Tagtäglich finden Cyberangriffe auf die Bundeswehr statt. Im ersten Halbjahr 2015 wurden bei Einsätzen über 100.000 sicherheitsrelevante Ereignisse bei den Rechnern der Bundeswehr registriert. Zum Teil sind dies gezielte, individuell zugeschnittene Angriffe. Sie werden mit hohem Aufwand geplant, vorbereitet und durchgeführt.
Nicht immer werden sie sofort erkannt und abgewehrt. Statistisch dauerte es 2015 selbst bei schwerwiegenden Attacken im Schnitt 205 Tage, bis Cyberangriffe überhaupt erkannt wurden. Die Lösung der daraus resultierenden Probleme dauerte dann durchschnittlich noch einmal 32 Tage. Diese Statistiken geben Anlass zur Sorge. Und das hat auch die Bundesregierung erkannt.
Deshalb gründen jetzt auch die deutschen Streitkräfte ein eigenes Kommando für die Operationsführung im Internet, im Militärjargon Cyberraum genannt. Mit ordentlichem Medien-Auftrieb hat Ministerin von der Leyen angekündigt, mit dem Kommando Cyber- und Informationsraum bis zum April 2017 eine neue Teilstreitkraft der Bundeswehr aufzubauen.
Zur Person
Oberst a.D. Diplom-Kaufmann Ralph Thiele ist Vorsitzender der Politisch-Militärischen Gesellschaft e.V. und CEO von StratByrd Consulting. In seiner militärischen Laufbahn war er in einer Vielzahl bedeutender nationaler und internationaler, sicherheits- und militärpolitischer, planerischer und akademischer Verwendungen eingesetzt. Er publiziert und hält regelmäßige Vorträge in Europa, Amerika und Asien und engagiert sich im Kontext deutscher, österreichischer und europäischer Sicherheitsforschung.
Besonders perfide für die nationale und internationale Sicherheit sind sogenannte hybride Bedrohungen unterhalb der Schwelle eines militärischen Angriffs. Hierzu zählen Operationen im Cyberraum für Spionage, Informationsmanipulation, mögliche Cyber-Terrorakte bis hin zu groß angelegten Sabotage-Attacken zum Beispiel auf kritische Infrastrukturen wie die Netze der Energieversorger. Die russischen Cyber-Attacken im Kontext der Georgien-Krise 2008, der Ukraine-Krise, aber auch beim Hacker-Angriff auf das Netz des Deutschen Bundestages geben erste Eindrücke über das Spektrum der Möglichkeiten. Aber Russland steht hier nicht allein. Die USA, Israel, China, Nordkorea, Taiwan, England und Frankreich sind ebenfalls schlagkräftig aufgestellt.
Während die Bundeswehr mit der Entwicklung nicht Schritt halten konnte, behandeln die NATO und etliche Partnerländer den Cyber- und Informationsraum schon länger als einen eigenen Operationsraum. Sie bauen konsequent eigene Cyber-Fähigkeiten aus. Die USA haben schon vor sechs Jahren ihr Cyber-Kommando eingerichtet. Das Atlantische Bündnis begreift Cyber-Fähigkeiten geradezu als Game Changer, also als eine Fähigkeit, die etablierte Macht- und Kräfteverhältnisse zwischen Staaten auf den Kopf stellen kann.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
In Abstimmung mit der Europäischen Union (EU) entwickelt die NATO zur Abwehr der hybriden Bedrohungen gerade eine neue Strategie. Wir werden beim bevorstehenden NATO-Gipfel in Warschau mehr darüber hören. Die EU hat ihre diesbezüglichen Vorstellungen bereits veröffentlicht. Dazu zählt insbesondere der Schutz kritischer Infrastrukturen wie Energie und Telekommunikation. Man sorgt sich insbesondere vor Cyberangriffen, die zu erheblichen Störungen einer zunehmend vernetzten Wirtschaft und Gesellschaft führen.
Für den digitalen Binnenmarkt gilt es deshalb, die Resilienz der Kommunikations- und Informationssysteme in Europa zu stärken. Inzwischen zeichnet sich auch eine Intensivierung der Zusammenarbeit zwischen EU und NATO ab. Diese konzentriert sich absehbar neben der Verbesserung des Bewusstseins für hybride Bedrohungen auf die Stärkung der Resilienz sowie auf Prävention, Krisenreaktion und Rückkehr zur Normalität.
Handlungsfähig werden
Noch mehr Sorge muss bereiten, dass nicht nur die Administration und Büroorganisation der Streitkräfte bedroht sind. In alten und neuen Waffensystemen finden sich zahllose Prozessoren, Interfaces, Chips und Computer. Viele dieser Systeme wurden bereits oder werden derzeit vom informationstechnischen Fortschritt überrollt und sind professionellen Cyber-Angriffen hilflos ausgesetzt. Im Umkehrschluss lassen sich hochentwickelte Cyber-Fähigkeiten auch zur Unterstützung der Einsätze der Bundeswehr einsetzen.
Bits und Bytes können nicht nur die Kommunikation und Entscheidungsfindung eines Gegners beeinflussen, sondern ggf. den Einsatz kinetischer Kampfkraft klassischen Zuschnitts ermöglichen, verstärken oder auch ersetzen. Wenn ich ein Raketensystem auch ohne Waffenwirkung ausschalten kann, vermeide ich die sowohl die Gefährdung eigener Kräfte im Zuge eines erforderlichen Einsatzes wie auch denkbare Kollateralschäden.
Die IT-Kompetenz der Bundeswehr soll gebündelt werden
Vor diesem Hintergrund ist das Grundrational der Verteidigungsministerin durchaus überzeugend: „Staat, Wirtschaft und Gesellschaft sind in einer zunehmend vernetzten, digitalisierten Welt für Angriffe im Cyber- und Informationsraum (CIR) verwundbarer geworden. Diese digitale Verwundbarkeit der Gesellschaft haben sich in den letzten Jahren staatliche und nichtstaatliche Akteure – insbesondere im Rahmen der hybriden Kriegsführung – zu Nutze gemacht. Die zunehmend komplexeren Angriffe erfordern den Ausbau der staatlichen Handlungsfähigkeit zum Schutze unseres demokratischen Systems und seiner wirtschaftlichen Grundlagen.“
Bereits zum Oktober 2016 wird im Verteidigungsministerium eine eigenständige Ab-teilung eingerichtet. Der vormalige Thyssen Krupp-Manager Klaus-Hardy Mühleck übernimmt hier als Chief Information Officer mit Budgethoheit die Verantwortung für die Themen Cyber und IT. Als IT-Architekt der gesamten Bundeswehr soll er zu-nächst einmal die bislang verzettelte materielle und personelle IT-Infrastruktur unter ein Dach bringen und die Bundeswehr-Informationstechnikgesellschaft als eigen-ständige IT-Organisation (Systemhaus) steuern.
Ob dann noch Zeit, Kraft und ziel-führende Vision für die zukunftsweisende Gestaltung der Netze des militärischen Nachrichtenwesens, für die recht komplexe Waffensystem IT sowie die leistungsfähige Ausprägung einer neuen Teilstreitkraft mit ganz neuen Fähigkeiten bei rechtlich unübersichtlichen Rahmenbedingungen bleibt?
Bis Anfang April 2017 wird zudem ein Kommando für den Cyber- und Informations-raum (CIR) aufgestellt mit den Aufgaben Cyber, Informationstechnologie, militärisches Nachrichtenwesen, Geoinformationswesen, operative Kommunikation und elektronische Kampfführung. Insgesamt 13.500 Dienstposten werden hierzu von den anderen Teilstreitkräften und Organisationsbereichen in die neue Struktur wechseln – 12.800 davon allein aus der Streitkräftebasis.
Die Ministerin will mit diesen Maßnahmen die IT-Kompetenz in der Bundeswehr bündeln und effektiver zu nutzen. Zugleich sollen Effizienz und Schlagkraft der Bundes-wehr im dynamisch wachsenden Feld der Informationstechnologie verbessert werden, ebenso der Schutz der Truppe – auch im Einsatz – und gegebenenfalls auch der Schutz der Bevölkerung.
Denn die Bundeswehr stellt sich darauf ein, bei Cyber-Angriffen von katastrophalen Ausmaßen an der Seite der Spezialisten von der Polizei und vom Bundesamt für die Sicherheit in der Informationstechnik in die Abwehr einzugreifen. Eingebettet in einer Ressort übergreifenden Gesamtstrategie der Bundes-regierung sollen dann die Cyber-Fähigkeiten der Bundeswehr in enger Abstimmung vor allem mit dem Bundesinnenministerium agieren.
In diesem Kontext stellt sich natürlich die Frage, welche Rahmenbedingungen - fak-tisch und rechtlich – im internationalen Einsatz sowie beim Schutz von Bevölkerung, Wirtschaft und der verletzlichen Infrastruktur der Heimat auf dem digitalen Gefechts-feld gelten. Welcher Mix aus defensiven und offensiven Fähigkeiten ist notwendig? Welcher ist erlaubt? Wo sind rechtliche Grenzen gesetzt?
In der Bundeswehr erwartet man, dass solche Fragen im Falle eines Auslandsein-satzes durch ein Bundestagsmandat geklärt werden. Einsatzmöglichkeiten jenseits der Firewall eines fremden Servers kommen für sie – außer im Verteidigungsfall – nur infrage, wenn sie für den jeweiligen Einsatz vom Bundestag mandatiert sind. Bei Angriffen auf die eigenen Computersysteme im Inland, darf sich die Bundeswehr zwar schützen. Sie überlässt die erforderlichen Gegenmaßnahmen jedoch dem im Inland zuständigen Bundesamt für Sicherheit in der Informationstechnik. Ob das in der Praxis gut geht?
Die nächste Großbaustelle der Bundeswehr
Man könnte die Ministerin für ihre Weitsicht in Sachen Internet loben. Allerdings wurden die bedrohlichen Cyber-Herausforderungen in der Bundeswehr doch bemerkenswert spät wahrgenommen. Wer die Details der deutschen Planung prüft, entdeckt viele gute Absichten und viel weniger gute Taten. Was die Ministerin inhaltlich verspricht, trifft frühestens 2020 ein, vermutlich erst viel später. Das Geld reicht nicht. Das Personal reicht nicht. Die Strukturüberlegungen geben in erster Linie bestehenden Organisationen einen neuen Namen und eine neue Unterstellung – alter Wein in neue Schläuche.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Bereits jetzt sorgt sich der Wehrbeauftragte des Bundestages vor einem flächendeckenden Burnout in der Bundeswehr. Das Weißbuch 2016 spricht im gegenwärtigen Entwurfsstand selbstkritisch von „schleichender Überalterung des Materials“ und von Streitkräften, die im Grundbetrieb vermehrt aus der Substanz leben müssten. Dies ist eine freundliche Umschreibung für die Kannibalisierung von Ersatzteilen aus Waffensystemen, Fahrzeugen, Flugzeugen und Schiffen, früher ein klassifizierendes Merkmal von Drittweltstaaten. „Aufgaben, Kräfte und Mittel befinden sich nicht mehr in einer ausgewogenen Balance“. Gemeint sind Panzer die nicht fahren, Flugzeuge die nicht fliegen, Kompanien ohne Personal.
IT als Bestandteil von Rüstung
Die bestehende Planung hat sich bereits ohne die Cyber-Herausforderungen als überholt und ineffizient erwiesen. Nun kommt also das Thema Cyber hinzu. Will man hier keine bösen Überraschungen im Einsatz erleben, müsste man die laufenden Rüstungsplanungen, natürlich auch die im Dienst befindlichen Rüstungsgüter, dringend auf ihre Cyberverwundbarkeit prüfen und entsprechend anpassen. Da dies absehbar teuer wird und zudem die bestehende Planung weiter kompliziert, vermied man bislang selbstkritische Analysen und stellt sich dieser Aufgabe erst in der Zukunft.
Nun ventiliert man derzeit die Überlegung, den Problemen der Gegenwart durch eine beschleunigte Beschaffung von IT nach dem Grundsatz - IT schneller als Rüstung - zu enteilen. Es ist sicherlich gut gemeint, dass IT-Beschaffung nicht hinter den Innovationszyklen in der Computerindustrie hinterherhechelt. Und zugleich ist es realitätsfremd. IT ist Bestandteil von Rüstung. Zunehmend prägt sie erst die Wirksamkeit hochkomplexer Waffensysteme. IT muss insbesondere auch der einsatzbezogenen Nutzung von Rüstungsgütern dienen.
Wenn der IT-Bereich mit der sogenannten 2-speed-IT eine zusätzliche Überholspur erhält, wird ein Fokus auf die weiße IT erkennbar, die sich um die Bürokommunikation bis hin zum Druck von Broschüren dreht. Das ist die Welt, aus der von außerhalb der Bundeswehr hinzugezogene IT-Experten kommen und in der sich diese zu Hause fühlen. Der Bund stellt aber keine Streitkräfte auf, damit deren Bürokommunikation funktioniert. Wenn die weiße IT die den Einsatz prägende grüne IT überholt, sind die Streitkräfte in Gefahr. Ein einziger Eurofighter fliegt beispielsweise mit hundert Kilometer Kabel an Bord, damit seine 80 Computer das Fliegen und Feuern beherrschen.
Bereits seit langem liefert die Beschaffung nicht, was sie verspricht. Hierfür gibt es viele Gründe. Eine Ursache ist seit Jahrzehnten bekannt: die in Streitkräfte und Bundeswehrverwaltung gespaltene Aufgabenwahrnehmung der Bundeswehr.
Es war ein gut gemeinter, aber dennoch struktureller Webfehler bei der Aufstellung der deutschen Streitkräfte, deren Aufgaben grundgesetzlich zu veruneinheitlichen durch die Teilung in Grundgesetz (GG) Art. 87a („Der Bund stellt Streitkräfte zur Verteidigung auf“) und in GG Art. 87b („Die Bundeswehrverwaltung wird in bundeseigener Verwaltung mit eigenem Verwaltungsunterbau geführt.“). Die durch GG Art. 87a adressierten Streitkräfte erhalten als sogenannte Bedarfsträger von durch Art. 87b adressierten Mitarbeitern der Bundeswehrverwaltung allzu oft Rüstungsgüter, die wesentlich zu spät ausgeliefert werden und zudem auch nicht den Ansprüchen der Truppe im Einsatz genügen. Der Lufttransporter A400M liefert als aktuelles Beispiel immer neue Belege hierfür.
Seit 25 Jahren hat es sich eingebürgert, dass erforderliche Investitionen durch vermiedene Ausgaben erwirtschaftet werden sollen. Zugleich fressen hohe Personal-kosten Löcher in Betrieb und Ausrüstungsbedarf. Und natürlich leidet auch die Aus-bildung unter dem Geldmangel. Die seit Jahrzehnten mangelhafte finanzielle Unter-legung von Reformen und Innovation hat nicht nur die Substanz der Bundeswehr entkernt, sondern untergräbt zugleich erfolgreichen, rechtzeitigen Wandel.
Das Thema Personal ist ein problematisches Feld. Bislang fehlt der Bundeswehr das hoch qualifizierte Personal, das für den Betrieb und insbesondere für das Erkennen und letztendlich die Abwehr von Cyberangriffen zuständig ist. Insbesondere sind die komplexen Waffensysteme zu schützen und auf aktuellem Stand zu halten. Das ist aufgrund der hohen Innovationszyklen der Informationstechnologie eine große Herausforderung. Demgegenüber verlassen seit Jahrzehnten hochqualifizierte IT-Experten die Bundeswehr in Scharen, weil deren Expertise insbesondere in den ersten Dienstjahren nach deren Studienabschluss ignoriert wird und bei fachfremden Tätigkeiten zu verkümmern droht.
Die bisherigen Karriere- und Qualifikationsmodelle lassen eine Förderung der IT-Expertise bislang nur unzureichend zu. Auf der anderen Seite ignoriert man den Bedarf von IT-Kompetenz in operativen Schlüsselverwendungen und schiebt befähigte Allrounder unter dem Hinweis auf nicht besetzte Dienstposten gerne in berufliche IT-Sackgassen. Damit fehlt dann wiederum die adäquate IT-Kompetenz im Umfeld der militärischen und politischen Spitzenentscheider.
Es mangelt an Experten
Also Experten von außen anwerben? Auch dieser Ansatz stößt auf Hindernisse. Zum einen kann die Bundeswehr den Wettbewerb mit der IT-Industrie um geeignetes Personal nicht gewinnen, da sie nicht mit den Gehältern der Privatwirtschaft mithalten kann. Zum anderen haben die Nerds der zivilen Welt nicht selten eine problematische Vergangenheit. Wer in sicherheitsempfindlichen Bereichen arbeitet muss über-prüft werden. Die gesuchten Experten wollen aber nicht überprüft werden. Und die Bundeswehr kann schlecht Experten mit Sicherheitsrisiken in sensitive Verwendungen bringen.
Die Bundeswehr sucht deshalb nach neuen Wegen. Unter anderem will man eigene Studiengänge aufbauen, um Menschen zu gewinnen und zu halten. Man will zugleich mit Industrie und Universitäten in „Cyber-Clustern" kooperieren, um die nötige Expertise zu bekommen. An der Universität der Bundeswehr München wird dafür ein eigener Studiengang für Cybersicherheit eingerichtet. Schnelle Ergebnisse wird man hier nicht erwarten können.
Ein bisher sträflich vernachlässigtes, aber vielversprechendes Feld sind Cyber-Spezialisten aus dem Reservistenbereich - vormalige Soldaten mit fortgesetzter Affinität zu den Streitkräften. Statt sie nach den bisher angelegten Maßstäben für den Reservistendienst in klassischen militärischen Funktionen einzusetzen, können sie als IT-Fachleute in Deutschland in Rechenzentren und Gefechtsständen mitarbeiten und z.B. Auslandseinsätze im Zuge des sogenannten Reach-Back unterstützen. Hier werden Einsatzfunktionen, die nicht unbedingt im Einsatzland wahrgenommen werden müssen, von Deutschland aus ausgeübt. Damit spart man erheblich an Personal in Auslandseinsätzen.
Insbesondere das vorherrschende geistige Maginot-Denken, sich auf die Cyber-Abwehr zu konzentrieren und auf offensive Cybereinsätze weitestgehend zu verzichten, ist im Lande eines Carl von Clausewitz geradezu unfassbar.
Bereits vor 200 Jahren lernte man in deutschen Landen zwischen taktischen, operativen und strategisch-politischen Ebenen zu differenzieren. Noch im Kalten Krieg wusste und übte man in Deutschland, wie man einen strategischen Angriff des Warschauer Paktes, durch kleine offensive Gegenangriffe auf taktischer Ebene und Luftangriffe auf die Versorgungs- und Verbindungslinien im Rückraum des angreifenden Gegners aus-bremsen konnte. In der Cyber-Domäne ist der Angreifer klar im Vorteil. Sich hier ein-seitig defensiv auszurichten, bedeutet nichts anderes als sich auf Niederlagen und Großschäden einzustellen.
Will man künftig wirklich immer wieder eigene Informations- und Kommunikations-netze solange beschädigen lassen, wie es ein Angreifer wünscht? Will man die aus-geprägten IT-Aktivitäten von ISIS und Taliban auch künftig möglichst ungehindert und störungsfrei zur Entfaltung kommen lassen? Wie will man forensisch dem Täter auf die Spur kommen, ohne sein Wirken bis an den Ursprungsort zu verfolgen? Selbstverständlich müssen Mandatierungs- und Rechtsfragen geklärt werden. Dennoch: Wer sich gegen Cyberangriffe effektiv schützen will, muss auch in der Lage sein, einen Angriff auszuführen. Die Fachkenntnis ist ohnehin identisch. Ohne eigene taktische und operative Offensiv-Fähigkeiten macht die Cyber-Truppe keinen Sinn.
Der Weg ins digitale Zeitalter beginnt für die Bundeswehr absehbar mit selbstgemachten Hindernissen. Relevanten Überlegungen stehen strukturelle Mängel, zu kurz gesprungene konzeptionelle Grundlagen, eine Kannibalisierung bestehender Strukturen und unzulängliche Investitionen gegenüber. Drei Empfehlungen sollen diesen Beitrag schließen:
• Eine Vision ohne entsprechende Investition ist eine Halluzination. Die neue Teilstreitkraft Cyber – und Informationsraum braucht eine Mittelausstattung, die es ermöglicht, zentrale Zielsetzungen zu erreichen.
• Die neue Aufstellung im Cyber- und Informationsraum sollte sich mit Priorität daran orientieren, dass die Bundeswehr als eine kombattante Organisation politisch-parlamentarische Zwecke im Einsatz erfolgreich umsetzen soll.
• Alle Teilstreitkräfte – auch das neue Kommando Cyber- und Informationsraum - müssen über einen Mix an offensiven und defensiven Fähigkeiten verfügen. Taktisch und operativ brauchen die Streitkräfte ein den Aufgaben angemessenes Fähigkeitendispositiv, um ihre Einsätze im Sinne der politischen Vorgaben erfolgreich zu gestalten. Dies steht der politisch-strategischen Vorgabe einer strategisch defensiven Ausrichtung der deutschen Streitkräfte im digitalen Zeitalter ebenso wenig entgegen wie zu Zeiten des Kalten Krieges.