Die Bundeswehr auf dem Weg ins digitale Schlachtfeld
Eine eigene Doktrin für Informationsoperationen wird erarbeitet, die USA liefern die Ideen, und die Rüstungskontrolle bleibt weiterhin unterbelichtet
Die Bundeswehr auf dem Weg zur Cyberkriegsführung nach dem Vorbild der USA? Kaum jemand konnte sich dies bisher vorstellen, traut sich doch schon die zivile Arbeitsgruppe KRITIS, die im Auftrag des Innenministeriums die Risiken durch Cracker untersuchen soll, mit ihren Entwürfen nicht an die Öffentlichkeit. Als am 23. Mai die Weizsäcker-Kommission ihren Bericht zur Zukunft der Bundeswehr vorlegte, hielt dieser immerhin schon die Abwehr einer feindseligen "Infovasion" durch "Logik-Bomben, Mutations-Viren, vergiftete Cookies" für geboten - als Querschnittsaufgabe aller Ministerien, womit die Bundeswehr implizit eingeschlossen wurde. Jetzt wurde bekannt, dass die Bundeswehr inzwischen an einer eigenen Doktrin für "Informationsoperationen" arbeitet und dabei defensive und offensive Elemente einbezieht.
Cyberwar als Aufgabe für die Bundeswehr?
Scharping selber hatte Ende Mai in Berlin ein ausführliches Gespräch mit IT-Führungskräften der Bundeswehr anberaumt. Von seinen Mitarbeitern wird dies als deutliches Zeichen dafür gewertet, dass die Informationstechnik in Zukunft auf den ersten Platz der Prioritätenliste rutschen könnte. Das “Informationskriegs”-Trommelfeuer aus den US-Streitkräften und die im letzten Jahr von den NATO-Verteidigungsministern verabschiedete "Defense Capabilities Initiative" (DCI)1 zum Schließen der rüstungstechnologischen Lücke zwischen den USA und ihren Alliierten haben offenbar ihre Wirkung nicht verfehlt. Ob dies auch zu eigenen Informationskriegskapazitäten der Bundeswehr führt, blieb aber bislang unklar.
Nun, mittlerweile im 21. Jahrhundert angelangt, traute sich ein Gremium im Auftrag des Verteidigungsministeriums erstmals mit einer Warnung vor Computerangriffen an die Öffentlichkeit: Die Kommission “Gemeinsame Sicherheit und Zukunft der Bundeswehr”, die unter Leitung von Altbundespräsident Richard von Weizsäcker seit Frühjahr 1999 über eine “Erneuerung von Grund auf” nachgedacht hatte, beginnt ihren am 23. Mai vorgelegten Bericht so wie es sich gehört, nämlich mit einer sicherheitspolitischen Lageanalyse. Dort heißt es in Abschnitt 22 unter der Überschrift “nichtmilitärische Risiken”:
Die rasante Entwicklung der Kommunikationstechnik beschwört neuartige Gefahren herauf. Sie bedrohen sowohl die private wie die staatliche Sphäre. Nach den Massenvernichtungswaffen (weapons of mass destruction) gewinnen im Zeitalter der alle Lebensbereiche durchdringenden elektronischen Vernetzung Massenverwirrungswaffen (weapons of mass disruption) Bedeutung. Sie können nicht nur das militärische Fernmeldewesen stören, sondern die Infrastruktur der modernen Gesellschaft lahmlegen: Börsen und Banken, Energieversorgung und Telekommunikation, Verkehrsnetze und die Luftverkehrskontrolle; überhaupt alle Wirtschaftsunternehmen. Die neuen technischen Möglichkeiten schaffen neue Verwundbarkeiten. Die Waffen der Computer-Eindringlinge sind Logik-Bomben, Mutations-Viren, vergiftete Cookies und digitale Trojanische Pferde. Die Abwehr einer feindseligen Infovasion gebietet verstärkte Sicherheitsanstrengungen und zwar im engen Zusammenwirken aller Ressorts der Bundesregierung.
Gemeinsame Sicherheit und Zukunft der Bundeswehr. Bericht der Kommission an die Bundesregierung
Die Kommissionsmitglieder haben also offensichtlich ebenfalls die amerikanische Debatte aufgegriffen und von dort wohl bekannte Bedrohungsszenarien übernommen. Soweit, so unoriginell, aber dies war zu erwarten. Dass man in einem solchen Bericht allerdings von technisch unmöglichen “vergifteten Cookies” schreibt und auch noch vor falsch übersetzten “Massenverwirrungswaffen” warnt (“weapons of mass disruption” bedeutet “Massenunterbrechungswaffen”), läßt doch deutliche Rückschlüsse auf die mangelnde Computerkompetenz der durchschnittlich weit über 60jährigen Kommissionsmitglieder zu. Minister Scharping tat daher sehr gut daran, in seinem “Eckpfeiler”-Papier, das er Anfang Juni vorlegte, diese “neuen Risiken” nicht mehr zu erwähnen.
Also immer noch keine Computerkriegsführung durch deutsche Truppen? Nun, an weniger prominenter Stelle wird schon länger darüber nachgedacht: Für die defensiven Aspekte des “Informationskrieges” existiert bereits seit 1997 die mit zweieinhalb Planstellen ausgestattete Arbeitsgruppe Kritische Infrastrukturen (KRITIS) im Bundesamt für Sicherheit in der Informationstechnik (BSI). Da die AG ressortübergreifend arbeitet, sind zwar auch Vertreter des Verteidigungsministeriums beteiligt, aber in die eigenen Rechnersysteme läßt sich die Bundeswehr laut Aussage eines KRITIS-Mitarbeiters nur ungern hineinschauen. Auch vom Selbstverständnis her deckt das BSI eher den zivilen Schutz von IT-Systemen ab, eine Aufgabe für die Bundeswehr als möglicher Cyberwar-Akteur ist nicht vorgesehen. Damit wäre eigentlich klar, daß der Schutz vor Crackern in Deutschland keine militärische, sondern höchstens eine polizeiliche Aufgabe ist. Die Zuständigkeiten sind aber nach wie vor umstritten, und auch in dem kürzlich bekannt gewordenen Entwurf des KRITIS-Sensibilisierungsberichtes wird die Gefahr in militärischen Begriffen wie “Cyberwar” diskutiert.
Auch aus dem Umfeld der Bundeswehr sind in den letzten Jahren Begehrlichkeiten laut geworden. Sigurd Hess, Europavorsitzender der Armed Forces Communications and Electronics Association (AFCEA)5, fordert etwa, “Information Warfare ist eine operative Aufgabe und muss beim Planungsverantworlichen der Bundeswehr, dem Generalinspekteur, angesiedelt sein”.6 Sogar das Cracken von Webseiten wird heute von leitenden Ministeriumsmitarbeitern als “asymmetrische Kriegführung” bezeichnet und mit den üblichen Schreckensszenarien wie Schurkenstaaten und Terrorismus in Verbindung gebracht.
Der Hintergrund dafür ist auch die zunehmende Verwundbarkeit der Bundeswehrrechner selber. Bislang war man innerhalb der Truppe aufgrund der geschlossenen Netzstrukturen recht sicher vor Cyber-Angriffen. Dies wird jedoch nach Angaben von Berndt Glowacki, Referatsleiter für Grundlagen der Führungssysteme auf der Hardthöhe, nicht so bleiben: Einerseits werden zunehmend technische Aufgaben an private Dienstleister vergeben, die neben der Bundeswehr auch andere Kunden betreuen und ihre Rechenzentren an öffentliche Netze angeschlossen haben, andererseits ist man auch bei den Aufklärungseinheiten und im internen Meldewesen scharf auf Informationen aus dem öffentlichen Internet. Derzeit sind zwischen das Internet und das interne Netz des Führungsstabes im Verteidigungsminsterium zwei Firewalls geschaltet, die bislang größere Probleme verhindert haben. Aber, so stöhnte Glowacki kürzlich bei einer Veranstaltung der Deutschen Gesellschaft für Auswärtige Politik in Berlin, seine Internetverbindung sei dadurch wieder so langsam wie ein 14.400-Baud-Modem.
Die Anfänge der deutschen Infowar-Debatte
Seit Mitte der neunziger Jahre hat die Bundeswehr sich mit der defensiven Seite des “Informationskrieges” beschäftigt. Dies war vor allem eine Reaktion auf US-amerikanische Diskussionen - bereits 1996 wurde dort z.B. das Field Manual 100-6 “Information Operations” der US Army veröffentlicht - , weniger auf eine reale Bedrohungsanalyse. Auch nur potenziell denkbare mögliche Gegner wie Russland oder China haben ihre Infowar-Strategien nämlich erst Ende der neunziger Jahre formuliert, ebenfalls in Reaktion auf die USA. Für die Bundeswehr hat sich bereits 1995 und 1996 eine Arbeitsgruppe im Amt für Studien und Übungen der Bundeswehr mit den Auswirkungen neuer Technologien auf die künftige Kriegführung befasst. Unter dem Titel “Streitkräfteeinsatz 2020” untersuchte die Arbeitsgruppe die Implikationen für die Bundeswehr. Bereits hier wurde “der Kampf um und mit Informationen” als “ganz wesentlich” für die Zukunft eingeschätzt. Diese Überlegungen bezogen sich allerdings auf die Hoheit über Informationen vom realen Schlachtfeld, und waren im Wesentlichen von der US-Strategie des “Information Dominance” bzw. “Dominant Battlespace Knowlegde” abgeschrieben.
Der Komplex “Computerkrieg” wurde damals ebenfalls unter defensiven Aspekten untersucht, aber als eher nichtmilitärisches Problem eingestuft. Eine Studie vom Mai 1997, die die Bundeswehr im Umfang von 1 Million DM bei der Firma Competence Center Informatik GmbH (CCI) aus Meppen in Auftrag gegeben hatte, befasste sich ausschließlich mit dem “Computerkrieg”, ihre Ergebnisse sind aber der Öffentlichkeit nicht bekannt geworden. Nach Angaben aus dem Verteidigungsministerium waren diese und weitere Studien entweder Literaturberichte über die amerikanische Infowar-Debatte oder technische Untersuchungen zur Sicherheit der bundeswehreigenen IT-Systeme.
Weil die Bundeswehr auf absehbare Zeit immer im Bündnis mit Streitkräften anderer Staaten eingesetzt werden wird, wird ein besonderes Augenmerk auf die Sicherheit der NATO-internen Kommunikationsnetze gelegt. Im Rahmen der NATO versuchen die drei großen Staaten Deutschland, Frankreich, Großbritannien und natürlich die USA ihre IT-Sicherheit im Rahmen der “C3 Senior National Representatives Activities” zu koordinieren. Innerhalb der NATO besteht inzwischen auch ein eigenes “Red Team”, das mit Cracking-Tools die Sicherheit der eigenen Computersysteme überprüft. Darüber hinaus wurden von einer kleinen Arbeitsgruppe in der nordatlantischen Militärorganisation einige Papiere verfasst, die das Problemfeld erst einmal aufgegliedert, aber noch keine konkreten Maßnahmen vorgesehen haben. Die internationalen Kontakte, sofern sie in diesem Themenbereich überhaupt bestehen, spielen sich daher vor allem auf bilateraler Ebene ab. An einer Kooperation mit dem amerikanischen Militär ist die Bundeswehr dabei natürlich besonders interessiert. Die USA haben bereits 1998 ihre Hilfe u.a. in den Bereichen “Red Teams”, Public Key Infrastructure, Überwachung von IT-Systemen, Forschung und Entwicklung, Politikentwicklung, Ausbildung und Lageanalysen angeboten. Während das in Deutschland zuständige Bundeswehrbeschaffungsamt (BWB) stärker an den technischen Erkenntnissen interessiert ist, zeigen die letzten Punkte deutlich, dass die USA auch die Problemwahrnehmung und Politikentwicklung ihrer Verbündeten an ihre eigenen Standards angleichen wollen. Dies entspricht der außenpolitischen Strategie des “Soft Power”, die im Zuge der Informationsrevolution in Washington in den letzten Jahren sehr populär wurde. Offenbar ist diese in der Bundeswehr allerdings noch nicht bekannt, denn der Abteilungsleiter IT im Bundeswehrbeschaffungsamt, Heinz Weßling, wunderte sich noch 1998 darüber, dass “die Offenheit und das Interesse der USA (...) überraschend groß” seien. Die kulturelle Hegemonie der USA in der Infowar-Debatte zeigt sich auch daran, dass die Bundeswehr ihre Cyberwar-Planspiele auch an der RAND Corporation in Santa Monica/Kalifornien durchführt, aktuell Mitte Juli zusammen mit vier anderen Nationen.
RAND, eine konservative Denkfabrik, die vor allem für das Pentagon arbeitet, hat seit Mitte der neunziger Jahre durch verschiedene Publikationen und vor allem durch ihre “The Day After in Cyberspace”-Szenarien sehr zur Popularisierung der Infowar-Bedrohungskonstruktion beigetragen. Die Planspiele werden den Verbündeten kostenlos angeboten und tragen so zur Dominanz der amerikanischen Infowar-Debatte bei.
Bundeswehr-Doktrin für “Informationsoperationen” in Arbeit
Nachdem die US-Debatte hierzulande angekommen war, wurde seit 1998 im Auftrag des Bundeswehrbeschaffungsamtes an einer Studie “Informationsabsicherung der Bundeswehr” gearbeitet, in der zunächst eine Verwundbarkeitsanalyse erstellt und darauf aufbauend eine “Informationsabsicherungsstrategie” entwickelt wurde. Wenn offiziell von “Informationskriegs-Fähigkeiten” der Bundeswehr gesprochen wird, ist darunter also bislang vor allem die hauseigene IT-Sicherheit zu verstehen. Auch hier drückt der Sparzwang auf die Sicherheit: Anstatt zertifizierte hochsichere Systeme zu beschaffen, hat man sich in der Bundeswehr für die günstigere Variante der zertifizierten mittelsicheren Systeme entschieden. Erfolgreiche Cracking-Versuche sind daher aufgrund der technischen Ausstattung nicht auszuschließen. Im Gegenteil: Die Bundeswehr rechnet sogar damit. Daher sollen die IT-Kräfte der Bundeswehr künftig mit Hilfe von Intrusion-Detection-Systemen in Echtzeit Eindringversuche in die Rechnersysteme feststellen, verfolgen und abwehren können. Dies dürfte allerdings mehr Wunsch als Wirklichkeit bleiben, denn aufgrund der niedrigen Soldstruktur und der militärischen Rituale und Hierarchien ist die olivgrüne Truppe extrem unattraktiv für hochqualifizierte IT-Spezialisten. Sogar die Rüstungsindustrie klagt derzeit über einen Mangel an Fachkräften.
Im IT-Testzentrum in der Wehrtechnische Dienststelle 81 im bayerischen Greding setzt man sich allerdings seit einiger Zeit “mit geschultem Personal” mit den “Waffen des Information Warfare” auseinander. Dabei werden Viren, Würmer Trojaner und andere Methoden eingesetzt. Heinz Weßling, Abteilungsleiter IT im Bundeswehrbeschaffungsamt, bezeichnet diese ausdrücklich als “Angriffswaffen”, deren Wirkung man kennen und verstehen müsse. Offiziell dienen diese “Red Team”-Methoden nur zur Verbesserung des eigenen IT-Schutzes.
Wenn das Wissen über “Infowar-Angriffswaffen” aber erst einmal vorhanden ist, kann es theoretisch jederzeit auch offensiv eingesetzt werden - nach einer entsprechenden Aufstockung des Personals. Dass die Bundeswehr sich hier vollständig zurückhalten wird, ist nicht wahrscheinlich. Auf militärstratsegischer Ebene haben nämlich auch die deutschen Streitkräfte das amerikanische Konzept der “Information Dominance” übernommen, das darauf basiert, die eigenen Informationsflüsse zu optimieren und die des Gegners zu stören bzw. zu manipulieren. Neben den klassischen militärstrategischen Komponenten Kräfte, Raum und Zeit tritt der Faktor Informationen immer mehr in den Vordergrund. Das Ziel ist eine Operationsgeschwindigkeit, bei der der Gegner nicht mehr mithalten kann.
Der kürzlich abgelöste Generalinspekteur der Bundeswehr, Hans Peter von Kirchbach, ist in seinem Papier “Eckwerte für die konzeptionelle und planerische Weiterentwicklung der Streitkräfte”26, das zeitgleich mit dem Bericht der Weizsäcker-Kommission im Mai vorgelegt wurde, genauer auf diese Entwicklung eingegangen. Er sah vor, als zentralen teilstreitkräfteübergreifenden Bereich der Bundeswehr, eine Abteilung “Operative Information” zu einzurichten, die zunächst beim Heer angesiedelt und mit neuem Personal ausgestattet werden sollte. Die Begründung klingt wie die wörtliche Übersetzung aus amerikanischen Info-War-Doktrinen: “Im gesamten Aufgabenspektrum wird künftig der Kampf um und mit Information geführt, die Aufgaben eigener und verbündeter Streitkräfte durch eigene Information erläutert und die militärische Operationsführung mit kommunikativen Mitteln und Methoden unterstützt.” Als Ziel ist eine “Integration aller Medien” vorgesehen.27 Dies deutet bereits darauf hin, dass der Infowar sich auch hierzulande nicht auf Cyberkriege in den Datennetzen beschränken soll, sondern zum Beispiel die Einheiten für psychologische Kriegführung einbezieht, die heute an der Akademie der Bundeswehr für Information und Kommunikation (AIK) in Strausberg angesiedelt sind.
Die Beschränkung auf defensive Infowar-Konzepte, die im Wesentlichen den Schutz der eigenen Datennetze vorsehen, wird also aus der militärischen Logik heraus nicht durchgehalten. Offensiven Infowar-Plänen zur Kontrolle auch der zivilen “Informationssphäre”, wie in den USA vorgesehen, ist damit die Tür geöffnet. Um die Informationsflüsse des Gegners zu stören, verfügt die Bundeswehr bereits seit Jahren über Mittel der elektronischen Kampfführung (Eloka), darunter Störsender, radarsuchende Raketen wie die HARM (High Speed Anti-Radar Missile) oder eine speziell ausgestattete Variante des Jagdbombers Tornado mit der Typenbezeichnung ECR (Electronic Combat and Reconnaissance).
Was ist dann aber noch der qualitative Unterschied zwischen einem Stören gegnerischer Kommunikation und ihrem Cracken? Gerade beim Datenfunk, der für hochmobile Truppen immer wichtiger wird, ist es nicht sehr schwierig, falsche Signale in die gegnerischen Systeme einzuspeisen. Die US Air Force hat dies nach eigener Aussage während des Kosovo-Krieges mit der serbischen Luftabwehr erfolgreich praktiziert.29 Bei einer Tagung über “Szenarien, Konzepte, Methoden und Werkzeuge für Information Warfare oder Information Assurance”, die von der Studiengesellschaft für Wehrtechnik in Bonn im November 1998 durchgeführt wurde, waren sich die anwesenden Experten aus Ministerien und Behörden, Militär und Industrie einig, dass die Grenzen zwischen elektronischer Kampfführung und Informationskrieg fließend sind.30 Deutlicher: Sobald die Militärs über die Bedeutung von Informationsflüssen für die Kriegführung nachdenken und sich dabei nicht auf die rein technische IT-Sicherheit beschränken, werden Verteidigung und Angriff mitgedacht.
Dies bestätigt seit neuestem auch die Führungsspitze im Verteidigungsministerium. Um alle diese Entwicklungen systematisch zusammenzudenken und für den Umgang mit Informationen im Krieg und für den Krieg ein Gesamtkonzept zu entwickeln, wird derzeit an einer bundeswehreigenen Doktrin für “Informationsoperationen” gearbeitet. Berndt Glowacki, Referatsleiter für Grundlagen der Führungssysteme im Verteidigungsministerium, betont allerdings, dass man immer noch ganz am Anfang sei. Zunächst müsse ein Konzept erstellt werden, das Ziele, Mittel und Strategien sowie technisch und politisch mach- und wünschbares zusammenführt. Erst darauf aufbauend wird die operative Umsetzung geplant werden, die dann auch zu konkreten Truppenplanungen, neuen Einheiten und Beschaffungen führen wird. Auf Nachfrage bestätigte Glowacki, dass in Anlehnung an die US-Doktrin unter “Informationsoperationen” das gesamte Spektrum der Infowar-Werkzeuge in die Überlegungen einbezogen wird, also von IT-Sicherheit und elektronischer Kampfführung bis hin zu Cracker-Techniken und Medienbeeinflussung. Neben defensiven Verwendungen wird auch darüber nachgedacht, wie solche Techniken genutzt werden können “um Einfluß zu nehmen”31 - eine vorsichtige Umschreibung für Angriffe auf die gegnerischen Informationsflüsse.
Ist die Bundeswehr damit auf dem Weg in die offensive Informationskriegführung nach amerikanischem Vorbild? In Teilbereichen sicherlich, aber mit einer Arbeitsgruppe, der gerade einmal zwei Planstellen zugeteilt sind, geht die Entwicklung eher schleppend voran. Darüber hinaus ist die gesamte Annäherung an das Thema hierzulande zurückhaltender als jenseits des Atlantiks. Die immer noch eher zivil orientierte außenpolitische Kultur der Bundesrepublik beschränkt die Möglichkeit, für solche Strategien innerhalb des politischen Apparates Unterstützer zu finden. Auch in der Führung des Verteidigungsministeriums steht eine grundsätzliche Entscheidung über Informationskriegsfähigkeiten der Bundeswehr erst noch aus. Minister Scharping wird sich allerdings dem Infowar-Konzept nicht entziehen können, wenn es erst einmal ausgearbeitet ist und die USA ihre offensive Vermarktung des Themas weitertreiben. Wenn verhindert werden soll, dass die zur Zeit entstehende Infowar-Rüstungsspirale zwischen den USA auf der einen und Staaten wie Russland und China auf der anderen Seite von Deutschland aus weiteren Schwung bekommt, darf das Problem daher nicht den Arbeitsgruppen und Planungsstäben der Militärs überlassen werden, sondern sollte auf der außenpolitischen Strategieebene diskutiert werden. Überlegungen für eine “Cyber-Rüstungskontrolle”, wie sie bereits vereinzelt von wissenschaftlicher Seite vorgelegt wurden32 und auf Drängen von Russland seit 1999 in der Generalversammlung der Vereinten Nationen behandelt werden33, werden aber bislang ignoriert und sind auch im Hause des grünen Außenministers Joschka Fischer noch nicht angekommen. Hier läge durchaus eine Chance, rot-grüne Außenpolitik als “Friedenspolitik” (so der Koalitionsvertrag) in einem zukunftsweisenden Bereich zu profilieren.
Ralf Bendrath ist Mitbegründer der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS) und betreibt die Mailingliste Infowar.de. Weitere Informationen: http://userpage.fu-berlin.de/~bendrath