Die sogenannte deutsche Cyberwehr ist bereits über drei Jahre alt. Im April 2017 weihte die damalige Verteidigungsministerin Ursula von der Leyen das Kommando Cyber- und Informationsraum (Kdo CIR) ein. Es hat einen leitenden Drei-Sterne-General, eine Webseite, schicke Aufnäher und einen eigens komponierten Cyber-Marsch. Was es noch nicht hat, ist Klarheit darüber, was zu den Aufgaben dieser neuen Bundeswehr-Abteilung gehört. Klar ist: Das CIR soll sich um den Schutz der Bundeswehr-IT kümmern, das gehört zur Cyber-Landesverteidigung. Im Notfall darf das Kommando in Krisensituationen auch zivile Einrichtungen schützen. Doch auch Cyberangriffe gehören zu seinem Repertoire. Eine Studie der Stiftung Wissenschaft und Politik stellt nun die Frage, wie sinnvoll die offensive Ausrichtung der deutschen Parlamentsarmee im Digitalen ist.
Offensive-Militärische-Cyber-Operationen (OMCO), wie staatliche Cyber-Angriffe im Fachjargon genannt werden, decken ein breites Spektrum ab, von Spionage über das Lahmlegen von IT-Systemen zur Unterstützung eines klassischen Angriffs bis hin zu IT-Angriffen auf kritische Infrastruktur wie Energieversorger. Der Studienmacher, der Politikwissenschaftler Matthias Schulze hält es deshalb für geboten, für die Bundeswehr zu bestimmen, was sie im Cyber- und Informationsraum genau leisten soll. Gerade im Digitalen sei es in Deutschland üblich, Agenturen, Strukturen und Behörden aufzubauen, ohne klare Ziele zu haben. "Man muss sich die Frage stellen: Welches sicherheitspolitische Ziel wollen wir mit offensiven Cyberoperationen erreichen, was ist der rechtliche Rahmen dafür und dann entsprechende Strukturen aufbauen?" So sei es durchaus sinnvoll, etwa in einem Kampfeinsatz gegnerisches Radar auszuschalten. Längere strategische Operationen dagegen sind laut Schulze oft risikoreich und aufwändig, der Ertrag ungewiss.
Schon die Frage, was eigentlich Verteidigung ist und was Angriff, ist unter Staaten umstritten. Die USA zum Beispiel haben im Jahr 2019 das sogenannte "persistent engagement" zur Doktrin erhoben. Vorwärtsverteidigung findet fernab der Heimat in den Netzen des Gegners statt. Die Armee-Hacker sollen permanent Feindaufklärung betreiben, Schwachstellen in Betriebssystemen finden, und Hintertüren in fremde Netze einbauen, um sie im Konfliktfall auszunutzen. Das trägt womöglich zur Landesverteidigung bei, kann aber zu diplomatischer oder gar militärischer Eskalation führen, wenn die Hacker entdeckt werden.
Diese Strategie dürfte für die Bundeswehr kaum eine Option sein, schon aus Kapazitätsgründen. In der ersten Liga der Armeehacker spielen die USA, China und Russland. In den USA dienen allein 6000 Hacker in dem Cyber Command. In Deutschland sind es wohl etwa 150, die explizit für die Offensive zuständig sind.
Doch auch Deutschlands Cyberwehr soll Feindaufklärung in fremden Netzen betreiben, so steht es in der geheimen, aber 2015 bei netzpolitik.org geleakten "Strategischen Leitlinie Cyber-Verteidigung". Diese Aufklärung müsste zwangsläufig auch in Friedenszeiten stattfinden, um im Falle eines Konflikts nicht bei Null zu starten. Schwachstellen müssen identifiziert, auf die Systeme des Gegners angepasste Schadsoftware geschrieben werden, das kostet Zeit. Unter Experten ist umstritten, ob militärische Ausflüge in ausländische Computernetze völkerrechtlich erlaubt sind, oder möglicherweise als "Gewaltanwendung" zu werten sind.
Unabhängig von der Klärung dieser Frage warnen zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, vor einem Cyber-Wettrüsten zum Schaden der Bürger. Gegenseitige Feindaufklärung führe vor allem dazu, dass Systeme und Netze für die Allgemeinheit unsicher blieben. Kritische Schwachstellen würden nicht behoben, weil Armeen oder Geheimdienste sie noch für ihre Cyber-Kriegsvorbereitungen nutzen wollen und sie geheim halten. "Cyberwaffen können nicht so einfach gezielt eingesetzt werden wie Granaten oder Bomben. Das ist nur sehr schwer zu bewerkstelligen und erfordert hohen Ressourcenaufwand", sagt Manuel Atug, Gründer und Sprecher der AG Kritis. Wenn ein Wasserversorger oder ein Energieunternehmen zum Kollateralschaden eines Cyberangriffs wird, hat schnell auch die Bevölkerung ein Problem.
Es gibt Beispiele von Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde, und sich dann selbstständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.
Trotz so verheerender möglicher Auswirkungen wird öffentlich nur wenig über die Angriffsfähigkeiten der deutschen Cybersoldaten diskutiert. Auch Roderich Kiesewetter (CDU), Obmann für die CDU/CSU-Bundestagsfraktion Obmann im Auswärtigen Ausschuss, fände eine solche Diskussion sinnvoll. Er stellt die Defensivaufgaben der Bundeswehr in den Vordergrund, aber schreibt aus seinem Urlaub, ihm sei wichtig, "dass wir uns nicht schon von vornherein in den Handlungsoptionen beschneiden. Wir müssen selbstverständlich offensive Angriffe erkennen und verteidigen, notfalls eventuell auch führen können." Es sei riskant für die wehrhafte Demokratie "falls wir die Entwicklung gewisser Fähigkeiten unterlassen".
Ganz theoretisch ist die Diskussion über Sinn und Zweck der deutschen Cyber-Krieger nicht. 2016 berichtete der Spiegel über eine Aktion der Bundeswehr in Afghanistan. Die Einheit "Computer Netzwerk Operationen" hackte sich demnach ins afghanische Mobilfunknetz, um Informationen über die Kidnapper einer deutschen Entwicklungshelferin zu bekommen. Die Mission gelte als Erfolg, Experten zufolge war sie wohl vom Parlamentsmandat für Afghanistan gedeckt - wenn sie denn stattgefunden hat. Bestätigt hat die Bundesregierung den Einsatz nie, mehrere kleine Anfragen im Bundestag blieben mit Verweis auf die Geheimhaltung unbeantwortet.
