Die kürzlich bekannt gewordenen "Strategische Leitlinie Cyber-Verteidigung im Geschäftsbereich des Bundesverteidigungsministeriums" wird in Experten-Kreisen intensiv diskutiert. Zwei Informatikervereinigungen haben die Leitlinie sogar schon abgelehnt. Wie wird das Strategiepapier denn innerhalb der Bundeswehr diskutiert, Peter Welchering?

"Unter der Decke. Das muss man so sagen. Es wird nicht offen diskutiert. Viele Soldaten haben schlicht Angst vor beruflichen Nachteilen und Repression. Es war schon fast abenteuerlich, mit Soldaten der Abteilung Informations- und Computernetzwerkoperationen über die Aufrüstungsstrategie zu sprechen. Die Soldaten zu treffen, war sozusagen nur unter klandestinen Umständen möglich. Die Soldaten wollen nicht zitiert werden, nicht genannt werden. Und sie haben überwiegend zwei Ängste geäußert. Dass sie einen massiven Schuss vor den Bug kriegen, wenn sie sich mit dem Papier von Verteidigungsministerin von der Leyen auch nur beschäftigen. Und dass sie im Zweifelsfall eine digitale Angriffsstrategie umsetzen müssen, die sie falsch finden.

In der CNO sind die meisten Soldaten sehr nachdenklich. Sie wollen die Bundesrepublik Deutschland vor Cyberangriffen schützen, aber man lässt sie sich. Das ist so eine Gefühlslage, die ich mitgenommen habe. Die Truppe fühlt sich von der Politik im Stich gelassen. Denn die Politik muss – auch mit den Soldaten – darüber diskutieren, welche digitalen Waffen eingesetzt werden sollen und welche nicht. Diese Diskussion wird einfach nicht geführt."

Dabei sollen Leitlinien ja eigentlich den Primat der Politik bei der Bundeswehr sicherstellen, die ja als Parlamentsarmee organisiert ist. Die Leitlinie Cyberverteidigung sieht auch offensive Maßnahmen vor, um gegnerische Kräfte im Cyberraum einschränken und bekämpfen zu können. Solche offensiven digitalen Waffen sollen von der Abteilung Informations- und Computernetzwerkoperationen eingesetzt werden. 2006 wurde die Abteilung gegründet und ihren Dienstsitz hat sie in der Tomburg-Kaserne in Rheinbach bei Bonn. Gerade in der Tomburg-Kaserne hat man Argumente gegen das Strategiepapier, die auch das FIFF und die Gesellschaft für Informatik, die GI vorgetragen haben, aufmerksam verfolgt.

Digitale Waffen setzen Computer oder Rechnernetzwerke außer Betrieb. Sie manipulieren Daten und Software. Sie zerstören Server und Netze. Davon sind auch sogenannte kritische Infrastrukturen in unserer Gesellschaft betroffen, etwa die Stromversorgung, die Verkehrssteuerung, die Flugsicherung, Banken, Wasserversorgung oder Stahlwerke. Das alles muss vor digitalen Angriffen geschützt werden. Und auch die Bundeswehr selbst muss sich und ihre Infrastrukturen viel besser schützen. Informatik-Professor Hartmut Pohl von der Gesellschaft für Informatik gibt ein Beispiel.

"Der Panzer fährt ohne Computer nicht mehr. Die Munition wird gesteuert. Da ist ein Prozessor drin, in der Rakete oder in der Munition generell, die die Munition steuert. Wenn in dieser Software, wofür sie auch immer eingesetzt wird, oder in diesen Programmen, eine Sicherheitslücke vom Gegner erkannt ist, dann lässt er die Munition zurückfliegen zum abschießenden Panzer und dann zerstört der sich praktisch selber."

Damit das nicht passiert, sollen die gegnerischen digitalen Waffen und ihre Feuerstellungen zerstört werden. So sehen das die Spitzenmilitärs im Berliner Bendlerblock und auf der Bonner Hardthöhe. Deshalb wollen sie im Verteidigungsfall Internet-Knotenrechner und andere Infrastruktur angreifen. Ihr Mittel der Wahl dabei beschreibt Hartmut Pohl so.

"Das kann man stichwortartig umschreiben mit dem Begriff Kill-Switch. Das haben wir vor fünf oder zehn Jahren diskutiert, ob man so etwas machen darf als Staat. Es ist immer gesagt worden, dass der amerikanische Präsident auf den Knopf drücken kann und dann werden zentrale Server im Internet heruntergefahren, und dann ist der Internetverkehr lahmgelegt. Das kann man landesweise machen, das kann man kontinentweise machen. Das ist keine neue Idee." Und das gilt Pohl zufolge für die gesamte strategische Leitlinie Cyberverteidigung des Verteidigungsministeriums. "Die Richtlinie klingt, ich fasse das Mal so zusammen, nicht neu."

Die Leitlinie ist vor allen Dingen deshalb nicht neu, weil mit ihr ein uralter preußischen Armeegrundsatz einfach ins digitale übertragen wurde: Angriff ist die beste Verteidigung. Genau das stimmt bei den digitalen Waffen aber nicht mehr, meint Sylvia Johnigk vom FIFF, vom Forum Informatikerinnen für Frieden und gesellschaftliche Verantwortung:

"Die Voraussetzungen, um digitale Waffen zu haben, sind Schwachstellen oder die Kenntnis darum. Und diese Schwachstellen sind natürlich auch in den eigenen Systemen. Es ist natürlich immer schlauer, diese Systeme zu schließen und die Systeme zu sichern als Angriffswaffen zu bauen, weil letztendlich man selber damit auch gefährdet bleibt, weil man seine eigenen Schwachstellen wieder nicht schließen kann."

Doch das defensive Schließen von Sicherheitslücken kommt in der strategischen Leitlinie Cyber-Verteidigung nicht vor. Statt dessen soll die Bundeswehr im Cyberspace auf Angriff getrimmt werden. Fragt sich, welche Angriffe die Soldaten der Abteilung Informations- und Computernetzwerkoperationen beherrschen. Sylvia Johnigk: "Wer ein Informatik-Studium absolviert hat, wer im Grunde genommen gelernt hat, Werkzeuge zu benutzen und sie einzusetzen, kann natürlich auch neue Werkzeuge einsetzen, kann sie auch weiterentwickeln. Und die sind teilweise schon richtig gut und bilden die Leute auch an irgendwelchen Hackertools und –werkzeugen aus. Von daher sind die von den Fachkenntnissen her natürlich schon gut. Rein technisch ein System bedienen zu können und zu wissen, wie es funktioniert, wie man die Filter setzt, ist das eine, aber das dann auch weise einzusetzen, ist die nächste Frage."