BundeswehrDer Verteidigungsminister besucht den Cyberraum

Ein Teil der Bundeswehr hackt, öffentliche Diskussion darüber gibt es kaum. Konkrete Antworten liefert auch der Verteidigungsminister nicht, wie sein Antrittsbesuch beim Kommando Cyber- und Informationsraum zeigt.

Boris Pistorius vor einem Cyber-Plakat
Antrittsbesuch von Boris Pistorius bei der Cybertruppe – Alle Rechte vorbehalten IMAGO / Political-Moments

Bundesverteidigungsminister Boris Pistorius hat heute die Tomburg-Kaserne in Rheinbach besucht. Dort sitzen viele Angehörige des Kommandobereichs Cyber- und Informationsraum (CIR). Die Cybertruppe der Bundeswehr hat viele Aufgaben: Sie kümmert sich um die IT-Sicherheit der Armee, um digitale Infrastruktur bei Einsätzen, um digitale Lagekarten.

Ein Teil des CIR besteht aber auch aus Hacker:innen, vor allem im sogenannten Zentrum Cyber-Operationen (ZCO). Sie gingen aus der früheren Einheit „Computer Netzwerk Operationen“ hervor, die sich schon 2015 in die Netze eines afghanischen Mobilfunkbetreibers gehackt haben sollen. Doch genau wie eine offizielle Stellungnahme zu diesem Einsatz bleiben Bundeswehr und die Bundesregierung viele Antworten auf offene Fragen seit Jahren schuldig. Dazu passt der Leitspruch des ZCO: „Keiner hört uns, keiner sieht uns, keiner kennt uns.“

2015 haben wir die Strategische Leitlinie Cyber-Verteidigung im Geschäftsbereich des Bundesministeriums der Verteidigung veröffentlicht. Das war noch vor der Einrichtung des CIR. Damals erklärte das Verteidigungsministerium unter Ursula von der Leyen den sogenannten Cyberraum zum Operationsraum neben den bisherigen militärischen Domänen Land, Luft, See und Weltraum. Und es war die Rede von offensiven „Cyber-Fähigkeiten“ oder „Wirkmöglichkeiten“. Es ging also nicht mehr nur um die Resilienz und Verteidigung der eigenen Systeme, sondern um Angriffe auf die Systeme eines möglichen Gegners und Hackbacks.

Viele ungeklärte Fragen

Wenn die Bundeswehr digital nicht nur verteidigen, sondern auch hacken oder zurückhacken soll, entstehen mehrere Probleme: Wie kann man sich sicher sein, dass „der Richtige“ getroffen wird? Bits und Bytes tragen keine Uniform, Angreifer verschleiern regelmäßig ihre Herkunft oder legen falsche Fährten. So kann es schnell zu Eskalationen kommen.

Wenn die Bundeswehr Schadsoftware entwickelt und dafür Sicherheitslücken nutzt, steht das im Widerspruch zum Koalitionsvertrag. Der besagt, dass gefundene Sicherheitslücken gemeldet und schnellstmöglich geschlossen werden sollen. Wer sie offen lässt, um vielleicht im Ernstfall einen gegnerischen Mobilfunkanbieter oder eine Radarstation hacken zu können, gefährdet in der Regel die IT-Sicherheit vieler anderer Systeme und Menschen. Und hält ein System am Laufen, das in staatlich geförderter IT-Unsicherheit mündet.

Ab wann soll die Bundeswehr digitale Gegenangriffe starten dürfen? Hackbacks schließt der Koalitionsvertrag aus. Die Verteidiger:innen der „offensiven Cyberverteidigung“ berufen sich immer wieder darauf, dass für die Parlamentsarmee die üblichen Regeln gelten. Aber wann tritt im Digitalen ein Verteidigungsfall ein? Wie wägt man potenzielle Kollateralschäden ab?

Das meiste bleibt geheim

Um hacken zu können, egal ob beim Erst- oder Gegenschlag, braucht es Vorbereitung. Soll die Bundeswehr die IT-Systeme anderer Staaten ausspähen, um nach Verwundbarkeiten zu suchen? Wer im Ernstfall die Schwachstellen anderer ausnutzen will, muss sich dieses Wissen meist schon vorher ansammeln und Möglichkeiten entwickeln, sie auszunutzen – in Friedenszeiten. Und mühsam gesammeltes Wissen kann schnell mit einem Update oder einer Änderung obsolet werden.

Ein Gutachten der wissenschaftlichen Dienste des Bundestages nennt digitale Gegenmaßnahmen daher treffend „wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“. Das meint, die Werkzeuge müssen immer wieder aktualisiert werden; sobald die Gegenseite sie kennt und sich dagegen verteidigen kann, werden sie wertlos; sie können jederzeit auch anderen in die Hände fallen.

Viele Fragen zu den digitalen heutigen und künftigen Fähigkeiten, Kompetenzen und Grenzen der Bundeswehr sind seit Jahren in der Öffentlichkeit ungeklärt. Parlamentarische Anfragen dazu beantwortet die Bundesregierung oberflächlich oder unter Vorschub der Geheimhaltung gar nicht. Der jährliche Sachstandsbericht „Cyber- und Informationsraum“ – unter Verschluss. Währenddessen gliedert sich die Cybertruppe wieder um, in CIR 2.0.

Die vielen offenen Fragen sind ein Problem, nicht nur wegen der IT-Sicherheit. Das dringt auch in den Antworten des aktuellen Verteidigungsministers Boris Pistorius in einer Pressekonferenz durch, als er gefragt wird, ob es eine klarere Linie braucht, um offensive Angriffe im Ernstfall zu ermöglichen. Es brauche Regelungen, im Cyberraum seien die Grenzen „bisweilen fließend“. „Ich würd’s mal so formulieren“, sagt Pistorius. „Was wir nicht gebrauchen können, ist, nicht zu wissen, was wir tun dürfen, wenn wir’s tun müssen.“

Der Koalitionsvertrag schließt nicht nur Hackbacks aus und will Schwachstellen konsequent schließen, er will auch die „parlamentarische Kontrolle über den Einsatz von Cyber-Fähigkeiten der Bundeswehr“. Ohne Diskussion, was die Armee dürfen soll, wird das nicht gehen. Und ohne Antworten darauf, was die Armee schon heute tut, erst recht nicht.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.