Cyberkrieg und die Bundeswehr Warum Cyber-Gegenangriffe gefährlich sind

Bild von Stefan Heumann
Mitglied des Vorstands, Stiftung Neue Verantwortung

Expertise:

Stefan Heumann studierte Politikwissenschaften an der Freien Universität Berlin und der Université de Provence in Aix-en-Provence. Ferner studierte und promovierte er an der University of Pennsylvania. Er lehrte und forschte zwei Jahre als Assistant Professor Politikwissenschaften an der University of Northern Colorado. Von 2011 bis 2013 koordinierte er die Öffentlichkeits- und Programmarbeit des US-Generalkonsulats in Hamburg. Im Rahmen dieser Tätigkeit initiierte und organisierte er transatlantische Expertenkonsultationen zu Themen wie Außen- und Sicherheitspolitik, Energiepolitik und technologischen und gesellschaftlichen Wandel. Als Mitglied des Vorstands der Stiftung Neue Verantwortung befasst sich Stefan Heumann heute unter anderem mit der strategischen und methodischen Begleitung der Projekte. Zuvor hat er bei der SNV das Programm „Europäische Digitale Agenda“ mit Ben Scott aufgebaut und bis März 2016 geleitet. Seine Schwerpunkte liegen auf den Themen Arbeitsmarkt 4.0, Digitale Grundrechte, Überwachung & Transparenz, Digitale Infrastrukturen und Internationale Cyber-Sicherheitspolitik.

Die Bundeswehr soll bei Cyberangriffen digital zurückschießen dürfen, auch wenn zivile Ziele betroffen sind. Warum das gefährlich ist - und was eine bessere Lösung wäre.

Weltweit herrscht ein starker Trend zur Militarisierung des Internets. Die Vereinigten Staaten, Russland und China rüsten ihre Militärs schon seit einigen Jahren für künftige Cyber-Konflikte. Mit dem neuen Kommando Cyber- und Informationsraum der Bundeswehr erkennt auch das Verteidigungsministerium die Bedeutung des Cyber-Raums in der Kriegsführung an. Rufe nach einer Ausweitung der Befugnisse der Bundeswehr zum Schutz ziviler Infrastrukturen sind jedoch nicht nur gefährlich, sondern auch kontraproduktiv. Sie erhöhen die Gefahr militärischer Eskalation und schwächen die für die Cyber-Sicherheit so wichtige Zusammenarbeit zwischen staatlichen und wirtschaftlichen Institutionen. Deutschland hat eine starke zivile Cyber-Sicherheitsarchitektur. Diese muss weiter gestärkt werden anstatt hier militärisch aufzurüsten.  

Die Ausweitung der Befugnisse der Bundeswehr zum Schutz ziviler Infrastrukturen wäre kontraproduktiv. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Es ist richtig, dass man die Bedrohung aus dem Cyber-Raum in der Bundeswehr ernst nimmt. Die Expertise und Ressourcen, die hierzu unter dem neuen Cyber-Kommando gebündelt werden, werden dringend benötigt, um sich auf neue Formen von Angriffen und Kriegsführung einzustellen. IT-Systeme durchdringen mittlerweile alle Bereiche der Bundeswehr: von den Waffensystemen über die Befehlssteuerung bis hin zur Logistik. Die Bundeswehr muss sich mit der Verwundbarkeit dieser Systeme befassen und ihre eigene IT-Sicherheit erhöhen. Auch mit den Möglichkeiten, digitale Verwundbarkeiten in gegnerischen Militärs auszunutzen, wird man sich beschäftigen müssen. Denn selbstverständlich muss die Bundeswehr bei digitaler Kriegsführung auch in der Lage sein, zurückzuschlagen.       

Forderungen nach einer Ausweitung des Mandats der neuen militärischen Cyber-Einheit auf den Schutz kritischer Infrastrukturen schießen jedoch nicht nur über das Ziel hinaus. Diese Forderungen sind sogar gefährlich. Sie erhöhen drastisch die Wahrscheinlichkeit zwischenstaatlicher Konflikteskalation. IT-Sicherheitsvorfälle haben in der Regel eines gemeinsam: Es ist nicht klar, wer hinter ihnen steckt. Trotzdem fordern einige Experten, dass die Bundeswehr bei einem Angriff auf ein Stromnetz den Angriff nicht nur in fremde Server zurückverfolgen, sondern auch zurückschlagen und diese lahmlegen können soll. Das heißt, wir wissen gar nicht, wer verantwortlich ist aber wir schlagen mit unserem Militär zurück. Ein solches Eingreifen der Bundeswehr in die IT-Infrastruktur im Ausland würde nicht ohne Folgen bleiben. Andere Staaten könnten darin einen militärischen Angriff sehen und entsprechend antworten. Und das alles aufgrund eines Vorfalls hinter dem auch kriminelle Hacker stecken könnten. Wenn eine kriminelle Organisation von Dänemark nach Deutschland kommt, um Banken zu überfallen, antworten wir auch nicht mit einem Angriff der Bundeswehr auf ihr Versteck hinter der Grenze. Ansonsten würden aus grenzüberschreitender Kriminalität ohne Not zwischenstaatliche Konflikte gemacht. Das kann nicht in unserem Interesse sein.

Ein Eingreifen der Bundeswehr in die IT-Infrastruktur im Ausland könnte als militärischer Angriff gesehen werden. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Die Bundesregierung hat auch erkannt, dass wir das zwischenstaatliche Konfliktpotential im Cyberraum dringend begrenzen müssen. Das Auswärtige Amt setzt sich daher für internationale Normen bezüglich grenzüberschreitendem, staatlichem Handeln im Internet ein. Ziel ist es, verbindliche Regeln für den internationalen Cyber-Raum zu definieren, wie sie zum Beispiel zur Kontrolle von Atomwaffen existieren. Zentrale Elemente dieses Ansatzes sind Zurückhaltung bei offensiven Cyber-Operationen und vertrauensbildende Maßnahmen. Generelle Befugnisse, mit militärischen Cyber-Operationen auf IT-Sicherheitsvorfälle zu reagieren, würden hingegen Vertrauen zerstören und zu Eskalation führen. Sie würden unnötigerweise den internationalen Konsens, dass militärische Einsätze immer nur das letzte Mittel sein sollten, in Frage stellen.

Das heißt nicht, dass wir keine Mittel haben, kritische Infrastruktur vor Cyber-Angriffen zu schützen. Eine ganze Reihe von zivilen Institutionen ist bereits mit dem Schutz unserer Infrastruktur befasst. Diese gilt es zu stärken und strategisch weiterzuentwickeln. Denn ob Wasser- oder Stahlwerke, Banken oder Flughäfen - kritische Infrastruktur ist in Deutschland in der Regel in der Hand von privaten Unternehmen. Um einen Angriff überhaupt zeitnah identifizieren und entsprechende Gegenmaßnahmen ergreifen zu können, ist eine enge und vertrauensvolle Kooperation zwischen Unternehmen und Sicherheitsbehörden dringend erforderlich. Das nationale Cyber-Abwehrzentrum unter Federführung des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll genau diese vertrauensvolle Zusammenarbeit fördern und vorantreiben. Die Weiterentwicklung des BSI zu einer starken und unabhängigen Behörde für IT-Sicherheit wäre der nächste konsequente Schritt, um den Schutz unserer zivilen Infrastruktur vor Hackerangriffen weiter zu verbessern.   

Für Gegenmaßnahmen bei einem Cyber-Angriff bedarf es der Kooperation von Unternehmen und Sicherheitsbehörden. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Wie sollen wir aber mit den geforderten “Hack-back” umgehen? Es mehren sich die Rufe, dass Server, von denen Cyber-Angriffe ausgehen, mit einem Gegenangriff lahmgelegt werden sollen. Es gibt gute Gründe, hier äußerst vorsichtig zu sein. Schließlich nutzen Angreifer oftmals die Server unbeteiligter Dritter für ihre Attacken. So könnte ein sogenannter “Hack Back” dazu führen, dass die Infrastruktur eines Krankenhauses ausgeschaltet wird. An diesem Beispiel wird schnell klar, warum die Bundeswehr hier nicht zum Einsatz kommen sollte. Wir sollten niemals ohne Not militärische Mittel einsetzen. Vor allem nicht, wenn wir die Folgen solcher Maßnahmen gar nicht abschätzen können. Das Argument, dass Polizei und andere zivile Sicherheitsbehörden, hier überfordert wären, ist nicht stichhaltig. Terrorismusbekämpfung ist schließlich auch eine zentrale sicherheitspolitische Herausforderung. Hier ruft aus guten Gründen auch niemand nach der Bundeswehr. Stattdessen diskutieren wir, wie wir Polizei und Sicherheitsbehörden besser ausstatten, international vernetzen und ihre Zusammenarbeit verbessern können. Diesen Ansatz sollten wir auch zum Schutz unserer IT-Systeme verfolgen.

Das soll nicht heißen, dass man nicht darüber nachdenken sollte, wann und unter welchen Umständen ein “Hack Back” sinnvoll sein könnte. Um internationale Eskalation und Kollateralschäden zu vermeiden, brauchen wir hierzu ein Höchstmaß an klaren gesetzlichen Regeln und Transparenz. So könnte man zum Beispiel überlegen, ob es Fälle gibt, bei denen das Bundeskriminalamt zu diesem Mittel greifen sollte. Aber nur wenn sich tatsächlich herausstellen sollte, dass es sich bei dem Cyber-Angriff um einen staatlichen Angriff auf die Bundesrepublik Deutschland handelt, sollte die Bundeswehr zu eigenen Gegenmaßnahmen greifen. Hierfür hat die Bundeswehr bereits ein klares Mandat. 

Wir sollten niemals ohne Not militärische Mittel einsetzen. 

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Die Einrichtung des neuen Kommando Cyber- und Informationsraum ist ein wichtiger Schritt für die Bundeswehr. Das heißt aber nicht, dass wir bewährte Grundsätze zum Schutz unserer Infrastrukturen über Bord werfen sollten. Statt IT-Sicherheit zu militarisieren und damit die internationale Eskalationspotenziale zu erhöhen, sollte die Rolle der Bundeswehr auf ihre verteidigungspolitischen Kernaufgaben beschränkt bleiben. Für den alltäglichen Umgang mit IT-Sicherheitsfällen brauchen wir einen zivilen Ansatz. IT-Sicherheitsgesetz und Stärkung des BSI sind hier die richtigen Hebel. Auf diese sollten wir uns konzentrieren. Denn beim Schutz unser zivilen Infrastrukturen gilt: Cyber-Angriff ist nicht die beste Verteidigung.

1 Kommentar - Diskutieren Sie mit!

Diese Community ist nur während der Arbeitszeiten der Tagesspiegel-Community-Redaktion geöffnet. Sie können täglich von sechs bis 21 Uhr Kommentare schreiben.

  1. von Wolfgang Böckel
    Ab heute wird zurückgeschossen. Es kann einem Angst und Bange werden, wenn man wie vorgeschlagen diese Gurkentruppe mit dieser Ausrüstung auch noch im Cyberkrieg einsetzen will. Abgesehen davon, dass solche "Attacken" von manchen als "Kriegserklärung" aufgefasst werden könnten. Offensichtlich zielt der Vorstoß nur darauf ab mehr Steuergeld zum Verbrennen zu bekommen.