Streitkräfte im Cyberkrieg: Was ist offensiv?

20150610_NATO-Secret_CAOC_Uedem

Wie alle Streitkräfte muss sich die Bundeswehr mit den zunehmenden Problemen der Digitalisierung auseinandersetzen: Waffensysteme werden immer mehr digitalisiert, vernetzt und damit verwundbarer. Zugleich stellt sich die Frage, welche Möglichkeiten, faktisch und rechtlich, Soldaten haben, beim Schutz der verletzlichen digitalen Infrastruktur des Heimatgebiets wie auf dem digitalen Gefechtsfeld vorzugehen: Wo schlägt Verteidigung in völkerrechtlich problematische Angriffe um?

Der Verteidigungsausschuss widmete diesen Fragen am (heutigen) Montag eine mehrstündige öffentliche Anhörung. Um es kurz zu machen: Viele Fragen blieben offen, von den Sachverständigen kamen an einigen Stellen Bedenken, was die nötigen, gegebenenfalls auch offensiven Fähigkeiten der Bundeswehr angeht.

Eine Übersicht über die Anhörung gibt der Kollege Christian Thiels von tagesschau.de: Der Krieg im Netz.

Aus meiner Sicht nur ein paar Punkte dazu:

•Marcel Dickow von der Stiftung Wissenschaft und Politik (SWP) in Berlin, einem Think tank, der die Bundesregierung berät, wies auf die Abgrenzung zwischen Schutz der eigenen Systeme, also defensivem Vorgehen, und möglichen Offensivfähigkeiten hin. Für eine gegebenenfalls gewünschte Angriffsfähigkeit müssten entsprechende maßgeschneiderte Computerprogramme, so genannter Schadcode, entwickelt werden – und auf die Ausentwicklung solchen Schadcodes sollte die Bundeswehr verzichten, um klar zu machen, dass es ihr nur um Verteidigung gehe. Mit anderen Worten: Verteidigung und Angriff, so Dickows Plädoyer, sind entgegen der landläufigen Meinung sehr wohl zu trennen.

• Ein grundsätzliches Problem ist nach den Worten des Rechtswissenschaftlers Michael Bothe die Einstufung der Reaktion auf einen Angriff auf IT-Netze als Selbstverteidigung. Denn Selbstverteidigung sei die Verteidigung gegen einen gegenwärtigen Angriff – gerade bei Angriffen auf Computersysteme könne es aber lange dauern, bis erkannt werde, was da überhaupt passiere, und bis der Verursacher festgestellt wurde. Schießen auf Verdacht komme aber nicht infrage,  nach längerer Frist wiederum könne nicht mehr von Selbstverteidigung die Rede sein. Die Entwicklung von Schutzmechanismen, so Bothes Fazit, sei deshalb wichtiger als die Frage, wann man einen Angreifer selbst angreife. So etwas wie eine vorbeugende Selbstverteidigung könne es ohnehin nicht geben.

• Die Abgrenzung von Defensiv- und Offensivhandeln sei selbst in konkreten Fällen schwierig, sagte Thomas Rid vom Londoner King’s College. Als Beispiel nannte er eine Operation des US-Geheimdienstes NSA gegen ein chinesisches Telekommunikationsunternehmen, bei dem Spionageversuche gegen US-Einrichtungen bis zu IP-Adressen der chinesischen Streitkräfte zurückverfolgt wurden. War das nun eine offensive oder eine defensive Operation der NSA?

• Der Kampf um die Spezialisten für diesen Bereich, schon zur Absicherung der eigenen Netze, wird für den Staat zunehmend schwieriger – weil er auf diesem Gebiet mit den Gehältern der Privatwirtschaft nicht mithalten kann. Die für Rüstung zuständige Staatssekretärin Katrin Suder stellte deshalb die Frage, ob die Bundeswehr nicht auch Karrierechancen ohne die bislang damit zwingend verbundene Führungsverantwortung eröffnen müsse. Also Spezialisten, die aufsteigen können, ohne dass sie auch mal eine Führungsfunktion innehaben. Ebenso wie die Planungen für eigene Ausbildung der Bundeswehr (vielleicht sogar des Staates) für seine eigenen Spezialisten scheinen solche Überlegungen noch ganz am Anfang zu stehen.

Mal sehen, was der Verteidigungsausschuss aus den gesammelten Statements und Antworten der Experten macht (leider waren Kenner aus der NATO oder aus dem Ausland nicht geladen).

Leider liegen nur einige der Statements bislang schriftlich vor, die sind hier zu finden.

Nachtrag: Praktische Ironie am Rande – während vor dem Verteidigungsausschuss ein Telekom-Vertreter über die Sicherheit von Netzen sprach, verweigerte nur 200 Meter entfernt, im Haus der Bundespressekonferenz, der öffentliche WLAN-Hotspot der Telekom den sicheren Mailversand über ein abgesichertes Protokoll: Eine sichere Verbindung mit dem SMTP-Server xxx.de kann nicht mit STARTTLS aufgebaut werden, da der Server diese Funktion nicht angibt. Nach dem Wechsel auf ein anderes WLAN funktionierte es mit derselben Konfiguration problemlos…

Nachtrag 2:

Der Bericht dazu auf der Webseite des Bundestages hier.

Ein Video-Mitschnitt des Statements von Thomas Rid (der entgegen manchen Berichten ein deutscher, kein britischer Wissenschaftler ist):


(Direktlink: https://youtu.be/zVRSdx1VN8Y)

(Und wer sehr viel Zeit hat – das Video der kompletten Anhörung vom Bundestag hier)

(Archivbild: Telefone im Combined Air Operations Center der NATO in Uedem/Niederrhein)