Die ehrliche Antwort lautet: Vermutlich nicht. Denn der Blick auf die Strukturen der deutschen Cyber-Abwehr enthüllt noch immer Besorgniserregendes. Denn da wird offenbar, dass in unserem Land ein kaum durchschaubares Nebeneinander von potenziell zuständigen Institutionen existiert, die allesamt irgendwie aber eben auch in keinem Fall umfassend dafür zuständig sind. Deutschland und seine Bevölkerung gegen digitale Angriffe gesellschaftsgefährdenden Ausmaßes zu schützen.
Wer etwa dachte, die Bundeswehr – traditionell der Landesverteidiger der Republik – sei auch für den digitalen Schutz des Landes zuständig, der irrt. Auf der Bonner Hardthöhe und im Berliner Bendler-Block verweisen die Befragten in Sachen Cyber-Gefahren aufs Innenministerium. Sich selber, die eigenen Rechnersysteme und Kommunikationsnetze, ja, die schütze man, heißt es im Verteidigungsministerium. Und – etwas leiser – ja, man befasse sich auch mit der digitalen Kriegsführung, schließlich müsse man ja wissen, was einem drohen könne. Doch wenn es um den Schütz von Bürgern und Unternehmen gehe, dann sei das eine Sache der inneren Sicherheit.
Wo eigentlich beginnt der Cyber-Krieg?
Was Wunder, dass sich die Generäle bedeckt halten. Schließlich ist ja nicht einmal eindeutig definiert, was eigentlich ein kriegerischer Cyber-Akt sein könnte. Zwar hat die Nato inzwischen entschieden, dass der Verteidigungsfall (und mithin die Beistandspflicht der Mitglieder) auch bei Cyber-Angriffen eintreten könne. Nur, was genau ist die relevante Schwelle? In alten, analogen Kalten-Kriegs-Zeiten war das ziemlich eindeutig: Hätten Panzer oder Soldaten den Eisernen Vorhang überschritten, wären Marschflugkörper aufgestiegen, wäre die Sache klar gewesen.
Doch im Internet-Zeitalter lösen sich die Grenzen auf. Heute lassen sich digitale Marschflugkörper durchs Netz schicken, ohne dass noch erkennbar wäre, wer sie abgefeuert hat. Gegen wen also sollte sich eine Abschreckungsstrategie richten? Wer sollte sich vor ihr fürchten?
Und nicht nur das ist unklar. Genau so offen ist, wo eigentlich die oberste Verantwortung für den digitalen Schutz liegt? Wer ihn koordiniert? Und, wer ihn schlussendlich bezahlt?
Etikettenschwindel bei der Cyber-Abwehr
Das macht ausgerechnet ein Blick auf eine Institution deutlich, deren Name eigentlich genau das versprechen sollte: Das im Frühjahr 2011 eingerichtete „Nationale Cyber-Abwehrzentrum“.
Denn im Grunde wehrt diese beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte Einrichtung überhaupt nichts ab. Statt dessen dienen die regelmäßigen Lagebesprechungen nur als Informations-Drehscheibe, über die sich die beteiligten – und in irgendeiner Weise mit Cyber-Gefahren befassten – Behörden über ihre jeweiligen Erkenntnisse unterrichten und in der Bewertung von IT-Sicherheitsvorfällen abstimmen. „Operativ tätig ist da keiner“, sagt ein Kenner der Einrichtung, „und so gesehen ist der politisch gewählte Begriff ‚Abwehrzentrum‘ eigentlich ein Etikettenschwindel.“
