Nach Hackerangriffen auf Regierungsserver wird in Deutschland über Cyber-Sicherheit diskutiert. Wie groß ist die Bedrohung aus Ihrer Sicht?
Die derzeitige Debatte über Cyber-Sicherheit schwankt zwischen Alarmismus und Trägheit. Viele sprechen ja reflexartig von einem Cyberkrieg. Doch es gibt derzeit kein plausibles Szenario, in dem Deutschland sich in einem groß angelegten Cyberkrieg wiederfinden könnte. Auch für die lange befürchteten Großangriffe auf sogenannte kritische Infrastrukturen fehlt es an strategischer Plausibilität. Bei den mutmaßlichen russischen Hackerangriffen auf deutsche Regierungsserver handelt es sich um Cyber-Spionage, die zusammen mit Cyber-Kriminalität den Großteil der alltäglichen Bedrohung bildet. Solche Spionageangriffe sind ärgerlich und es werden dabei mitunter tatsächlich wichtige Informationen erbeutet. Aber Spionage hat es ebenso wie Kriminalität immer schon gegeben.
Neu ist an der gegenwärtigen Lage vor allem die Vielzahl von Angriffen, während die Gefahr eines großen „Cyber Armageddon“ getrost vernachlässigt werden kann. Die Behörden sind gut beraten, sich auf die tatsächliche Bedrohungslage einzustellen, denn nur so lassen sich die Gefahren für die Cyber-Sicherheit einhegen und „managen“.
Zugleich zeigen die gegenwärtigen Angriffe auf das Regierungsnetz die Grenzen der Hochsicherheits-IT – schließlich war dieses Netz nicht einmal an das Internet angeschlossen, und dies galt bislang immer als hoher Sicherheitsfaktor. Wir müssen uns noch viel stärker mit dem Gedanken vertraut werden, dass die Grundlagen des zivilen Lebens verletzlich sind: Wenn in der modernen Welt alles miteinander verbunden ist, so ist auch alles angreifbar.

In Deutschland befassen sich zahlreiche Behörden auf Landes- und Bundesebene mit Cyber-Attacken – wie sehen Sie das Land strukturell für die Cyber-Sicherheit aufgestellt?
Momentan ist ja noch nicht ganz klar, wie die Hackerangriffe auf die deutschen Regierungsserver überhaupt vonstatten gingen. Deshalb sind belastbare Folgerungen für die strukturellen Probleme der deutschen Cyber-Sicherheit mit Vorsicht zu genießen. Doch es gilt jeglichen Alarmismus zu vermeiden. Selbst die amerikanische NSA hat 2013 durch ein Hack und/oder ein Leak viele ihrer eigenen Spionageprogramme verloren, die dann in abgewandelter Form gegen amerikanische Ziele verwendet wurden. Das nordkoreanische Ramsomware-Programm „WannaCry“ ist beispielsweise ein solches abgewandeltes NSA-Tool.
Deutschland ist also weder sonderlich gut noch sonderlich schlecht aufgestellt. Probleme bestehen etwa darin, schlagkräftige Teams zu bilden, mit denen ernsthafte Angriffe in Echtzeit abgewehrt werden können. Die offene Frage ist ferner, wie Deutschland zu einem Maß an strategischer Abschreckung gelangen kann, das zukünftige Angriffe auf Regierungsserver unattraktiver macht.

Nach Medienberichten ist auch im Gespräch, die Bundeswehr für sogenannte Hack-backs, also Cyber-Gegenangriffe, zu ermächtigen. Wie bewerten Sie das?
Grundsätzlich sind hier offensive Komponenten durchaus zu begrüßen, denn bei der Cyber-Sicherheit ist ein rein defensives Vorgehen letztlich zum Scheitern verurteilt. Eine effektive Cyberabwehr muss auch den Server eines Angreifers abschalten können, um gegebenenfalls den Angriff abzubrechen. Es kann auch sinnvoll sein, Spionagewerkzeuge in den Systemen des Gegners zu installieren, um jederzeit informiert zu sein, was die andere Seite vorhat. Dabei gilt es allerdings zu bedenken, dass sich alle diese Tools wiederum gegen ihre Erfinder wenden lassen.
Es gibt – zumindest nach außen hin – noch keine klaren Vorstellungen, wie die Bundeswehr im Ernstfall reagieren kann. Szenarien, in denen zunächst einmal das Parlament einberufen werden muss, bevor auf eine akute Bedrohung mit offensiven Mitteln geantwortet werden kann, sind ebenso absurd wie unvermeidlich. Dies zeigt auch, dass sich die notwendige Debatte über die normativen und rechtlichen Grundlagen der Cyber-Abwehr noch am Anfang befindet.

Manche Experten plädieren für eine stärkere europäische Zusammenarbeit bei der Abwehr von Cyber-Attacken. Wie sehen Sie das?
Die Stärkung von Kooperationen im Bereich der Cyber-Abwehr ist das Gebot der Stunde. Es gibt zahlreiche Ansätze hierzu, etwa auf europäischer Ebene oder im Rahmen des NATO Cooperative Cyber Defence Centre of Excellence. Beispielsweise gibt es auch im Nahen Osten zahlreiche solcher Kooperationen auf zwischenstaatlicher Ebene, und dies gilt auch für Staaten, die ansonsten nicht die besten Freunde sind. Solche Teilkooperationen eröffnen neben der Angleichung von Standards und der daraus resultierenden Professionalisierung zugleich die Möglichkeit, durch die Definition gemeinsamer Sicherheitsinteressen die Basis für weitergehende friedenspolitische Maßnahmen zu schaffen.
Die Gefahr – gerade in Deutschland – besteht darin, dass statt einer effektiven Zusammenarbeit verschiedener Behörden lediglich neue Koordinationsstellen eingerichtet werden. Damit wird die Cyber-Abwehr lediglich bürokratisiert, und das macht sie keineswegs effektiver. Eine schlagkräftige Cyber-Abwehr setzt flache Hierarchien mit unbürokratischen Lösungswegen voraus.