Dr. Matthias Schulze ist stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik. Er forscht zu Cyber-Konflikten und Cyber-Sicherheit. Zu diesen Themen betreibt er den Podcast Percepticon.de. Dieser Beitrag ist Teil seiner Studie „Militärische Cyber-Operationen: Nutzen, Limitierungen und Lehren für Deutschland“, die am Montag veröffentlicht wird.
Für den Politologen Joshua Rovner ist der Begriff des Cyber-Kriegs irreführend. Cyber-Angriffe folgen weniger der Logik von Krieg und Gewalt, sondern eher dem Spiel der Intrige, Täuschung und Subversion von Geheimdiensten. Cyber-Angriffe für militärische Zwecke nutzen zu wollen ist demnach in etwa so sinnvoll, wie mit einem Panzer geheime Dokumente zu stehlen: theoretisch machbar, aber sicher nicht das beste Mittel der Wahl.
Wenn diese These stimmt, drängen sich zwei Fragen auf, die auch in Deutschland niemand so richtig beantworten will. Wofür taugen eigentlich militärische Cyber-Angriffe? Und konkreter, wofür will eigentlich das Kommando Cyber- und Informationsraum der Bundeswehr Cyber-Angriffe militärisch nutzen?
Cyber-Verteidigung: Theorie und Praxis
Die strategischen Dokumente der Bundesregierung, etwa das Weißbuch oder die verteidigungspolitischen Richtlinien, beantworten diese Fragen nur sehr vage.
Im Verteidigungsfall solle die Bundeswehr „Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit“ wahrnehmen. Das heißt, wenn ein bewaffneter Angriff einen Spannungs- oder Verteidigungsfall auslöst, darf die Bundeswehr zur Verteidigung Cyber-Angriffe starten. Soweit die Theorie.
In der Praxis fehlen Cyber-Angriffen in der Regel die Merkmale bewaffneter Angriffe wie großflächige Gewalt und Zerstörung. Daher ist unklar, wann genau die Bundeswehr aktiv werden darf. Denn für die Cyber-Abwehr sind im Normalfall zivile Behörden wie das Bundesamt für Sicherheit in der Informationstechnik und die Polizeien zuständig. Die Bundeswehr darf also in den meisten Fällen nicht mehr als die eigenen Netze zu verteidigen.
Um die Unklarheit aufzulösen und die Bundeswehr früher aktiv werden zu lassen, schlug der Inspekteur Cyber- und Informationsraum die Schaffung eines vorgelagerten „digitalen Verteidigungsfalls“ vor. Doch die Initiative verlief wegen grundrechtlicher Probleme im Sand.
Cyber-Angriff: Schweigen und Geheimhaltung
Wie sieht es bei Auslandseinsätzen aus? In den strategischen Leitlinien der Bundeswehr werden Cyber-Fähigkeiten als „unterstützendes, komplementäres und substituierendes Wirkmittel“ bezeichnet, um konventionelle Streitkräfte in Kampfeinsätzen zu unterstützen. Wie genau das aussehen soll, wird nicht dargelegt.
In der Konzeption der Bundeswehr wird von „koordinierte[r] Beeinflussung gegnerischer Systeme und kritischer Infrastrukturen“, von „Informationskampf“ und Effekten im „elektromagnetische[n] Spektrum“ gesprochen. Will Deutschland also fremde kritische Infrastrukturen hacken und irgendwo den Strom ausschalten? Konkreter wird es auch hier nicht.
In einigen Pressestatements denkt General Leinhos über das „Auslösen ferngesteuerter Sprengfallen“ nach. Und dann ist da ja noch der Hack eines afghanischen Mobilfunkproviders 2016, um Geopositionsdaten von Geiselnehmern zu erfahren. Abseits dessen erfährt man erstaunlich wenig über den Sinn und Zweck von Bundeswehr-Cyber-Angriffen.
Militärische Cyber-Angriffe folgen scheinbar auch hierin der Logik von Geheimdiensten: Sie taugen gut für die Überwachung von Zielpersonen, werden in einen Mantel des Schweigens und der Geheimhaltung gehüllt.
Cyber und Krieg: Denkbar schlecht geeignet
Um zu beantworten, wofür Cyber-Angriffe militärisch betrachtet taugen, muss zunächst erstmal geklärt werden, welche Aufgaben Streitkräfte haben. Historisch betrachtet wurden Streitkräfte zur Eroberung oder Verteidigung physischen Territoriums und der bewaffneten Niederringung von Gegnern geschaffen. Damit solle letztlich Frieden erzwungen werden.
Für diese Ziele sind Cyber-Angriffe denkbar schlecht geeignet. Ähnlich wie eine Luftwaffe allein kein Territorium erobern kann, können Cyber-Kommandos allein keinen Krieg gewinnen. Physische Truppen können in der Regel nicht dauerhaft digital entwaffnet oder niedergerungen werden.
Das Problem ist die potenzielle Resilienz des Gegners, also die Fähigkeit nach einem Cyber-Angriff wieder hochzufahren und einsatzbereit zu sein. Das US-Cybercommand machte diese Erfahrung im Syrienkonflikt 2016. Die USA wollten die digitale Propagandaaktivität des Islamischen Staats hacken und damit lahmlegen. Das gelang zunächst, aber sobald Social-Media-Accounts offline gingen, legte der IS neue an. Der Gegner war also äußerst resilient.
Die digitale Aktivität des IS ging erst mit dem physischen Zurückdrängen durch alliierte Truppen signifikant zurück. US-Verteidigungsminister Carter zeigte sich im Nachgang von militärischen Cyber-Angriffen enttäuscht: „Das Cybercommand hat nie wirklich effektive Cyber-Waffen oder Techniken gegen den IS hervorgebracht.“
Cyber-Fähigkeiten taugen zudem wenig in asymmetrischen Konflikten, dem dominanten Konflikttyp heutzutage. Moderne computerisierte Waffensysteme von High-Tech-Staaten können gehackt werden. AK-47-Sturmgewehre und improvisierte Pick-Up-Trucks bisher eher nicht, aber genau die werden von zahlreichen Guerilla- oder Rebellengruppen weltweit genutzt.
In weitläufigen Wüstengebieten wie Afghanistan oder in Dschungel-Kontexten wie im Kongo, ist es schwierig, überhaupt ausreichend digitalisierte Ziele zu finden, die man hacken könnte. Für Konfliktszenarien in wenig digitalisierten Regionen mit schwacher Staatlichkeit, also insbesondere jene Einsatzgebiete, in denen die Bundeswehr am aktivsten ist, eignen sich Cyber-Angriffe bisher kaum.
Der wahre Gegner heißt Komplexität
Wie sieht es mit digitalisieren Gegnern wie Staaten aus? Cyber-Angriffe wurden in der Vergangenheit durchaus in zwischenstaatlichen Konflikten eingesetzt, wie etwa von Russland in der Ukraine.
Hier gilt eine einfache Daumenregel, die den Nutzen militärischer Cyber-Angriffen bestimmt: Cyber-Angriffe mit militärischer Intention der physischen Zerstörung von Zielen sind oft komplexer und fehleranfälliger als beispielsweise Cyber-Angriffe zum Zweck der Spionage.
Die USA lernten diese Lektion 2016. Damals bereitete das US-Cybercommand im Geheimen einen strategischen Cyber-Angriff gegen den Iran vor – Luftverteidigung, militärische Kommunikation, Stromversorgung. Das war ein Notfallplan, falls die diplomatischen Verhandlungen um das Atomprogramm scheitern würden.
Obwohl das US-Cybercommand über mehrere Tausend der besten Hacker verfügt, blies es den Angriff ab: Es war zu komplex und zu riskant. Da IT-Systeme interdependent vernetzt sind, kann kaum vorher abgeschätzt werden, welche Kollateraleffekte ein Ausfall des gesamten Irans gehabt hätte, etwa auf Finanz- und Handelsströme in der Region oder etwa globale Börsenkurse.
Hoher Aufwand und begrenzte Wirkung
Wer ein Land über längere Zeit elektronisch ausschalten will, braucht zudem dutzende unbekannte IT-Schwachstellen in kritischen Infrastrukturen wie Energieversorgern. Daraus wird mit viel Zeitaufwand Schadsoftware für individuelle Zielkonfigurationen zugeschnitten.
Diese spezialisierte Schadsoftware hat nur ein begrenztes Haltbarkeitsdatum. Mit jedem Update des Zielsystems kann sie wertlos werden. Daher ist es enorm komplex, die Wechselwirkungen von dutzenden miteinander verketteten Zero-Day-Cyber-Angriffen im Blick zu halten.
Cyber-Spionage ist zudem oft die logische Vorbedingung von militärischen Cyber-Angriffen mit zerstörerischer Wirkung. Damit können wichtige Informationen über die Interaktion gegnerischer Infrastrukturen und Verteidigungssysteme erlangt werden. Oftmals ist dieser Spionagezugang wertvoller, als ein Ziel elektronisch auszuschalten und damit den Zugang zu verlieren.
Fehlen diese geheimdienstlichen Informationen, gehen militärische Cyber-Angriffe ein enormes Risiko des Scheiterns und von unerwarteten Kollateralschäden ein. Komplexe Angriffe wie etwa Stuxnet werden daher aufwendig simuliert und getestet, was wiederum eine längere Vorbereitungszeit bedeutet.
Cyber in der Krise
Die lange Vorbereitungszeit macht Cyber-Fähigkeiten in unerwarteten Krisensituationen extrem unbrauchbar. Das US-Cybercommand machte auch diese Erfahrung, als es Cyber-Fähigkeiten 2011 gegen die libysche Luftverteidigung einsetzen wollte, um eine Flugverbotszone durchzusetzen.
Da man keine geheimdienstlichen Informationen über die Beschaffenheit der gegnerischen Systeme hatte, wurden statt Cyber-Angriffen einfach Marschflugkörper verwendet, um die libysche Luftabwehr dauerhaft zu zerstören.
Statt auf fehleranfällige und zeitaufwendige Cyber-Angriffe zu hoffen, setzen militärische EntscheiderInnen im Zweifelsfall eher auf vertraute, konventionelle Mittel.
Wenig Schall und wenig Rauch
Selbst wenn Cyber-Angriffe erfolgreich in bewaffneten Konflikten durchgeführt werden, ist ihr militärischer Effekt bisher eher begrenzt. Russland setzt zum Beispiel Cyber-Angriffe zur Unterstützung bewaffneter Streitkräfte in der Ukraine ein, etwa um Artilleriestellungen auszuspionieren und somit konventionelle Angriffe zu erleichtern. Auch Israel nutzte 2007 Schadsoftware gegen eine syrische Radaranlage, damit die israelische Luftwaffe unbemerkt einen Testreaktor ausschalten konnte.
Allerdings funktioniert dieses komplementäre Zusammenwirken von Cyber und konventionellen Angriffen in der Praxis oft nicht richtig. Die langsamen Entwicklungszyklen von Schadsoftware passen oft nicht zur militärischen Operationsplanung konventioneller Streitkräfte, wo oft schnelles Handeln erforderlich ist, bevor sich ein Opportunitätsfenster schließt.
Militärische Cyber-Angriffe sind also auch in Konfliktsituationen eher geheimdienstlich relevant und bisher zumindest nicht kriegsentscheidend.
Cyber-Spionage: Aggressiv und gefährlich
Was ist nun mit dem Szenario der Landesverteidigung? Da das meiste militärische Gerät heute von Software angetrieben wird, die voller Sicherheitslücken ist, könnte ein konventioneller Angriff auf Deutschland, etwa mit Panzern, zumindest in der Theorie mittels Cyber-Angriffen empfindlich gestört und verlangsamt werden.
Die Sache hat aber in der Praxis einen Haken. Damit etwa ein digitalisierter Panzer in einer Situation der Landesverteidigung per Cyber-Angriff lahmgelegt werden kann, muss zuvor eine Schadsoftware für die Steuerungssysteme jenes Panzers entwickelt werden. Dazu muss idealerweise eine Kopie des Quellcodes per Cyber-Spionage entwendet werden, noch in Friedenszeiten.
Das Kommando Cyber- und Informationsraum der Bundeswehr will Informationen über Zero-Day-Schwachstellen gegnerischer Systeme im eigenen Cyber-Lagebild einfließen lassen. Woher diese Informationen kommen, bleibt unbeantwortet.
Um solche Informationen zu erlangen, hacken Staaten gegenseitig Rüstungshersteller, Verteidigungsministerien, Einsatzführungskommandos oder gar Verteidigungssysteme, etwa zur Steuerung von Nuklearwaffen. Cyber-Spionage wird also zur „Vorbereitung des Schlachtfelds“ genutzt, wie es im US-Jargon heißt. Damit können die langen Entwicklungszeiten von Schadsoftware verkürzt werden.
Allerdings ist diese geheimdienstliche Präemptionslogik extrem gefährlich. Damit Cyber-Angriffe im Falle der Landesverteidigung effektiv sein können, müssen in Friedenszeiten offensive Cyber-Spionageangriffe ausgeführt werden, um die Informationen zu erlangen, die man für die Defensive braucht.
Dieser Umstand unterscheidet Cyber-„Aufklärung“ von traditioneller militärischer Aufklärung. Traditionelle Aufklärung ist eher passiv und oft harmlos. Die Aufklärung mittels Radar oder Spionagesatelliten verletzt in der Regel nicht die territoriale Integrität von Gegnern.
Cyber-Aufklärung oder Spionage ist eher aggressiv, da hierbei aktiv in Systeme in fremden Ländern eingebrochen werden muss. Damit werden völkerrechtlich gesehen unfreundliche, aggressive Akte durchgeführt werden. Staaten reagieren darauf ihrerseits mit Aufrüstung und der Legalisierung von „Hack-Backs“.
Krieg und Frieden: Grenze aufgeweicht
Es scheint zu stimmen: Cyber-Angriffe folgen weniger einer militärischen, dafür eher einer geheimdienstlichen Handlungslogik. Die Folge davon sind Geheimhaltung und die Aufweichung der Grenze zwischen Krieg und Frieden. Damit werden die Handlungen von Streitkräften intransparenter.
Da die Bundeswehr eine Parlamentsarmee ist, sollte die parlamentarische Kontrolle gestärkt werden, um die Vergeheimdienstlichung des Militärs zu kompensieren.
Wirklich neue Erkenntnisse sind das keinesfalls, die Herr Schulz hier zusammenfasst. Cyberunsicherheitgenerierung durch Sicherheitslücken, die geringe Lebensdauer von (0-Day)Exploits oder das Cybersicherheitsdilemma.
Mehr oder weniger alle von ihm hier erschienene Artikel führen das gleiche Argument an: Aufgrund der konzeptionellen Besonderheiten des Cyberraums lassen sich Problemlösungsstrategien der analogen Welt kaum in die digitale Sphäre übertragen.
Rechtschreibung und Satzzeichen scheinen schon mal gehackt worden zu sein, Herr Doktor.
Wir bitten um Verzeihung, die Fehler sind nun korrigiert.
Danke sehr!
> Merkmale bewaffneter Angriffe wie großflächige Gewalt und Zerstörung
Das ist ganz falsch. Ein bewaffneter Angriff muss nicht großflächig sein, nicht gewalttätig und auch nicht zerstören.
Wenn ein Polizist vor dir steht und von dir irgendwas verlangt machst du es entweder weil du dumm bist oder weil er einen bewaffneten Angriff ausführt und du Angst um dein Leben hast. Er stellt nämlich eine Forderung auf, dich zu deinem Nachteil in einer von ihm geforderten Weise zu verhalten, und er wird, das ist dann die Drohung, die seine zur Schau gestellte Waffe darstellt, diese Forderung gegen dich mit mehr oder minder tödlicher Gewalt durchsetzen. Das ist ein Angriff. Ein Angriff auf deine Freiheit, psychisch wie physisch, und ein Angriff auf dein Leben. Der Angriff ist aber weder großflächig noch gewalttätig, weil noch lebst du, und auch zerstört ist noch nichts. Trotzdem ist es ein Angriff.
Bankräuber am Schalter ist der selbe Angriff. Obwohl nicht großflächig, noch nicht gewalttätig und nichts zerstört.
Stuxnet soll kein Angriff gewesen sein? Was denn dann? Wäre es ein Angriff gewesen, wenn das hochangereicherte Uran durch Stuxnet aus den Zentrifugen geflogen wäre und den Nahen Osten und halb Europa verseucht hätte?
DoS-Angriff gegen netzpolitik.org kein Angriff? Erst wenn der Server sich selbständig macht und die Redaktion verwüstet?
Die in Wirklichlkeit interessante Frage ist, wieso die Cyber-Kriegshandlungen nicht genauso behandelt werden wie Kriegshandlungen mit Panzern. Wahrscheinlich weil auch die immer mehr salonfähig werden.
> Cyber-Angriffe folgen weniger einer militärischen, dafür eher einer geheimdienstlichen Handlungslogik. Die Folge davon sind Geheimhaltung und die Aufweichung der Grenze zwischen Krieg und Frieden. Damit werden die Handlungen von Streitkräften intransparenter.
Das stimmt. Aber auch das mit Kriegen mit Panzern. Deutschland führt seit über 20 Jahren Krieg in Afghanistan. Auch in Mali. Vorher im Kosovo. Gegen jedes Völkerrecht in Jugoslawien. Darf man nicht Krieg nennen. Nach dem Grund fragen auch nicht. Auf wessen Befehl, yes, Sir, Mr. US-Oberbefehlshaber, schon gar nicht.
Aber, Bundeswehr und Cyber-Krieg? Hallo?!? Die benutzen Windows. Die müssen alle paar Meter ganze Waffensysteme neu starten, weil das Windows sich aufgehängt hat. Jeder 14 jährige kann mehr Cyber-Krieg als die Bundeswehr.
Es gab vor dem physischen Krieg Cyberangriffe. Die waren zu einem Drittel erfolgreich. Größeren Schaden durch „FoxBlade“ (wiping) konnte Microsoft abwenden. Das wirft natürlich Fragen auf, welche Risiken eine IT-Monokultur birgt.
https://www.nytimes.com/2022/02/28/us/politics/ukraine-russia-microsoft.html
https://www.reuters.com/world/europe/factbox-the-cyber-war-between-ukraine-russia-2022-05-10/
https://www.nytimes.com/2022/06/22/us/politics/russia-ukraine-cyberattacks.html
Auffällig war weiterhin, dass das Mobilfunknetz der Ukraine nicht destruktiv angegriffen wurde.
Bekannt ist auch, dass Russland immenses(!) Funk-Jamming zu unterschiedlichen Zwecken betreibt.
Ein redaktionelles Update zum Cyberwar im aktuellen Konflikt wäre wünschenswert.
Zitat:
In the hours ahead of its all-out invasion, Russia knocked out Viasat satellite networks, cutting off internet access for tens of thousands of Ukrainian citizens. The cyberattack also affected the communications of both the government and military. This fuelled predictions that the conflict could become the world’s first “true cyberwar”, not least because cyber assaults had been part of Russia’s hybrid warfare against Ukraine since at least the illegal annexation of Crimea in 2014. However, cyber operations in this war, although frequent, seem to have had only limited material impact on the battlefield.
https://ecfr.eu/publication/star-tech-enterprise-emerging-technologies-in-russias-war-on-ukraine/#cyber-warfare