Zukunft der Bundeswehr Ohne Cyberverteidigung keine Sicherheit

Bild von Sandro Gaycken
Experte für Cyberwar, Direktor des Digital Society Institutes European School of Management and Technology (ESMT)

Expertise:

Dr. Sandro Gaycken ist Experte für Cyberwar und Direktor des Digital Society Institutes, der Forschungseinrichtung für Digitale Unternehmen der ESMT. Zudem berät er die Bundesregierung sowie verschiedene Unternehmen, darunter die NATO, UNO und die OSCE, in den Bereichen der IT-Sicherheit. Seine Arbeitsschwerpunkte liegen bei Cyberkriegsführung, Cyberintelligence und Hochsicherheits-IT.

Die Truppe ist abhängig von Computern für Planung, Logistik, Führung. Damit bietet sie neue Angriffsflächen, meint der Digitalexperte.

Einmal offensiv: Eine Befähigung zum Cyberangriff wäre eine ganz hervorragende und völkerrechtlich zu empfehlende Maßnahme.

Cyberangriffe sind relativ kosteneffizient, bei richtiger Entwicklung nicht tödlich und können kriegsvermeidend wirken.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Cyberangriffe sind verhältnismäßig kosteneffizient, bei richtiger Entwicklung nicht-letal, und sie können begleitend oder auch allein abschreckend, kriegsvermeidend und kriegsentscheidend wirken. Ein ausgezeichnetes Wirkmittel. Man muss es allerdings sehr gut beherrschen, und man braucht gute Vorarbeiten, um im Ernstfall auch taktisch mit diesem Mittel agieren zu können.

Da kommen die eher kontroversen Elemente auf. Cyberangriffe finden auf militärische IT-Systeme statt, die allerdings auch im zivilen Bereich genutzt werden. Beherrscht man seine Angriffe nicht, können Kollateralschäden entstehen. Außerdem bedeutet die Vorarbeit, dass man sich bereits zu Friedenszeiten in seinen potentiellen Gegner einhackt, um dort Zugänge zu legen und Spezifikationen zu exfiltrieren. Das sind beherrschbare, aber politisch zu diskutierende Probleme.

Die Truppe ist bei Planung, Logistik, Einsatzführung abhängig von Rechnern. Sie kann nicht mehr ohne sie.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Defensiv wird es noch einfacher und kontroverser. Der einfache Teil ist sofort einsichtig: Ohne Cyberverteidigung keine Bundeswehr. Die Truppe ist abhängig von Computern. Planung, Logistik, Einsatzführung, Command & Control in allen Farben und Formen, die Nato, bis zu Kampfjets, Fregatten, Raketen und Panzern – alles hängt an Rechnern und kann nicht mehr ohne. Und leider sind das keine militärischen Spezialrechner, sondern der ganze normale Krempel aus dem Elektronikmarkt. Wer da rein will, der kommt da auch rein.

Nun beginnt der kontroverse Teil, denn hier sind drei Lösungsoptionen im Gespräch. Die erste: Wir machen so weiter und hoffen, dass die IT-Sicherheitstechnik irgendwann mal so reif ist, dass sie auch funktioniert. Diese Hoffnung hat keine echte Grundlage. Der übliche Mist aus Verschlüsselung und „Intrusion Detection“ funktioniert aus strukturellen Gründen bereits im normalen Office-Umfeld nur begrenzt. Übertragen auf andere Anwendungsfelder und im Visier deutlich hochwertigerer Gegner tragen die Konzepte gar nicht mehr – egal, wie viel da noch rumgebastelt wird.

Um Verwundbarkeit zu vermeiden, muss die Vernetzung reduziert werden. Das Militär braucht Hochsicherheits-IT-Konzepte.

zustimmen
ablehnen
Ergebnis
Debattenübersicht

Die zweite Option: Wir greifen jeden Angreifer zurück an und schalten die Angriffe dort aus. Auch das ist schwierig. Rückangriffe haben eine hohes Eskalationspotential, und wir müssten die Angriffe überhaupt erst einmal schnell genug bemerken. Das gelingt bislang nicht. Hochwertige Angreifer werden in der Regel erst nach Monaten bemerkt. Ein echter militärischer Angriff braucht aber nur einige Minuten bis zum Kriegsentscheid. Diese Asymmetrie lässt sich für den Ernstfall nicht auflösen.

Bleibt nur eine dritte Option: Es muss deutlich stärker entnetzt werden, und es müssen Hochsicherheits-IT Konzepte entwickelt und industrialisiert werden, die folgend in einem längeren Prozess die alte IT aus dem Militär drängen müssen. Nur so lassen sich Verwundbarkeiten vermeiden, und nur mit einer Vermeidung von Verwundbarkeiten lässt sich das Problem grundlegend und nachhaltig lösen. Mein Favorit.

Das ist aber schmerzhaft, teuer und unangenehm. Und das ist nicht beliebt bei der ohnehin immer unter externen Sparsamkeitgelüsten und öffentlicher Kritikwut leidenden Bundeswehr. Wenn also kein harter Vorfall oder unumstößlicher Beweis vorliegt, wird nicht viel passieren. NSA und FSB hin oder her.

Zumindest solange nicht die Führung des Hauses einschreitet. Hier gibt es moderate Hoffnung. Die Ministerin hat das Thema entdeckt, es aus der Tuschel- und Schmuddelecke heraus gehoben.  Der angestoßene Prozess „Cyber“ ist allerdings noch offen. Wird er klug ausdekliniert, könnten sowohl die Bundeswehr als auch die deutsche Industrie in hohem Umfang davon profitieren. Einige Richtlinien, die ich bereits im Weißbuch-Prozess vorstellen durfte, könnten so ein kluges Verfahren gewährleisten:

Entpolitisierung: Eine harte und hochwertige Sicherung darf nicht als politisches Thema bearbeitet werden, sondern muss sachbezogen, objektiv und kritisch stattfinden. Die Sicherheit Deutschland und deutscher Soldaten hängt daran. Dafür ist auch eine streitkräfteweite Akzeptanz der hohen Relevanz wichtig. Kritische Stimmen dürfen nicht bestraft und isoliert werden.

Risikoorientierung: Sicherheit muss proportional zur Bedrohung entwickelt werden. Bedrohungsmodelle aus militärischer Threat Intelligence und Analyse müssen die Basis aller Anschaffungen und Aufstellungen sein, Sicherheitsansätze müssen dazu unabhängig und vor dem Einkauf auf Effektivität und Effizienz geprüft werden.

Basis-IT als Problem: Verwundbare Basis-IT – Microsoft, Apple, Oracle, SAP und Konsorten – muss als Grundproblem adressiert und in Einkauf und Betrieb gestoppt und ausgeräumt werden. Military-Off-The-Shelf-IT muss aus disruptiven Ansätzen konzipiert und industrialisiert werden, die dann auch Exportchancen entfalten und unserem Wirtschaftswachstum dienlich sein wird.

Unabhängige Aufhängung: Bedrohungsmodelle, Anschaffungen von IT quer in der Bundeswehr, Analysen und Tests müssen unabhängig von Herstellern und hauseigenen IT-Abteilungen sowie quer über alle Geräte erfolgen. Es darf keine geschönten „Selbstabnahmen“ mehr geben.

Kompetenzentwicklung: Cyber ist immer mehr Knowhow als Technik. Bewertungskompetenz, Entwicklungskompetenz, strategisch-taktische Planungskompetenz, Führungskompetenz und operative Kompetenz müssen aufgebaut werden. Kompetenz muss kritisch geprüft werden. Mangelnde Kompetenz muss erkannt, adressiert und isoliert werden, Ausbildung und Besoldung müssen verbessert und an Bedingungen des IT-Marktes angepasst werden.

Nur ein derart unabhängiger und problemorientierter Prozess kann das Problem lösen. Andere, halbseidene oder politisch aufgesetzte Prozesse werden direkt oder indirekt nur Unsummen verschlingen, uns tiefer in Abhängigkeit und Unsicherheit treiben und unsere Wirtschaft und Verteidigung einer großen Gelegenheit zu echtem Wachstum berauben.

Sie können an dieser Stelle derzeit keinen Kommentar schreiben.