Die sogenannte deutsche Cyberwehr ist bereits über drei Jahre alt. Im April 2017 weihte die damalige Verteidigungsministerin Ursula von der Leyen das Kommando Cyber- und Informationsraum (Kdo CIR) als Abteilung der Bundeswehr ein. Es hat einen leitenden Drei-Sterne-General, eine Webseite, schicke Aufnäher und einen eigens komponierten Cyber-Marsch. Was es noch nicht hat, ist Klarheit darüber, was zu seinen Aufgaben gehört.
Klar ist: Das CIR soll sich um den Schutz der Bundeswehr-IT kümmern, das gehört zur Cyber-Landesverteidigung. Im Notfall darf das Kommando zivile Einrichtungen schützen. Doch auch Cyberangriffe gehören zu seinem Repertoire. Eine Studie der Stiftung Wissenschaft und Politik stellt nun die Frage, wie sinnvoll die offensive Ausrichtung der Armee im Digitalen ist.
In der ersten Liga der Hacker spielen die USA, China und Russland. Deutschland nicht
Offensive Militärische Cyber-Operationen (OMCO), wie Cyber-Angriffe im Fachjargon genannt werden, decken ein breites Spektrum ab, von Spionage über das Lahmlegen von IT-Systemen und die Unterstützung eines klassischen Angriffs bis hin zu IT-Angriffen auf kritische Infrastruktur wie Energieversorger. Der Autor der Studie, der Politikwissenschaftler Matthias Schulze, hält es deshalb für geboten, für die Bundeswehr zu bestimmen, was sie im Cyber- und Informationsraum genau leisten soll. Gerade im Digitalen sei es in Deutschland üblich, Agenturen, Strukturen und Behörden aufzubauen, ohne klare Ziele zu haben. Man müsse sich jedoch "die Frage stellen, welches sicherheitspolitische Ziel wir erreichen wollen, was der rechtliche Rahmen dafür ist und dann entsprechende Strukturen aufbauen".
Schon die Frage, was eigentlich Verteidigung ist und was Angriff, ist umstritten. Die USA etwa haben 2019 das "persistent engagement" zur Doktrin erhoben. Vorwärtsverteidigung findet fernab der Heimat in den Netzen des Gegners statt. Die Armee-Hacker sollen permanent Feindaufklärung betreiben, Schwachstellen in Betriebssystemen finden und Hintertüren in fremde Netze einbauen, um sie im Konfliktfall auszunutzen. Das trägt zur Landesverteidigung bei, kann aber zu diplomatischer oder gar militärischer Eskalation führen, wenn die Hacker entdeckt werden.
Diese Strategie dürfte für die Bundeswehr kaum eine Option sein, schon aus Kapazitätsgründen. In der ersten Liga der Armeehacker spielen die USA, China und Russland. In den USA dienen allein 6000 Hacker in dem Cyber Command. In Deutschland sind es wohl etwa 150, die explizit für die Offensive zuständig sind.
Doch auch Deutschlands Cyberwehr soll Feindaufklärung in fremden Netzen betreiben, so steht es in der geheimen, aber 2015 bei netzpolitik.org geleakten "Strategischen Leitlinie Cyber-Verteidigung". Diese Aufklärung muss zwangsläufig auch in Friedenszeiten stattfinden, um im Falle eines Konflikts nicht bei Null zu starten. Schwachstellen müssen identifiziert, auf die Systeme des Gegners angepasste Schadsoftware geschrieben werden. Unter Experten ist umstritten, ob militärische Ausflüge in ausländische Computernetze völkerrechtlich erlaubt oder möglicherweise als "Gewaltanwendung" zu werten sind.
Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es - etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.
Trotzdem wird öffentlich nur wenig über die Angriffsfähigkeiten der deutschen Cybersoldaten diskutiert. Auch Roderich Kiesewetter (CDU), Obmann für die CDU/CSU-Bundestagsfraktion im Auswärtigen Ausschuss, fände eine solche Diskussion sinnvoll. Er stellt die Defensivaufgaben der Bundeswehr in den Vordergrund, aber ihm sei wichtig, "dass wir uns nicht schon von vornherein in den Handlungsoptionen beschneiden. Wir müssen selbstverständlich offensive Angriffe erkennen und verteidigen, notfalls eventuell auch führen können." Es sei riskant für die wehrhafte Demokratie, "falls wir die Entwicklung gewisser Fähigkeiten unterlassen".
Nur theoretisch ist die Diskussion nicht. 2016 berichtete Der Spiegel über eine Aktion der Bundeswehr in Afghanistan. Die Einheit "Computer Netzwerk Operationen" habe sich ins afghanische Mobilfunknetz gehackt, um Informationen über die Kidnapper einer deutschen Entwicklungshelferin zu bekommen. Die Mission gelte als Erfolg. Bestätigt aber hat die Bundesregierung den Einsatz nie.