„Viele vernetze Systeme sind gleich viele mögliche Angriffspunkte“

Herr Oberstleutnant, Cybersicherheit ist heute in der gesamten Gesellschaft ein großes Thema. Immer wieder wird von Cyberangriffen auch auf kritische Infrastruktur gesprochen und wie man sich davor schützen kann. Warum ist das Thema Cybersicherheit auch für die Bundeswehr ein Entscheidendes?

Auch die Bundeswehr muss sich den täglichen Bedrohungen aus dem Cyberraum stellen. Wir erheben, verarbeiten und nutzen Informationen, die für andere Staaten und Organisationen interessant sind. In Einsätzen werden andere Staaten und Organisationen versuchen, unsere eigenen Netze und Systeme mit Falschinformationen zu füttern, sie zu lähmen oder gar zu zerstören.

Aber das ist doch nichts neues, oder?

Das ist richtig. Wir kennen das zum Beispiel aus dem klassischen Elektronischen Kampf über Funk. Auch verschiedene Schutzmaßnahmen sind grundsätzlich nicht wirklich neu. Verschleierungsverfahren und Elektronische Schutzmaßnahmen beim Einsatz von Funkgeräten werden schon lange angewandt. Doch auch schon weit früher haben berittene Boten schon verschlüsselte Nachrichten überbracht.

Und der Unterschied zu heute?

Die große Herausforderung jetzt ist die immer größere Komplexität der Systeme und die immer weitergehende Vernetzung. Zu dieser hat vor allem die Nutzung der Internet-Technik erheblich beigetragen. Die Vorteile dieser Vernetzung sind seit rund 20 Jahren unter Stichwörtern wie Vernetzte Operationsführung oder Network Centric Warfare ein Thema. Schnelle Verbindungen zwischen Sensoren und Effektoren schaffen Informations- und Wirkungsüberlegenheit. Dadurch werden Systeme, Geräte und Komponenten aber umfangreicher und komplexer, die Absicherung immer schwieriger. Hard- und Software werden von Menschen gemacht und haben daher Fehler. Diese können durch andere ausgenutzt werden. Das bedeutet: Viele vernetze Systeme sind gleich viele mögliche Angriffspunkte. Das gilt für Führungs- und Fachinformationssysteme oder Waffen- und Einsatzsysteme, ebenso wie für eingebaute Informationstechnik in Fahrzeugen. Selbst Gebäude- und Liegenschaftstechnik mit ihren hochkomplexen Steuerungssystemen, zum Beispiel Smartmeter und SCADA-Systemen, wie sie auch in vielen Industrieanlagensteuerungen zu finden sind, sind mögliche Angriffsziele. Denn warum sollte ich ein hoch gesichertes Führungsinformationssystem eines fliegenden Verbandes hacken, wenn ich einfach über die Liegenschaftstechnik die Kerosinpumpen des Standortes manipulieren oder zerstören kann?

Das heißt, die Bundeswehr hat viele mögliche Angriffspunkte, die sie schützen muss. Wie tut sie das denn nun aber genau?

Wir haben seit vielen Jahren eine sehr gute und ausgeprägte ITInformationstechnik-Sicherheitsorganisation. Die ITInformationstechnik-Sicherheitsbeauftragten der militärischen und zivilen Dienststellen sind fachlicher Berater in Ihrer Dienststelle und ausgebildete „Ersthelfer“. Mit dem ehemaligen ITInformationstechnik-Zentrum der Bundeswehr und dem zugehörigen Computer Emergency Response Team der Bundeswehr (CERTBwComputer Emergency Response Team der Bundeswehr), die jetzt zum Zentrum Cybersicherheit der Bundeswehr (ZCSBw) mit dem Cyber Operations Centre der Bundeswehr (CSOCBw) geworden sind, haben wir zudem eine starke und sehr kompetente zentrale Einrichtung zur Lagefeststellung, Steuerung und Überwachung. Hinzu kommen die Krypto- und Abstrahlprüfungs-Organisation der Bundeswehr, die ITInformationstechnik-Sicherheitsbeauftragten der Organisationsbereiche und der Projekte und noch viele andere.

Das ist eine relativ große Organisation. Aber wie funktioniert dies nun technisch?

Neben der Organisation muss natürlich auch die technische Seite passen. Systeme, Geräte und Komponenten müssen den heutigen Sicherheitsanforderungen gerecht werden. Es reicht nicht mehr, die Netze an den Außengrenzen mit einer Firewall abzusichern. Wer davon ausgeht, dass der Gegner nicht schon Zugriff auf das eigene System hat, macht bereits einen großen Fehler. Informationsbereiche innerhalb der Systeme und Netze müssen durch Rollen-Rechte-Vergaben und Verschlüsselungen gesichert werden. Eine enge Überwachung muss durch Protokollierung und Auditing erfolgen. Das regelmäßige Einspielen von Updates und Patches gehört ebenso dazu wie die frühzeitige Ablösung von veralteter Hard- und Software, die vom Hersteller nicht mehr unterstützt wird. Bei Verarbeitung von Verschlusssachen müssen zugelassene Produkte eingesetzt werden.

Und wer koordiniert und führt diese verschiedenen Maßnahmen nun durch?

Die einzelnen Projekte und Dienststellen werden bei diesen umfassenden Aufgaben beratend durch das ZCSBw mit der Deutschen Militärischen Security Accreditation Authority unterstützt. In sehr vielen Fällen haben wir in der Bundeswehr auch spezielle Szenarien, in denen man nicht einfach Vorgaben eins zu eins anwenden kann, sondern andere Lösungen finden muss, die zum Teil umfassende Risikobewertungen im Einzelfall erfordern. Es müssen also immer alle Räder ineinandergreifen, um die Sicherheit zu gewährleisten.

Alle Räder müssen ineinandergreifen – bedeutet das auch, dass jeder Einzelne einen Baustein zur Cybersicherheit leisten muss?

Beim Thema Informationssicherheit ist jeder gefordert. Das hört ja auch nicht am Kasernenzaun auf, sondern strahlt hinein bis in private WhatsApp-Gruppen oder Facebook und Twitter. Freiwillige Informationspreisgabe in Social-Media kann ebenso wie aktivierte Standortdienste von Smartphones bei Einsätzen eine gute Quelle für Gegner darstellen. Wir versuchen daher regelmäßig alle Nutzer für diese Gefahren zu sensiblisieren. Dabei würden wir uns wünschen, dass sich auch die Führungsebenen mehr daran beteiligen und sich danach vielleicht zweimal überlegen, ob das Smartphone mit WhatsApp das geeignete Führungsmittel ist.