Anfang April wurde das Kommando Cyber- und Informationsraum (KdoCIR) der Bundeswehr in Bonn aufgestellt und von Bundesverteidigungsministerin Ursula von der Leyen eröffnet. Bis 2021 sollen dort neben 13.500 Soldaten auch zivile Fachkräfte unter der Leitung des Generalleutnants Ludwig Leinhos angestellt sein und gemäß der Bundeswehr-Werbekampagne Deutschlands Freiheit im Cyberraum verteidigen. Angesichts der gegenwärtigen und zukünftigen Bedrohungslage ist die Bündelung aller IT-Kompetenzen und -Kapazitäten der Bundeswehr überfällig: Von Januar bis März 2017 mussten bereits circa 284.000 Cyberangriffe auf die IT-Infrastruktur der Bundeswehr abgewehrt werden.

Diskussion um Auslegung des Aufgabenbereiches

Die Legitimität der Abwehr von Cyberangriffen auf Netze und Waffensysteme der Bundeswehr als Aufgabenbereich des KdoCIR ist unumstritten. Die Aussage von der Leyens, dass darüber hinaus die Einheit ihre Aufgaben auch offensiv wahrnehmen werde und mit digitalen Gegenschlägen auf Cyberattacken reagieren würde, wird hingegen stark diskutiert.

Ein „Vorteil“ von Cyberangriffen ist die Möglichkeit der Verschleierung des Ursprungs. Als im April 2015 der französische Fernsehsender TV5 Monde gehackt wurde, deutete alles auf einen Hack durch den sogenannten „Islamischen Staat“ hin. Erst einige Monate später stellte sich heraus, dass die Attacke mit höchster Wahrscheinlichkeit von der russischen Gruppierung APT28 ausging. Zudem werden Cyberattacken oftmals über Botnetze ausgeführt, die zivile oder private IT-Infrastrukturen für kriminelle Zwecke missbrauchen. Angesichts dieser Charakteristik erscheint ein Cybergegenschlag der Streitkräfte problematisch. Würde zum Beispiel ein Angriff auf die Bundeswehr über ein Botnetz ausgeführt, der Server eines Betreibers kritischer Infrastruktur im Ausland als Urheber des Angriffes identifiziert und in Folge des Gegenschlags lahmgelegt werden, könnte das Vorgehen als militärischer Angriff gewertet werden und ernstzunehmende zwischenstaatliche Spannungen auslösen.

 Klärungsbedarf I: Nationaler und Internationaler Rechtsrahmen

Einer offensiven Auslegung des Aufgabenbereichs des KdoCIR muss eine politisch-gesellschaftliche Debatte vorangehen, um Grauzonen zu erfassen und zu füllen. Diese sind vor allem rechtlicher Natur. An erster Stelle steht dabei die Frage, ob proaktive Cyberoperationen der Bundeswehr ein Bundestagsmandat voraussetzen, wie es bei Auslandeinsätzen vorgeschrieben ist. Während sich der Wehrbeauftragte des Deutschen Bundestags Hans-Peter Bartels klar dafür ausspricht, bestehen jedoch erhebliche Unterschiede zwischen konventionellen und virtuellen Szenarien. Im letzteren Falle wird etwa ohne den Einsatz realer Waffen und Todesopfer operiert, sodass eine Allgemeingültigkeit der Mandatspflicht von Einsätzen hinterfragt werden kann. Selbst die Feststellung ob ein Verteidigungsfall vorliegt, obliegt nach Art. 115a GG dem Bundestag mit Zustimmung des Bundesrates. Hier muss Klarheit geschaffen werden, inwiefern Cyberangriffe mit konventionellen Angriffsszenarien gleichgesetzt werden können.

Angesichts der Diskussion von Cybergegenangriffen, die möglicherweise gegen ausländische Server gerichtet sind, ist außerdem die Schaffung international bindender Regularien für den Cyberraum unabdingbar. An erster Stelle stünde dabei eine einheitliche Definition des Begriffes Cyberwar. Erst auf Basis dessen könnten für eine Cyberkriegsführung ausschlaggebende Kriterien wie Verantwortlichkeiten, Verhältnismäßigkeiten und Zuständigkeiten beurteilt werden. Außerdem muss internationales Recht um die Dimension von „Cyber“ erweitert werden. Bislang können zwar völkerrechtliche Bestimmungen auf Cyberszenarien angewendet werden, Klarheit über staatliches rechtskonformes Verhalten schafft jedoch nur ein entsprechend erweitertes internationales Regelwerk. Über rechtliche Bestimmungen hinaus bedarf es der zwischenstaatlichen Kooperation im Bereich der Cyberverteidigung. Vor allem der Problematik eines Cybergegenangriffes auf „unschuldige“ IT-Infrastrukturen und daraus entstehenden zwischenstaatlichen Konflikten könnte so vorgebeugt werden. Eine starke internationale Zusammenarbeit und eine klare Rechtsordnung wäre zudem eine erste Antwort auf die zugunsten der Cyberkriminellen bestehende Asymmetrie von Cyberangriffen: Während die Täter über nationalstaatliche Grenzen hinweg agieren, sind den Angegriffenen im transnationalen Raum bei der Strafverfolgung durch inkompatible Rechtssysteme die Hände gebunden.

Klärungsbedarf II: Nationale Zuständigkeiten Cyberverteidigung

Neben der Klärung rechtlicher Rahmenbedingungen müssen mit der Aufstellung des KdoCIR unbedingt die Zuständigkeiten für die nationale Cyberverteidigung festgelegt werden. Denn auch das Nationale Cyber-Abwehrzentrum des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder das Bundesamt für Verfassungsschutz (BfV) haben den Anspruch, gestaltender Akteur der Cyberverteidigung Deutschlands zu sein. Zudem wird angesichts der Forderung des BfV-Präsidenten Hans-Georg Maaßen, der Behörde Cybergegenschläge rechtlich zu ermöglichen, die Gefahr von Doppelarbeit und eines innerstaatlichen konkurrierenden Systems deutlich. Die Akteure sollten daher trennscharfe Zuständigkeitsbereiche erhalten und durch eine konstruktive Kooperation untereinander zu einer belastbaren Cybersicherheitsarchitektur beitragen.

Bundeswehr: Führungsrolle Cyberverteidigung?

Wie eingangs beschrieben, ist die Aufstellung des KdoCIR ein überfälliger, aber begrüßenswerter Schritt. Die Diskussion über eine rein defensive oder zusätzlich offensive Auslegung des KdoCIR-Aufgabenbereiches muss gesamtgesellschaftlich und offen geführt werden, sowie die damit zusammenhängenden Aspekte miteinbeziehen. Insgesamt kann dieser Prozess als Chance verstanden werden, im Bereich Cyberverteidigung eine Führungsrolle auf europäischer, beziehungsweise internationaler Ebene einzunehmen.

 

Bildnachweis: Fotolia_151821549: (© sdecoret / Fotolia)