Die Kernübungstage der Lükex 23 sind absolviert und werden in den kommenden Monaten ausgewertet und veröffentlicht. Simuliert wurde ein umfassender, koordinierter Cyberangriff auf die kritische Infrastruktur und das Staats- und Regierungssystem Deutschlands. Erste Stimmen äußerten sich reflexhaft zwar im Grundsatz enttäuscht über die Art der Umsetzung, jedoch, so liest man es aus den offiziellen Verlautbarungen heraus, war die Übung bewusst nicht als technisches Kräftemessen zwischen Cyberabwehr und Angreifern angelegt. Vielmehr stand das koordinierte Handeln der Verantwortlichen in der Administration und in den Krisenstäben im Fokus, vor allem damit Impulse zur Verbesserung der Zusammenarbeit herausgearbeitet werden können. Die Kommunen erwarten mit Spannung den Bericht.
Es geht um Effizienz, nicht um Effektivität
In Anbetracht der ernüchternden Tatsache, dass Kommunen sich auch weiterhin freiwillig selbst verpflichten, IT-Sicherheit bis zum Limit ihrer finanziellen, personellen und organisatorischen Möglichkeiten umzusetzen, ist es nur folgerichtig, auf resiliente Infrastrukturen und ein in erster Linie effizientes Krisenmanagement zu setzen. Die Auswertung muss daher dezidiert aufzeigen, wie eine bessere Performanz von Organisation und Individuum gelingen kann. Eine Lösung der Lage ist derzeit nicht in Sicht, die IT-Krisen „springen“ von Kommune zu Kommune. Um die zahlreichen Knoten in der Bearbeitung zu lösen, müssen Schwachstellen aufgedeckt werden. Dabei geht es um Effizienz, nicht um Effektivität. Denn es geht eben nicht darum, massenhaft Akteure zu aktivieren und Ad-hoc-Lösungen zu implementieren, die im Nachgang kaum administriert werden können. Vielmehr muss es darum gehen, in den Stäben eine qualitativ bessere Arbeit pro Zeiteinheit zu leisten, die zudem möglichst minimal zu halten ist.
Framework zum präventiven Krisenmanagement in Kommunen
Abseits des notwendigen Ausbau von resilienten Infrastrukturen, die die materielle und strukturelle Basis bilden, um das durchgängige Funktionieren kritischer Dienste sicherzustellen, ist es zwingend erforderlich, dass vorbereitende, proaktive Maßnahmen und Strategien im Vorfeld einer möglichen Krise entwickelt und implementiert werden. Dadurch können die Schäden für die Organisation und für Einzelne begrenzt werden. Das Vorhaben ist komplex. Prävention und Resilienz sind miteinander verkettet und geprägt von gegenseitigen Abhängigkeiten. Eine umfassende und tiefgehende Betrachtung ist unerlässlich.
Was mit in der Arbeit als Krisenmanagerin immer wieder auffällt, ist die Verunsicherung der Kommune bei Entscheidungen und im Handeln. Es fehlt an einem Framework, das der Stabilisierung der IT-Lagen dient und den Wiederaufbau beschleunigt. Mag ein solches Rahmenwerk den Kommunen zwar nicht als exakte Handlungsanleitung dienen – dafür gibt es bestenfalls eingeübte Notfallpläne – aber als Grundlage einer Verständigung zwischen den Akteuren. An wen melde ich welche Informationen? An welche Partner auf gleicher Ebene kann ich Leistungen zeitweise auslagern, um den Wiederanlauf optimal in die Wege zu leiten? Wie entlaste und mit wem verstärke ich mein IT-Team? Wie erhalte ich Informationen aus meinem Vorfall? Welche Stellen sind wie in den Vorfall einbezogen?
Dabei geht es auch um das Vertrauen in eine belastbare Zusammenarbeit. Dass ein derartiges Framework regional individualisiert und eine entsprechende Anpassung auf die speziellen Kontexte und Bedürfnisse vorgenommen werden muss, versteht sich von selbst in Anbetracht der heterogenen IT-Landschaft, aber auch der Aufgaben der kommunalen Daseinsvorsorge, die teils ausgelagert, teils in Eigenregie erfolgen.
Gemeinsames Handeln grundsätzlich einplanen
Eine massive Beschleunigung der Aktivitäten wird erreicht, wenn die verschiedenen Akteure gemeinsame resiliente Kommunikations- und Informationskanäle und Kommunikations- und Koordinationsmechanismen im Rahmen der Prävention und Bewältigung von IT-Lagen aufbauen und pflegen. Grundlegend ist ein stetiger Informationsfluss zwischen den Akteuren zur Analyse von Schwachstellen und zur gemeinsamen Situationsbewertung. Nur ein solcher Informationsfluss gewährleistet eine entsprechende Risikobewertung und -analyse.
Aufbau von Kapazitäten
Im Zuge von IT-Krisen wird immer wieder Unterstützung aus anderen Kommunen oder kommunalen IT-Verbünden angefordert. Erste Überlegungen werden laut, ein sogenanntes Pooling zu etablieren. Dafür muss die gemeinsame Nutzung von Ressourcen und Kapazitäten ausgehandelt werden. Damit die Arbeitsschritte effizient ineinander greifen, müssen Planungen und Übungen verstärkt gemeinsam erfolgen. Ressourcen und Organisationseinheiten der Partner sind zu integrieren, um die Koordination im Ernstfall zu verbessern. Und tatsächlich gilt dies nicht ausschließlich für das IT-Personal, sondern erfahrungsgemäß stockt der Prozess in den Bereichen der inneren Verwaltung, insbesondere bei den Entscheidungen über Art und Umfang der Bereitstellung von Personal.
Grundsätzlich muss man deshalb überlegen, welche spezifischen Rollen und Verantwortlichkeiten, welche Ressourcenzuweisungen und Eskalationsverfahren bis tief in die Verwaltung hinein notwendig sind, um die Vorfallsbearbeitung und gegebenenfalls den Wiederanlauf signifikant zu beschleunigen – in Übereinstimmung mit geltenden Gesetzen, Standards und Bestimmungen. Ein definiertes Framework legt fest, welches Fach- und Expertenwissen sinnvoll vermittelt oder ergänzt werden sollte. Die Beschaffung von Technologien und Software kann planvoll angegangen werden, sodass Beschaffungsvorgänge nicht mehr im Krisenfall unter Zeitdruck und mit eingeschränkter Auswahl zementiert werden. Vor diesem Hintergrund müssen auch die Service Level Agreements in den Blick genommen werden. Die Reaktionsfähigkeit der Partner in der Wirtschaft muss überprüft werden.
Evaluation und Verbesserung
Basierend auf Erkenntnissen und technologischen Entwicklungen müssen die Vereinbarungen regelmäßig überprüft werden, um ihre Wirksamkeit und ihren Nutzen aufrechtzuerhalten. Mitunter muss auch über Erweiterungen des Umfangs nachgedacht werden. Welche mitunter psychologische Unterstützung brauchen Mitwirkende und Betroffene während einer über Wochen andauernden Krise? Dann, wenn der Druck derart Überhand nimmt, dass Mitarbeiter, auf deren Schultern die Masse an kritischen Aufgaben lastete, die Ruhezeiten bis zur unvermeidlichen Erschöpfung nicht mehr beachten können und sich Gefahren aussetzen (Übermüdung und Fahrtzeiten)? Wenn sie im Affekt Schuldzuweisungen äußern, die Teams auseinander brechen lassen? Diese Beobachtungen werden nicht in zwei Kernübungstagen sichtbar. Diese Effekte müssen überlegt eingearbeitet werden.
Einbeziehung und Beteiligung
Gleiches gilt für den Input aus der Community. Unterschiedliche Anspruchsgruppen formulieren unterschiedliche Bedürfnisse und können zusätzliche Kapazitäten und Expertise zur Verfügung stellen. Dazu müssen jeweils Kooperationen mit lokalen Organisationen, Unternehmen oder NGOs ausgehandelt werden, und Abläufe regelmäßig geübt und hinterfragt werden, um die Wirksamkeit des Krisenmanagements zu erhöhen. Gleichzeitig fördern Aufklärungskampagnen für die Bevölkerung, die auf Bildung, Information und Beteiligung abzielen, die Resilienz der Gesellschaft. Verunsicherung werden vermieden. Das Vertrauen wird bestenfalls gestärkt.
Commitment der Kommunen untereinander
Commitment ist eine verbindliche Erklärung miteinander, die IT-Krisen zu meistern und Resilienz aufzubauen. Interkommunal, Ebenen übergreifend. Ein ausgehandeltes Framework für ein präventives IT-Krisenmanagement, ausgerichtet auf Schnelligkeit, Kapazitäten und Akzeptanz, mit dem permanent trainiert, das kontinuierlich verbessert und dessen Fähigkeiten und dessen Wissenstransfer in Übungen auch in den Kommunen vor Ort überprüft wird, bildet dies ab.
Eine erste Stellungnahme des BBK zur Lükex 23 lautet: Schon jetzt habe sich gezeigt, dass die bestehenden Netzwerke im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden könnten. Die Lükex 23 hat in der Theorie voraussichtlich nochmal bestätigt, wie sich die Situation in der Praxis darstellt.
Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriff auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Sicherheit für Sicherheitsforschende“, „Cyberkrisen den Schrecken nehmen“ und „Lasst uns den Cybernotfall üben!“.