[datensicherheit.de, 07.06.2024] Wie der Staat bei einem großangelegten Cyber-Angriff auf seine Institutionen handlungsfähig bleibt, stand im Fokus der bundesweiten Übung „LÜKEX“ im Herbst 2023 – über 60 Ministerien, Behörden und weitere Beteiligte haben demnach die Aufrechthaltung der Staats- und Regierungsfunktionen trainiert. Darauf aufbauende Erkenntnisse für die gemeinsame Krisenbewältigung hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in einem Auswertungsbericht der „LÜKEX 23“ publiziert.

Foto: BBK

Das BBK hat den Auswertungsbericht zur „LÜKEX 23“ vorgelegt

BBK hatte LÜKEX 23 koordiniert und gemeinsam mit den Partnern bis ins Detail vorbereitet

Laut BBK haben Ende September 2023 in der „Länder- und Ressortübergreifenden Krisenmanagementübung / Exercise LÜKEX 23“ über 2.500 Personen von Bund, Ländern und anderen Organisationen den Ernstfall einer bundesweiten Cyber-Krise und die Auswirkungen auf die Handlungsfähigkeit des Staates geübt.

Das BBK habe diese Übung koordiniert und gemeinsam mit den Partnern bis ins Detail vorbereitet. Anhand eines fiktiven IT-Angriffs hätten die beteiligten Behörden und Organisationen trainiert, „wie sie in einer IT-Krise am besten zusammenarbeiten und untereinander kommunizieren, um gemeinsame Entscheidungen zu treffen“.

BBK koordinierte zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen

„Die Krisen der vergangenen Jahre haben uns vor Augen geführt, dass die Ebenen und ressortübergreifende Zusammenarbeit noch weiter ausgebaut werden muss – insbesondere im Ereignisfall kommt es auf ein eingespieltes Krisenmanagement an“, kommentiert BBK-Präsident Ralph Tiesler. Insofern biete die „LÜKEX“ eine ideale Möglichkeit, die eigenen Krisenmanagementstrukturen zu erproben und daraus Lehren für den Ernstfall zu ziehen.

Das BBK habe zentral die gemeinsame Auswertung der „LÜKEX 23“ mit allen übenden Stellen koordiniert. Die Auswertung der Übung habe gezeigt, dass vieles bereits gut funktioniere, zugleich aber auch weiter Prozesse gestärkt und optimiert werden müssten. Folgende Schlussfolgerungen wurden laut BBK gezogen:

• Die Behörden müssen noch vorausschauender planen und genauer festlegen, welche Prozesse und Aufgaben in einer Krise priorisiert werden.
• Die technischen Voraussetzungen zur Kommunikation von wichtigen und vertraulichen Informationen sind von großer Bedeutung und müssen bestmöglich vor Cyber-Angriffen geschützt werden.
• Damit alle Behörden und Ministerien ein möglichst genaues Lageverständnis haben und so bessere strategische Entscheidungen treffen können, benötigen sie ein gemeinsames übergreifendes Lagebild.
• Für länderübergreifende und bundesweite Krisen werden Strukturen benötigt, die dauerhaft zur Verfügung stehen, um das Krisenmanagement schnell und effektiv zwischen allen Beteiligten koordinieren zu können.
• Die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene wurden gefestigt und werden weiter ausgebaut.
• Krisen der Gegenwart werden immer komplexer und können nur durch routiniertes und entschlossenes Handeln gemeistert werden. Dafür müssen sich alle beteiligten Organisationen ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen.
• Die Übungsserie „LÜKEX“ hat sich bewährt. Seit Jahren werden bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht. Um zukünftig noch wirksamer zur Stärkung des nationalen Krisenmanagements beizutragen, muss auch die Übung selbst weiterentwickelt werden.

Die im Auswertungsbericht formulierten Handlungsempfehlungen sollen nun in der jeweiligen Verantwortung der beteiligten Stellen umgesetzt werden.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln

[datensicherheit.de, 29.09.2023] Am 27. und 28. September 2023 fand nach Angaben der Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX 23) statt. Das BBK hat demnach diese Übung koordiniert und wurde bereits bei der Vorbereitung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich unterstützt. Das Szenario 2023 laut BBK: Die an der Übung beteiligte Bundes- und Landesbehörden sahen sich im Rahmen des fiktiven Szenarios eines Cyber-Angriffs auf das Regierungshandeln mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert. „Sie trainierten anhand dessen nicht nur ihre eigenen Krisenmanagementstrukturen, sondern tauschten sich übergreifend mit anderen Übungsbeteiligten beispielsweise über die sich verschärfende Lageentwicklung aus oder erarbeiteten aufeinander abgestimmte Kommunikationsstrategien.“ Erstmals in der fast 20-jährigen Geschichte der Übungsreihe LÜKEX seien alle Bundesländer beteiligt gewesen.

Rund 2.500 Teilnehmer am Stresstest der LÜKEX 23

„Über 60 Akteure aus Bund, Ländern sowie weiteren Organisationen und damit insgesamt rund 2.500 Personen haben teilgenommen und sich auf diesen Stresstest eingelassen“, berichtet der BBK-Präsident, Ralph Tiesler, in seiner aktuellen Stellungnahme. Das sei eine Rekordbeteiligung und ein großer Erfolg. Er selbst sei Teil des im Bundesministerium des Innern und für Heimat (BMI) eingerichteten Krisenstabs gewesen und habe sich unmittelbar in die Krisenbewältigung einbringen können.

Tiesler führt weiter aus: „Nicht nur meine Eindrücke sind noch sehr frisch und nach den intensiven Übungstagen werden wir nun die bisherigen Planungen und Umsetzungen gründlich analysieren und auswerten.“ Die bei der LÜKEX 23 gewonnenen Erkenntnisse sollten dazu beitragen, „dass Bund und Länder auch bei zukünftigen Herausforderungen handlungsfähig bleiben“. Er appelliert: „Wir wollen die Impulse nutzen, das ressortübergreifende Krisenmanagement gezielt weiterzuentwickeln.“

Auswertungsphase und Prozess zur Sicherung der Nachhaltigkeit der LÜKEX 23 gestartet

Das BBK koordiniere nun zentral die gemeinsame Auswertung der LÜKEX 23 mit allen übenden Stellen. Bereits während der Planung, Vorbereitung und vor allem bei der Erarbeitung des Drehbuchs seien erste Erkenntnisse gewonnen und dokumentiert worden. Schon jetzt zeige sich, „dass die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden konnten“.

„Die zentralen Lehren werden nun in einem Auswertungsbericht zusammengefasst.“ Das BBK werde im kommenden Jahr (2024) zudem einen Auswertungsworkshop ausrichten, um sich über konkrete Umsetzungsschritte nach der LÜKEX 23 auszutauschen. Damit sollten die gewonnenen Erkenntnisse nachhaltig das Krisenmanagement weiter stärken.

Beteiligte der LÜKEX 23 unter anderem mit Problemen bei der Wasser- und Stromversorgung konfrontiert

Zentrales Ziel der Übung sei die Aufrechterhaltung der Staats- und Regierungsfunktionen vor dem Hintergrund eines Cyber-Angriffs durch eine Hacker-Gruppierung gewesen. Wichtige staatliche Aufgaben seien dabei einem Stresstest unterzogen worden. Dabei sei deutlich geworden, dass die Aufrechterhaltung unterschiedlicher Funktionen durch wesentliche Faktoren erschwert werde – darunter die hohe Abhängigkeit kritischer Verwaltungsprozesse von Informationstechnik und die Gefahr der schnellen Ausbreitung einer IT-Krise.

So hätten sich die Beteiligten unter anderem mit Problemen bei der Wasser- und Stromversorgung auseinandersetzen müssen und seien wie in echten Krisen damit konfrontiert gewesen, unter Unsicherheit und hohem Druck Entscheidungen treffen zu müssen. Geübt worden sei dabei auch der Umgang mit Desinformation oder die Reaktion auf Drohvideos der Angreifer-Gruppierung.

Übungsreihe LÜKEX soll komplexe Herausforderungen des 21. Jahrhunderts meistern helfen

Vor dem Hintergrund des fiktiven Hacker-Angriffs sei deutlich geworden, „dass Krisen der Gegenwart immer komplexer werden und nur durch routiniertes und geschlossenes Handeln gemeistert werden können“.

Dafür müssen sich alle beteiligten Organisationen laut BBK ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen. Im Rahmen der Übungsserie LÜKEX würden seit Jahren bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht.

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2023
LÜKEX 23: Simulierter Angriff auf das Regierungshandeln / Am 27. und 28. September 2023 findet die neunte Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX) statt

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln

[datensicherheit.de, 26.09.2023] Am 27. und 28. September 2023 soll die neunte „Länder- und Ressortübergreifende Krisenmanagementübung“ (LÜKEX 23) stattfinden – nach Angaben des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden Bund und Länder einen simulierten Angriff auf das Regierungshandeln üben, um auf den Ernstfall vorbereitet zu sein.

LÜKEX 23 als simulierter Stresstest für die übenden Organisationen

Bei LÜKEX 23 handelt sich demnach um einen simulierten Stresstest für die übenden Organisationen. „Das zugespitzte Übungsszenario sieht Angriffe auf das Regierungshandeln vor, die sich auch auf zahlreiche Behörden des Bundes und der Länder sowie weitere Institutionen auswirken.“

Auslöser der fiktiven Krise sei ein massiver Cyber-Angriff, dessen Auswirkungen sich im Übungsverlauf verschärfen und durch eine Medienkampagne einer Angreifer-Gruppierung begleitet würden.

Insgesamt seien über 60 Akteure an der LÜKEX 23 mit unterschiedlichen Intensitäten beteiligt, darunter zum ersten Mal in der nahezu 20-jährigen Geschichte der LÜKEX alle Bundesländer.

Planung, Vorbereitung, Durchführung und Auswertung der LÜKEX 23 durch das BBK

„Wir freuen uns sehr über die große Beteiligung. Das intensive Üben ist Teil der staatlichen Krisenvorsorge und wird das ressortübergreifende Krisenmanagement auf allen Ebenen verbessern“, so der BBK-Präsident, Ralph Tiesler. Zwar seien die Bürger nicht unmittelbar beteiligt, jedoch sei ein resilienter Staat Voraussetzung für eine gesamtgesellschaftliche Resilienz.

Für die Planung, Vorbereitung, Durchführung und Auswertung der LÜKEX 23 ist nach eigenen Angaben das BBK zuständig. Aufgrund der Übungsthematik sei eine enge fachliche Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt.

Das Szenario der LÜKEX 23 sieht laut BBK vor, dass die an der Übung beteiligten Bundes- und Landesbehörden mit massiven Störungen ihrer kritischen Geschäftsprozesse konfrontiert werden. Auf diesen „Ernstfall“ hätten sich zahlreiche Behörden des Bundes und der Länder seit Monaten vorbereitet, ohne Details des Übungsverlaufs zu kennen. Hierzu seien unter anderem bereits Abläufe zur Einrichtung von Krisenstäben überprüft, Alarmierungsverfahren getestet und die (Krisen-)Kommunikation untereinander verfeinert worden.

Strategisches Krisenmanagement bei der LÜKEX 23 durch simulierten Ernstfall vor großer Herausforderung

Zu den gemeinsamen Übungszielen zählten die Aufrechterhaltung der Staats- und Regierungsfunktionen, die übergreifende Zusammenarbeit im nationalen Krisenmanagement sowie die Abstimmung einer gemeinsamen Kommunikationsstrategie. Anders als bei einer Katastrophenschutz-Übung, in der taktische Einheiten vor Ort Einsatzabläufe praktisch erprobten, sei in der LÜKEX das strategische Krisenmanagement gefordert.

Tiesler erläutert: „Wir greifen in der LÜKEX 23 eine für die öffentliche Verwaltung ernstzunehmende Bedrohung auf. Das strategische Krisenmanagement von Bund und Ländern wird diese Woche in der LÜKEX 23 in einem simulierten Ernstfall vor große Herausforderungen gestellt. Wir wollen Schwächen identifizieren und daraus lernen.“ Der BBK-Präsident zeigt sich überzeugt, dass das intensive Üben und die lange Vorbereitung darauf einen nachhaltigen Trainingseffekt haben und Netzwerke entstehen lässt, die auch über die Übung hinaus wirken. „Das alles macht uns als Staat resilienter für eine echte Krise.“

Das BBK werde im Anschluss an die Übung die gemeinsame Auswertung mit allen übenden Stellen koordinieren. So sollen Handlungsempfehlungen entwickelt werden, welche zur Verbesserung des strategischen und ressortübergreifenden Krisenmanagements beitragen.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX 23 – Cyberangriff auf das Regierungshandeln

[datensicherheit.de, 26.01.2022] Laut einer aktuellen Meldung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) begann mit einer digitalen „Kick-off“-Veranstaltung am 25. und 26. Januar 2022 die intensive Vorbereitungsphase der „LÜKEX 22“ mit dem Szenario eines Cyber-Angriffs auf das Regierungshandeln: In dieser neunten strategischen Länder- und Ressortübergreifenden Krisenmanagementübung optimieren Bund, Länder und Betreiber Kritischer Infrastrukturen (KRITIS) demnach erneut ihre Krisenbewältigungsstrukturen. Vorbereitet, geplant, durchgeführt und ausgewertet wird die „LÜKEX“ vom BBK. Alle 16 Bundesländer sowie über 30 Bundesbehörden seien daran beteiligt. „Sie festigen dadurch gemeinsam ihre Krisenmanagementstrukturen und trainieren die ebenen- und bereichsübergreifende Zusammenarbeit zum Schutz der Bevölkerung.“ Dafür sei ein fiktives „Worst-case“-Szenario nötig, welches mit allen teilnehmenden Institutionen vor der Übung abgestimmt werde. Fachlicher Partner des BBK für die Szenario-Entwicklung sei das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Erkenntnisse aus der Corona-Pandemie flossen in die LÜKEX-22-Vorbereitung ein

In die Vorbereitung der „LÜKEX 22“ flössen Erkenntnisse aus der „Corona-Pandemie“ sowie die Entwicklung des Krisenmanagements in Deutschland ein. Nachdem die Durchführung der „LÜKEX“ aufgrund der „Corona-Pandemie“ habe verschoben werden müssen, werde sie nun am 23. und 24. November 2022 stattfinden. Danach würden die dann gewonnenen Erkenntnisse sorgfältig ausgewertet, die Ergebnisse festgehalten und darauf aufbauend Handlungsempfehlungen formuliert. „So wird gewährleistet, dass die ,LÜKEX‘ nachhaltig wirkt und konkret zu Verbesserungen des Krisenmanagements führt.“
Zudem wird die Übungsserie selbst zum Untersuchungsgegenstand – zur Weiterentwicklung der „LÜKEX“ werde ein Team des „Lehrstuhls für Wissensmanagement und Geschäftsprozessgestaltung“ der Universität der Bundeswehr München im Zuge der „Prozessanalyse KNOW“ die gesamte „LÜKEX 22“ begleiten und die Übungsanlage evaluieren.

Auch LÜKEX-22 umfasst 4 Phasen: Planung, Vorbereitung, Durchführung und Auswertung

Der Zyklus jeder „LÜKEX“ umfasse die vier Phasen Planung, Vorbereitung, Durchführung und Auswertung. In der Planungsphase werde zunächst die Thematik der Übung festgelegt. Mit der digitalen „Kick-off“-Veranstaltung der „LÜKEX 22“ beginne für die Akteure jetzt die intensive Vorbereitungsphase, in welcher die realitätsnahe Simulation genauer ausgearbeitet und in einem gemeinsamen Abstimmungsprozess sukzessive das Drehbuch erstellt werde.
Zudem könnten die Teilnehmer auf zahlreichen gemeinsamen Tagungen, Workshops und Treffen auf der Arbeitsebene wichtige Erkenntnisse zur Verbesserung des nationalen Krisenmanagements in den Themenbereichen der Übung gewinnen.

LÜKEX-22-Zielsetzung: Notfallmechanismen der Cyber-Sicherheitsstrukturen…

Im Fokus dieser Übung stünden dieses Mal die Notfallmechanismen der Cyber-Sicherheitsstrukturen und Maßnahmen zur Aufrechterhaltung der Staats- und Regierungsfunktionen. In der Übungsserie „LÜKEX“ gehe es auch immer darum, „dass ganz unterschiedliche Akteure vernetzt werden und zu einer gemeinsamen Sprache und Bewertung einer Krisenlage kommen“.
Geübte Krisenmanager müssten sich dieses Mal in die „Cyber-Welt“ hineindenken, wie auch Fachleute für IT die Bedürfnisse von Krisenstäben kennenlernten. Damit werde eine gute Grundlage für zielführende Abstimmungen und Entscheidungen in zukünftigen Notlagen gelegt.

Weitere Informationen zum Thema:

BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX Krisenübung für den Bevölkerungsschutz