Cyberangriffe auf kritische Infrastruktur nehmen dramatisch zu. Während wir als Gesellschaft immer abhängiger von funktionierender IT werden, üben Behörden den Ernstfall – aber nur oberflächlich. Die LÜKEX-Übungen zeigen: Deutschland ist noch nicht bereit für den digitalen Super-GAU.
Das Szenario wird täglich wahrscheinlicher: Staatsnahe Hackergruppen aus Russland, China oder Nordkorea haben deutsche IT-Infrastruktur ins Visier genommen. Sie dringen in Systeme kritischer Infrastruktur ein, um Kommunikation lahmzulegen und das öffentliche Leben zum Erliegen zu bringen. Der umfassende Cyber-Angriff ist längst keine Frage des „ob“, sondern des „wann“.
Wie reagieren Bund, Länder und Gemeinden in einer solchen Krisensituation? Das testet die Länder- und Ressortübergreifende Krisenmanagement Übung (LÜKEX) alle zwei Jahre. Die jüngste Cyber-Übung fand 2024 statt, die nächste ist für 2026 geplant. Doch Experten kritisieren: Die Übungen kratzen nur an der Oberfläche.
Deutschland muss sich besser schützen gegen Cyberangriffe jeder Art
Bedrohungslage spitzt sich dramatisch zu
Die Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigen das ganze Ausmaß: 2025 registrierte das BSI über 2.800 Cyberangriffe auf deutsche Behörden – doppelt so viele wie noch 2022. Besonders Ransomware-Attacken haben zugenommen, bei denen Kriminelle nach erfolgreicher Infiltration alle Daten verschlüsseln und Lösegeld fordern.
Neu hinzugekommen sind sogenannte „Living-off-the-Land“-Angriffe, bei denen Hacker bereits vorhandene Systemtools nutzen, um unentdeckt zu bleiben. Diese Methoden machen klassische Virenscanner praktisch nutzlos. Gleichzeitig setzen Angreifer verstärkt auf KI-gestützte Methoden, um Sicherheitslücken automatisiert zu finden und auszunutzen.
Besonders beunruhigend: Seit 2024 häufen sich koordinierte Angriffe auf mehrere Behörden gleichzeitig – ein klares Zeichen für staatlich organisierte Cyberkriminalität.
Aktuelle Fälle zeigen die Verwundbarkeit
Die jüngsten Angriffe verdeutlichen, wie verwundbar deutsche Behörden sind. Im Juni 2025 legte eine Ransomware-Attacke die komplette IT-Infrastruktur des Landratsamts Göttingen lahm. Über drei Wochen lang konnten Bürger keine Termine vereinbaren, Anträge nicht bearbeitet werden.
Noch dramatischer war der Angriff auf das Bundesamt für Migration und Flüchtlinge (BAMF) im März 2025. Hacker verschlüsselten nicht nur interne Systeme, sondern erbeuteten auch sensible Daten von Asylbewerbern. Die Wiederherstellung dauerte zwei Monate und kostete über 15 Millionen Euro.
Gespräch mit Manuel Atug
LÜKEX übt nur Kommunikation – nicht IT-Sicherheit
Bei den LÜKEX-Übungen simulieren bis zu 1.500 Teilnehmer aus verschiedenen Behörden einen fiktiven Cyberangriff. Das Szenario: Hacker haben Regierungsnetze kompromittiert, Server fallen aus, die behördliche Kommunikation bricht zusammen.
Doch hier liegt das Grundproblem: Es wird nur die Kommunikation zwischen Entscheidungsträgern getestet, nicht die tatsächliche IT-Infrastruktur. Die Übung findet komplett im virtuellen Raum statt – niemand testet, ob die echten Systeme einem Angriff standhalten würden.
Das ist, als würde die Feuerwehr nur am Konferenztisch über Löschstrategien reden, aber nie einen echten Brand bekämpfen. Manuel Atug von der AG Kritis (Arbeitsgemeinschaft Kritische Infrastrukturen) bringt es auf den Punkt: „Wer seine IT nicht real belastet, übt nicht – er spielt Theater.“
Hacker hacken – doch die Behörden müssen gewappnet sein
Deutsche Behörden-IT: Monokultur macht verwundbar
Deutschlands Behörden-IT basiert auf einer gefährlichen Monokultur: Windows, Microsoft Office, SAP – überall dieselben Standardprogramme. Für Hacker ist das ein Geschenk, denn sie müssen nur wenige Systeme verstehen, um bundesweit Schäden anzurichten.
Verschärft wird das Problem durch veraltete Software. Viele Behörden nutzen noch Windows-Versionen, für die Microsoft längst keinen Support mehr anbietet. Patches und Sicherheitsupdates? Fehlanzeige. IT-Security-Experte Atug warnt: „Unsere Behörden-IT ist wie ein Haus mit weit offenen Türen und Fenstern.“
Besonders problematisch: Die meisten Behörden haben ihre IT in den letzten Jahren zwar digitalisiert, aber kaum in Cybersicherheit investiert. Zero-Trust-Architekturen, moderne Endpoint-Detection-Systeme oder KI-basierte Anomalieerkennung sind die absolute Ausnahme.
Bevölkerungsschutz? Nicht vorgesehen
Ein weiterer kritischer Punkt: LÜKEX konzentriert sich ausschließlich darauf, den Regierungsbetrieb aufrechtzuerhalten. Was aber passiert mit der Bevölkerung, wenn kritische Infrastruktur ausfällt?
Stellt euch vor: Krankenhäuser können nicht mehr auf Patientendaten zugreifen, Apotheken keine Rezepte einlösen, Geldautomaten funktionieren nicht, Tankstellen können nicht abrechnen. Das Chaos wäre perfekt – doch dafür gibt es keinen Notfallplan.
Die AG Kritis fordert seit Jahren, auch die Versorgung der Bevölkerung in die Übungen einzubeziehen. Bisher ohne Erfolg. „Es nützt nichts, wenn die Regierung funktioniert, aber die Bürger im Dunkeln stehen“, kritisiert Atug.
Was Deutschland jetzt tun muss
Experten fordern einen Paradigmenwechsel: Statt Showübungen braucht Deutschland echte Belastungstests seiner IT-Infrastruktur. Red-Team-Exercises, bei denen Ethical Hacker versuchen, Behördensysteme zu knacken, würden echte Schwachstellen aufdecken.
Zudem müssen Behörden ihre IT-Monokultur aufbrechen. Linux-basierte Systeme, dezentrale Architekturen und verschiedene Software-Anbieter würden die Angriffsfläche drastisch reduzieren.
Am wichtigsten aber: Deutschland braucht einen nationalen Cyber-Notfallplan, der auch den Bevölkerungsschutz einschließt. Andere Länder wie Estland oder Israel sind hier längst weiter.
Die Zeit drängt: Der nächste große Cyberangriff ist nicht mehr die Frage des „ob“, sondern des „wann“. Deutschland muss jetzt handeln – bevor es zu spät ist.
Zuletzt aktualisiert am 18.02.2026
