Als Folge des Leaks abgehörter Kommunikation von Bundeswehroffizieren im Falle Taurus, ist ein hektischer Diskurs über die Digitalisierung und IT-Sicherheit der Bundeswehr entbrannt und darüber, welche politischen Schlüsse man aus diesem Vorfall ziehen soll. Wie war es möglich, dass ein russischer Nachrichtendienst sich unbemerkt in einen Videocall einwählt? Warum sind Offiziere nicht besser in der „Security awareness” geschult, um zu erkennen, dass man von unsicheren, öffentlichen Plätzen wie Hotels, Cafés oder Flughäfen keine sensiblen Calls tätigen sollte, Stichwort: „Feind hört mit”? Wie steht es um die digitale Zeitenwende? Braucht die Bundeswehr noch zusätzliche, bessere, kryptografisch abgesicherte Konferenzsysteme? Sollen wir nicht-vertrauenswürdige Unternehmen wie Huawei aus unserer 5G Infrastruktur heraushalten?
Natürlich ist es richtig, Soldatinnen und Soldaten besser in der IT-Sicherheit beziehungsweise in Geheimschutzpraktiken zu schulen, im Erkennen von Phishing und im richtigen Kommunikationsverhalten an öffentlichen Plätzen. Man darf sich aber auch keiner Illusion hingeben, dass allein bessere, technische IT-Sicherheit zu 100 Prozent zukünftige Leaks verhindert.
Es ist hinreichend bekannt, dass selbst mit regelmäßigen Security-Awareness Training weiterhin menschliche Fehler passieren. Und natürlich gibt es auch immer mehrere Angriffsvektoren, die man nicht immer vollständig kontrollieren kann: von Abhören mittels Richtantennen bis zum Einsatz von Spionagetrojanern wie Pegasus und Co.
Das Große Ganze
So sinnvoll eine Diskussion über eine schnellere Digitalisierung Deutschlands und bessere IT-Sicherheit und Geheimschutz-Sensibilisierung ist, so verstellt sie aber den Blick auf das große Ganze. In Deutschland mag man es weiterhin nicht wahrhaben, aber aus Putins Sicht sind wir schon eine Kriegspartei. Aus russischer Sicht befinden wir uns in einem Informationskrieg beziehungsweise einer Informationskonfrontation, wie es in der russischen Strategie heißt.
In Deutschland verwenden wir den etwas problematischen Begriff „hybrider Krieg”, der auf einem Spektrum irgendwo in der Mitte zwischen Frieden und bewaffnetem Konflikt angesiedelt ist. Hybrider oder Informationskrieg ist (noch) kein Krieg konventioneller Waffen, die die völkerrechtliche Schwelle der militärischen Gewaltanwendung berühren (der aber auch dahin eskalieren kann). Wir tun uns im Westen aus zwei Gründen schwer damit: erstens basiert unser Handeln auf einer klaren, rechtlichen Abgrenzung von Krieg und Frieden, sowohl im Grundgesetz als auch etwa beim Völkerrecht und den Regeln des Krieges.
Die Grauzone dazwischen ist daher schwer für uns zu fassen, etwa wenn es um die Frage Reaktion auf Cyberangriffe unterhalb jener Gewaltschwelle mit eigenen offensiven Cyberoperationen („hackback“) geht. Zweitens, denken wir im Westen häufig rein technisch: Wir reden über Cybersicherheit und „Cyberkrieg“ während Russland und China stattdessen über Informationssicherheit sprechen. Informationssicherheit, sprich die Kontrolle von Informationen und Narrativen im eigenen Territorium und auch im Ausland, ist in deren Strategie weitaus umfassender und wichtiger als die bloße, technische Absicherung von Daten in Systemen im Kontext des westlichen Begriffs Cyber- beziehungsweise Informationssicherheit.
Voll in die politische Paralyse
Die Waffen in diesem Informationskrieg sind aktive Maßnahmen wie Sabotage von Kommunikationsleitungen, Spionage, geleakte Daten aus Cyberoperationen beziehungsweise der Einsatz von Fälschungen und insbesondere „Informationswaffen”, wie etwa Influencer, soziale Medien mit „targeted advertisement”, offene Propaganda über Staatsmedien und verborgene Beeinflussung.
Ziel von sogenannten Informationsoperationen ist die Kontrolle von Informationen, Narrativen und dessen, was in gesellschaftlichen Diskursen gesagt wird. Diskurse sollen in eine Richtung gelenkt werden, die dem Kreml sinnvoll erscheinen und im Idealfall zu politischer Paralyse führen: Wir geraten in einen selbstreferenziellen Diskurs, über Nebensächlichkeiten, etwa die Idee chinesische Dienstleister aus deutscher 5G Infrastruktur auszuschließen, was im aktuellen Taurus-Leak genau gar nichts geholfen hätte.
Oder wir verlieren uns in innenpolitischen Streitigkeiten wie Forderungen nach Untersuchungsausschüssen, kommen aber nicht ins proaktive Handeln bei der effektiven, zeitnahen Hilfe für die Ukraine. Positiver Nebeneffekt für Russland: das Vertrauen in demokratische Prozesse und Institutionen sowie das Vertrauen unter Partnern wird durch solche Leaks und die daraus folgenden Diskurse, Stück für Stück, zerstört. Informationskonfrontation hat letztlich das Ziel des vollständigen Fatalismus einer demokratischen Gesellschaft, sodass sich keine Mehrheiten mehr finden lassen, um demokratische Politik zu machen.
Jenseits von Cybersicherheit: Informationsresilienz
Warum tut Russland das? Weil Russland weiß, dass es die westlichen Demokratien mit konventionellen Waffen nicht besiegen kann. Stattdessen ist das Ziel, die Einheit der Alliierten zu schwächen und das Misstrauen zwischen den Nato-Staaten zu stärken. Denn dann zerbricht im besten Fall die Bindekraft der Beistandsklausel der Nato-Artikel 5 im Falle eines bewaffneten Angriffs, zum Beispiel auf die baltischen Staaten. Leider muss konstatiert werden, dass Russland diese Ziele mit den Taurus Leaks ein Stück weit erreicht hat: Das Image Deutschlands in der westlichen Allianz hat maßgeblich gelitten.
Wir müssen also größer denken als rein technische IT-Sicherheit. Kurioserweise hilft uns hier ein Gedanke der Cybersicherheit. Weil vollständige Sicherheit unmöglich ist und beharrliche Angreifer immer einen Weg finden werden, hat sich der Gedanke der Resilienz durchgesetzt: Man kann die Kompromittierung eines Systems nicht vollends verhindern, also muss das Ziel von der Verhinderung eines Vorfalls, hin zur Minderung des Impacts eines solchen Vorfalls angepasst werden. In anderen Worten, wenn die Verteidigung versagt, greifen Resilienzstrategien.
Wie wir Resilienz erreichen
Wir müssen uns darauf vorbereiten, wie wir den Informations-Impact von solchen Beeinflussungsversuchen reduzieren. In anderen Worten, wir brauchen eine Art Resilienz gegenüber Informationsoperationen. Zur Informationsresilienz gehört erstens das Wissen darüber, dass man das Ziel von Beeinflussung ist, damit man ihr nicht auf den Leim geht. Positiv anzumerken ist, dass dieses Bewusstsein bei den Sicherheitsbehörden existiert. Dem Großteil der Bevölkerung ist dies sicherlich nicht so bewusst, weshalb es auch mehr politische Bildung und Beiträge braucht.
Es gehört zweitens dazu, zu wissen, wie die Mechanismen der Beeinflussung funktionieren und welche Inhalte Beeinflussungsoperationen heute haben. Im Taurus-Leak ist die Sache deutlich und man hätte besser darauf vorbereitet sein können, denn: russische Beeinflussungsnarrative fokussieren sich schon seit Langem auf die angebliche Ineffizienz und angebliche Eskalationsgefahr von europäischen Waffenlieferungen, mit dem Ziel, der Ukraine den Nachschub abzuschneiden. Aus diesen Narrativen lässt sich im Umkehrschluss ableiten, was mein Gegenüber will oder nicht will: Waffenlieferungen, ob nun erst Leopard 2 oder nun Taurus zu verhindern. Russland fürchtet, dass die Ukraine mit Langstreckenwaffen die weit entfernte Logistik abschneidet und somit die Kriegsgeschicke wenden kann.
Daraus lassen sich drittens, schon bevor mal wieder ein Leak passiert, kommunikative Gegenstrategien entwickeln. Hier hat Deutschland Aufholbedarf. Es ist sinnvoll, dass zum Beispiel die verschiedene Behörden in Deutschland Beeinflussungsversuche überwachen und sich in AGs und Taskforces darüber austauschen. Aber das kann nur ein erster Schritt sein.
Strategische Gegenkommunikation als Mittel
Diese Analysen müssen besser in das politische Handeln einfließen, was bisher nur begrenzt der Fall zu sein scheint. Kurz, Deutschland braucht bessere strategische Kommunikation, die ein Element von Informationsresilienz ist. Als damals das Kommando Cyber und Informationsraum gegründet wurde, wurde der Namenszusatz „und Informationsraum” nicht zufällig gewählt. Allerdings kann das KdoCIR gegenwärtig nur Beeinflussungsversuche überwachen, aber keine strategische Gegenkommunikation durchführen. Die Zentralisierung von strategischer Kommunikation bei einer Organisation ist eine mögliche Idee.
Eine andere wäre, die strategische Gegenkommunikation in einem „whole of government“-Ansatz zwischen verschiedenen Behörden besser zu koordinieren. Die Briten haben dazu jüngst ein Handbuch veröffentlicht, wie die Kommunikationsabteilungen, und Stäbe und Social-Media-Teams von Behörden sich proaktiv auf etablierte Beeinflussungsnarrative vorbereiten können. Neben dem „debunking“ von Falschinformationen, gehört auch das Setzen eigener Narrative dazu.
Das Ganze sollte idealerweise authentisch, nahbar und faktenbasiert sein. Dazu ist es aber essenziell, dass man bereits proaktiv, also bevor wieder ein Leak oder Ähnliches passiert, passende Szenarien durchgespielt, gegnerische Narrative analysiert und dafür maßgeschneiderte, Gegenkommunikationsstrategien entwickelt hat: analog wie in der IT-Sicherheit Krisenreaktionspläne aufgestellt werden für den Fall, dass ein Cyberangriff die Organisation betrifft.
Idealerweise sind diese Strategien also zwischen den relevanten Ministerien, und noch besser, auch zwischen den Alliierten halbwegs abgestimmt – in einer Demokratie ein komplexes Unterfangen. Gleichzeitig muss es eine gewisse Dynamik und Flexibilität geben, sich auf aktuelle Begebenheiten anzupassen. Das erfordert aber viertens, entsprechende effektive Kommunikationsschnittstellen zwischen den Behörden.
Zentrale Lehren
Wir müssen lernen, dass wir mit Russland und perspektivisch auch mit China, denn dort verfolgt man ähnliche Strategien, in einer Informationskonfrontation stecken, ob wir wollen oder nicht. Dabei reicht es nicht, nach jedem Leak nur über technische Maßnahmen zu diskutieren und die mangelnde Digitalisierung zu beklagen. Natürlich müssen wir bei der Digitalisierung und IT-Sicherheit besser werden, keine Frage.
Was wir aber außerdem brauchen, ist eine Resilienzstrategie für die Informationskonfrontation und effizientere strategische Kommunikation, um besser auf Beeinflussungsversuche reagieren zu können. Zudem müssen sich die westlichen Demokratien zusammen tun und Lösungen zur effektiven Bekämpfung von ausländischen Informationsoperationen finden.
Auch hier muss groß und vor allem praktisch gedacht werden: von breiter digitaler Medienkompetenz und politischer Bildung über die Schulen, bis ins Erwachsenenalter hinaus, über weitere Regulierungen im Bereich Inhaltemoderation und Faktenchecks auf großen Social-Media-Plattformen, und weiteres. Zudem sollte darüber nachgedacht werden, eigene Narrative besser ins Ausland zu tragen.
Matthias Schulze ist der Leiter des Forschungsschwerpunkts Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH).
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Bisher von Schulze erschienen: Der Cyberkonflikt zwischen Israel und der Hamas