Nicht erst seit Stuxnet ist bekannt, dass mit der Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft auch digitale Angriffe auf Infrastrukturen möglich werden und nicht zu unterschätzen sind. Als Reaktion wurden in der Bundesrepublik Abwehrstrukturen institutionalisiert: Es gibt das „Cyberabwehrzentrum“, als Kommunikationsknoten der relevanten Bundesbehörden; es gibt einen „Cybersicherheitsrat“; ein IT-Gipfel (IT: Informationstechnologie) jagt, den nächsten, Cyberstrategien werden definiert. Das Bundesministerium des Innern (BMI) ist gemäß dem eigens geschaffenen IT-Sicherheitsgesetz für den Schutz von als kritisch definierten Bereichen von Staat, Wirtschaft, Gesellschaft verantwortlich. Die zuständige Organisationseinheit im Innenministerium ist das Bundesamt für Informationssicherheit (BSI). Die Geheimdienste und Polizeibehörden spielen in der Cyberstrategie auch noch mit. Das sollte eigentlich reichen, möchte man meinen. Aber nein: Nun wollen auch noch das Bundesverteidigungsministerium und die Bundeswehr massiv mitmischen.
Mit der Cebit 2016 startete die Bundeswehr die Kampagne „Digitale Kräfte“, um gezielt Informatiker_innen und weitere IT-Kräfte für das Militär zu werben. Hier geht es allerdings nicht nur um eine Werbekampagne für die Besetzung der relevanten Positionen der eigenen IT, wie sie eine Organisation wie die Bundeswehr hat. Es geht um deutlich mehr: Die Bundeswehr will zukünftig bei der Abwehr von Cyberangriffen mitmischen und neben dem Heer, der Marine und der Luftwaffe eine vierte Säule aufbauen, die „Digitalen Kräfte“. Neben der Staats-Verteidigung und dem Schutz der eigenen Waffen- und Organisationsstruktur sollen dabei auch Angriffe im virtuellen Raum vorbereitet und durchgeführt werden, vorerst gegen „Cyberterroristen“ und fremde Nachrichtendienste. Später ist die Übertragung in die taktische Kriegsführung wahrscheinlich, also der offene und offensive virtuelle Einsatz, auch ohne dass eine virtuelle Bedrohung vorliegt.
Bekannt wurden die Planungen durch das Leaken (das Verbreiten einer Information, ohne offizielle Veröffentlichung) der „Strategischen Leitlinie Cyber-Verteidigung im Geschäftsbereich des BMVg“ durch die Internetplattform netzpolitik.org im Juli 2015. Die Bundesverteidigungsministerin Ursula von der Leyen hatte die strategische Leitlinie im April 2015 in Kraft gesetzt, ohne parlamentarische Kontrollgremien einzubinden, wie der Verteidigungsexperte von der Linkspartei, Alexander Neu, feststellt. Erst nach dem öffentlichen Bekanntwerden der Leitlinie, fand am 20.2.2016 eine Anhörung des zuständigen Verteidigungsausschusses des Bundestages zur Rolle der Bundeswehr im Cyberraum statt. Auf Basis der beiden Dokumente (1) „Strategische Leitlinie Cyber-Verteidigung“ und (2) Protokoll der Sitzung des Verteidigungsausschusses wird im Folgenden die Cyberstrategie der Bundeswehr dargestellt. Dabei wird der Schwerpunkt auf die friedenspolitischen Implikationen gelegt.
Inneres oder Äußeres? – Die Cyberstrategie und das Grundgesetz
Die „Strategischen Leitlinien zur Cyberstrategie“ legen folgende Arbeitsebenen für die Bundeswehr fest:
- Verteidigung gegen Cyber-Angriffe, die einen bewaffneten Angriff auf Deutschland darstellen, vorbereiten oder begleiten
- Aktive Abwehr von Bedrohungen
- Sicherheit und Verfügbarkeit der eigenen IT, insbesondere der Waffentechnologie
- Einschränkung bzw. Unterbindung der Nutzung des Cyber-Raums für gegnerische Kräfte zur Unterstützung von Einsätzen
- Beitrag zur gesamtstaatlichen Abwehr von Cyber-Angriffen
Zur Absicherung wird der Cyber-Raum als eigener Operationsraum definiert, da bewaffnete Konflikte mit digitalen Attacken einhergehen könnten. Damit wird die digitale Welt zum potentiellen Kriegsraum und Operationsgebiert für die Militärs erklärt.
Die Abwehr von Angriffen ist – sofern sie sich nicht direkt gegen die Bundeswehr richten – ein praktischer Einsatz im Innern. Zuständig ist entsprechend das Innenministerium und seine nachgeordneten Instanzen. Woher nimmt nun aber die Bundeswehr das Recht, einen solchen – eigentlich grundgesetzwidrigen – Einsatz zu planen? Es ist die Krücke der Amtshilfe nach §35 Grundgesetz, der vor allem für die Abwehr und Beseitigung schwerer Unglücke herangezogen wird. Darin heißt es in den bezogen auf die Bundeswehr relevanten Absätzen:
„ (1) Alle Behörden des Bundes und der Länder leisten sich gegenseitig Rechts- und Amtshilfe. […] (3) Gefährdet die Naturkatastrophe oder der Unglücksfall das Gebiet mehr als eines Landes, so kann die Bundesregierung, soweit es zur wirksamen Bekämpfung erforderlich ist, den Landesregierungen die Weisung erteilen, Polizeikräfte anderen Ländern zur Verfügung zu stellen, sowie Einheiten des Bundesgrenzschutzes und der Streitkräfte zur Unterstützung der Polizeikräfte einsetzen. Maßnahmen der Bundesregierung nach Satz 1 sind jederzeit auf Verlangen des Bundesrates, im übrigen unverzüglich nach Beseitigung der Gefahr aufzuheben.“
Es geht also deutlich um Naturkatastrophen und Unglücksfälle. Statt aber zivile Strukturen zum Schutz aufzubauen, werden militärische errichtet, um dann im Rahmen der Amtshilfe diese im Innern einzusetzen. Dabei ist sich die Verteidigungsministerin über die gesetzliche Rolle durchaus klar; in den Leitlinien heißt es diesbezüglich: „Eine gesamtstaatliche Rolle operativer militärische Fähigkeiten im Bereich Cyber unabhängig von den Verteidigungsaufgaben (Heimatschutz) bzw. ein originärer Beitrag der Bundeswehr zur Handlungsfähigkeit der Bundesregierung im Bereich der Cybersicherheit ist bisher nicht vorgesehen und nicht definiert. Diese Fragestellung ist durch das BMVg ressortübergreifend prioritär aufzugreifen.“ (Hervorhebung von mir) Einmal eingerichtet, ist zu erwarten, dass die bald erscheinende neue Fassung des „Weißbuchs der Bundeswehr“, diese Strategie weiter verfestigen und zur nicht mehr hinterfragbaren Option machen wird.
Digitale Operationsführung
Wie stellt sich das Militär die Operationsführung im Cyber-Raum vor? Hierzu heißt es in der Leitlinie: „Basierend auf dem Cyber-Lagebild sind Strategien zur Verhinderung oder Eindämmung gegnerischer offensiver Cyber-Aktivitäten zu entwickeln. […] Da auch ein Gegner von seinen eigenen Fähigkeiten im Cyberraum und den von ihm genutzte Ressourcen des Cyberraums abhängig ist, müssen im Rahmen eines militärischen Einsatzes Wirkmöglichkeit vorhanden sein, um ihn in der Nutzung dieser Fähigkeiten zu behindern oder sie ihm gegebenenfalls völlig zu verwehren. Dazu können auch zielgerichtet und koordinierte Maßnahmen zur Beeinträchtigung von fremden Informations- und Kommunikationsprozessen sowie der darin verarbeiteten Informationen dienen, wie sie von den Kräften für Computer-Netzwerkoperationen durchgeführt werden können. […] Offensive Cyber-Fähigkeiten der Bundeswehr sind als unterstützendes, komplementäres oder substituierendes Wirkmittel anzusehen. Sie haben zum einen das Potenzial, in der Regel nicht-letal und mit hoher Präzision auf gegnerische Ziele zu wirken, zum anderen kann diese Wirkung im Gegensatz zu kinetischen Wirkmitteln unter Umständen sogar reversibel sein. Offensive Cyber-Fähigkeiten der Bundeswehr haben grundsätzlich das Potenzial, das Wirkspektrum der Bundeswehr in multinationalen Einsätzen signifikant zu erweitern.“
Das ist deutlich. Und es widerspricht präventiv ausgeführt, dem Völkerrecht. Es widerspricht auch der NATO-Policy, wie die Ersteller_innen der Leitlinie selbst einräumen. Das alles hindert sie nicht daran, diese Möglichkeiten offensiv einzufordern. Und die Folgerungen sind falsch: Ein offensiver Einsatz „digitaler Kräfte“ kann einerseits eine Gegenreaktion der „anderen Seite“ provozieren und andererseits kann etwa ein digitaler Angriff auf Engeriestrukturen zu Kraftwerkskatastrophen und zu zivilen Opfern im ganz gewöhnlichen zivilen Leben führen. Die Bundeswehr bekriegt mit der neuen Strategie direkt zivile Programme.
Katrin Suder, parlamentarische Staatssekretärin im Verteidigungsministerium stellt in der Anhörung im Verteidigungsausschuss einschränkend klar, dass solche Offensiveinsätze dem Parlamentsvorbehalt unterstünden. Sie verrät aber nicht, wie mit dem Widerspruch des Bundestags gegen eine solche geheime Operation – was digitale Angriffe ja praktisch per Definition sind, da sie mit der parlamentarischen Behandlung öffentlich und ggf. wirkungslos werden – umzugehen sein wird. Hier ist wohl ein Abbau von Parlamentsrechten zu erwarten; darauf deutet bereits hin, dass die Verteidigungsministerin an den parlamentarischen Kontrollen vorbei eine solche Leitlinie auf den Weg brachte.
Zur rechtlichen Unwägbarkeit kommt noch ein handfestes zweites Problem. Angriffe im Netz lassen sich schwer oder gar nicht zu ihrem Ursprung zurückverfolgen. Eine zweifelsfreie Identifikation wäre aber die Mindestvoraussetzung für offensive „Reaktionen“. Dazu fehlen der Bundeswehr und dem Verteidigungsministerium wiederum Technik und Expertise. Damit kommen wir zu den Ressourcen: Die Bundeswehr beschäftigt nach eigener Aussage 21.000 Soldat_innen und Zivilist_innen im IT-Bereich. 500 von ihnen sind speziell mit der Abwehr von Cyber-Angriffen befasst. Von diesen 500 sind 5 Cyber-Forensiker_innen, also diejenigen, die in der Lage sein sollen, den Ursprung einer Attacke festzustellen. Entsprechend fordert die Bundeswehr auch „die Bereitstellung von adäquaten Strukturen und Ressourcen“ und denkt über verstärkte zivil-militärische Kooperationen und die Nutzung von Reservist_innen nach. Vielleicht müssen zivile Personen mit IT-Kompetenz – etwa Informatiker_innen – schon bald mit einer Zwangseinberufung rechnen. In den Leitlinien heißt es entsprechend: „Hierzu gehört auch die Prüfung, wie die Möglichkeiten der Reserve für Cyber-Spezialisten genutzt werden können, um in der Privatwirtschaft vorhandene Personen mit Schlüssel-Know-how bei Bedarf im hoheitlichen Auftrag zur Unterstützung staatlicher Strukturen und Kritischer Infrastrukturen heranziehen zu können.“
In diesem Zusammenhang sollen auch Schlüsseltechnologien, die als „nationale Aufgabe“ betrachtet werden in Deutschland vorgehalten werden. Hier ist eher der Wunsch die Mutter des Gedankens, wie selbst die Expert_innen der Anhörung des Verteidigungsausschusses einräumen müssen. Gleichzeitig ergibt sich hier zum Beispiel die Frage, wie Informatiker_innen den Einsatz an der Cyber-Waffe verweigern können – es zeichnet sich aktuell ab, dass die Bundeswehr die staatlichen Strukturen so umwandelt, dass im – von ihr definierten – Krieg alle zivilen Strukturen für den militärischen Einsatz genutzt werden können.
Fazit
Zusammenfassend lässt sich sagen: Es gibt keinen plausiblen Grund, die Abwehr von Cyberangriffen dem Militär zu überlassen. Zivle Strukturen bestehen und sollten – sofern nötig – ausgebaut werden. Zivile Strukturen sind hier zudem die zuständigen Strukturen!
Aus juristischer Sicht ist ein Angriff durch das deutsche Militär als ein Militärschlag zu werten, dem das Parlament zustimmen muss – das steht mit der aus der Leitlinie ersichtlichen Geheimhaltungsidee solcher Anschläge in Widerspruch. Die Verursacher_innen von Cyber-Attacken sind nicht oder nur sehr schwer zu identifizieren, entsprechende Expertise zur Identifikation ist nicht vorhanden. Selbst die Abwehr von Cyberangriffen ist ein versteckter Militäreinsatz im Innern. Die Bundeswehr erarbeitet sich also mit den „Digitalen Kräften“ neue Handlungsfelder, um Legitimation und Mittel für den Einsatz im Inneren zu erhalten und eröffnet darüber hinaus neue Formen kriegerischer Auseinandersetzung. Budgeterhöhungen werden bald auch mit Cyberkriminalität begründet werden.
Offensive Fähigkeiten stehen im Widerspruch zum Völkerrecht, ja selbst zur NATO-Doktrin. Daher kann das Ergebnis nur lauten: Bundeswehr raus aus dem digitalen Raum!
Die Werbung der Bundeswehr für die neuen Bereiche suggeriert, dass es sich um zivile – ganz normale – Berufe handele. Das sind sie nicht! Als Soldat_in, egal ob mit der Waffe in der Hand, mit den den Fingern auf der Tastatur oder am Joystick, um Ziele anzuvisieren, ist man Bestandteil der Tötungsmaschinerie Militär. Soldat_in ist kein normaler Beruf. Aufgabe der Friedensbewegung ist es, dies deutlich zu machen und durch gezielte Öffentlichkeit dafür zu sorgen, das keine schweigende Ausdehnung der Befugnisse des Militärs erfolgt.