Was tun wenn der Cyberangriff kommt?
2. Dezember 2011
Die Akademie für Krisenmanagement, Notfallplanung und Zivilschutz AKNZ gehört zu den weniger bekannten Einrichtungen des Bundes. Beschaulich in den grünen Bergen oberhalb des Ahrtales unweit von Bonn gelegen, herrschte in diesen Tagen (30.11./1.12.) in der streng bewachten Anlage hektische Betriebsamkeit. Hier wurde eine bundesweite IT-Krise simuliert.
18 Monate lang hat Norbert Reez auf diesen Tag hingearbeitet, unzählige Gespräche geführt, geplant, koordiniert und ein detailliertes Drehbuch entwickelt. Der schlanke Mittfünfziger mit den kurzen Haaren leitete die Simulation. Zwei Tage lang wurde geprobt, was passiert, wenn plötzlich bundesweit Computersysteme ausfallen, wenn vor Weihnachten Geldautomaten kein Bargeld mehr ausgeben, wenn der Zahlungsverkehr bei den Banken zusammenbricht oder wenn die Sicherheitssysteme an Flughäfen ausfallen. Im Interview mit der Deutschen Welle zeigt sich Reez stolz, dass dieses Krisenszenario bereits festgelegt wurde, noch bevor der Stuxnet-Wurm die Gefährdung kritischer Infrastrukturen durch Cyberangriffe offen gelegt hat. Denn je mehr Cyberspace und physische Welt zusammenwachsen, desto realistischer werden die Bedrohungen, gegen die sich Deutschland mit dieser Übung wappnen will.
Der Staat allein kann die Bürger nicht mehr schützen
Vom Ahrtal aus werden Krisenstäbe in ganz Deutschland in Atem gehalten. Mit immer neuen Einspielungen aus dem Übungsdrehbuch. Etwa 3000 Menschen aus rund 100 verschiedenen Istitutionen sind daran beteiligt. Dazu gehören elf Bundesressorts unter Führung des Innenministeriums, 21 Bundesbehörden, 37 Länderressorts sowie 33 Unternehmen, Betreiber von sogenannter kritischer Infrastruktur - zum Beispiel Unternehmen der Telekommunikation, des Luftverkehrs oder der Trinkwasserversorgung. Christoph Unger, Präsident des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK, hält die Beteiligung privater Unternehmen für entscheidend. Er spricht vom gesamtgesellschaftlichen Ansatz im Krisenmanagement. Denn der Staat alleine könne den Schutz der Bevölkerung nicht mehr gewährleisten.
Pandemien und "schmutzige" Bomben
Zum fünften Mal steuerte das BBK eine strategische Krisenmanagement-Übung von Bund und Ländern. Diese Übungen werden mit dem Abkürzungsungetüm LÜKEX bezeichnet. Das steht für Länderübergreifende Krisenmanagement-Übung/Exercise. Die erste LÜKEX-Übung wurde 2004 durchgeführt. Hintergrund waren die Terroranschläge vom 11. September 2001 und das Elbe-Hochwasser 2002. Im Jahr 2007 wurde eine große Grippe-Pandemie geübt; 2009 beinhaltete das Szenario terroristische Angriffe mit einer "schmutzigen" Bombe und Chemieunfälle.
Das wesentliche an den LÜKEX-Übungen: Sie proben allein die Arbeit der Krisenstäbe, also die Entscheidungsfindung bis zu den höchsten administrativen Ebenen hinauf. Es werden ausschließlich authentische Entscheidungsträger eingesetzt. Es sind keine Statisten im Einsatz; es schwitzen echte Staatsekretäre und deren Mitarbeiter, echte Vorstandsmitglieder und Presseabteilungen.
Falsche Schlagzeilen für echten Stress
Damit sie auch wirklich unter Druck geraten, werden Übungen so realistisch wie möglich angelegt. Bei der Simulation der IT-Krise zum Beispiel sitzt in der zentralen Übungssteuerung im Ahrtal eine Gruppe, die das Verhalten der Bevölkerung simuliert. Zum Beispiel durch Beiträge in einem eigens für die Übung geschaffenen sozialen Netzwerk oder durch Einspielen von Drehbucheinlagen wie die Überlastung der Telefonhotlines von Banken.
Eine weitere Gruppe simuliert die Arbeit der Presse. Ulrich Twrsnick hat gerade einen Beitrag mit der Schlagzeile "Geldautomaten-Pleite: Run auf Bargeld" verschickt. Das Team von Twrsnick stellt aber auch Tagesschau-Sendungen her oder nervt die Pressestellen der beteiligten Behörden mit unbequemen journalistischen Fragen. Obwohl nur simuliert, ist sich Twrsnick sicher, dass in den Krisenstäben das Adrenalin steigt. Denn "die arbeiten ja wirklich dem Staatssekretär zu. Und der will sich nicht blamieren."
Wie sich die verschiedenen Akteure bei der Übung verhalten, wird von wissenschaftlichen Beobachtern erfasst und anschließend vier Monate lang ausgewertet. Das Ergebnis der LÜKEX 2011 wird erst im April nächsten Jahres vorliegen. Das Team von Norbert Reez wird dann schon mit der Planung der nächsten LÜKEX beschäftigt sein. So viel ist schon bekannt: 2013 soll es um das Thema Lebensmittelsicherheit gehen.
Autor: Matthias von Hein
Redaktion: Sonila Sand