Cyberangriffe auf kritische Infrastruktur

Ende September 2023 fand die Krisenmanagementübung LÜKEX23 statt. Das Bundesministerium des Inneren leitete die Übung. Die Herausforderung diesmal: Cyberangriffe auf Kritische Infrastruktur in Deutschland.

Nicht erst seit dem Beginn der russischen Invasion in die Ukraine stellen Cyberangriffe staatliche wie nichtstaatliche Organisationen vor erhöhte Sicherheitsherausforderungen. Reaktionszeiten und ressortübergreifend abgestimmte Handlungsoptionen sind der Schlüssel für eine erfolgreiche Cyberverteidigung. Dies zu trainieren ist das Ziel der länder- und ressortübergreifende Krisenmanagementübung LÜKEX, die dieses Jahr zum neunten Mal stattfand. Im Mittelpunkt: Die Aufrechterhaltung der Staats- und Regierungsfunktionen in einer Cyberkrise. 

Szenario: Cyberangriffe auf Kritische Infrastruktur

Aufgrund seiner Dimensionsverantwortung in der Bundeswehr ist das Kommando Cyber- und Informationsraum natürlicher Partner seitens der Bundeswehr. Sein Fokus im Übungsszenario der Cyberkrise lag auf dem Erhalt der Führungsfähigkeit der Bundeswehr und der Gewährleistung der Funktionsfähigkeit eigener kritischer ITInformationstechnik-Infrastruktur. Darüber hinaus erwartet der Chief Information Security Officer der Bundeswehr, Generalmajor Jürgen Setzer, wichtige Erfahrungen für die Übungsteilnehmenden: „Wir leben in einer Informationsgesellschaft. Der Cyberraum wird immer mehr zum zentralen Nervensystem, welches Unternehmen, Privataushalte, Behörden – uns alle – miteinander verbindet. Daher ist es für eine große gesamtstaatliche Übung wie die LÜKEX nur folgerichtig, diesen Aspekt zu berücksichtigen. Ich erwarte mir auf jeden Fall einen Erfahrungsaufwuchs bei allen Teilnehmenden“. Bisher wurde die Zusammenarbeit zwischen zivilen und militärischen Akteuren im Rahmen möglicher Krisen geübt. Diese LÜKEX fordert die Teilnehmer erstmalig mit einer „Cyberlage“.

Bedrohung durch Cybergruppierung „Neue Front“

Das Szenario der Übung beginnt, wie man es in den realen Medien hätte lesen können: Seit dem Wochenende tauchen in nahezu allen Bundesländern erste Meldungen zu Cyberangriffen auf. Nichts, was zunächst besondere Aufmerksamkeit auf sich ziehen würde. Noch nicht. Allerdings gibt es Hinweise auf Unregelmäßigkeiten in Netzwerken und der Gebäude- und Klimatechnik. Zum Wochenstart meldet ein Bundeswehrkrankenhaus Ausfälle in der Aufzugtechnik. Patienten können nicht verlegt werden, Operationen werden verschoben, schließlich abgesagt. Die Notaufnahme schließt. Parallel dazu stellen Einrichtungen und Behörden des Bundes und der Länder ähnliche Schwierigkeiten fest. Rasch wird klar, eine neue bislang unbekannte Cybergruppierung namens „Neue Front“ setzt ihre Drohungen gegenüber nahezu allen Landes- und Bundesbehörden um. Eine erste Cyber-Sicherheitswarnung durch das Bundesamt für Sicherheit in der Informationstechnik liegt rasch vor. 

Auch wenn das Szenario fiktiv ist, zeigt sich sehr schnell, welche Auswirkungen dies in der Realität bedeuten würde: Gebäudetechnik, diese umfasst unter anderem Aufzüge, Schließsysteme, automatische Türen und Rollos, aber auch Klimatechnik. Dinge des alltäglichen Lebens, die auf ITInformationstechnik basieren, häufig vernetzt sind und deren Ausfall zum Teil erhebliche Auswirkungen auf uns alle haben. Deshalb ist die Identifikation von Schlüsselstellen und die damit verbundene digitale Härtung von besonderer Bedeutung.

„Sicherheit ist und bleibt Teamwork! Je enger wir zusammenarbeiten, desto besser schützen wir uns vor gemeinsamen Bedrohungen, desto besser bestehen wir gemeinsame Herausforderungen.“, richtete sich Ralph Tiesler, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, zu Beginn von LÜKEX 2023 an die über tausend Teilnehmenden samt Leitungspersonal.

Dimensionsverantwortung im ressortübergreifenden Netzwerk

Als verwaltungsorientierte, länder-, ressort- und bereichsübergreifende Stabsrahmenübung trainieren über sechzig beteiligte Stäbe die gemeinsame abgestimmte Reaktion und Bewältigung von bundesweiten Cyberangriffen auf Kritische Infrastrukturen. Als Partner im Heimatschutz und im strategischen Krisenmanagement bündelt das Territoriale Führungskommando der Bundeswehr die bundeswehrseitigen Beiträge im ressortübergreifenden Netzwerk. Bei Bedrohungen aus dem Cyberraum berät das Kommando CIRCyber- und Informationsraum fachlich, führt und teilt das Lagebild Cyber. Sein Grundauftrag: Durch den Betrieb und Schutz eigener ITInformationstechnik-Systeme zunächst die eigene Führungs- und damit Handlungsfähigkeit erhalten, um im Bedarfsfall auch extern unterstützen zu können. Die Operationszentrale (OpZ) des Kommando CIRCyber- und Informationsraum führt vor und während der krisenhaften Entwicklung das Lagebild CIRCyber- und Informationsraum. Dazu werden Meldungen aus dem ITInformationstechnik-Betrieb, der Informationssicherheit und der gesamtstaatlichen Cybersicherheit zusammengefasst und dienen als Entscheidungsgrundlage der Kommandoführung.

Der steigenden Bedrohung durch Cyberangriffe kann grundsätzlich nur im Verbund aller staatlicher Akteure begegnet werden. Dazu ist es notwendig, dass der militärische Organisationsbereich CIRCyber- und Informationsraum mit seinen Fähigkeiten in der Dimension ressortübergreifend im Konzert mit den verantwortlichen Behörden übt, und dadurch eigene Verfahren und Prozesse optimiert. 

Die Krise frühzeitig erkennen: Vor die Lage kommen!

Die Störungsmeldungen nehmen rasch zu. Landes- und Bundesbehörden verzeichnen bundesweit eine stetige Zunahme der Störungen, auch bei der Bundeswehr. Die ITInformationstechnik-gesteuerte Landebahnbefeuerung an zwei militärischen Flughäfen fällt aus. Das streitkräftegemeinsame Führungsinformationssystem German Mission Network bricht weg. Mitbetroffen ist auch das Logistiksystem. „Command and Control“, also die Führung- und Kontrollfähigkeit wesentlicher Aufgaben der Bundeswehr sind gefährdet, das Verlegen von Großverbänden und das Luftraummanagement massiv beeinträchtigt. Aufgrund der Vielzahl an Störungen an ITInformationstechnik-Systemen der Bundeswehr erkennt der Inspekteur Cyber- und Informationsraum, Vizeadmiral Dr. Thomas Daum, die krisenhafte Entwicklung und beruft das Krisenmanagement Board ein. Die Entwicklung der Lage zeigt, dass diese Entscheidung die einzig richtige war. 

Das Krisenmanagement Board

Mit am Tisch sitzen der Kommandeur Kommando ITInformationstechnik-Services der Bundeswehr, der Leiter des Cyber Security Operations Centre sowie operativ bevollmächtigte Vertreter der BWI, des Territorialen Führungskommandos der Bundeswehr und des Einsatzführungskommandos, der anderen Organisationsbereiche und Teilstreitkräfte, des BMVgBundesministerium der Verteidigung und BAMADBundesamt für den Militärischen Abschirmdienst. Das Krisenmanagement Board entscheidet über die Maßnahmen zur Abschwächung und Bewältigung der Krise. Die organisatorischen Maßnahmen zur Einberufung sowie die Vorbereitung der Sitzungen des Krisenmanagement Board obliegen der OpZ. Dieses bereitet die OpZ bereits begleitend zur krisenhaften Entwicklung vor. Neben der Anbindung der Teilnehmer des Krisenmanagement Boards stellt die OpZ eine gemeinsame Informations- und Austauschplattform zur Verfügung, auf der jederzeit die Lagebeiträge sowie die aktuelle Lageentwicklung einsehbar sind.

Was ist eine ITInformationstechnik-Krise?

Sind in der momentanen Lage der LÜKEX23 die Angriffsvektoren zunächst unbekannt, werden durch die digitale Forensik alsbald speicherprogrammierbare Steuerungen als Ursache erkannt. Speicherprogrammierbare Steuerung findet sich unter anderem auch in Ampeln, Aufzügen und Rolltreppen. Durch Fernwartung und -diagnose ist der Zugriff auf diese Endgeräte und ihre Manipulation möglich. Eine eindeutige Attribuierung wird die Täterinnen und Täter der Hackergruppe noch stellig machen. Jetzt jedoch ist es wichtig, den Schaden in Grenzen zu halten. Dem Inspekteur werden durch das Krisenmanagement Board Möglichkeiten des Handelns zur Entscheidung vorgetragen, Vor- und Nachteile aufgezeigt: Aufrechterhaltung der noch bestehenden Services bei Geringhalten der Schäden, Ausfallsdauer und bis wann stehen die Server wieder zur Verfügung? All das wird abgewogen. Rasch ist die Entscheidung herbeigeführt. In den kommenden Stunden zeigt sich, die Maßnahmen greifen, der feindliche Zugriff ist unterbunden. Die Serverkapazitäten stehen weiter zur Verfügung und werden absehbar wieder vollumfänglich betriebsbereit sein.

Erstes Fazit im „Hot Wash Up“

Die Übung LÜKEX hat gezeigt, dass die Bundeswehr gegenüber hybriden Bedrohungen, auch aus dem Cyber- und Informationsraum, professionell aufgestellt ist. Die Einbindung und die Zusammenarbeit im Krisenmanagement Board hat sich bewährt und war für das Aufwachsen und Zusammenführung der Gesamtlage zielführend. Gleichzeitig zeigte sich aber auch, dass die Systeme weiterhin zu ertüchtigen, die Resilienz zu steigern und Redundanzen vorzuhalten sind. 
Das gilt gleichermaßen für Material, Personal und Verfahren, denn der Gegner schläft nicht. Besonders für den Kernauftrag im Cyber- und Informationsraum gilt „Train as you fight“. Denn nur was regelmäßig geübt wird, klappt auch in der Krise.

von  Presse- und Informationszentrum CIR  E-Mail schreiben