Eine der entscheidenden, bislang offiziell nicht beantworteten Fragen zum Aufbau des Cyber-Kommandos der Bundeswehr besteht darin, wie die Cyber-Kräfte an relevante Informationen über mögliche Ziele, deren Integration in Netzwerk-Infrastrukturen und Schwachpunkte, über die ein Überwinden der Sicherheitsmaßnahmen und das Eindringen in die IT-Systeme erfolgen könnte. Solche Informationen und Daten wären notwendig um im Einsatzfall der Cyber-Kräfte diesen schnell und effektiv den Zugriff auf IT-System zu ermöglichen, von denen Cyber-Attacken ausgehen. Insbesondere für den Fall militärischer Konflikte und IT-Netzwerke verbergen sich diese Ziele hinter umfangreichen Schutzmaßnahmen oder sind nur über zwischen geschaltete IT-Systeme zu erreichen, in die man ihrerseits erst eindringen und Sicherheitsmaßnahmen überwinden müsste. All diese Operationen sind zeit- und arbeitsaufwendig, da man in aller Regel vorsichtig vorgehen muss um nicht von Schutzmaßnahmen entdeckt zu werden oder Gegenmaßnahmen auszulösen. Das US-Cybercommand und US-Nachrichtendienste wurden daher beispielsweise durch eine präsidiale Direktive im Mai 2012 (PPD 20) angewiesen, bereits in Friedenszeiten eine Liste potentieller Ziele im Cyberspace zu erstellen, Zugriffsmöglichkeiten zu identifizieren und nach Möglichkeit eine verborgene Präsenz in diesen IT-Systemen zu etablieren um auf diese im Bedarfsfall unmittelbar einwirken zu können.
Mit Blick auf die deutschen Cyber-Kräfte des Zentrums für Cyber-Operationen, die für offensives Wirken im Cyberspace zuständig sind und seit 2006 trainieren stellt sich die Frage, ob, wie und in welcher Form diese Lagebild-Aufklärung erfolgt. Formell dürfen die Cyber-Kräfte in Friedenszeiten nicht in fremden IT-Systemen unterwegs sein, entsprechende Befugnisse werden formal nur dem Auslands-Geheimdienst eingeräumt. Ein entsprechende Anfrage an die Bundesregierung über Kooperationen der Bundeswehr bzw. des Bundesverteidigungsministeriums, wurde wie folgt beantwortet:
Welche Kooperationen von IT-Kräften der Bundeswehr, des Kommando CIR, der CNO-Einheit sowie deren Nachfolgeinstitutionen wie dem Zentrum Cyber-Operationen mit anderen deutschen staatlichen Stellen bzw. Nachrichtendiensten gab und gibt es? In welchen Anteilen wurden und werden hier welche Aufgaben erfüllt, und zu welchen Zwecken?
Zwischen KdoCIR und BAMAD besteht eine Kooperationsvereinbarung zum Austausch von Informationen im Rahmen der gesetzlichen Bestimmungen. KdoCIR und das BAMAD [Bundesamt für den Militärischen Abschirmdienst] tauschen insbesondere im Nationalen Cyber-Abwehrzentrum mit anderen Behörden Informationen zu Cyber-Vorfällen aus. (..) Darüber hinaus gehende Aktivitäten finden im Rahmen der jeweiligen verfassungsrechtlichen bzw. gesetzlichen Aufgabenerfüllung statt.
Das Bundesamt für den Militärischen Abschirmdienst ist seiner Aufgabenstellung zufolge jedoch nur für den Schutz der Bundeswehr, deren Einrichtungen sowie des Verfassungsschutzes innerhalb des Bundeswehr-Personals zuständig, nicht jedoch für die Aufklärung zum offensiven Wirken in kriegerischen Auseinandersetzungen. Die Kooperationen der Behörden und Institutionen im nationalen Cyber-Abwehrzentrum andererseits sind auf die gemeinsame Lagebilderstellung zu Bedrohungen aus und im Cyberspace sowie die Feststellung von Gefahren begrenzt.
Damit bleibt nach wie vor offen, wie und woher die Bundeswehr notwendige Informationen im Cyberspace erhält oder ob sie – auf die Gefahr hin kaum schnell und effektiv im Cyberspace einsatzfähig zu sein – tatsächlich erst nach einer entsprechenden Befugnis durch den Bundestag selbst aktiv wird. Eine mögliche Antwort darauf liefern die jüngst durch Medien geleakten Informationen über die Hack-Back-Planungen im Bundesinnenministerium. Dort heißt es auf die Frage, welche Behörden für aktive Cyber-Gegenmaßnahmen in der Lage sind, dass dafür mutmaßlich der Bundesnachrichtendienst geeignet sei, da dieser „bereits heute über viele der notwendigen Kompetenzen verfügt, fremde IT-Systeme im Ausland ausspäht und konstant Informationen über Cyberangreifer, deren Vorgehen und Infrastrukturen“ sammelt.
Eine solche, mögliche Kooperation des BND mit der Bundeswehr ist jedoch problematisch, da es die Frage aufwirft, wie die erweiterten Aktivitäten des Nachrichtendienstes, als „Zuträger“ für die Cyber-Kräfte parlamentarisch kontrolliert werden sollen, wer im Zweifelsfall entscheidet wie weit bei Aufklärungsmaßnahmen in Friedenszeiten in fremde IT-Systeme eingedrungen werden darf und wie völkerrechtliche Prinzipien wie der Schutz ziviler Infrastrukturen dabei gewahrt bleiben können. Gleichzeitig besteht bei solchen Vorfeldmaßnahmen immer auch die Gefahr der unabsichtlichen Störung oder Zerstörung fremder IT-Systeme, insbesondere wenn die Maßnahmen verdeckt erfolgen und damit die Notwendigkeit besteht IT-Schutzmaßnahmen zu umgehen, zu durchbrechen oder digitale Spuren zu verwischen. Diese Gefahr wird verschärft dadurch, dass man IT-Systemen in aller Regel „von außen“ (also ohne durch gefährdende Maßnahmen in die Systeme einzudringen) ansieht, für welche militärischen oder zivilen IT-Dienste sie zuständig sind.
Die skizzierten Mutmaßungen lassen befürchten, dass einerseits dem BND zukünftig eine entscheidende Rolle als „Dienstleister“ der Bundeswehr zukommen wird, dessen Aktivitäten aber schwerlich mit dem Anspruch demokratischer Öffentlichkeitsaufklärung oder der parlamentarisch notwendigen Kontrolle vereint werden kann. Leider verweist auch die jüngste Antwort der Bundesregierung bei diesen Problemen wie in den Antworten der Jahre zuvor darauf, dass
Der Einsatz von Cyber-Fähigkeiten der Bundeswehr (..) sich stets im Rahmen des geltenden Völkerrechts bewegen [muss]. Soweit dazu Differenzierungen in Hinblick auf den völkerrechtlichen Status des Ziels einer Maßnahme erforderlich sein sollten, ist und wird dem durch entsprechende Vorkehrungen auf allen Ebenen Rechnung getragen.
Eine zufriedenstellende Antwort, die den obigen Herausforderungen gerecht wird ist das nicht.