Jeden Tag soll es rund 6500 Cyber-Angriffe auf Bundeseinrichtungen geben. Bisher ist es glücklicherweise noch zu keinem massiven Ausfall eines Kraftwerks oder ähnlich sensibler Infrastruktur gekommen. Nun hat Verteigigungsministerin Ursula von der Leyen bekanntgegeben, bei der Bundeswehr eine eigene Truppenorganisation „Cyber- und Informationsraum“ (CIT) mit 13 500 Soldaten und zivilen Mitarbeitern aufzustellen. Warum?
Es handelt sich dabei um den Versuch des Verteidigungsministeriums, den Bereich Netzwerksicherheit als Handlungsfeld zu besetzen. Aus meiner Sicht ist das reines Machtkalkül und wenig zielführend. Der Versuch, das Feld zu militarisieren und zu „vergeheimdienstlichen“ geht am Kern des Problems vorbei: schlechte Software, mangelnde Ausbildung und fehlende Haftungsregeln für Unternehmen. Zu glauben, man könne hier mit militärischen Mitteln irgendetwas anderes als eine Eskalation bewirken, ist naiv.
Die Lage fasste ein Bundeswehr-General mir gegenüber auf einer Veranstaltung treffend zusammen: „Solange ich über das Bundeswehr-Logistiksystem nicht einmal zuverlässig Toilettenpapier bestellen kann, brauche ich auch kein Cyber-Gedöns.“ Die Bundeswehr könnte sicher mehr IT-Experten vertragen, um ihre internen Probleme besser und sicherer zu lösen. Sich einzubilden, man bekäme qualifizierte Mitarbeiter, in dem man „Cyber Cyber“ auf Plakate druckt, ist jedoch einfach nur lächerlich.
Welche technischen, rechtlichen und ethischen Fragen wirft diese neue Art der Kriegsführung auf?
Es gibt im digitalen Raum keine Attribution. Das heißt ein „Gegenschlag“ ist kaum treffsicher zu führen, jeder Akteur wird mehrschichtige Methoden der Tarnung anwenden. Daraus folgt auch, dass es keine wirksame Abschreckung gibt. Wenn man abschrecken will, muss man in der Lage sein, glaubhaft zu machen, dass man Angriffe zuordnen, eben attribuieren kann. Das ist jedoch selbst in einem umfassenden Überwachungssystem nicht sicher möglich.
Aus meiner Sicht ist das reines Machtkalkül und wenig zielführend.
Wird die Bundeswehr allein für Deutschlands Cyber-Sicherheit sorgen oder wie müsste eine Arbeitsteilung mit Polizei, Bundesnachrichtendienst, Ministerien und anderen Behörden aussehen?
Zuallererst ist hier das Bundesamt für die Sicherheit in der Informationstechnik zuständig. Deswegen muss es aus der Verantwortung des Innenministeriums befreit und zu einem wirklich unabhängigen Dienstleister für digitale Sicherheit gemacht werden, bei dem nicht der Verdacht der Kungelei mit Sicherheitsbehörden mit angriffsorientierten Interessen besteht. Weder Militär noch Geheimdienste haben irgendeinen strukturellen Vorteil, der ihre Verantwortlichkeit für das Gebiet nahelegt, im Gegenteil. Das Kernproblem ist und bleibt angreifbare Software, und das lässt sich nur mit massiven Förderprogrammen für eine Verbesserung der technischen Lage beheben, nicht mit Cyber-Soldaten oder Cyber-Agenten.
Ist die deutsche Cyber-Strategie mit europäischen und internationalen Maßnahmen vereinbar?
Es gibt derzeit keine Strategie, weder national noch international. Es gibt Wunschträume und Machtgerangel. Insofern passt der Bundeswehr-Vorstoß ins Bild.
Die Fragen stellte <link ipg unsere-autoren autor ipg-author detail author anja-papenfuss>Anja Papenfuß.
19 Leserbriefe
Es gilt halt auch: es nützt die schönste Waffe nichts, wenn man sie im Ernstfall nicht zum Einsatz bringt.
Zur Erinnerung: es war eine Abgeordneten-Mitarbeiterin der Die.Linke-Fraktion, der die Bundestags-IT Wochen vor dem großen Aua auf den möglicherweise initialen Trojanerbefall hinwies.
Es war die Spionageabwehr des Verfassungsschutzes, die von ausländischen Diensten DREI WOCHEN vor dem Skandal Hinweise auf fette Datenlecks im BT-Server bekam.
Was nutzt eine waffenstarrende IT-Abteilung, wenn sie nur auf Anordnung des Generalstabs (nach dem langen Wochenende) mal an der Frontlinie vorbeischaut?
Und ja: die Rechner der Abgeordneten sind ihr wichtigstes Arbeitsinstrument. Das Parlament ist das vom Staatsvolk gewählte Kontrollorgan der Regierung. Abschalten nur mit Genehmigung. Punkt. Der Skandal hier: dass es kein Rückfallsystem zur Aufrechterhaltung der Arbeitsfähigkeit gibt
Dann sollten Sie mal Ihre "Erinnerung" richtig auffrischen, das ist nämlich absoluter Käse was Sie da erzählen. Abschaltung der Systeme, zum Absichern, wurde am 12.08.2015 verschoben, wegen einer Sondersitzung zum Thema Griechenland.
Aber recht passend das Sie direkt im Anschluss von "schönsten Waffen" reden beim Thema "Cyber-Bundeswehr" (Gnahaha), da ist jemand dem Cyber-Gedöns ganz schön auf den Leim gegangen. Ist ja aber auch kompliziert dieses "Neuland" Zeug.
Eignete sich übrigens gut als Zitat, wenn der Name des Generals bekannt wäre ...
Es ist absolut nachvollziehbar das die Abgeordneten der Linken das BSI nicht an ihre Rechner lassen wollen. Das BSI ist dem Innenministerium unterstellt, ebenso wie der Verfassungsschutz, der wen beobachtet? Richtig, die Partei "Die Linke".
Um das BSI an seinen Rechner zu lassen, obwohl man vom Verfassungsschutz beobachtet wird, muss man ganz schön naiv sein. Dass vom BSI nicht nur Defensiv-Aufgaben ausgeführt werden (die dem eigentlichen Aufgabenbereich entsprechen) ist spätestens klar seitdem 2015 bekannt wurde das das BSI aktiv am verfassungswidrigem Staatstrojaner mit gearbeitet hat.
Ansonsten hat Frank natürlich recht. Vor Angriffen schützt nur sichere Software. Wer sich auf "Cyberwar" einlässt VERHINDERT sichere Software, weil er von Sicherheitslücken abhängig ist
Das ist ja genau das Problem: das BSI ist dem BMI unterstellt. Wäre es unabhaengig und vertrausnewürdig, dann haette die Linke sicher auch kein Problem mehr damit.
Was ja auch Sinn ergibt. Im Moment untersteht das Bundesamt für die Sicherheit in der Informationstechnik dem Innenministerium, welchem auch der Inlandsgeheimdienst untersteht. Aus sieht einer Demokratie und der Unabhängigkeit eines Abgeordneten wäre es unerträglich diesem Zugang zur Kommunikationsinfrastruktur der Legislative zu geben. Genau deswegen muss das BIS auch vom BIM getrennt werden.
Als Revisor darf man das dann nicht mal in das Prüfungsergebnis rein schreiben, weil es keine konkreten Schulungsvorgaben gibt und es nicht zum "Unternehmensziel: SPAREN" passt.
#Deutschland schafft sich ab - dank neoliberaler Idiotie auf allen Ebenen!
(Himmelhilf, dass man alles immer erklären muss...)
Wenn das mal wieder nicht rechtzeitig geklappt hatte, kamen die genervten "Bunkerratten" bei mir vorbei auf dem Weg zur "öffentlichen" Toilette (im normal gesicherten Bereich). Das nervigste daran war wohl, dass man beim Betreten des gesicherten Bereichs jedes Mal durch die Schleuse muss.
Bei uns im Stab fehlte nur vier Wochen lang das Druckerpapier, das ging noch...
Wollte hier jemand wirklich was mit "Cyber" machen, wäre der schnelle Zugang zum Netz ebenso selbstverständlich wie die Straße zum Haus und der Wasseranschluss. Unternehmen würden vor IoT/Industrie 4.0 gewarnt und beraten, anstatt solche Blindflüge gehypt. Kommunen hätten richtiges eGov und Webseiten, statt ePerso/Gesundheitskarte/DeMail/... und würden dank freier Software weder finanziell noch datenmäßig abgezogen.