LÜKEX 23: Bund und Länder hatten gemeinsam fiktiven Hacker-Angriff zu bewältigen

Am 27. und 28. September 2023 fand die 9. Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX 23) statt

[datensicherheit.de, 29.09.2023] Am 27. und 28. September 2023 fand nach Angaben der Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX 23) statt. Das BBK hat demnach diese Übung koordiniert und wurde bereits bei der Vorbereitung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich unterstützt. Das Szenario 2023 laut BBK: Die an der Übung beteiligte Bundes- und Landesbehörden sahen sich im Rahmen des fiktiven Szenarios eines Cyber-Angriffs auf das Regierungshandeln mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert. „Sie trainierten anhand dessen nicht nur ihre eigenen Krisenmanagementstrukturen, sondern tauschten sich übergreifend mit anderen Übungsbeteiligten beispielsweise über die sich verschärfende Lageentwicklung aus oder erarbeiteten aufeinander abgestimmte Kommunikationsstrategien.“ Erstmals in der fast 20-jährigen Geschichte der Übungsreihe LÜKEX seien alle Bundesländer beteiligt gewesen.

Rund 2.500 Teilnehmer am Stresstest der LÜKEX 23

„Über 60 Akteure aus Bund, Ländern sowie weiteren Organisationen und damit insgesamt rund 2.500 Personen haben teilgenommen und sich auf diesen Stresstest eingelassen“, berichtet der BBK-Präsident, Ralph Tiesler, in seiner aktuellen Stellungnahme. Das sei eine Rekordbeteiligung und ein großer Erfolg. Er selbst sei Teil des im Bundesministerium des Innern und für Heimat (BMI) eingerichteten Krisenstabs gewesen und habe sich unmittelbar in die Krisenbewältigung einbringen können.

Tiesler führt weiter aus: „Nicht nur meine Eindrücke sind noch sehr frisch und nach den intensiven Übungstagen werden wir nun die bisherigen Planungen und Umsetzungen gründlich analysieren und auswerten.“ Die bei der LÜKEX 23 gewonnenen Erkenntnisse sollten dazu beitragen, „dass Bund und Länder auch bei zukünftigen Herausforderungen handlungsfähig bleiben“. Er appelliert: „Wir wollen die Impulse nutzen, das ressortübergreifende Krisenmanagement gezielt weiterzuentwickeln.“

Auswertungsphase und Prozess zur Sicherung der Nachhaltigkeit der LÜKEX 23 gestartet

Das BBK koordiniere nun zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen. Bereits während der Planung, Vorbereitung und vor allem bei der Erarbeitung des Drehbuchs seien erste Erkenntnisse gewonnen und dokumentiert worden. Schon jetzt zeige sich, „dass die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden konnten“.

„Die zentralen Lehren werden nun in einem Auswertungsbericht zusammengefasst.“ Das BBK werde im kommenden Jahr (2024) zudem einen Auswertungsworkshop ausrichten, um sich über konkrete Umsetzungsschritte nach der LÜKEX 23 auszutauschen. Damit sollten die gewonnenen Erkenntnisse nachhaltig das Krisenmanagement weiter stärken.

Beteiligte der LÜKEX 23 unter anderem mit Problemen bei der Wasser- und Stromversorgung konfrontiert

Zentrales Ziel der Übung sei die Aufrechterhaltung der Staats- und Regierungsfunktionen vor dem Hintergrund eines Cyber-Angriffs durch eine Hacker-Gruppierung gewesen. Wichtige staatliche Aufgaben seien dabei einem Stresstest unterzogen worden. Dabei sei deutlich geworden, dass die Aufrechterhaltung unterschiedlicher Funktionen durch wesentliche Faktoren erschwert werde – darunter die hohe Abhängigkeit kritischer Verwaltungsprozesse von Informationstechnik und die Gefahr der schnellen Ausbreitung einer IT-Krise.

So hätten sich die Beteiligten unter anderem mit Problemen bei der Wasser- und Stromversorgung auseinandersetzen müssen und seien wie in echten Krisen damit konfrontiert gewesen, unter Unsicherheit und hohem Druck Entscheidungen treffen zu müssen. Geübt worden sei dabei auch der Umgang mit Desinformation oder die Reaktion auf Drohvideos der Angreifer-Gruppierung.

Übungsreihe LÜKEX soll komplexe Herausforderungen des 21. Jahrhunderts meistern helfen

Vor dem Hintergrund des fiktiven Hacker-Angriffs sei deutlich geworden, „dass Krisen der Gegenwart immer komplexer werden und nur durch routiniertes und geschlossenes Handeln gemeistert werden können“.

Dafür müssen sich alle beteiligten Organisationen laut BBK ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen. Im Rahmen der Übungsserie LÜKEX würden seit Jahren bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2023
LÜKEX 23: Simulierter Angriff auf das Regierungshandeln / Am 27. und 28. September 2023 findet die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX) statt

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln