Der Verteidigungsausschuss hat vergangene Woche mit Sachverständigen über die „Rolle der Bundeswehr im Cyberraum“ diskutiert. Die zuständige Staatssekretärin erklärte, ein entsprechender Einsatz der Bundeswehr erfordere auch dort ein Mandat des Bundestags. Klare Regeln hingegen gebe es auch für den „Cyber-Raum“, ergänzt ein Verfassungsrechtler. Ob die Rückführung eines Angriffs auf den Urheber (Attribution) möglich ist, darüber waren sich die Sachverständigen uneinig.
Kritisch äußerten sich die Sachverständigen zum Einsatz der Bundeswehr beim Schutz ziviler Systeme im Friedensfall. Ein Wissenschaftler forderte, eher den nachrichtendienstlichen Bereich auszubauen und schilderte, wie der Angriff auf die IT-Systeme des Bundestags entdeckt worden ist. Unabhängig davon lieferte die Debatte keine Gründe, warum die Bundeswehr überhaupt mit eigenen „Operationen“ in die „Cyber-Verteidigung“ geschickt werden sollte.
Ausschussvorsitzender Wolfgang Hellmich (SPD) benannte zu Beginn der Sitzung diese zwei Aspekte „Operationen“ sowie „Schutz- und Abwehrmaßnahmen“ mit Blick auf die Bundeswehr. So hatte Bundesverteidigungsministerin Ursula von der Leyen im September festgestellt.
Erstens ist der Cyber-Raum bereits heute ein fester Begleiter konventioneller Operationsführung und stellt somit eine eigene Dimension dar – wie bislang Land, Luft, See und Weltraum.
Zweitens ist die Bundeswehr eine hochgradig vernetzte, zunehmend digitalisierte Großorganisation, die sich schützen muss.
Es folgten die Eingangsstatements der Sachverständigen und drei Fragerunden der Ausschussmitglieder, mit erhöhten Redezeiten für die Opposition von jeweils zehn Minuten. Wir hatten vorab über die Fragen an die Sachverständigen geschrieben und waren vor Ort. Die vierstündige Anhörung findet sich in der Mediathek des Bundestags, drei der Eingangsstatements liegen hier. Hier unsere Zusammenfassung, auch die Parlamentsnachrichten haben die Debatte zusammengetragen.
Cyber, eine Steuer auf die Grenzenlosigkeit
„Cyber“ sei eine „Art Steuer auf die Digitalisierung“, betonte Staatssekretärin Katrin Suder aus dem Verteidigungsministerium. Sie wollte wohl sagen, dass Angriffe auf IT-Systeme eine nicht-vermeidbare Nebenerscheinung der zunehmenden Vernetzung sind. Die Angriffe heben die Grenze zwischen Krieg und Frieden auf, zwischen innerer und äußerer Sicherheit, zwischen politischen und kriminellen Angriffen. Gerade weil sie relativ kostengünstig und effektiv seien, können sie schnell ihre „asymmetrische Wirkung unter der Schwelle eines bewaffneten Angriffs“ erzielen, so Suder weiter.
Zur IT-Sicherheit in Deutschland wies Staatssekretär Klaus Vitt aus dem Innenministerium auf die bestehenden Institutionen im Geltungsbereich des Innenministeriums hin. Man arbeite an einer Aktualisierung der „Cyber-Sicherheitsstrategie“ aus 2011. Auch das IT-Sicherheitsgesetz sowie die Gründung des „Cyber-Abwehrzentrums“ seien wichtige Schritt auf dem Weg zu mehr Sicherheit.
Suder erklärte weiter, die Bundeswehr müsse gegen Angriffe „gerüstet“ sein. Dies erfordere Kenntnisse im defensiven wie offensiven Bereich. Für deren Einsatz gelten die gleichen rechtlichen Voraussetzungen „wie beim Einsatz anderer Fähigkeiten“, erläuterte Suder: Sie brauchen eine Mandatierung durch den Deutschen Bundestag nach Parlamentsbeteiligungsgesetz. Suder erklärte auf Nachfrage, zu einer Operation wie dem Stuxnet-Angriff müsse in Deutschland das Parlament zustimmen.
Telekom-Vorstand Thomas Kremer hatte zuvor betont, dass gerade bei „Cyberwaffen“ wie Stuxnet die Gefahr der Proliferation hoch ist – auch weil die Waffen nach dem Einsatz nicht einfach verschwinden: Kriminelle können sich das Programm aneignen und zu eigenen Zwecken einzusetzen, auch gegen den Urheber. Suder ist da weniger besorgt: Gerade die gefährlichen Advanced Persistent Threats (APT) sind eine Programmierfähigkeit. Solche „Hirnfähigkeiten“ seien nicht so leicht angreifbar und einem geringeren Proliferationsrisiko ausgesetzt.
Völker- und verfassungsrechtliche Einordnung
Für den Verfassungsrechtler Michael Bothe sind Kommunikationsnetze kein „rechtliches Niemandsland“. Man könne bestehendes Recht auf das neue Phänomen anzuwenden, das sei auch der Ansatz des verbreiteten „Tallinn Manual on the International Law Applicable to Cyber Warfare“, auf das er mehrmals verweist.
So gelte auch im „Cyberraum“ die völkerrechtliche Grundregel des Gewaltverbots. Entsprechende Angriffe verletzen dieses Gewaltverbot dann, wenn sie hinsichtlich Umfang und Wirkung („scale and effects“) mit dem Einsatz von Waffengewalt vergleichbar sind. Hierfür sind die verursachten Schäden zu betrachten, nicht das Potential der Waffe. Sind sie vergleichbar, sei der Angegriffene nach Art. 51 UN-Charta zur Selbstverteidigung berechtigt, d. h. zum Gegenschlag auf militärische Ziele. Allerdings dürfen international bewaffnete Konflikte grundsätzlich nur durch Mitglieder der Streitkräfte ausgeführt werden (Kombattanten), nicht etwa durch Geheimdienste.
Nach Art. 26 GG darf die Bundesrepublik keine (Cyber-)Angriffe ausführen oder sich an ihnen beteiligen, die nicht als „Selbstverteidigung“ qualifiziert wurden. Eine Beistandspflicht nach Art. 5 des NATO-Vertrages bleibe davon unberührt. Bothe riet der Bundeswehr, eher auf die Entwicklung technischer Schutzmechanismen zu setzen und ergänzte: „Selbstverteidigung auf Verdacht geht gar nicht.“ Angriffe müssen auf den Verursacher zurückgeführt werden können, so hätte der Iran Israel für Stuxnet verantwortlich machen können. Ein direkter – zeitlicher und kausaler – Zusammenhang müsse bei der Selbstverteidigung gegeben sein.
Doch um den Fall einer „Selbstverteidigung“ gehe es bei den im Ausschuss diskutierten Beispielen ja gar nicht. Vielmehr seien es „gegenseitige Un-Nettigkeiten, die völkerrechtlich nicht egal sind“. Das Einnisten in das Netz eines anderen Staats sei zwar rechtlich problematisch. Als unzulässiger Eingriff stelle es jedoch (nur) ein „völkerrechtliches Delikt“ dar, das nicht das Recht auf Selbstverteidigung auslöse, sondern nur das Recht auf Gegenmaßnahmen unter dem Vorbehalt der Verhältnismäßigkeit. Das Ziel dabei müsse sein, dafür zu sorgen, dass das Unrecht abgestellt wird. Gerade diejenigen Staaten, die sich der Rechtsprechung des Internationalen Gerichtshof unterstellt haben, sollen in diesem Fall auf die internationale Streitschlichtung zurückgreifen, auch wenn diese ein „pathologischer Bereich“ der internationalen Beziehungen sei.
Zu den nicht-staatlichen Angriffen sagt der Völkerrechtler, es obliege den Staaten, mit der gebotenen Sorgfalt (due diligence) zu verhindern, dass von ihrem Territorium Schaden auf dem Gebiet anderer Staaten verursacht wird (no harm rule). Dies sei jedoch ein schwieriger Bereich.
Konzentration auf Nachrichtendienste, Attributionsfragen
Thomas Rid vom King’s College sieht mittelfristig keinen Fall, bei dem der politische und rechtliche Kontext klar genug ist für einen offensiven Einsatz der Bundeswehr. Er rät den Abgeordneten, sich mehr auf den nachrichtendienstlichen Bereich zu konzentrieren. Das liege nicht zuletzt daran, dass sich in den Streitkräften auf Grund des Rotationssystems (des stetigen Wechsels zwischen den Verwendungsstufen, außer bei Fachdienern) kaum die Kontinuität ergebe, die für eine Entwicklung von Fachkräften wichtig ist. Doch nur solche Fachkräfte könnten die aufklärungsintensiven „Cyber-Angriffe“ untersuchen.
Sachverständige Gabi Rodosek von der Bundeswehr-Uni München ergänzte hierzu, dass ihre Uni hierzu eine Vertiefung „Cyber Defense & Management“ im Masterstudiengang Informatik anbietet. Dazu soll in den kommenden Jahren ein Masterstudiengang Cyber Security kommen, als „erste Adresse für Aus- und Weiterbildung“.
Seit 20 Jahren beobachte man industrielle bzw. politische Spionage- und Sabotageakte im IT-Bereich, so Rid weiter. 1996 wurde demnach der erste APT-Angriff registriert. Seit Snowden gebe es vermehrt auch Angriffe auf europäische Ziele. Die Snowden-Dokumente hätten den ausländischen nicht-Five-Eyes Nachrichtendiensten eine „Fähigkeitslücke vor Augen geführt“, habe ein Mitarbeiter eines chinesischen Nachrichtendienstes Rid „direkt ins Gesicht gesagt“.
Doch laut Rid haben sich die Methoden Attribution gerade verbessert: „Attribution ist ganz klar möglich.“ Er verwies auf seine („führende“) Studie in dieser Frage: „Attributing Cyber Attacks“. In der Ausschusssitzung zählte Rid drei Angriffe auf, die seines Wissens klar dem russischen Nachrichtendienst GRU zuzurechnen seien: Der Bundestagshack (Rid verweist auf einen Spiegel-Artikel), wenige Monate zuvor der Angriff auf TV5MONDE sowie ein (bisher noch nicht-bekannter) Angriff auf die italische Marine – „mit hoher Wahrscheinlichkeit in die klassifizierten Systeme“. Auf russische Akteure – wenn auch nicht unbedingt Geheimdienste – zurückführen lassen sich laut Rid auch ein Sabotage-Angriff auf ukrainische Stromnetze mit dem Tool „BlackEnergy“ (Version 3) sowie „mit gleichem Muster“ auf ein Thyssen-Stahlwerk.
Rid nennt auch Details zum Bundestagshack: Ein britisches Unternehmen – kein Nachrichtendienst habe den deutschen Verfassungsschutz telefonisch informiert, dass es da ein Problem geben könnte. Zuvor hatte sich ein Kunde dieses Unternehmens, das infiltriert wurde,
über die deutschen (Bundestags-)Daten auf den eigenen Servern gewundert. Der Vorgang zeige auch, dass es kaum deutsche Namen in den Bereichen „incident response“ und „threat intelligence“ gibt.
Marcel Dickow von der „Stiftung Wissenschaft und Politik“ widerspricht Rid: Oft scheitere eine klare Attribution an den besonderen Eigenschaften des Netzes. In seinem (lesenswerten) schriftlichen Statement (pdf) begründet er das mit der logischen Trennung von Daten und Infrastruktur. Hinzu komme die Abstraktion von Software gegenüber der Hardware und die technischen Möglichkeiten, eine „Identifikation, Zurechenbarkeit und Aufklärung zu verhindern“. Eine klare Attribution sei eher dann realistisch, wenn sich der Angegriffene bereits beim Angriff auch in den Netzen des Angreifers befindet und den Angriff nachverfolgen kann. Das mache jedoch den Angegriffenen zum Angreifer und gefährde die juristische Verwertbarkeit der Beweise.
IT-Schutz durch zivile, unabhängige Stellen
Dickow zeigt sich über eine Verbindung von IT-Sicherheit und Bundeswehr im Friedensfall nicht glücklich: Zivile IT-Systeme und Netze müssen von zivilen, unabhängigen Stellen geschützt werden, die in keinem Interessenskonflikt mit etwaigen offensiven Fähigkeiten stehen. Solange der Schutz der Bundeswehr auf eigene Systeme beschränkt bleibt, sehe er keine völkerrechtlichen Probleme. Diesen Schutz „in die vorgelagerten Netze anderer zu tragen, wenn die eigenen Schutzsysteme nicht wirksam erscheinen oder technische Parameter dort höhere Erfolgsaussichten versprechen“ sei zumindest im Friedensfall nicht vom Auftrag der Bundeswehr abgedeckt. Schließlich handele es sich bei „aktiver Verteidigung“ nicht um eine (Selbst-)Verteidigungsmaßnahme im eigenen Sinne. Auch Eskalations- und Proliferationsrisiken seien grundsätzlich nicht zu unterschätzen.
Doch erfordere schon der Schutz der eigenen Systeme offensive Fähigkeiten: Angriffe auf die eigenen Systeme seien eben zu Testzwecken unabdingbar. Demnach bestimmen allein „Intention und Ziel“, ob es sich technisch um defensive oder offensive Maßnahmen handelt. Ein großes Problem sei im Security-Bereich der Interessenskonflikt bei den nicht-behobenen Schwachstellen (0-days). Zum einen stellen sie neben unsicherer Hardware das Haupteinfallstor für Angriffe dar, zum anderen werden sie jedoch für Angriffe auf fremde Systeme benötigt. Rid hatte zuvor erklärt, diese Verwundbarkeiten ließen sich nur schwer selbst finden, sondern müssen systematisch entwickelt oder gekauft werden.
Dickow rät der Bundeswehr, generell keine offensiven Fähigkeiten im „Cyberraum“ zu entwickeln. Er nennt drei Gründe, die wir hier im Volltext wiedergeben:
- Offensive Fähigkeiten im Cyberraum bedürfen offener Sicherheitslücken in Software, die im Allgemeinen auch eigene zivile und militärische System betreffen. Diese gezielt nicht zu schließen vergrößert die Risiken und unterminiert die internationale (Cyber-)Sicherheit. Zudem würde die Bundeswehr den globalen, kommerziellen Handel mit „0-days“ weiter befeuern.
- Vorbereitende Maßnahmen zum Entwickeln und für das Platzieren von Schadcode in gegnerischen Systemen führen auf einen Pfad, der beinhaltet, fremde
Systeme generell als legitime Ziele aufzufassen und routinemäßig anzugreifen, um für den Ernstfall vorbereitet zu sein. Diese „Kolonialisierung des Netzes“ widerspricht der deutschen Kultur der militärischen Zurückhaltung und trägt große Eskalationsrisiken in sich, wenn sich dies als Staatenpraxis durchsetzt.- Die Entwicklung von offensiven Cyber-Angriffsfähigkeiten in und durch die Bundeswehr würde die Glaubwürdigkeit deutscher (Cyber-)Außenpolitik, vor allem in den Politikbereichen Internet Governance, Völkerrecht des Netzes und Menschenrechte online, massiv einschränken und damit gegen fundamentale ökonomische und menschenrechtspolitische Interessen der Bundesrepublik Deutschland verstoßen. Westliche Staaten wie die USA, Großbritannien und Frankreich haben diese Erfahrung in den vergangenen Jahren bereits gemacht. Diesem Beispiel sollte Deutschland nicht folgen.
Offensiv, defensiv, …
Unklar blieb in der Sitzung, ob (und in welchem Ausmaß) die Bundeswehr derzeit schon in fremde Systeme eindringt – und warum sie es überhaupt tun sollte. Staatsskretärin Suder betonte, sie könne hierzu keine konkreten Aussagen machen, „abstrakt“ gesprochen erfolgen solche Angriffe nicht. Die Bundeswehr halte auch keine 0-days vor. Zu einer möglichen „Vorwärtsverteidigung“, nach der Ausschussmitglied Alexander Neu (Linke) fragt, erklärt sie: Das heiße bei der Bundeswehr eher „active defense“ – „weil wir im Neuland sind, gibt’s immer Sprachverwirrung“. „Active defense“ plane die Bundeswehr nicht, eine Studie dazu gebe es hingegen schon. Damit dürfte die Untersuchung der NATO gemeint sein, über die wir gestern berichtet haben.
Es sind also viele Fragen offen geblieben, die weitere Ausschusssitzungen erfordern. Unser „Cyber-Zähler“ zeigte am Ende der Sitzung übrigens 128 Erwähnungen an.
Von wem wollen sie die dafür benötigte Soft- und Hardware leasen, von den Amis, oder doch eher von den Israelis?
Danke für die Zusammenfassung.
Erwähnenswert ist m.E. zum einen noch, dass beide Staatsekretäre von einer engen Kooperation des BMI und des BMVg gesprochen haben. Darüber hinaus gab es auch noch eine interessante Äußerung die möglicherweise langfristige Konsequenzen haben kann, dass die „Verteidigungsaspekte beim Schutz bestimmter Infrastrukturen orginär Aufgaben des BMVg und der Bundeswehr sind“ (Stsin Fr. Suder bei ca. 20:52min). Das wirft die Frage auf, mit welchen Mitteln das BMVg solchen Schutz ermöglichen will, wie das trainiert wird und was man dazu an Wirkmitteln beschaffen möchte. Über konkrete Angaben zu derlei Ressourcen wurde leider nichts gesagt. Am aufschlussreichsten ist dabei sicher noch der (öfter wiederholte) Verweise der Staatssekretäre sich hier mit Kompetenzen aus der Wirtschaft die eigenen Reihen aufzufüllen.
Das viel diskutierte Parlamentsbeteiligungsgesetz wirft für die Cyber-Operationen wie sie das BMVg mutmaßlich plant außerdem die Frage auf (leider auch nicht näher erläutert im Gespräch), wie komplexe und i.a.R. zeitlich aufwendige Angriffe (mit Vorfeld-Analysen möglicher Ziele, Zugriffen um Hintertüren erst zu schaffen etc) möglich sein sollen, wenn – wie vom BMVg betont – reine Cyberoperationen mandatierungspflichtig sind.
Ich bin sehr auf den ersten, von Frau Suder angeteaserten Bericht des CIR-Aufbau-Stabs gespannt.
Bei Interesse mehr hier: cyber-peace.org
Danke für die ergänzenden Hinweise.