Cyberkrieg Wie die Bundeswehr im Netz aufrüstet

Verteidigungsministerin Ursula von der Leyen will bis April 2017 ein eigenes Kommando für Operationen im Internet aufbauen. Doch wie handlungsfähig sind dann die deutschen Militärs im Cyber- und Informationsraum?

  • Teilen per:
  • Teilen per:
Blick in das Cockpit eines Airbus A400M der Bundeswehr: IT wird für die Bundeswehr immer wichtiger Quelle: dpa

Tagtäglich finden Cyberangriffe auf die Bundeswehr statt. Im ersten Halbjahr 2015 wurden bei Einsätzen über 100.000 sicherheitsrelevante Ereignisse bei den Rechnern der Bundeswehr registriert. Zum Teil sind dies gezielte, individuell zugeschnittene Angriffe. Sie werden mit hohem Aufwand geplant, vorbereitet und durchgeführt.

Nicht immer werden sie sofort erkannt und abgewehrt. Statistisch dauerte es 2015 selbst bei schwerwiegenden Attacken im Schnitt 205 Tage, bis Cyberangriffe überhaupt erkannt wurden. Die Lösung der daraus resultierenden Probleme dauerte dann durchschnittlich noch einmal 32 Tage. Diese Statistiken geben Anlass zur Sorge. Und das hat auch die Bundesregierung erkannt.

Deshalb gründen jetzt auch die deutschen Streitkräfte ein eigenes Kommando für die Operationsführung im Internet, im Militärjargon Cyberraum genannt. Mit ordentlichem Medien-Auftrieb hat Ministerin von der Leyen angekündigt, mit dem Kommando Cyber- und Informationsraum bis zum April 2017 eine neue Teilstreitkraft der Bundeswehr aufzubauen.

Zur Person

Besonders perfide für die nationale und internationale Sicherheit sind sogenannte hybride Bedrohungen unterhalb der Schwelle eines militärischen Angriffs. Hierzu zählen Operationen im Cyberraum für Spionage, Informationsmanipulation, mögliche Cyber-Terrorakte bis hin zu groß angelegten Sabotage-Attacken zum Beispiel auf kritische Infrastrukturen wie die Netze der Energieversorger. Die russischen Cyber-Attacken im Kontext der Georgien-Krise 2008, der Ukraine-Krise, aber auch beim Hacker-Angriff auf das Netz des Deutschen Bundestages geben erste Eindrücke über das Spektrum der Möglichkeiten. Aber Russland steht hier nicht allein. Die USA, Israel, China, Nordkorea, Taiwan, England und Frankreich sind ebenfalls schlagkräftig aufgestellt.

Während die Bundeswehr mit der Entwicklung nicht Schritt halten konnte, behandeln die NATO und etliche Partnerländer den Cyber- und Informationsraum schon länger als einen eigenen Operationsraum. Sie bauen konsequent eigene Cyber-Fähigkeiten aus. Die USA haben schon vor sechs Jahren ihr Cyber-Kommando eingerichtet. Das Atlantische Bündnis begreift Cyber-Fähigkeiten geradezu als Game Changer, also als eine Fähigkeit, die etablierte Macht- und Kräfteverhältnisse zwischen Staaten auf den Kopf stellen kann.

Forum IT-Sicherheit

In Abstimmung mit der Europäischen Union (EU) entwickelt die NATO zur Abwehr der hybriden Bedrohungen gerade eine neue Strategie. Wir werden beim bevorstehenden NATO-Gipfel in Warschau mehr darüber hören. Die EU hat ihre diesbezüglichen Vorstellungen bereits veröffentlicht. Dazu zählt insbesondere der Schutz kritischer Infrastrukturen wie Energie und Telekommunikation. Man sorgt sich insbesondere vor Cyberangriffen, die zu erheblichen Störungen einer zunehmend vernetzten Wirtschaft und Gesellschaft führen.

Für den digitalen Binnenmarkt gilt es deshalb, die Resilienz der Kommunikations- und Informationssysteme in Europa zu stärken. Inzwischen zeichnet sich auch eine Intensivierung der Zusammenarbeit zwischen EU und NATO ab. Diese konzentriert sich absehbar neben der Verbesserung des Bewusstseins für hybride Bedrohungen auf die Stärkung der Resilienz sowie auf Prävention, Krisenreaktion und Rückkehr zur Normalität.

Handlungsfähig werden

Noch mehr Sorge muss bereiten, dass nicht nur die Administration und Büroorganisation der Streitkräfte bedroht sind. In alten und neuen Waffensystemen finden sich zahllose Prozessoren, Interfaces, Chips und Computer. Viele dieser Systeme wurden bereits oder werden derzeit vom informationstechnischen Fortschritt überrollt und sind professionellen Cyber-Angriffen hilflos ausgesetzt. Im Umkehrschluss lassen sich hochentwickelte Cyber-Fähigkeiten auch zur Unterstützung der Einsätze der Bundeswehr einsetzen.

Bits und Bytes können nicht nur die Kommunikation und Entscheidungsfindung eines Gegners beeinflussen, sondern ggf. den Einsatz kinetischer Kampfkraft klassischen Zuschnitts ermöglichen, verstärken oder auch ersetzen. Wenn ich ein Raketensystem auch ohne Waffenwirkung ausschalten kann, vermeide ich die sowohl die Gefährdung eigener Kräfte im Zuge eines erforderlichen Einsatzes wie auch denkbare Kollateralschäden.

Die IT-Kompetenz der Bundeswehr soll gebündelt werden

Vor diesem Hintergrund ist das Grundrational der Verteidigungsministerin durchaus überzeugend: „Staat, Wirtschaft und Gesellschaft sind in einer zunehmend vernetzten, digitalisierten Welt für Angriffe im Cyber- und Informationsraum (CIR) verwundbarer geworden. Diese digitale Verwundbarkeit der Gesellschaft haben sich in den letzten Jahren staatliche und nichtstaatliche Akteure – insbesondere im Rahmen der hybriden Kriegsführung – zu Nutze gemacht. Die zunehmend komplexeren Angriffe erfordern den Ausbau der staatlichen Handlungsfähigkeit zum Schutze unseres demokratischen Systems und seiner wirtschaftlichen Grundlagen.“

Bereits zum Oktober 2016 wird im Verteidigungsministerium eine eigenständige Ab-teilung eingerichtet. Der vormalige Thyssen Krupp-Manager Klaus-Hardy Mühleck übernimmt hier als Chief Information Officer mit Budgethoheit die Verantwortung für die Themen Cyber und IT. Als IT-Architekt der gesamten Bundeswehr soll er zu-nächst einmal die bislang verzettelte materielle und personelle IT-Infrastruktur unter ein Dach bringen und die Bundeswehr-Informationstechnikgesellschaft als eigen-ständige IT-Organisation (Systemhaus) steuern.

Ob dann noch Zeit, Kraft und ziel-führende Vision für die zukunftsweisende Gestaltung der Netze des militärischen Nachrichtenwesens, für die recht komplexe Waffensystem IT sowie die leistungsfähige Ausprägung einer neuen Teilstreitkraft mit ganz neuen Fähigkeiten bei rechtlich unübersichtlichen Rahmenbedingungen bleibt?

Bis Anfang April 2017 wird zudem ein Kommando für den Cyber- und Informations-raum (CIR) aufgestellt mit den Aufgaben Cyber, Informationstechnologie, militärisches Nachrichtenwesen, Geoinformationswesen, operative Kommunikation und elektronische Kampfführung. Insgesamt 13.500 Dienstposten werden hierzu von den anderen Teilstreitkräften und Organisationsbereichen in die neue Struktur wechseln – 12.800 davon allein aus der Streitkräftebasis.

Die Ministerin will mit diesen Maßnahmen die IT-Kompetenz in der Bundeswehr bündeln und effektiver zu nutzen. Zugleich sollen Effizienz und Schlagkraft der Bundes-wehr im dynamisch wachsenden Feld der Informationstechnologie verbessert werden, ebenso der Schutz der Truppe – auch im Einsatz – und gegebenenfalls auch der Schutz der Bevölkerung.

Denn die Bundeswehr stellt sich darauf ein, bei Cyber-Angriffen von katastrophalen Ausmaßen an der Seite der Spezialisten von der Polizei und vom Bundesamt für die Sicherheit in der Informationstechnik in die Abwehr einzugreifen. Eingebettet in einer Ressort übergreifenden Gesamtstrategie der Bundes-regierung sollen dann die Cyber-Fähigkeiten der Bundeswehr in enger Abstimmung vor allem mit dem Bundesinnenministerium agieren.

In diesem Kontext stellt sich natürlich die Frage, welche Rahmenbedingungen - fak-tisch und rechtlich – im internationalen Einsatz sowie beim Schutz von Bevölkerung, Wirtschaft und der verletzlichen Infrastruktur der Heimat auf dem digitalen Gefechts-feld gelten. Welcher Mix aus defensiven und offensiven Fähigkeiten ist notwendig? Welcher ist erlaubt? Wo sind rechtliche Grenzen gesetzt?

In der Bundeswehr erwartet man, dass solche Fragen im Falle eines Auslandsein-satzes durch ein Bundestagsmandat geklärt werden. Einsatzmöglichkeiten jenseits der Firewall eines fremden Servers kommen für sie – außer im Verteidigungsfall – nur infrage, wenn sie für den jeweiligen Einsatz vom Bundestag mandatiert sind. Bei Angriffen auf die eigenen Computersysteme im Inland, darf sich die Bundeswehr zwar schützen. Sie überlässt die erforderlichen Gegenmaßnahmen jedoch dem im Inland zuständigen Bundesamt für Sicherheit in der Informationstechnik. Ob das in der Praxis gut geht?

Die nächste Großbaustelle der Bundeswehr

Man könnte die Ministerin für ihre Weitsicht in Sachen Internet loben. Allerdings wurden die bedrohlichen Cyber-Herausforderungen in der Bundeswehr doch bemerkenswert spät wahrgenommen. Wer die Details der deutschen Planung prüft, entdeckt viele gute Absichten und viel weniger gute Taten. Was die Ministerin inhaltlich verspricht, trifft frühestens 2020 ein, vermutlich erst viel später. Das Geld reicht nicht. Das Personal reicht nicht. Die Strukturüberlegungen geben in erster Linie bestehenden Organisationen einen neuen Namen und eine neue Unterstellung – alter Wein in neue Schläuche.

Verbrechen 4.0 - das ist möglich

Bereits jetzt sorgt sich der Wehrbeauftragte des Bundestages vor einem flächendeckenden Burnout in der Bundeswehr. Das Weißbuch 2016 spricht im gegenwärtigen Entwurfsstand selbstkritisch von „schleichender Überalterung des Materials“ und von Streitkräften, die im Grundbetrieb vermehrt aus der Substanz leben müssten. Dies ist eine freundliche Umschreibung für die Kannibalisierung von Ersatzteilen aus Waffensystemen, Fahrzeugen, Flugzeugen und Schiffen, früher ein klassifizierendes Merkmal von Drittweltstaaten. „Aufgaben, Kräfte und Mittel befinden sich nicht mehr in einer ausgewogenen Balance“. Gemeint sind Panzer die nicht fahren, Flugzeuge die nicht fliegen, Kompanien ohne Personal.

IT als Bestandteil von Rüstung

Die bestehende Planung hat sich bereits ohne die Cyber-Herausforderungen als überholt und ineffizient erwiesen. Nun kommt also das Thema Cyber hinzu. Will man hier keine bösen Überraschungen im Einsatz erleben, müsste man die laufenden Rüstungsplanungen, natürlich auch die im Dienst befindlichen Rüstungsgüter, dringend auf ihre Cyberverwundbarkeit prüfen und entsprechend anpassen. Da dies absehbar teuer wird und zudem die bestehende Planung weiter kompliziert, vermied man bislang selbstkritische Analysen und stellt sich dieser Aufgabe erst in der Zukunft.

Wer beim Datenschutz gute Noten bekommt
Ist Datenschutz schon in Deutschland eine heikle Sache, sieht es in den USA noch viel kritischer aus: Die dortigen Ermittlungsbehörden wie die NSA haben durch den Patriot Act, der nach den Anschlägen des 11. September 2001 erlassen und kürzlich leicht abgemildert wurde, viel umfassendere Rechte und Befugnisse zur Abfrage von Daten von Privatpersonen. Und diese nutzen sie auch, während die Gesetze und Regulierungen im Bereich Datenmanagement und Datenschutz mit den technologischen Entwicklungen nicht mithalten können. Die Nichtregierungsorganisation Electronic Frontier Foundation (EFF) will mit ihrem regelmäßigen Datenschutz-Report „Who has your back“ auf dieses Problem aufmerksam machen. EFF untersucht 24 große IT- und Telekomunternehmen daraufhin, wie sie mit dem Thema Datenschutz umgehen. Quelle: dpa
Der Report bewertet einerseits, ob sich Firmen gegen teils willkürliche staatliche Überwachung wehren. Zudem wird die Transparenz bewertet, die Firmen darüber herstellen, ob und wie staatlichen Ermittlungsbehörden bei ihnen Zugriff auf Nutzerdaten fordern. Die EFF hat über vier Jahre die Praktiken großer Internet- und IT-Konzerne beobachtet und analysiert, ob die Firmen ihren Fokus eher auf den Schutz der Nutzerdaten oder eher auf die Kooperation mit staatlichen Ermittlern legen. Dabei konnten sie in den vergangenen vier Jahren eine Entwicklung feststellen. Quelle: AP
Während das Thema Datenschutz vor vier Jahren bei kaum einem Unternehmen auf der Agenda stand, hat nun – einige Snowden-, Wikileaks-Enthüllungen und Spähaffären später – laut EFF ein Umdenken eingesetzt: Viele Firmen veröffentlichen Reports über ihren Umgang mit Nutzerdaten und über Regierungsanfragen nach Nutzerdaten. Quelle: dpa
Die EFF hat die Entwicklungen damit aufgefangen, dass sie die Firmen nun unter anderem in der Kategorie des industrieweiten Standards vorbildlicher Praktiken bewerten. Ihre Kriterien im Überblick: 1. Unter dem erwähnten industrieweiten Standard verstehen die Aktivisten etwa, dass die Firma den Staat bei einer Datenanfrage nach einer offiziellen Vollmacht für den spezifischen Fall fragt. Außerdem wird erwartet, dass das Unternehmen einen Transparenzreport über staatliche Anfragen veröffentlicht und dass die Firma deutlich macht, wie sie mit den Regierungsanfragen formell verfährt. 2. In einer weiteren Kategorie wird geprüft, ob Internetfirmen die jeweiligen Nutzer einzeln informieren, wenn sie beziehungsweise ihre Daten von Regierungsanfragen betroffen waren. Als Best Practice Beispiel gelten die Firmen, die ihre Nutzer schon vor der Weitergabe über solche staatlichen Anfragen informieren, sodass diese sich juristisch zur Wehr setzen können. Quelle: dpa
3. Die Aktivisten checkten auch, ob Firmen bekannt machen, wie lange sie Nutzerdaten speichern. Es wurde dabei nicht bewertet, wie lange die Unternehmen IP-Logins, Übersichten über individuellen Datentransfer und auch eigentlich bereits gelöschte Daten speichern und für Ermittlungen verfügbar halten – es geht nur um die Transparenz.4. Regierungen und staatliche Ermittlungsstellen fragen nicht nur Nutzerdaten an, teils verlangen sie von Internet- und Telekomkonzernen auch, unliebsame Nutzer zu blockieren oder Nutzeraccounts zu schließen. Für diese Praxis war zuletzt insbesondere Facebook kritisiert worden, das einige Insassen von Gefängnissen an der Eröffnung eines Accounts hinderte. Auch Informationen darüber honorierten die Aktivisten mit einer positiven Bewertung, wobei ihnen besonders Twitter in dieser Kategorie mit einem umfangreichen Report über Lösch-Gesuche positiv auffiel. 5. Unternehmen bekamen auch eine positive Bewertung, wenn sie sich im öffentlichen Diskurs gegen staatlich geduldete oder gar intendierte Hintertüren in Software und Netzwerken stellen. 21 von 24 untersuchten Firmen nehmen mittlerweile eine solche kritische Position gegenüber dem Überwachungsstaat ein. Quelle: dpa
Adobe hat laut den Aktivisten in den vergangenen Jahren alle Best Practice Standards übernommen, die in der Branche etabliert sind. Adobe verlangt von Ermittlungsbehörden eine explizite Erlaubnis, Daten von Nutzern anzufordern und bekennt sich zudem öffentlich dazu, keine Hintertüren in die eigene Software einzubauen. „Alle Regierungsanfragen für Nutzerdaten müssen bei uns durch den Vordereingang kommen“, schreibt Adobe in seinem Transparenzreport. Die EFF wertet eine solche starke Position gegen die früher gängige Praxis als bemerkenswert – unabhängig von der Wahrhaftigkeit. Quelle: AP
Triumph für Tim Cook. Apple erfüllt alle Kriterien der Aktivisten für möglichst große Transparenz im Bereich Datensicherheit. Der IT-Konzern lässt allerdings einige Hintertürchen offen, neben den Verpflichtungen zur Verschwiegenheit, die ihm etwa durch Gerichte in Einzelfällen auferlegt werden können. Apple behält sich vor, Nutzer nicht über eine Datenabfrage zu informieren, wenn dies nach Einschätzung des Unternehmens gefährlich für das Leben oder die Unversehrtheit von Personen werden könnte. Dies lässt Raum zur Deutung. Quelle: REUTERS

Nun ventiliert man derzeit die Überlegung, den Problemen der Gegenwart durch eine beschleunigte Beschaffung von IT nach dem Grundsatz - IT schneller als Rüstung - zu enteilen. Es ist sicherlich gut gemeint, dass IT-Beschaffung nicht hinter den Innovationszyklen in der Computerindustrie hinterherhechelt. Und zugleich ist es realitätsfremd. IT ist Bestandteil von Rüstung. Zunehmend prägt sie erst die Wirksamkeit hochkomplexer Waffensysteme. IT muss insbesondere auch der einsatzbezogenen Nutzung von Rüstungsgütern dienen.

Wenn der IT-Bereich mit der sogenannten 2-speed-IT eine zusätzliche Überholspur erhält, wird ein Fokus auf die weiße IT erkennbar, die sich um die Bürokommunikation bis hin zum Druck von Broschüren dreht. Das ist die Welt, aus der von außerhalb der Bundeswehr hinzugezogene IT-Experten kommen und in der sich diese zu Hause fühlen. Der Bund stellt aber keine Streitkräfte auf, damit deren Bürokommunikation funktioniert. Wenn die weiße IT die den Einsatz prägende grüne IT überholt, sind die Streitkräfte in Gefahr. Ein einziger Eurofighter fliegt beispielsweise mit hundert Kilometer Kabel an Bord, damit seine 80 Computer das Fliegen und Feuern beherrschen.

Bereits seit langem liefert die Beschaffung nicht, was sie verspricht. Hierfür gibt es viele Gründe. Eine Ursache ist seit Jahrzehnten bekannt: die in Streitkräfte und Bundeswehrverwaltung gespaltene Aufgabenwahrnehmung der Bundeswehr.

Es war ein gut gemeinter, aber dennoch struktureller Webfehler bei der Aufstellung der deutschen Streitkräfte, deren Aufgaben grundgesetzlich zu veruneinheitlichen durch die Teilung in Grundgesetz (GG) Art. 87a („Der Bund stellt Streitkräfte zur Verteidigung auf“) und in GG Art. 87b („Die Bundeswehrverwaltung wird in bundeseigener Verwaltung mit eigenem Verwaltungsunterbau geführt.“). Die durch GG Art. 87a adressierten Streitkräfte erhalten als sogenannte Bedarfsträger von durch Art. 87b adressierten Mitarbeitern der Bundeswehrverwaltung allzu oft Rüstungsgüter, die wesentlich zu spät ausgeliefert werden und zudem auch nicht den Ansprüchen der Truppe im Einsatz genügen. Der Lufttransporter A400M liefert als aktuelles Beispiel immer neue Belege hierfür.

Seit 25 Jahren hat es sich eingebürgert, dass erforderliche Investitionen durch vermiedene Ausgaben erwirtschaftet werden sollen. Zugleich fressen hohe Personal-kosten Löcher in Betrieb und Ausrüstungsbedarf. Und natürlich leidet auch die Aus-bildung unter dem Geldmangel. Die seit Jahrzehnten mangelhafte finanzielle Unter-legung von Reformen und Innovation hat nicht nur die Substanz der Bundeswehr entkernt, sondern untergräbt zugleich erfolgreichen, rechtzeitigen Wandel.

Die dümmsten Passwörter der Welt
"Dadada"Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben. Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada". Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen. Quelle: Screenshot
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel. Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014: Quelle: dpa
Passwort: "Password"Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter. Quelle: dpa
FantasiewörterSie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz". Quelle: REUTERS
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball". Quelle: AP
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun. Quelle: REUTERS
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten. Quelle: AP

Das Thema Personal ist ein problematisches Feld. Bislang fehlt der Bundeswehr das hoch qualifizierte Personal, das für den Betrieb und insbesondere für das Erkennen und letztendlich die Abwehr von Cyberangriffen zuständig ist. Insbesondere sind die komplexen Waffensysteme zu schützen und auf aktuellem Stand zu halten. Das ist aufgrund der hohen Innovationszyklen der Informationstechnologie eine große Herausforderung. Demgegenüber verlassen seit Jahrzehnten hochqualifizierte IT-Experten die Bundeswehr in Scharen, weil deren Expertise insbesondere in den ersten Dienstjahren nach deren Studienabschluss ignoriert wird und bei fachfremden Tätigkeiten zu verkümmern droht.

Die bisherigen Karriere- und Qualifikationsmodelle lassen eine Förderung der IT-Expertise bislang nur unzureichend zu. Auf der anderen Seite ignoriert man den Bedarf von IT-Kompetenz in operativen Schlüsselverwendungen und schiebt befähigte Allrounder unter dem Hinweis auf nicht besetzte Dienstposten gerne in berufliche IT-Sackgassen. Damit fehlt dann wiederum die adäquate IT-Kompetenz im Umfeld der militärischen und politischen Spitzenentscheider.

Es mangelt an Experten

Also Experten von außen anwerben? Auch dieser Ansatz stößt auf Hindernisse. Zum einen kann die Bundeswehr den Wettbewerb mit der IT-Industrie um geeignetes Personal nicht gewinnen, da sie nicht mit den Gehältern der Privatwirtschaft mithalten kann. Zum anderen haben die Nerds der zivilen Welt nicht selten eine problematische Vergangenheit. Wer in sicherheitsempfindlichen Bereichen arbeitet muss über-prüft werden. Die gesuchten Experten wollen aber nicht überprüft werden. Und die Bundeswehr kann schlecht Experten mit Sicherheitsrisiken in sensitive Verwendungen bringen.

Die Bundeswehr sucht deshalb nach neuen Wegen. Unter anderem will man eigene Studiengänge aufbauen, um Menschen zu gewinnen und zu halten. Man will zugleich mit Industrie und Universitäten in „Cyber-Clustern" kooperieren, um die nötige Expertise zu bekommen. An der Universität der Bundeswehr München wird dafür ein eigener Studiengang für Cybersicherheit eingerichtet. Schnelle Ergebnisse wird man hier nicht erwarten können.

Ein bisher sträflich vernachlässigtes, aber vielversprechendes Feld sind Cyber-Spezialisten aus dem Reservistenbereich - vormalige Soldaten mit fortgesetzter Affinität zu den Streitkräften. Statt sie nach den bisher angelegten Maßstäben für den Reservistendienst in klassischen militärischen Funktionen einzusetzen, können sie als IT-Fachleute in Deutschland in Rechenzentren und Gefechtsständen mitarbeiten und z.B. Auslandseinsätze im Zuge des sogenannten Reach-Back unterstützen. Hier werden Einsatzfunktionen, die nicht unbedingt im Einsatzland wahrgenommen werden müssen, von Deutschland aus ausgeübt. Damit spart man erheblich an Personal in Auslandseinsätzen.

Insbesondere das vorherrschende geistige Maginot-Denken, sich auf die Cyber-Abwehr zu konzentrieren und auf offensive Cybereinsätze weitestgehend zu verzichten, ist im Lande eines Carl von Clausewitz geradezu unfassbar.

Bereits vor 200 Jahren lernte man in deutschen Landen zwischen taktischen, operativen und strategisch-politischen Ebenen zu differenzieren. Noch im Kalten Krieg wusste und übte man in Deutschland, wie man einen strategischen Angriff des Warschauer Paktes, durch kleine offensive Gegenangriffe auf taktischer Ebene und Luftangriffe auf die Versorgungs- und Verbindungslinien im Rückraum des angreifenden Gegners aus-bremsen konnte. In der Cyber-Domäne ist der Angreifer klar im Vorteil. Sich hier ein-seitig defensiv auszurichten, bedeutet nichts anderes als sich auf Niederlagen und Großschäden einzustellen.

Will man künftig wirklich immer wieder eigene Informations- und Kommunikations-netze solange beschädigen lassen, wie es ein Angreifer wünscht? Will man die aus-geprägten IT-Aktivitäten von ISIS und Taliban auch künftig möglichst ungehindert und störungsfrei zur Entfaltung kommen lassen? Wie will man forensisch dem Täter auf die Spur kommen, ohne sein Wirken bis an den Ursprungsort zu verfolgen? Selbstverständlich müssen Mandatierungs- und Rechtsfragen geklärt werden. Dennoch: Wer sich gegen Cyberangriffe effektiv schützen will, muss auch in der Lage sein, einen Angriff auszuführen. Die Fachkenntnis ist ohnehin identisch. Ohne eigene taktische und operative Offensiv-Fähigkeiten macht die Cyber-Truppe keinen Sinn.

Der Weg ins digitale Zeitalter beginnt für die Bundeswehr absehbar mit selbstgemachten Hindernissen. Relevanten Überlegungen stehen strukturelle Mängel, zu kurz gesprungene konzeptionelle Grundlagen, eine Kannibalisierung bestehender Strukturen und unzulängliche Investitionen gegenüber. Drei Empfehlungen sollen diesen Beitrag schließen:

• Eine Vision ohne entsprechende Investition ist eine Halluzination. Die neue Teilstreitkraft Cyber – und Informationsraum braucht eine Mittelausstattung, die es ermöglicht, zentrale Zielsetzungen zu erreichen.

• Die neue Aufstellung im Cyber- und Informationsraum sollte sich mit Priorität daran orientieren, dass die Bundeswehr als eine kombattante Organisation politisch-parlamentarische Zwecke im Einsatz erfolgreich umsetzen soll.

• Alle Teilstreitkräfte – auch das neue Kommando Cyber- und Informationsraum - müssen über einen Mix an offensiven und defensiven Fähigkeiten verfügen. Taktisch und operativ brauchen die Streitkräfte ein den Aufgaben angemessenes Fähigkeitendispositiv, um ihre Einsätze im Sinne der politischen Vorgaben erfolgreich zu gestalten. Dies steht der politisch-strategischen Vorgabe einer strategisch defensiven Ausrichtung der deutschen Streitkräfte im digitalen Zeitalter ebenso wenig entgegen wie zu Zeiten des Kalten Krieges.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%