Cyber-Angriffe der Bundeswehr Eine Cyber-Armee braucht auch einen Auftrag

Bild von Martin  Schallbruch
ESMT Berlin

Expertise:

Martin Schallbruch ist Deputy Director des Digital Society Institute an der ESMT Berlin und forscht über Fragen der Cyber Regulation und Cyber Innovation. Bis Frühjahr 2016 leitete er über viele Jahre die Abteilung für Informationstechnik, Digitale Gesellschaft und Cybersicherheit im Bundesinnenministerium.

Das neue Kommando Cyber- und Informationsraum der Bundeswehr soll Deutschland künftig vor Cyber-Angriffen schützen. Das kann jedoch nur gelingen, wenn es den Cyber-Soldaten gestattet wird, aktiv und grenzübergreifend gegen Gefahren vorzugehen. Reine Defensivtaktiken werden das Land nicht schützen. 

Dieser Tage hat das Kommando Cyber- und Informationsraum der Bundeswehr den Dienst aufgenommen. Neben Heer, Marine und Luftwaffe verfügt das deutsche Militär nun auch über eine Waffengattung für den Cyber-Krieg. Die veröffentlichten Zahlen sind beeindruckend: In den ersten neun Wochen des Jahres 2017 habe es 284.000 Angriffe auf die IT der Bundeswehr gegeben, die abzuwehren waren. 13.500 Soldaten solle das Cyber-Kommando haben. Allein dieses Jahr würden noch 1000 IT-Soldaten gesucht. Eine entscheidende Frage jedoch blieb in der Berichterstattung über die deutschen Cyber-Krieger offen: auf welchen Kampf bereiten sich die „digitalen Kräfte“ der Bundeswehr vor? Was ist ihr Auftrag?

Militärische Auseinandersetzungen haben heute ein digitales Vor- oder Begleitspiel.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Von der Verteidigung der IT-Systeme der Bundeswehr war die Rede, von Amtshilfe für andere Behörden, von begleitenden Maßnahmen im Rahmen von UNO- oder NATO-Kampfeinsätzen. Die neue Cyber-Truppe der Bundeswehr soll Handlungsfähigkeit, Entschlossenheit und einen großen Wurf demonstrieren. Die Kommunikation rund um das Cyber-Kommando verbirgt jedoch ein Dilemma, in dem die deutsche Cyber-Verteidigung steckt: Die Angriffe nehmen zu, aber die Bundeswehr ist in der Regel weder befugt noch zuständig, Deutschland im Cyber-Raum zu verteidigen. Nur sich selbst kann und darf sie schützen: Die PCs in den Bundeswehr-Schreibstuben wird sie gegen die vielen ungezielten „Cyber-Angriffe“ verteidigen (hinter denen ganz überwiegend harmlose Portscans stecken, eine Software, die Computer oder Netzwerke auf offene Zugänge, Netzwerk-Dienste oder verbundene Geräte untersucht). Zunehmend wird es auch schwerwiegende und gezielte Angriffe abzuwehren gelten. Solchen Angriffen ist die Bundeswehr ebenso ausgesetzt wie große Unternehmen. Die Verteidigung ist aufwändig. „Stuxnet“, die Manipulation der iranischen Urananreicherung durch amerikanisch-israelische Kooperation, hat gezeigt, dass solche Angriffe militärische Optionen sind. Militärische Auseinandersetzungen haben heute ein digitales Vor- oder Begleitspiel: Digital gesteuerte Waffen-, Aufklärungs- oder Logistiksysteme sind Angriffsziele gegnerischer Hacker. Mit der neuen Cyber-Truppe wird die Bundeswehr sich selbst und die eigenen Systeme besser schützen können. Doch wer verteidigt unser Land?

Cyber-Angriffe zeichnen sich dadurch aus, dass die Urheber des Angriffs nicht oder jedenfalls nicht zeitnah zu ermitteln sind. Operationen „unter falscher Flagge“ sind die Regel. Angriffswerkzeuge vagabundieren durch das Internet, zuletzt das digitale Waffenarsenal der CIA bei Wikileaks. Solche Waffen können von jedem genutzt und weiterentwickelt werden. Mit der Digitalisierung der kritischen Infrastrukturen steigt die Bedrohung durch Angriffe, deren Ziel nicht nur das Abschöpfen, sondern das Lahmlegen ist. Beispiele wie die Angriffe auf Stahlwerke, Wasserwerke, Umspannwerke oder das internationale Zahlungsverkehrssystem zeigen, in welche Richtung sich die Bedrohung entwickelt. In all diesen Fällen war die Bundeswehr nicht zuständig. Nur dann, wenn die hohe Schwelle eines „bewaffneten Angriffs“ auf unser Land überschritten ist, kann das Militär agieren.

Die Cyber-Truppe muss mehr tun als nur die Bundeswehr zu schützen. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Charakteristisch für die neue Art von Cyber-Angriffen ist aber gerade, dass diese Schwelle nicht erreicht wird. Selbst wenn mutmaßlich ein ausländischer Staat hinter dem Angriff steht: Zuständig sind die Behörden der inneren Sicherheit, in der Regel also die örtlichen Polizeibehörden. Die Bundeswehr und ihre neue Cyber-Truppe kommt erst ins Spiel, wenn die Polizeiführer sie um Amtshilfe bitten, also Soldaten anfordern, um digitale Sandsäcke zu schleppen, ähnlich wie bei Flutkatastrophen. Doch auch dann endet die Befugnis der Cyber-Krieger schnell: die gesetzliche Grundlage für Cyber-Operationen reicht nur bis zu den deutschen Grenzen. Doch was tun, wenn der Angriff auf inländische Ziele von einem ausländischen Server gesteuert wird? Wenn sensible Daten aus deutschen Einrichtungen ins Ausland abfließen? Oder wenn gar Bomben im Inland von einem Internetserver im Ausland gesteuert werden? Wer stoppt den ausländischen Server? Es bleibt nur ein internationales Rechtshilfeersuchen, das Monate dauert – zumal bei den Staaten, die Plattformen für Cyber-Operationen sind. Deutsche Sicherheitsbehörden haben keine Befugnisse, Angreifer im Ausland lahmzulegen, weder Militärs noch Polizei oder Nachrichtendienste. „Hack-Back“, das Eindringen in fremde Server im Ausland, ist verboten. Selbst der BND darf die Server im Ausland nur beobachten, nicht lahmlegen. Die neue deutsche Cyber-Sicherheitsstrategie von 2016 nimmt sich dieses Themas mit spitzen Fingern an: Die Bundesregierung werde prüfen, unter welchen Bedingungen „Hack-Back“ in Frage komme. Ähnlich war dies schon fünf Jahre zuvor in der damaligen Strategie formuliert worden.

Für eine wirksame Sicherheit im Netz muss ein Land sich auch aktiv gegen Angriffe von außen wehren können. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Jetzt ist es an der Zeit, Antworten zu formulieren auf die wachsende Cyber-Bedrohung: An erster Stelle muss selbstredend die defensive und präventive Stärkung der Sicherheit der IT-Systeme stehen. Aber zu wirksamer Sicherheit im Netz gehört auch, dass sich ein Land gegen Angriffe von außen aktiv wehren kann. Die Politik muss die Voraussetzungen hierfür sorgfältig definieren und „Hack-Back“ zur Gefahrenabwehr gesetzgeberisch absichern. Dazu gehört auch die Entscheidung, wer zuständig sein soll. Die Fähigkeiten zu solchen Operationen können nur an einer Stelle in ausreichender Stärke und Kompetenz aufgebaut werden. Die Bundeswehr mit ihrem Cyber-Kommando bietet sich an. Ähnlich wie bei der Luftsicherheit könnte sie im Auftrag und in Amtshilfe für die Polizeien tätig werden und in eine zivil-militärische Steuerung eingebunden sein. Die Debatte über die Befugnis für Cyber-Operationen im Ausland wirft schwerwiegende Fragen auf, von der völkerrechtlichen und diplomatischen Dimension bis hin zu Fragen der Parlamentsbeteiligung oder dem Umgang mit drohenden Kollateralschäden. Doch angesichts der Cyberbedrohungen muss sich die deutsche Sicherheitspolitik diesen Fragen stellen. Eine Cyber-Armee allein reicht nicht, sie braucht auch einen Auftrag.

0 Kommentare - Diskutieren Sie mit!
Bitte melden Sie sich zunächst an, um die Kommentarfunktion nutzen zu können.