Traut man der kürzlich getätigten Aussage des Bundeswehr-Majors Bernd Kammermeier, so befindet sich Deutschland „permanent im Krieg“, und zwar im
Cyber- und Informationsraum. Das ist nicht nur falsch, sondern auch gefährlich.
Dennoch haben Vertreter des militärischen Berufstandes in den letzten Jahren
häufiger ähnliche Behauptungen aufgestellt. Einmal sollten Soldatinnen und
Soldaten Kritische Infrastrukturen
wie die Wasserversorgung gegen Cyberangriffe
verteidigen, ein anderes Mal eigene Cyberoperationen durchführen, um einen
Gegner im Cyberraum zu entwaffnen. Gemein ist diesen Aussagen nur, dass es
jedes Mal eher um politisches Kalkül als um faktenbasierte Strategie ging.
Kommando Cyber- und Informationsraum
Dabei sah vor zwei Jahren – zumindest in der Öffentlichkeit – alles noch so gut aus. Es wurde entschieden, dass im neugeschaffenen Kommando Cyber- und Informationsraum (CIR) alle Soldaten, Beschäftigte und Themen gebündelt werden sollen, die etwas mit IT und Cyber zu tun haben. Das war eine sinnvolle und notwendige Konsolidierung. Auch die NATO hatte erst ein Jahr früher den Cyberraum offiziell als militärische Domäne anerkannt. Man war also strategisch auf der Höhe der Zeit.
Auch die Zuständigkeiten und Trennung zwischen militärischer und ziviler Domäne im Cyberraum wurden zunächst klar voneinander abgegrenzt: Die Bundeswehr ist für den Schutz der eigenen Systeme, vom Bürorechner bis zur Fregatte, zuständig, operiert im Rahmen der vom Parlament mandatierten Auslandseinsätzen und wird im Spannungs- und Verteidigungsfall aktiv. Mit den anderen, vor allem zivilen, Behörden tauscht man sich im dafür geschaffenen Cyber-Abwehrzentrum aus.
IT-Sicherheitsgesetz, Cyber-Sicherheitsstrategie 2016 und Aktive Cyberabwehr
Hinter den Kulissen war aber anscheinend schon länger klar, dass sich die Bundeswehr damit nicht abfinden wollte. Schon im Rahmen des 2015 verabschiedeten IT-Sicherheitsgesetzes, welches sich maßgeblich dem Schutz Kritischer Infrastrukturen widmet, wurde die Rolle der Bundeswehr im Cyberraum diskutiert. Ein Hauptargument der Bundeswehr war, dass die Bundeswehr auch in „analogen“ Krisenszenarien die zivilen Behörden unterstützt, etwa bei Überflutungen. Jedoch blieb es dabei: Auf Behördenseite ist vor allem das zivile Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Kurze Zeit später kam es dann zur nächsten Konfliktlinie: die Cyber-Sicherheitsstrategie 2016 sah den Ausbau des Nationalen Cyber-Abwehrzentrums vor. Scheinbar nahm das Bundesministerium der Verteidigung (BMVg) den geplanten Ausbau als Anlass für einen Gegenvorschlag. Statt wie derzeit beim BSI angegliedert, sollte das Cyber-Abwehrzentrum näher an die Bundeswehr, beziehungsweise das BMVg rücken. Das ergibt jedoch keinen Sinn, da sich das Cyber-Abwehrzentrum mit einer koordinierten Fallbearbeitung, einer tagtäglichen Aufgabe in Friedenszeiten, beschäftigt. Möglicherweise hat auch ein entsprechender Ressortzwist zu Verzögerungen bei diesem Projekt geführt, denn Fakt ist: Drei Jahre später gibt es immer noch kein Cyber-Abwehrzentrum Plus.
Die Debatte zur aktiven Cyberabwehr (sogenannte „Hackbacks“) reiht sich mittlerweile nahtlos in die Liste an Themen ein, bei der die Bundeswehr eine größere Rolle spielen möchte. Das ist schon deswegen höchst bedenklich, weil es sich bei aktiver Cyberabwehr ganz klar um Aktivitäten unterhalb der Schwelle des bewaffneten Konfliktes handelt und somit nicht in den Aufgabenbereich der Bundeswehr fällt. Darüber hinaus würde man bei einer Bundeswehr-Beteiligung möglicherweise den Parlamentsvorbehalt aushebeln. Zusätzlich gibt es hier unzählige offene Fragen, wie zum Beispiel die Zurechnung von Angriffen oder ob das Auskundschaften ausländischer IT-Systeme bereits ein kriegerischer Akt an sich ist. Auch bei dieser Debatte ist das letzte Wort noch nicht gesprochen, die entsprechenden Gesetzesinitiativen sollen aber noch in diesem Jahr kommen.
Klare Strategie statt Angstmacherei
In letzter Zeit wird wieder viel über die Gefahr eines Cyberkriegs gesprochen, zum Beispiel werden Szenarien diskutiert, in denen ausländische Nachrichtendienste und Militärs in Deutschland das Licht ausschalten. Statt diese Angst zu schüren täte die Bundesregierung gut daran, sich ganz klar und deutlich zu der Rolle der Bundeswehr und dem Primat des Zivilen im Cyberraum zu äußern. Fest steht, dass in Friedenszeiten für die Cybersicherheit in Deutschland neben dem BSI vor allem die Polizeien, aber auch die Verfassungsschützer zuständig sind. Und um erfolgreiche Angriffe auf unsere Kritischen Infrastrukturen abzuwehren, braucht es vor allem Prävention, Detektion und Reaktion durch diese Behörden und keinen Gegenangriff durch die Bundeswehr. Denn Aggressionen mit Gegenaggressionen zu vergelten, bringt uns auch im Cyberraum nicht weiter.
Sven Herpig ist Leiter für internationale Cyber-Sicherheitspolitik bei der Stiftung Neuer Verantwortung (SNV). Bevor Herpig zur SNV kam, arbeitete er mehrere Jahre bei deutschen Bundesbehörden im Bereich IT-Sicherheit – unter anderem beim BSI.
