Deutschland sollte IT-Sicherheit defensiv ausrichten, Sicherheitslücken schließen und widerstandsfähige Systeme bauen. Das schreibt der Wissenschaftliche Dienst in einem eingestuften Gutachten, das wir veröffentlichen. Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.

Ob Bundestags-Hack oder Prominenten-Doxing: Geheimdienste, Polizei und Militärs fordern immer wieder, zurückzuhacken. Das Bundesinnenministerium arbeitet seit einem Jahr an einem Gesetzespaket zum „Hackback“. Zivilgesellschaft und Experten kritisieren diese sogenannte „aktive Cyberabwehr“ als sinnlos, gefährlich und verfassungswidrig.

Ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages kommt zum gleichen Ergebnis: Digitale Rückschläge sind der falsche Weg, Verteidigung ist die beste Verteidigung. Wir veröffentlichen das „Nur für den Dienstgebrauch“ eingestufte Gutachten in Volltext.

Verfasst hat das 18-seitige Papier ein Oberstleutnant der Bundeswehr, der Autor steht seit über 30 Jahren im Dienst des deutschen Militärs. Obwohl er von „digitalen Waffen“ spricht und damit eine gefährliche Kriegsrhetorik bedient, plädiert das Gutachten des Offiziers deutlich für Verteidigung statt Angriff: Abschreckung durch digitales Aufrüsten funktioniert nicht, ist gefährlich, kann schnell eskalieren und birgt das Risiko von Kollateralschäden.

Abschreckung scheitert regelmäßig

Im Kalten Krieg gab es eine militärische Abschreckung mit konventionellen Waffen und Atombomben, die auch als Gleichgewicht des Schreckens bekannt war. Seit einigen Jahren fordern US-Militärs „eine Art Cyber-Abschreckung“. Tatsächlich setzen die USA immer wieder auf Angriffe, zum Beispiel gegen das Raketenprogramm in Nordkorea, Internet-Router in Syrien, das Stromnetz in Russland oder die iranische Revolutionsgarde.

„Die sich bis ins Wording an den Maßnahmen des Kalten Krieges anlehnenden Überlegungen zur Abschreckung via offensiver Fähigkeiten werden grundsätzlich kritisiert“, heißt es im Bundestags-Gutachten. Die Wissenschaftlichen Dienste kommen zu dem Ergebnis, dass solche Angriffe nicht als Abschreckung funktionieren.

Obwohl die USA extrem viel Geld für digitale Offensivmaßnahmen ausgeben und ihre Hacking-Operationen mit Abschreckung begründen, versuchen trotzdem viele Staaten, IT-Systeme in den USA zu hacken. Das zeigt, dass „die USA regelmäßig mit ihrer Cyberabschreckung scheitern“, bilanziert das Gutachten. Und wenn schon die USA keinen Erfolg haben, ist ein Erfolg Deutschlands „eher unwahrscheinlich“.

Einmal-Wirkmittel mit Bumerangeffekt

Das Gutachten bezeichnet digitale Gegenmaßnahmen als „wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“. In jedem dieser Worte steckt ein wichtiger Aspekt.

Wartungsaufwändig heißt: Exploits müssen immer wieder dem Zielsystem angepasst werden. Ändert sich die Infrastruktur der Gegenseite oder schließt diese Sicherheitslücken, muss das Angriffswerkzeug verändert werden.

Einmal-Wirkmittel bedeutet: Ist ein Angriff einmal erfolgreich, lernt die Gegenseite, wo sie verwundbar ist und wird ihre Schwachstelle schnellstmöglich schließen. Dass ein Exploit mehrmals eingesetzt werden kann, ist unwahrscheinlich – vor allem gegen denselben Gegner. Software ist nicht wie ein Panzer, der auf Militärparaden aufgefahren werden kann, um der Welt die eigene Stärke zu demonstrieren.

Proliferationsrisiko meint: Auch die Gegenseite kann den Schadcode für einen Angriff in die Finger bekommen und einsetzen. Wird sie angegriffen, erhält sie den Schadcode sogar quasi zugeschickt.

Es muss aber nicht erst zu einem Einsatz kommen, damit digitale Angriffswerkzeuge in andere Hände gelangen. Die Ransomware WannaCry basierte auf Hacking-Werkzeugen, die dem US-Geheimdienst NSA abhanden kamen. Sie richtete enorme gesellschaftliche und wirtschaftliche Schäden in der ganzen Welt an.

Zivile Kollateralschäden

Das vermeintliche Abschreckungsmanöver der USA im russischen Stromnetz verdeutlicht ein anderes Problem von Gegenangriffen: Sie treffen nicht nur den „Gegner“ wie Militärs oder staatlich gelenkte Gruppen, sondern meist auch zivile Systeme – absichtlich oder unabsichtlich.

„In technischer Hinsicht kann beim Einsatz digitaler Waffen das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, dass unintendierte Schäden ausgeschlossen werden können“, heißt es im Gutachten, „militärische, öffentliche oder private Ziele [lassen sich] kaum voneinander unterscheiden“. Digitale Angriffe können zivile Infrastruktur treffen und Konflikte erst recht aufschaukeln.

Den USA ist das in Syrien passiert, wie wir von Edward Snowden wissen. Die NSA hat den größten Internetprovider des Landes gehackt, um den Internetverkehr zu überwachen, doch durch einen Fehler fiel das Internet in Syrien aus.

Attribution und Cyber-Uniformen

Mit digitalen Angriffen die „Richtigen“ zu treffen, ist noch aus anderen Gründen schwierig: Soldaten im „Cyberraum“ tragen keine Uniform – wenn es überhaupt Soldaten sind. Eine eindeutige Zuschreibung, beziehungsweise Attribution ist ein komplexes Problem.

Auch wenn IT-Sicherheitsforscher bei Spionage- oder Sabotagekampagnen Hinweise finden, wer hinter einem Angriff steckt: Meist sind das lediglich Indizien. Zweifelsfreie Beweise sind selten und manchmal kann nicht mit Sicherheit bestimmt werden, ob der Angriff von einer staatlichen Behörde, einer staatlich gelenkten Gruppe oder von sonstigen nicht-staatlichen Aggressoren ausgeht.

„Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“, heißt es im Gutachten.

Wettrüsten und Militarisierung

Das „Gleichgewicht des Schreckens“ im Kalten Krieg funktionierte nur durch ein ständiges Wettrüsten der Atommächte. Solch ein Rüstungswettlauf und eine daraus folgende Militarisierung des Internets drohen auch bei offensiver Cyberabwehr – „was mehr neue Probleme schaffen als bestehende lösen würde“. Zu diesem Ergebnisse kamen mehrere Experten, die das Gutachten zitiert.

Wer offensive digitale Gegenmaßnahmen entwickelt, entwickelt immer auch Angriffe: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“, schreiben die Wissenschaftlichen Dienste. Die technischen Mittel für eine „offensive Abwehr“ lassen sich von Angriffswerkzeugen nicht unterscheiden.

Deutschland betreibt bisher eine eher „zurückhaltende Außen- und Sicherheitspolitik“, eine Lehre aus den beiden Weltkriegen. International schreibt sich die Bundesrepublik Völkerrecht und Menschenrechte auf die Fahnen. Wenn Deutschland aber andere Staaten hackt und Kapazitäten dafür aufbaut, führt das laut Gutachten zu einer „Gefährdung der Glaubwürdigkeit deutscher (Cyber-)Außenpolitik, vor allem in den Politikbereichen Internet Governance, Völkerrecht des Netzes und Menschenrechte online“.

Verteidigungsfall und Parlamentsvorbehalt

Selbst, wenn es all diese gravierenden Probleme nicht gäbe, wäre immer noch fraglich, „wer in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“. Schon heute gibt es einen ganzen Zoo an Cyber-Behörden, doch keine davon darf zurückhacken.

Viele Politiker – wohl auch im Innenministerium – sehen den Bundesnachrichtendienst als geeigneten Akteur für digitale Gegenmaßnahmen. Doch die Wissenschaftlichen Dienste haben schon einmal klargestellt, dass Geheimdienste dazu nicht befugt sind.

Darauf weist auch das aktuelle Gutachten hin: Der Auslandsgeheimdienst BND hat den Auftrag, Informationen über das Ausland zu sammeln, deshalb darf er „nur Informationen über relevante Daten sammeln, aber nicht selber aktive Cyber-Angriffe durchführen“.

Die Bundeswehr hingegen könnte diese Befugnisse bekommen, aber nur in einem Verteidigungsfall – also wenn das Staatsgebiet der Bundesrepublik mit Waffengewalt von außen angegriffen wird. Ist ein Hackback keine reine Selbstverteidigung, wäre er völkerrechtswidrig, heißt es im Gutachten.

Wichtig ist, dass das Parlament in jedem Einzelfall zustimmen muss. Heike Hänsel, stellvertretende Vorsitzende der Linken im Bundestag, hat bereits in der Vergangenheit ein Gutachten zur Verfassungsmäßigkeit von Hackbacks im Ausland beauftragt. Gegenüber netzpolitik.org sagt Hänsel, die Bundeswehr könne nicht einfach selbst als Hacker aktiv werden und Hackbacks im Netz starten: „Das käme rechtlich gesehen einem Bundeswehreinsatz gleich. Dann gilt der Parlamentsvorbehalt und es müsste vom Bundestag genehmigt werden. Auch hier gilt das Gewaltverbot des Grundgesetzes, deshalb darf die Bundeswehr nur rein defensiv agieren.“

Verteidigung ist die beste Verteidigung

Anders als reflexhafte Forderungen von Sicherheitspolitikern nach Hackbacks suggerieren, gibt es eine Alternative zum digitalen Gegenangriff – echte Verteidigung:

Anstatt in einen solchen Wettlauf einzutreten werden stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen.

Dabei ist es egal, ob es sich beim Angreifer um einen Staat, eine staatlich gelenkte Gruppe oder gewöhnliche Kriminelle handelt. Egal, ob sie aus den USA, Russland, China oder Nordkorea kommen. Ohne Gegenschläge keine Gefahr falscher Treffer, ohne Angriffe keine Kollateralschäden, keine Eskalation und keine Sicherheitsrisiken durch gehortete Exploits.

Wer sich darauf konzentriert, Sicherheitslücken zu schließen statt sie für eigene Zwecke zu horten, macht die Welt für alle sicherer. So fasst es auch eine im Gutachten zitierte Studie zusammen: „Cyber-Sicherheit ist nur global und gemeinsam erreichbar und kann auch nicht gegen andere, sondern nur mit anderen Staaten durchgesetzt werden.“

Geheimhaltungsstufe: Verschlusssache – Nur für den Dienstgebrauch

Verschlusssache – Nur für den Dienstgebrauch Datum: 27. August 2019

27. August 2019 Einrichtung: Wissenschaftliche Dienste des Deutschen Bundestages

Wissenschaftliche Dienste des Deutschen Bundestages Fachbereich: WD 2: Auswärtiges, Völkerrecht, wirtschaftliche Zusammenarbeit und Entwicklung, Verteidigung, Menschenrechte und humanitäre Hilfe

WD 2: Auswärtiges, Völkerrecht, wirtschaftliche Zusammenarbeit und Entwicklung, Verteidigung, Menschenrechte und humanitäre Hilfe Autor: Oberstleutnant Priv.-Doz. Dr. John Zimmermann

Oberstleutnant Priv.-Doz. Dr. John Zimmermann Dokument: Sachstand

Sachstand Aktenzeichen: WD 2 – 3000 – 090/19

Cyberabwehr in Deutschland

1. Einleitung

Die zunehmende Vernetzung digitaler Informations- und Kommunikations-Infrastruktur bietet einerseits enorme Entwicklungsmöglichkeiten, schafft andererseits allerdings erhebliche Gefahrenpotenziale. Wie dieser Cyberraum zu schützen ist, wird von den Gesellschaften unterschiedlich beantwortet. Seit vielen Jahren wird dabei über den Umgang mit und den Schutz vor solchen Bedrohungen diskutiert.[1] Auch die Wissenschaftlichen Dienste des Deutschen Bundestages haben sich wiederholt mit solchen Fragen beschäftigt.[2]

Für die Bundesregierung ist Cybersicherheit

der anzustrebende Zustand der IT-Sicherheitslage, in dem Risiken, die Deutschland aus dem Cyberraum erwachsen auf ein tragbares Maß reduziert sind. Das bedeutet, die Bundesregierung betrachtet das Thema Cyber-Sicherheit ganzheitlich – eingebettet in das Thema der Gewährleistung der allgemeinen öffentlichen Sicherheit.[3]

Den ressortübergreifenden Rahmen für alle Aktivitäten in diesem Kontext bildet die Cybersicherheitsstrategie für Deutschland 2016, welche die Cybersicherheitsstrategie aus dem Jahr 2011 fortschreibt und dabei die Bundesländer ebenso einbindet wie die Wirtschaft.[4]

Im jüngeren Diskurs trat dabei die Frage in den Vordergrund, inwieweit zur Abwehr von Bedrohungen oder gar Angriffen aus dem Cyberraum auch aktive (Gegen)Maßnahmen wie sogenannte Hackbacks – digitale Gegenschläge im Fall eines schwerwiegenden Angriffs – angewendet werden dürfen sowie unter welchen Bedingungen und wessen Kontrolle dies geschehen kann. Dazu gab es wiederholt Kleine Anfragen an die Bundesregierung.[5]

Zu „Hackbacks“ hat die Bundesregierung dabei stets klargestellt, dass sie diesen Begriff „konzeptionell grundsätzlich nicht verwendet, weder für Aktivitäten der Cyber-Abwehr noch der Cyber-Verteidigung“.[6] Außerdem würden die „im Zusammenhang mit Maßnahmen der aktiven Cyber-Abwehr aufgeworfenen Fragestellungen […] derzeit von der Bundesregierung geprüft“.[7] In diesem Kontext habe sie sich umfangreich an internationalen Gesprächsrunden, Verhandlungen oder Gremien beteiligt.[8] Die Prüfungen seien bislang noch nicht abgeschlossen.

Tatsächlich engagiert sich Deutschland seit vielen Jahren erfolgreich in Gremien der Normen- und Regelsetzung für den Cyberraum, etwa in den Arbeitsgruppen für Informationssicherheit der Vereinten Nationen (GGE).[9] Darüber hinaus setzt sich die Bundesregierung eigenen Angaben zufolge im Rahmen ihrer Cyberaußen- und -sicherheitspolitik dafür ein, dass Staaten sich regelkonform und vertrauensbildend im Cyberraum bewegen.[10]

Grundsätzlich sind nach Meinung der Bundesregierung zwar

unterschiedlichste Fallgestaltungen im Zusammenhang mit Maßnahmen der aktiven Cyberabwehr denkbar. Eine pauschalierende Betrachtungsweise ist daher nur eingeschränkt möglich. Bei jeder Betrachtung gilt jedoch, dass sich alle Maßnahmen der aktiven Cyberabwehr im Rahmen des geltenden Völker-, Verfassungs- und des einfachen Rechts bewegen müssen.[11]

Dies gilt selbstverständlich auch für die Bundeswehr. Sie stellt zwar wie alle Streitkräfte, respektive deren Einrichtungen und Waffensysteme ein Hochwertziel für die Akteure im Cyber- und Informationsraum (CIR) dar und muss neben den tausenden täglichen Malware- und Spam-Attacken jederzeit mit komplexen und professionellen Cyber-Angriffen rechnen.[12] So hat sich auch die Bundesregierung der Sichtweise angeschlossen, dass Cyberangriffe „einen bewaffneten Angriff im Sinne von Artikel 51 der VN-Charta darstellen [können]“.[13] Gleichwohl ist die Bundeswehr ihrerseits Akteur im CIR.

In der medialen Berichterstattung wird dabei wiederholt die mangelhafte Ausstattung der Bundeswehr kritisiert, obwohl man sich dort der potentiellen Gefahren durchaus bewusst sei. Bemängelt werden außerdem die undefinierte Zuständigkeit innerhalb der Ressorts in der Bundesregierung und die Langsamkeit, mit der diese Frage behandelt würde.[14]

Tatsächlich hinkt die deutsche und europäische Cyberabwehr den Anstrengungen beispielsweise in den USA einige Jahre hinterher. Dort wurde eine adäquate Organisation mit weitreichenden Vollmachten bereits vor zehn Jahren implementiert und jüngst deutlich gestärkt, vor allem hinsichtlich eines offensiveren Handelns – was durchaus nicht unwidersprochen bleibt:[15] Kritisiert wird in diesem Kontext insbesondere, dass sich niedrigschwellig agierende Angreifer durch offensive Maßnahmen nicht stoppen ließen und der Ansatz außerdem zu einem verschärften Rüstungswettlauf führte.[16]

In letzterem befinden sich bereits Staaten wie eben die USA, die sich zu dezidiert offensivem Handeln im Cyberraum entschlossen haben. Rob Joyce, der ehemalige Cyber-Security-Koordinator im Weißen Haus, sieht in der Existenz von digitalen Waffen kein Sicherheitsdilemma, sondern im Gegenteil ein Mehr an nationaler Sicherheit. Außerdem könnten es sich die Vereinigten Staaten seiner Meinung nach nicht erlauben, aus diesem Rüstungswettlauf auszusteigen, da man sonst militärisch ins Hintertreffen geriete.[17]

Fachleute verweisen ohnehin darauf, dass sowohl das wording als auch die Maßnahmen nicht nur an die Zeit des Kalten Krieges erinnern, sondern sich allmählich tatsächlich daran anlehnen. Abschreckung und Wettrüsten allerdings auf den digitalen Raum fast drei Jahrzehnte nach dem Ende der Blockkonfrontation anzuwenden, erscheint vielen Cybersicherheitsforschenden wenigstens problematisch:

Cyber-Abschreckung ist multipolar und findet zwischen asymmetrischen Opponenten statt. Insofern kann Cyber-Abschreckung leichter versagen und ist somit keine verlässliche Politikoption.[18]

Dennoch hat die NATO im Einklang mit den einzelnen Verbündeten im transatlantischen Bündnis den Cyber- und Informationsraum neben den klassischen Dimensionen Land, Luft und See zu einem neuen Operationsraum erklärt.[19]

Cyber-Abwehr, Cyber-Außen- und internationale Cyber-Sicherheitspolitik sowie Cyber-Verteidigung sind damit für die Bundesregierung drei sich ergänzende Themenkomplexe zur Erreichung der Cyber-Sicherheit. Die Bundeswehr ist als hoch technisierte Armee im weltweiten Einsatz den Gefahren im Cyber-Raum fortlaufend ausgesetzt. Gleichzeitig ist die Nutzung des Cyber-Raums Voraussetzung für die Einsatzfähigkeit der Streitkräfte.[20]

2. Cybersicherheit in Deutschland

Die Cyber-Sicherheitsstrategie für Deutschland, die im Februar 2011 von der Bundesregierung beschlossen wurde, ermöglichte es Staat, Wirtschaft und Privatanwendern, im Rahmen ihrer jeweiligen Verantwortungsbereiche und Handlungsmöglichkeiten aktuellen und künftigen Bedrohungen aus dem Cyber-Raum begegnen zu können. Cyber-Sicherheit wurde dadurch angesichts der im Vordergrund stehenden zivilen Ansätze und Maßnahmen als Teil der gesamtstaatlichen Sicherheitsvorsorge verankert. Im Mittelpunkt steht dabei die stärkere Verzahnung von Staat und Wirtschaft auf der Grundlage eines intensiven Informationsaustausches. Insbesondere soll die Zusammenarbeit organisiert, vor allem koordiniert werden. Bislang beherrschen ganz unterschiedliche Akteure auf den Ebenen von Bund und Ländern das Themenfeld – von der Polizei über Bundesämter bis hin zu Nachrichtendiensten, quer durch die entsprechenden Ressorts.[21] Die Frage, ob und wie Polizei und Nachrichtendienste bei der Aktiven Cyberabwehr zusammenwirken können, sei gleichwohl Gegenstand der Prüfung der Bundesregierung.[22]

Derzeit befasst sich innerhalb der Bundesregierung das Bundesministerium des Innern, für Bau und Heimat (BMI) federführend mit Fragestellungen der Cyberabwehr. Sie werden hauptsächlich in den Abteilungen

Cyber- und Informationssicherheit (CI),

Öffentliche Sicherheit (ÖS) sowie

Bundespolizei (B) bearbeitet.

Je nach Anlass stimmt sich das BMI mit dem

Bundeskanzleramt,

Auswärtigen Amt (AA),

Bundesministerium der Verteidigung (BMVg) sowie

Bundesministerium der Justiz und für Verbraucherschutz (BMJV) ab.

Für den Geschäftsbereich des BMVg werden die politischen Vorgaben der Grundsätze für die Cyberverteidigung in der strategischen Leitlinie Cyberverteidigung festgelegt; hierfür ist dort die Abteilung Cyber/IT federführend. Für die Fähigkeitsentwicklung der Cyberverteidigung ist das Kommando Cyber- und Informationsraum (Kdo CIR) zuständig.[23]

Als nationale Cyber-Sicherheitsbehörde fungiert in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).[24] Es unterstützt Verwaltung, Wirtschaft und Gesellschaft in der IT-Sicherheit, wird von einem Präsidenten geleitet und hat derzeit über 940 Beschäftigte, die in fünf Fachabteilungen tätig sind. Das BSI ist eine die Fachaufsicht führende nachgeordnete Behörde des BMI. Seine Aufgaben sind im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) festgelegt:[25] Das BSI

erarbeitet praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Vermeidung von Risiken zu unterstützen;

ist für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die Computer und Netze der Bundesverwaltung;

ist zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes;

ist zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen;

unterstützt auf Ersuchen der zuständigen Stellen der Länder jene in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik.

Zu den Aufgaben des BSI gehören weiterhin:

Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen,

Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen,

IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen,

Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit,

Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards sowie

Entwicklung von Kryptosystemen für die Informationstechnik des Bundes.[26]

Die Bundesregierung baut im Kampf gegen Cyber-Risiken vor allem auf Kooperationen und Partnerschaften. Daher misst sie der Kooperation der Ressorts „unter Einbindung relevanter gesellschaftlicher Gruppen“ einen hohen Stellenwert bei. Zentrale Gremien sind das Nationale Cyber-Abwehrzentrum (NCAZ) und der Nationale Cyber-Sicherheitsrat.[27]

Das NCAZ ist seit 2011 ein Kernelement der Cyber-Sicherheitsstrategie. Es soll auf der Basis eines ganzheitlichen Ansatzes die operative Zusammenarbeit optimieren und Schutz- und Abwehrmaßnahmen hinsichtlich Cyber-Spionage, Cyber-Ausspähung, Cyber-Terrorismus und Cyber-Crime koordinieren. Seine Zielsetzung besteht in einem schnelleren Informationsaustausch für eine raschere Bewertung, um daraus wiederum konkrete Handlungsempfehlungen abzuleiten.[28]

Dafür werden im NCAZ alle Informationen der sicherheitsrelevanten Behörden zu Cyber-Angriffen auf Informationsinfrastrukturen zusammengeführt. Dazu ist es mit den Lagezentren und entsprechenden Einrichtungen der beteiligten Behörden vernetzt, folgt im Grundsatz also einem Expertisen orientierten arbeitsteiligen Ansatz:

Das BSI bewertet einen Cyber-Angriff aus informationstechnischer Sicht,

das Bundesamt für Verfassungsschutz (BfV), der Militärische Abschirmdienst (MAD) und der Bundesnachrichtendienst (BND) aus nachrichtendienstlicher Sicht,

das Bundes- (BKA) und das Zollkriminalamt (ZKA) sowie die Bundespolizei (BPOL) aus polizeilicher Sicht, und

das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) bewertet die Aspekte der Katastrophenvorsorge und Belange der Kritischen Infrastrukturen.

Künftig arbeiten auch alle aufsichtführenden Stellen über die Betreiber der Kritischen Infrastrukturen im NCAZ aktiv mit. Jede dieser Behörden entsendet eine Verbindungsperson ins Abwehrzentrum.[29] Dort entstehen neben der Cyber-Lage, einer tagesaktuellen Erstbewertung, analysebasierte Auswertungen verschiedener Sachverhalte, zu denen alle zuständigen NCAZ Behörden mit ihren Fähigkeiten und im Rahmen ihrer Befugnisse mitwirken.[30] Im Ergebnis hat sich mit der Wandlung der Gefährdungslage seit 2011 das NCAZ von einer reinen Informationsdrehscheibe hin zur zentralen Kooperationsplattform der IT-Sicherheitsbehörden entwickelt.[31]

Eine ergänzende Informationsplattform bietet die 2012 vom BSI implementierte „Allianz für Cybersicherheit“ zur Kooperation mit der Wirtschaft, Behörden, mit der Forschung und Wissenschaft sowie anderen Institutionen. Im besonderen Fokus der Initiative stehen kleine und mittelständische Unternehmen. Aktuell gehören der Initiative rund 2.700 Unternehmen und Institutionen an, unter anderem IT-Dienstleistungs- und -Beratungsunternehmen sowie IT-Hersteller und Anwenderunternehmen aller Größen und Branchen. Im Vordergrund steht hier der Austausch von IT-Expertise und Anwendungserfahrungen.[32]

Im Sommer 2018 wurde als weitere Ergänzung von der Bundesregierung die Gründung der „Agentur für Innovation in der Cybersicherheit“ unter der gemeinsamen Leitung von BMI und BMVg beschlossen. Ziel der Agentur ist es, die digitale Infrastruktur Deutschlands vor Hackerangriffen zu schützen, insbesondere durch die „Sicherstellung technologischer Innovationsführerschaft“.[33] Sie wird am Flughafen Leipzig/Halle als GmbH entstehen und bis zu 100 Arbeitsplätze umfassen. Allerdings ist offenbar die Finanzierung der 152,5 Mio. Euro, welche die Agentur bis 2022 kosten soll, noch nicht gesichert.[34] Konkret soll sie damit

bedarfsorientierte, zielgerichtete Forschungsaufträge in ambitionierte Cybersicherheitstechnologien und diesbezügliche Schlüsseltechnologien entwickeln und damit

Technologiesouveränität im Cyber- und Informationsraum erhalten.

Schon bis 2020 sollen erste Ideenwettbewerbe stattfinden sowie die Vergabe von gezielten Forschungsaufträgen erfolgen.[35] Diese Art der zivil-militärischen Zusammenarbeit ist nicht unumstritten. Befürchtet wird außerdem eine „Militarisierung des Internets“.[36]

In diesen Kontext ordnet sich auch die Diskussion um „Hackbacks“ ein, die nach Medienberichten innerhalb der Bundesregierung wenigstens diskutiert werden. Sie gehören angeblich zu einem Konzept, an dem die Bundesregierung seit 2017 arbeitet und das im Zeichen einer deutlich aktiveren Abwehr als bislang stehen soll – bis hin zur Zerstörung von Servern, über die Angriffe durchgeführt werden.[37]

3. Bundeswehr und Cybersicherheit

Der Organisationsbereich Cyber- und Informationsraum (CIR) und das zugehörige Kommando (Kdo CIR) wurden am 5. April 2017 durch die damalige Verteidigungsministerin Dr. Ursula von der Leyen eingesetzt. Im Juli 2017 wurden dem Kommando weitere Dienststellen unterstellt.

Der Organisationsbereich umfasst nun rund 13.500 Soldatinnen und Soldaten und zivile Mitarbeiterinnen und Mitarbeiter. Bis 2021 soll der gesamte Organisationsbereich CIR seine volle Einsatzbereitschaft etwa 14.500 Dienstposten erreichen.[38]

Im Kdo CIR werden die Bereiche

Informationstechnik,

Strategische Aufklärung,

Geoinformationswesen und

Operative Kommunikation

aus einer Hand truppendienstlich und fachlich geführt. Das Kdo CIR dient zudem in Fragen der Cybersicherheit als Schnittstelle für andere Ressorts des Bundes, für die Wirtschaft und für die internationalen Verbündeten.[39]

Das Kdo CIR hat folgende Aufgaben:

Es stellt mit einem Gemeinsamen Lagezentrum CIR ein fusioniertes Lagebild des CIR für die Bundeswehr und weitere Ressorts zur Verfügung.

Es zeichnet als zentrales Element für die Weiterentwicklung, und Ausbildung im CIR verantwortlich und verantwortet zudem als Bedarfsträger die personellen Grundsatzforderungen für das im CIR eingesetzte Personal.

Das Kommando trägt mit dem Stellvertretenden Inspekteur als Chief Information Security Officer der Bundeswehr (CISOBw) die operationelle Durchführungsverantwortung für die Informationssicherheit in der Bundeswehr.

Es führt als Führungskommando die ihm truppendienstlich unterstellten Dienststellen „Kommando Strategische Aufklärung“, „Kommando Informationstechnik der Bundeswehr“ und „Zentrum für Geoinformationswesen der Bundeswehr“ ab dem Zeitpunkt der Unterstellung und stellt deren Einsatzbereitschaft und Auftragserfüllung sicher.

Es stellt als Leitkommando Fähigkeiten, Kräfte und Mittel des Kommando Cyber- und Informationsraum für Einsätze und Übungen im gesamten Aufgabenspektrum der Streitkräfte durchhaltefähig bereit.

Es koordiniert als Kommandobehörde die bundeswehrgemeinsame Erfüllung für die Erbringungsdimension CIR dem Aufgabenspektrum der Bundeswehr, die im Frieden sowie im Spannungs- und/oder Verteidigungsfall in nationaler Verantwortung wahrgenommen werden.

Es stellt die ressortübergreifende nationale und internationale Zusammenarbeit im CIR aus einer Hand sicher.[40]

Der Einsatz der Bundeswehr im Cyberraum unterliegt dabei denselben rechtlichen Voraussetzungen wie jeder andere Einsatz deutscher Streitkräfte. Die rechtliche Zulässigkeit von konkreten Operationen im Cyberraum ist demnach wie bei anderen militärischen Maßnahmen in jedem Einzelfall zu prüfen.[41] Derzeit werden nach Angaben des BMVg täglich im Durchschnitt – und mit steigender Tendenz – 4.500 Angriffe unterschiedlicher Qualität abgewehrt, von kleinen Attacken bis hin zu hoch differenzierten „Advanced Persistant Threats“.[42]

Um das Innovationspotential der Informationstechnik-Gründerszene aktiv für sich nutzbar zu machen, hat das BMVg einen „Cyber Innovation Hub“ gegründet. Außerdem arbeitet das BMVg eng mit dem NATO Cooperative Cyber Defense Centre of Excellence zusammen. Jedes Jahr nehmen IT-Spezialisten der Bundeswehr an der Übung „Locked Shields“ teil, bei der ein simulierter Cyberangriff abgewehrt werden muss.[43] Die Vernetzung mit den Verbündeten in EU und NATO ebenso wie mit anderen Behörden und der Wirtschaft ist nach Aussage der damaligen Verteidigungsministerin „[o]berstes Gebot bei der Cyberabwehr“.[44]

Dies scheint auch deswegen evident, weil im Cyberraum klassische Paradigmen wie Angriff und Verteidigung, Unterscheidungen in rein defensive und offensive Fähigkeiten und das Prinzip der Territorialität nur schwer zu verwenden sind. Der Ursprung eines Angriffs kann selten unmittelbar beobachtet werden und muss ex post mit erheblichem forensischen Aufwand recherchiert werden – falls dies überhaupt gelingt.[45]

Dabei sind digitale Waffen wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko. Ihre Existenz allein wirkt nicht abschreckend, zumal wenn die Bereitschaft, sie einzusetzen, nicht glaubwürdig vermittelt wird. Da allerdings aktivere Cybermächte wie die USA regelmäßig mit ihrer Cyberabschreckung scheitern, ist ein Erfolg deutscher Cyberabschreckungsmaßnahmen angesichts der traditionellen Zurückhaltung in der Außen- und Sicherheitspolitik eher unwahrscheinlich. Stattdessen wird eine „Abschreckung durch Leugnung“ präferiert, indem Systeme verhärtet und Widerstandsfähigkeit aufgebaut werden.[46]

Dieses Argument erscheint umso logischer, als Angriffe im Cyberraum – freilich auch dann, wenn sie als aktive Gegenwehr durchgeführt werden – immer zivile wie militärische Systeme (mit)betreffen können. Entsprechende Gegenschläge in Krisensituationen führen also nicht nur nicht zwangsläufig zum gewünschten Ergebnis, sie können auch unintendierte Nebenfolgen haben. Zum einen besteht die Gefahr von Kaskaden-Effekten, denn oft ist unklar, welche anderen Systeme vom Ziel des Gegenschlags abhängen, so dass sich militärische, öffentliche oder private Ziele kaum voneinander unterscheiden lassen. Zum anderen kann es zu diplomatischen Verwerfungen kommen, wenn das Ziel des Gegenangriffs im Ausland liegt.[47]

Die eingesetzten Waffen bergen damit ein entsprechend hohes Eskalationsrisiko und bilden faktisch immanent die Entwicklung von offensiven Cyber-Angriffsfähigkeiten ab.[48] Manche Experten befürchten in diesem Zusammenhang die Gefährdung der Glaubwürdigkeit deutscher (Cyber-)Außenpolitik, vor allem in den Politikbereichen Internet Governance, Völkerrecht des Netzes und Menschenrechte online. Damit würden sie gegen fundamentale ökonomische und menschenrechtspolitische Interessen der Bundesrepublik Deutschland verstoßen. Staaten wie die USA, Großbritannien und Frankreich, die solche Erfahrungen bereits gemacht werden hier als warnende Beispiele angeführt.[49]

Fraglich ist außerdem, wer in Deutschland für die Durchführung der „Hackbacks“ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll. Eine zentrale Rolle spielt dabei Medienberichten nach das NCAZ, wo entschieden werden soll, ob ein „erheblicher Cyber-Angriff aus dem Ausland“ vorliegt, der einen „Hackback“ evoziert. Daraufhin soll ein weiteres Gremium, bestehend aus Vertretern des Kanzleramts, des AA, des BMJV, des BMVg und des BMI, die Aktion politisch verantwortlich bestätigen, ehe der BND den „Hackback“ durchführt. Dessen Eignung ergäbe sich daraus, dass letzterer

sich unter anderem in IT-Infrastrukturen im Ausland [bewege], […] konstant Informationen über Cyberangreifer, deren Vorgehen und Infrastrukturen [sammelt] und […] diese detailliert aus[wertet].[50]

Denkbar sei auch die Durchführung des „Hackbacks“ durch eine Polizeibehörde, wenn der BND „zwingend“ einbezogen würde.[51]

Rechtlich scheint eine Zuständigkeit des BND jedoch umstritten, zumal trotz des Trennungsgebots zwischen Polizei und Nachrichtendiensten beide in diesem Kontext zusammenwirken sollen. Dabei wird insbesondere darauf verwiesen, dass der BND gem. § 1 Abs. 2 Bundesnachrichtendienstgesetz (BNDG) vornehmlich die Aufgabe hat, Informationen zur Gewinnung von Erkenntnissen über das Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik sind, zu sammeln und auszuwerten. Würde man diese Aufgabenregelung auf Fragen der Cyber-Sicherheit anwenden, dürfte der Dienst wohl nur Informationen über relevante Daten sammeln, aber nicht selber aktive Cyber-Angriffe durchführen. Außerdem sei die Abgrenzung zum Tätigkeitsbereich des Verfassungsschutzes für Fragen der Cyber-Sicherheit unklar, dessen Aufgaben nach § 3 Bundesverfassungsschutzgesetz (BVerfSchG):

Sammeln und Bewerten von Informationen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten gegen die Bundesrepublik für eine fremde Macht betreffen,

oder solche Bestrebungen umfassen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane zum Ziel haben.

Abgesehen davon wird bezweifelt, dass überhaupt die technische Kompetenz vorliegt, um „Hackbacks“ zu realisieren.[52]

Solche Fähigkeiten wiederum besitzt die Bundeswehr. Sie hat in ihrem „Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr“ 2016 eine grundlegende Strategie erarbeitet, wie ein Tätigwerden im CIR aussehen könnte und dazu das Kdo CIR aufgestellt. Dort existiert seit 2018 das Zentrum Cyberoperationen (ZCO), das technische Kapazitäten vorsieht, die auch in der Lage sind, Offensivmaßnahmen im digitalen Raum durchzuführen. Fraglich bleibt, unter welchen rechtlichen Voraussetzungen die Bundeswehr hier tätig werden könnte.[53]

Für den Einsatz deutscher Streitkräfte bestehen hohe verfassungsrechtliche Hürden. Der Einsatz der Bundeswehr zum „Hackback“ müsste folglich einen Verteidigungsfall voraussetzen, also die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt. Außerdem entscheidet über den Einsatz der Bundeswehr allein der Bundestag. Offensivmaßnahmen der Bundeswehr im CIR, die nicht unter das Selbstverteidigungsrecht fallen, sind zudem völkerrechtswidrig, da sie das Gewaltverbot missachten. Im Ergebnis dürfen „Hackbacks“ also keine Cyber-Angriffe sein, die einer militärischen Operation gleichkommen.[54]

Gegen einen Einsatz des Militärs wird außerdem damit argumentiert, dass nicht-staatliche Akteure auf diesem Feld agieren. Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen. Ein solcher Prozess könne nur durch unilaterale Beschränkung beziehungsweise Abrüstung und vertrauensbildende Maßnahmen durchbrochen werden. Cyber-Sicherheit sei nur global und gemeinsam erreichbar.[55] Experten befürworten daher wenigstens eine Reglementierung insbesondere von „Hackbacks“ als ultima ratio und die Legitimierung durch unabhängige Stellen – parlamentarischen Kontrollgremien oder Richtern.[56] Sie schätzen sonst die Gefahr einer Eskalation als besonders groß an und bewerten die Cyberverteidigung als gesamtgesellschaftliche Aufgabe, an der die Streitkräfte als Akteur, aber nur als einer unter anderen teilhaben sollten. Den Vorzug geben sie stattdessen der Schaffung resilienter Strukturen.[57]

4. Fazit

Bedrohungen aus dem Cyberraum gehören zwischenzeitlich zu den allgemeinen Risiken des täglichen Lebens. Das gilt umso mehr für staatliche Akteure und deren Verantwortungsbereiche. Die Bundesregierungen seit 2011 haben dazu verschiedene konzeptionelle Überlegungen angestellt und stetig weiterentwickelt. Derzeit bildet die vom BMI herausgegebene Cyber-Sicherheitsstrategie für Deutschland 2016 den Rahmen für das staatliche Handeln in diesem Bereich.

Darüber hinaus wird nach Aussage der Bundesregierung an einer konzeptionellen Weiterentwicklung gearbeitet, um den sich wandelnden Bedrohungslagen gerecht zu werden. Federführend ist dabei das BMI, das mit der Gründung des BSI und des NCAZ Behörden implementiert hat, deren Kerngeschäft die Abwehr von Cyberbedrohungen darstellt. Konkret geht es dabei bislang um den Austausch von Informationen und Anwendererfahrungen sowie deren Auswertung zu sicherheitsgewährleistenden oder wenigstens –unterstützenden Maßnahmen und Empfehlungen.

Neuerdings wird in diesem Kontext verstärkt darüber diskutiert, inwieweit aktive Gegenmaßnahmen, insbesondere „Hackbacks“, angewendet werden sollen beziehungsweise dürfen. Die Problematik einer solchen digitalen Waffe ist dem Themengebiet immanent: Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich, die Frage nach der Legitimierung eines solchen Einsatzes überhaupt und ab welcher Schwelle ebenso ungeklärt wie diejenige nach den durchführenden Akteuren, das Ausbilden von technischen Fähigkeiten zu „Hackbacks“ gleichbedeutend mit dem Vorbereiten offensiver Aktionen, die gleichwohl im Gegensatz zur bisher geübten Praxis zurückhaltender deutscher Außen- und Sicherheitspolitik zu stehen scheint.

In technischer Hinsicht kann beim Einsatz digitaler Waffen das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, das unintendierten Schäden ausgeschlossen werden können, weil angeschlossene Systeme beim Angriff entweder direkt mitbetroffen oder via Kaskadeneffekt in Mitleidenschaft gezogen werden. Die Entwicklung solcher Fähigkeiten birgt nach Meinung von Experten zudem das Risiko eines Rüstungswettlaufes und einer Militarisierung des Internets – was mehr neue Probleme schaffen als bestehende lösen würde. Die Erfahrung bereits einschlägig agierender Staaten wie den USA, Großbritanniens und Frankreichs wird hier als warnendes Beispiel angeführt.

Anstatt in einen solchen Wettlauf einzutreten werden stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen. Bei der Anwendung offensiver Fähigkeiten, vor allem aggressiver Varianten wie „Hackbacks“, sei die Eskalationsgefahr zu groß, zumal der/die Verursacher regelmäßig nicht zweifelsfrei identifiziert werden könnten.

Da es sich bei den angreifenden Akteuren zudem mitunter um nicht-staatliche Akteure handelte, seien insbesondere die Streitkräfte wenig prädestiniert zu einer erfolgreichen aktiven Cyberabwehr. Stattdessen sollte sich auch die Bundeswehr auf den defensiven Schutz ihrer Strukturen und Einrichtungen beschränken. Die sich bis ins wording an den Maßnahmen des Kalten Krieges anlehnenden Überlegungen zur Abschreckung via offensiver Fähigkeiten werden grundsätzlich kritisiert. Ihre Vergleichbarkeit wird schon deswegen in Frage gestellt, weil es innerhalb des existierenden oder möglichen Waffenarsenals kaum Transparenz gibt, die Existenz einer Waffe also erst mit ihrem Einsatz offenbart wird und dadurch eine glaubwürdige Abschreckung eher nicht gewährleistet werden kann.

Letzten Endes geht es in der Diskussion um eine aktive Abwehr zur Cybersicherheit also um eine politische Beschlussfindung zur Anwendung digitaler Gewalt, konkret um ihre Grenzen und Legitimation. Das wiederum verbindet diesen Diskurs mit dessen übergeordnetem Kontext, nämlich dem Umgang mit zunehmend hybriden Bedrohungen bis hin zur hybriden Kriegsführung.[58]

Fußnoten