Cyberattacken zum Test
Das Netz wird zum Schlachtfeld. Auch die Bundeswehr probiert schon.
Montags-Expertenanhörung im Bundestag. Thema: Cyberkrieg. Das Innenund das Verteidigungsministerium waren dabei. Doch ein wichtiger Akteur war gar nicht eingeladen: der BND.
Die Digitalisierung des Alltags macht vieles leichter. Und gefährlicher. Alles ist mit (fast) allem vernetzt. Alle Bereiche des Zusammenlebens sind berührt: Arbeit, Freizeit, Gesundheit, Bildung, Kultur bieten Angriffsmöglichkeiten ohne Ende. Sogar Kühlschränke, so berichten Insider aus den USA, werden schon als Versender infizierter Dateien, also für globale Netzattacken genutzt. Der Cyberraum kennt nichts Nationales. Wer schützt uns? Die Bundeswehr?
Die Truppe hat, laut einem Tagesbefehl der Ministerin vom 17. September vergangenen Jahres, die Aufgabe angenommen. Noch steht man inhaltlich und personell am Anfang, doch auf den Gängen des Ministeriums wird längst darüber getuschelt, wer als Inspekteur die neue Teilstreitkraft übernehmen wird. So wird es höchste Zeit, dass der Bundestag sich der Fragen annimmt, denn – in welchen Operationsräumen auch immer – per Gesetz ist die Bundeswehr eine Parlamentsarmee.
Das Fazit einer öffentlichen Anhörung, die der Verteidigungsausschuss am Montag vornahm, ist ernüchternd. Viele Fragen blieben offen: technische, rechtliche, ethische. Letztere wurden bei der Befragung kaum gestreift. Die zwei Staatssekretäre – Klaus Vitt aus dem Innenministerium, Beauftragter der Regierung für Informationstechnologie, sowie Katrin Suder aus dem Verteidigungsministerium – waren durchaus bereit zur Transparenz. Doch zunächst einmal war zu klären, worüber man eigentlich sprechen wollte. Ganz offensichtlich nicht über normale Spam-Attacken, die wie Schrotschüsse wahllos in Rechnern einschlagen.
Echte Cyberattacken sind eine vergleichsweise kostengünstige Variante der Kriegsführung und bereits in Friedenszeiten unterhalb der Schwelle zum Waffeneinsatz praktikabel. Es geht um Angriffe wie den gegen das ukrainische Stromsystem, der am 23. September 2015 zum Erfolg geführt hat. Bereits ein Jahr zuvor hatte jemand das Netzwerk der italienischen Marine gehackt. Bis in größte Tiefen. Der Thys- sen-Konzern könnte, wenn er nicht alles im Verborgenen behandelt würde – ein Klagelied singen, Software-Angriffe auf Krankenhäuser werden gemeldet und dass der Bundestag gleichfalls zu den kritischen Infrastrukturen zählt, hat man im vergangenen Jahr gelesen. Nicht gelesen hat man jedoch, dass man heute noch nichts von dem Trojaner wüsste, wenn es nicht einen Tipp von einer britischen Firma an den Verfassungsschutz gegeben hätte. Dass hinter vielem »die Russen« stecken, ist bewiesen. Zumindest für Politikwissenschaftler Thomas Rid vom King’s College in London.
Die Abgrenzung von defensivem und offensivem Handeln ist extrem schwierig. Rid stellte eine Operation des US-Geheimdienstes NSA gegen ein chinesisches Telekommunikationsunternehmen vor, bei dem Spionageversuche gegen US-Einrichtungen bis zu IP-Adressen der chinesischen Streitkräfte zurückverfolgt wurden. War das nun Verteidigung oder Angriff?
Sind solche Attacken mit bewaffneten Angriffen, wie man sie aus der analogen Welt kennt, gleichzusetzen? Nicht einmal die NATO-Cyberexperten können sich darauf einigen, ob der Stuxnet-Virenangriff auf das iranische Atomprojekt, der 2010 entdeckt wurde, kriegerisch ist. Womöglich liegt das daran, dass ein NATO-Land verdächtigt wird, beteiligt gewesen zu sein.
Die Unsicherheit könnte verwundern, denn »das neue Phänomen ist keineswegs rechtliches Niemandsland«, meint Professor Michael Bothe, einer der befragten Sachverständigen. Das bestehende Völkerrecht sei auch auf Cyberangriffe anzuwenden, weshalb es Staaten verboten ist, andere Staaten zu schädigen. Zugleich müssten alle Staaten dafür sorgen, dass von ihren Territorium keine Angriffshandlungen ausgehen. Bothe wies auf den UN-Artikel 51 hin, der Selbstverteidigung auch im Falle von substanziellen Cyberangriffen rechtlich möglich mache. Doch – und da zeigen sich schon erste Probleme der Realität – gebe es da »Interpretationsspielräume, die ein hohes Missbrauchspotenzial im Sinn einer falschen Rechtfertigung militärischer Gegengewalt in sich bergen«.
Ergibt sich also die Frage: Was darf die Bundeswehr? Nichts ohne Parlamentsmandat, sagte Katrin Suder. Wie das praktisch ausschaut, blieb offen. Es wäre absurd, einen Cyberangriff zur Selbstverteidigung auf Land X zuvor im Bundestag zu debattieren. Oder? Suder betonte, die Abwehr von Cyber-Gefahren sei eine gesamtstaatliche Aufgabe, die ein hohes Maß an Kooperation zwischen allen staatlichen Institutionen erfordere. Die Bundeswehr müsse sich zur Bewältigung dieser Aufgabe, etwa bei der Gewinnung von Fachpersonal, »neu positionieren«, sagte Suder.
Die IT-Wissenschaftlerin Gabi Rodosek bot sodann ihre Bundeswehr-Universität in München als eine Art Kompetenzzentrum an, um jene Leute zu drillen, die Netze und Systeme gegen Angriffe sichern. Während der Verteidiger alle Sicherheitslücken schließen müsste, durch die ein Angriff erfolgen kann, reiche es dem Angreifer, nur eine einzige Sicherheitslücke zu identifizieren. Rodosek war es, die so nebenbei vom Angriff als bester Verteidigung sprach.
Selbstverteidigung auf Verdacht sei unzulässig, entgegnete Bothe, und Marcel Dickow von der Stiftung Wissenschaft und Politik wies darauf hin, dass die eindeutige Identifizierung eines Angreifers zu einem kaum aufzulösenden Dilemma führe. Um den Beginn eines Angriffs und seinen Ablauf eindeutig und schnell zu identifizieren, müsste der Angegriffene sich bereits im System des Angreifers befinden. Dickow warnte davor, denn: »Der Angegriffene wird somit zum Angreifer.« Zudem tarnten sich Angreifer in der Regel, indem sie sich der Netze Dritter bedienten. Wenn Angreifer A also einen Surfer in Land B benutze, wohin solle dann der Abwehrschlag zielen, fragte Dickow.
So intensiv die vierstündige Debatte am Montag im Bundestag auch war, ein wichtiger Akteur in Sachen Cyberkrieg fehlte: der Bundesnachrichtendienst. Dessen Wissen bleibt im Tiefkühlfach.
»Handlungen, die geeignet sind und in der Absicht vorgenommen werden, das friedliche Zusammenleben der Völker zu stören, insbesondere die Führung eines Angriffskrieges vorzubereiten, sind verfassungswidrig.«
Grundgesetz-Artikel 26