Wie die Bundeswehr in gegnerische Netze eindringen und ihre IT-Angriffe tarnen will

Das "Kommando Strategische Aufklärung" (Bild: Screenshot von bundeswehr-journal.de)
Das „Kommando Strategische Aufklärung“ (Bild: Screenshot von bundeswehr-journal.de)

Vergangenen Monat hatten wir hier über das Bundeswehr-Kommando „Strategische Aufklärung“ berichtet. Eine dort eingerichtete Gruppe „Computer Netzwerk Operationen“ (CNO) entwickelt Fähigkeiten zum „Wirken im Cyber-Raum“ (die Bundeswehr nennt das den „Kampf in der fünften Dimension“). Sie hat den Auftrag, „oberhalb der Schwelle des bewaffneten Konflikts“ gegnerische Ziele anzugreifen und zu zerstören.

Nun hat die Bundesregierung weitere Details zur Arbeitsweise und zu Fähigkeiten des Cyber-Trupps mitgeteilt. Nämlich:

Schwachstellen in Soft- und Hardware werden genutzt, um in gegnerische Netzwerke einzudringen, dort aufzuklären, einzelne Funktionen zu stören und zeitweise außer Betrieb zu setzen oder dauerhaft zu schädigen. Das Vorgehen im Einzelfall hängt ab vom Operationsziel und von der Konstellation der Schutzfunktionen des gegnerischen Netzwerks. Dabei werden die Vorgehensweise und die dabei zu nutzenden Werkzeuge auf den Einzelfall zugeschnitten.

Inwiefern sich auch die Bundeswehr zum Eindringen in fremde Computersysteme auf dem Markt für 0day-Exploits bedient, bleibt offen. Allerdings geht es beim Cyberkrieg längst nicht nur um den Einsatz von Trojanern oder anderer Möglichkeiten zum Eindringen in gegnerische Rechnersysteme. Denn die gegnerischen Militärs sollen mit allen Mitteln getarnt und getäuscht werden. Die Bundesregierung ist hierzu der Auffassung, die Cyber-Krieger der Bundeswehr müssten zwar am Rechner Uniform mit hoheitlichen Abzeichen der Bundesrepublik Deutschland tragen, um sie als „Kombattanten“ zu kennzeichnen. Ihre IT-Angriffe dürften indes verschleiert werden.

95 Regeln für den Cyberkrieg

Vor zwei Jahren hatte eine Handvoll Rechtsexperten der NATO zusammen mit dem Internationalen Roten Kreuz und dem Cyber-Kommando der US-Armee das „Tallinn Handbuch“ veröffentlicht. Dort werden 95 Regeln für den Cyberkrieg ausgearbeitet. Unter anderem geht das Werk der Frage nach, welche Handlungen unter (erlaubte) Kriegslisten fallen und welche als (verbotene) Perfidie oder Heimtücke zu werten sind. Als erlaubte Tarnung und Täuschung gilt beispielsweise:

(a) Aufbau eines „dummy“-Computernetzwerks, das nicht-existierende Streitkräfte simuliert;
(b) Übermittlung falscher Nachrichten, die bei gegnerischen Kräften den Anschein erwecken, als fänden Operationen statt oder seien zu erwarten;
(c) Nutzung falscher Computer-Identitäten oder Rechnernetzwerke (beispielsweise Honigtöpfe, Honignetze), oder Computerübertragung
(d) Vorgetäuschte Cyber-Attacken die nicht Regel 36 verletzen
(e) Gefälschte Befehle die vorgeben, vom gegnerischen Kommando zu stammen
(f) Aktivitäten psychologischer Kriegsführung
(g) Übermittlung falscher Geheimdienstinformation die dafür vorgesehen ist, mitgeschnitten zu werden; und
(h) Gebrauch von Codes, Signalen oder Passwörtern des Gegners.

Das deutsche Kommando „Computer Netzwerk Operationen“ dürfte sich ebenfalls den hier beschriebenen Tätigkeiten widmen. Laut der Bundesregierung sei das Tallinn-Handbuch aber eine „rechtlich nicht bindende Darstellung von völkerrechtlichen Regeln“. Das Verteidigungsministerium sieht keinen Anlass, die dort definierten Handlungen einer kritischen Diskussion zu unterziehen oder zu erörtern, inwiefern sich auch die Bundeswehr daran zu halten hätte. Der Diskurs über das Handbuch stehe aber „allen an Fragen des Völkerrechts von Cyberoperationen interessierten Kreisen frei“.

Gefährdung ziviler Netze kann nicht ausgeschlossen werden

Strittig wäre etwa die Frage, ob die getarnten Cyberangriffe nicht auch zivile Infrastrukturen oder Personen gefährden. Etwa wenn als Urheber nicht das Militär, sondern Zivilpersonen vermutet werden, die dann Ziel von Gegenreaktionen der angegriffenen Staaten werden könnten. Das wird auch von der Bundesregierung nicht bestritten:

Tarnung dient dem Schutz vor frühzeitiger Entdeckung, um die Wahrscheinlichkeit der Durchsetzung eigener Wirkmittel zu erhöhen. So werden etwa bei Cyber-Tarntechniken die Erfassungsmöglichkeiten durch die Schutzsensorik des gegnerischen Netzes eingeschränkt. Von der zulässigen Tarnung strikt zu unterscheiden ist die unzulässige Nutzung falscher Identitäten mit dem Ziel, eine Zurechnung zu Zivilisten, zivilen Einrichtungen oder anderen geschützten Personen oder Objekten zu provozieren und sie so zum Ziel eines Gegenangriffs zu machen.

Jedoch gebe es im Internet „Besonderheiten, die beachtet werden müssen“:

So muss zum Beispiel sichergestellt werden, dass das Vorgehen in seiner Wirkung auf militärische Ziele beschränkt bleibt und nicht im Internet verbundene zivile Netze beliebig beeinträchtigt werden. Es muss vorher abgeschätzt werden, welche Verknüpfungen existieren, um nicht einen sogenannten Dominoeffekt oder Kaskadierungseffekt auszulösen.

Ausbau der deutschen Cyber-Truppe?

Kurz nach Erscheinen des Tallinn Handbuches hatte der SPIEGEL in dem Artikel „Ausweitung der Kampfzone“ die Unmöglichkeit der Abgrenzung militärischer Ziele und ziviler Netze beschrieben. So muss auch die Bundesregierung einschränken, die Gefahr von „unerwünschten Begleitschäden“ würde zwar mit anderen gewünschten Effekten „in Beziehung“ gesetzt. „Kollateralschäden“ könnten aber nicht grundsätzlich, sondern nur „weitgehend“ ausgeschlossen werden. Dies gelte auch für den Cyber-Raum. Inwiefern auch „Hacktivismus“ hiervon betroffen wäre oder sogar als militärische Aktivität angesehen werden könnte, hatten wir hier bereits beschrieben.

In einer anderen Kleinen Anfrage war gefragt worden, ob bei der Cyber-Truppe CNO am „Ausbau der elektronischen Kriegsführungsfähigkeiten“ gearbeitet würde. Die FragestellerInnen baten darum, dies nach finanziellen, personellen und logistischen Konsequenzen darzustellen. Kryptisch laviert das Verteidigungsministerium um die Antwort herum und erklärt lediglich, es gebe keine Planungen „die sich nach diesen Kriterien konkretisieren lassen“.

Das schließt jedenfalls nicht aus, dass die Fähigkeit zum digitalen Tarnen und Täuschen stetig weiterentwickelt und auch die Angriffstechnik perfektioniert wird. In der Konsequenz heißt das, dass auch die Bundeswehr an Werkzeugen wie „Stuxnet“ oder „Regin“ arbeiten könnte – die Antworten der Bundesregierung legen dies jedenfalls nahe.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Ich kann meinen Kommentar zu Deinem letzten Artikel nur nochmal wiederholen. Ich habe beruflich Kontakt zu vielen Abteilungen bei der Bundeswehr, die im IT-Bereich arbeiten, auch zu KSA (SGA). . Allzuviele dürften es dort nicht sein, die überhaupt wissen, was ein 0day-Exploit ist.
    Gruss
    Peter
    P.S.: Diesmal besser unter Pseudonym

    1. Es müssen ja nicht viele sein. Ein paar wenige Wahnsinnige an den falschen Knöpfen hätten schon etliche Male beinahe die Menschheit ausgelöscht.
      Wir bräuchten eine sofortige Cyber-Abrüstungskonferenz nach dem Vorbild der START-Verträge. Nur so lässt sich die Bedrohung wirksam bekämpfen.
      Hausaufgabe: Schaut Euch mal War Games an. Ist zwar aus den 80ern, aber immer noch gut.

      1. Alter Schwede ich weiß na nicht was ihr raucht um so durch zu sein, dass ihr an so ein Scheiß glaubt. Eine Cyber-Abrüstungskonferenz, in der die Cyber-Abrüstungsstrategie festgelegt wird. Bin dafür wir sollten uns auf 64 MB RAM beschränken und Grafikkarten gehören auch abgerüstet, die berechnen zu schnell, dass kann zum unerwünschten knacken von passwörtern führen. Ich schmeiß mich weg…

  2. Die tarnen ihre Cyberkrieger bestimmt mit Schlamm im Gesicht und Gebüsch auf dem Kopf …

    1. Neee, die haben bestimmt ne Wollmütze über das Gesicht gezogen, ich hab das neulich mal in einem Film gesehen…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.