Soldaten-Ausbildung für den Cyberwar: Im Schützengraben der IT-Krieger

Es ist eine kalte, nüchterne Welt, die die Kämpfer der Zukunft umgibt. Ein unscheinbarer Flachbau in der Tomburg-Kaserne mitten im Grünen beherbergt jene Zentrale, von der aus die Bundeswehr den Kriegsschauplatz der nahen Zukunft kontrollieren will: den Cyberspace. Die Kämpfer: knapp 60 zivile und militärische IT-Spezialisten, die mit technischem Know-how den Gegner schädigen oder ausschalten sollen. Für sie hat die Bundeswehr in den gut gekühlten Kellerräumen des Gebäudes eine Art Labor für den Cyberkrieg eingerichtet. Die Front gleicht einem Klassenzimmer: Von der Decke führen viele Meter Kabel in gut drei Dutzend Rechner, die auf vier Tischreihen nebeneinander aufgebaut sind. Sie sind Teil einer virtuellen IT-Anlage, die bis zu 100 Rechner umfasst. Über einen Beamer am Kopf des Raumes können alle verfolgen, was sich auf den Bildschirmen einzelner Rechner tut.

Noch ist das, was hier passiert, eine Übung, noch haben die deutschen Streitkräfte keinen Feind über das Internet bekämpft, doch schon bald könnte es so weit sein. Seit 2007 bildet die Bundeswehr im beschaulichen Rheinbach bei Bonn die Spezialtruppe Computernetzwerkoperationen (CNO) für den Kampf im Internet aus – 2016 sollen die Cyberkrieger einsatzbereit sein. Und ihre Aufgabe ist nicht die Abwehr von Angriffen. Die IT-Spezialeinheit soll „in gegnerischen Netzen wirken“, wie es in einem Papier des Verteidigungsministeriums heißt, das Mitte vergangenen Jahres dem Verteidigungsausschuss des Bundestags präsentiert wurde und das dem Tagesspiegel vorliegt. Anders gesagt: Die Bundeswehr soll im Cyberspace auch angreifen können.

Durch die Laborsituation vermeidet die Bundeswehr Angriffe von außen; zudem können die IT-Spezialisten in dieser Umgebung nach Lust und Laune experimentieren, ohne tatsächlichen Schaden anzurichten. Der kann, wie zwei Offiziere der Einheit Anfang Mai vor Journalisten demonstrierten, erheblich sein. Einen Rechner mit Internet, dazu ein paar offen im Netz zugängliche Werkzeuge wie Suchmaschinen, Sicherheit im Umgang mit Rechnerbefehlen und ein wenig Geduld – viel mehr brauchen die Soldaten nicht, um via Internet in das Netzwerk eines fiktiven Gegners einzudringen. Der verfügt, wie es in der Realität oft der Fall ist, über eine Homepage. Für die CNO-Soldaten ist der Internetauftritt der erste Ansatzpunkt für einen Cyberangriff: Viele Seiten im Netz arbeiten mit interaktiven Elementen, die Daten senden und empfangen. Im vorgeführten Übungsfall enthält die gegnerische Homepage eine Statistiksoftware; das Eintrittstor für die Attacke der Bundeswehr.

Obwohl der Feind seine Infrastruktur durch verschiedene Abwehrmechanismen geschützt hat, dauert es weniger als eine Stunde, bis sich die deutschen Offiziere ins gegnerische System eingeloggt haben und seine wichtigste Waffe – die Luftabwehr – ausgeschaltet haben. Wenngleich die Soldaten dabei Kennwörter und Benutzernamen ausspioniert, DNS-Adressen ausgelesen, Firewalls „getunnelt“ und Verschlüsselungen geknackt haben: Von „Hacking“ will bei der Bundeswehr keiner reden. Für die CNO-Führungsebene ist der Cyberangriff ein „militärisches Wirkmittel“ unter vielen.

Im Prinzip steht dieses „Wirkmittel“ der Bundeswehr schon jetzt zur Verfügung. Woran es bisher aber mangelt, ist der physische Schutz für die IT-Spezialisten. Sie sollen nämlich nicht nur von der Zentrale in Rheinbach aus operieren, sondern wenn nötig auch mit ihren Kollegen in den Auslandseinsatz ziehen. Dafür sollen den Soldaten künftig vier gepanzerte Fahrzeuge mit CNO-Ausstattung – Führungsinformationssystem, Rechner und W-Lan-Antenne – zur Verfügung stehen.

Die Abwehr-Abteilung der Bundeswehr zählt rund 800 Attacken im Jahr

© dpa

Auch in Euskirchen wenige Kilometer von Rheinbach entfernt beschäftigt sich die Bundeswehr mit dem Cyberspace – allerdings ausschließlich zur Verteidigung. Attacken aus dem Internet abzuwehren, den reibungslosen Betrieb der Streitkräfte zu gewährleisten und Sicherheitslücken in den eigenen Reihen zu schließen, ist seit 2002 Aufgabe des Computer Emergency Response Team der Bundeswehr (CERTBw). 40 IT-Spezialisten sollen im Rahmen der „Cyberabwehr“ rund 140 000 Rechner in den Büros der Bundeswehreinrichtungen im Inland gegen Angriffe aus dem Netz schützen. Hinzu kommen noch einmal so viele IT-Komponenten, die für die Planung und Durchführung der Auslandseinsätze der Bundeswehr benötigt werden. Außerdem zählt zur schutzbedürftigen Infrastruktur Informationstechnik, die etwa in den Steuerungsanlagen von Waffensystemen verbaut ist oder in der Medizintechnik Anwendung findet.

„Heutzutage gibt es kaum ein Rüstungsprodukt, dass ohne IT auskommt“, sagt Oberstleutnant Franz Lantenhammer, der das CERTBw leitet. So statten das deutsche Heer, die Luftwaffensicherungskräfte und die Spezialeinheiten der Marine ihre Soldaten mit dem Kampfsystem „Infanterist der Zukunft aus“ – eine Hightech-Schutzausrüstung, zu der unter anderem ein GPS-Funkgerät, ein Mini-PC mit Kartenmaterial, eine Digitalkamera und ein Wärmebildgerät gehören. Aber auch in großen Waffensystemen wie in Kampfpanzern ist jede Menge Informationstechnik verbaut: Sie verfügen neben einem zumeist satellitengestützten Navigationssystem auch über ein IT-Element, das Freund und Feind auseinanderhalten soll.

Sogenannte Führungsinformationssysteme können Lagebilder empfangen und erstellen und ermöglichen die direkte Kommunikation mit der Zentrale und anderen Einheiten. Ein Logistiksystem zeigt an, wie viel Munition verschossen und wie viel Sprit verbraucht ist. Das soll das Durchsetzungsvermögen, die Beweglichkeit und die Durchhaltefähigkeit der Truppen steigern, erfordert allerdings auch ein Mehr an Schutz. Weil es nicht ausreicht, einzelne Komponenten der Wehrtechnik gegen Angreifer zu schützen, sondern die komplexen Systeme als Ganzes gegen Attacken gefeit sein müssen, setzt die Bundeswehr bei der Planung von Rüstungsprojekten „Systemarchitekten“ ein. Sie erstellen zu einem frühen Zeitpunkt von Rüstungsvorhaben IT-Sicherheitskonzepte, die bei allen weiteren Schritten von der Produktion bis zum Einsatz und der Wartung der Wehrtechnik zum Tragen kommen.

Wenn die Bundeswehr über das Internet angegriffen wird, erfahren das die Informatiker, Informationstechniker, System- und Netzwerkadministratoren beim CERTBw durch die Meldungen von Netzwerküberwachungssensoren und durch E-Mails und Telefonanrufe aus den Bundeswehreinheiten. Zudem erhält die Einheit Störungsmeldungen vom IT-Dienstleister der deutschen Streitkräfte, BWI-IT. Die unsichtbaren Angreifer verschaffen sich in der Regel per E-Mail-Anhang, Internetlink oder durch mobile Datenspeicher wie USB-Sticks Zutritt zu den Netzwerken der Streitkräfte. In den meisten Fällen gingen derartige Attacken mit sogenannter Schadsoftware oder Malware einher, sagt CERTBw-Chef Lantenhammer. Solche Programme sind in der Lage, Daten zu manipulieren, zu stehlen oder zu löschen, Firewalls sowie Antivirensoftware außer Kraft zu setzen und im schlimmsten Fall ganze Netzwerke lahmzulegen. Im Februar 2009 etwa setzte der Computerwurm „Conficker“ mehrere hundert Rechner der Bundeswehr außer Gefecht und hielt Lantenhammers Einheit in Atem. Seine Leute mussten in die gesamte Republik ausschwärmen, um eine Ausbreitung des Computerschädlings zu verhindern. Mehrere Dienststellen der Streitkräfte mussten wegen Conficker sogar komplett vom Netz genommen werden. „Der Vorfall hat unter anderem mein gesamtes Personal zwei bis drei Wochen in Anspruch genommen“, erinnert sich der CERTBw-Chef.

Großeinsätze wie dieser seien aber die Ausnahme, betont der Oberstleutnant. Die meisten Angriffe auf die IT-Technik der Bundeswehr seien vom Schreibtisch aus zu lösen. Rund 800 „sicherheitsrelevante Vorkommnisse“ oder „Incidents“ zählt das CERT der Bundeswehr pro Jahr. Damit sind Angriffe aus dem Internet gemeint, die potenziellen Schaden an Hard- und Software anrichten können. Dass mobile Notfallteams wie im Falle von Conficker den Bundeswehrdienststellen unter die Arme greifen müssen, kommt laut Lantenhammer drei bis vier Mal im Jahr vor. Bislang hätten seine „Incident-Offiziere“ alle aufgetretenen Probleme lösen können, sagt der Oberstleutnant. Bei der Cyberabwehr gehe es zunächst darum, den Schaden einzudämmen, um dann in einem zweitem Schritt die Betriebsbereitschaft des betroffenen Systems wiederherzustellen. „In letzter Konsequenz heißt das oft, dass zum Beispiel ein Rechner neu installiert oder Software neu aufgespielt werden muss.“

Wer der Urheber eines Angriffs ist und ob es sich um eine gezielte Attacke gegen die Bundeswehr handelt, vermögen die IT-Experten der Streitkräfte übrigens häufig nicht einzuschätzen: Die Angreifer aus dem Netz bedienen sich verschiedener Techniken, um ihre Identität zu verschleiern. Zudem grassiert immer mehr Schadsoftware im Internet: Jeden Tag kommen schätzungsweise 60 000 neue Malwaremuster dazu.