Rund 13.500 Soldaten und zivile Mitarbeiter stehen – geleitet vom in Bonn sitzenden Kommando Cyber- und Informationsraum (CIR) – bereit, um Netze und Waffensysteme der Bundeswehr gegen Cyber-Angriffe zu schützen. Wie Generalmajor Michael Vetter, stellvertretender Inspekteur und Chef des CIR, am Freitagabend im Internationalen Konversionszentrum (Bicc) während einer Podiumsdiskussion mit dem Titel „Ambivalenzen zwischen Angriff und Verteidigung in der Ära des Cyberkriegs – Theorie und Praxis der digitalen Strategie der Bundeswehr“ bekanntgab, soll diese Zahl auf 15.000 anwachsen.

„Wir kommen an der Digitalisierung nicht vorbei. Wir werden zukünftig zunehmend hybride Kriege erleben, die nicht mehr nur auf dem Schlachtfeld ausgetragen werden. Dem müssen sich unsere Streitkräfte stellen“, sagte Vetter. Nach Angaben von Verteidigungsministerin Ursula von der Leyen werden schon jetzt täglich 4500 Cyberangriffe auf die Bundeswehr gefahren. Diese Zahl wird in den kommenden Jahren wohl kaum sinken. „Viele dieser Angriffe sind automatisiert. Da versucht ein Computernetzwerk automatisch durch unsere Firewalls zu gelangen“, so von der Leyen.

Die Bundeswehr selbst darf aktiv keine Cyber-Angriffe gegen andere Staaten oder gar nicht-staatliche Akteure starten. Dagegen steht das Grundgesetz, das Angriffskriege Deutschlands nach Artikel 26 Absatz 1 untersagt. Das will die Bundeswehr laut Vetter auch gar nicht: „Niemand hackt bei uns einfach so. Wir dürfen kein Stück mehr als andere Bundeswehreinheiten“, sagte Vetter. Die digitale Strategie der Bundeswehr sei ganz klar auf Verteidigung und Ausbesserung von digitalen Schwachstellen ausgelegt. Vetter: „Wenn unsere Schutzsysteme nicht funktionieren, nutzt uns auch der beste Eurofighter nichts.“

Doch nicht jeder ist unangefochtener Freund der IT-Soldaten. So nannte es etwa Hans-Jörg Kreowski, Professor an der Universität Bremen und Vorstandsmitglied des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), „bedenklich“, dass das CIR auch offensiv agieren kann. „Ich frage mich, wie sich das mit dem Verteidigungsauftrag der Bundeswehr verträgt. Das Personal für den Angriff geht der Verteidigung verloren“, sagte Kreowski und ergänzte: „Unsere zivile Infrastruktur wie Krankenhäuser sind anfällig gegen Cyberattacken.“

Dem pflichtete auch Matthew Smith, Professor an der Universität Bonn und Informatiker am Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie, vor den rund 40 Zuhörern am Freitagabend bei. Cyberangriffe seien absehbar und daher müsse alles daran gesetzt zu werden, Abwehrsysteme kritischer Infrastrukturen zu stärken. „Ist der Angreifer erstmal im System, ist es sehr schwierig, ihn wieder rauszubekommen. Wir müssen es also schaffen, unsere Systeme von vornerein sicherer zu machen“, sagte Smith. Ein Krankenhaus sei für Angreifer viel einfacher lahmzulegen, als ein Raketensystem. Dass so etwas passiere, sei nicht unrealistisch.

Deutlich wurde im BICC, dass die Bundeswehr wie auch Informatiker mit der Anonymität des Internets zu kämpfen haben. Nur äußerst schwierig – wenn überhaupt – könnte nachvollzogen werden, woher ein Angriff kommt. IP-Adressen ließen sich fälschen und vor dem eigentlichen Angriff könne man sich ja einfach auf einen anderen PC hacken und so vorgaukeln, die Attacke käme von dort. Das Internet schließt eben kaum Möglichkeiten aus – das wissen nicht nur Verteidiger. Was die Bundeswehr aber sicher weiß: Das Thema Cyberkriminalität lässt sie wohl nicht mehr los.