Es cybert bei der Bundeswehr. Das macht der gestern vorgestellte Abschlussbericht „Aufbaustab Cyber- und Informationsraum“ des Bundesverteidigungsministeriums (BMVg) deutlich. Auf 53 Seiten werden „Empfehlungen zur Neuorganisation von Verantwortlichkeiten, Kompetenzen und Aufgaben im Cyber- und Informationsraum sowie ergänzende Maßnahmen zur Umsetzung der Strategischen Leitlinie Cyber-Verteidigung“ ausgeführt. Es geht darum, dass der Cyber- und Informationsraum neben Land, Luft, See und Weltraum für die Streiftkräfte eine „eigene Dimension“ darstellt. Doch was ist das überhaupt, dieser Cyber- und Informationsraum? Die Definition des BMVg:

Der Cyber- und Informationsraum ist ein komplexes System und vereint in sich den Cyber-Raum, das Elektromagnetische Spektrum und das Informationsumfeld.

Schon ab dem 1. Oktober 2016 soll es eine neue Abteilung im BMVg mit dem Namen „Cyber / IT“ (CIT) geben. Bis zum 1. April 2017 soll ein „militärischer Organisationsbereich für den Cyber- und Informationsraum“ (CIR) in der Bundeswehr folgen.

Cyber-Krieger gesucht

13.700 Posten wechseln zu CIR, 300 Posten werden „für die Führungsfähigkeit des KdoCIR [Kommando CIR], die Aufstellung eines Zentrum Cyber-Sicherheit der Bundeswehr und die Stärkung der Aufgabe Computer Netzwerk Operationen“ bereitgestellt. Der Großteil des Personals soll dafür aus bestehenden Kräften zusammengezogen werden. Doch das reicht längst nicht aus, denn die Bundeswehr hat ein Personalproblem – vor allem was IT-Kräfte anbelangt. Das zeigt die aggressive Rekrutierungskampagne „Digitale Kräfte“ des BMVg. 3,6 Millionen Euro wurden ausgegeben um auf etwa 18.000 Plakatflächen, mit Bannern, YouTube-Werbung und auf Facebook mit Sprüchen wie „Gegen virtuellen Terror hilft kein Dislike-Button“ und „Wie ziehst du eine Firewall um ein Feldlager?“ IT-Nachwuchs anzuwerben. 800 Zivilisten und 700 Soldaten hofft man damit pro Jahr für den IT-Bereich zu besetzen.

Doch den Zuständigen ist bewusst, dass das nicht ausreichen wird. Daher sind im Bericht „innovative Wege der Personalgewinnung“ ausgeführt. „Cyber-Stipendien“ an der Bundeswehr-Universität München gehören zu den noch konventionelleren Ideen. Aus dem bis 2018 geplanten Studiengang „Cyber-Sicherheit“ sollen pro Jahr circa 70 Absolventen hervorgehen. Doch bis die fertig sein werden, wird es weitere Jahre dauern.

Überraschender ist Folgendes:

Die Durchführung von IT-Turnieren als mögliches Instrument der Personalrekrutierung (z.B. in Form von LAN-Partys für die Rekrutierung von Talenten aus der Gamer-/ E‑Sport-Szene)

Dabei zielt die Bundeswehr explizit auch auf Menschen „ohne formalen Bildungsabschluss“ oder solche mit „informell oder nicht-formell“ erworbenen Kenntnissen. Für eine bürokratische Einrichtung wie die Bundeswehr zeugen solche Pläne von einen beträchtlichen Maß an Rekrutierungsproblemen. Die reale Umsetzung dieser Strategie wird unter den Voraussetzungen des Bundesbesoldungsgesetzes noch zu evaluieren sein. Der verteidigungspolitische Sprecher der SPD-Bundestagsfraktion, Rainer Arnold, kommentiert:

Die Gewinnung von Personal ist noch nicht gelöst. Das herkömmliche Laufbahnrecht ist jedenfalls nicht geeignet, die Bundeswehr als Arbeitgeber für neue IT-Spezialisten attraktiv zu machen.

Cyber-Marketing-Rhetorik

Nicht nur beim Absatz zur „innovativen“ Personalgewinnung mutet der Bericht teilweise an wie ein Dokument aus der Unternehmensberatung. So stolpert man darüber, dass IT-Prozesse nun agiler gestaltet werden sollen. Vom Prozessgedanken „PLAN, BUILD und RUN“ im CIT ist die Rede. Und der Eindruck kommt nicht von ungefähr. Hier spürt man deutlich die Handschrift der Verteidigungsstaatssekretärin Katrin Suder, die zuvor bei der Unternehmensberatung McKinsey arbeitete. Die Worte von Verteidigungsministerin Ursula von der Leyen aus dem Beginn ihrer Amtszeit 2014 – „Ich bin die Chefin eines Konzerns“ – drücken treffend aus, was der Bericht verkörpert.

Unternehmensnah wird es auch bei den diskutierten Besetzungen für die obersten Posten in den neuen Einheiten. Klaus-Hardy Mühleck, derzeitiger Manager von ThyssenKrupp, soll voraussichtlich die Cyber-Abteilung im Ministerium leiten.

Hau-Ruck-Mentalität verliert Probleme aus den Augen

Dass die IT-Strukturen in der Bundeswehr veraltet sind, wird an vielen Stellen deutlich. Daher ist eine Neuaufstellung unerlässlich, doch eine übers Knie gebrochene Aufrüstung bringt auch viele Probleme mit sich, der bürokratische Aufwand ist immens. Agnieszka Brugger, Obfrau im Verteidigungsausschuss für die Grünen im Bundestag, fürchtet, dass die Bundeswehr erst einmal weniger handlungsfähig sein wird:

Mit ihren Plänen für einen neuen Organisationsbereich sorgt die Verteidigungsministerin zudem dafür, dass die Strukturen der Bundeswehr durch noch mehr Verwaltung und Bürokratie unnötig aufgebläht werden. Gleichzeitig wird die Handlungsfähigkeit auf mittelfristige Sicht erst einmal heftig eingeschränkt, denn aus den Erfahrungen der letzten Reformen wissen wir, dass solche Umstrukturierungen lange brauchen und sich erst einmal extrem lähmend auswirken. Ich kann nicht nachvollziehen, warum die neuen Fähigkeiten nicht da, wo es sie bereits gibt, gestärkt und ausgebaut werden. Statt wieder einmal auf knackige Schlagzeilen zu setzen und die militärische Logik ins Netz zu tragen, sollte Frau von der Leyen jeden Cent und jeden Menschen mit IT-Kompetenz für den Schutz und die Sicherheit der eigenen Systeme einsetzen.

Neben dem immensen bürokratischen Aufwand steht die Frage, welche genauen Aufgaben und Kompetenzen die Bundeswehr in der Cyber-Welt haben soll. Die Auflistung im Bericht enthält einen bunten Blumenstrauß:

• Gewährleisten von Informationssicherheit und Schutz des IT-Systems der Bundeswehr sowohl im Einsatzgebiet als auch in Deutschland im Sinne einer Dauereinsatzaufgabe,
• Beitragen zum Schutz kritischer Cyber/ IT-Infrastrukturen im Rahmen der gesamtstaatlichen Sicherheitsvorsorge,
• Erstellen einer umfassenden militärischen Nachrichtenlage sowie eines übergreifenden Cyber-Lagebildes und Beitragen zu einem gesamtstaatlichen Lagebild,
• Durchführen von Computer Netzwerk Operationen (CNO) im Cyber-Raum sowie Maßnahmen des Elektronischen Kampfes (EK) im elektromagnetischen Spektrum,
• Nutzen des Informationsumfeldes zur Erkennung von Propaganda und Desinformation in Krisengebieten,
• Teilhaben an der Meinungsbildung im Informationsumfeld der Interessengebiete der Bundeswehr [Fußnote: Im Einklang mit dem grundgesetzlichen Neutralitätsgebot des Staates.] und in mandatierten Einsätzen.

Was darf die Bundeswehr eigentlich?

Schutz von IT-Infrastruktur ist wichtig, doch der Schutz kritischer Infrastrukturen „im Rahmen der gesamtstaatlichen Sicherheitsvorsorge“ umfasst mehr als nur die unmittelbare Infrastruktur der Bundeswehr selbst. Hierzu gehören neben anderen Energieversorger, Transportinfrastruktur ebenso wie Wasserversorgung. Deren besseren Schutz soll originär das IT-Sicherheitsgesetz regeln, auch wenn im Gesetz einiges fehlt, um wirklich zu einem besseren Schutzniveau zu gelangen. Die Bundeswehr hat damit erstmal nichts zu tun und es stellt sich die Frage, wie ein Einsatz der Bundeswehr im Inland hier gerechtfertigt werden kann. Die Pläne, den Einsatz der Bundeswehr im Innern zu erleichtern, werfen hier ihren Schatten voraus.

Noch schwieriger wird es, wenn es nicht mehr nur um Verteidigung, sondern auch um Angriffsoperationen geht, die unter Computer Network Operations fallen. Bisher werden diese von einer 60-Personen-Truppe in Rheinbach ausgeführt, die um 20 Posten aufgestockt werden soll. Bei Angriffen in der Cyber-Welt sind noch viele völkerrechtliche Fragen offen. Dabei spricht der Bericht selbst diese Probleme an: Die Attributierung von Angriffen zu Nationen oder Gruppen ist schwierig, die Frage der Schwelle eines bewaffneten Angriffs oft ungeklärt und was Angriff und Verteidigung ist lässt sich schwer trennen:

Selbst die Grenze zwischen offensiver und defensiver Ausrichtung ist fließender als sonst. Hat ein Akteur die Fähigkeit zur Verteidigung, so kann er auch weltweit angreifen.

Ergo: Man liefert eine Vielzahl an Argumenten, warum eine überstürzte Aufrüstung problematisch ist. Beim eigenen Handeln wird das nicht reflektiert. Stattdessen schweigt man sich zu den eigenen Angriffsplänen aus, beteuert aber, für jeden Einsatz sei eine Mandatierung durch den Bundestag notwendig. Ein Thema, das auch die Stellungnahmen der von uns angefragten Abgeordneten bestimmte.

Reaktionen aus dem Bundestag

Brugger kritisiert die Absichten für Offensiv-Einsätze:

Ich halte es für einen fatalen Tabubruch, dass die Bundeswehr künftig auch Angriffe in fremde Netze verüben soll und auf diese Weise dann die Eskalationsdynamik im Netz befeuert. Wenn die Bundesregierung wirklich ein freies, friedliches und sicheres Netz für die Bürgerinnen und Bürger schaffen wollte, dürfte sie sich nicht selbst an virtueller Kriegsführung beteiligen. Denn wer selbst auf Sicherheitslücken in anderen Systemen spekuliert und diese ausnutzen will, hat ein großes Interesse daran, dass es auch weiterhin Sicherheitslücken gibt.

Mit ihrer Kritik steht sie nicht allein da. Auch Alexander Neu, Obmann der Linken im Ausschuss, ist ähnlicher Meinung:

Rein defensive Cyber-Verteidigung ist legitim, dennoch birgt das nun vorgestellt Konzept große Gefahren und öffnet Tür und Tor für Missbrauch. Denn Cyber-Angriffe sind im Gegensatz zu konventionell-militärischen Angriffen nicht sichtbar und damit fast nicht kontrollierbar für Außenstehende oder das Parlament. Es liegt in der Natur einer Cyber-Attacke, dass so gut wie nie sicher nachvollziehbar ist, wer die Verantwortung dafür trägt und damit eben auch nicht, wer der eigentliche „Angreifer“ ist.

Die Grenze zwischen der bloßen Abwehr eines Angriffes und der Vorbereitung und Durchführung eines eigenen Angriffes ist verschwommen und nicht kontrollierbar. Ein offensiver Cyber-Angriff der Bundeswehr müsste vom Parlament genehmigt werden. Wie das in der Praxis umgesetzt werden soll, angesichts der beabsichtigten kurzen Reaktionszeiten und der Hackerangriffen inhärenten Unsicherheiten ist mir mehr als schleierhaft. Kurzum: Diese neue – auch militärische – Wirkkraft ist eine politisch höchst gefährliche Sache, da sie Operationen in einer Black Box zulässt, deren Folgen weder kalkulierbar noch völkerrechtlich geklärt sind und geradezu danach schreien die parlamentarischen Rechte auszuhebeln. Das Konzept ist zum jetzigen Zeitpunkt völlig unausgegoren, da es keine Antworten auf die oben genannten Gefahren liefern kann oder will.

Der Vorsitzende des Verteidigungsausschusses, Wolfgang Hellmich aus der SPD, sieht noch offene Fragen:

Wichtig für uns Abgeordnete ist auch, dass es keinen Einsatz von Cyber-Kräften ohne entsprechende Einsatzmandatierung durch den Deutschen Bundestag gibt. Da der Cyber-Raum weder nationale Grenzverläufe noch Strukturen kennt, verwischen die Linien zwischen kriegerischen oder rein kriminellen Angriffen. Dies macht eine politisch legitimierte Entscheidung umso notwendiger. Im Zeitalter von Industrie 4.0, dem Internet der Dinge, Big Data und der Verletzlichkeit von Staat und Gesellschaft, ist eine enge politische Begleitung dringend geboten, zumal viele Fragen – zum Beispiel des Völkerrechtes – zu klären sind.

Ähnlich betrachtet das sein Parteikollege Arnold und wirft noch eine weitere Frage auf:

Wir begrüßen es, dass die Verteidigungsministerin mit der neuen Organisationsstruktur auf die zunehmenden Bedrohungen der IT-Sicherheit in der Bundeswehr reagiert.
Viele Fragen aber bleiben durch die Organisationsreform unbeantwortet. Das betrifft insbesondere die Beantwortung rechtlicher und völkerrechtlicher Fragen. Dazu gehört auch, inwieweit militärische Maßnahmen im Cyber- und Informationsraum zukünftig in die Mandate für die Auslandseinsätze der Bundeswehr aufgenommen werden müssen.

Für uns Parlamentarier stellt sich die Frage, wie bei der zunehmenden Verzahnung mit BMI, BSI und BND die parlamentarische Kontrolle zu gewährleisten ist. Wir werden hier auf ein transparentes Verfahren und die Kontrolle durch das Parlamentarische Kontrollgremium drängen.

Der verteidigungspolitische Sprecher der Union, Henning Otte, äußert sich hingegen zufrieden:

Unsere Gesellschaft steht an einer Schwelle zu einer neuen technischen Revolution. Immer mehr Lebensbereiche sind von Informationstechnologien durchsetzt. Analog hierzu müssen wir uns auf eine „Sicherheitspolitik 4.0“ einstellen. Die zunehmende Digitalisierung birgt Chancen, macht uns aber auch leichter angreifbar. Nicht zuletzt die hybride Kriegsführung, die wir in aktuellen Konflikten beobachten, bedient sich IT-Angriffen als einer ihrer Erscheinungsformen. Daher unterstütze ich die vorgeschlagene Reform der Organisationstruktur zum Ausbau der Cyber-Fähigkeiten bei der Bundeswehr. Mit der Neuorganisation wird dem Thema der angemessene Rahmen verschafft, um sichtbar und schlagkräftig auf die Herausforderungen im Cyber- und Informationsraum einzustellen.

Die Bündelung der IT-Strukturen und ‑fähigkeiten im Ministerium und in einem eigenen Organisationsbereich in der Bundeswehr sind ein wichtiger Schritt, um alles unter ein Dach zu bringen und sich selbst besser zu schützen. Über den eigenen Schutz hinaus kann die Bundeswehr aber auch in einer Gesamtstrategie der Bundesregierung Fähigkeiten zum Schutz der Zivilbevölkerung zur Verfügung stellen. Hier geht es aber nicht um Cyberkrieg.

Yet another Cyber-Abteilung?

Die neuen Cyber-Pläne des BMVg spiegeln die Bemühungen wieder, mit der Digitalisierung umzugehen und nicht komplett den internationalen Anschluss zu verlieren. Das darf nicht auf Kosten einer gründlichen rechtlichen Prüfung geschehen, damit kein Rüstungswettlauf nach dem Motto „Wenn die anderen das machen, müssen wir auch“ werden. Und vor allem darf die neue Bundeswehr-Cybertruppe nicht noch eine weitere Cyber-Institution werden, die in der Wirkungslosigkeit versinkt. Wie beispielsweise das Nationale Cyber-Abwehrzentrum, das vor fünf Jahren für die bessere Verteidigung vor Cyber-Angriffen errichtet wurde und dem der Bundesrechnungshof das verheerende Urteil ausstellte, einen fraglichen Nutzen zu haben. Hier ist übrigens auch die Bundeswehr involviert. Besonders interessiert war man aber wohl nicht an der gemeinsamen Cyber-Abwehr. Zu den Lagebesprechungen seien die „vorgesehenen Einrichtungen der Bundeswehr“ bis auf den Militärischen Abschirmdienst – zumindest in den ersten drei Jahren des Bestehens – nie erschienen.