Bundeswehr: Die Cyberkrieger ordnen sich neu

Die Stiefel von Oberstleutnant Franz L. quietschen auf dem grauen Linoleumboden, als er mit zügigen Schritten vorangeht durch den breiten Kasernenflur. Vor einer Metalltür bleibt er kurz stehen – unbefugter Zutritt verboten – und hält eine Chipkarte gegen den Sensor. Mit einem Piepston entriegelt sich die Tür, Oberstleutnant L. stemmt sie auf und tritt ein. „Das isses“, sagt L. und weist mit einer beinahe entschuldigenden Geste den Gang hinunter, von dem Türen zu fünf, sechs Büroräumen abgehen.

L. ist ein Mann in den Fünfzigern. Das Bundesverteidigungsministerium hat das Gespräch mit ihm organisiert, bittet aber, seinen vollen Namen nicht zu schreiben. L. trägt Flecktarn, einen grauen Bart und hat einen Händedruck, der sich eher nach Soldat denn nach Informatiker anfühlt. L. ist beides. Er leitet das „Computer Emergency Response Team“ der Bundeswehr, kurz CERTBw, die Cyberabwehrtruppe des deutschen Militärs. Der Blick durch die Fenster geht über einen gepflegten Hof. Das CERTBw ist in einer Kaserne nur wenige Autominuten entfernt vom Hauptbahnhof Euskirchens untergebracht, einer Kleinstadt in der Nähe von Bonn.

Ursula von der Leyen will die Cybereinheiten der Bundeswehr neu aufstellen

Das Handy des Besuchers schließt L. in einer an der Wand befestigten Box ein, Sicherheitsvorschrift. Daneben hängen zwei Plakate. Eines zeigt das Symbol seiner Einheit: einen Chip auf blauem Grund, darauf das Kreuz der Bundeswehr, umschlossen vom Namen der Einheit. Es erinnert an das Emblem des berüchtigten „United States Cyber Command“, der viele tausend Mann umfassenden Cyberarmee der USA. L. leitet eine Abteilung mit 58 Mitarbeitern. Und dies sei auch kein offizielles Abzeichen, erklärt er. „Das haben wir mal für uns gemacht.“ Das zweite Plakat listet Vorschriften auf: „Halten Sie Ordnung am Arbeitsplatz“, steht da zum Beispiel. Deutschlands Cyberkrieger sind im öffentlichen Dienst.

An diesem Donnerstag trifft sich Verteidigungsministerin Ursula von der Leyen mit Experten aus Bundeswehr, Verwaltung, Bundestag und Universitäten zum „Weißbuch-Workshop Cybersicherheit“. 2016 will die Ministerin ein neues Weißbuch vorlegen: Zehn Jahre nach der derzeit geltenden Fassung sollen die Anforderungen an die Bundeswehr grundlegend neu formuliert werden. Deutschlands Cybersicherheit wird dabei eine herausragende Rolle spielen. Von der Leyen werde deshalb am Donnerstag eine Neustrukturierung der Cyberkapazitäten der Bundeswehr verkünden, ist im Vorfeld aus verteidigungspolitischen Kreisen zu hören. Bestehende Einheiten sollen zusammengelegt und in der Hierarchie der Bundeswehr aufgewertet werden. Im Schatten der Flüchtlingskrise tüftelt das Bundesverteidigungsministerium seit Monaten an der Reform. In dieser Woche will die Ministerin nun versuchen, dafür öffentliche Aufmerksamkeit zu bekommen. Wahrscheinlich wird die neue Organisationseinheit deshalb einen schicken Namen bekommen. „German Cyber Command“ vielleicht?

Zu Besuch bei den Cyberabwehrsoldaten des CERTBw in Euskirchen

An diesem verregneten Tag ist bei Deutschlands „Cyberkriegern“ wenig zu spüren von einer großen Reform. Oberstleutnant L. bittet in einen beengten Büroraum. An der Frontseite hängen drei Monitore. Torten- und Stabgrafiken flimmern im Gegenlicht, eine lange Liste von Meldungen rattert von oben nach unten: Zahl und Grafik gewordenes Abbild des Geschehens in den Datennetzen der Bundeswehr. Als L. den Raum betritt, stehen drei Männer auf. Einer, nennen wir ihn Herrn Menke, steht ohnehin. Menke ist Zivilist, ein Typ in den Dreißigern, sportlich, aber er hat Rückenprobleme, die viele Bildschirmarbeit. Er hat ein Stehpult. Dazu zwei Bildschirme und einen Notizblock. Menke ist auf Patrouille im Netz.

32 „Sensoren“ betreibt das CERTBw, in seinen Datennetzen im In- und Ausland. 24 Stunden am Tag läuft der Datenverkehr durch diese Filter, die Datenpakete mit Schadsoftware-Listen abgleichen und auf Anomalien untersuchen, auf seltsame Dateien oder Absenderadressen, die mit vergangenen Cyberangriffen in Verbindung stehen. Die Meldungen der Sensoren landen auf den Bildschirmen von Menke und den anderen Analysten. Sie suchen nach Mustern. Wenn man das lange genug mache, sagt Menke, bekomme man ein Gefühl dafür, was normal sei und was nicht. „Suspicious Jpeg – Verdächtige Bilddatei“, meldet gerade ein Sensor bei der „Air Police Baltikum“, aber Menke scrollt weiter.

Die Fronten sind unübersichtlich. Fest steht eigentlich nur: Die Angriffe werden häufiger und raffinierter. Selbst mit vereinten Kräften können die Sicherheitsbehörden oft nicht feststellen, woher ein Angriff kam, ob kriminelle Organisationen am Werk sind, Terrorgruppen, Nachrichtendienste, Armeen oder die einen im Auftrag der anderen.

Genannt werden immer dieselben Vorfälle: die Cyberangriffe auf Estland 2007, die von Servern auf russischem Territorium ausgingen, sowie die Schadsoftware Stuxnet, der es gelang, den Betrieb einer iranischen Atomanlage zu stören, und die deshalb US-israelischen Entwicklern zugeschrieben wird. Auch der Angriff auf das Bundestagsnetz in diesem Jahr gehört zu den spektakuläreren Attacken – und die Serie von Angriffen auf US-Energiekonzerne im Jahr 2014. In Deutschland gab es laut Bundesamt für Sicherheit in der Informationstechnik ebenfalls Angriffe auf Industrieanlagen. Es sind diese Infrastruktur-Attacken, vor der sich die Politik am meisten fürchtet. Im Alltag aber sind vor allem Millionen kleinerer Angriffe zu bewältigen.

Die Bundeswehr agiert in diesem „Krieg“ bislang defensiv. Im ersten Halbjahr 2015 registrierte sie 1,8 Millionen versuchte Angriffe auf zentrale Schnittstellen zwischen ihrem eigenen Netz und dem Internet. Ein Großteil ihrer Informatiker ist für die Sicherung und den Betrieb der eigenen Systeme zuständig, neben den Leuten von Franz L. auch rund 700 Mitarbeiter beim „Betriebszentrum IT-System der Bundeswehr“ (BITS) und die Informatiker der Führungsunterstützung. Für die deutsche Cybersicherheit insgesamt ist aber nicht das Militär, sondern das Innenministerium verantwortlich. Als der Bundestag angegriffen wurde, rückte das Bundesamt für Sicherheit in der Informationstechnik aus, nicht die Bundeswehr.

Was die offensiven Cybertruppen der Bundeswehr können - und was sie dürfen

Oberstleutnant L. bittet in den Besprechungsraum nebenan und stellt die Anwesenden vor: Kapitän zur See Michael W., ein hochrangiger Mitarbeiter des BITS, sauber rasiert, in Marineuniform, und Oberstleutnant Dirk R., ein großer Mann mit kahlem Kopf, in leitender Funktion bei den „Computer Network Operations“ tätig. Die „Computer Network Operations“ ist die jüngste unter den drei IT-Einheiten. Sie wurde 2007 gegründet und gilt als einsatzfähig. Sie soll all das können, was man sich als Normalbürger gemeinhin so als Tagwerk eines Cyberkriegers vorstellt: Cyberwaffen entwickeln, Cyberangriffe starten.

Beim Wort „Cyberkrieg“ kann Oberstleutnant R. sich nur mit großer Mühe ein Augenrollen verkneifen. Den meisten Bundeswehrangehörigen steckt da zu viel Actionthriller drin. Wenn Leute „Cyberwar“ hören, sagt einer, denken sie an Hacker, die über das Internet einen Panzer knacken und aus der Garage fahren. Was natürlich (!) nicht (!) gehe.

Die offensive Cybertruppe der Bundeswehr, die Computer Network Operations (CNO) gelten als einsatzbereit

Dennoch ist das Thema brisant. Ende Juli veröffentlichte Netzpolitik.org ein zwanzigseitiges Papier aus dem Hause von der Leyen. Es ist die „Strategische Leitlinie Cyber-Verteidigung“. Die Bundeswehr müsse in der Lage sein, Gefahren „gegebenenfalls auch aktiv abzuwehren“, heißt es darin. Zur Unterstützung von Einsätzen sei es unter anderem nötig, „die Nutzung des Cyberraums durch gegnerische Streitkräfte einzuschränken oder gegebenenfalls sogar zu unterbinden“. Reine Abwehrmaßnahmen würden der Gefahr „absehbar“ nicht mehr gerecht. Man brauche „Wirkmöglichkeiten“, um den Gegner von der Nutzung seiner „Fähigkeiten“ abzuhalten. „Wirkmöglichkeiten“ ist Bundeswehrsprech für Waffen. Die Cyberkrieger sollen also angreifen. Haben sie es womöglich schon getan, Herr Oberstleutnant R.?

R. ist ein wortkarger Typ. Fragen beantwortet er, soweit es geht, mit „Nein“ oder „Korrekt“. Diese beantwortet er mit „Nein“. Bislang gab es keine Präventivschläge. „Alle Maßnahmen, die wir ergreifen, bedürfen der rechtlichen und politischen Billigung, etwa im Rahmen eines Mandates“, fügt er hinzu. Dasselbe antwortete auch die Bundesregierung auf eine Kleine Anfrage der Bundestagsabgeordneten Jan van Aken, Andrej Hunko und Christine Buchholz von der Fraktion Die Linke Anfang des Jahres. „Die CNO-Kräfte wurden bisher nicht eingesetzt.“ Also ist das Dasein als Cyberkrieger ein Bürojob? „Korrekt“, sagt R.

Wenn stimmt, was R. sagt, hat seine Einheit die virtuelle Welt bislang in doppelter Hinsicht nie verlassen. Man trainiere in einer Art geschlossener Laborumgebung, sagt er. Die meiste Zeit seien die Soldaten mit Recherchen beschäftigt, damit, Informationen über die Netzwerke der Gegner zusammenzutragen und sich über mögliche Schwachstellen in gegnerischen Systemen zu informieren. Findet man eine solche Schwachstelle, wird sie in einer künstlichen IT-Welt nachgebaut, einem virtuellen Truppenübungsplatz, auf dem die Soldaten trainieren, diese Schwachstelle für Angriffe zu nutzen. Ihre Aufgabe ist es aber auch, sagt R., „Wirkmittel“ zu entwickeln, um in gegnerische Netze einzudringen. Die Einheit ist also auch eine Cyberwaffenschmiede.

Hinter R. an der Wand lächelt die Ministerin aus einem einfachen Glasrahmen auf einem Foto ihr präzise dosiertes Lächeln. Im Sommer war Ursula von der Leyen zu Besuch bei den Cybertruppen. Denn anders als den Soldaten ist der Ministerin ein klein bisschen was vom hollywoodesken Nervenkitzel der „fünften militärischen Dimension“ durchaus recht. Der „Cyberkrieg“ ist futuristisch und real zugleich, also ideal, um sich als zukunftsorientiert und zupackend zu profilieren. In von der Leyens „Cyberleitlinie“ tauche „das unsägliche Wort ,Cyber‘“ nicht weniger als 137 Mal auf, lästerte der Netzpolitik-Blogger Andre Meister bei der Veröffentlichung im Juli.

Mit verantwortlich für das Papier, das kann man getrost vermuten, zeichnen Katrin Suder und Gundbert Scherf. Vor gut einem Jahr hat Ursula von der Leyen die beiden ehemaligen McKinsey-Leute in zentrale Positionen im Verteidigungsministerium geholt. Nachdem die Kosten bei einigen Rüstungsprojekten, wie etwa der Aufklärungsdrohne „Euro Hawk“, außer Kontrolle geraten waren, wollte die Ministerin offenbar unabhängige Denker.

"Unsere Wirkmittel entwickeln wir selbst", sagt ein CNO-Verantwortlicher

In der Bundeswehr sind einige immer noch dabei, sich an den Gedanken zu gewöhnen, dass einer wie Scherf, ein smarter Typ mit Hornbrille, gut geschnittenen Anzügen und farbenfrohen Socken, an der Zukunft der Bundeswehr mitwirken könnte. Er rede so viel wie eine Frau, sagt einer.

Doch gerade für die Informatiker in der Bundeswehr könnte eine Organisationsreform, wie sie die Spezialität der Ex-Berater ist, viel bewirken. Ihnen fehlen das Prestige und die Aufstiegsmöglichkeiten. Überlastet sind sie außerdem. Die Personalstrukturen seien viel zu schlank, sagt der Wehrbeauftragte Hans-Peter Bartels. Sobald mehrere Aufgaben gleichzeitig auftauchten, stießen die Soldaten an ihre Grenzen. Ganz so deutlich wird Oberstleutnant L. nicht. Doch auch er begrüßt eine Reform. „Für die Führungsfähigkeit der Bundeswehr ist wichtig, dass die Kräfte gebündelt werden“, sagt er. „Und es ist wichtig, dass es ein Signal gibt, dass die IT-Sicherheit operative Bedeutung hat.“

Während Oberstleutnant L. vorsichtig diesen Wunsch formuliert, scheint der Weg der Bundeswehr zu einer schlagkräftigen „Cyberarmee“ plötzlich sehr weit. Selbst wenn die Auf- und Umrüstung funktioniert – welchen Platz im deutschen Cybersicherheitsgefüge die Soldaten neben den Experten des Innenministeriums dann einnehmen sollen und vor allem wann sie eingesetzt werden könnten, ist damit noch nicht geklärt.

Abgeordnete des Bundestages haben die Bundesregierung schon mehrfach in Kleinen Anfragen mit dieser Frage traktiert: Wann wäre die Grenze zum offenen Cyberkrieg überschritten, sodass die Bundeswehr tätig werden könnte? Die Antwort ist präzise und vage zugleich: Ein Cyberangriff sei nur dann als bewaffneter Angriff im Sinne des Völkerrechts einzuordnen, wenn dieser „in seiner Wirkung die Schwelle zum bewaffneten Konflikt überschreiten würde und sich mit derjenigen herkömmlicher Waffen vergleichen ließe.“ Die Beurteilung müsse im Einzelfall getroffen werden.

Oberstleutnant L. geleitet den Gast zurück durch die Sicherheitsschleuse. Gegenüber der Glastür zum Treppenhaus steht ein Plastikmüllcontainer mit drei Klappen: gelb für Plastik, blau für Papier, schwarz für Restmüll. Immerhin hier sind bei den Cyberkriegern die Kriterien klar.