Cyberkommando der Bundeswehr: IT-Sicherheit – überfällige Transformation


Flagge Deutschland

Dieser Artikel wird mit freundlicher Genehmigung der „MarineForum – Zeitschrift für maritime Fragen“ veröffentlicht.

Marineforum

Cyberkommando der Bundeswehr: IT-Sicherheit – überfällige Transformation Der Klabautermann, benannt nach dem niederdeutschen Wort klabastern für »polternd umhergehen«, warnt die Seeleute vor Gefahr und hilft beim Abdichten des Schiffes, ist aber generell unbeliebt, weil durch sein Auftreten eher störend und in der Vorstellung der Seeleute als gruselig und unterirdisch eingestuft. Im 21. Jahrhundert ist der Klabautermann in der Schifffahrt aus der Vorstellung der Seeleute größtenteils verschwunden, seine Stelle und Tätigkeitsbeschreibung wurden vom IT-Sicherheitsbeauftragten (IT-SiBe) übernommen.

Warum ist das so, und sollte es so bleiben?

Die IT-Sicherheit in der Truppe steht heute noch in der gelebten Tradition der Zeit, in der die ersten noch unvernetzten Einzelplatz-PC in den Büros auftauchten und die Aspekte administrativer Datenschutz sowie Einschränkung nichtdienstlicher Nutzung im Vordergrund standen. Mit dem Auftauchen der ersten Computerviren Ende der 80er Jahre sowie der zunehmenden Vernetzung der IT in den Dienststellen und bundeswehrweit erweiterte sich der Fokus der Verantwortlichen zwar auf den Schutz der Netze, Selbstverständnis und Handlungsweise verharrten aber größtenteils beim Kontrollieren und Untersagen. Dieses manifestiert sich insbesondere in der IT-Sicherheits-Basisvorschrift ZDV 54/100, deren Schwerpunkt auf der Administration der Thematik und nicht in der Lösung von Problemen liegt.

In Zeiten schwindelerregender Komplexität der Hard- und Softwareumwelt sowie exponentiell ansteigender globaler Bedrohung des »Cyberspace«, u.a. durch Kriminelle und staatliche Akteure, werden die zwangsläufig auf die Nutzung der IT angewiesenen Nicht-IT-Fachleute wie auch die in Beschaffung und Nutzung von Wehrmaterial eingesetzten Personen allein gelassen: Die kompetenten, mitverantwortlichen und in die militärischen und Rüstungsprozesse eingebundenen Experten zur Lösung brennender Detailprobleme fehlen fast vollständig. Dies ist den heute als IT-SiBe eingesetzten Männern und Frauen in der Regel nicht persönlich anzulasten, sondern begründet sich aus den bekannt knappen personellen Ressourcen, unzureichender Dotierung der Dienstposten sowie fehlender Orientierung des STAN-Auftrags am Bedarf.

Die Bedrohung der globalen und nationalen IT hat spätestens mit der Freisetzung so hochperformanter Schadsoftware wie »Conficker« und »StuxNet« eine Dimension angenommen, die die zerstörerische Wirkung kinetischer Waffen erreicht und eine drastische Kurskorrektur in der IT-Sicherheit erforderlich macht.

StuxNet war ein Dammbruch: Anfang 2009 wurden weltweit industrielle Prozesssteuerungssysteme mit einer maßgeschneiderten Schadsoftware infiziert, die die hoch abgesicherte, für den Iran strategisch wichtige Uranzentrifugenanlage im iranischen Natanz, und nur genau diese, partiell zerstörte und das iranische Atomprogramm massiv zurückwarf. Die sich an die Attacke anschließende zeitgesteuerte Selbstzerstörung der Schadsoftware zum Löschen der Spuren misslang nur deswegen, weil die Anlagenbetreiber offensichtlich die Systemzeit manipulierten, um ein Auslaufen der Lizenzen der illegal erworbenen Betriebssoftware zu verhindern.

Man beachte: Eine einzige, spezifische Anlage wird mit chirurgischer Präzision ausgewählt und teilweise vernichtet. Die gewählten Wege (Angriffsvektoren) waren vorher unbekannt, der Angriff kam völlig unerwartet.

Wenn ein Aggressor Prozesssteuerungsanlagen für kerntechnische Anlagen punktgenau zerstören oder unbrauchbar machen kann, ist auch eine Vernichtung von FüWES (Führungs- und Waffeneinsatzsystem), Satellitenkommunikationsanlagen oder schiffstechnischen Prozessautomationssystemen nicht mehr unvorstellbar.

Jetzt hilft kein kleinkariertes Klabautern mehr, kein »Abgrasen« von Arbeitsplatz-PC nach privatem Schriftverkehr und Spaßdateien, kein Beharren auf dem Primat der Vorschriftenkonformität auch in der Einsatzrealität. Wo die Bedrohung unerwartet eine neue Dimension annimmt, muss die Abwehr unverzüglich angepasst werden.

Wie könnte das neue Gesicht der IT -Sicherheit aussehen?

 - Cyber Command der US Air Force (Foto: US Air Force)
Cyber Command der US Air Force
Foto: US Air Force
US Navy Cyber Defense Command (Foto: US Navy)
US Navy Cyber Defense Command
Foto: US Navy

Die Marine strukturiert ihre operativen Handlungsfelder in sog. Warfare Areas, so z.B. Anti-Submarine-Warfare, Anti-Air- Warfare, Electronic-Warfare etc. Diese Warfare Areas, hergeleitet aus den Dimensionen der militärischen Bedrohung, sind die Grundlage für Verwendungsgänge und Personalstruktur, für operative und taktische Verfahren, und sie strukturieren die funktionalen Anforderungen an Waffensysteme. Sie sind in der mehrdimensionalen Kriegführung grundsätzlich gleichrangig und miteinander verzahnt.

Meines Erachtens ist es an der Zeit, der »Cyber Defense« den Ritterschlag zu erteilen und sie aus ihrem Nischendasein heraus zur Warfare Area zu erheben, ein Schritt, der u.a. in den USA spätestens seit der Errichtung des US-Cyber Command unter einem 4-Sterne-General längst erfolgt ist. Der Cyberspace ist jetzt anerkannte 5. Dimension der Kriegführung neben Land, Air, Sea und Space.

Die Truppe braucht dringend den »Cyberkrieger«, der als Experte Seite an Seite mit den anderen Waffengattungen steht. In allen Handlungs- und Führungsebenen, von der Kompanieebene bis zur ministeriellen Leitung.

Sie braucht die durchsetzungsfähige Instanz, die z.B. die Beschaffung von Kryptohandys einfordert, statt den Gebrauch von GSM (Global System for Mobile Communication, 2. Generation des Mobiltelefonstandards) zu untersagen. Sie braucht performante und abgesicherte Betriebssysteme statt löchriger Mainstreamsysteme von der Stange. Sie braucht IT-Werkzeuge auf dem Stand der Technik wie z.B. transparente Verschlüsselung von E-Mails und Datenträgern, Konnektivität in unterschiedlich eingestufte Netze an einem Arbeitsplatz. Sie braucht IT-Sicherheitsexperten, die ihr Fachwissen bereits bei der Konzeption von IT-Systemen aktiv einbringen, anstatt der »Genehmigung zur Nutzung« die Mitzeichnung zu versagen. Und vor allem braucht sie Motivation, Ausbildung, Fortbildung, Nutzerbetreuung.

Nur wenn es gelingt, auch den durchschnittlichen Nutzer über Risiken, Hintergründe, betriebliche Notwendigkeiten und technische Möglichkeiten umfassend zu informieren, wird dieser auch ohne beständige Überwachung zum Schutz »seiner« IT beitragen. Nur wenn es gelingt, die gefühlte Differenz zwischen den technischen Möglichkeiten und der IT-Realität in der Truppe drastisch zu verringern, wird der Nutzer freiwillig auf das riskante Vermischen privater und dienstlicher IT bis hin zur unautorisierten Veränderung von IT-Systemen verzichten.

Dies berührt auch den kritischen Punkt der zügigen Verfügbarmachung zugelassener Lösungen:

Wo die Akkreditierung verfügbarer technischer Lösungen die Teilnahme an Koalitionsoperationen verhindert, wo langfristige Outsourcingverträge die Truppe von jeder technischen Innovation abkoppeln, da werden die Gralshüter der IT-Sicherheit vom Soldaten im Einsatz nach kurzem Kopfschütteln über das »Beharrungsvermögen der Etappenhengste« in die Irrelevanz entlassen.

So wie trotz zeitlicher Priorisierung der Warfare-Areas im Gefecht keine von ihnen die Wichtigste ist, sondern ein Faktor in einer komplexeren Gleichung, so wenig kann die Cyber-Verteidigung in der militärischen Operation oder in Beschaffungsprozessen dominieren. Wo Ressourcen knapp sind, muss jeder Einschnitte hinnehmen.

Daher sind Pragmatismus und Augenmaß gefordert; Eigenschaften, die die IT-Sicherheit bisher meist vermissen lässt. Dies bedingt aber, dass die Fachkompetenz der IT-Sicherheit mit dem Wissen um die Eigenheiten der Zielsysteme gepaart wird. Ein Infanterist wird schwerlich eine pragmatische Risikoanalyse für schiffstechnische Steuerungssysteme leisten können, ein im Verwaltungsdienst aufgewachsener Beamter nicht für ein Avioniksystem. Gemeinsames Handeln heißt nicht, dass jeder alles macht, sondern das, was er am besten beherrscht. Eine Lösung für die genannten Defizite habe ich oben bereits skizziert:

Ein Cyberkommando der Bundeswehr oder wie immer man die neue Instanz nennen mag, wäre vor allem eins: verantwortlich.

  • Verantwortlich für das (Be-)Schaffen von technischen und organisatorischen Lösungen, für das Durchsetzen von unverzichtbaren Minimalforderungen bei den Haushältern, die Ausbildung der Nutzer, die Kooperation mit Diensten und Kompetenzzentren anderer Ministerien.
  • Verantwortlich für das Schaffen eines Regelapparats, der unter existierenden Bedingungen erfüllbar ist und sich von der Illusion unendlicher Ressourcen und der Kompetenzvermittlung per Handauflegen verabschiedet.

Das Cyberkommando orientiert sich an bestehenden Waffengattungen respektive Warfare-Areas, indem es die Durchführung von Operationen begleitet, die Aus- und Fortbildung von Fachpersonal durchführt, steuernd und unterstützend auf die Ausbildung der Nutzer einwirkt und die Weiterentwicklung des Aufgabengebiets vorantreibt.

Eine solche Instanz gibt es nicht kostenlos. Sie muss den unbedingten Willen der Leitung hinter sich wissen, sie benötigt eine ausreichende Anzahl der hellsten Köpfe aus der IT aller Org-Bereiche und sie benötigt Finanzierungs- und Beschaffungsbedingungen, die präemptives Handeln im Innovationszyklus der kommerziellen IT zulassen. Gebt den Klabautermann von Bord. Es ist Zeit zu handeln. Die Bedrohung ist real.

Zum Autor
Der Autor, Kapitän zur See Dipl.-Ing. Frank Behrens, ist Gruppenleiter Führungsunterstützung und IT in der Abteilung Marinerüstung und Logistik des Marineamtes, Rostock