Grund: Ein bösartiges Computer-Schadprogramm hat den Online-Geldverkehr in Deutschland komplett lahmgelegt — mitten im vorweihnachtlichen Einkaufstrubel haben die Menschen plötzlich keine Möglichkeit mehr, bargeldlos zu zahlen, weil EC- und Kreditkarten nicht mehr funktionieren . . .

Das ist das Einstiegsszenario für eine großangelegte bundesweite Krisenübung zur IT-Sicherheit. Darin proben seit Mittwoch rund 3000 Mitarbeiter des Bundes und der Länder, aber auch von Banken, Flughäfen, Unternehmen und Polizei zwei Tage lang den Cyber-Ernstfall — einen massiven Hacker-Anschlag aus dem Internet.

Bei dem Manöver mit der Bezeichnung „Lükex 11“ gehe es vor allem um die Reaktion von Behörden und Krisenstäben auf ein „lebendiges Szenario“, sagt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Szenario war ohne Wissen der Beteiligten 18 Monate lang von der Akademie für Krisenmanagement, Notfallplanung und Zivilschutz vorbereitet worden. Die Akademie gehört zum Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das auch im Cyber-Abwehrzentrum in Bonn mitwirkt.

Für das zweitägige Szenario gibt es sogar ein regelrechtes Drehbuch — wie im Film. Darin ist der angenommene Anschlag auf den bargeldlosen Zahlungsverkehr nur der „moderate“ Einstieg: Die unbekannten Angreifer aus dem Internet können — laut Drehbuch — nämlich noch viel mehr.

„In die Krisenstäbe werden ständig neue Lagen eingespielt, die sich immer mehr verschlimmern“, verrät BSI-Sprecher Gärtner.

So sah das Szenario für gestern Abend plötzlich lahmgelegte Zugangskontrollen am Frankfurter Flughafen vor, die — virtuell — zu einer vorübergehenden kompletten Schließung des internationalen Drehkreuzes führten.

Gärtner: „Da geht es um Fragen wie: Wie laufen die Kontrollen ab? Wer darf den Flughafen betreten, wer darf hinaus, wie werden Passagiere abgefertigt, wie wird die Sicherheit gewährleistet?“

Ziel der Übung sei, „ein realistisches Bild zu erhalten, inwieweit wir in Deutschland durch IT verursachte Krisensituationen managen können“, sagt Gärtner. Wichtig sei das Manöver vor allem, weil es im Bereich der Informationstechnik keinerlei Prognosen gebe. Man müsse jederzeit mit einem Angriff rechnen.

Einen solchen Angriff hat es in der Realität bereits gegeben: Im April 2007 wurde Estland von heftigen Cyber-Attacken erschüttert. Unbekannte Angreifer aus dem Internet attackierten Server der Regierung.

Auch Rechner von politischen Parteien, Banken, Wirtschafts- und Medienunternehmen waren betroffen. Regierung und Verwaltung waren tagelang nicht per Internet erreichbar. Betroffen waren auch die Rechner in Krankenhäusern und bei Energieversorgern.