Bereits im Dezember 2015 wurden die Antworten des deutschen Regierung auf eine kleine Anfrage der Fraktion „Die Linke“ veröffentlicht, die einige interessante Details zu den geplanten Erweiterungen im Bereich der Cyber-Defence (und potentiell auch Offence) der deutschen Bundeswehr enthält. Mit Verweis auf das Selbstverständnis und die Aufgaben der Bundeswehr werden dabei Fragen nach den Absichten und Zielen bei der geplanten Erweiterung des Operations-Raumes auf den Cyberspace beantwortet und dabei auf die gewachsenen Herausforderungen und neue Gefährdungen durch den technologischen Fortschritt hervor gehoben. Der Einsatz entsprechender militärischer Wirkmittel („Cyberwaffen“), strategische Planungen und die Auswahl von militärischen Zielen soll dabei wie bisher im rahmen der rechtlichen bestehenden Regelungen (Parlamentsbeschlüsse, Grundgesetz und Völkerrecht) erfolgen (Antwort auf die Fragen 2 und 18).
Soweit man aus bisherigen großen Vorfällen im Cyberspace (sowohl im militärischen als auch im zivilen Rahmen) aber Rückschlüsse ziehen kann, scheinen Cyberattacken eine große Vorlauf-Phase zu benötigen, bei der Schwachstellen-Erkundung, dem Aufbau verdeckter Kanäle, durch die Verschleierung von Zugriffen und dem Einbau von Hintertüren um die gezielte Ausführung des eigentlichen Payloads (die Schadroutinen) zu ermöglichen. Betrachtet man die langen Laufzeiten der analysierten Vorfälle dann scheint diese Vorbereitungsphase durchaus mehrere Monate bis Jahre in Anspruch zu nehmen, insbesondere dann wenn nicht wahllos beliebige Systeme angegriffen wurden sondern gezielt spezifisch ausgewählte Einrichtungen.
Gerade auch für mögliche Operationen im Cyberspace durch die deutsche Bundeswehr, die durch das deutsche Parlament erlaubt wurden, ist eine solche Vorfeld-Aufklärung („Lagebild-Analyse“) und Zugriffsvorbereitung wahrscheinlich notwendig. Bisherige Parlamentsbeschlüsse zu Bundeswehr-Einsätzen erfolgten jedoch oft relativ kurzfristig und mit unmittelbarer, dafür aber auch zeitlich sehr eng bemessenem Rahmen. Derartig kurzfristige Operationen dürften in aller Regel kaum ausreichen um eine effektive Lagebild-Aufklärung zu ermöglichen, die jedoch Grundlage für eine effektive Cyberspace-gestützte offensive Verstärkung der klassischen Wirkmittel darstellen. Am Beispiel der NSA-Enthüllungen wird beispielsweise deutlich, in welchem Umfang sich Geheimdienste und Militär frühzeitig auf mögliche Offensiv-Zugriffe vorbereiten, IT-Systeme vorsorglich infizieren und Manipulationsstrukturen aufbauen.
Dieser Widerspruch wird auch durch die Antworten 23 und 24 der kleinen Anfrage deutlich (und durch die Bundesregierung nicht näher aufgelöst):
(23) „Stellt nach Einschätzung der Bundesregierung das Eindringen in fremde oder gegnerische IT-Netzwerke, um dort Schwachstellen auszukundschaften, „aufzuklären“ oder Funktionen zu stören, einen Angriff dar? Wo verortet die Bundesregierung gegebenenfalls die Grenze ab der ein derartiges Vorgehen zum Angriff wird?“:
Auch im Cyber-Raum sind Aktivitäten staatlicher Stellen am geltenden Recht zu messen. In friedensvölkerrechtlicher Hinsicht sind dies das Interventions- und Gewaltverbot sowie die davon nach dem Völkerrecht bestehenden Ausnahmen. Die Frage, inwieweit die für eine Ausnahme vom Interventions- oder Gewaltverbot notwendigen Voraussetzungen erfüllt sind oder nicht, ist im Einzelfall zu prüfen. (..)
(24) „Inwieweit kann es nach Einschätzung der Bundesregierung überhaupt einen Eingriff der Bundeswehr oder anderer staatlicher Stellen, einschließlich der Nachrichtendienste, in ausländische oder gegnerische IT-Netze geben, welcher nicht als Souveränitätsverletzung und in der Folge als „Angriff“ zu definieren ist?“
Ob eine rechtswidrige Souveränitätsverletzung gegeben ist, kann nur im Einzelfall unter Beachtung des einschlägigen Völkerrechts und der Gesamtumstände (z. B. Zustimmung des betroffenen Staates, Vorliegen von Resolution des VN-Sicherheitsrats oder anderer Rechtfertigungsgründe) bewertet werden.
Die Antworten lassen ungeklärt wer bzw. wie eine Regelung für den Einzelfall erfolgen soll. Welche Kriterien müssen abgewogen werden und erfüllt sein, wie werden diese strukturell und nachvollziehbar ausgelegt und von welcher Instanz?
Ein zweiter, kritisch zu bewertender Aspekt der Regierungs-Ansichten soll hier noch hervorgehoben werden. In Frage 30 beziehen sich die Antragsteller auf das sog. Unterscheidungsgebot demzufolge Kombattanten und Cyberangriffe der Bundeswehr äußerlich erkennbar und der Bundeswehr zuordbar sein müssen (letzterer Aspekt ist als das sog. Attributionsproblem bekannt). Die Antwort unterstreicht dabei, dass sich aus Sicht der deutschen Regierung die Zurechenbarkeit von IT-Zugriffen keineswegs aus völkerrechtlichen Geboten ableiten lässt.
(30) „Wie beabsichtigt die Bundesregierung mit Blick auf das völkerrechtliche Gebot, Kombattanten äußerlich erkennbar und so von der Zivilbevölkerung unterscheidbar zu machen (Unterscheidungsgebot), zu gewährleisten, sodass bei Cyberangriffen der Bundeswehr für die jeweiligen Gegner erkennbar wird, von wo bzw. wem der Angriff ausging (d. h., ob es sich um einen staatlichen, militärischen oder um einen von nichtstaatlichen, zivilen Akteurinnen oder Akteuren ausgehenden Angriff handelte)?“
Die Streitkräfte der Bundeswehr sind im internationalen bewaffneten Konflikt verpflichtet, sich von der Zivilbevölkerung zu unterscheiden, insbesondere durch das Tragen von Uniform. Das völkerrechtliche Unterscheidungsgebot erfordert aber bei der Nutzung technischer Einrichtungen und Aktivitäten im Cyber-Raum nicht, die Zurechenbarkeit zu einem bestimmten Staat offenzulegen.
Diese Interpretation mag aus juristischer Sicht möglicherweise tragfähig sein, wird jedoch absehbar für weitere Probleme sorgen. Zugriffe bei Cyberattacken sind – sofern sie nicht dereinst vollautomatisiert erfolgen – nicht vom Hacker der sich in dem fremden IT-System bewegt und mit entsprechenden Kommandos seine Operationen ausführt kaum zu trennen. Welche Situationen von der Regierungs als reine „Nutzung technischer Einrichtungen und Aktivitäten“ wie dies in der Antwort als Grundlage herangezogen wird bleibt auch hier offen. Eine sinnvolle und den technischen Begebenheiten schlüssig folgende Erläuterung ist zweifelhaft.
Insgesamt werfen die Antworten auf die kleine Anfrage mehr Detail-Probleme und Schwierigkeiten auf als sie beantworten oder aus der Welt räumen können. Es bleibt abzuwarten ob die in der Antwort der Regierung angeteaserte Budget-Kalkulation für die neue Bundeswehr-Cyber-Einheit hier weitere Erkenntnisse bringen wird.