Vorbemerkung: Der in den Medien und auch von einschlägigen Experten seit Jahren gehypte Begriff Cyberwar, unter den heute im Zweifelsfalle auch noch die läppischste Hackerei subsumiert wird, findet im nachfolgenden Beitrag keine Verwendung. Sein inflationärer Gebrauch in der täglichen Meldungsflut vernebelt die tatsächlichen Sicherheitsrisiken und -gefahren einer immer stärker durchdigitalisierten und zunehmend unfriedlicheren Welt eher, als dass er sie verdeutlicht, denn diese Flut besteht zu – gefühlt – 98 Prozent aus Kriminellem, aus für die nationale und internationale Sicherheit Irrelevantem oder aus anderweitig Belanglosem. Im Übrigen ist der Terminus Krieg („war“) in diesem Kontext insofern irreführend, als er suggeriert, es fände ein solcher statt – mit klar auszumachenden Kombattanten, Frontlinien und Kriegszielen. Nichts davon ist der Fall.
Wohl aber finden im Cyberspace permanent illegale und aggressive Handlungen statt – einschließlich solcher, die Akten von Kriegführung (warfare) vergleichbar sind. Vor allem wenn sie auf Schädigung der attackierten Seite zielen, schon gar wenn sie Erfolg haben. Die Angreifer allerdings können dabei (bisher) so gut wie nie (eindeutig) identifiziert werden.
(Als Cyberspace definiert werden virtuelle – nicht wirkliche, aber doch als solche erscheinende – Räume, die durch vernetzte IT-Systeme – IT = Informationstechnologie – erzeugt werden. Das ist beim Internet ebenso der Fall wie bei unabhängig davon betriebenen Intranets.)
*
In den Medien war vor einigen Wochen im Zusammenhang mit Aktivitäten des Hauses von der Leyen bereits von einer neuen „Kommando-Streitkraft“ der Bundeswehr, es wäre die vierte, die Rede, die bis zu 15.000 Mann umfassen, die aber weder zu Lande, zu Wasser, noch in der Luft oder im Weltraum operieren soll, sondern in der „fünften Dimension“ : im Cyberspace. Eine geheime „Strategische Leitlinie Cyber-Verteidigung“ des BMVg, von der Ministerin am 16. April dieses Jahres erlassen, war in die Öffentlichkeit lanciert worden. Vielleicht um angesichts einer schier endlosen Kette von Pleiten, Pech und Pannen in der und um die Bundeswehr, die immer wieder auch Thema in diesem Magazin sind, ein Achtungszeichen zu setzen – etwa nach dem Motto: „Völker der Welt, schaut auf diese Armee! Sie hat die Zeichen der Zeit erkannt!“ Um Jahre zu spät, meinen Experten zwar, doch das soll hier nicht unser Thema sein.
In dem Papier heißt es in eher drögem Amtsjargon: „Deutsche Behörden, Kritische Infrastrukturen […], Wirtschaft, Bevölkerung sowie das BMVg und die Bundeswehr sind als Teil einer zunehmend vernetzten Welt auf verlässliche Informations- und Kommunikationstechnik (IKT) angewiesen. Deren Verfügbarkeit sowie die Vertraulichkeit und Integrität der darin gespeicherten, übertragenen und verarbeiteten Daten haben besondere Bedeutung für die nationale Sicherheit, Wirtschaft und das öffentliche bzw. private Leben. Der Cyber-Raum ist damit ein wesentlicher staatlicher und strategischer Handlungsraum mit hoher Relevanz auch für den Geschäftsbereich BMVg.“
In diesem Handlungsraum soll die Truppe künftig:
- Angriffe abwehren („Die Bundeswehr muss […] zur Gewährleistung der militärischen Handlungs- und Führungsfähigkeit angesichts zunehmender Vernetzung moderner Waffensysteme und Kommunikationsmittel die Sicherheit und Verfügbarkeit ihrer IT-Komponenten und der von ihr im Cyber-Raum genutzten Ressourcen sicherstellen.“);
- fremde Systeme in ihrer Wirkung einschränken oder ganz abblocken (den Gegner bei der Nutzung seiner IT-Fähigkeiten und -Ressourcen „behindern oder sie ihm gegebenenfalls völlig […] verwehren“) und
- selbst angreifen, wozu entsprechende Kapazitäten aufgebaut werden sollen. („Offensive Cyber-Fähigkeiten der Bundeswehr sind als unterstützendes, komplementäres oder substituierendes Wirkmittel anzusehen. […] Offensive Cyber-Fähigkeiten der Bundeswehr haben grundsätzlich das Potenzial, das Wirkspektrum der Bundeswehr in multinationalen Einsätzen signifikant zu erweitern.“
Mit dem letztgenannten Punkt geht die Leitlinie klar über den Rahmen dessen hinaus, was sich die NATO an Zielstellungen für ihre „Cyber Defence Policy“ verordnet hat. Auch deren jüngstes „Update“ auf dem Paktgipfel in Wales im September 2014 hat dabei keine offensiven Komponenten eingeführt.
Das Strategie-Papier des BMVg wurde vor dem Hintergrund einer Realität verfasst, die unter anderem durch folgende Aspekte gekennzeichnet ist:
- Bis zu 6.500 Angriffe auf Datennetze des Bundes werden täglich registriert. Die einzelnen Attacken schaffen es selten bis in die Medien, es sei denn, es ist zum Beispiel die Infrastruktur des Deutschen Bundestages betroffen.
- Eine Meldung vom vergangenen Juli, dass es einen Hackerangriff auf die deutschen Patriot-Flugabwehrsysteme in der Türkei gegeben habe, soll zwar eine Presseente gewesen sein, das ändert aber nichts an der grundsätzlichen Angreifbarkeit (bis hin zur feindlichen Übernahme) vernetzter militärischer IT-Systeme und digital gesteuerter Waffensysteme. Dagegen kann man sich nur begrenzt schützen – nämlich soweit man über Täter-Know how verfügt. Was ein Gegner jedoch tatsächlich und möglicherweise viel durchschlagender als erwartet vermag, zeigt sich real erst bei der Attacke, und dann könnte es für Abwehr zu spät sein. Insofern war es nicht prinzipiell an den Haaren herbeigezogen, wenn die Stuttgarter Zeitung im Zusammenhang mit der Patriot-Ente mutmaßte, deutsche Raketen könnten „vielleicht deutsche Städte, Kommunikationsnetze, Staudämme oder die Stromversorgung ins Visier nehmen“. Kernkraftwerke inklusive, könnte man ergänzen. (Im konkreten Fall war die Mutmaßung trotzdem falsch, weil es sich beim Patriot-System nicht um Boden-Boden-Raketen handelt.)
- Was modernen Gesellschaften mit ihrer rasch wachsenden Abhängigkeit von störungsfreien IT-Netzwerken in mehr und mehr Bereichen ihrer zivilen Infrastruktur jedoch selbst ohne „umgepolte“ militärische Wirkmittel gegebenenfalls durch Cyberwarfare droht, zeigt ein Blick auf eine Großstadt wie Berlin. Hier wird etwa die gesamte Wasserversorgung von nur drei Leitstellen aus gesteuert. Ähnliches gilt für die Stromversorgung. Noch vor wenigen Jahren hätte man im Hinblick auf letztere mindestens Umspannwerke physisch zerstören müssen, um eine längere Unterbrechung zu bewirken. Heute genügten die feindliche Übernahme oder die Ausschaltung der Steuerungscomputer. Ähnlich ließen sich der gesamte ampelgeregelte Straßen- und der Schienenverkehr sowie die Flughäfen „vom Netz nehmen“. Auch die Telekommunikation wäre so zu unterbinden. Gesundheitseinrichtungen wie Kliniken und Krankenhäuser könnten „abgeschaltet“ werden und so weiter und so fort. Je smarter (IT-abhängiger und vernetzter) Großstädte, gar Ballungsräume werden, desto vielfältiger die potenziellen Angriffspunkte und desto größer die möglichen Schadenswirkungen. Nicht zuletzt ließen sich Atomkraftwerke durch Eingriffe in ihre elekronischen Steuerungssysteme oder durch Ausschaltung derselben in (stationäre) Kernwaffen verwandeln.
- Schaden an nicht hinreichend abgeschotteten zivilen und militärischen Infrastrukturen kann bereits mit vergleichsweise geringem Manpower- und Programmieraufwand erzielt werden. Oder, wie es im Wochenmagazin Die Zeit hieß: „Verglichen mit konventionellen Waffen sind Cyberwaffen in der Herstellung extrem billig […].“ Das gilt allerdings nicht unbedingt für Punktzielangriffe auf geschützte Systeme. Die von den USA (möglicherweise in Kooperation mit Israel) durchgeführte Stuxnet-Attacke zur Zerstörung von Urananreicherungszentrifugen des iranischen Atomprogramms im Jahre 2010 zum Beispiel erforderte im Vorfeld umfangreiche Geheimdienstaktivitäten zur Aufklärung des Ziels sowie langwierige Entwicklungsarbeiten zahlreicher IT- und anderer Spezialisten mit einem finanziellen Aufwand, der von Experten auf bis zu 50 Millionen US-Dollar geschätzt wird.
- Cyberwarfare mit Cybermitteln (vor allem mit Schadsoftware) ermöglicht es entsprechend professionellen Angreifern, in den Weiten und Verästelungen des Internets unidentifizierbar zu bleiben. (Man weiß auch Monate später zum Beispiel nicht definitiv, wer das Bundestagssystem gehackt hat.)
- Bei Cyberwarfare mit Cybermitteln ist die Waffenwirkung zwar, wie es in der BMVg-Leitlinie heißt, „in der Regel nicht-letal“ und könne „im Gegensatz zu kinetischen Wirkmitteln unter Umständen sogar reversibel sein“, das gilt jedoch so nicht beim effektivsten Kampfmittel gegen IT-Systeme. Das ist der sogenannte Elektromagnetische Impuls (EMP), eine kurzzeitige hochenergetische Strahlung, die bei entsprechender „Dosierung“ zur physischen Zerstörung elektronischer Bauteile durch Überstrombelastung führt. Aus der Natur bekannt von Gewittern, kann der EMP, gegebenenfalls mit flächendeckendem Ausmaß, auch künstlich erzeugt werden – etwa durch konventionelle EMP-Waffen (zum Beispiel Mikrowellenstrahlung) oder nukleare Explosionen in großer Höhe (100 Kilometer und höher). Die USA sind diesem Phänomen bereits in den frühen 1960er Jahren mit eigens dazu durchgeführten Nukleartests in der Atmosphäre nachgegangen.
Reale und noch sehr viel mehr denkbare Risiken und Gefahren als Begleiterscheinung der zunehmenden Digitalisierung moderner Gesellschaften und ihrer existenzsichernden Infrastrukturen sowie nicht zuletzt der Streitkräfte sind also nicht von der Hand zu weisen. Und diese Risiken und Gefahren beschränken sich keineswegs auf das Internet und damit verbundene Systeme. Die Steuerung der iranischen Urananreicherungszentrifugen beispielsweise hatte keine Schnittstellen zum Internet. Schwer geschädigt wurden Teile davon gleichwohl – es bedurfte „nur“ des Einstöpselns eines Datenträgers, etwa eines USB-Sticks, mit der Stuxnet-Schadsoftware an einer geeigneten Stelle des betreffenden Intranets.
Ist das BMVg mit seiner neuen „Leitlinie Cyber-Verteidigung“ also auf dem richtigen Dampfer?
Im Hinblick auf den Schutz ziviler Infrastrukturen muss diese Frage schon deswegen verneint werden, weil die Bundeswehr diese Aufgabe ausdrücklich nicht übernimmt. (Die Zuständigkeit für die IT-Sicherheit ziviler Bereiche liegt beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik, das dem Bundesinnenministerium untersteht.)
Bleibt die Frage, ob wenigstens militärischen und sicherheitspolitischen Gefahren im Cyberspace mit Cyberwarfare, sei sie nun auf Verteidigung oder weiterreichend angelegt, beizukommen ist. Meines Erachtens gibt es starke Indizien dafür, dass auch diese Frage letztlich verneint werden muss:
Erstens – Das seit über 60 Jahren im Westen priorisierte sicherheitspolitische Konzept des Westens zur Kriegsverhütung ist Abschreckung. Es lässt sich auf die Formel bringen: Konfrontiere den Gegner stets mit einer solchen militärischen Macht, die ihm für den Fall selbst eines überraschenden Angriffskrieges keinen Spielraum für ein rationales Siegkalkül lässt, und er wird den Angriff unterlassen. Gegen dieses Konzept lässt sich grundsätzlich Kritisches vorbringen. Doch davon ganz abgesehen, funktioniert Abschreckung, wenn überhaupt, selbst theoretisch dann nur, wenn die Gegner sich offen – quasi wie Duellanten – gegenüber stehen. Das trifft bei Cyberwarfare jedoch nicht zu; die Angreifer sind bisher in fast allen Fällen im Dunkeln geblieben. Was aber sollte einen selbst nach erfolgtem Angriff nicht erkennbaren Gegner abschrecken?
Zweitens – Frühwarnsysteme wie etwa im Bereich der strategischen Nuklearwaffen sind im Hinblick auf Cyberwarfare technologisch nicht möglich. Es gibt im Falle des Falles keine Vorwarnzeit.
Drittens – Die Trennung von Angriff und Verteidigung ist dadurch aufgehoben, dass – in der abstrakten Logik eng militärischen Denkens – der Präventivangriff zur letztlich einzig möglichen Form der Verteidigung mutiert ist. Oder anders ausgedrückt: Eigener Schädigung durch den vermuteten Gegner kann nur durch vorwegnehmende Ausschaltung von dessen Kapazitäten und Kräften zur Cyber-Kriegführung zuvorgekommen werden, quasi durch einen Cyber-Erstschlag. Ergo durch vorsätzliche Kriegsauslösung. Wer dabei partout immer noch im Denkschema der Abschreckung verharren will, der muss dann – wie Die Welt – formulieren: „[…] einfach gesagt: Moderne Abschreckung besteht in […] Angriffskriegführung […].“ Demzufolge wäre, was bei „klassischer“ Abschreckung als eklatantester Ausdruck eines Systemversagens gilt, nämlich Kriegführung, nunmehr die condicio sine qua non der Abschreckung selbst. Man sollte bei solchen Denkspielen allerdings nie außer Acht lassen, dass ein nuklear bewaffneter Gegner auf einen Cyber-Erstschlag zum Beispiel auch asymmetrisch antworten könnte, etwa von Träger-U-Booten aus, die auch im Falle eines flächendeckende EMPs eine gesicherte Zweitschlagskapazität darstellten …
Und in welcher Richtung, wenn nicht auf dem Wege von Cyber Defence sollte die Lösung der Probleme dann zu suchen sein? Egon Bahr, der Nestor der sicherheitspolitischen, auf Überwindung von Konfrontation zielenden Denkenschule in der Bundesrepublik, hat dazu kurz vor seinem Tode folgende Anregung gegeben. „Um die Gefahr für alle auszuschalten, könnte überlegt werden, dass Staaten mit den Fähigkeiten zum Cyberwar Experten beauftragen, eine Regelung auszuarbeiten, die eine kontrollierte Sicherheit für alle erreicht. Das würde aus potenziellen Gegnern Partner eines gemeinsamen Interesses machen.“