandro Gaycken bezweifelt laut tagesschau.de, dass LÜKEX 2011 relevante Erkenntnisse für den Ernstfall bringen werde. Datenströme könnten durch Militäroperationen sehr viel gezielter gestört werden. Deswegen sei diese Krisenmanagement-Übung nicht realistisch und für den Ernstfall nur wenig relevant. Die Gefahr durch Einzeltäter sieht Gaycken hingegen nicht. Diese sind seiner Einschätzung nach nicht in der Lage, staatliche Organisationen oder grosse Unternehmen durch Cyber-Angriffe in Gefahr zu bringen. Dies könne nur durch eine breit organisierte Gruppe oder durch einen staatlichen Nachrichtendienst erfolgen.
Auch kritisiert er, die Einfachheit der einzelnen Szenarien, die bei LÜKEX 2011 durchgespielt werden, um am Ende Erfolg suggerieren zu können. Um Erkenntnisse zu erlangen, müsste aber der Worst Case durchgespielt werden.
Um keine Nachahmungstätern zu animieren, werden die Details des inszenierten Cyberangriffs vorerst geheim gehalten. Ergebnisse sind ohnehin erst in einigen Monaten zu erwarten, nachdem IT-Spezialisten eine Auswertung vorgenommen haben. Bundesinnenminister Dr. Hans-Peter Friedrich zieht aber schon einmal eine positive Bilanz: ?Die diesjährige Übung hat das Bewusstsein für IT-Abhängigkeiten und Bedrohungen sowie die Notwendigkeit kontinuierlicher Übungstätigkeit weiter geschärft. Widerstandsfähige Infrastrukturen und ein sicheres, verfügbares, intaktes und vertrauliches Internet sind eine Lebensader unserer vernetzten Welt. [...] Die LÜKEX 2011 hat gezeigt, dass nationale IT- Bedrohungs- und Gefahrenlagen, wie in anderen Bereichen der Gefahrenabwehr auch, nur im Verbund der Beteiligten erfolgreich abgewehrt werden können. Hier sehe ich in der Bund-Länder-Kooperation, z.B. durch den landesweiten Aufbau von Computer-Notfallteams (CERTs) bei den Akteuren Verbesserungspotential.? (ph/com!)
In der Auftaktmeldung des BMI heisst es, es solle der Ernstfall erprobt werden. Geleitet wird diese Übung vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei sollen die Bundesländer Hamburg, Niedersachsen, Sachsen, Thüringen und Hessen in der Rolle als Kernübungsländer ihr Krisenmanagement vorführen. 18 Monate lang entwickelte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) das Angriffsszenario auf die IT-Infrastruktur. Mit im Boot sind mehr als 3000 Teilnehmer, unter anderem aus dem Bankwesen, von Flughäfen und aus dem Telekommunikationssektor. Auch die Krisenstäbe des Verfassungsschutzes, des Bundesnachrichtendienstes und der Bundespolizei sind vertreten.
Der Leiter von LÜKEX 2011 Unger erklärt, dass die Krisenmanagement-Übung ausschliesslich auf dem grünen Tisch stattfindet, da es darum geht, wie die einzelnen Organisationen und die jeweiligen Länder auf einen simulierten Cyberangriff reagieren und wie die Zusammenarbeit dann funktioniert. Ziel ist es, eine Cyber-Abwehrstrategie zu entwickeln, um für eventuell künftige Angriffe auf kritische Infrastruktur gerüstet zu sein. Unger erklärt, dass der Staat alleine nicht mehr in der Lage sei, im IT-Bereich für ausreichend Sicherheit zu sorgen. Nur durch gezielte Zusammenarbeit aller Organisationen, Ämter, Ministerien und Privatunternehmen sei langfristig ein angemessener Schutz gewährleistet.
Der Technik- und Sicherheitsforscher der Freien Universität Berlin, Sandro Gaycken bezweifelt laut tagesschau.de, dass LÜKEX 2011 relevante Erkenntnisse für den Ernstfall bringen werde. Datenströme könnten durch Militäroperationen sehr viel gezielter gestört werden. Deswegen sei diese Krisenmanagement-Übung nicht realistisch und für den Ernstfall nur wenig relevant. Die Gefahr durch Einzeltäter sieht Gaycken hingegen nicht. Diese sind seiner Einschätzung nach nicht in der Lage, staatliche Organisationen oder grosse Unternehmen durch Cyber-Angriffe in Gefahr zu bringen. Dies könne nur durch eine breit organisierte Gruppe oder durch einen staatlichen Nachrichtendienst erfolgen.
Auch kritisiert er, die Einfachheit der einzelnen Szenarien, die bei LÜKEX 2011 durchgespielt werden, um am Ende Erfolg suggerieren zu können. Um Erkenntnisse zu erlangen, müsste aber der Worst Case durchgespielt werden.
Um keine Nachahmungstätern zu animieren, werden die Details des inszenierten Cyberangriffs vorerst geheim gehalten. Ergebnisse sind ohnehin erst in einigen Monaten zu erwarten, nachdem IT-Spezialisten eine Auswertung vorgenommen haben. Bundesinnenminister Dr. Hans-Peter Friedrich zieht aber schon einmal eine positive Bilanz: ?Die diesjährige Übung hat das Bewusstsein für IT-Abhängigkeiten und Bedrohungen sowie die Notwendigkeit kontinuierlicher Übungstätigkeit weiter geschärft. Widerstandsfähige Infrastrukturen und ein sicheres, verfügbares, intaktes und vertrauliches Internet sind eine Lebensader unserer vernetzten Welt. [...] Die LÜKEX 2011 hat gezeigt, dass nationale IT- Bedrohungs- und Gefahrenlagen, wie in anderen Bereichen der Gefahrenabwehr auch, nur im Verbund der Beteiligten erfolgreich abgewehrt werden können. Hier sehe ich in der Bund-Länder-Kooperation, z.B. durch den landesweiten Aufbau von Computer-Notfallteams (CERTs) bei den Akteuren Verbesserungspotential.? (ph/com!)
