Dr. Matthias Schulze ist stellvertretender Leiter der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik. Er forscht zu Cyber-Konflikten und Cyber-Sicherheit. Zu diesen Themen betreibt er den Podcast Percepticon.de. Dieser Beitrag ist Teil seiner Studie „Militärische Cyber-Operationen: Nutzen, Limitierungen und Lehren für Deutschland“, die am Montag veröffentlicht wird.
Für den Politologen Joshua Rovner ist der Begriff des Cyber-Kriegs irreführend. Cyber-Angriffe folgen weniger der Logik von Krieg und Gewalt, sondern eher dem Spiel der Intrige, Täuschung und Subversion von Geheimdiensten. Cyber-Angriffe für militärische Zwecke nutzen zu wollen ist demnach in etwa so sinnvoll, wie mit einem Panzer geheime Dokumente zu stehlen: theoretisch machbar, aber sicher nicht das beste Mittel der Wahl.
Wenn diese These stimmt, drängen sich zwei Fragen auf, die auch in Deutschland niemand so richtig beantworten will. Wofür taugen eigentlich militärische Cyber-Angriffe? Und konkreter, wofür will eigentlich das Kommando Cyber- und Informationsraum der Bundeswehr Cyber-Angriffe militärisch nutzen?
Cyber-Verteidigung: Theorie und Praxis
Die strategischen Dokumente der Bundesregierung, etwa das Weißbuch oder die verteidigungspolitischen Richtlinien, beantworten diese Fragen nur sehr vage.
Im Verteidigungsfall solle die Bundeswehr „Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit“ wahrnehmen. Das heißt, wenn ein bewaffneter Angriff einen Spannungs- oder Verteidigungsfall auslöst, darf die Bundeswehr zur Verteidigung Cyber-Angriffe starten. Soweit die Theorie.
In der Praxis fehlen Cyber-Angriffen in der Regel die Merkmale bewaffneter Angriffe wie großflächige Gewalt und Zerstörung. Daher ist unklar, wann genau die Bundeswehr aktiv werden darf. Denn für die Cyber-Abwehr sind im Normalfall zivile Behörden wie das Bundesamt für Sicherheit in der Informationstechnik und die Polizeien zuständig. Die Bundeswehr darf also in den meisten Fällen nicht mehr als die eigenen Netze zu verteidigen.
Um die Unklarheit aufzulösen und die Bundeswehr früher aktiv werden zu lassen, schlug der Inspekteur Cyber- und Informationsraum die Schaffung eines vorgelagerten „digitalen Verteidigungsfalls“ vor. Doch die Initiative verlief wegen grundrechtlicher Probleme im Sand.
Cyber-Angriff: Schweigen und Geheimhaltung
Wie sieht es bei Auslandseinsätzen aus? In den strategischen Leitlinien der Bundeswehr werden Cyber-Fähigkeiten als „unterstützendes, komplementäres und substituierendes Wirkmittel“ bezeichnet, um konventionelle Streitkräfte in Kampfeinsätzen zu unterstützen. Wie genau das aussehen soll, wird nicht dargelegt.
In der Konzeption der Bundeswehr wird von „koordinierte[r] Beeinflussung gegnerischer Systeme und kritischer Infrastrukturen“, von „Informationskampf“ und Effekten im „elektromagnetische[n] Spektrum“ gesprochen. Will Deutschland also fremde kritische Infrastrukturen hacken und irgendwo den Strom ausschalten? Konkreter wird es auch hier nicht.
In einigen Pressestatements denkt General Leinhos über das „Auslösen ferngesteuerter Sprengfallen“ nach. Und dann ist da ja noch der Hack eines afghanischen Mobilfunkproviders 2016, um Geopositionsdaten von Geiselnehmern zu erfahren. Abseits dessen erfährt man erstaunlich wenig über den Sinn und Zweck von Bundeswehr-Cyber-Angriffen.
Militärische Cyber-Angriffe folgen scheinbar auch hierin der Logik von Geheimdiensten: Sie taugen gut für die Überwachung von Zielpersonen, werden in einen Mantel des Schweigens und der Geheimhaltung gehüllt.
Cyber und Krieg: Denkbar schlecht geeignet
Um zu beantworten, wofür Cyber-Angriffe militärisch betrachtet taugen, muss zunächst erstmal geklärt werden, welche Aufgaben Streitkräfte haben. Historisch betrachtet wurden Streitkräfte zur Eroberung oder Verteidigung physischen Territoriums und der bewaffneten Niederringung von Gegnern geschaffen. Damit solle letztlich Frieden erzwungen werden.
Für diese Ziele sind Cyber-Angriffe denkbar schlecht geeignet. Ähnlich wie eine Luftwaffe allein kein Territorium erobern kann, können Cyber-Kommandos allein keinen Krieg gewinnen. Physische Truppen können in der Regel nicht dauerhaft digital entwaffnet oder niedergerungen werden.
Das Problem ist die potenzielle Resilienz des Gegners, also die Fähigkeit nach einem Cyber-Angriff wieder hochzufahren und einsatzbereit zu sein. Das US-Cybercommand machte diese Erfahrung im Syrienkonflikt 2016. Die USA wollten die digitale Propagandaaktivität des Islamischen Staats hacken und damit lahmlegen. Das gelang zunächst, aber sobald Social-Media-Accounts offline gingen, legte der IS neue an. Der Gegner war also äußerst resilient.
Die digitale Aktivität des IS ging erst mit dem physischen Zurückdrängen durch alliierte Truppen signifikant zurück. US-Verteidigungsminister Carter zeigte sich im Nachgang von militärischen Cyber-Angriffen enttäuscht: „Das Cybercommand hat nie wirklich effektive Cyber-Waffen oder Techniken gegen den IS hervorgebracht.“
Cyber-Fähigkeiten taugen zudem wenig in asymmetrischen Konflikten, dem dominanten Konflikttyp heutzutage. Moderne computerisierte Waffensysteme von High-Tech-Staaten können gehackt werden. AK-47-Sturmgewehre und improvisierte Pick-Up-Trucks bisher eher nicht, aber genau die werden von zahlreichen Guerilla- oder Rebellengruppen weltweit genutzt.
In weitläufigen Wüstengebieten wie Afghanistan oder in Dschungel-Kontexten wie im Kongo, ist es schwierig, überhaupt ausreichend digitalisierte Ziele zu finden, die man hacken könnte. Für Konfliktszenarien in wenig digitalisierten Regionen mit schwacher Staatlichkeit, also insbesondere jene Einsatzgebiete, in denen die Bundeswehr am aktivsten ist, eignen sich Cyber-Angriffe bisher kaum.
Der wahre Gegner heißt Komplexität
Wie sieht es mit digitalisieren Gegnern wie Staaten aus? Cyber-Angriffe wurden in der Vergangenheit durchaus in zwischenstaatlichen Konflikten eingesetzt, wie etwa von Russland in der Ukraine.
Hier gilt eine einfache Daumenregel, die den Nutzen militärischer Cyber-Angriffen bestimmt: Cyber-Angriffe mit militärischer Intention der physischen Zerstörung von Zielen sind oft komplexer und fehleranfälliger als beispielsweise Cyber-Angriffe zum Zweck der Spionage.
Die USA lernten diese Lektion 2016. Damals bereitete das US-Cybercommand im Geheimen einen strategischen Cyber-Angriff gegen den Iran vor – Luftverteidigung, militärische Kommunikation, Stromversorgung. Das war ein Notfallplan, falls die diplomatischen Verhandlungen um das Atomprogramm scheitern würden.
Obwohl das US-Cybercommand über mehrere Tausend der besten Hacker verfügt, blies es den Angriff ab: Es war zu komplex und zu riskant. Da IT-Systeme interdependent vernetzt sind, kann kaum vorher abgeschätzt werden, welche Kollateraleffekte ein Ausfall des gesamten Irans gehabt hätte, etwa auf Finanz- und Handelsströme in der Region oder etwa globale Börsenkurse.
Hoher Aufwand und begrenzte Wirkung
Wer ein Land über längere Zeit elektronisch ausschalten will, braucht zudem dutzende unbekannte IT-Schwachstellen in kritischen Infrastrukturen wie Energieversorgern. Daraus wird mit viel Zeitaufwand Schadsoftware für individuelle Zielkonfigurationen zugeschnitten.
Diese spezialisierte Schadsoftware hat nur ein begrenztes Haltbarkeitsdatum. Mit jedem Update des Zielsystems kann sie wertlos werden. Daher ist es enorm komplex, die Wechselwirkungen von dutzenden miteinander verketteten Zero-Day-Cyber-Angriffen im Blick zu halten.
Cyber-Spionage ist zudem oft die logische Vorbedingung von militärischen Cyber-Angriffen mit zerstörerischer Wirkung. Damit können wichtige Informationen über die Interaktion gegnerischer Infrastrukturen und Verteidigungssysteme erlangt werden. Oftmals ist dieser Spionagezugang wertvoller, als ein Ziel elektronisch auszuschalten und damit den Zugang zu verlieren.
Fehlen diese geheimdienstlichen Informationen, gehen militärische Cyber-Angriffe ein enormes Risiko des Scheiterns und von unerwarteten Kollateralschäden ein. Komplexe Angriffe wie etwa Stuxnet werden daher aufwendig simuliert und getestet, was wiederum eine längere Vorbereitungszeit bedeutet.
Cyber in der Krise
Die lange Vorbereitungszeit macht Cyber-Fähigkeiten in unerwarteten Krisensituationen extrem unbrauchbar. Das US-Cybercommand machte auch diese Erfahrung, als es Cyber-Fähigkeiten 2011 gegen die libysche Luftverteidigung einsetzen wollte, um eine Flugverbotszone durchzusetzen.
Da man keine geheimdienstlichen Informationen über die Beschaffenheit der gegnerischen Systeme hatte, wurden statt Cyber-Angriffen einfach Marschflugkörper verwendet, um die libysche Luftabwehr dauerhaft zu zerstören.
Statt auf fehleranfällige und zeitaufwendige Cyber-Angriffe zu hoffen, setzen militärische EntscheiderInnen im Zweifelsfall eher auf vertraute, konventionelle Mittel.
Wenig Schall und wenig Rauch
Selbst wenn Cyber-Angriffe erfolgreich in bewaffneten Konflikten durchgeführt werden, ist ihr militärischer Effekt bisher eher begrenzt. Russland setzt zum Beispiel Cyber-Angriffe zur Unterstützung bewaffneter Streitkräfte in der Ukraine ein, etwa um Artilleriestellungen auszuspionieren und somit konventionelle Angriffe zu erleichtern. Auch Israel nutzte 2007 Schadsoftware gegen eine syrische Radaranlage, damit die israelische Luftwaffe unbemerkt einen Testreaktor ausschalten konnte.
Allerdings funktioniert dieses komplementäre Zusammenwirken von Cyber und konventionellen Angriffen in der Praxis oft nicht richtig. Die langsamen Entwicklungszyklen von Schadsoftware passen oft nicht zur militärischen Operationsplanung konventioneller Streitkräfte, wo oft schnelles Handeln erforderlich ist, bevor sich ein Opportunitätsfenster schließt.
Militärische Cyber-Angriffe sind also auch in Konfliktsituationen eher geheimdienstlich relevant und bisher zumindest nicht kriegsentscheidend.
Cyber-Spionage: Aggressiv und gefährlich
Was ist nun mit dem Szenario der Landesverteidigung? Da das meiste militärische Gerät heute von Software angetrieben wird, die voller Sicherheitslücken ist, könnte ein konventioneller Angriff auf Deutschland, etwa mit Panzern, zumindest in der Theorie mittels Cyber-Angriffen empfindlich gestört und verlangsamt werden.
Die Sache hat aber in der Praxis einen Haken. Damit etwa ein digitalisierter Panzer in einer Situation der Landesverteidigung per Cyber-Angriff lahmgelegt werden kann, muss zuvor eine Schadsoftware für die Steuerungssysteme jenes Panzers entwickelt werden. Dazu muss idealerweise eine Kopie des Quellcodes per Cyber-Spionage entwendet werden, noch in Friedenszeiten.
Das Kommando Cyber- und Informationsraum der Bundeswehr will Informationen über Zero-Day-Schwachstellen gegnerischer Systeme im eigenen Cyber-Lagebild einfließen lassen. Woher diese Informationen kommen, bleibt unbeantwortet.
Um solche Informationen zu erlangen, hacken Staaten gegenseitig Rüstungshersteller, Verteidigungsministerien, Einsatzführungskommandos oder gar Verteidigungssysteme, etwa zur Steuerung von Nuklearwaffen. Cyber-Spionage wird also zur „Vorbereitung des Schlachtfelds“ genutzt, wie es im US-Jargon heißt. Damit können die langen Entwicklungszeiten von Schadsoftware verkürzt werden.
Allerdings ist diese geheimdienstliche Präemptionslogik extrem gefährlich. Damit Cyber-Angriffe im Falle der Landesverteidigung effektiv sein können, müssen in Friedenszeiten offensive Cyber-Spionageangriffe ausgeführt werden, um die Informationen zu erlangen, die man für die Defensive braucht.
Dieser Umstand unterscheidet Cyber-„Aufklärung“ von traditioneller militärischer Aufklärung. Traditionelle Aufklärung ist eher passiv und oft harmlos. Die Aufklärung mittels Radar oder Spionagesatelliten verletzt in der Regel nicht die territoriale Integrität von Gegnern.
Cyber-Aufklärung oder Spionage ist eher aggressiv, da hierbei aktiv in Systeme in fremden Ländern eingebrochen werden muss. Damit werden völkerrechtlich gesehen unfreundliche, aggressive Akte durchgeführt werden. Staaten reagieren darauf ihrerseits mit Aufrüstung und der Legalisierung von „Hack-Backs“.
Krieg und Frieden: Grenze aufgeweicht
Es scheint zu stimmen: Cyber-Angriffe folgen weniger einer militärischen, dafür eher einer geheimdienstlichen Handlungslogik. Die Folge davon sind Geheimhaltung und die Aufweichung der Grenze zwischen Krieg und Frieden. Damit werden die Handlungen von Streitkräften intransparenter.
Da die Bundeswehr eine Parlamentsarmee ist, sollte die parlamentarische Kontrolle gestärkt werden, um die Vergeheimdienstlichung des Militärs zu kompensieren.
