Zum fünften Mal startete das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Ende November 2011 die gesamtstaatliche Krisenmanagementübung „LÜKEX" („Länderübergreifende Krisenmanagement-Übung/Exercise") . Zum ersten Mal ging es um den Schutz von IT-Systemen und -Strukturen gegen Angriffe von außen. Volker Lippmann, Experte von T-Systems, nahm an der Übung teil. Unsere Schwesterpublikation CIO.de sprach mit ihm und dem T-Systems Sicherheitsexperten Michael Bartsch darüber.
CIO.de Wie haben Sie die Übung erlebt, und wann gibt es die Ergebnisse?
Volker Lippmann: Die LÜKEX 2011 ist sehr gut gelaufen. Die Steuerung der Übung hatte die Akademie für Krisenmanagement, Notfallplanung und Zivilschutz (AKNZ) in Ahrweiler inne. Ergänzt durch die Krisenstäbe der "intensiv übenden Länder", die sich beteiligt haben. Hinzu kamen das Bundesamt für Sicherheit in der Informationstechnik (BSI), aber auch Unternehmen wie etwa der Frankfurter Flughafen und die Bundesbank.
Die Akademie wurde für die Übung mit komplett neuer Technik ausgestattet. Die Übung selbst verlief im geplanten Rahmen. Der Bedarf an Nachsteuerung war dabei erstaunlich gering. Die Übungssoftware, die in den vergangenen Jahren ab und zu gehakt hatte, funktionierte dieses Mal hervorragend. Die Auswertung wird, soviel ich weiß, im Februar in großer Runde fortgesetzt. Der Bericht soll dem Bundesinnenministerium im ersten Quartal vorliegen.
Das interne Krisen- und Notfall-Team sowie das Konzernlagezentrum der Deutschen Telekom waren ebenfalls involviert. Sie sind bei großen Ausfällen im Netz oder bei Katastrophen die zentrale Informationsdrehscheibe und betreiben das Krisenmanagement im Konzern Deutsche Telekom. Hier gibt es viel Know-how aus gelernten Abläufen. Diese Teams halfen zum Beispiel unseren Mitarbeitern nach der Katastrophe in Fukushima.
CIO.de: Was war das genaue Ziel der Übung?
Lippmann: Gemeinsames Ziel war es, einen Cyberangriff mit einem Trojaner durchzuspielen. Die Telekom ist - wie andere Firmen aus den Branchen Energie, Banken, Wasserwirtschaft und Transport - vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als Unternehmen mit kritischer Infrastruktur eingestuft worden. Der Hintergrund dieser Übung war nicht nur, zu proben, wie ich einen Trojaner oder Computerwurm ausschalten kann. Es ging dabei vor allem um die Zusammenarbeit in den Stäben sowie zwischen dem Bund und den Ländern.
CIO.de: Was genau war Ihre Aufgabe?
Lippmann: Die Deutsche Telekom und T-Systems haben sich intensiv an der Planung der LÜKEX 11 mit dem Thema IT-Sicherheit beteiligt. Es war ja die erste große Übung zu diesem Thema in Deutschland. Wir waren seit Ende 2010 beteiligt. Wir bauen und betreiben Landesnetze, kommunale Netze und auch kommunale Rechenzentren, das sind alles "kritische Infrastrukturen", die für hoheitliche Aufgaben genutzt werden.
Gewisse Spannung für die Krisenstäbe der Länder
Unsere Aufgabe war es, Szenarien für einen möglichen Cyberangriff auf kritische Infrastrukturen, wie etwa Energieversorger, Flughäfen oder Telekommunikationsnetze durchzuspielen. Parallel dazu sollten wir prüfen, ob die Koordinierungsprozesse innerhalb der Krisenstäbe stimmen. Im Alltag fehlt dafür oftmals der Blick. Wenn man aber noch einmal genau hinschaut, sieht man: Der Prozess sieht zwar gut aus, hat aber doch noch eine Lücke. Wir konnten dem Krisenteam schon im Vorfeld Verbesserungsvorschläge machen.
Bei der Übung Ende November vergangenen Jahres waren wir mit drei Mann vor Ort in Ahrweiler. Zusätzlich standen zur Unterstützung im Hintergrund noch einmal bis zu 15 Kollegen bereit. Unser Auftrag war es, die Szenarien der Katastrophenübung zu verfolgen und mit zu kontrollieren, ob alles so läuft wie gedacht. Wo gewünscht, lieferten wir zudem neue Situationen für die Übung, die die Lage in den Krisenstäben noch einmal verschärfen sollte. Bei denjenigen, die in den Ländern die Entscheidungen zu treffen hatten, sollte ja eine gewisse Spannung aufgebaut werden.
CIO.de: Herr Bartsch, Sie sind Experte für IT -Sicherheit bei T-Systems. Was sollten die Kunden gegen Cyberangriffe unternehmen?
Michael Bartsch, Sicherheitsexperte bei T-Systems: „Das Netz" ist ja heute ein Synonym für „das Internet" oder die Vernetzung überhaupt. Aber eigentlich wird "das Netz" ja gar nicht angegriffen, sondern es sind die Server oder Applikationssysteme, die sich im Internet oder in anderen Netzen befinden.
Das Wichtigste ist deswegen immer, dass Firmen oder Behörden ihre Applikationslandschaften schützen. Insbesondere mit Denial of Service Attacks wird bei Cyberangriffen gezielt versucht, diese zu überlasten. Diese Angriffe nehmen in letzter Zeit aber ab. Jetzt wird eher versucht, Lücken (Exploits, Backdoors) zu finden oder gezielt Applikationssysteme anzugreifen - wie etwa Geldautomaten oder Stromnetze.
Gefährliche Angriffe richten sich heute gezielt auf Webserver
Diese kritischen Netze sind heute schon recht großzügig ausgelegt, da gibt es keine großen Probleme mehr. Es geht jetzt gezielt um die Webserver, wie etwa SAP-Server mit Internet-Koppelung. Bei der LÜKEX hat man sich ja deswegen auch überlegt, unterschiedliche Branchen und Technologien „zu beüben", um einen guten Querschnitt dabei zu haben.
CIO.de: Übt T-Systems selbst auch so wie bei der LÜKEX geschehen?
Bartsch: Wenn wir im Konzern eigene Produkte entwickeln, ist der "digitale Crashtest", das eigene Angreifen, ein Bestandteil der Test- und Prüfprozesse. Es gibt auch Kunden, die uns bitten, dass wir ihre Systeme gezielt angreifen, um so Lücken aufzudecken. Das sind Penetrations-Tests oder Applikations-Audits.
Sicherheit muss in einem Produkt oder einer Lösung verbaut sein. Im Konzern haben wir ein Verfahren entwickelt, das Datenschutz und Datensicherheit ab dem ersten Entwicklungsschritt eines Produktes mitdenkt. Ganz generell: Ursache Nummer Eins für erfolgreiche Hacks sind schlecht gewartete Systeme. 90 Prozent aller angegriffenen Lücken hätten bei einem weniger laxen Umgang mit Updates geschlossen werden können.
Die Übung hilft dabei, die Prozesse weiter zu optimieren
CIO.de: Die Deutsche Telekom war ja auch an der LÜKEX beteiligt.
Bartsch: Wir haben im Schulterschluss an der Übung teil genommen. Das Konzernlage-Zentrum der Telekom ist das interne Krisen- und Notfallteam. Wenn auf der Welt ein Unglück passiert, wird dort organisiert, wie man den Kollegen vor Ort helfen kann. Da gibt es viel Kompetenz in den Abläufen und Organisationsroutinen, die auch bei der LÜKEX gefragt waren.
CIO.de: Herr Lippmann, werden Sie bei der nächsten Übung wieder mit dabei sein?
Ja, sehr gerne. Die nächste Übung hat zwar ein komplett anderes Thema, aber ohne IT und Telekommunikationsnetze ist modernes Krisenmanagement heute nicht mehr dankbar. Das Thema IT-Sicherheit sollte deswegen in einer Folgeübung noch einmal im Fokus stehen.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.