Anfang Mai hat der Politikwissenschaftler Carlo Masala von der Universität der Bundeswehr in München bei einer Konferenz des Bundesministeriums für Bildung und Forschung zur Sicherheitsforschung erläutert, warum in Deutschland seiner Meinung nach nicht mehr von einer hybriden Bedrohung gesprochen werden könne.
Deutschland, sagt er, befindet sich bereits in einem hybriden Krieg. Anders könnte man die ständigen Angriffe auf digitale Infrastrukturen, wie etwa die erfolgreichen Attacken auf zahlreiche Kommunen, die Desinformationskampagnen in den sozialen Medien und die physischen Sabotageakte nicht bezeichnen, mit denen das öffentliche Leben gestört und die politische Meinung in der Gesellschaft gelenkt werden soll. Mit dieser Ansicht befindet sich Masala in guter Gesellschaft. Der Nordatlantikrat der Nato zeigte sich zuletzt zutiefst besorgt über zunehmende russische Cyberattacken. Diese seien „Teil einer sich verstärkenden Kampagne von Aktivitäten, die Russland im gesamten euro-atlantischen Raum ausführt, auch im Bündnisgebiet und über Proxys“.
Vielleicht sind die aktuellen Entwicklungen in der hybriden Kriegsführung unserer Gegner mit ein Grund, warum man unlängst das Kommando CIR (Cyber- und Informationsabwehr) zu einer eigenständigen Teilstreitkraft aufgewertet hat. Auch die jüngsten Meldungen über den Angriff auf die CDU beweisen einmal mehr die Dringlichkeit.
Robuste Gleichgültigkeit
Wenn wir unsere Freiheit und unseren Wohlstand schützen wollen, müssen solche Angriffe abgewehrt oder besser noch unterbunden werden. Dafür ist es notwendig, dass wir selbst robust für unsere Werte einstehen, die Kosten für den Angreifer erhöhen und auch mal in der Lage sein, die Sticheleien und Schläge des Gegners mit einer gewissen Gleichgültigkeit hinzunehmen. Auch der Präsident des Bundesamtes für Verfassungsschutz Thomas Haldenwangsagte vor wenigen Wochen in Berlin: „Natürlich bewerten wir auch das Risiko staatlich gesteuerter Sabotagehandlungen als deutlich erhöht – insbesondere gegen kritische Infrastrukturen der Informations- und Kommunikationstechnik sowie der Energieversorgung.“
Viele gerade jüngere Menschen konsumieren ihre Nachrichten über soziale Plattformen wie Tiktok und Instagram. Oftmals wird dabei nicht unterschieden und hinterfragt, wer der Sender einer Nachricht ist, so dass jeder Post und jedes Reel für den Empfänger den gleichen Wert hat. Nachrichten, deren Botschaft in das eigene Weltbild passen, erhalten eine besondere Aufmerksamkeit, werden geliked und weitergeleitet.
Selten macht man sich die Mühe, die in einem Post vertretene These oder vermeintliche Nachricht durch schnelles Googeln zumindest durch ein oder zwei weitere Quellen zu verifizieren, geschweige denn, einen der zahlreichen Factchecker zu nutzen. Zuletzt zeigte das etwa die Debatte um KI-genierte Bilder auf Instagram. Die Macher solcher „Nachrichten“ leben davon, dass wir sie klicken und liken, denn dadurch generieren sie Werbeeinnahmen und letztlich ihr Einkommen. Darin unterscheiden sie sich nicht von klassischen durch Redaktionen kuratierte Medien.
Manchmal stecken hinter irreführenden Meinungsbeiträgen oder schlicht falschen Meldungen auch mehr als monetäre Interessen. Dann soll das Aufreger-Thema eben nicht nur zu Klicks führen, sondern hat zum Ziel, die gesellschaftliche Stimmung zu bestimmten Themen zu verändern. Aufregung oder Angst verändern Wahlpräferenzen und schaffen den Nährboden für die Gegner freiheitlicher Gesellschaften im In- und Ausland. Mietmäuler oder nützliche Idioten finden sich in freien Gesellschaften immer, die die Botschaft weitertragen. So sind zum Beispiel auch die zahlreichen Drohungen von Putin und seinen Vasallen mit den Nuklearwaffen Russlands zu verstehen.
Restzweifel bewahren
Hier bietet sich als erste Resilienzmaßnahme an, eine gewisse strategische Gleichgültigkeit an den Tag zu legen und nicht alles, was man liest und hört, gleich emotional an sich ranzulassen und schlimmer noch, aufgeregt an Freunde weiterzuleiten. Zumindest aber muss man sich einen Restzweifel bewahren, der mit der Seriosität der Quelle in einem umgekehrt proportionalen Verhältnis stehen sollte. Oder vereinfacht ausgedrückt, wenn es vom „Economist“ kommt, sollte man schon lange drüber nachdenken, wenn einem die Botschaft falsch vorkommt und man Zweifel an ihrer Richtigkeit hegt.
Bei Medien wie RT oder Sputnik sollte man umgekehrt davon ausgehen, dass die Botschaft eine Lüge oder zumindest eine die Realität sehr verzerrende Darstellung ist. Das heißt nicht, dass der Zweifel auch mal unbegründet sein kann, aber es ist eben unwahrscheinlich. Im Übrigen sind selbstverständlich diese Restzweifel auch bei diesem Kolumnisten angebracht.
Umgekehrt müssen wir besser darin werden, den Gegnern der Freiheit den Spiegel vorzuhalten und jene, die noch erreichbar sind, mit Argumenten, Daten und Fakten zu überzeugen, in Deutschland wieder in die Mitte der Gesellschaft zu rücken und in autoritären Staaten sich für eine Öffnung und einen Regimewechsel einzusetzen. Nicht länger dürfen wir dabei allzu zimperlich bei der Wahl der Mittel sein, wenn der Gegner sich nicht an kodifizierte Regeln hält. Digitale Zensurmauern müssen durchbrochen werden, damit die Menschen in Staaten wie Russland zumindest die Möglichkeit haben, sich auch aus unabhängigen Quellen zu informieren. Nichts fürchten Diktatoren mehr als frei denkende selbstbewusste Bürger.
Welche Gegenwehr ist nötig?
Natürlich sollen wir versuchen, Cyberangriffe abzuwehren und es dem Gegner nicht zu einfach machen, Kommunen lahmzulegen, Zugriff auf kritische Informationen oder zu Steuerungssystemen von Produktionsanlagen oder gar Waffensystemen zu erlangen. Aber wir wissen auch, dass man mit einem erhöhten Aufwand für den Schutz der eigenen Systeme dem Gegner sein Handwerk zwar erschwert, aber auch nicht unmöglich macht. Mit ausreichend Zeit und Ressourcen wird er eine Schwachstelle finden. Bei solchen Gegner ins es vielfach effektiver und eben auch günstiger, den Spieß umzudrehen, indem man die Kosten des Angreifers erhöht statt der Kosten für den eigenen Schutz. Die Konsequenzen eines Angriffs müssen für den Aggressor so hoch sein, dass der Angriff selbst sich nicht lohnt.
Dabei muss die Gegenmaßnahme nicht unbedingt in dem bestehen, was gemeinhin als „Hackback“ oder euphemistisch als aktive Cyberabwehr bezeichnet wird. Diese sind – und darauf weist Sven Herpig zu Recht immer wieder hin – völkerrechtlich schwierig, in der Zuständigkeit in Deutschland unklar geregelt und anfällig für ungewollte Konsequenzen. Was dabei aber immer wieder übersehen wird, man muss sich ja nicht darauf beschränken, Gleiches mit Gleichem zu vergelten. Bei der Wahl der Gegenmaßnahme kann es auch zu einem Dimensionswechsel kommen, der mit geringem Aufwand beim Gegner zu hohen Kosten führt.
Wenn die Sicherheitsbehörden den erfolgreichen Cyberangriff auf die SPD-Parteizentrale Russland zuordnen können, dann können (und sollten) natürlich alle nicht von Russland gesponserten Parteien ihre Systeme aufwendiger schützen. Wenn Bundeskanzler Olaf Scholz (SPD) im gleichen Zeitraum bislang Rücksicht auf russische Befindlichkeiten genommen hat und daher keine Taurus-Marschflugkörper der Ukraine zur Verfügung stellt, dann hat das wenig miteinander zu tun.
Aber bei aller strategischer Ambivalenz kann man dann auch mal drei Taurus Raketen zu Testzwecken an die Ukraine liefern und zeitgleich den Cyberangriff auf die Kanzlerpartei öffentlich Russland zuordnen. Die Botschaft wird ankommen und dem Angreifer klarmachen, dass die eigenen Taten mit erheblichen Kosten für die eigene Sicherheit verbunden sind.
Glaubhaftes Drohen und dem Gegner schmerzende Gegenmaßnahmen beim Überschreiten roter Linien zufügen, stärken die eigene Glaubwürdigkeit und ändern das Kalkül des Gegners für die Zukunft. Mehr zumindest, als wenn man sich vor Mikrophonen empört zeigt und den Gegner auffordert, Cyberangriffe auf deutsche staatliche Einrichtungen, Parteien und Kritische Infrastrukturen in Zukunft gefälligst zu unterlassen. Insbesondere, wenn der Gegner sich bereits vom Völkerrecht unbeeindruckt zeigt, reicht die als „naming and shaming“ bekannte Strategie, den Angreifer in der Öffentlichkeit beim Namen zu nennen nicht aus. Kriegsverbrecher haben offensichtlich keine Scham.
Tim Stuchtey ist geschäftsführender Direktor des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS).
In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Tim Stuchtey erschienen: Mehr Angst vorm Kellerdiebstahl als vorm Datenklau?