LÜKEX 11 - Erste Erfahrungen der 5. Strategischen Krisenmanagement-Übung zum Thema IT Sicherheit

Transkript

1 LÜKEX 11 - Erste Erfahrungen der 5. Strategischen Krisenmanagement-Übung zum Thema IT Sicherheit Vortrag zum 5. Bürgermeisterkongress am April 2012 in Bad Neuenahr-Ahrweiler

2 Gliederung Vorspiel: Cyber Cyber-Angriffe bedrohen Deutschland LÜKEX LÜKEX 11 Erfahrungen Fazit

3 LÜKEX

4 LÜKEX Von Risiken und

5 Risikomanagement und strategisches Krisenmanagement LÜKEX Krisen Eine vom Normalzustand abweichende Situation, die trotz vorbeugender Maßnahmen im Unternehmen bzw. der Behörde eintritt und mit der normalen Aufbau- und Ablauforganisation nicht bewältigt werden kann. BMI (2011) Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement. Leitfaden für Unternehmen und Behörden, 2. Aufl., S. 40

6 LÜKEX Herausforderung Medienmanagment Kevin KELLY, Internet Pionier

7 LÜKEX und Krisenkommunikation Medienindustrie & Jedermann-Journalismus

8 Krisenführung in Extremlagen / nationalen Krisen, z. B. in Folge von massiven Cyber-Attacken LÜKEX DDoS-Attacke auf Estland Norbert (2007) Reez

9 Länder Übergreifende Krisenmanagement- Übung EXercise LÜKEX 2004 : Stromausfall, Hochwasser LÜKEX 2005 : Terror-Anschläge/FIFA Weltmeisterschaft LÜKEX 2007 : Weltweite Influenza- Pandemie LÜKEX 09/10 : Schmutzige Bomben / Doppelanschlag LÜKEX 11 : IT-Sicherheit LÜKEX 13 : Lebensmittelsicherheit LÜKEX Nationale Übungsserie gesamtstaatliches integriertes Risiko- und Krisenmanagement

10 LÜKEX Bevölkerungsschutz heute sich vorbereiten auf das Undenkbare!

11 LÜKEX 11

12 Reale Ausgangslage: LÜKEX 11 KRITIS

13 Von der Realität eingeholt! LÜKEX 11 Die Kriegerklärung der Hacker Handelsblatt Der Wurm als Bombe, DIE ZEIT v. 30. Juni 2011 Auch CIA Opfer von Hackern BehördenSpiegel

14 LÜKEX 11 Länder Intensiv Übende Länder HH MV Übende Länder Bund BMI, BMVBS, BMVg, BMF, BMWi, BMAS, BMG Fachbehörden; Cyber-AZ RP HE NI TH ST BE SN BB KRITIS - Verwaltung / BOS - Banken / Finanzwesen - IKT - Transport / Verkehr BW Übungsbeteiligung BY

15 Übungsziele: Überprüfung / Optimierung des Zusammenwirkens der Bundesressorts im gesamtsstaatlichen KM im Rahmen einer IT-Krise (gem. NPSI) Verbesserung der länder- und bereichsübergreifenden Zusammenarbeit Optimierung der bereichsübergreifenden Medien- und LÜKEX 11 Integration von IT-KM- Strukturen in das bereichsübergreifende Krisenmanagement Aufrechterhaltung der Schlüsselbereiche des öffentlichen und nicht-öffentlichen Lebens (kritische Geschäftsprozesse) Koordinierung vom Maßnahmen zwischen öffentlichen Stellen und Betreibern Kritischer Infrastrukturen (KRITIS) Öffentlichkeitsarbeit vgl. Übungsrahmen LÜKEX 11 v

16 LÜKEX 11 Übungszyklus strategische Übungen Übungsthema: IT-Sicherheit Dauer insgesamt ca. 2 Jahre

17 LÜKEX 11 Manipulation Manipulation Manipulation Manipulation von von Webseiten von Webseiten von Webseiten Webseiten Datenmanipulationen Datenmani- Datenmanipulationen Datenmanipulationen Integrität pulationen Integrität Integrität Integrität IT IT IT IT Störungen Flugbetrieb IKT-Strukturen Schadsoftware Spytool IKT-Strukturen Datenmanipulationen Daten- Datenmanipulationen Datenâbfluss Vertraulichkeit manipulationen Vertraulichkeit Vertraulichkeit Vertraulichkeit Eingriffe Eingriffe in Prozesssteuerungen Prozess- Eingriffe in Prozesssteuerungen Prozess- Eingriffe in in steuerungen steuerungen Störungen Störungen Info-/Komm. Störungen Info-/Komm. Störungen Info-/Komm. Info-/Komm. Technik Technik Technik Technik IT IT Störungen Flughafensicherung Flughafen- IT Störungen Flughafensicherung Flughafen- IT Störungen Störungen /-betrieb sicherung /-betrieb sicherung /-betrieb /-betrieb Manipulation Manipulation Manipulation Manipulation Zahlungsverkehr Zahlungsverkehr Zahlungsverkehr Zahlungsverkehr

18 Planbesprechung: - Versand von verseuchtem GMLZ-Lagebericht, - Störungen im Zahlungsverkehr - Erste Daten in der Öffentlichkeit, LÜKEX TV (1) berichtet Übungsinhalte 1. Tag (Auswahl): Befall von Client-Systemen bei Behörden von Bund und Ländern -Störung / Ausfall von IT Strukturen u. a. an Flughäfen -Störungen im Zahlungsverkehr LÜKEX TV (2) berichtet LÜKEX 11 Übungsinhalte 2. Tag (Auswahl): - Störungen von Kommunikationsdienstleistern Störung bei Leitstellen von Pol und Fw LÜKEX TV (3)berichtet Ausgangslage 1 Zeitsprung Ausgangslage 2 08:00 Zentrale Drehbucheinlagen Zentrale Drehbucheinlagen 18:00 Unterbrechung Ausgangslage 3 Zentrale Drehbucheinlagen Zentrale Drehbucheinlagen 08:00 14: fiktiv Übungsszenario

19 Erfahrungen

20 Strategisches Krisenmanagement: Erfahrungen Vertrauensvolle Zusammenarbeit zwischen Bund und Ländern, allerdings geringer als erwartet Optimierungsmöglichkeiten bei Sitzungen der Krisenstäbe (TSK technisch stabiler als in früheren Übungen, jedoch teilweise zu lang; keine ebenengerechte Themenauswahl Lagedarstellung ) TSKen sollten (flankierend) auch auf Fachebene stattfinden

21 Erfahrungen Hohes Engagement aller Beteiligten; stringente, politisch sensible Führung der Stäbe Hochrangige Besetzung der Krisenstäbe / Teilnahme an TSK (überwiegend Staatssekretäre/-innen) Krisenmanagementstrukturen grundsätzlich geeignet und eingespielt

22 Erfahrungen Übung hat entscheidenden Beitrag zur (Weiter-) Entwicklung und Integration des IT-KM geleistet, schon bestehende Strukturen (IT-Abt. im BMI, BSI, IT- KM in Hessen) hatten Modellcharakter Übung hat Schnittstellenprobleme zwischen allg. und IT-KM offen gelegt, die weitergehende Regelungen erfordern (besonders wenn verschiedene Ressorts zuständig)

23 Erfahrungen Bund-Länder-Zusammenarbeit: Im Vorgriff auf VerwaltungsCERT-Verbund wurde Zusammenarbeit Bund-Länder im IT-KM vorangebracht (Meldeverfahren BSI-Länder) Verfahren der Zusammenarbeit mit KRITIS- Betreibern (UP KRITIS) konnte weiter entwickelt werden Meldeverfahren über GMLZ stellt eine sinnvolle Ergänzung dar, sollte jedoch um eine (Gesamt-) Lagebeurteilung mit prognostischer Komponente ergänzt werden

24 Medienmanagement: Medien- und Öffentlichkeit (Krisenkommunikation) von den Stäben als Schwerpunkt erkannt, teilweise erfolgreich durch Koordinierungsstellen erfolgreich weiter entwickelt Erfahrungen grdsl. kohärente Medienarbeit zwischen Bund und Ländern; allerdings Dialog mit der Bevölkerung unter den Bedingungen von Web 2.0 ausbaufähig Sensibilisierung für die (verstärkte) interaktive Nutzung Sozialer Netzwerke und für die Belange der Bevölkerung konnte erreicht werden

25 Übungsmethodik: Erfahrungen Vorbereitungsphase hat Schlüsselfunktion für den Erfolg der Übung Iterative Szenario-Entwicklung (bottom-up-ansatz bei zentralen Vorgaben zum Grundszenario) hat sich bewährt (z. B. bzgl. Motivation der beteiligten Länder) Übungsszenario als realitätsnah bewertet; einheitliche Eckpunkte (Hacktivistengruppe, Spytool ) hätten noch früher kommuniziert werden sollen, um länderübergreifendes Handeln zu bewirken

26 Erfahrungen Zentraler Ansatz in der Steuerung der Mediensimulation durch professionelles Journalistenteam im Nationalen Medienzentrum erfolgreich Übungssteuerungsanwendung ÜSA lief sehr stabil; Optimierungsbedarf im Bereich Funktionalität und Ergonomie, Anpassungsbedarf an veränderte Systemumgebung erforderlich (Windows 7, Office 10, Web 2.0, Simulation) Übungssteuerung kann gestrafft und optimiert werden

27 Erfahrungen Weiterentwicklung der Methodik strategischer Übungen (z. B. regelmäßige Treffen der Projektleiter von Bund u. Ländern; von anderen Aufgaben freigestellte Mitarbeiter in den Projektgruppen der Länder / KRITIS-Unternehmen erleichterten die gemeinsame Projektarbeit) Themenworkshops zur Sensibilisierung und Erprobung neuer Verfahren (z. B. (erster) IT- Meldedienstes der Länder an BSI) gut geeignet

28 Erfahrungen Besucher- und Presseprogramm: Zweitägiges Begleitforum : (erstmals) Fachforum für Übungsbesucher durch BBK veranstaltet; durchweg positiv aufgenommen, organisatorisch noch optimierbar Reale Medienarbeit: Gutes Medienangebot (Pressekonferenz, Presserundgang, Homepage BBK, Bildstrecke), dadurch umfangreiche Berichterstattung & Medienecho in Presseartikeln, Fernsehberichten, sowie im Netz

29 Erfahrungen Übungsbeteiligung in Zahlen: - 11 Bundesressorts, 21 Bundesbehörden - 37 Landesressorts und Landesbehörden - 33 KRITIS-Unternehmen / Verbände / SPOCs, aus den Bereichen: * Telekommunikation * Banken / Versicherungen * Verkehr * Wissenschaft B2 - International: EZB / EUROCONTROL - Insgesamt während der Übungstage ca Personen

30 Folie 29 B2 Vertiefung gegenseitiges Rollenverständnis BMI;

31 Fazit LÜKEX-Prozess als strategische Plattform im strategischen Krisenmanagement in D bewährt Cybersecurity / IT-Sicherheit bleibt eine wenn nicht die - Herausforderung im Sicherheitsdiskurs für uns alle!

32 Fazit Übungen im strategischen KM auf unterer VwEbene? Uneingeschränkt ja! Graphik: BBK (2011) Leitfaden strategische KM-Übungen

33 Danke für Ihre Aufmerksamkeit! Bundesamt für Bevölkerungsschutz und Katastrophenhilfe - Geschäftsstelle LÜKEX Tel.: 0228 / Fax: 0228 / luekex.info@bbk.bund.de / norbert.reez@bbk.bund.de