In den vergangenen Tagen wurden vom deutschen Bundestag Antworten der Bundesregierung veröffentlicht, die sich auf zwei kleine parlamentarische Anfragen der Bundestagsfraktion DIE LINKE beziehen. Zum einen erfragen die Abgeordneten darin Kooperationen deutscher Dienste mit dem europäischen EU-Lagezentrum INTCEN bei Cybervorfällen und gehen dabei auch die Sicht der Bundesregierung zur Attribution von Cyberattacken ein. Aus der Anfrage (Kopie):
Ein gemeinsamer umfassender Ansatz der EU für die Cyberdiplomatie soll auch die „Eindämmung von Cyberbedrohungen“ besorgen. Dabei geht es auch um die Attribuierung von Störungen oder Angriffen im Cyberraum. Hierzu soll unter anderem das geheimdienstliche EU-Lagezentrum INTCEN Erkenntnisse beisteuern, sammeln und bewerten (Ratsdokument 6852/19). Das EU-INTCEN soll außerdem bei der Entscheidungsfindung für eine mögliche Reaktion auf „böswillige Cyberaktivitäten“ mitarbeiten. Dies ist jedoch aus Sicht der Fragestellerinnen und Fragesteller mit den EU-Verträgen unvereinbar, denn diese sehen keine Kompetenz für die Koordination der Geheimdienste vor. Auch eine nichtbindende Einschätzung des EU-INTCEN zu möglichen Reaktionen wäre kritisch, da Mitgliedstaaten dadurch im Sinne anderer Geheimdienste, die über mehr Aufklärungsfähigkeiten verfügen und Erkenntnisse bewusst an das INTCEN steuern, beeinflusst werden könnten.
Die Antworten der Bundesregierung verweisen unter anderem darauf, dass deutsche Dienste bislang „keinen terroristischen Cyberangriff attribuiert“ haben und das aus „Sicht der Bundesregierung (..) bei der Bewertung einer Cyberoperation die Maßstäbe Tragweite, Größenordnung, Dauer, Intensität, Komplexität und Wirkung maßgeblich“ sind. Das gemeinsame EU-Lagezentrum, an dem mindestens zwei Bundeswehr-Mitarbeiter_Innen sowie mutmaßlich auch BND-Angehörige beteiligt sind „betreibt keine eigene Aufklärung“ und arbeitet „auf der Basis von eingestuften Informationen und von durch die nationalen Nachrichtendienste bereits aufbereitetem Material, die seitens der Mitgliedstaaten zur Verfügung gestellt werden, sowie auf Basis von Erkenntnissen von EU-Institutionen“. Darüber hinaus „betreibt (es) Konsultationen mit Drittstaaten nach Maßgabe des Bedarfs und der relevanten EU-Vorschriften“. Die Frage, welche deutschen Behörden direkt mit EU-INTCEN koopieren, wird leider mit Verweis auf Geheimhaltungsnotwendigkeiten nicht beantwortet, allerdings verweist die Bundesregierung darauf, dass damit „Informationen zur Arbeitsweise des BND einem nicht eingrenzbaren Personenkreis nicht nur im Inland, sondern auch im Ausland zugänglich“ gemacht würden. Außer diesen Auskünften verweist die Antwort noch darauf, dass andere europäische Einrichtungen wie das „Europäische Kompetenzzentrum für Cybersicherheit in Industrie, Technologie und Forschung“ nicht an Attributionen beteiligt werden soll.
Eine zweite kleine Anfrage (Kopie) befasste sich insbesondere mit den Fähigkeiten, den Kooperationen und dem Einsatz des neuen Bundeswehr-Kommandos „Cyber und Informationsraum“ (KdoCIR). Viele Angaben sind leider als geheimhaltungswürdig eingestuft und lassen daher weiterhin wichtige Fragen offen, auf die sowohl die Bundeswehr als auch das Bundesverteidigungsministerium bisher keine zufriedenstellenden Antworten öffentlich gegeben haben. Dazu zählt unter anderem die Frage danach, ob und in welchem Umfang im Rahmen der Lagebild-Erstellung im Cyberspace – als eine der Aufgaben des Kommandos – auch in Friedenszeiten durch Bundeswehrkräfte fremde IT-Systeme analysiert werden oder ob dafür Kooperationen mit anderen nationalen Diensten (wie mutmaßlich dem Bundesnachrichtendienst) bestehen. Tatsächlich führt die Frage nach Kooperationen nur das Bundesamt für den Militärischen Abschirmdienst auf, zu dem eine „Kooperationsvereinbarung zum Austausch von Informationen im Rahmen der gesetzlichen Bestimmungen“ besteht, „Kooperationsvereinbarungen oder Bedarfsmeldungen“ an die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gibt es bislang nicht. Eine Frage zum Umgang, dem möglichen Einkauf und die Verwendung von Sicherheitslücken für militärische Zwecke wird mit Verweis auf Geheimhaltungsbedürfnisse abgelehnt, ein regulierter Prozeß für das Schwachstellenmanagement ist nach wie vor in Arbeit. Eigenständig entdeckte Sicherheitslücken in (eigenen) Systemen werden der Antwort zufolge an zuständige Stellen gemeldet:
Die durch die Informationssicherheitsorganisation der Bundeswehr in den eigenen Systemen identifizierten Sicherheitslücken werden an den jeweils zuständigen Informationssicherheitsbeauftragten des/der betroffenen Projekte und der betroffenen Dienststelle/-n zur Abstellung gemeldet. Entdeckte Sicherheitslücken werden gemäß § 4 des BSI-Gesetzes ebenfalls an das Bundesamt für Sicherheit in der Informationstechnik gemeldet.
Diffus bleibt auch die Antwort darüber, wie oder nach welchen Kriterien zwischen staatlichen und privaten Akteuren im Cyberspace unterschieden werden kann:
Der Einsatz von Cyber-Fähigkeiten der Bundeswehr muss sich stets im Rahmen des geltenden Völkerrechts bewegen. Soweit dazu Differenzierungen in Hinblick auf den völkerrechtlichen Status des Ziels einer Maßnahme erforderlich sein sollten, ist und wird dem durch entsprechende Vorkehrungen auf allen Ebenen Rechnung getragen.
Während damit wie in bisherigen Debatten auf die Gültigkeit bestehender völkerrechtlicher Normen sowie gesetzlicher Vorgaben bei Bundeswehr-Operationen im Cyberspace verwiesen wird, weichen die fehlenden Antworten genau jenen Punkten aus, wo diese Normen aufgrund der Spezifika des Cyberspace nicht oder nur schwer auf diesen übertragbar sind. Das Kommando soll Planungen zufolge im Jahr 2021 vollumfänglich aufgebaut sein. Mit Blick auf die darüber hinausgehenden Ziele geht es vorrangig um den:
- Auf- und Ausbau von Fähigkeiten zur Cyber-Verteidigung zum Erhalt der sicheren Nutzung des Cyber-Raums Deutschlands als Dauereinsatzaufgabe.
- Auf- und Ausbau eines Gemeinsamen Lagezentrums zur Sicherstellung eines umfassenden Lagebildes Cyber- und Informationsraum für den Geschäftsbereich BMVg und als Grundlage der Operationsführung in der Dimension CIR (inkl. Planung, Durchführung und Überwachung).
- Erhalt und Ausbau der Teilhabe am Nationalen Cyber-Abwehrzentrum und Erstellung Echtzeit-Lagebild Cyber Bundeswehr für den ressortübergreifenden Informationsaustausch.
Die Antwort der Bundesregierung hebt abschließend nochmals hervor, dass Deutschland bereit ist auch seine militärischen Cyber-Kräfte für Bündnis-Operationen einzubringen und …
(..) zukünftig die Erzielung militärischer Effekte im Rahmen von NATO-geführten Operationen auch mit Cyber-Operationen als nationalem, souveränen Beitrag zu unterstützen. Der Einsatz von Cyberfähigkeiten erfolgt anlassbezogen im konkreten Einzelfall und nach souveräner Entscheidung, unter Beibehaltung nationaler politischer und rechtlicher Vorbehalte.
Zusammengefasst bleiben die Antworten damit an entscheidenden Punkten hinter dem Aufklärungsbedarf und den Fragen zurück, da wesentliche Punkte wie die Besonderheiten der Anwendung völkerrechtlichen Normen im Cyberspace, die Unterscheidung und Identifikation von Kombattanten, der notwendige Schutz ziviler Infrastrukturen oder die Maßnahmen für die Vermeidung der Gefährdung fremder IT durch Vorfeld-Aufklärung nicht erläutert werden oder – wie seit langem – auf laufende Abstimmungsprozeße verwiesen wird. Gleichzeitig lassen die Antworten vermuten, dass im Rahmen der militärischen Fähigkeiten der Bundeswehr zunehmend auch auf die Integration von offensivem Wirken im Cyberspace gesetzt wird und diese Kapazitäten weiter ausgebaut werden sollen.