Die Übung beginnt am frühen Mittwochmorgen mit einer Nachricht aus der Zentrale in Bad Neuenahr-Ahrweiler: In den Serverräumen von mehreren Behörden ist der Strom ausgefallen. Ministerien von Bund und Ländern können nicht mehr arbeiten, Server und Computer werden beschädigt. Kurze Zeit später bekennt sich eine fiktive Gruppe unter dem Namen "Neue Front" zu den Aktionen. Sie drohen in Sozialen Netzwerken mit weiteren Attacken.
3.000 Menschen proben in ganz Deutschland IT-Angriff
Nun müssen sich die Behörden abstimmen. Wer ist zuständig? Welche Bereiche sind betroffen? Wie kann man die Sicherheit trotz der Angriffe gewährleisten? Mit diesen Fragen beschäftigen sich dann die einzelnen Krisenstäbe in den Ländern und dem Bundesinnenministerium. Nach Angaben des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sind etwa 3.000 Menschen daran beteiligt.
"Von der Zahl der beteiligten Akteure her ist dies die größte Lükex-Übung, die es je gab", sagte BBK-Präsident Ralph Tiesler. Zum ersten Mal überhaupt wirkten dabei alle Bundesländer mit. Lükex steht für länder- und ressortübergreifende Krisenmanagementübung. Die ganze Woche üben Bund und Länder, aber auch Unternehmen den Ernstfall. Gesteuert wird die Übung aus einer Zentrale in der Bundesakademie für Bevölkerungsschutz und Zivile Verteidigung in Bad Neuenahr-Ahrweiler.
Cyberangriff-Szenario so real wie möglich
In der Bevölkerung bekommen wohl nur die wenigsten etwas von Lükex mit. Die Übung spielt sich überwiegend in gesicherten Räumen ab. Dort, wo auch sonst die Krisenstäbe der Ministerien tagen würden und in der Bundesakademie in Bad Neuenahr-Ahrweiler. Möglichst real soll das Szenario sein.
Seit Anfang des Jahres hat ein Team des BBK deshalb ein Drehbuch für das Szenario geschrieben. Dabei gehe es vor allem darum, die Kommunikation untereinander zu testen und die Abläufe für den Ernstfall zu trainieren, so das BBK. In diesem Jahr sind deshalb auch Unternehmen der Kritischen Infrastruktur an der Übung beteiligt. Das können zum Beispiel Krankenhäuser oder Energieversorger sein.
Bereits neunte Lükex-Übung
Lükex findet in der Regel alle zwei Jahre statt. In der Vergangenheit wurde zum Beispiel der Umgang mit einer Gasmangellage oder einer Grippe-Pandemie geprobt. In diesem Jahr habe man sich für das Szenario eines Cyberangriffes entschieden, weil diese ständig zunehmen würden. Die Chefin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, warnte gar in diesem Jahr davor, dass die Bedrohung "so hoch wie nie" sei. Auch ihre Behörde ist an der Übung beteiligt.
Drei Monate nach Hacker-Angriff auf Verwaltung Hackerangriff auf Rhein-Pfalz-Kreis geschah über infiziertes Gerät
Der Hackerangriff auf den Rhein-Pfalz-Kreis ist nach Angaben von Landrat Körner nicht durch das Öffnen einen E-Mail-Anhangs verursacht worden.
Dass der Inhalt dieser Übung schnell real werden kann, hat sich vor einem Jahr im Rhein-Pfalz-Kreis gezeigt. Damals griffen Hacker die IT-Infrastruktur der Verwaltung an und legten über Monate hinweg den Kreis lahm. Zeitweise war es nur schwer möglich, beispielsweise Autos an- oder umzumelden. Tausende persönliche Daten wurden geklaut. Der Landrat bezifferte den Schaden auf rund 1,2 Millionen Euro.