Cyberkommando der Bundeswehr: IT-Sicherheit — überfällige Transformation

Flagge Deutschland

Dieser Artikel wird mit fre­undlich­er Genehmi­gung der “Marine­Fo­rum — Zeitschrift für mar­itime Fra­gen” veröf­fentlicht.

Marineforum

Cyberkom­man­do der Bun­deswehr: IT-Sicher­heit — über­fäl­lige Trans­for­ma­tion Der Klabauter­mann, benan­nt nach dem niederdeutschen Wort klabastern für »polternd umherge­hen«, warnt die Seeleute vor Gefahr und hil­ft beim Abdicht­en des Schiffes, ist aber generell unbe­liebt, weil durch sein Auftreten eher störend und in der Vorstel­lung der Seeleute als gruselig und unterirdisch eingestuft. Im 21. Jahrhun­dert ist der Klabauter­mann in der Schiff­fahrt aus der Vorstel­lung der Seeleute größ­ten­teils ver­schwun­den, seine Stelle und Tätigkeits­beschrei­bung wur­den vom IT-Sicher­heits­beauf­tragten (IT-SiBe) über­nom­men.

Warum ist das so, und sollte es so bleiben?

Die IT-Sicher­heit in der Truppe ste­ht heute noch in der gelebten Tra­di­tion der Zeit, in der die ersten noch unver­net­zten Einzelplatz-PC in den Büros auf­taucht­en und die Aspek­te admin­is­tra­tiv­er Daten­schutz sowie Ein­schränkung nicht­di­en­stlich­er Nutzung im Vorder­grund standen. Mit dem Auf­tauchen der ersten Com­put­er­viren Ende der 80er Jahre sowie der zunehmenden Ver­net­zung der IT in den Dien­st­stellen und bun­deswehrweit erweit­erte sich der Fokus der Ver­ant­wortlichen zwar auf den Schutz der Net­ze, Selb­stver­ständ­nis und Hand­lungsweise ver­har­rten aber größ­ten­teils beim Kon­trol­lieren und Unter­sagen. Dieses man­i­festiert sich ins­beson­dere in der IT-Sicher­heits-Basisvorschrift ZDV 54/100, deren Schw­er­punkt auf der Admin­is­tra­tion der The­matik und nicht in der Lösung von Prob­le­men liegt.

In Zeit­en schwindel­er­re­gen­der Kom­plex­ität der Hard- und Soft­wareumwelt sowie expo­nen­tiell ansteigen­der glob­aler Bedro­hung des »Cyber­space«, u.a. durch Krim­inelle und staatliche Akteure, wer­den die zwangsläu­fig auf die Nutzung der IT angewiese­nen Nicht-IT-Fach­leute wie auch die in Beschaf­fung und Nutzung von Wehr­ma­te­r­i­al einge­set­zten Per­so­n­en allein gelassen: Die kom­pe­ten­ten, mitver­ant­wortlichen und in die mil­itärischen und Rüs­tung­sprozesse einge­bun­de­nen Experten zur Lösung bren­nen­der Detail­prob­leme fehlen fast voll­ständig. Dies ist den heute als IT-SiBe einge­set­zten Män­nern und Frauen in der Regel nicht per­sön­lich anzu­las­ten, son­dern begrün­det sich aus den bekan­nt knap­pen per­son­ellen Ressourcen, unzure­ichen­der Dotierung der Dien­st­posten sowie fehlen­der Ori­en­tierung des STAN-Auf­trags am Bedarf.

Die Bedro­hung der glob­alen und nationalen IT hat spätestens mit der Freiset­zung so hoch­per­for­man­ter Schad­soft­ware wie »Con­fick­er« und »StuxNet« eine Dimen­sion angenom­men, die die zer­störerische Wirkung kinetis­ch­er Waf­fen erre­icht und eine drastis­che Kursko­r­rek­tur in der IT-Sicher­heit erforder­lich macht.

StuxNet war ein Damm­bruch: Anfang 2009 wur­den weltweit indus­trielle Prozesss­teuerungssys­teme mit ein­er maßgeschnei­derten Schad­soft­ware infiziert, die die hoch abgesicherte, für den Iran strate­gisch wichtige Uranzen­trifu­ge­nan­lage im iranis­chen Natanz, und nur genau diese, par­tiell zer­störte und das iranis­che Atom­pro­gramm mas­siv zurück­warf. Die sich an die Attacke anschließende zeit­ges­teuerte Selb­stzer­störung der Schad­soft­ware zum Löschen der Spuren miss­lang nur deswe­gen, weil die Anla­gen­be­treiber offen­sichtlich die Sys­temzeit manip­ulierten, um ein Aus­laufen der Lizen­zen der ille­gal erwor­be­nen Betrieb­ssoft­ware zu ver­hin­dern.

Man beachte: Eine einzige, spez­i­fis­che Anlage wird mit chirur­gis­ch­er Präzi­sion aus­gewählt und teil­weise ver­nichtet. Die gewählten Wege (Angriffsvek­toren) waren vorher unbekan­nt, der Angriff kam völ­lig uner­wartet.

Wenn ein Aggres­sor Prozesss­teuerungsan­la­gen für kern­tech­nis­che Anla­gen punk­t­ge­nau zer­stören oder unbrauch­bar machen kann, ist auch eine Ver­nich­tung von FüWES (Führungs- und Waf­fenein­satzsys­tem), Satel­litenkom­mu­nika­tion­san­la­gen oder schiff­stech­nis­chen Prozes­sautoma­tion­ssys­te­men nicht mehr unvorstell­bar.

Jet­zt hil­ft kein kleinkari­ertes Klabautern mehr, kein »Abgrasen« von Arbeit­splatz-PC nach pri­vatem Schriftverkehr und Spaß­dateien, kein Behar­ren auf dem Pri­mat der Vorschriftenkon­for­mität auch in der Ein­satzre­al­ität. Wo die Bedro­hung uner­wartet eine neue Dimen­sion annimmt, muss die Abwehr unverzüglich angepasst wer­den.

Wie kön­nte das neue Gesicht der IT ‑Sicher­heit ausse­hen?

 - Cyber Command der US Air Force (Foto: US Air Force)
Cyber Com­mand der US Air Force
Foto: US Air Force
US Navy Cyber Defense Command (Foto: US Navy)
US Navy Cyber Defense Com­mand
Foto: US Navy

Die Marine struk­turi­ert ihre oper­a­tiv­en Hand­lungs­felder in sog. War­fare Areas, so z.B. Anti-Sub­ma­rine-War­fare, Anti-Air- War­fare, Elec­tron­ic-War­fare etc. Diese War­fare Areas, hergeleit­et aus den Dimen­sio­nen der mil­itärischen Bedro­hung, sind die Grund­lage für Ver­wen­dungs­gänge und Per­son­al­struk­tur, für oper­a­tive und tak­tis­che Ver­fahren, und sie struk­turi­eren die funk­tionalen Anforderun­gen an Waf­fen­sys­teme. Sie sind in der mehrdi­men­sion­alen Kriegführung grund­sät­zlich gle­ichrangig und miteinan­der verzah­nt.

Meines Eracht­ens ist es an der Zeit, der »Cyber Defense« den Rit­ter­schlag zu erteilen und sie aus ihrem Nis­chen­da­sein her­aus zur War­fare Area zu erheben, ein Schritt, der u.a. in den USA spätestens seit der Errich­tung des US-Cyber Com­mand unter einem 4‑Sterne-Gen­er­al längst erfol­gt ist. Der Cyber­space ist jet­zt anerkan­nte 5. Dimen­sion der Kriegführung neben Land, Air, Sea und Space.

Die Truppe braucht drin­gend den »Cyberkrieger«, der als Experte Seite an Seite mit den anderen Waf­fen­gat­tun­gen ste­ht. In allen Hand­lungs- und Führungsebe­nen, von der Kom­panieebene bis zur min­is­teriellen Leitung.

Sie braucht die durch­set­zungs­fähige Instanz, die z.B. die Beschaf­fung von Kryp­to­handys ein­fordert, statt den Gebrauch von GSM (Glob­al Sys­tem for Mobile Com­mu­ni­ca­tion, 2. Gen­er­a­tion des Mobil­tele­fon­stan­dards) zu unter­sagen. Sie braucht per­for­mante und abgesicherte Betrieb­ssys­teme statt löchriger Main­stream­sys­teme von der Stange. Sie braucht IT-Werkzeuge auf dem Stand der Tech­nik wie z.B. trans­par­ente Ver­schlüs­selung von E‑Mails und Daten­trägern, Kon­nek­tiv­ität in unter­schiedlich eingestufte Net­ze an einem Arbeit­splatz. Sie braucht IT-Sicher­heit­sex­perten, die ihr Fach­wis­sen bere­its bei der Konzep­tion von IT-Sys­te­men aktiv ein­brin­gen, anstatt der »Genehmi­gung zur Nutzung« die Mitze­ich­nung zu ver­sagen. Und vor allem braucht sie Moti­va­tion, Aus­bil­dung, Fort­bil­dung, Nutzer­be­treu­ung.

Nur wenn es gelingt, auch den durch­schnit­tlichen Nutzer über Risiken, Hin­ter­gründe, betriebliche Notwendigkeit­en und tech­nis­che Möglichkeit­en umfassend zu informieren, wird dieser auch ohne beständi­ge Überwachung zum Schutz »sein­er« IT beitra­gen. Nur wenn es gelingt, die gefühlte Dif­ferenz zwis­chen den tech­nis­chen Möglichkeit­en und der IT-Real­ität in der Truppe drastisch zu ver­ringern, wird der Nutzer frei­willig auf das riskante Ver­mis­chen pri­vater und dien­stlich­er IT bis hin zur unau­torisierten Verän­derung von IT-Sys­te­men verzicht­en.

Dies berührt auch den kri­tis­chen Punkt der zügi­gen Ver­füg­bar­ma­chung zuge­lassen­er Lösun­gen:

Wo die Akkred­i­tierung ver­füg­bar­er tech­nis­ch­er Lösun­gen die Teil­nahme an Koali­tion­sop­er­a­tio­nen ver­hin­dert, wo langfristige Out­sourcingverträge die Truppe von jed­er tech­nis­chen Inno­va­tion abkop­peln, da wer­den die Gral­shüter der IT-Sicher­heit vom Sol­dat­en im Ein­satz nach kurzem Kopf­schüt­teln über das »Behar­rungsver­mö­gen der Etap­pen­heng­ste« in die Irrel­e­vanz ent­lassen.

So wie trotz zeitlich­er Pri­or­isierung der War­fare-Areas im Gefecht keine von ihnen die Wichtig­ste ist, son­dern ein Fak­tor in ein­er kom­plex­eren Gle­ichung, so wenig kann die Cyber-Vertei­di­gung in der mil­itärischen Oper­a­tion oder in Beschaf­fung­sprozessen dominieren. Wo Ressourcen knapp sind, muss jed­er Ein­schnitte hin­nehmen.

Daher sind Prag­ma­tismus und Augen­maß gefordert; Eigen­schaften, die die IT-Sicher­heit bish­er meist ver­mis­sen lässt. Dies bed­ingt aber, dass die Fachkom­pe­tenz der IT-Sicher­heit mit dem Wis­sen um die Eigen­heit­en der Ziel­sys­teme gepaart wird. Ein Infan­ter­ist wird schw­er­lich eine prag­ma­tis­che Risiko­analyse für schiff­stech­nis­che Steuerungssys­teme leis­ten kön­nen, ein im Ver­wal­tungs­di­enst aufgewach­sen­er Beamter nicht für ein Avioniksys­tem. Gemein­sames Han­deln heißt nicht, dass jed­er alles macht, son­dern das, was er am besten beherrscht. Eine Lösung für die genan­nten Defizite habe ich oben bere­its skizziert:

Ein Cyberkom­man­do der Bun­deswehr oder wie immer man die neue Instanz nen­nen mag, wäre vor allem eins: ver­ant­wortlich.

  • Ver­ant­wortlich für das (Be-)Schaffen von tech­nis­chen und organ­isatorischen Lösun­gen, für das Durch­set­zen von unverzicht­baren Min­i­mal­forderun­gen bei den Haushäl­tern, die Aus­bil­dung der Nutzer, die Koop­er­a­tion mit Dien­sten und Kom­pe­tenzzen­tren ander­er Min­is­te­rien.
  • Ver­ant­wortlich für das Schaf­fen eines Rege­lap­pa­rats, der unter existieren­den Bedin­gun­gen erfüll­bar ist und sich von der Illu­sion unendlich­er Ressourcen und der Kom­pe­ten­zver­mit­tlung per Han­dau­fle­gen ver­ab­schiedet.

Das Cyberkom­man­do ori­en­tiert sich an beste­hen­den Waf­fen­gat­tun­gen respek­tive War­fare-Areas, indem es die Durch­führung von Oper­a­tio­nen begleit­et, die Aus- und Fort­bil­dung von Fach­per­son­al durch­führt, steuernd und unter­stützend auf die Aus­bil­dung der Nutzer ein­wirkt und die Weit­er­en­twick­lung des Auf­gabenge­bi­ets vorantreibt.

Eine solche Instanz gibt es nicht kosten­los. Sie muss den unbe­d­ingten Willen der Leitung hin­ter sich wis­sen, sie benötigt eine aus­re­ichende Anzahl der hell­sten Köpfe aus der IT aller Org-Bere­iche und sie benötigt Finanzierungs- und Beschaf­fungs­be­din­gun­gen, die präemp­tives Han­deln im Inno­va­tion­szyk­lus der kom­merziellen IT zulassen. Gebt den Klabauter­mann von Bord. Es ist Zeit zu han­deln. Die Bedro­hung ist real.

Zum Autor
Der Autor, Kapitän zur See Dipl.-Ing. Frank Behrens, ist Grup­pen­leit­er Führung­sun­ter­stützung und IT in der Abteilung Marinerüs­tung und Logis­tik des Marineamtes, Ros­tock

Team GlobDef

Team GlobDef

Seit 2001 ist GlobalDefence.net im Internet unterwegs, um mit eigenen Analysen, interessanten Kooperationen und umfassenden Informationen für einen spannenden Überblick der Weltlage zu sorgen. GlobalDefenc.net war dabei die erste deutschsprachige Internetseite, die mit dem Schwerpunkt Sicherheitspolitik außerhalb von Hochschulen oder Instituten aufgetreten ist.

Alle Beiträge ansehen von Team GlobDef →