Bundeswehr plädiert für digitalen Verteidigungsfall zur besseren Cyber-Abwehr
Der für die Cyberabwehr der Bundeswehr zuständige General hat sich dafür ausgesprochen, die verschiedenen Behörden zur Abwehr von Cyber-Angriffen in Deutschland besser miteinander zu vernetzen und eine schnelle gemeinsame Reaktion von Sicherheitsbehörden und Streitkräften zu ermöglichen. Bei einem großangelegten Angriff dieser Art komme es auf Minuten an, erläuterte Generalleutnant Ludwig Leinhos, Inspekteur des Bundeswehr-Kommandos Cyber- und Informationsraum (CIR).
Leinhos hatte dafür in der Vergangenheit wiederholt den Begriff digitaler Verteidigungsfall gebraucht – auch in einem Gespräch mit der Nachrichtenagentur AFP. Deren Meldung vom vergangenen Samstag (unter anderem hier veröffentlicht) war am (gestrigen) Montag erst richtig wahrgenommen worden; der Begriff des Verteidigungsfalles hatte dabei zu Irritationen geführt, die das Verteidigungsministerium zunächst nicht aufklären konnte: Hatte sich der Generalleutnant für einen militärischen Einsatz ohne die nötige Zustimmung des Parlaments ausgesprochen?
„Wir brauchen etwas, welches ich in der Diskussion gerne als ‚digitalen Verteidigungsfall‘ bezeichne, unterhalb der Schwelle eines klassischen Verteidigungsfalls“, sagte Leinhos der Nachrichtenagentur AFP.
Bei Angriffen unterhalb der Schwelle kriegerischer Handlungen, verdeckten Attacken oder hybriden Szenarien wie beim Angriff auf die ukrainische Halbinsel Krim im Jahr 2014 ist offiziell meist unklar, wer der Urheber ist. Für die erfolgreiche Verteidigung gegen solche Angriffe und insbesondere Hacker-Attacken gibt es bislang keine ausreichende rechtliche Grundlage. Ohne das Trennungsgebot von Bundeswehr, Polizei und Geheimdiensten in Frage zu stellen, bedürfe es einer Überprüfung und möglicherweise Anpassung der rechtlichen Grundlagen, sagte Leinhos.
heißt es in der Agenturmeldung.
Den etwas missverständlichen Begriff digitaler Verteidigungsfall bemühte sich das Kommando CIR auf Nachfrage aufzuklären: Es sei nicht der Verteidigungsfall bei einem bewaffneten Angriff auf Deutschland gemeint, der nach einem entsprechenden Parlamentsbeschluss zum Beispiel die Anwendung von Notstandsgesetzen erlaubt – auch wenn ein solcher Fall ebenso bei einem Cyber-Angriff auf deutsche Infrastruktur festgestellt werden könnte. Diese Feststellung des Verteidigungsfalls bleibe eine politische Angelegenheit des Bundestages.
Worauf sich aber alle staatlichen Strukturen einschließlich der Bundeswehr einstellen müssten, sei die Abwehr solcher Angriffe, auch wenn die Schwelle des bewaffneten Angriffs nicht erreicht sei:
Um in diesem Fall die Schäden zu minimieren und die volle Funktionsfähigkeit des Staates schnellstmöglich wiederherzustellen, ist ein verzugsloses und effektives Handeln erforderlich. Hier kommt es buchstäblich auf Minuten an.
Die derzeitigen Prozesse des Bundes und der Länder sind darauf nicht ausgelegt. Allein die Unkenntnis des Angreifers und die damit verbundene Frage der Zuständigkeit, das bisher fehlende gesamtstaatliche Cyber-Lagebild und die Verfahren zur Anforderung von Amtshilfe oder die fehlende direkte Zusammenarbeit mit beispielsweise den Internet Service Providern ermöglichen aktuell keine optimale Reaktion in solch einem Szenario.
Ziel sollte also sein, den Staat für solch eine Situation bestmöglich aufzustellen. Hierfür müssten Verfahren und Aufgaben staatlicher Stellen angepasst werden. Gegebenenfalls wären auch Gesetzesänderungen nötig. In die Zuständigkeiten von Behörden und Ressorts soll nicht eingegriffen werden.
Damit knüpft Leinhos nicht an Überlegungen von Bundesinnenminister Horst Seehofer zum Gegen-Hacken an, sondern an den Einsatz der Bundeswehr zur Unterstützung anderer Behörden bei besonders schweren Unglücksfällen (und Terrorangriffen), wie es das Bundesverfassungsgericht auch einschließlich militärischer Mittel ausdrücklich zugelassen hatte.
Die Koordination der staatlichen Reaktion, zuvor aber auch ein einheitliches Lagebild ist einer der Punkte, die Leinhos in diesem Zusammenhang anmahnt. Denn daran scheint es im Geflecht von Bundesamt für Sicherheit in der Informationstechnik, Landes- und Bundespolizei, Nachrichtendiensten und Streitkräften zu mangeln.
Mit anderen Worten: Es geht um einen – rechtlichen zulässigen – Einsatz der Bundeswehr im Inland – und da vor allem um eine schnellere Reaktionsfähigkeit. Anders ausgedrückt: Auf die bürokratischen Verfahren zur Beantragung, Entscheidung und Gewährung von Amtshilfe der Streitkräfte will sich der Inspekteur bei einem solchen Angriff nicht einlassen.
Nachtrag 13. Juni: Ein aktuelles Interview von T-Online mit Verteidigungsministerin Ursula von der Leyen zum Thema Digitalisierung – nicht nur im militärischen Bereich – hier (in den Kommentaren schon erwähnt, aber zum besseren Wiederfinden):
„Ich bin überzeugt, dass es ein Digitalministerium geben muss“
(Symbolbild: Soldaten am Computer im Gefechtsstand bei der Übung Brave Departure im Juni 2019 – und ja, der Gefechtsstandbetrieb hat mit Cyberabwehr direkt nichts zu tun)
Zwei Dinge sind hier interessant.
Erstens möchte Leinhos hier offenbar, dass die BW eigenmächtig und ohne große Kontrolle den „digitalen Verteidigungsfall“ ausrufen kann. Zusammen mit den Kompetenzen, die über das normale Maß der IT-Sicherheit (Cyberabwehr) hinaus gehen, halte ich das für äußerst problematisch. Für den Schutz der IT-Infrastruktur und dessen Koordinierung braucht man, zweitens, nämlich keine militärischen Mittel und Kompetenzen. Das ist einerseits Kompetenz-Gerangel und andererseits die Erlaubnis zum Angriff auf fremde IT-Systeme und Zugriff auf die inländische Infrastruktur, zB auch um Teile davon abzuschalten.
Das halte ich für brandgefährlich und außerdem verfassungswidrig. Wer die IT-Sicherheit unserer Systeme in die militärische Verantwortung legt, der macht sie außerdem damit zu militärischen Zielen eines Gegners.
Hm, so habe ich das nicht verstanden. Eher, einfach gesagt: Wir haben eine zentrale Lage/Melde/Entscheidungsstelle, und wenn die entscheiden, da muss sofort was passieren, kann notfalls auch ein Bundeswehr-CERT eingreifen. Ohne vorher den Prozess der üblichen Bewilligung von Amtshilfe zu durchlaufen.
@Mithos Das wurde so nicht gesagt und ist, gelinde gesagt, eine Unterstellung.
Was mir auf den ‚Denken geht‘, ist diese konstante Irritationsrhetorik, die mal wieder zeigt, dass sich niemand in politischer Verantwortung ernsthaft mit der Thematik beschäftigt hat. Wie so oft.
@WT: das sollte heissen: auf den Senkel geht :-/
Ich denke ebenfalls, dass es hier eher um eine koordinierte und im Vorfeld definierte Antwort auf einen Cyberangriff geht. Und im physischen Raum gibt das Grundgesetz unter Sektion Xa. (Art. 115a-f) eben einen Handlungsrahmen vor, der angesichts der Kurzfristigkeit bei einer Cyberattacke (in natürlich abgewandelter Form) noch viel stärker geboten wäre.
Wie sieht es denn heute aus?
Ein Unternehmen stellt eine IT-Unregelmäßigkeit fest (wir wissen ja noch nicht, dass es ein Angriff ist), meldet dies der Polizei und innerhalb der Frist dem BSI. Erst dort wird festgestellt, dass es zeitgleich mehrere derartige Unregelmäßigkeiten gibt und wohl ein koordinierter Angriff stattfand. Und dann fängt das Kompetenzgerangel erst an. Wer führt die Ermittlungen und die Abwehr? Das BSI? Das BKA? Irgendein LKA? Das BfV? Die Polizeidienststelle, die die erste Anzeige aufnahm? Bis diese Frage geklärt ist, ist der Angriff längst vorbei und der Schaden angerichtet. So etwas muss vor dem Angriff klar sein, damit koordinierte Gegenmaßnahmen umgehend unter Federführung einer geeigneten Dienststelle eingeleitet werden können.
Der General und Innenminister Seehofer haben vollkommen recht.
Wenn beispielsweise ein Cyber-Angriff auf kritische Infrastruktur erfolgt dann muss sofort und vernetzt reagiert werden und zwar ohne dabei das Formblatt A38 in dreifacher Ausfertigung an irgendein Kommando zu faxen.
Aber ich habe hier erhebliche völkerrechtliche und verfassungsrechtliche Bedenken. Das GG ist eindeutig formuliert: Der Bund stellt Streitkräfte zur Verteidigung auf.
Da man im Cyberraum die „Landesgrenze“ mit einem Klick „überschreitet“ und auf einem anderen Server landet, welcher in einem Drittland steht ist man ganz schnell in einer rechtlichen Grauzone.
Wie weit soll hierbei der Verteidigungsbegriff gefasst werden? Ledigliche „Abwehr“ oder Aufspüren des Verursachers samt „Bekämpfung“ des Angreifers?
Die diffuse Räumlichkeit und die Komplexität des Cyberraums erfordern effektive Maßnahmen, jedoch muss man dabei auch berücksichtigen, dass unter Umständen das Grundgesetz geändert werden muss.
Hilfreich und zielführend wäre wenn es hier einen (!) Federführer gäbe – nach meinem Gusto gibt es hier zu viele Akteure, die noch unkoordiniert ohne konkrete Zuweisung von Zuständigkeiten und somit Verantwortung agieren.
@Mithos
Völlig falsch was Sie hier von sich geben.
Hier geht es, wie bereits durch andere Nutzer erkannt, um ein koordiniertes Vorgehen
schon heute.
Denn die Schwelle Verteidigungsfall ist berechtigt sehr hoch aufgehängt.
Jedoch finden bereits heute sehr oft tägliche Cyber Attacks gegen jegliche IT Infrastruktur statt,
auch in DEU, auch wenn Viele dies nicht wahrhaben wollen.
Ziel muss es sein, sich nicht im Ressortgerangel (mein Sandförmchen, meine Kompetenz)
zu verlieren, sondern Ressort abgestimmt dagegen vorzugehen.
Und die Bundeswehr darf das halt HEUTE erst wenn der Vteidigungsfall oder ein Mandat
beschlossen wurde.
Ich bin froh, dass hier auch mal über dieses für Deutschland sehr relevante Thema diskutiert wird. Ich verstehe die Einlassungen nicht so, dass hier das Militär zusätzliche Kompetenzen akquirieren möchte. Es geht vielmehr darum – angesichts zunehmender hybrider Aktivitäten – die Handlungsfähigkeit des Staates unter Nutzung ALLER verfügbarer Mittel sicherzustellen. Und hier ist insbesondere der Faktor Zeit von besonderer Relevanz. Wer nicht verstanden hat, dass Zeit in Zeiten von Cyber andere Prozesse erfordert, der sollte sich nochmal die Lageentwicklung bei den Kryptotrojanern der vergangenen Ereignisse anschauen.
Ich bin jedenfalls, ganz persönlich, von der Handlungsfähigkeit Deutschlands bei einem gezielten hybriden Angriffs eines symetrischen Gegners, nicht überzeugt.
Statt den digitalen Verteidigungsfall und eine Grundgesetzänderung zu fordern, könnte man ja auch die SÜ BfV zur SÜ MAD kompatibel machen, um attraktiver Spezialisten anzuwerben. Aber Generale und Innenminister wissen wohl besser Bescheid.
@Gridphoenix
Ich stecke zwar nicht so sehr im Thema, aber mir scheint, daß die Bw sich hier „richtig dick macht“ – auch z.B. mit dem „Cyber-Campus“ in München.
Ob das mit anderen Ressorts so abgestimmt ist? Oder macht die Bw einfach ihr Ding? ‚kostet ja auch einiges. Es fehlt ja wohl auch noch an der klaren Aufgabenzuweisung, jeder wurstelt da vor sich hin; Koordination: Fehlanzeige. Dabei sollten die knappen Ressourcen gebündelt werden.
Die Bw kommt für mich dann ins Spiel wenn es um militärischer Systeme (eigene / fremde) geht. Für die Abwehr im zivilen Bereich ist das BKA (eine Straftat ist es ja immer) und ggf. der BND zuständig, ggf. in Zusammenarbeit mit dem BSI.
@Thomas Melber 21:48 Uhr
„Die Bw kommt für mich dann ins Spiel wenn es um militärischer Systeme (eigene / fremde) geht. Für die Abwehr im zivilen Bereich ist das BKA (eine Straftat ist es ja immer) und ggf. der BND zuständig, ggf. in Zusammenarbeit mit dem BSI.“
Hier ist genau das bezeichnete Szenario abgebildet um welches sich die Diskussion dreht. Welcher dieser 4 Akteure darf denn wann agieren? Wenn das örtliche Stromnetz, durch eine „Cyber-Attacke“, offline geht und somit das EinsFüKdo, KdoHerr oder MarKdo führungsunfähig ist, ist es dann ein ziviles Problem der BSI oder des BKA? Da es aber Systeme der BW betrifft, die dadurch sekundär geschädigt werden, müsste das Cyberzentrum der BW involviert werden. Der Zeitverlust, der dabei durch Kompetenzgerangel entstehen könnte, ist nicht hinzunehmen. Wie so etwas endet, wenn sich Behörden nicht einigen können, sah man sehr gut bei dem Vorfall „Hansa Stavanger“.
Ersetzen Sie Stromnetz durch beliebige Infrastruktur die, bei einer „Cyber-Attacke“, sowohl zivil als auch militärische Einrichtungen entscheidend stört. Somit kann ich eine Bündelung bzw. bessere Vernetzung, wie sie General Leihnos anspricht nur befürworten.
@ Thomas Melber
Im Grundgesetz steht nicht “ Der Bund stellt Streitkräfte zur Abwehr gegnerischer Panzerverbände auf.“ Sondern “ Der Bund stellt Streitkräfte zur Verteidigung auf.“ Das ist viel allgemeiner und weitgefasster.
Verstanden wird unter Verteidigung gemeinhin die „Abwehr eines militärischen Angriffs von außen“. Der externe Angreifer muss dabei kein Staat sein. Im Bereich Cyber ist diese Kriterium sowieso schwierig zu identifizieren, denn auch Staaten nutzen für ihre Angriffen private Akteure oder halbstaatliche Gruppen.
Ob ein Cyberangriff eine militärische Natur hat, kommt auf den Einzelfall an und ist noch schwieriger an festen Parametern abprüfbar. Negativ lässt es sich über Dumme-Jungen-Streiche oder simple Wirtschaftskriminalität abgrenzen. Aber danach wird es schwierig. Fakt ist, dass viele Staaten der Welt mittlerweile ihre eigenen aktiven und passiven Cyberfähigkeiten auch unter militärischen Gesichtspunkten sehen. Und bisweilen mutmaßlich auch genau so, aber eben unterschwellig, einsetzen.
In Summe ist es doch egal, ob ein ausländischer Akteur deutsche Infrastruktur mit Mittelstreckenraketen oder digital angreift. Intention und Schäden sind vergleichbar. Die deutsche Abwehrfähigkeit muss es daher auch sein.
Dazu kommt, dass es hier auch nicht nur um originäre eigene Kompetenzen der Streitkräfte geht. Sondern eben auch um Amtshilfe, beispielsweise durch ein Lagebild. Da liegt die rechtliche Schwelle dann sehr niedrig.
Wie hier schon von Thomas Melber geschrieben versucht sich die BW hier dick zu machen. Man kann es auch nicht ganz verdenken, da dass ja andere Organisationen und übergeordnete Ressorts auch machen. Mit dem „digitalen Verteidigungsfall“ haben sie sich keinen gefallen getan. Da werden sie genau die Reaktionen ernten die man mitunter hier in den Kommentaren schon sehen kann und die wahrscheinlich andern Orts verständlicherweise noch stärker ausfallen werden. Es hat schon seine Gründe warum es da bis jetzt keine Rechtsgrundlage gegeben hat und auch warum es die nicht geben sollte. Ich sehe auch gar nicht was für einen Mehrwert hier die BW mitbringen könnte. Das BSI macht so was schon eine Weile und sollte es auch weiterhin tun (Dabei muss das BSI auch endlich unabhängig werden und aus dem Innenministerium ausgegliedert werden um wirklich effektiv für Sicherheit sorgen zu können). Das BSI hat da noch am ehesten die Kompetenzen und falls man sich da was hinzuholen muss sehe ich da allenfalls noch den BND.
Aber ich finde man sieht an diesem statement – und generell an der damit einhergehenden Entwicklung – das Sprache doch konstitutiv ist. Jetzt wo jeder und sein Hund vom Cyber labert wird der Cyber dann halt doch als etwas separates, eigenes wahrgenommen. Im Falle der BW dann halt nach Land, Wasser und Luft noch als vierte Dimension. Der Cyber ist halt aber nur Informationssysteme wie wir sie schon lange hatten. Vernetzung hat halt zugenommen, ist aber trotzdem das selbe. Da wickelt man halt die tolle und aufregende Sprach-Verpackung drumrum und fertig hat man die neuste Modetorheit.
Ich würde mich den meisten Kommentatoren hier anschließen. Um „Verteidigung“ geht es schon deshalb, weil viele andere Staaten militärisch orientierte Cyberkapazitäten aufgebaut und uns damit die Entscheidung quasi abgenommen haben. Außerem wird in Zukunft auch jeder „klassische“ militärische Angriff mit Cyberaktivitäten vorbereitet, begonnen und flankiert werden. Und gegen Piraten und Terroristen, die in Failed States an die Stelle staatlicher Akteure getreten sind, gehen wir ja auch militärisch vor.
Interessant finde ich, dass der General (wie so oft) im Prinzip ein zurückhaltenderes Vorgehen anmahnt, als der zivile Innenminister, der gleich zurück-angreifen will.
Wo da jetzt Gesetzes- oder womöglich sogar Verfassungsänderungen „nötig“ werden, würde ich mal abwarten. ich fände es schon sehr wünschenswert, wenn wir unsere institutionelle Ordnung nicht gleich zum Fenster rauswerfen, weil andere Staatenlenker denken, CyberWarfare, genau wie der „War on Terror“, ist eine super Gelegenheit unbeschränkte Exekutivmacht in ihren Händen zu konzentrieren.
‚hatte heute in den Medien nur kurz aufgeschnappt, daß Frau von der Leyen die Schaffung eines „Digital-Ministeriums“ zur Bündelung der Kräfte vorschlägt.
Hier eine Quelle:
https://www.zdf.de/nachrichten/heute/ursula-von-der-leyen–muss-digitalministerium-geben-100.html
@Thomas Melber & all
Das T-Online-Interview mit von der Leyen kann hier ja verlinkt werden:
Ursula von der Leyen: „Ich bin überzeugt, dass es ein Digitalministerium geben muss“
Allerdings: Bitte jetzt hier nicht die gesamtgesellschaftliche Digital-Debatte – das sprengt bei weitem den Rahmen von Augen geraeaus!. Sonst diskutieren wir hier, warum die Bundesregierung Milliardensummen für 5G-Lizenzen kassiert und gleichzeitig den Ausbau an jeder Milchkanne für unnötig erklärt und zudem die Sicherheit des Netzes opfern und für potenzielle – auch militärische – Gegner öffnen will, nur damit es die Polizei einfacher hat… Aber das würde hier schlicht zu weit führen.
Was erforderlich ist, ist Führung. Den politischen Bekundungen zum trotz, bin ich unsicher, wer im Falle eines Cyberangriffs in Deutschland führt. d.h. entscheidet und umsetzt. Neben Koordination, muß letztlich -und das im Zweifelsfall unter hohem Zeitdruck- entschieden werden, wer, was, wie und wo tut. Das erfordert eine abgestimmte Kommunikation, wie vom General Leinhos gefordert. Der militärische Entscheidungs- und Befehlsprozess hat sich für eine solche extreme Gefahr grundsätzlich bewährt.
Neben dem nationalen Entscheidungsstrang, ist auch international für die entsprechende Vernetzung zu sorgen.
Da es sich um eine Überlebensfrage für Deutschland handelt, ist die Bundesregierung als Exekutive in der Pflicht, für Klarheit zu sorgen und das Thema nicht nur medial zu behandeln, sondern für die Sicherheit ihrer Bürger einschl. staatlicher und privater Einrichtungen gegen die sich ein Angriff richtet, zu sorgen. Im Ernstfall wird ein Parlamentsbeschluss möglicherweise zu spät kommen. Auch für einen solchen Fall extremen Zeitdrucks muß ein Entscheidungsprozess vorgesehen und geübt werden.
@ tt.kreischwurst sagt:
Cyber bzw. IT-Systeme ist dann doch etwas mehr als nur „Informationsraum“. Das Netz besteht aus mehr als dem www mit seinen Nachrichten- und Wetterseiten. Die von ihnen erwähnte Vernetzung führt nämlich dazu, dass heutzutage fast das gesamte öffentliche und wirtschaftliche Leben per Datenleitung angreifbar ist. Selbst in Intranet oder gar physikalisch vollkommen gekapselte Netzwerke kann man eindringen und agieren.
Früher brauchte man Truppen, um das öffentliche Leben des Gegners zu stören und damit den fremden Staat oder das Vertrauen in diesen zu destablisieren. Diese Truppen mussten auf dem Land-, Luft- oder Seeweg infiltrieren und mit physikalischer Gewalt Infrastruktur angreifen. Heutzutage knipsen ITler vom heimischen Großraumbüro aus abwechselnd Geldautomaten, Finanzamtssysteme, Ampeln, Brauereien oder Stromsysteme fremder Länder aus. (Dabei ist egal, ob die Möglichkeit nur theoretisch besteht, ob es aktiv zielgerichtet angewendet wird oder ob man hin und wieder Nadelstiche als show-of-force setzt.)
Gegen diese moderne Art des feindlichen Verhaltens nützt die klassische Definition von kriegerischer Handlung und die Beschränkung auf Land, Luft, See nichts. Und das BSI oder gar die Polizeien sind in der aktuellen (nicht klar vorhandenen) Kompetenzzuweisung auch nicht der Weisheit letzter Schluss.
Auch, wenn die Aussage von Generalleutnant Leinhos auf den ersten Blick etwas dramatisch klingt und da aktuell auch noch (zu Recht) verfassungsmäßige Hürden im Wege liegen, der Mann hat Recht und einen klaren Blick.
Selbst wenn wir den „digitalen V-Fall“ mal außen vor lassen: Die Hackerangriffe nehmen weltweit zu und sind immer ausgefuchster. Da ist dann die Grenze zwischen ziviler, privater und militärischer Bedrohung fließend.
Und wenn’s dann einschlägt, ist die Messe im Zweifel gelesen, bis alle Stellen das Amtshilfeersuchen abgezeichnet haben.
Wer mal die aktuellen Hackerangriff bis „Zweite Bundesliga“ live sehen will, der schaue sich mal diese Site der Telekom an: sicherheitstacho.eu
@christian bühring
Analog zu den „renegades“ im Luftraum – da sind die Verfahren ja ebenfalls eindeutig festgelegt. Si vis pacem para bellum gilt auch hier, denn Schadensbegrenzung ist Pflicht.
@Tom:
Cyber ist eben nicht mehr als IT Systeme und Informationsraum. Was sie aufführen konnte man auch schon in den 90ern machen. Aber erst in den letzten 10 Jahren sabbeln alle was vom Cyber und die Herrschaften in Flecktarn sind sich natürlich nicht zu Schade auf den Modezug aufzuspringen.
Es ist keine neue Dimension. Es ist das was es schon immer war. Hat sich durch den erhöhten Grad an Vernetztheit die Bedeutung dafür erhöht – absolut. Aber es ist eben immer noch nichts ‚an sich‘ neues. Die ganzen Vorgänge die sie beschreiben gibt es auch schon lange und gab es schon lange vor es Computer und Netzwerke von Computern gab. Nennt sich Sabotage. Und Sabotage kommt natürlich auch schon seit Jahr und Tag in militärischen Planungen vor. Der Unterschied ist das man die Sabotage, bzw. das Ziel der Sabotage nicht zu einer neuen Kriegsdimension erhöht. So als ob man 1910 von Tracksecurity (analog zu Cybersecurity) gesprochen hätte. Was für ein Unsinn.
Wenn ich sage Kompetenzen sind noch am ehesten beim BSI zu verorten meine ich das im doppelten Sinne – Befugnisse aber auch Fähigkeiten. Gerade letzteres hat das BSI noch viel eher als die BW. Weiterhin beginne ich meine Argumentation von der tatsächlichen Sicherheit die generiert wird. Und zwar für die Bunderbürger/innen dieses Landes. So Unfug wie Hackback und digitaler Verteidigungsfall implizieren dass man eh schon offensiv tätig wird lange bevor irgend etwas passiert. In anderen Netzwerken rumgeistern heißt immer Schwachstellen ausnutzen. Schwachstellen kann man nicht auf eine Nutzergruppe begrenzen. Entweder es gibt sie und die sind offen und dann für alle Nutzer des Systems/der Komponenten (im Falle von Hardware) oder es wird generell geschlossen und dann für alle. Deswegen bitte ein unabhängiges BSI das die Netze und Systeme für alle sicher macht – ob ‚einfacher‘ Bürger, Bundesminister, Feldwebel etc. etc.
Anders bekommt man keine Sicherheit sondern kreiert nur Unsicherheit.
Ich habe hier bisher nichts gelesen, was die von mir im ersten Kommentar geäußerten Befürchtungen entkräftet. Erstens sehe ich immer noch nicht, weshalb man für den „digitalen V-Fall“ militärische Methoden braucht und weshalb das nicht mit zivilen Mitteln ginge. Das Argument der klaren Hierarchie, Zuständigkeiten und eine Befehlskette wird nämlich meiner Ansicht hauptsächlich dazu führen, dass viele zivile IT-Spezialisten sich lieber von der Mitarbeit fern halten. Diese Leute sind es gewohnt, im hohen Grade eigenständig und mit Verantwortung zu arbeiten.
Zweitens wird nicht klar gesagt, was man sich unter Verteidigung im digitalen Verteidigungsfall vorstellen soll. Ich befürchte ja immer noch die Vorstellung, dass man da in irgend einer Art das „Feuer erwidern“ möchte. In der IT geht das aber überhaupt nicht spontan. Man muss bereits vorher Kenntnis über eine Schwachstelle in dem System des Angreifenden haben. Damit sind dann aber alle Nutzer dieses Systems verwundbar, auch die im eigenen Land. Man wirkt also bei der Erhaltung einer Sicherheitslücke mit, anstatt sie dem Hersteller zu melden.
Als Punkt 2b muss betont werden, dass die Zuordnung eines Angriffs auf IT-Systeme eigentlich nie eindeutig möglich ist, schon gar nicht im Moment des Angriffs. Man wird erst einmal wenn überhaupt nur gekaperte Server unter Kontrolle des Angreifers sehen. Falls man sich entschließen sollte, diese Server mittels Hack-Back abzuschalten, dann trifft man damit wahrscheinlich selbst nur die kompromittierte Infrastruktur eines Verbündeten.
Wenn man mal sehen will, wie gut zivile IT im Falle eines gezielten Angriffs reagieren kann, dann sollte man sich den kürzlichen Emotet-Angriff auf die Systeme des Heise-Verlags ansehen.
Mir scheint es nicht in dem Beitrag vordergründig um die Hoheitsgewalt über die Kräfte und Mittel zu gehen, sondern vielmehr darum, einen gemeinsamen Sprachraum zu schaffen. Aus welchem sich dann Effekte ableiten könnten. Leider wird häufig die Wahrheit nicht in Betracht gezogen, allein aus dem Unwill dem gegenüber heraus, der diese ausspricht. Im vorliegenden Gebiet ist unser technisches Knowhow zwar durchaus konkurrenzfähig, aber unsere gesellschaftliche Wahrnehmung und die Akzeptanz und Einsicht in die möglichen Erfordernisse, hemmen bzw. verhindern sogar eine erforderliche Bündelung und Ausrichtung der Fähigkeiten der beteiligten Akteure. Solange das so bleibt, werden wir uns weder erfolgreich verteidigen noch irgendwelche offensiven Aktionen gegen wirkliche Gegner erfolgreich führen können.
Aus meiner persönlichen Erfahrung heraus, würde ich der Bundeswehr nicht die Führung überlassen wollen. Nicht aufgrund von Vorbehalten gegenüber dem Einzelnen, es gibt viele gute Leute in der Truppe. Vielmehr sehe ich kein vorzeigbares Beispiel, das dazu Anlass geben würde anzunehmen, dass die Führung auch nur im Ansatz den Herausforderungen einer solchen Aufgabe mit ihren Strukturen erfassen kann, geschweige denn ihnen begegnen. Vielmehr dünnt sie leistungfähige Strukturen aus und zerstört Fähigkeiten aus Unkenntnis bestenfalls, oder Unfähigkeit schlimmstenfalls.
Es ist unzweckmässig über Worthülsen zu streiten, ob die Bedrohung nun alt oder neu ist. Das ist doch nicht wichtig. Wer darüber nachdenkt hat den Kern nicht erkannt. Die Bedrohung an sich. Das mögliche Potential Schaden anzurichten ist enorm, und wir sollten eine Strategie haben unsere Systeme, und damit uns, bestmöglich zu schützen. Damit wir Manipulationsversuche erkennen, Akteure abwehren und identifizieren können. Und in der Vergangenheit hat sich das glaubhaftmachen einer Bereitschaft und Fähigkleit zu zielgerichteten Gegenmaßnahmen als ein probates Mittel der Abschreckung nicht als nachteilig erwiesen.
@Fehlbesetzung
Nun frage ich mich jedoch, ob wir hinsichtlich Waffensystemen neu wie alt, verschlüsselter Kommunikation, Netzwerk- und Endpunkt-Sicherheit (mehr als nur ein Audit pro Jahr), Update- und Konfigurationsmanagement, Personal (qualitativ wie quantitativ) derart gut aufgestellt sind, dass wir den digitalen Verteidigungsfall ausrufen könnten oder zumindest Forderungen danach in die Öffentlichkeit tragen könnten.
Wie man die Sau, die durchs Dorf getrieben wird, nennt, ist eigentlich egal. Digitaler Verteidigungsfall, nun warum nicht, es erschließt sich zumindest jedem, was damit gemeint ist.
Was ich bisher noch bei keinem der Kommentare gelesen habe, ist, dass (Cyber-)Defence ja grundsätzlich sehr wichtig ist, das BSI hier mit Sicherheit eine der Kompetenzstellen ist. Aber wie bei jeder gerichteten Aggression auch, ist ja stillhalten und versuchen abzuwehren nur ein Part. Der aktive Part, also ComputerNetworkOperations (CNO) muss aber genauso betrachtet werden. Im Cyber-Raum ist ein Angriff auf die Stabilität der BRD sehr wohl möglich und stellt definitiv ein Angriff dar. Der afrikanische Diktator (willkürlich gewählt) erledigt die Angriffe ja aber nicht von seinem Home-Pc aus, sondern über verschachtelte Server-Konstellationen von irgendwoher. Diese Server gilt es dann gezielt auszuschalten. Das ist Angriff (im klassischen Sinne), ist aber die einzig logische Folge. Und Einsatz von Kräften, Mitteln und Verfahren außerhalb der Landesgrenzen ist nun mal ausschließlich den Streitkräften zugeordnet.
Streitkräfte sind zur Verteidigung aufgestellt, aber legal die einzige Kraft, (letale) Gewalt auf Gegner (über die Landesgrenzen) zu projizieren.
Dies darf man in der gesamten Diskussion nicht außen vor lassen, auch wenn es politisch heikel ist, wie sonst nix. Aber nur zusehen, erkennen von wo was kommt (wer ist manchmal gar nicht auflösbar) reicht eben nicht, sondern der Aggressor ( bei Cyber eben diejenigen Quellen/Server/Netze, die die Angriffe ausführen) ist zu eliminieren!
@Alex 2.0
Darin sehe ich ebenfalls ein Problem, neben noch einigen Anderen. Bei Schwierigkeiten hat es sich bewährt, den ersten Schritt vor dem Zweiten zu tun und dann die Folgenden im Anschluss der gebotenen Reihenfolge nach. Selbstverständlich mag ein Truppenführer im Sinne seiner Truppen argumentieren. Das mag verschiedenen Leuten nicht gefallen. General Leinhos wird diese Aufgabe ebenfalls bei seinen Truppen sehen wollen und hat hierbei sicherlich auch keine schlechten Argumente. Die Fähigkeit sehe ich dennoch (noch) nicht.
Genauso das BSI, eine gute und kompetente Stelle. Allerdings reicht doch Kompetenz allein nicht aus, man braucht dazu noch die Mittel und die Möglichkeiten. Welche das BSI seinem Auftrag nach erst mal nicht hat. Soll das BSI diese bekommen, dann muss man ihnen auch noch die rechtliche Grundlage schaffen. Und wie ist das dann mit Fähigkeiten bei der Bundeswehr, die es ja in jedem Fall trotzdem braucht?
Die rechtliche Frage löst sich nicht so leicht auf und bedarf einer grundlegenden Ordnung und auch klaren Begrifflichkeiten und Befugnissen. Ein „digitaler Verteidigungsfall“ ist vielleicht ein solcher Versuch an diesem Begriff eine Unterscheidung herbeizuführen. Wenn es einen Solchen gibt, dann gibt es ja auch etwas anderes, was eben kein Solcher ist. Letztlich brauchen wir doch für beide (alle) Fälle einen Zuständigkeit.
Ohne das jetzt bis zum Ende zu denken ist es vielleicht einer Rettungskette vergleichbar. Ersthelfer, Notfallversorgung, Rettungsweg, Versorgung in spezialisierten Einrichtungen etc …
Für mich scheint das Erfolgversprechendste zu sein, insgesamt dieses Themengebiet auf eine solide Basis zu stellen und dabei erst einmal keine Denkverbote zu verordnen. Gleichzeitig befrage man zu Lösungsoptionen diejenigen, die eine Sachkompetenz in diesem Thema darstellen und lasse sich auch technische Aspekte erläutern. Letztlich bleibt doch jeder Teilaspekt unentbehrlich. Weder kann ich verhindern oder vergelten, wenn ich gar nicht erkenne. Noch nutzt mir erkennen, wenn ich nicht aufhalten oder bekämpfen kann.
Haben eigentlich alle Staaten das Recht auf „aktive digitale Verteiidigung“, auch unter Einsatz militärischer Mittel, oder ist das NATO-exklusiv?
Ich frage mal vorsorglich für den Fall, daß Rußland sich in den nächsten Tagen gegen die US-Cyber-Angriffe auf sein Stromnetz zu verteidigen beginnt:
U.S. Escalates Online Attacks on Russia’s Power Grid
Vielleicht gibt es ja auch eine begrenzte russische Verteidigungsmaßnahme mit ein paar Sprengköpfen auf NSA-Facilities in den Staaten.
Müßten wir dann eigentlich Artikel 5 Folge leisten oder lehnt die Bundesregierung dann das amerikanische Ersuchen ab?
Fragen über Fragen.
Eines steht fest, egal ob das Internet für Politiker „Neuland“ ist oder nicht: Entscheidungen haben Konsequenzen.
[Habe den Link mal etwas lesbarer gemacht. T.W.]
@Mitleser
Danke für den Hinweis – tatsächlich erstaunlich, daß hierüber berichtet wird. Die reaktion bleibt natürlich nicht aus:
https://www.spiegel.de/politik/ausland/donald-trump-wirft-new-york-times-wegen-bericht-ueber-cyberwar-hochverrat-vor-a-1272651.html
In jedem Fall bleiben Fragen offen.
Nachtrag: wäre dies nicht selbst nach eigener, amerikanischer Definition ein „kriegerischer Akt“?
„Willkommen im 21. jahrhundert“!“
In dem in D „…das Internet für uns alle Neuland (ist)…“
Immer noch NICHTS BEGRIFFEN!!?
„Krieg“ so mit formeller Kriegserklärung, Mobilmachung Erklärung etc sind LANGE „out“!
Nicht erst seit der „Übernahme“ von Tle der UKR durch „grüne Männchen“, die – ganz zufällig – zwar RUS Sdt bis auf die fehlenden Hoheitsabzeichen gleichten (und somit in ihrem Handeln schlicht (schwerst)kriminelle Straftäter waren), wovon der „Entsender“ selbstverständlich keinerlei Kenntnis hatte, konnte, eine gewisse Leistungsfähigkeit „zwischen den Ohren“ vorausgesetzt, doch wirklich noch der Letzte erkennen, wie „unmilitärisch“ selbst Streitkräfte heute eingesetzt werden.
Und dem will man dann mit den „zuständigen, rechtsstaatlichen Mitteln“ und dem entsprechenden Kompetenz(oder Profilierungs-!?)gerangel wirksam Einhalt gebieten?
Auch wenn „wir“ uns aus Erfahrung der „Schuld der 1000 Jahre“ mit JEDEM Einsatz von Militär schwertun, sollte doch irgendwann die Erkenntnis reifen, daß „Cyberwar“ leider zum Alltagsgeschäft nicht nur von Staaten gehört.
Und insofern muß man dem Insp CIR beipflichten, wenn er eine unmittelbare, koordinierte (also geFÜHRTE), leistungsfähige Reaktionsfähigkeit einfordert.
Wenn da erst 16 Länder, nachdem die entsprechenden Stellen „aufgewacht“ sind, das BSI, BMI, Kdo CIR… einen „Krisenstab“ bilden sollen… Nein, dann ist deren Kommunikation im Zweifel nur noch per (mittlerweile ja nicht mehr vorhandenen) „alten“ Telefonen und Bleistift und Meldeblock per Kradmelder (hoffentlich kein supermodernes oder „e-Krad“ mit „www-Vernetzung“) oder Brieftaube möglich.
Daß sämtliche Daseinsvorsorge bereits von jedem halbwegs pfiffigen „Nerd“ lahmgelegt werden kann, ist doch ausreichend bewiesen! Was muß noch passieren, bis eine Bundesregierung offen sagt, was sie zu tun HAT: Schaden vom deutschen Volke abwenden!? Wie auch immer, aber da haben wir ja mittlerweile leider schon 2 Probleme…
Noch nie wurden soviele Steuern vom Finanzminister „eingesammelt“, wie derzeit, und trotzdem findet „Zukunftssicherung“ in relevanten Bereichen fast nicht statt, man überlässt das lieber anderen (USA, China mit den ebenfalls bekannten Risiken und Folgen).
Heute ist Wirtschaft Krieg (Energie, „Diesel“, Monsanto…), auch das müssen wir begreifen, uns nicht komplett abhängig machen. D allein wird da sicher wenig „reißen“ („wir“ wollen es ja auch gar nicht richtig, lieber „Fußball, ESC, Ballermann, Oktoberfest“…) l, und EUR hat sich mittlerweile von der politischen Bühne derart verabschiedet, daß es kaum noch wahr- geschweige denn ernstgenommen wird!
[Gerne noch mal der Hinweis, dass hier nicht das globalgalaktische Diskussionsforum für Regierungsverdrossene ist… und es schon am Thema bleiben sollte… T.W.]
Ja, man muss sich mal darüber Gedanken gemacht haben.
Als Truppenführer weiß ich, dass Stellen besetzt sein können, ohne dass jemand arbeitet, z.B. durch Abordnung. Ich weiß auch, dass jemand die Arbeit von zwei Stellen schultern könnte, schlimmstenfalls sind das auch leitende Stellen. Das ist leicht feststellbar, wenn man denn möchte. Man könnte das ja mal bei der Bundesnetzagentur prüfen… Die ist nämlich für die IT-Sicherheit von Kraftwerken zuständig, oder?