Erste Ansätze dazu wurden sowohl von Innenminister Thomas de Maizière als auch von der Verteidigungsministerin in die Umlaufbahn gebracht. Beide Vorschläge haben gleich für heftige Kritik gesorgt, wie Peter Welchering erklärt:
"Die Kritik besteht im Wesentlichen aus zwei Gründen. Zum einen weil das Verteidigungsministerium auch mit seiner Offensivstrategie in Sachen Cybersicherheit den Einsatz der Bundeswehr im Inneren sehr stark forciert. Zum anderen weil das Verteidigungsministerium den digitalen Angriff plant, ohne für eine ausreichende digitale Verteidigung zu sorgen.
Denn das Sicherheitskonzept der Bundeswehr in Sachen Informationstechnik weist Riesenlöcher auf. Ein paar sind zum Teil gestopft worden, so etwa die vom Bundesrechnungshof kritisierten Sicherheitsmängel, denen zufolge die IT-Systeme für den Einkauf und für die Soldzahlungen quasi ohne Aufsicht uneingeschränkt genutzt werden konnten. Hier fehlten einfach die üblichen Kontroll- und Prüfmechanismen.
Andere Sicherheitslücken etwa in Waffensystemen sind noch gar nicht systematisch untersucht worden. Sogar beim Bundesrechnungshof ist man der Meinung, dass die massiven Sicherheitsmängel der IT-Systeme die Einsatzbereitschaft der Bundeswehr gefährden. Und in dieser Situation beansprucht das Verteidigungsministerium eine Führungsrolle in Sachen Cybersicherheitspolitik. Das führt natürlich zu intensiven Diskussionen."
Diese Diskussionen haben bereits Ende Mai begonnen, als Innenminister Thomas de Maizière sein eigenes neues Cybersicherheitskonzept vorgestellt hat. Vor knapp zwei Monaten sah es so aus, als würde die Federführung in Sachen Cybersicherheit beim Innenministerium liegen, doch mit dem Weißbuch der Bundeswehr und ihren Plänen für mehr Cybersicherheit in der Truppe hat Verteidigungsministerin von der Leyen die Lufthoheit über die Cybersicherheit wieder in ihr Ministerium zurückgeholt.
Cybersicherheit: Angriff als beste Verteidigung?
Als Bundesinnenminister Thomas de Maizière seinen Vier-Punkte-Plan für eine neue Cyber-Sicherheitspolitik auf der Klausurtagung des Bundeskabinetts Ende Mai auf Schloss Meseberg vorstellte, da läuteten im 70 Kilometer entfernten Bendlerblock zu Berlin sämtliche Alarmglocken. Dort nämlich ist der Leitungsstab des Verteidigungsministeriums untergebracht. Und dieser Leitungsstab ist im Augenblick intensiv mit dem Aufbau der neuen Abteilung "Cyber- und Informationsraum" beschäftigt. Diese Bundeswehrabteilung soll eine Führungsrolle in der neuen Cyber-Sicherheitspolitik einnehmen. Auf der Kabinettsklausur aber vereinnahmte Innenminister de Maizière die Cybersicherheitsstrategie im Rahmen von NATO und Europäischer Union für sich. Bei der Vorstellung des Weißbuchs 2016 der Bundeswehr hat Verteidigungsministerin Ursula von der Leyen in dieser Woche geschickt gekontert:
"Das klassische Denken ist das versäulte Denken innerhalb der Ressortgrenzen. Und das ganze Thema Cyberpolitik zeigt es klassisch, dass zum Beispiel die Trennung von äußerer und innerer Sicherheit im Cyberraum obsolet ist. Es gibt keine äußere oder innere Grenze im Cyberraum mehr."
Durch das Aufsprengen der Ressortgrenzen ist der Führungsanspruch des Innenministers in Frage gestellt. Die Cyber-Sicherheitsstrategie des Verteidigungsministeriums sieht hier vor, dass die bisherige Abteilung Computer- und Netzwerkooperationen in der Tomburg-Kaserne in Rheinbach bei Bonn zu einer zentralen Einsatztruppe der neuen Abteilung "Cyber- und Informationsraum" ausgebaut wird. Damit wären die Cybersoldaten der Bundeswehr die bevorzugte Einsatztruppe gegen Hackerangriffe. Der Sicherheitsforscher Professor Hartmut Pohl aus Sankt Augustin bei Bonn bewertet das so:
"Die Soldaten in der Tomburg-Kaserne müssen die gegnerischen Systeme untersuchen. Also erstens die Sicherheitslücken identifizieren, also schauen, welche sind denn schon bekannt beziehungsweise veröffentlicht, welche nicht, und die nicht veröffentlichten, die sie hoffentlich dann nur kennen, diese können sie ausnutzen zu Gegenangriffen. Das ist ein aufwändiger Prozess."
Für die Cybersicherheitsstrategie hat die Verteidigungsministerin dabei einen alten Grundsatz der preußischen Militärs übernommen: Angriff ist die beste Verteidigung. Aber ein digitaler Angriff muss extrem gut geplant werden. Denn er soll ja die gegnerischen digitalen Waffen ausschalten, bevor mit ihnen zugeschlagen werden kann. Und weil dieser Prozess so aufwändig ist, sieht ihn das Verteidigungsministerium am besten in der Bundeswehr aufgehoben. Denn die habe mit ihrer Abteilung "Cyber- und Informationsraum" die besten Ressourcen dafür. Die Bundeswehr müsse nicht nur die Handelswege sichern, sondern auch dafür sorgen, dass die Informationswege offen bleiben, fordert die Verteidigungsministerin. Und sie führt ein prominentes Beispiel an:
"Ich möchte aber den Blick noch einmal stärker auf die Informations- und Kommunikationswege lenken, als Beispiel Ihnen den Bundestagshack einfach nennen, der gezeigt hat, was es bedeutet, erstens dass Daten abgesogen werden, aber zweitens auch, dass der Bundestag tagelang offline war, also welche Bedeutung diese Wege oder diese freien Wege, dieser freie Zugang auch hat."
Sicherheitsforscher und Computerwissenschaftler sehen hier massive Probleme auf die Bundeswehr zukommen. Bevor sie eine Führungsrolle in Sachen Cybersicherheit übernehmen kann, muss sie zunächst einmal für ausreichende Sicherheit ihrer eigenen IT-Systeme und Netze sorgen.
Bundeswehr setzt auf Cyberangriff
Peter Welchering im Gespräch mit Manfred Kloiber
Kloiber: Genau da aber, wo es um die Sicherheit der Bundeswehr-eigenen Systeme geht, da hat es in der vergangenen Zeit immer wieder heftige Kritik gegeben. Jüngst vom Bundesrechnungshof, der sogar warnte, die Einsatzfähigkeit der Truppe könnte gefährdet sein. Was war da los, Peter Welchering.
Welchering: Der Bundesrechnungshof hat zwei IT-Systeme der Bundeswehr geprüft und dabei festgestellt, dass schon rein organisatorisch hier große Sicherheitslücken klaffen. Denn sowohl bei den Soldzahlungen als auch im Einkauf hatten die Systemadministratoren uneingeschränkte und nicht mehr kontrollierbare Berechtigungen.
Kloiber: Wie sahen die aus?
Welchering: Die konnten weitere Administratorenrechte ungeprüft vergeben, Zahlungsdaten sowie Protokolldaten löschen oder verändern und sogar sicherheitsrelevante Log-Dateien beliebig manipulieren. Aber das ist nicht das einzige Problem der Bundeswehr. Sie hat viel größere Probleme, Sicherheitslücken und Schwachstellen in den eigenen Systemen zu finden. Und das macht auch dem Leitungsstab in Berlin massives Kopfweh. Vom Panzer bis zur Fregatte müssen die Waffensysteme viel intensiver als bisher passiert auf Sicherheitslücken geprüft werden. Das kostet sehr viel Geld, behindert in zeitlicher Hinsicht den Aufbau der Abteilung Cyber- und Informationsraum und stellt vor allen Dingen die digitale Angriffsstrategie in Frage.
Kloiber: Wie sieht denn diese digitale Angriffsstrategie aus?
Welchering: Die ist in der Leitlinie Cyber-Verteidigung im Geschäftsbereich des Bundesverteidigungsministeriums festgelegt worden und sieht ausdrücklich Angriffe auf gegnerische Mobilfunknetze und Internet-Infrastruktur vor. Da haben Sicherheitsforscher auch bereits eingewandt, es sei doch schlauer, Sicherheitslücken in der eigenen kritischen Infrastruktur zu schließen, so dass ein Cyberangriff des Gegners ins Leere laufe, weil die eigentlich ausgenutzte Sicherheitslücke einfach nicht mehr da ist, als digitale Angriffswaffen zu entwickeln. Die Kritik lautet also im Wesentlichen: Die Cybersicherheitsstrategie des Verteidigungsministeriums und damit die Cybersicherheitspolitik der Bundesregierung geht von einem falschen Ansatz aus, nämlich Angriff, ohne die eigenen verwundbaren Systeme ausreichend geschützt zu haben. Und das ist natürlich eine massive Kritik.
Kloiber: Wie reagiert man im Ministerium auf diese Kritik?
Welchering: Nachdenklich. Zunächst war der Leitungsstab offensichtlich der Meinung, wenn solche organisatorischen Schwachstellen wie die Vergabe von Berechtigungen geschlossen werden, dann würde man ja den Sicherheitsanforderungen Genüge tun. Allmählich aber scheint eine andere Sicht der Dinge mehr Raum zu gewinnen, nämlich das defensive Schließen von Sicherheitslücken mit solchen Techniken wie Fuzzing und Methoden maschinellen Lernens. Da soll die Bundeswehr stärker auf die Kompetenz des NATO-Centers in Tallinn zurückgreifen. Zumindest berichten Mitarbeiter dort von verstärkten Anfragen. Und genau da bahnt sich der nächste Konflikt an: Die Informatiker des NATO-Centers in Tallinn fahren eine rein defensive Cyberstrategie, die Cyberstrategie des Verteidigungsministeriums sieht auch eine offensive Strategie vor. Da muss Verteidigungsministerin von der Leyen bei ihren Kollegen im Bündnis noch einen Strategiewechsel herbeiführen. Immerhin hat sie dafür aber die Unterstützung der Amerikaner und Franzosen.
Kloiber: Über die Cybersicherheitsstrategie der Bundeswehr berichtete Peter Welchering, danke!