Cyberkommando der Bundeswehr: IT-Sicherheit — überfällige Transformation

Flagge Deutschland

Dieser Artikel wird mit fre­undlich­er Genehmi­gung der “Marine­Fo­rum — Zeitschrift für mar­itime Fra­gen” veröf­fentlicht.

Marineforum

Cyberkom­man­do der Bun­deswehr: IT-Sicher­heit — über­fäl­lige Trans­for­ma­tion Der Klabauter­mann, benan­nt nach dem niederdeutschen Wort klabastern für »polternd umherge­hen«, warnt die Seeleute vor Gefahr und hil­ft beim Abdicht­en des Schiffes, ist aber generell unbe­liebt, weil durch sein Auftreten eher störend und in der Vorstel­lung der Seeleute als gruselig und unterirdisch eingestuft. Im 21. Jahrhun­dert ist der Klabauter­mann in der Schiff­fahrt aus der Vorstel­lung der Seeleute größ­ten­teils ver­schwun­den, seine Stelle und Tätigkeits­beschrei­bung wur­den vom IT-Sicher­heits­beauf­tragten (IT-SiBe) über­nom­men.

Warum ist das so, und sollte es so bleiben?

Die IT-Sicher­heit in der Truppe ste­ht heute noch in der gelebten Tra­di­tion der Zeit, in der die ersten noch unver­net­zten Einzelplatz-PC in den Büros auf­taucht­en und die Aspek­te admin­is­tra­tiv­er Daten­schutz sowie Ein­schränkung nicht­di­en­stlich­er Nutzung im Vorder­grund standen. Mit dem Auf­tauchen der ersten Com­put­er­viren Ende der 80er Jahre sowie der zunehmenden Ver­net­zung der IT in den Dien­st­stellen und bun­deswehrweit erweit­erte sich der Fokus der Ver­ant­wortlichen zwar auf den Schutz der Net­ze, Selb­stver­ständ­nis und Hand­lungsweise ver­har­rten aber größ­ten­teils beim Kon­trol­lieren und Unter­sagen. Dieses man­i­festiert sich ins­beson­dere in der IT-Sicher­heits-Basisvorschrift ZDV 54/100, deren Schw­er­punkt auf der Admin­is­tra­tion der The­matik und nicht in der Lösung von Prob­le­men liegt.

In Zeit­en schwindel­er­re­gen­der Kom­plex­ität der Hard- und Soft­wareumwelt sowie expo­nen­tiell ansteigen­der glob­aler Bedro­hung des »Cyber­space«, u.a. durch Krim­inelle und staatliche Akteure, wer­den die zwangsläu­fig auf die Nutzung der IT angewiese­nen Nicht-IT-Fach­leute wie auch die in Beschaf­fung und Nutzung von Wehr­ma­te­r­i­al einge­set­zten Per­so­n­en allein gelassen: Die kom­pe­ten­ten, mitver­ant­wortlichen und in die mil­itärischen und Rüs­tung­sprozesse einge­bun­de­nen Experten zur Lösung bren­nen­der Detail­prob­leme fehlen fast voll­ständig. Dies ist den heute als IT-SiBe einge­set­zten Män­nern und Frauen in der Regel nicht per­sön­lich anzu­las­ten, son­dern begrün­det sich aus den bekan­nt knap­pen per­son­ellen Ressourcen, unzure­ichen­der Dotierung der Dien­st­posten sowie fehlen­der Ori­en­tierung des STAN-Auf­trags am Bedarf.

Die Bedro­hung der glob­alen und nationalen IT hat spätestens mit der Freiset­zung so hoch­per­for­man­ter Schad­soft­ware wie »Con­fick­er« und »StuxNet« eine Dimen­sion angenom­men, die die zer­störerische Wirkung kinetis­ch­er Waf­fen erre­icht und eine drastis­che Kursko­r­rek­tur in der IT-Sicher­heit erforder­lich macht.

StuxNet war ein Damm­bruch: Anfang 2009 wur­den weltweit indus­trielle Prozesss­teuerungssys­teme mit ein­er maßgeschnei­derten Schad­soft­ware infiziert, die die hoch abgesicherte, für den Iran strate­gisch wichtige Uranzen­trifu­ge­nan­lage im iranis­chen Natanz, und nur genau diese, par­tiell zer­störte und das iranis­che Atom­pro­gramm mas­siv zurück­warf. Die sich an die Attacke anschließende zeit­ges­teuerte Selb­stzer­störung der Schad­soft­ware zum Löschen der Spuren miss­lang nur deswe­gen, weil die Anla­gen­be­treiber offen­sichtlich die Sys­temzeit manip­ulierten, um ein Aus­laufen der Lizen­zen der ille­gal erwor­be­nen Betrieb­ssoft­ware zu ver­hin­dern.

Man beachte: Eine einzige, spez­i­fis­che Anlage wird mit chirur­gis­ch­er Präzi­sion aus­gewählt und teil­weise ver­nichtet. Die gewählten Wege (Angriffsvek­toren) waren vorher unbekan­nt, der Angriff kam völ­lig uner­wartet.

Wenn ein Aggres­sor Prozesss­teuerungsan­la­gen für kern­tech­nis­che Anla­gen punk­t­ge­nau zer­stören oder unbrauch­bar machen kann, ist auch eine Ver­nich­tung von FüWES (Führungs- und Waf­fenein­satzsys­tem), Satel­litenkom­mu­nika­tion­san­la­gen oder schiff­stech­nis­chen Prozes­sautoma­tion­ssys­te­men nicht mehr unvorstell­bar.

Jet­zt hil­ft kein kleinkari­ertes Klabautern mehr, kein »Abgrasen« von Arbeit­splatz-PC nach pri­vatem Schriftverkehr und Spaß­dateien, kein Behar­ren auf dem Pri­mat der Vorschriftenkon­for­mität auch in der Ein­satzre­al­ität. Wo die Bedro­hung uner­wartet eine neue Dimen­sion annimmt, muss die Abwehr unverzüglich angepasst wer­den.

Wie kön­nte das neue Gesicht der IT -Sicher­heit ausse­hen?

 - Cyber Command der US Air Force (Foto: US Air Force)
Cyber Com­mand der US Air Force
Foto: US Air Force
US Navy Cyber Defense Command (Foto: US Navy)
US Navy Cyber Defense Com­mand
Foto: US Navy

Die Marine struk­turi­ert ihre oper­a­tiv­en Hand­lungs­felder in sog. War­fare Areas, so z.B. Anti-Sub­ma­rine-War­fare, Anti-Air- War­fare, Elec­tron­ic-War­fare etc. Diese War­fare Areas, hergeleit­et aus den Dimen­sio­nen der mil­itärischen Bedro­hung, sind die Grund­lage für Ver­wen­dungs­gänge und Per­son­al­struk­tur, für oper­a­tive und tak­tis­che Ver­fahren, und sie struk­turi­eren die funk­tionalen Anforderun­gen an Waf­fen­sys­teme. Sie sind in der mehrdi­men­sion­alen Kriegführung grund­sät­zlich gle­ichrangig und miteinan­der verzah­nt.

Meines Eracht­ens ist es an der Zeit, der »Cyber Defense« den Rit­ter­schlag zu erteilen und sie aus ihrem Nis­chen­da­sein her­aus zur War­fare Area zu erheben, ein Schritt, der u.a. in den USA spätestens seit der Errich­tung des US-Cyber Com­mand unter einem 4-Sterne-Gen­er­al längst erfol­gt ist. Der Cyber­space ist jet­zt anerkan­nte 5. Dimen­sion der Kriegführung neben Land, Air, Sea und Space.

Die Truppe braucht drin­gend den »Cyberkrieger«, der als Experte Seite an Seite mit den anderen Waf­fen­gat­tun­gen ste­ht. In allen Hand­lungs- und Führungsebe­nen, von der Kom­panieebene bis zur min­is­teriellen Leitung.

Sie braucht die durch­set­zungs­fähige Instanz, die z.B. die Beschaf­fung von Kryp­to­handys ein­fordert, statt den Gebrauch von GSM (Glob­al Sys­tem for Mobile Com­mu­ni­ca­tion, 2. Gen­er­a­tion des Mobil­tele­fon­stan­dards) zu unter­sagen. Sie braucht per­for­mante und abgesicherte Betrieb­ssys­teme statt löchriger Main­stream­sys­teme von der Stange. Sie braucht IT-Werkzeuge auf dem Stand der Tech­nik wie z.B. trans­par­ente Ver­schlüs­selung von E-Mails und Daten­trägern, Kon­nek­tiv­ität in unter­schiedlich eingestufte Net­ze an einem Arbeit­splatz. Sie braucht IT-Sicher­heit­sex­perten, die ihr Fach­wis­sen bere­its bei der Konzep­tion von IT-Sys­te­men aktiv ein­brin­gen, anstatt der »Genehmi­gung zur Nutzung« die Mitze­ich­nung zu ver­sagen. Und vor allem braucht sie Moti­va­tion, Aus­bil­dung, Fort­bil­dung, Nutzer­be­treu­ung.

Nur wenn es gelingt, auch den durch­schnit­tlichen Nutzer über Risiken, Hin­ter­gründe, betriebliche Notwendigkeit­en und tech­nis­che Möglichkeit­en umfassend zu informieren, wird dieser auch ohne beständi­ge Überwachung zum Schutz »sein­er« IT beitra­gen. Nur wenn es gelingt, die gefühlte Dif­ferenz zwis­chen den tech­nis­chen Möglichkeit­en und der IT-Real­ität in der Truppe drastisch zu ver­ringern, wird der Nutzer frei­willig auf das riskante Ver­mis­chen pri­vater und dien­stlich­er IT bis hin zur unau­torisierten Verän­derung von IT-Sys­te­men verzicht­en.

Dies berührt auch den kri­tis­chen Punkt der zügi­gen Ver­füg­bar­ma­chung zuge­lassen­er Lösun­gen:

Wo die Akkred­i­tierung ver­füg­bar­er tech­nis­ch­er Lösun­gen die Teil­nahme an Koali­tion­sop­er­a­tio­nen ver­hin­dert, wo langfristige Out­sourcingverträge die Truppe von jed­er tech­nis­chen Inno­va­tion abkop­peln, da wer­den die Gral­shüter der IT-Sicher­heit vom Sol­dat­en im Ein­satz nach kurzem Kopf­schüt­teln über das »Behar­rungsver­mö­gen der Etap­pen­heng­ste« in die Irrel­e­vanz ent­lassen.

So wie trotz zeitlich­er Pri­or­isierung der War­fare-Areas im Gefecht keine von ihnen die Wichtig­ste ist, son­dern ein Fak­tor in ein­er kom­plex­eren Gle­ichung, so wenig kann die Cyber-Vertei­di­gung in der mil­itärischen Oper­a­tion oder in Beschaf­fung­sprozessen dominieren. Wo Ressourcen knapp sind, muss jed­er Ein­schnitte hin­nehmen.

Daher sind Prag­ma­tismus und Augen­maß gefordert; Eigen­schaften, die die IT-Sicher­heit bish­er meist ver­mis­sen lässt. Dies bed­ingt aber, dass die Fachkom­pe­tenz der IT-Sicher­heit mit dem Wis­sen um die Eigen­heit­en der Ziel­sys­teme gepaart wird. Ein Infan­ter­ist wird schw­er­lich eine prag­ma­tis­che Risiko­analyse für schiff­stech­nis­che Steuerungssys­teme leis­ten kön­nen, ein im Ver­wal­tungs­di­enst aufgewach­sen­er Beamter nicht für ein Avioniksys­tem. Gemein­sames Han­deln heißt nicht, dass jed­er alles macht, son­dern das, was er am besten beherrscht. Eine Lösung für die genan­nten Defizite habe ich oben bere­its skizziert:

Ein Cyberkom­man­do der Bun­deswehr oder wie immer man die neue Instanz nen­nen mag, wäre vor allem eins: ver­ant­wortlich.

  • Ver­ant­wortlich für das (Be-)Schaffen von tech­nis­chen und organ­isatorischen Lösun­gen, für das Durch­set­zen von unverzicht­baren Min­i­mal­forderun­gen bei den Haushäl­tern, die Aus­bil­dung der Nutzer, die Koop­er­a­tion mit Dien­sten und Kom­pe­tenzzen­tren ander­er Min­is­te­rien.
  • Ver­ant­wortlich für das Schaf­fen eines Rege­lap­pa­rats, der unter existieren­den Bedin­gun­gen erfüll­bar ist und sich von der Illu­sion unendlich­er Ressourcen und der Kom­pe­ten­zver­mit­tlung per Han­dau­fle­gen ver­ab­schiedet.

Das Cyberkom­man­do ori­en­tiert sich an beste­hen­den Waf­fen­gat­tun­gen respek­tive War­fare-Areas, indem es die Durch­führung von Oper­a­tio­nen begleit­et, die Aus- und Fort­bil­dung von Fach­per­son­al durch­führt, steuernd und unter­stützend auf die Aus­bil­dung der Nutzer ein­wirkt und die Weit­er­en­twick­lung des Auf­gabenge­bi­ets vorantreibt.

Eine solche Instanz gibt es nicht kosten­los. Sie muss den unbe­d­ingten Willen der Leitung hin­ter sich wis­sen, sie benötigt eine aus­re­ichende Anzahl der hell­sten Köpfe aus der IT aller Org-Bere­iche und sie benötigt Finanzierungs- und Beschaf­fungs­be­din­gun­gen, die präemp­tives Han­deln im Inno­va­tion­szyk­lus der kom­merziellen IT zulassen. Gebt den Klabauter­mann von Bord. Es ist Zeit zu han­deln. Die Bedro­hung ist real.

Zum Autor
Der Autor, Kapitän zur See Dipl.-Ing. Frank Behrens, ist Grup­pen­leit­er Führung­sun­ter­stützung und IT in der Abteilung Marinerüs­tung und Logis­tik des Marineamtes, Ros­tock