Cyberangriffe nehmen zu – gleichzeitig sind wir alle, auch als Gesellschaft immer mehr abhängig von funktionierender IT-Infrastruktur. Doch was, wenn öffentliche IT-Systeme ausfallen? Eine groß angelegt Übung soll die richtigen Reaktionen trainieren. Es gibt aber noch Luft nach oben.
Das Szenario ist alles andere als unrealistisch: Hackergruppen aus dem Ausland haben IT-Infrastruktur in Deutschland ins Visier genommen. Sie versuchen, in die Systeme kritischer Infrastruktur einzudringen, um die Kommunikation oder das öffentliche Leben lahmzulegen. Es droht ein umfangreicher Cyber-Angriff.
Was tun in einer solchen Situation? Bund, Länder und Gemeinden müssen dann zusammenarbeiten – ebenso die unterschiedlichsten Behörden. Wie wappnen sich Bund und Länder dafür? Das wird vom 25. Bis 29. September in mehreren Bundesländern in einer großangelegten Übung durchgespielt.
Cyberangriffe nehmen stetig zu
Die Zahl der Angriffe auf IT-Infrastruktur nimmt bekanntlich zu, vor allem seit dem Angriffskrieg auf die Ukraine.
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es im Jahr 2022 insgesamt 1.428 Fälle von Cyberangriffen auf Bund, Länder und Behörden in Deutschland. Davon waren 1.201 Fälle von sogenannten Ransomware-Angriffen.
Bei solchen Angriffen verschlüsseln die Angreifer nach dem Eindringen in PCs oder Netzwerke der Behörden oder Institutionen die gespeicherten Daten. Rechner und Netzwerke lassen sich dann oft überhaupt nicht mehr benutzen – und es wird ein Lösegeld verlangt. Solche Angriffe sind derzeit besonders weit verbreiten.
Jüngste Cyberangriffe, die erfolgreich waren
Noch im August 2023 wurde die IT-Infrastruktur des Bundesinnenministeriums lahmgelegt: Kriminellen verschlüsselten Daten von rund 1.000 Rechnern und Servern, darunter auch Daten des Verfassungsschutzes. Die vollständige Wiederherstellung der IT-Systeme dauerte mehrere Wochen.
Es gab Dutzende solcher Angriffe in diesem Jahr. Auch auf Behörden im Land. Am 2. Mai 2023 wurde zB die IT-Infrastruktur des Kreisgesundheitsamts in Dortmund durch einen Ransomware-Angriff lahmgelegt, betroffen auch das Impfregister. Die vollständige Wiederherstellung der IT-Systeme dauerte mehrere Wochen.
Das wird geübt – und auch nicht
Was aber wird nun genau geübt: Ein fiktiver Cyberangriff auf das Regierungshandeln – was muss man sich darunter vorstellen?
Diesmal geht es ausschließlich um IT-Sicherheit. Ziel der Übung ist es, während eines fiktiven bundesweiten Angriffs auf die IT-Infrastruktur von Behörden des Bundes die Staats- und Regierungsfunktionen aufrecht zu erhalten. Was passiert, wenn Server ausfallen, wenn die Kommunikation des Regierungsapparats erschwer und unmöglich gemacht wird? Funktioniert die Kommunikation noch?
Bei der Übung kommen bis zu 1.000 Leute aus den unterschiedlichsten Behörden zusammen. Klappt die Kommunikation trotz Einschränkung der IT? Wie wird entschieden? Kernübungstage sind der 27. und 28. September 2023 – da soll es also richtig zur Sache gehen. Allerdings ist die gesamte Übung fiktiv. Es erfolgen keine tatsächlichen Angriffe auf die IT-Infrastruktur, um zu prüfen, ob die belastbar ist. Es wird also nur so getan als ob.
Keine echten Belastungstests
Bei einer Wehrübung müssen Soldaten in den Panzer und in den Matsch – aber bei dieser Übung treffen sich nur Angehörige der Entscheiderebene.
Das ist auch einer der Hauptkritikpunkte der AG Kritis. Eine Arbeitsgemeinschaft, die sich intensiv mit der Kritischen Infrastruktur beschäftigt und das Ziel hat, dass unsere kritische Infrastruktur geschützt ist. Ich habe mit Manuel Atug von der AG Kritis gesprochen, die auch die Bundesregierung berät.
Die Kritik ist eindeutig: Gut, dass es eine Übung gibt. Aber nicht gut, dass sie so stattfindet. Wer die tatsächlich vorhandene IT-Infrastruktur nicht auf die Probe stellt – und alle Menschen, die mit ihr arbeiten und sie bereitstellen und pflegen –, der übt nicht wirklich und richtig.
Vor allem bestehe offensichtlich kein ernsthaftes Interesse daran, Fehler und Schwachstellen zu finden. Das wäre aber zwingend nötig, um daraus zu lernen und die Fehler zu beseitigen. Denn wir haben in Deutschland eine IT der Monokultur: Windows, Office, SAP – Standardprogramme, die jeder Hacker kennt – und für die es auch reichlich bekannte Sicherheitslecks gibt.
Da einzudringen, ist vergleichsweise einfach. Doch die Übung dient nur dem Zweck, Fehler in der Struktur der Behörden aufzudecken.
Keiner denkt an die Bevölkerung
Ein weiteres Problem, meint die AG Kritis: Die Katastrophenschutzübungen in Deutschland hätten vornehmlich das Ziel, den Staats- und Regierungsbetrieb sicherzustellen. Das ist zweifellos erstes Ziel nicht falsch, greife aber zu kurz.
Genau so wichtig und eng verknüpft ist aus Sicht der AG Kritis die Sicherstellung oder Wiederherstellung der Versorgung der Bevölkerung. Denn das wäre in aller Regel die unvermeidbare Folge eines großflächigen Cyberangriffs auf IT-Infrastruktur: Behörden würden möglicherweise nicht funktionieren, vielleicht sogar andere Infrastruktur.
Das hätte Folgen für die Bevölkerung. Doch es ist nicht Ziel der LÜKEX – weder jetzt, noch in der Vergangenheit –, darauf einen Blick zu werfen und sich Gedanken zu machen, wie die Bevölkerung schnellstmöglich wieder versorgt wird. Aus Sicht der Kritiker ein immenser Mangel und Fehler.