Einem (bislang) geheimen Strategiepapier des Bundesverteidigungsministerium zufolge, das bereits im April gebilligt wurde und der Vorbereitung des neuen Weißbuchs der Bundeswehr dient, soll die Bundeswehr zukünftig auch offensive Fähigkeiten im Cyberspace erhalten(Q: Spiegel.de, Kopie). Dies betrifft vor allem die sogenannten CNO-Einheit (Computer Network Operations), die ein aktives Vorgehen gegen fremde IT-Systeme und den gezielten Angriff derselben seit einigen Jahren übt, jedoch bislang über keine gesetzliche Grundlage für den Einsatz in Kampf- und Verteidigungssituationen besitzt. Laut offiziellen Angaben umfasst die dem “Kommando Strategische Aufklärung” unterstellte Einheit 60 Personen, internen Quellen zufolge wurden die entsprechenden IT-Kompetenzen aber bereits durch Personalrotationen auf einen deutlich größeren Kreis von mehreren hundert Fachkräften ausgeweitet.
Mit der neuen Strategie sollen die verfügbaren Cyber-Kapazitäten ausgebaut und die Möglichkeiten des Cyberspace als “Wirkmittel” angesehen werden – also in erster Linie als Waffen zum Stören und Zerstören gegnerischer IT-Systeme:
“Attacken auf Computernetze könnten „nicht-letal und mit hoher Präzision auf gegnerische Ziele“ angesetzt werden. Solche Angriffe seien geeignet, die Kampfkraft der Bundeswehr „signifikant zu erweitern” (Q: Spiegel.de)
Interessant ist in diesem Zusammenhang unter anderem die Frage, welche Grenzen der Gesetzgeber für ein derartig offensives Vorgehen setzen wird. Angesichts der hohen Vernetzung und wechselseitigen Abhängigkeiten von IT-Systemen und ihren physischen Infrastrukturen muss bei Angriffen auf einzelne IT-Bestandteile sichergestellt werden, dass keine zivilen Infrastrukturen oder Personen gefährdet werden. Auch wenn für diese Entscheidung in konkreten Einsatzsituationen sicher eine pragmatische Lösung gefunden wird, bleibt abzuwarten, ob entsprechende Entscheidungen der Bundeswehrstrategen durch eine parlamentarische Kontrolle begleitet und kontrolliert werden.
Ein weiteres Detail des Strategiepapiers deutet darauf hin, dass sich die Erweiterung der Cyberkapazitäten jedoch nicht nur auf den Einsatz in konkreten Konfliktsituationen bezieht. In dem Papier heißt es, dass “[für die aktive Verteidigung] stets ein Lagebild über „Verwundbarkeiten“ der gegnerischen Systeme vorliegen [müssten]”. Damit würde die Bundeswehr in die Fußstapfen des US-amerikanischen Cyber Command treten, die in enger Verflechtung mit der NSA von deren Erkenntnissen und Überwachungsmaßnahmen profitiert. Abhängig von der Menge an solchen “gegnerischen Systemen” könnten entsprechende Vorfeld-Aufklärungsmaßnahmen schnell technisch und personell umfangreiche Dimensionen annehmen. Auch ein aktives Eingreifen und Eindringen durch Bundeswehr-Fachkräfte in IT-Systemen in Friedenszeiten könnte erforderlich werden, um bspw. Überwachungs- und Analysesoftware zu installieren.
Auch eine andere Neuerung des Strategiepapiers wirft zusätzliche Fragen auf. Die Bundeswehr soll der Strategie zufolge auch für die Verteidigung bei Cyberangriffen gegen deutsche Einrichtungen, insbesondere gegen kritische Infrastrukturen, verantwortlich sein. Für die Ausübung derartiger Befugnisse muss jedoch zum einen geklärt werden, wie und mit welchen Mittel die dafür befähigten Abteilungen eine sichere Identifikation der Angreifer vornehmen sollen (die UN Charta schreibt für das Recht auf Selbstverteidigung eine zweifelsfreie Identifikation vor) und woher die Ressourcen für eine solche, zumeist recht aufwendige Forensik kommen sollen. Des weiteren bedarf es einer Festlegung mit welchen Mitteln die Abwehr der Bedrohung erfolgen darf um dem völkerrechtlichen Gebot der Verhältnismäßigkeit zu genügen. Diese Aspekte bilden aktuell einige der Kernfragen auf dem Weg zu einer internationalen Regelung der militärischen Aktivitäten im Cyberspace und die Debatten darüber werden bereits seit einigen Jahren in unterschiedlichen internationalen Gremien geführt.
Letztlich stellt der Vorstoß der Bundesverteidigungsministerin einen Schritt dar, den andere internationale Akteure bereits vollzogen haben und ist unter diesem Gesichtspunkt wenig überraschend. Einer Befriedung des Cyberspace wird er damit jedoch sicher nicht zuträglich sein.