IALANA Deutschland – Vereinigung für Friedensrecht

Am 16. April 2015 erließ Die Bundesministerin für Verteidigung, Dr. Ursula von der Leyen, die nachfolgende Strategische Leitlinie Cyber-Verteidigung im Geschäftsbereich BMVg

Inhalt

1. Vorbemerkung

2. Strategischer Kontext

3. Handlungsfeld 1 – Beitrag zur gesamtstaatlichen Sicherheitsvorsorge

4. Handlungsfeld 2 – Internationale Rahmenbedingungen gestalten

   1. NATO

   2. EU

   3. Internationale Organisationen, VN, OSZE

   4. Bi- und multilaterale Kooperationen und Unterstützung beim Kapazitätsaufbau

   5. Internationales Recht

5. Handlungsfeld 3 – Cyber-Raum als Operationsraum

   1. Cyber-Lagebild

   2. Cyber-Verteidigung in der Operationsführung

   3. Cyber-Expertise

6. Handlungsfeld 4 – Chancen im Cyber-Raum nutzen

   1. Informationsmanagement

   2. Vernetzte Operationsführung

7. Handlungsfeld 5 – Risiken im Cyber-Raum mindern

   1. IT-Sicherheit

   2. Risiko- und Folgenmanagement – Anteil Cyber

   3. Cyber-Awareness

8. Umsetzung

I. Vorbemerkung

Die Gewährleistung von Sicherheit im Cyber-Raum, die Durchsetzung von Recht und der Schutz der kritischen Informationsinfrastrukturen richten sich nach der in Federführung des Bundesministeriums des Innern erstellten Cyber-Sicherheitsstrategie für Deutschland vom 21. Februar 2011. Danach verpflichtet die Gewährleistung gesamtstaatlicher Sicherheitsvorsorge dazu, ein mit den zuständigen staatlichen Stellen abgestimmtes und vollständiges Instrumentarium für die Abwehr von Angriffen aus dem Cyber-Raum zu schaffen. ^[1]

Die Cyber-Sicherheitsstrategie trägt den Herausforderungen des Cyber-Raums durch die Initiierung des Cyber-Sicherheitsrates als strategisches Gremium auf Ebene Staatssekretär sowie des Nationalen Cyber Abwehr Zentrums als „Informationsdrehscheibe“ relevanter Organisationen und Behörden Rechnung. Das BMVg ist hierin jeweils vertreten.

Die Cyber-Außenpolitik dient dazu, deutsche Interessen und Vorstellungen in Bezug auf Cyber-Sicherheit in internationalen Organisationen zu koordinieren und gezielt zu verfolgen.

Die Verteidigungspolitischen Richtlinien (VPR) von 2011 nehmen Bezug auf Cyber-Sicherheit bzw. Cyber-Verteidigung ^[2] und betonen die aus dem Cyber-Raum auch für den Geschäftsbereich des Bundesministeriums der Verteidigung (BMVg) erwachsenen Risiken, Bedrohungen und Verwundbarkeiten.

Ausgehend von der weltweit immer schnelleren Verbreitung, intensivierten Nutzung und verstärkten eigenen Abhängigkeit von Informationstechnik sowie auch der eines potenziellen Gegners präzisiert diese Strategische Leitlinie die VPR und gestaltet sie, auch im Hinblick auf das bis 2016 zu erstellende Weißbuch, mit politischen Vorgaben zur Entwicklung und Umsetzung von Grundsätzen für die Cyber-Verteidigung der Bundeswehr weiter aus.

II. Strategischer Kontext

Deutsche Behörden, Kritische Infrastrukturen ^[3], Wirtschaft, Bevölkerung sowie das BMVg und die Bundeswehr sind als Teil einer zunehmend vernetzten Welt auf verlässliche Informations- und Kommunikationstechnik (IKT) angewiesen. Deren Verfügbarkeit sowie die Vertraulichkeit und Integrität der darin gespeicherten, übertragenen und verarbeiteten Daten haben besondere Bedeutung für die nationale Sicherheit, Wirtschaft und das öffentliche bzw. private Leben. Der Cyber-Raum ist damit ein wesentlicher staatlicher und strategischer Handlungsraum mit hoher Relevanz auch für den Geschäftsbereich BMVg. ^[4]

Die Cyber-Sicherheitsstrategie für Deutschland definiert den Cyber-Raum als virtuellen Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab. Dem Cyber-Raum liegt als universelles und öffentlich zugängliches Verbindungs- und Transportnetz das Internet zugrunde, welches durch beliebige andere Datennetze ergänzt und erweitert werden kann.

Diese Strategische Leitlinie erweitert diese Definition um den Anteil der IT-Systeme, die über Datenschnittstellen verfügen, ansonsten aber von öffentlich zugänglichen Netzen und dem Internet separiert sind.

Die Aufgaben der Bundeswehr im Cyber-Raum sind eingebunden in eine umfassende nationale Sicherheitsvorsorge durch das ressortgemeinsame Handeln aller verantwortlichen deutschen Behörden und Organisationen mit Sicherheitsaufgaben (BOS). Die Bundeswehr leistet daher auch im Cyber-Raum einen Beitrag zur gesamtstaatlichen Sicherheitsvorsorge.

Die Bundeswehr ist auf verschiedenen Ebenen betroffen:

• Ihr obliegt unter anderem der verfassungsrechtliche Auftrag zur Verteidigung Deutschlands und seiner Bürger. Sie leistet Beiträge zum Heimatschutz auch durch die Verteidigung gegen Cyber-Angriffe, die einen bewaffneten Angriff auf Deutschland darstellen, vorbereiten oder begleiten können.

• Da der Cyber-Raum zunehmend genutzt wird, um Bedrohungen aufzubauen, muss die Bundeswehr in der Lage sein, diese ggf. auch aktiv abzuwehren.

• Ihr IT-System, einschließlich der IT-Anteile in Waffensystemen, Plattformen und Einrichtungen, sind Teil des Cyber-Raums und nutzen dessen Ressourcen. Die Bundeswehr muss daher zur Gewährleistung der militärischen Handlungs- und Führungsfähigkeit angesichts zunehmender Vernetzung moderner Waffensysteme und Kommunikationsmittel die Sicherheit und Verfügbarkeit ihrer IT-Komponenten und der von ihr im Cyber-Raum genutzten Ressourcen sicherstellen.

• Zur Unterstützung von militärischen Einsätzen kann es notwendig sein, die Nutzung des Cyber-Raums durch gegnerische Kräfte einzuschränken, ggf. sogar zu unterbinden, die eigene Operationsfreiheit im Informationsraum zu erhalten und eigene Wirkung zu entfalten.

• Die Bundeswehr leistet Beiträge zur gesamtstaatlichen Abwehr von Cyber-Angriffen durch technische Unterstützung bis hin zum Einsatz der Bundeswehr zur Abwehr und zur Bewältigung eines besonders schweren Unglücksfalls, insbesondere hinsichtlich Kritischer Infrastrukturen.

Die Gewährleistung der Cyber-Sicherheit ^[5] und der Sicherheit wichtiger kritischer Ressourcen des Cyber-Raums sowie der darin gespeicherten, verarbeiteten und übertragenen Informationen ist eine sektorübergreifende und globale Herausforderung für die Gesellschaft des 21. Jahrhunderts. Dies kann nur durch ein auf nationaler und vor allem auf internationaler Ebene abgestimmtes Instrumentarium gelingen.

Die für das Agieren im Cyber-Raum maßgeblichen Rahmenbedingungen sind zukunftsfähig auch durch die Bundeswehr, insbesondere auch in internationalen Organisationen, mitzugestalten.

Die Angriffsmöglichkeiten, wie auch Angriffe gegen nationale Sicherheitseinrichtungen durch schädigende Cyber-Aktivitäten, haben deutlich zugenommen. Ein erhebliches Risiko ist die immer größere Verbreitung und Nutzung von Informationstechnik auch in sicherheitskritischen Bereichen (einschließlich Kritischen Infrastrukturen). Damit wächst das politische, wirtschaftliche und kriminelle Schädigungs- bzw. auch Missbrauchspotenzial durch staatliche und nichtstaatliche Akteure stetig. Diese passen weltweit ihre Fähigkeiten zum Handeln zunehmend den Möglichkeiten und Entwicklungen im Cyber-Raum an. Auch ohne sichtbaren konkreten Anlass beschaffen sie sich Informationen durch Eindringen in fremde IT-Systeme. In Konflikten zählen Aktivitäten, die die Sicherheit und den freien Zugang zu den Ressourcen des Cyber-Raums bewusst beeinträchtigen, vielfach zu ihrem strategischen Kalkül. Eine ansteigende Häufigkeit und eine höhere Spezialisierung von schädigenden Cyber-Aktivitäten sind feststellbar. Eine zunehmende Befähigung von Extremisten und Terroristen zu deren Ausübung kann nicht ausgeschlossen werden.

Bewaffnete Konflikte, aber auch Auseinandersetzungen unterhalb dieser Schwelle sowie die sog. hybride Bedrohung ^[6] werden heute zunehmend durch Aktivitäten im Cyber-Raum vorbereitet, begleitet oder ausgetragen. Auseinandersetzungen, die mit konventionellen Mitteln ausgetragen werden, können dabei mit massiven Cyber-Angriffen auf Kritische Infrastrukturen, verstärkter Spionage und Sabotage sowie Manipulation von Informationsinfrastrukturen und Informationsplattformen einhergehen. Diese Cyber-Risiken sind im Verantwortungsbereich der Bundeswehr durch geeignete Maßnahmen zu mindern.

Die stark vernetzten militärischen Plattformen und Waffensysteme hochtechnisierter Streitkräfte sind auf die Nutzung von Informations- und Kommunikationssystemen angewiesen. Für militärische Entscheidungsprozesse und Befehlsgebung ist die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen unverzichtbar. Diese Voraussetzungen gelten für eigene wie gegnerische Streitkräfte als auch für nicht staatlich legitimierte bzw. nicht als militärisch klassifizierte Gegner gleichermaßen und bieten daher auch Ansatzpunkte für eigene Operationen. Neben den klassischen Räumen Land, Luft, See und Weltraum ist auch der Cyber-Raum somit ein Operationsraum. ^[7] Dies erfordert auch die Bereitstellung von adäquaten Strukturen und Ressourcen.

Durch Vernetzung und damit ständige aktualisierte Verfügbarkeit von Daten und Informationen werden Entscheidungsabläufe beschleunigt. Entscheidungen können auf Grundlage eines umfassenden Lagebildes getroffen werden. Moderne Streitkräfte benötigen grundsätzlich eine moderne Führungsunterstützung und Informationstechnik. Das Potenzial und die Chancen des Cyber-Raums sind hier auch in der Ausrüstung und operativen Aufstellung zu nutzen, um die Wirksamkeit des Handelns der Bundeswehr zu steigern.

Entsprechende Entwicklungen mit Auswirkung auf den Fähigkeitsbedarf der Streitkräfte sind zu untersuchen und frühzeitig zu berücksichtigen. Gegebenenfalls könnte darüber hinaus mittelfristig ein Ausbau der Kooperation mit den gewerblichen Wirtschafts- und Forschungseinrichtungen angedacht werden.

Der Cyber-Raum stellt mit seinen Chancen und Risiken eine Herausforderung dar, der sich die Bundeswehr intensiver stellen muss, um ihre Zukunftsfähigkeit zu erhalten. Um dies zu gewährleisten, ist zu prüfen, ob absehbar strukturelle Anpassungen erforderlich sind, um die Bundeswehr in diesem Bereich zur erfolgreichen Operationsführung im Informationsraum und den durch diesen verbundenen Dimensionen Land-Luft-See-Weltraum zu befähigen.

Ausgehend von den hier aufgezeigten Aspekten fokussiert diese strategische Leitlinie daher auf fünf Handlungsfelder und Zielvorgaben:

1. Beitrag zur gesamtstaatlichen Sicherheitsvorsorge

2. Internationale Rahmenbedingungen gestalten

3. Cyber-Raum als Operationsraum

4. Chancen des Cyber-Raums nutzen

5. Risiken des Cyber-Raums mindern

Im internationalen Bereich gibt es unterschiedliche Sichtweisen über die Zielsetzung von Regulierungen, um Risiken im Cyber-Raum zu begegnen. Für die Bundesregierung bleiben der freie Zugang zum öffentlich zugänglichen Anteil des Cyber-Raums sowie die Zensurfreiheit der Inhalte und die Nutzung des Cyber-Raums unter Beachtung rechtstaatlicher und demokratischer Prinzipien wesentliche Ziele, die bei Sicherheitsmaßnahmen gebotene Berücksichtigung finden müssen.

 

III. Handlungsfeld 1 – Beitrag zur gesamtstaatlichen Sicherheitsvorsorge

Die Bundesregierung rechnet auch künftig mit kritischen Cyber-Sicherheitslagen und verfolgt Cyber-Sicherheit in einem umfassenden Ansatz gesamtstaatlicher Sicherheitsvorsorge. Die Cyber-Sicherheitsstrategie für Deutschland (CSS) vom Februar 2011 fordert u.a. verlässliche und vertrauenswürdige Informationstechnologie, dauerhaft verfügbare, verlässliche IT-Systeme und -Komponenten sowie die Entwicklung innovativer Schutzkonzepte. Die CSS verlangt eine Klärung, ob und an welchen Stellen Schutzmaßnahmen vorgegeben werden müssen und ob und an welchen Stellen bei konkreten Bedrohungen zusätzliche Befugnisse erforderlich sind. Weiterhin wird die Notwendigkeit für eine Harmonisierung der Regelungen zur Aufrechterhaltung der Kritischen Infrastrukturen in IT-Krisen geprüft.

Rechtliche Grundlagen für ressortübergreifende Ansätze ergeben sich im Wesentlichen aus dem Institut der Amtshilfe. Ein Beitrag der Streitkräfte im Rahmen technischer Unterstützung ist durch Art. 35 Abs. 1 GG (Amtshilfe) eröffnet; eine weitergehende Unterstützung bis zum Einsatz der Streitkräfte zur Abwehr und Bewältigung eines besonders schweren Unglücksfalls ist im Rahmen des Art. 35 Abs. 2 und 3 GG möglich.

Eine gesamtstaatliche Rolle operativer militärischer Fähigkeiten im Bereich Cyber unabhängig von den Verteidigungsaufgaben (Heimatschutz) bzw. ein originärer Beitrag der Bundeswehr zur Handlungsfähigkeit der Bundesregierung im Bereich der Cyber-Sicherheit ist bisher nicht vorgesehen und nicht definiert. Diese Fragestellung ist durch das BMVg ressortübergreifend prioritär aufzugreifen.

Zur Ausgestaltung einer möglichen Rolle der Bundeswehr ist zu überprüfen, welche Fähigkeiten einer wirkungsvollen Unterstützung anderer Ressorts und der Betreiber Kritischer Infrastrukturen als Beitrag zur gesamtstaatlichen Sicherheitsvorsorge auch für Krisenszenarien bestehen.

Hierzu gehört auch die Prüfung, wie die Möglichkeiten der Reserve für Cyber-Spezialisten genutzt werden können, um in der Privatwirtschaft vorhandene Personen mit Schlüssel-Know-How bei Bedarf in hoheitlichem Auftrag zur Unterstützung staatlicher Strukturen und Kritischer Infrastrukturen heranziehen zu können.

IV. Handlungsfeld 2 – Internationale Rahmenbedingungen gestatten

Cyber-Sicherheit ist eine primär nationale Verantwortlichkeit. Zugleich ist „Sicherheit im globalen Cyber-Raum nur durch ein abgestimmtes Instrumentarium auf nationaler und internationaler Ebene zu erreichen“. ^[8] Das effektive Zusammenwirken für Cyber-Sicherheit in Europa und weltweit ist Grundlage zur Erreichung von mehr IT-Sicherheit auf nationaler Ebene. Daraus erwächst die Notwendigkeit einer engen Abstimmung und Zusammenarbeit mit Partnern. Ebenso wichtig ist die multi- und bilaterale Einbeziehung anderer Staaten und regionaler Zusammenschlüsse. Die Bundeswehr leistet hierzu im Rahmen ihres verfassungsmäßigen Auftrages innerhalb der Bundesregierung einen aktiven Beitrag.

1. NATO

Aufbauend auf die in 2014 verabschiedete Enhanced NATO Cyber Defence Policy bringt sich das Geschäftsbereich BMVg weiterhin aktiv in deren Umsetzung sowie des zugehörigen Aktionsplans ein. Offensive Cyber-Aktivitäten sind nicht Teil der NATO Policy.

Darüber hinaus sind bereits vorhandene oder im Kontext dieser Leitlinie weiterzuentwickelnde Fähigkeiten zu Cyber-Operationen in deutsche Positionen und Beiträge in die NATO für deren Planungen einzubringen.

2. EU

Die Cyber Security Strategy of the European Union (CSS EU) vom Februar 2013 fordert die Erhöhung der Widerstandsfähigkeit der Kommunikations- und Informationssysteme.

Das durch den Ministerrat der EU im November 2014 verabschiedete EU Cyber Defence Policy Framework differenziert die CSS EU für den Bereich der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) aus und steht im Einklang mit NATO-Aktivitäten. Bei der Umsetzung ist zu beachten, dass einerseits die in der EU festzulegenden Maßnahmen zur Cyber-Sicherheit mit den Anforderungen an die Militärische Sicherheit vereinbar sind, andererseits die zu entwickelnden Fähigkeiten und Standards sich an denen der NATO orientieren (single set of forces) und eine Duplizierung von Fähigkeiten vermieden wird.

 3. Internationale Organisationen, VN, OSZE

Im internationalen Bereich gibt es unterschiedliche Sichtweisen Über die Zielsetzung von Regulierungen, um Risiken im Cyber-Raum zu begegnen. Die Bundesregierung gestaltet die Cyber-Außenpolitik so, dass deutsche Interessen und Vorstellungen in Bezug auf Cyber-Sicherheit in internationalen Organisationen wie den Vereinten Nationen, der OSZE, dem Europarat, der OECD und der NATO koordiniert und gezielt verfolgt werden. Eine verstärkte Multilateralisierung ist mit der Notwendigkeit einer souveränen Beurteilungs- und Entscheidungskompetenz einschließlich eines zu definierenden Umfangs an rüstungswirtschaftlichen Kapazitäten in Einklang zu bringen.

Maßnahmen der kooperativen Sicherheit können Ansätze zur Verbesserung der Cyber-Sicherheit bieten. Dabei ist militärische Handlungsfähigkeit allerdings nicht unbeabsichtigt oder einseitig zu beschränken. Internationale Verhaltensnormen müssen zur Förderung eines gegenseitigen Sicherheitsgewinns sowie zur sicheren Verfügbarkeit des Cyber-Raums beitragen.

Das BMVg begleitet an der Seite des Auswärtigen Amtes und des Bundesministeriums des Innern die relevanten internationalen Prozesse und bringt eigene Positionen in die jeweiligen Verhandlungen mit ein.

 4. Bi- und multilaterale Kooperationen und Unterstützung beim Kapazitätsaufbau

Fragen der Cyber-Verteidigung sind grundsätzlich Gegenstand der Abstimmungen mit deutschen Verbündeten und Partnern. Sie werden daher regelmäßig u.a. in den sicherheits- und verteidigungspolitischen Stabsgesprächen des BMVg aufgegriffen. Deutschland und die Bundeswehr können im Bereich Cyber-Verteidigung von den Erfahrungen ausgewählter Partner profitieren beziehungsweise im Rahmen von „capacity building“ andere Staaten unterstützen. Gleichzeitig würde durch ein gesteigertes gegenseitiges Verständnis das gemeinsame Vorgehen in der NATO und anderen internationalen Organisationen verbessert und darüber hinaus die Einbringung und Berücksichtigung der verteidigungspolitischen Interessen erleichtert werden. Dabei ist den engsten Verbündeten und Partnern für weitere bilaterale Beziehungen Vorrang einzuräumen.

5. Internationales Recht

Auch wenn derzeit kein cyber-spezifisches Völkerrecht besteht, so ist eine Vielzahl von Völkerrechtsgebieten auf den Cyber-Raum anwendbar. Dabei stellen die Rechtsauslegung und -anwendung eine besondere Herausforderung dar, zumal der Cyber-Raum einem stetigen Wandel unterliegt. Derzeit beschäftigen sich mehrere internationale Gremien mit der Erarbeitung von Handlungsempfehlungen für den Cyber-Raum sowie dessen juristische Erfassung. Das BMVg wird sich hierbei weiterhin aktiv einbringen, um Rechtssicherheit für das militärische Handeln der Angehörigen des Geschäftsbereiches des BMVg zu gewährleisten.

V. Handlungsfeld 3 – Cyber-Raum als Operationsraum

Der Cyber-Raum unterliegt in seiner Gesamtheit einem ständigen Wandel. Technische Innovationen, vor allem in Schwellenländern, erweitern die Nutzungsmöglichkeiten des Cyber-Raums laufend. Gleichzeitig ergeben sich durch die Nutzung von Informations- und Kommunikationstechnik auch Gefahren im und aus dem Cyber-Raum heraus, die eine Operationsführung beeinflussen können. Dabei ist die Bundeswehr im Allgemeinen und die Einsatz- und Operationsführung im Besonderen von der Verfügbarkeit, Verlässlichkeit und Integrität der Daten, IT-basierten Diensten und vernetzter Infrastruktur abhängig. Im Rahmen der ressortübergreifenden Festlegung von Schlüsseltechnologien wurden daher u.a. in diesem Bereich Technologien identifiziert, die als nationale Schlüsseltechnologien in Deutschland vorgehalten werden sollen. Diese sind durch amtsseitige Aktivitäten (wie u.a. F&T) zu fördern und weiter zu entwickeln.

Zunehmende Vernetzung und Digitalisierung von Anwendungen und Prozessen, aktuelle IT-Trends wie z.B. die Nutzung von Cloud-Technologien, die Verarbeitung und Auswertung von großen Datenmengen (Big Data), und nicht zuletzt die Verbreitung des Cyber-Raums bis weit in den Alltag und in Alltagsgegenstände (Internet der Dinge) hinein beeinflussen auch militärisches Handeln im Rahmen des gesamtstaatlichen Ansatzes „Vernetzte Sicherheit“.

1. Cyber-Lagebild

Für die Beurteilung der Chancen und Risiken des militärischen Handelns unter Berücksichtigung des Cyber-Raums als Operationsraum ist ein möglichst umfassendes aktuelles Cyber-Lagebild erforderlich.

Dies gilt einerseits für die eigenen Kräfte, Mittel und Einrichtungen sowie Verfahren als Voraussetzung für eine erfolgreiche Führungs- und Einsatzunterstützung. Andererseits ist ein entsprechendes Lagebild über die Fähigkeiten, Verwundbarkeiten und möglicher Angriffsvektoren ^[9] von und gegen mögliche Gegner erforderlich, um Schutzmaßnahmen für das IT-System der Bundeswehr anzupassen sowie selbst gezielt im Cyber-Raum aufklären, führen und wirken zu können.

Für beide Anteile muss eine Informationsgrundlage geschaffen werden, die im Einsatz ein konsolidiertes, aussagefähiges und bewertbares Cyber-Lagebild ermöglicht. Die Wechselwirkungen zwischen Cyber-Raum und Informationsumfeld ^[10] sind dabei besonders zu berücksichtigen.

Dazu ist eine ganzheitliche Darstellung und Bewertung der relevanten Anteile des Cyber-Raums und des Informationsumfelds unter Einbeziehung aller für das militärische Handeln wesentlichen Aspekte erforderlich. Dabei liefert die nationale und internationale Zusammenarbeit unter Einbeziehung militärischer und behördlicher Organisationen sowie Industrie, Wissenschaft und Forschung wichtige Erkenntnisse. Das Cyber-Lagebild muss den Erfordernissen einer effektiven Entscheidungsfindung in der Einsatz- und Operationsführung gerecht werden sowie im Rahmen der nationalen und multinationalen Vernetzung interoperabel mit anderen Lagebildern und möglichst integrierbar in ein gemeinsames Lagebild sein.

Die organisatorischen ^[11], personellen und materiellen Voraussetzungen für die Einsatz- und Operationsführung im Informationsraum sind in einem bundeswehrgemeinsamen Ansatz zu schaffen.

Um Angriffe im und durch den Cyber-Raum auf eigene IT- und Waffen- und Wirksysteme besser abwehren zu können, sind zunächst Fähigkeiten zum Erkennen von komplexen Cyber-Angriffen erforderlich.

Angesichts der besonderen Eignung von Cyber-Angriffen, bereits deutlich unterhalb der Schwelle eines bewaffneten Angriffs und auch als Bestandteil hybrider Bedrohung gesamtstaatliche Notlagen bis hin zu besonders schweren Unglücksfällen oder einen Staatsnotstand hervorrufen zu können, ist das gewonnene militärische Lagebild zudem auch anderen staatlichen Einrichtungen für eine Einordnung in die Gesamt-/Teillage zur Verfügung zu stellen. Entsprechende Verfahren und Mechanismen sind festzulegen.

2. Cyberverteidigung in der Operationsführung

Cyber-Operationen im Verständnis dieser Leitlinie umfassen alle offensiven und defensiven Maßnahmen, die zur Einsatz- und Operationsführung geeignet sind oder dem Schutz eigener IT sowie Waffen- und Wirksysteme dienen.

Basierend auf dem Cyber-Lagebild sind Strategien zur Verhinderung oder Eindämmung gegnerischer offensiver Cyber-Aktivitäten zu entwickeln. Die Wirksamkeit der präventiven Maßnahmen zum Schutz des IT-Systems der Bundeswehr und der IT-Anteile in ihren Einrichtungen, Plattformen und Waffensystemen ist kontinuierlich zu überprüfen. Rein technische Maßnahmen zur Sicherung, Abwehr und Restitution ^[12] werden absehbar der dauernd steigenden Bedrohung, vor allem aufgrund steigender Qualität insbesondere durch sog. Advanced Persistant Threats (APT) ^[13], zukünftig nicht mehr gerecht werden. Die Möglichkeit, reaktive Maßnahmen und Strategien einzusetzen, ist zu untersuchen. Als wichtige – wenn auch nicht hinreichende – Voraussetzung für eine politisch belastbare Zurechenbarkeit (Englisch: attribution) sind verbesserte Analysemethoden von Angriffen, u.a. in der Cyber-Forensik, anzustreben.

Da auch ein Gegner von seinen eigenen Fähigkeiten im Cyber-Raum und den von ihm genutzten Ressourcen des Cyber-Raums abhängig ist, müssen im Rahmen eines militärischen Einsatzes Wirkmöglichkeiten vorhanden sein, um ihn in der Nutzung dieser Fähigkeiten und Ressourcen zu behindern oder sie ihm gegebenenfalls völlig zu verwehren. Dazu können auch zielgerichtete und koordinierte Maßnahmen zur Beeinträchtigung von fremden Informations- und Kommunikationssystemen sowie der darin verarbeiteten Informationen dienen, wie sie von den Kräften für Computer-Netzwerkoperationen durchgeführt werden können. Die Gesamtheit möglicher Maßnahmen im Cyber-Raum müssen daher bereits im Betrieb im Inland, spätestens aber bei der Planung eines Einsatzes bzw. einer Operation innerhalb des Einsatzes in den Grenzen der rechtlichen Rahmenbedingungen, eines Mandates, und der Einsatzregeln berücksichtigt werden. Die dazu erforderlichen Kräfte, Mittel und Einrichtungen sind in Abhängigkeit von der Art des Einsatzes und bei Bedarf durchhaltefähig bereitzuhalten. Aufgrund der komplexen, auch ressortübergreifenden Wechselwirkungen im Cyber-Raum sind auch diese Kräfte im Rahmen der Einsatz- und Operationsführung und entsprechend des jeweiligen Mandats unter Berücksichtigung ihrer Unterstellung zentral zu steuern. Um den ständig wachsenden Anforderungen gerecht werden zu können, sind die Strukturen und Prozesse zu untersuchen und bei Bedarf zu optimieren.

Die Cyber-Fähigkeiten bedürfen einer frühzeitigen Einbindung in nationale und multinationale Führungs- und Entscheidungsprozesse unter Berücksichtigung aller politischen, nationalen und internationalen sowie rechtlichen Rahmenbedingungen. Diese Einbindung ist bereits im Rahmen der Krisenvorsorge zu etablieren und muss sich insbesondere in den Einsatzstrukturen widerspiegeln.

Offensive Cyber-Fähigkeiten der Bundeswehr sind als unterstützendes, komplementäres oder substituierendes Wirkmittel anzusehen. Sie haben zum Einen das Potenzial, in der Regel nicht-letal und mit hoher Präzision auf gegnerische Ziele zu wirken, zum Anderen kann diese Wirkung im Gegensatz zu kinetischen Wirkmitteln unter Umständen sogar reversibel sein. Offensive Cyber-Fähigkeiten der Bundeswehr haben grundsätzlich das Potenzial, das Wirkspektrum der Bundeswehr in multinationalen Einsätzen signifikant zu erweitern. Die dazu befähigten, bereits vorhandenen Kräfte für Computer-Netzwerkoperationen sowie bereits abgebildete Fähigkeiten ^[14], wären dann hinsichtlich der möglichen Aufgebenwahrnehmung unter Priorisierung von (Teil-) Fähigkeiten in eine Bewertung einzubeziehen.

In multinationalen Operationen kommt der Koordination des Einsatzes von defensiven und offensiven Cyber-Fähigkeiten besondere Bedeutung zu. Hier sind entsprechende Verfahren weiter zu adaptieren bzw. neu zu erarbeiten und zu etablieren, möglichst zusammen mit Verbündeten. Eine umfassende Berücksichtigung von Cyber-Fähigkeiten in einer Gesamtoperation ist im Rahmen der o.a. definierten Grenzen auf allen Ebenen zu gewährleisten.

3. Cyber-Expertise

Aufgrund des hohen Grades der Komplexität von Cyber-Operationen und ihrer Auswirkungen auf die Einsatz- und Operationsführung ist eine umfassende Expertise für den militärischen Führer besonders notwendig. Erforderlich ist eine Cyber-Expertise in der Verfügbarkeit des operativen Stabes, um die einsatz- und operationsspezifischen Aspekte des Cyber-Raums bewerten und den Einsatz der entsprechenden Kräfte und Mittel planen zu können. Art und Umfang entsprechender Kräfte sind zu untersuchen. Die erforderlichen Prozessschritte sind umgehend einzuleiten. Um die notwendige Expertise zur Cyber-Verteidigung in der Bundeswehr verfügbar zu machen, ist ein kontinuierlicher informations- und Erfahrungsaustausch ressortübergreifend mit anderen Nationen, Streitkräften sowie Systemen und Organisation der kollektiven Sicherheit und in Zusammenarbeit mit der Industrie und Wissenschaft zu gestalten. Die bedarfsgerechte Weiterentwicklung der Aus-, Fort- und Weiterbildung sowie Bildung in der Bundeswehr ist kontinuierlich unter Berücksichtigung ressortübergreifender und multinationaler Fähigkeiten zu prüfen.

Technische Komplexität und Wechselwirkungen führen meist zu einer komplexen Rechtslage im Cyber-Raum. Der rechtlichen Beratung kommt somit eine besondere Bedeutung zu. Entsprechende juristische Fachexpertise ist auszubauen.

VI. Handlungsfeld 4 – Chancen im Cyber-Raum nutzen

1. Informationsmanagement

Aufgrund der Vielfalt und Menge der verfügbaren Informationen kommt dem durchgängigen und möglichst einheitlichen Informationsmanagement eine zunehmende Bedeutung zu. Die verteilte Verarbeitung von Informationen in geschlossenen IT-Systemen unterschiedlicher Sicherheitseinstufung steht einem ganzheitlichen Informationsmanagement entgegen. Um Sicherheitsbarrieren zwischen Informationen unterschiedlicher Einstufung überwinden zu können, muss eine Abwägung zwischen einem alleinigen Schutz der IT-Systeme nach dem Prinzip „System High“ ^[15] und dem Prinzip „Multi Level Secure“ erfolgen, bei dem ein bedarfsorientierter Schutz der Information im Vordergrund steht. Dazu ist die Eignung von Verfahren zu prüfen, die das Verfolgen, Verwalten und Zuweisen von Attributen an (auch klassifizierten) Informationsobjekten ermöglichen. Zudem werden immer mehr Informationen gesammelt und gespeichert, ohne dass ein möglicher Bedarfsträger direkt ermittelt werden kann. Hier sind moderne Werkzeuge für einen schnellen Zugriff auf relevante Informationen zu implementieren.

2. Vernetzte Operationsführung

Das Prinzip der durchgehenden Vernetzung von der Aufklärung über die Führung bis zur Wirkung und Unterstützung sowie einer anschließenden Auswertung ist weiterzuentwickeln. Der Mehrwert, der durch die rechtzeitige Verfügbarkeit verlässlicher lagerelevanter Informationen bei den beteiligten Personen und Einrichtungen entsteht, und der durch eine schnelle, wenn nicht gar unmittelbare, Reaktion erreicht werden kann, ist zu nutzen. Es ist besonderer Wert auf die Interoperabilität mit Partnernationen zu legen, da Einsätze in der Regel im multinationalen Rahmen durchgeführt werden.

Die Bereitstellung einer IT-Infrastruktur auf Basis einer gemeinsamen Architektur ist dafür wesentliche Grundlage. Die Fähigkeit zur Vernetzten Operationsführung (NetOpFü) erhöht zum Einen die Wirksamkeit und die Wirtschaftlichkeit militärischer Fähigkeiten, zum Anderen in gleichem Maße die „digitale Verwundbarkeit“. Es ist somit erforderlich, nicht nur die Chancen, sondern auch die Risiken der militärischen Nutzbarkeit des Cyber-Raums bei der Planung und Realisierung von Systemen einzubeziehen und angemessen gegeneinander abzuwägen.

Der erforderliche Cyber-Schutz von Systemen zur NetOpFü ist bei deren Planung daher ebenso nachdrücklich zu verankern, wie die Forderung nach der Vernetzbarkeit der Systeme selbst.

VII. Handlungsfeld 5 – Risiken im Cyber-Raum mindern

Die Bundeswehr nutzt den Cyber-Raum und IT-Systeme im täglichen Dienstbetrieb und hat somit die Sicherheit und Funktionsfähigkeit ihrer eigenen IT-Systeme zu gewährleisten. Angesichts der Abhängigkeit moderner Waffensysteme und militärischer Kommunikationsmittel von IT muss diese zur Gewährleistung eigener Handlungs- und Führungsfähigkeit nicht nur im Rahmen von Einsätzen zuverlässig verfügbar sein. Schädigende Maßnahmen gegen eigene IT sowie Waffen- und Wirksysteme sind daher möglichst frühzeitig zu erkennen, zu verhindern oder zumindest in ihrer Auswirkung durch vorbeugende Maßnahmen abzuschwächen. Im Falle erfolgreicher schädigender Maßnahmen oder einer sonstigen Störung ist eine schnellstmögliche Wiederherstellung zu gewährleisten, um die eigene Handlungs- und Führungsfähigkeit zu gewährleisten. Die Fähigkeit zur Analyse von Angriffsvektoren und zur Attribution von Angriffen ist weiterzuentwickeln.

1. IT-Sicherheit

Mit der in der IT-Strategie des BMVg dargelegten Konsolidierung der dezentralen IT-Systemstrukturen wird ressortintern eine homogene IT-Systemarchitektur etabliert, die zu einer signifikanten Verbesserung der IT-Sicherheit führt. Diese ist im Rahmen der ressortübergreifenden und internationalen Zusammenarbeit weiter auszubauen und muss geübt werden.

2. Risiko- und Folgenmanagement – Anteil Cyber

Die Implementierung von Sicherheitsmaßnahmen in IT-Systemen, Waffen- und Wirksystemen und deren Weiterentwicklung über den gesamten Lebenszyklus ist auf der Grundlage eines durchgängigen Prozesses für das Risiko- und Folgenmanagement (risk and consequence management) durchzuführen.

Basierend auf einer Analyse der Prozesse ist ein Risikomanagement aufzubauen, welches bei Ausfall oder Kompromittierung der jeweilig relevanten IT die auftretenden Folgen minimieren soll und einen wirtschaftlichen Einsatz erforderlicher Maßnahmen ermöglicht. Nach einer Ist-Analyse dieser Prozesse sind die Strukturen zu überprüfen, ob ein effektiverer Einsatz des vorhandenen Personals, Materials und der Infrastruktur möglich ist.

3. Cyber-Awareness

Durch die steigende Qualität und Anforderungen der technischen IT-Sicherheitsmaßnahmen und die Nutzung der Mitarbeiter als unmittelbares Angriffsziel kommt diesem als Nutzer eine wachsende Bedeutung zur Minimierung der Bedrohungen und Risiken aus dem Cyber-Raum zu. Die Qualifizierung und Sensibilisierung des eigenen Personals durch nachhaltige Maßnahmen ein situationsgerechtes Risikobewusstsein im Umgang mit der Informationssicherheit sowie weiteren möglichen Gefährungspotenzialen zu erzeugen, sind daher wesentliche Voraussetzungen für Cyber-Awareness, um Risiken im Cyber-Raum zu begegnen.

VIII. Umsetzung

Innerhalb des BMVg sind die Teilaufgaben im Themenkomplex Cyber-Verteidigung, eingeordnet im Kontext der IT-Strategie des BMVg, strukturell über die jeweils zuständigen Abteilungen verteilt. Dies trägt zwar der Expertise der jeweiligen Abteilungen Rechnung. Die inhaltliche Koordinierung, politische Akzentuierung und der einheitliche Auftritt im Außenverhältnis wird dadurch allerdings erschwert. Für eine Durchsetzung sicherheits- und verteidigungspolitischer Positionen und fachlicher Perspektiven im Ressortkreis, in internationalen Organisationen sowie in bilateralen Beziehungen zu militärischen Fragen der Cyber-Sicherheit ist eine kontinuierliche ebenengerechte Abstimmung innerhalb des BMVg zur Erzielung einer konsistenten Außendarstellung erforderlich. Klärung von Verantwortlichkeiten, Kompetenzen und Aufgaben im Themenkomplex Cyber für den Geschäftsbereich des BMVg sind als durch die Ministerin zu billigende Umsetzungsstrategie vorzulegen.

Fußnoten

1. Cyber-Sicherheitsstrategie für Deutschland, Februar 2011, S. 12.

2. Die in der Bundeswehr im Rahmen ihres verfassungsgemäßen Auftrages vorhandenen Fähigkeiten werden unter dem Begriff „Cyber-Verteidigung“ zusammengefasst.

3. Gemäß Cyber-Sicherheitsstrategie für Deutschland sind Kritische Infrastrukturen Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

4. Nachfolgend vereinfacht als Bundeswehr bezeichnet.

5. Cyber-Sicherheit ist der anzustrebende Zustand der IT-Sicherheitslage, in dem die Risiken des globalen Cyber-Raums auf ein tragbares Maß reduziert sind.

6. Kennzeichnendes Merkmal hybrider Bedrohungen ist, dass traditionell als unterscheidbar geltende Konfliktformen und -mittel zu einem insgesamt aggressiven Ansatz verschränkt werden (z.B. ökonomische, politische, militärische, propagandistische, subversive Aktivitäten). Im Grundsatz handelt es sich um den Versuch eines staatlichen oder nicht-staatlichen Herausforderers, alle ihm zur Verfügung stehenden Machtmittel in einer auf seine Ziele angepassten Weise einzusetzen.

7. Der Cyber-Raum ist konzeptionell Bestandteil der umfassenderen Dimension Informationsraum, welche zusätzlich das Informationsumfeld beinhaltet. In dieser strategischen Leitlinie wird nur der Cyber-Raum betrachtet.

8. vgl. Bundesministerium des Innern (2011), Cyber-Sicherheitsstrategie für Deutschland, S. 11.

9. Der Angriffsvektor bezeichnet einen möglichen Angriffsweg und eine Angriffstechnik, die ein unbefugter Eindringling nehmen kann um ein fremdes Computersystem zu kompromittieren.

10. Im Informationsumfeld werden Informationen durch Menschen wahrgenommen, interpretiert und weiterverbreitet. Ihr Denken und Handeln wird durch diese Wahrnehmung und Interpretation beeinflusst.

11. d.h. Prozesse und Strukturen

12. Virenscanner Firewalls, IPS, IDS, Data Leakage Prevention, etc.

13. APT (fortgeschrittene andauernde Bedrohung) bezeichnet einen komplexen, zielgerichteten und effektiven Angriff auf IT-Infrastrukturen.

14. z.B. im Bereich MilNW/GeoInfoW, FüUstg/IT-Sicherheit, ZMZ.

15. System High bedeutet, dass jedes Informationsobjekt in einem IT-System die Sicherheitsklassifikation des am höchsten