Bericht zur länder- und ressortübergreifenden Krisenmanagementübung LÜKEX 23
Datum 22.11.2024
LÜKEX steht für „Länder- und Ressortübergreifende Krisenmanagementübung/Exercise“ und ist ein Konzept, mit dem das nationale Krisenmanagement in Deutschland seit 2004 wiederkehrend überprüft und weiterentwickelt wird. Ziel ist es, das gemeinsame Krisenmanagement von Bund und Ländern unter Einbeziehung weiterer Akteure wie Hilfsorganisationen, den Kooperationsplattformen der Sicherheitsbehörden[1] und KRITIS-Betreibern[2] auf strategischer Ebene zu verbessern. Zu diesem Zweck wird eine wechselnde fiktive und dennoch realitätsnahe Krisenlage entworfen, die als Rahmen der Übung dient. Die Szenarien werden unter Beteiligung aller mitübenden Organisationen unter der Koordination des Bundesministeriums des Innern und für Heimat (BMI) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) beraten und entwickelt.
Im Fokus der LÜKEX 23 stand die Aufrechterhaltung der Staats- und Regierungsfunktionen. Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ein Szenario entwickelt, in dem alle beteiligten Akteure des deutschen Krisenmanagements in einem solchen Ausmaß betroffen waren, dass die sich zuspitzende Lage nicht mehr allein mit eigenen Mitteln bewältigt werden konnte und somit eine bundesweite Krise ausgerufen wurde.
Insgesamt beteiligten sich rund 2.500 Personen aus 60 Behörden von Bund, Ländern und weiteren Organisationen an der Übung. Zu den Teilnehmenden gehörte auch die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS). Ausgangslage des Szenarios war ein Cyberangriff auf staatliche IT-Infrastruktur. Der Ausfall sogenannter „speicherprogrammierbarer Steuerungen“[3] in behörden- bzw. organisationseigenen Server-Standorten verursachte Störungen in den IT-Infrastrukturen der Übenden, wodurch starke Einschränkungen in kritischen Geschäftsprozessen, vor allem in den der Ministerialverwaltung nachgeordneten Behörden auftraten. Gleichzeitig mussten die Übenden die Folgen einer öffentlichkeitswirksamen Medienkampagne des Angreifers bewältigen. Ziel der Übung war es, trotz dieser Störungen wesentliche Staats- und Regierungsfunktionen aufrechtzuerhalten und ein abgestimmtes Handeln sowie eine gemeinsame Außenkommunikation mit den verschiedenen Ebenen des nationalen strategischen Krisenmanagements sicherzustellen.
Quelle: BBK
In dem gemeinsam erstellten Auswertungsbericht zur LÜKEX 23 wurden die Erfahrungsberichte der Übenden zusammengefasst und die übergreifenden Erkenntnisse beschrieben sowie Handlungsempfehlungen generiert, die in der jeweiligen Verantwortung der Behörden umgesetzt werden.
Die Übung zeigte auf, dass viele Prozesse und Verfahren des strategischen Krisenmanagements grundsätzlich bereits erfolgreich implementiert wurden. So haben sich Abläufe zur Abstimmung der externen Krisenkommunikation größtenteils etabliert. Die ebenen- und ressortübergreifende Abstimmung im Bereich der Krisenkommunikation erwies sich hingegen als weiterhin herausfordernd und komplex. So sehen einzelne Übende Verbesserungspotenzial bei der Sensibilisierung für die Meldewege sowie deren Akzeptanz.
Einige Krisenstäbe nutzten in der Übung zusätzlich zu den festgelegten Kommunikationswegen die Möglichkeit, Verbindungspersonal zu entsenden. Dieser direkte Austausch von Personal wurde durchweg positiv bewertet, da er die Kommunikation erleichtert und Meldewege verkürzt. In jeder Krise, in der sich Kommunikationswege von der Alltagsorganisation zur Krisenorganisation verändern, müssen diese sich einspielen und verfestigen. Teilweise ist es deshalb notwendig, in der Krise bedarfsorientiert zusätzliche Kommunikationsstrukturen zu etablieren.
Eine besondere Rolle spielt bei der übergreifenden Kommunikation in einer IT-Lage die (teils hypothetische) Auseinandersetzung mit Kommunikationsausfällen. Obwohl in der LÜKEX 23 kein flächendeckender Kommunikationsausfall geübt wurde, wurde vielfach der Bedarf für weitreichende Redundanzkommunikation und Offlinekommunikationslösungen erkannt. Der Rückgriff auf redundante Kommunikationsmittel stellt jedoch für die übergreifende Zusammenarbeit eine komplexe Herausforderung dar. Ressortübergreifend sollten
daher für vorhandene Ausweich-kommunikationsmittel Handlungsleitfäden weiterentwickelt werden.
Darüber hinaus sollten ressortübergreifende, hochsichere Kommunikations- und Informationssysteme für die Bundesverwaltung (einschließlich der Behörden und Organisationen mit Sicherheitsaufgaben sowie der Bundeswehr) – wie auch in der Nationalen Sicherheitsstrategie vorgesehen – ausgebaut werden. Das Szenario verdeutlichte somit einen dringenden Bedarf an Ausbau und Ertüchtigung bzw. Härtung übergreifender, redundanter, sicherer und hochverfügbarer Informations- und Kommunikationssysteme zur Bewältigung derartiger Krisenlagen. Außerdem wurde durch den simulierten Ausfall staatlicher IT ein Bewusstsein dafür geschaffen, welche Vorgehensweisen erforderlich sind, wenn die Kommunikation so grundlegend gestört ist, dass die zur Bewältigung der Lage essenziellen Organisationen nicht mehr länger in der Lage sind, untereinander und mit der Bevölkerung zu kommunizieren.
Optimierungspotentiale konnten auch im Bereich der Erhebung und Priorisierung der kritischen Geschäftsprozesse[4] identifiziert werden. Zudem kamen die Übungsbeteiligten zu dem Schluss, dass eine Erhebung hausinterner kritischer Geschäftsprozesse bereits vor dem Ausbruch einer Krise als Bestandteil des Notfallmanagements vorgenommen werden sollte. Gemeint ist hier die Implementierung des Business Continuity Management (kurz: BCM) nach BSI-Standard 200-4[5].
Der Bedarf an einem übergreifenden Lagebild sowie gemeinsamen Austauschformaten wurde als Grundlage für ein gemeinsames Lageverständnis identifiziert. In diesem Zusammenhang wurde deutlich, dass die gemeinsamen Abstimmungen von Bund und Ländern mit den IT-Fachbehörden für die übergreifende Krisenbewältigung hinsichtlich Strukturen und Verfahren ausbaufähig sind. Für die Bewältigung länderübergreifender und bundesweiter Krisen werden Strukturen und Verfahren benötigt, die dauerhaft zur Verfügung stehen, um das Krisenmanagement schnell und effektiv zwischen allen Beteiligten koordinieren zu können. Auch Netzwerke sind hierfür unabdingbar. In der LÜKEX 23 konnten die bestehenden Netzwerke zwischen dem Krisenmanagement im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt werden. Damit diese Kontakte stetig ausgebaut werden können, müssen sich alle beteiligten Organisationen ihrer Rolle innerhalb des gesamtstaatlichen Krisenmanagements bewusst sein und ihr Personal dazu befähigen, entsprechende Aufgaben effektiv zu erfüllen.
Die Übungsserie LÜKEX hat sich hierfür bewährt. Seit Jahren werden auf diesem Weg bereichsübergreifend wichtige Kontakte geknüpft, Kompetenzen gestärkt und Fachkenntnisse ausgetauscht. Indem die strategischen Krisenmanagementstrukturen einem Stresstest unterzogen werden, stärkt die LÜKEX-Übung als Instrument der gesamtstaatlichen Resilienzstrategie den All-Gefahren-Ansatz. Im Rahmen des Risiko- und Krisenmanagements berücksichtigt dieser integrierte Ansatz alle Gefahren wie z. B. Naturgefahren, schwere Unglücksfälle, Betriebsstörungen oder technologische Gefahren. Indem ebenenübergreifend sowohl die Krisenreaktionsfähigkeiten als auch die Zivilschutzfähigkeiten verbessert werden, sorgt die LÜKEX für mehr Handlungssicherheit in allen außergewöhnlichen Krisenlagen.
Um zukünftig noch wirksamer zur Stärkung des nationalen Krisenmanagements beizutragen, wird die Übungsserie einer strukturellen Neukonzeption unterzogen. Die LÜKEX 26 zum Thema „Dürre und Hitzewelle/Notlage durch extreme Hitzewelle nach langjähriger Trockenperiode in Deutschland und Europa“ wird bereits gemäß dieser Neukonzeption vorbereitet.
[1] Gemeinsames Terrorismusabwehrzentrum (GTAZ), Gemeinsames Extremismus- und Terrorismusabwehrzentrum (GETZ), Gemeinsames Internetzentrum (GIZ), Nationales Cyber-Abwehrzentrum (NCAZ), Gemeinsames Analyse- und Strategiezentrum illegale Migration (GASIM)
[2] Kritische Infrastrukturen (kurz: KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
[3] Eine speicherprogrammierbare Steuerung ist ein Gerät, das zur Steuerung oder Regelung einer Maschine oder Anlage eingesetzt und auf digitaler Basis programmiert wird.
[4] Kritische Geschäftsprozesse umfassten in der Übung Prozesse, deren Störungen oder Ausfall schnell zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden führen können.
Autoren: Maria Belka, Danielle Schippers, Krisenmanagement, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
Maria Belka ist Referentin im Referat Ressort- und Länderübergreifende Krisenmanagementübungen im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und bearbeitet dort die Themen Medienarbeit und Desinformationen.
Danielle Schippers ist ebenfalls Referentin im Referat Ressort- und Länderübergreifende Krisenmanagementübungen im BBK. Sie ist mit den Themen Krisenkommunikation, Medienarbeit und Auswertung betraut.
Dieser Artikel erschien zuerst im Wellenreiter, Ausgabe Winter 2024/2025.
Alle Ausgaben des Bund-Länder-Magazins Wellenreiter finden Sie unter Publikationen.
Werden Sie Teil unseres Teams und gestalten Sie mit uns die Zukunft der sicheren und verlässlichen Kommunikation von Regierung, Verwaltung sowie Sicherheits- und Rettungskräften in Deutschland.
