12.01.24 / Ohrfeigen und Tritte in den Magen / Gefahren für Deutschland im Cyberraum: Wir kriegen gerade noch unsere fünf Bundeswehrkrankenhäuser einigermaßen verteidigt

Ohrfeigen und Tritte in den Magen
Gefahren für Deutschland im Cyberraum: Wir kriegen gerade noch unsere fünf Bundeswehrkrankenhäuser einigermaßen verteidigt
Paul Leonhard

Ein Bundeswehrkrankenhaus meldet Ausfälle in der Aufzugstechnik. Die Schließtechnik automatischer Türen funktioniert plötzlich nicht mehr. Die Klimatechnik fällt aus. Ähnliche Meldungen kommen von zahlreichen Einrichtungen und Behörden des Bundes und der Länder sowie von Banken und wichtigen Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik gibt eine landesweite Sicherheitswarnung. Betroffen ist auch die Bundeswehr. Die Landebahnbefeuerung an zwei Militärflughäfen fällt aus. Dann bricht das Führungsinformationssystem „German Mission Network“ weg, funktioniert das Logistiksystem „Command and Control“ nicht mehr.

Damit ist die Führungs- und Kontrollfähigkeit wesentlicher Aufgaben der deutschen Verteidigung gefährdet. Die Bundeswehr verliert den Überblick über den Luftraum, kann Großverbände nicht mehr verlegen. Bevor die IT-Kommunikation komplett zusammenbricht, beruft Vizeadmiral Thomas Daum, Inspekteur Cyber- und Informationsraum, das Krisenmanagement „Board“ ein. So geschehen am 28. September vorigen Jahres.

Deutschland wird an diesem Tag von einer bislang unbekannten Cybergruppe angegriffen, die sich „Neue Front“ nennt. Ihr Ziel ist es offenbar, Regierung und Behörden handlungsunfähig zu machen. Kein konventioneller Angriff also, sondern einer im Cyberraum. Eingesetzt werden Waffen aus dem Bereich der Informatik, die auf rechnergestützte Verbindungen zielen.

Noch sei die Lage ruhig, „aber mit andauernden oder sich ausweitenden Auswirkungen geht die Gefahr einher, daß die Stimmung in der Bevölkerung kippt“, so das Krisenszenario. Es gelte „ressort- und ebenenübergreifend zu reagieren, Abstimmungen vorzunehmen, Prioritäten zu setzen und die Krise so zu managen, daß der Cyberangriff keine noch größeren Kreise zieht“, beschwört Ralph Tiesler, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, die Versammelten: den Kommandeur des Kommandos IT-Informationstechnik-Services der Bundeswehr, den Leiter des Cyber Security Operations Centre sowie Vertreter der BWI, des Territorialen Führungskommandos der Bundeswehr und des Einsatzführungskommandos, der anderen Organisationsbereiche und Teilstreitkräfte, des Bundesministeriums der Verteidigung und Bundesamtes für den Militärischen Abschirmdienst.

In Deutschland hat jetzt das Krisenmanagement „Board“ das Sagen. Es muß Maßnahmen zur Abschwächung und Bewältigung der Krise treffen und allen Beteiligten eine gemeinsame Informations- und Austauschplattform zur Verfügung stellen, auf der jederzeit die Lagebeiträge sowie die aktuelle Lageentwicklung einsehbar sind. Vizeadmiral Daum muß letztlich Vor- und Nachteile abwägen und einschätzen: Aufrechterhaltung der noch bestehenden Services bei Geringhalten der Schäden, Ausfalldauer und bis wann die Server wieder zur Verfügung stehen.

Die gute Nachricht ist, Deutschland „befindet sich nicht im Cyberkrieg“, sondern „im schönsten, tiefsten Frieden“, gibt Oberst Guido Schulte, Stellvertreter des Chief Information Security Officer der Bundeswehr (CISOBw), während einer Podiumsdiskussion „Digital Battlefields. Über Cyberwar und Desinformationskrieg“ im Militärhistorischen Museum der Bundeswehr in Dresden Entwarnung. Es sei auch nicht erkennbar, daß eine neue Gefahrenlage entsteht. Andererseits ist das eine Definitionssache. Die amerikanischen Verbündeten würden schon seit langem davon sprechen, „in einem permanenten Wettbewerb zu stehen mit denen, die uns angreifen“. Auch in Deutschland müßten „jeden Tag Dinge getan werden, um zu verhindern, daß kritische Infrastruktur wie Wasserwerke und Krankenhäuser ausfallen“, erläutert Tiesler.

Das eingangs beschriebene Szenario stand im Mittelpunkt der diesjährigen Krisenmanagementübung Lükex 23 (Länder- und Ressortübergreifende Krisenmanagementübung/Exercise). Zwei Tage lang haben Bund, Länder, Bundeswehr, das Technische Hilfswerk und das Rote Kreuz – insgesamt 60 Organisationen – durchgespielt, wie solche Angriffe abzuwehren sind. „Wir setzen unsere Abläufe und Methoden einem Streßtest aus“, sagt Generalmajor Jürgen Setzer, Chief Information Security Officer der Bundeswehr.

Die Herausforderung dabei sind die föderalen Strukturen der Bundesrepublik. Ein Cyberangriff mache „ja nicht an Bundeslandgrenzen halt“, mahnt Hans-Walter Borries, stellvertretender Vorstandsvorsitzende des Bundesverbands für den Schutz Kritischer Infrastruktur (BSKI): „Es wäre gut, wenn wir eine Durchsetzungsebene des Bundes hätten, die sich dann zentral dieser Thematik annimmt.“

2018 führten die USA erstmals einen Cyberangriff gegen Rußland

Daß bei Lükex 23 angenommene Szenario ist nicht aus der Luft gegriffen. 2007 hatte es ohne Vorwarnung einen konzertierten Denial-of-Service-Angriff auf Regierungs- und Verwaltungsstellen Estlands gegeben. Die IT der Krankenhäuser, Energieversorgungssysteme, die Notfallnummern sowie die größte Bank des Landes funktionierten plötzlich nicht mehr. Der Vorfall gilt als weltweit erster Cyberangriff auf einen Staat, als „WebWar One“. Zugeschrieben wird er Moskau, zumindest lassen sich Spuren der beteiligten Hacker bis nach Rußland verfolgen. Ziel derartiger Angriffe sind die Verunsicherung der Zivilbevölkerung gegenüber dem Staat und der Regierung.

Worst-Case-Szenarien, nach denen „ein Cyberkrieg sozusagen aus dem Nichts kommt, jederzeit und überall erfolgen, jeden treffen, von jedem durchgeführt werden, kaum aufgehalten werden kann und ultimativ die Gefahr birgt, das Ende der menschlichen Zivilisation zu bedeuten“, bereiten vielen Menschen Ängste, sagt Myriam Dunn Cavelty, stellvertretende Leiterin für Forschung und Lehre am Center for Security Studies der ETH Zürich, in einem Interview mit dem Frankfurter Zukunftsinstitut. Über die Jahre hätten sich jedoch differenziertere Szenarien herausgebildet, in denen von dieser Fixierung auf Krieg weggerückt wird und viel pragmatischer die Verwundbarkeiten eines Landes evaluiert werden.

Bei den Angriffen geht es um Spionage, die Einschleusung von Propaganda, diverse Formen von Social Engineering, das Einschleusen kompromittierter Hardware, die Fremdsteuerung erlaubt, sowie das Zerstören von Kabel-, Antennen- und Satellitenverbindungen. Der Kosovokrieg 1999 gilt dabei als erster „richtiger Cyberkrieg“. Die Nato zerstörte damals mittels hochfrequenter Mikrowellenstrahlung das serbische Flugabwehrsystem, brach auf elektronischem Weg in russische, griechische und zyprische Banken ein, um die Konten des serbischen Präsidenten leerzuräumen. Die serbische Armee störte ihrerseits Nato-Server und hörte die Kommunikation der Allianz ab.

2018 führten die USA nach einem Bericht der Washington Post erstmals einen Cyberangriff gegen Rußland durch, in dem sie die Internet Research Agency in St. Petersburg „durch offensive Mittel“ vom Internet trennten. Die Grenzen zwischen Cyber-Kriminalität, Cyber-Terrorismus und Cyber-Kriegsführung sind fließend und werden von Land zu Land unterschiedlich definiert. Auch gibt es keine internationalen Kriegskonventionen wie bei herkömmlichen Kriegen. Während die Bundeswehr mit dem Slogan „Deutschlands Freiheit wird auch im Cyberraum verteidigt. Macht, was wirklich zählt“ um neue Soldaten für den IT-Bereich wirbt, wird in Israel aktuell darüber gestritten, ob Cybersoldaten mit der im Gefecht kämpfenden Truppen gleichzustellen sind oder doch keine „echten Kämpfer“ sind.

Die hochkomplexen Waffensysteme der Streitkräfte kommen heute nicht mehr ohne digitale Sensorik, Netzwerke und Entscheidungen unterstützende Computersysteme aus. Gelinge es Angreifern, die IT-Sicherheitszäune und -Mauern zu überwinden, müssen sie eben wieder rausgeschmissen werden. „Ich als Cyberverteidiger kriege jeden Tag Ohrfeigen und Tritte in den Magen“, sagt Schulte. Der weit überwiegende Teil der Angriffe gehe von automatisierten, massenhaften Vorgängen aus, die sich nicht gezielt gegen die Bundeswehr oder ihre Angehörigen richten. Auch Angriffe auf kritische Infrastruktur gebe es tagtäglich. Aber bisher keine konzertierten und die Angreifer seien im konventionellen Freund-Feind-Schema schwer einzuordnen. Wie viele der erkannten Zugriffsversuche jeweils zu einem „Angriff“ gehören, könne in der Regel nicht festgestellt werden, so der Oberst: „Wir erkennen bloß die Einschläge der Geschosse; ob sie vom gleichen Akteur ausgehen oder von einem anderen, bleibt im dunkeln.“

Vor einer inflationären Verwendung des Begriffs „Cyperkrieg“ warnt Cyberwar-Expertin Dunn Cavelty: „Wenn mit dem Begriff ‘Krieg’ operiert wird, erscheint die Zuständigkeit des Militärs eine beschlossene Sache, und so fließen dann Gelder in eine tendenziell falsche Richtung.“ Denn die Rolle des Militärs in der Cybersicherheit sei stark eingeschränkt, insbesondere wenn es um den Schutz von Netzwerken zu Friedenszeiten geht – und das ist bei dieser Thematik der Normalfall. Unterschieden werden müsse zwischen Militäraktionen begleitenden Operationen in Computernetzwerken (operationeller Cyberkrieg), wie sie längst Begleiterscheinungen von bewaffneten Konflikten und Unruhen sind, und einem strategischen Cyberkrieg.

Im Cyberraum sei jeder seines Glücks Schmied, sei also für die Sicherheit der eigenen IT zuständig, sagt Oberst Schulte. Die Bundeswehr werde weder die Telekom verteidigen noch große Kraftwerke: „Wir kriegen gerade noch unsere fünf Bundeswehrkrankenhäuser einigermaßen verteidigt, weil das unsere Netze sind“, so der Bundeswehrspezialist. Im noch immer geltenden Landesverteidigungskonzept für die zivile Verteidigung des Bundesamtes für Bevölkerungsschutz und Katastrophenschutz aus dem Jahr 2016 heißt es letztlich: Jeder schützt sich selbst, jede Behörde, jede Kommune, jedes Unternehmen.

„Das richtige Verhalten im Cyberspace erhöht die Sicherheit schon recht massiv“, sagt Myriam Dunn Cavelty. Andererseits, wenn ein Unternehmen ins Fadenkreuz einer gezielten Hackerattacke gerät, dann würden die gängigen Schutzmechanismen nichts nützen. „Dann braucht es einen guten Krisenbewältigungs- und -managementplan, Resilienz und – wenn möglich – eine gute Versicherung.“

Denn in privaten und nichtstaatlichen Netzen – und in diesen spielt sich mehrheitlich die Cyberaggression und -kriminalität ab – habe der Staat nichts zu suchen, warnt die Wissenschaftlerin: „Im heutigen System ist es grundsätzlich allen Individuen und Firmen selber überlassen, für ihre Sicherheit zu sorgen beziehungsweise für sich selber zu definieren, wieviel Sicherheit sie wollen und zu welchem Preis. Dieses System der Freiwilligkeit funktioniert nicht, wenn man es aus der Sicht des Staates und der nationalen Sicherheit betrachtet, denn es wird zu wenig Sicherheit produziert.“

Zurück zu Papier, Bleistift und reitenden Boten

Zum Schutz vor Cyberkrieg investieren zwar Regierungen und hochrangige Organisationen in ausgefeilte Cybersicherheitsprozesse sowie in hochspezialisierte Experten, die für die Sicherung von Anlagen und Netzwerken verantwortlich sind, in der auf Effizienz ausgerichteten Wirtschaft spiele dagegen Sicherheit im IT-Bereich noch immer eine stark untergeordnete Rolle, beklagt Dunn Cavelty: „Gegen Hackerattacken kann man niemals vollständig geschützt“ sein, denn wenn ein guter Hacker genug Zeit aufwendet, komme er in jedes System rein. Die Staaten müßten mit „weiteren Vorfällen rechnen, tendenziell auch mit solchen, die schwerwiegende ökonomische und politische Konsequenzen zur Folge haben, denn die Angriffsflächen und Verwundbarkeiten steigen mit zunehmender Vernetzung – Schlagwort ‘Industrie 4.0’“.

Oberst Schulte rät zu Abwehrmechanismen wie aktueller Antivirus-Software, Endgeräteschutz, VPNs und Datenverschlüsselungstechnologien. Unerläßlich seien ständige Updates. Schon jetzt zeige sich, daß die bestehenden Netzwerke zwischen dem Krisenmanagement im Bevölkerungsschutz und den beteiligten IT-Behörden und -Dienstleistern auf Bundes- und Landesebene gefestigt und ausgebaut werden könnten, schreibt er in einer ersten Stellungnahme des BBK. Offenbar lief längst nicht alles optimal, denn auch BBK-Präsident Tiesler persönlich mahnt eine gezielte Weiterentwicklung der Reaktionszeiten und ressortübergreifend abgestimmten Handlungsoptionen an, um Cyberangriffe auf kritische Infrastruktur abwehren zu können.

Sicherheit sei auch in einer Symbiose mit Freiheit zu sehen – ohne Freiheit keine Sicherheit, ohne Sicherheit keine Freiheit, so Myriam Dunn Cavelty. Die richtige Balance zwischen diesen zwei Werten zu finden, ist heute eine neue, schwierige Aufgabe geworden, vor allem für liberal-demokratische Gesellschaften, die noch unsicher sind, wie sie mit dem globalen Fluß von Desinformationen umgehen.

Aber was passiert, wenn das Internet komplett ausfällt? Auch ein Cyberangriff könne wie ein kinetischer Angriff eine bestimmte Schwelle überschreiten, mit der in Deutschland der Spannungs- oder Verteidigungsfall ausgerufen werde, so Schulte. Aber der Gegner sollte nicht wissen, wann diese Schwelle erreicht sei. Bisher seien Cyberangriffe noch nicht existenzbedrohend gewesen. Und falle das Internet aus, dann müsse man bereit sein, auf andere Mittel der Nachrichtenübermittlung zurückzugreifen: Fax, Papier und Bleistift, fahrende und reitende Boten.