Ab morgen besteht die Bundeswehr mit ihrer neuen Einheit Cyber- und Informationsraum aus 13.000 Soldaten, die Hacker hacken dürfen. Mit einem "großen Aufstellappell" in Bonn sind etliche Truppenteile wie das das Kommando Strategische Aufklärung, das Führungsunterstützungskommando, das Zentrum Operative Kommunikation und das Zentrum für Geoinformationswesen nun offiziell Bestandteil der Truppe geworden, die im Cyber- und Informationsraum kämpfen soll. Mit dem Appell wird zudem die Führungsunterstützungsschule in "IT-Schule der Bundeswehr" umbenannt.

Die eigentlichen Cyberkrieger des KdoCIR, wie die neue Einheit im Bundeswehr-Jargon abgekürzt wird, werden kaum Zeit haben. Auch in der Bundeswehr hat die Petya-Welle die höchste Alarmstufe ausgelöst,der Schutz der Militär-IT Vorrang vor dem Zeremoniell. Dennoch ist die formale Unterstellung der verstreut operierenden Einheiten zum Cyber- und Informationsraum ein wichtiger Schritt für die Bundeswehr. Den die neue Einheit geht zu einem Zeitpunkt an den Start, an dem Strategen sich mit "hack back" und anderen Formen eigener Cyber-Angriffe beschäftigen. So hat die Stiftung "Neue Verantwortung" mit ihrem Transatlantic Cyber Forum eine Studie veröffentlicht, in der eine offensive Abschreckung als probates Mittel gegen Cyber-Angriffe diskutiert wird. Für solche Aktionen gemäß einer aktualisierten Abschreckungstheorie wäre das KdoCIR zuständig, das bis 2021 auf eine Truppenstärke von 15.000 Cyberkämpfern ausgebaut werden soll.

"Elemente der Abschreckungstheorie anpassen"

Etwas verklausuliert heißt es in der deutschen Zusammenfassung der Studie: "Die zugrundeliegende Hypothese ist, dass Deutschland und die Vereinigten Staaten Elemente der Abschreckungstheorie ('Deterrence Theory') anpassen und anwenden sollten, um zukünftige (erfolgreiche) Cyber-Operationen gegen ihre politischen IT-Infrastrukturen zu verhindern." Zur Abschreckung im Sinne einer "Zero Tolerance Policy" gehören Aktionen wie das sofortige "hack back" gegen den Aggressor, sobald dieser identifiziert ist. "Seine Bestrafung ist nicht auf den Cyber-Bereich limitiert und es mag sogar umsichtiger sein, wenn sie außerhalb dieses Bereiches ausgeführt wird. Sie muss die Nicht-Abschreckung des Aggressors adressieren. Wenn Aktivitäten in der Vergangenheit nicht ausgereicht haben, den Aggressor von seinen Aktionen abzuhalten, müssen geeignetere Antworten wie ökonomische Sanktionen oder Geheimdienstaktionen gefunden werden."

Allerdings macht die Studie auch auf die Schwierigkeit der Attribuierung aufmerksam, einen Cyber-Angriff eindeutig einem (staatlichen) Aggressor zuzuordnen. Wichtig sei es, bei der Schuldzuweisungen zuverlässig sogenannte False-Flag-Operationen zu enttarnen, bei denen ein Aggressor seine Aktionen so tarnt, dass ein anderer Staat verdächtigt wird. Je zuverlässiger dies aufgeklärt werden könne, desto stärker könnte eine darauf folgende "Abschreckungs-Offensive" ausfallen. (anw)