Kritik an Cyberangriff-Übung der Regierung - AG Kritis: "Krisenübung bringt nur dann etwas, wenn sie weh tut"
Deutschlands Regierung wird von Hackern angegriffen - dieses Szenario spielen Bund und Ländern seit Mittwochmorgen bei einer Übung für das Krisenmanagement durch. Manuel Atug von der Arbeitsgruppe Kritische Infrastrukturen bemängelt, dass es sich nur um eine Trockenübung handelt.
Die Arbeitsgruppe Kritische Infrastrukturen (AG Kritis) ist ein Zusammenschluss aus 40 Fachleuten und analysiert, wie die kritische Infrastruktur vor digitalen Angriffen geschützt werden kann. Einer der Gründer und Sprecher ist Manuel Atug. Er erklärt, dass die Krisenmanagementübung Lükex 23 so aussehen kann, als ob verschiedene Regierungssysteme angegriffen worden seien und deswegen ausfallen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) komme nun mit Verantwortlichen der Länder zusammen, "und versucht zu koordinieren, wie die Regierungsfähigkeit wieder hergestellt werden kann nach so einem Angriff." Im Vordergrund der Übung stehe die Kommunikation.
Gründer der AG Kritis: Besser wirkliche Einsätze fahren und nicht nur eine Trockenübung am Tisch machen
"Das Problem ist, dass man mit einer Stabsrahmenübung nicht direkt wirklich Bewegungen macht, Material verschifft, Leute transportiert und wirklich schaut, wo Ausfälle sind und wie man die kompensiert." Man gucke hingegen nur im "Trockenlauf", was man tun würde, kritisiert der Cyberexperte. "Eine Katastrophen- und Krisenübung bringt nur dann etwas, wenn sie weh tut. Weil dann sieht man, wo die Fehler sind und die kann man wirklich optimieren."
Die kritische Infrastruktur ist laut Atug weltweit gefährdet, weil sich staatliche Akteure zunehmend im Cyberraum aufhalten. "Und mit einer schlechten Digitalisierung, die wir an vielen Stellen haben, wird das eben auch alles unsicherer." So habe eine Übung wie Lükex zusätzlich eine Schwachstelle, weil nicht geübt werde, wie die kritische Infrastruktur wieder hergestellt werde.
Für Betreiber von kritischer Infrastruktur sei eine defensive Cybersicherheitsstrategie wichtig. Man müsse gegen Angriffe so gewappnet sein, dass die Auswirkungen verpuffen, erklärt der Experte. Dabei könnten Backups helfen, die man offline vorhält und schnell wieder einspielen kann.