LinkedIn als Barometer

LinkedIn als Barometer

Wissenstransfers zwischen ziviler und militärischer F&E

von Thea Riebe, Stefka Schmid und Christian Reuter

Gibt es Wissenstransfers zwischen militärischer und ziviler Forschung? Wenn ja, in welchem Umfang? Um die Art und Weise zu untersuchen, wie Unternehmen durch sogenannte »Spillover«-Effekte von den Aktivitäten in den Bereichen »Forschung und Entwicklung« (F&E) eines anderen Unternehmens profitieren, existieren bereits Methoden, die die Mobilität von Arbeitskräften als Initiator von Wissenstransfers untersuchen. Dieser Beitrag stellt einen ergänzenden Ansatz vor, der auf »Social Media Analytics« (SMA) beruht. Er soll helfen, die »Spillover«-Effekte vom Verteidigungsbereich in die zivile F&E quantifizieren zu können und beruht auf der Analyse von Angaben zum Beschäftigungswechsel aus dem sozialen Netzwerk »LinkedIn«.

Unter »Spillover« wird der Prozess des Transfers von (technologischem) Wissen verstanden, der häufig innerhalb oder zwischen Unternehmen entsteht und anschließend, zum Beispiel durch Patente oder Weitergabe an andere Akteure, sichtbar wird (vgl. Aghion und Jaravel 2015). Unternehmen profitieren auf diese Weise von den Aktivitäten in der F&E eines anderen Unternehmens. In diesem Zusammenhang wurden in der Forschung Ansätze entwickelt, die die Mobilität von Arbeitskräften als Initiator von Wissenstransfers untersuchen (vgl. Audretsch und Keilbach 2005). Für die Messung dieser »Spillover« wurde der Fokus auf geografische Nähe sowie auf Transfers von informellem Wissen über soziale Netzwerke gelegt.

Dieser Beitrag soll zum interdisziplinären Forschungsbereich der Friedensinformatik beitragen, die die Rolle und Anwendung der Erkenntnisse und Methoden der Informatik im Kontext von Frieden und Sicherheit untersucht (vgl. Reuter 2019). In dieser Studie untersuchen wir konkret, inwieweit die Analyse Sozialer Medien (SMA) als ein ergänzender Ansatz zur Quantifizierung von »Spillover«-Effekten im Verteidigungsbereich auf zivile Forschung und Entwicklung verwendet werden kann.

Es existieren bereits viele verschiedene Möglichkeiten, Daten aus Sozialen Netzwerken zu analysieren: Neben den Beiträgen der Nutzer*innen spielen auch persönliche Netzwerke und Beziehungen eine zentrale Rolle. Daher werden in dieser Studie insbesondere Beschäftigungsbiographien aus dem sozialen Netzwerk »LinkedIn« analysiert. Mittels deskriptiver Statistik untersuchen wir die Mobilität von Mitarbeiter*innen zwischen militärischer und ziviler F&E in Deutschland. Es wird von manchen Wissenschaftler*innen angenommen, dass Innovationen aus dem Verteidigungssektor aufgrund dessen spezifischer Eigenschaften selten in zivile Bereiche »überlaufen« (vgl. Schmid 2017). Tatsächlich zeigte unsere Studie auch, dass Mitarbeiter*innen von Rüstungszulieferern signifikant seltener in zivile F&E wechselten, als Fachkräfte, die hauptsächlich im zivilen Sektor gearbeitet haben.

Ansatz: Arbeitsmobilität und Soziale Netzwerke

Die Innovationsforschung konzentrierte sich zur Messung von »Spillover«-Effekten bisher insbesondere auf Wirtschafts-, Wissens- und Technologietransfers, auch in persönlichen Netzwerken oder durch einzelne Sektoren (vgl. Cerulli und Potì 2009). Die Untersuchung von »Spill­over«-Effekten hilft dabei, zu verstehen, welchen Effekt Innovationen über ihren originären Sektor hinaus haben können und wie sich solche Effekte über verschiedene Sektoren hinweg verhalten. Die wichtigste Methode zur Untersuchung und Quantifizierung von »Spill­over«-Effekten macht sich den Umstand zunutze, dass sich Autor*innen von Patenten und Publikationen gegenseitig zitieren. Die Untersuchung dieser Zitationsnetzwerke hilft, die Beziehungen zwischen Innovationen nachvollziehen zu können (vgl. Acosta et al. 2011). Die Analyse von Patentzitaten bietet zwar viele Vorteile, stößt aber auch an Grenzen. Insbesondere bei den sogenannten »Emerging Technologies«, also grundlegend neuen und sich schnell entwickelnden Technologien, die möglicherweise noch keinen etablierten Output an Patenten entwickelt haben, muss unter Umständen auf andere Indikatoren für die Messung des »Spillover« von Innovationen zurückgegriffen werden.

Dabei wird diesen Innovationen ein weitreichender Einfluss und die Fähigkeit zugeschrieben, den Status Quo zu verändern. Da sie sich noch in der Entstehung befinden und viele Anwendungsgebiete noch erforscht werden, vermutet man ihre bedeutsamsten Auswirkungen in der Zukunft, weshalb letztere noch nicht mit Sicherheit eingeschätzt werden können (vgl. Rotolo et al. 2015). Im militärischen Kontext werden als solche zukunftsweisenden Innovationen in Entwicklung derzeit insbesondere Cyber-Technologien, Künstliche Intelligenz (KI), autonome Waffensysteme (AWS), Hyperschallflugkörper und ferngelenkte Systeme diskutiert (vgl. Sechser et al. 2019).

Im Zuge der zunehmenden Nutzung sozialer Netzwerkplattformen wie »Facebook« und »LinkedIn« ist das Feld der »Social Media Analytics« entstanden. Deren Ansatz ist es, Methoden zur Analyse von Social-Media-Daten zu kombinieren, zu erweitern und anzupassen (vgl. Stieglitz et al. 2018). Die Verwendung der von SMA bereitgestellten Daten kann Aufschluss über soziale Netzwerke und relevante Wissenstransfers geben, welche die Schwachstellen der Patentanalyse umgehen könnten. Bei der Untersuchung von »Spillover«-Effekten auf der Basis von individuellem Verhalten konzentriert sich unser Ansatz mithilfe einer Karrierenetzwerkanalyse darauf, wie Individuen Wissen zwischen Unternehmen, Abteilungen und Jobpositionen übertragen. Auch wenn sich die betreffenden Personen nicht persönlich kennen, können ihre Wege miteinander verbunden sein, indem sie für dieselbe Firma arbeiten, ähnlichen Aufgaben nachgehen oder dasselbe Wissen erwerben und weitergeben (vgl. Robertson und Jacobson 2011). Unserer Ansicht nach repräsentieren »LinkedIn«-Netzwerke teilweise diese Netzwerkcharakteristika und ermöglichen so die Untersuchung von Verbindungen zwischen der Verteidigungs- und der zivilen Industrie sowie zwischen relevanten Rüstungsunternehmen, welche durch Arbeitsplatzwechsel einzelner Akteure initiiert werden.

Ergebnisse und ethische Einordnung

Für die Analyse wurden 513 Profile von Mitarbeiter*innen untersucht, die im Zeitraum von 2009-2019 zu irgendeinem Zeitpunkt für die drei umsatzstärksten Rüstungsunternehmen in Deutschland gearbeitet haben.1 Die Beschäftigten wurden danach ausgewählt, dass sie in einem Bereich der F&E tätig waren, wobei nicht nach der Beschäftigung mit einer konkreten Technologie ausgewählt wurde. Die Beschäftigten wechselten ihren Arbeitsplatz zwischen 2009 und 2019 im Durchschnitt 3,75 Mal (siehe Tabelle auf Seite 50).

Anzahl der Arbeitsplätze zwischen 2009-2019 1,926
Fachkräfte 513
Durchschnittliche Arbeitsplatzwechsel pro Person 3.75
Standardabweichung 1.76
Median 3

Tabelle: Arbeitsmobilität zwischen 2009-2019

Es lassen sich drei Gruppen innerhalb der Stichprobe identifizieren: Gruppe eins (D), bestehend aus Personen, die ausschließlich für Unternehmen des Verteidigungssektors gearbeitet haben, Gruppe zwei (DC), bestehend aus Personen, die überwiegend im Verteidigungssektor gearbeitet haben und Gruppe drei (C) mit Personen, die häufiger im zivilen Sektor als im Verteidigungssektor gearbeitet haben (siehe Abbildung auf Seite 50). Die Anwendung der deskriptiven Statistik auf die Stichprobe zeigt dementsprechend in der Verteilung von militärischen zu zivilen Arbeitsplätzen, dass 257 Personen innerhalb von zehn Jahren ausschließlich für verteidigungs­orientierte Unternehmen gearbeitet haben (der Anteil der Jobs im militärischen Bereich (v) ist also v(D) = 1.00). Des Weiteren arbeiteten 154 Individuen überwiegend im militärischen (v(DC) = 0.50) sowie 102 überwiegend im zivilen (v(C) < 0.50) Bereich. Dabei wechselte die erste Gruppe durchschnittlich weniger häufig ihre Arbeitsposition (v(D) 3,242), während mit stärkerer Bindung an zivil ausgerichtete Unternehmen die durchschnittlichen Jobwechsel pro Person stiegen (v(DC) 4,019, v(C) 4,608).

Dies scheint die Annahme zu stützen, dass der »Spillover« von Wissen aus der Verteidigungsindustrie nur gering ist und unterstützt damit die These, dass dies auch an den äußerst spezifischen Merkmalen der nationalen Verteidigungsindustrien liegen könnte. Aus den detaillierten Projektbeschreibungen zu den jeweiligen Profilen der Mitarbeiter*innen lässt sich außerdem der wissensbasierte Charakter der Arbeitsplätze ablesen. Unternehmen tragen daher indirekt durch den Wechsel von Mitarbeiter*innen dazu bei, dass sich neue Technologien weiterentwickeln und an neue Kontexte angepasst werden können. Der Wissens-»Austausch« zwischen den Mitarbeiter*innen, auch wenn er quantitativ wenig stattfindet, kann somit qualitativ zur Verbreitung einer neuen Technologie beitragen. Dies gilt es durch weitere Studien zu untersuchen.

Die Soziale Netzwerkanalyse direkter Beziehungen (vgl. Leistner 2012) führt jedoch im Gegensatz zur Untersuchung von Verbindungen der Unternehmen zu forschungsethischen Herausforderungen, da hierzu die Analyse von Daten erforderlich ist, die aus dem Kontext der Zustimmung durch die Nutzer*innen herausgelöst werden oder gar deren Privatsphäre verletzen könnten (vgl. Hoser und Nitschke 2010). In dieser Hinsicht erweist sich die Patentanalyse als forschungsethisch weniger problematisch, da die öffentlich zugänglichen Datenbanken bekannt sind und es weniger Beschränkungen bezüglich des Schutzes der individuellen Privatsphäre gibt. So kann man Patentinformationen einschließlich ihres Inhalts analysieren, um einen tieferen Einblick in die Merkmale des übertragenen Wissens zu erhalten, ohne dabei den Fokus durch die Analyse ihrer charakteristischen Fähigkeiten oder Biografien auf Einzelpersonen zu legen. Die Dokumentation und Diskussion ethischer Fragen in Abwägung mit dem tatsächlichen Forschungsnutzen ist daher auch bei der Durchführung von Social Media-Forschung von entscheidender Bedeutung. In Einschränkung unserer eigenen Ergebnisse muss daher festgehalten werden: In weiteren Studien sollte der Fokus auf Netzwerkdaten gelegt werden, die nicht oder weniger personenbezogen sind, und sich stärker an spezifischen Technologien, Firmen oder Projekten orientieren.

Unsere Studie zeigt, wie »Spillover«-­Effekte zwischen dem Verteidigungs- und dem zivilen Sektor mithilfe von sozialen Karrierenetzwerken wie »LinkedIn« gemessen werden können. Dieser Ansatz kann damit zum einen Patentnetz­werkanalysen ergänzen, die sich der Diffusion von Technologien in zivilen und militärischen Bereichen widmen, indem der Fokus auf hierfür relevante (personale) Prozesse der Wissensproduktion in Firmen gelegt wird. Zum anderen könnten Zitationsnetzwerkanalysen, die sich auf Wissenstransfers zwischen Publikationen im akademischen Diskurs fokussieren, von der Konzentration der SMA auf den Anwendungsbereich, also wirtschaftliche Aktivitäten in militärischen oder zivilen Industrien, profitieren.

Dies erlaubt eine richtungsweisende Auseinandersetzung mit neuen (militärischen) Technologien mit Blick auf verantwortungsvolle F&E, welche zu einer besseren Beurteilung neuer Technologien beitragen kann. Besonders wenn sie viele mögliche Anwendungsfelder haben, stellen diese Technologien eine Herausforderung für die Einschätzung der Risiken und potentieller Folgen für die internationale Sicherheit und den Frieden dar (vgl. Riebe und Reuter 2019). Um diese Effekte zu untersuchen, und die Verbreitung von Technologien zwischen Wirtschaftssektoren zu analysieren, kann die technisch-naturwissenschaftliche Friedensforschung sich in Zukunft auch der Methoden der »Spillover«-Forschung bedienen.

Dieser Beitrag ist die gekürzte Version von »Riebe et al. (2020): Measuring Spillover Effects from Defense to Civilian Sectors – A Quantitative Approach Using LinkedIn. In: Defence and Peace Economics« (doi.org/10.1080/10242694.2020.1755787).

Anmerkung

1) Anzumerken ist hier allerdings, dass nicht bekannt ist, wie viele Mitarbeiter*innen der untersuchten Unternehmen tatsächlich bei LinkedIn angemeldet sind.

Literatur

Acosta, M.; Coronado, D.; Marín, R. (2011): Potential dual-use of military technology: Does citing patents shed light on this process? In: Defence and Peace Economics 22(3), S. 335-349.

Aghion, P.; Jaravel, X. (2015): Knowledge spillovers, innovation and growth. In: Economic Journal 125(583), S. 533-573.

Audretsch, D. B.; Keilbach, M. (2005): The mobility of economic agents as conduits of knowledge spillovers. In: Fornahl, D.; Zellner, C.; Audretsch, D. B. (Hrsg.): The role of labour mobility and informal networks for knowledge transfer. Boston: Springer Science, S. 8-25.

Cerulli, G.; Potì, B. (2009): Measuring intersectoral knowledge spillovers. An application of sensitivity analysis to Italy. In: Economic Systems Research 21(4), S. 409-436.

Hoser, B.; Nitschke, T. (2010): Questions on ethics for research in the virtually connected world. In: Social Networks 32(3), S. 180-186.

Leistner, F. (2012): Connecting organizational silos. Taking knowledge flow management to the next level with social media. Hoboken: Wiley.

Reuter, C. (2019): Information technology for peace and security. IT-applications and infrastructures in conflicts, crises, war, and peace. Wiesbaden: Springer Vieweg.

Riebe, T.; Reuter, C. (2019): Dual-use and dilemmas for cybersecurity, peace and technology assessment. In: Reuter, C. (Hrsg.): Information technology for peace and security. IT-applications and infrastructures in conflicts, crises, war, and peace. Wiesbaden: Springer Vieweg, S. 165-183.

Robertson, P. L.; Jacobson, D. (2011): Knowledge transfer and technology diffusion: An introduction. In: Dies. (Hrsg.): Knowledge transfer and technology diffusion. Cheltenham: Edward Elgar, S. 1-34.

Rotolo, D.; Hicks, D.; Martin, B. R. (2015): What is an emerging technology? In: Research Policy 44(10), S. 1827-1843.

Schmid, J. (2017): The diffusion of military technology. In: Defence and Peace Economics 29(6), S. 1-19.

Sechser, T. S.; Narang, N.; Talmadge, C. (2019): Emerging technologies and strategic stability in peacetime, crisis, and war. In: Journal of Strategic Studies 42(6), S. 727-735.

Stieglitz, S.; Mirbabaie, M.; Ross, B.; Neuberger, C. (2018): Social media analytics. Challenges in topic discovery, data collection, and data preparation. In: International Journal of Information Management 39, S. 156-168.

Thea Riebe ist Doktorandin am Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) an der TU Darmstadt und erforscht Dual-use-Risiken und deren Bewertung in der Informatik.
Stefka Schmid erforscht als Doktorandin am Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) Innovationsdiffusion von AI und verantwortungsvolle Digitalisierung.
Christian Reuter verbindet als Inhaber des Lehrstuhls Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) an der TU Darmstadt Fragen der Informatik mit der Friedens- und Sicherheitsforschung.

Dual-Use in der IT


Dual-Use in der IT

Bewertung in der Softwareentwicklung

von Thea Riebe und Christian Reuter

Der Einsatz von Informationstechnologie (IT) im Frieden ebenso wie in Konflikten und für Sicherheitszwecke wirft einige Fragen auf (Reuter 2019), u.a. ob die Nutzung von IT auf so genannte förderliche Zwecke und Anwendungen begrenzt und eine schädliche Nutzung verhindert werden kann (Riebe und Reuter 2019). Diese Ambivalenz wird als Dual-use-Dilemma bezeichnet und bedeutet, dass Gegenstände, Wissen und Technologie sowohl nützliche als auch schädliche Anwendung finden können. Dual-use-Fragen stellen sich in ganz unterschiedlichen technischen und naturwissenschaftlichen Disziplinen, insbesondere in der Nukleartechnologie sowie in der Chemie und Biologie. Dabei unterscheidet sich die Bedeutung von Dual-use je nach Technologie, ihren spezifischen Risiken und Szenarien sowie ihrer Distribution und Anwendung. Konkret bedeutet dies: Sicherheitspolitische Risikoszenarien und Anwender der Nukleartechnologie unterscheiden sich erheblich von denen der IT.

Im Jahr 2016 erkannten die NATO-Staaten den Cyberspace als militärische Domäne an, um so Cyberoperationen als Angriffe bewerten und im Cyberraum selbst aktiv werden zu können (NATO 2016). Weltweit werden Streitkräfte für den Cyberspace ausgebaut, gleichzeitig nimmt der Einsatz von IT in allen Lebensbereichen zu. Es stellt sich dadurch mehr denn je die Frage nach der Bewertung von Forschung und Entwicklung in der Informatik hinsichtlich potenzieller militärischer Nutzungsbereiche von Software, die ursprünglich für den zivilen Einsatz entwickelt wurde. In der Nuklearphysik, der Biologie und der Chemie wurden die Dual-use-Risiken bereits intensiv untersucht (Altmann et al. 2017; Liebert et al. 2009; Tucker 2012). Diese Studien trugen dazu bei, für einzelne Technologien Verfahren zur Bewertung und Kontrolle eben dieser Risiken hervorzubringen, und lieferten die Grundlage für den Begriff »Dual Use Research of Concern« (DURC). Dieser Begriff bezeichnet Forschungsprojekte, (neue) Technologien oder Informationen, denen das Potential für förderliche und schädliche Anwendung innewohnt und die besonders verheerende Auswirkungen haben können (Oltmann 2015). Die Frage ist daher, ob auch in der Informatik ein »IT Research and Development of Concern« definiert werden kann, das heißt, ob solche besonders riskanten Technologien durch eine kontextbasierte Dual-use-Folgenabschätzung identifiziert werden können, die – ähnlich wie in den Naturwissenschaften – dazu beiträgt, das Potential für eine schädliche Verwendung bereits während der Softwareentwicklung zu verringern.

Die Herausforderung besteht darin, dass das jeweilige Dual-use-Risiko vom Stand und Prozess der Forschung und Entwicklung der jeweiligen Arbeit abhängt und die Technologie gleichzeitig inhärent ambivalent bleibt. Besonders Software zeichnet sich durch ihre vielfältigen Einsatz- und Anpassungsmöglichkeiten in förderlichen und schädlichen Kontexten aus und unterscheidet sich durch ihre mittelbare Wirkung wesentlich von unmittelbar schädlichen ABC-Waffen (Carr 2013; Lin 2016, S. 119). Um trotzdem Bewertungen und darauf aufbauend Designentscheidungen zu treffen, die das Dual-use-Risiko berücksichtigen, braucht es Einzelfallstudien, die sehr kontext- und technologiespezifisch sein müssen. Solche Fallstudien evaluieren nicht nur eine einzelne Technologie, sondern tragen auch insgesamt zur Entwicklung formeller und informeller Methoden der Dual-use-Gov­ernance (Tucker 2012, S. 30-39) und zum Wandel der sozio-technischen Sicherheitskultur bei.

Forschungsstand

Der Begriff »Dual-use« wird vielfältig und divergierend angewendet und definiert, da er sich sowohl auf die Forschung und das Wissen als auch auf Technologien und einzelne Gegenstände beziehen kann (Forge 2010; Harris 2016). Eine frühe Abschätzung der Folgen oder Verwendungsmöglichkeiten der eigenen Forschung und Entwicklung ist besonders dann schwierig, wenn Design­entscheidungen mit geringem Aufwand möglich wären (Collingridge 1980). Dabei gibt es unterschiedliche Methoden zur Dual-use-Bewertung, die sich an der Technikfolgenabschätzung orientieren (Grunwald 2002; Liebert 2011). Die Methoden sind szenarienbasiert und anwendungsorientiert und müssen daher immer in das konkrete Forschungs- oder Entwicklungsvorhaben integriert werden, um fallbasiert das jeweils pessimistischere Szenario durch Designanpassungen ausschließen zu können (von Schomberg 2006).

Für die Softwareentwicklung1 stellt sich gerade vor dem Hintergrund der Versicherheitlichung des Cyberspace (Hansen und Nissenbaum 2009), dem militärischem Bestreben nach umfassender Aufklärung (Müller und Schörnig 2006) und der zunehmenden Investition in die strategisch-offensive Erschließung (Reinhold 2016) die Frage, auf welche Weise Entwickler Missbrauchsrisiken ihrer Forschung und Entwicklung abschätzen können.

Die Dual-use-Debatte in der Informatik wurde bisher vor allem zur Kryptographie (Vella 2017) und zur Proliferation von Spionagesoftware geführt und 2013 sowie 2016 durch Ergänzungen des Wassenaar-Abkommens2 berücksichtigt (Herr 2016). Auch der Dual-use von Software wurde immer wieder als Teil der waffentechnischen Modernisierung problematisiert (Bernhardt und Ruhmann 2017; Reuter und Kaufhold 2018b), dennoch fehlen entsprechende empirische Fallstudien (Leng 2013; Lin 2016). Einerseits ist die moderne Softwareentwicklung durch agile und iterative Vorgehensmodelle, wie Extreme Programming und Scrum, gekennzeichnet, in denen Entwickler und Manager flexibel auf die Änderungen von (Kunden-) Anforderungen reagieren können (Dingsøyr et al. 2012). Es ist daher naheliegend, dass Dual-use-Potenziale nicht nur in der Planungsphase von Softwareprojekten, sondern prozessbegleitend überprüft werden müssen. Andererseits stellt die Flexibilität in der Verwendung von Software in unterschiedlichen Anwendungskontexten die Dual-use-Folgenabschätzung vor eine spezielle Herausforderung und führt dazu, dass diese grundsätzlich anders erfolgen muss als in den Naturwissenschaften (Lin 2016, S. 119). Dabei geht es sowohl darum, Risiken durch nicht-staatliche Akteure zu minimieren, als auch darum, die Gefahr einer unkontrollierten Verbreitung von Schadsoftware oder von Missverständnissen zwischen Staaten zu antizipieren.

Neben der unternehmerischen Analyse von Einflussnehmern und Stimmungsbildern spielen auch Systeme der Social-media-Analyse eine zunehmend wichtige Rolle: Einerseits ermöglichen sie die Identifikation von Einsatzlagen in sozialen Konflikten oder Krisen (Reuter und Kaufhold 2018a; Reuter et al. 2017), gleichzeitig eröffnen sie aber auch ein besonderes Missbrauchspotential im Kontext der Cyberspionage (Neuneck 2017) oder der (politischen) Verfolgung. Deshalb stellt sich die Frage, wie potenzielle Dual-use-Komponenten und -Indikatoren bereits in der Forschung und Entwicklung von Software identifiziert werden können.

Ausblick

Um diese Frage zu beantworten, müssen auf Basis bestehender Ansätze zur Identifikation von Dual-use relevante Indikatoren für eine besonders sicherheitskritische Datenverarbeitung und IT identifiziert und die Gemeinsamkeiten systematisiert werden. Zur Proliferationskontrolle von Spionagesoftware wurden im Wassenaar-Abkommen erste Schritte unternommen, die sich weniger an die konkrete »Intrusion-Software« als an die sie unterstützende Infrastruktur richten (Dullien et al. 2015; Herr 2016). Allerdings wird die Effektivität dieser nicht-bindenden Maßnahmen bezweifelt (Herr 2016; Vella 2017) bzw. sie werden sogar als möglicherweise kontraproduktiv kritisiert (Dullien 2015). Dies zeigt einerseits die Herausforderungen, die sich angesichts der Vielzahl unterschiedlicher Akteure und Prozesse für die effektive Kontrolle von Dual-use-Risiken ergeben. Andererseits tun sich mit der Identifikation von Indikatoren für »Dual Use IT of Concern« und der daran anschließenden Dual-use-Governance von der Forschung zur anwendungsorientierten Entwicklung auch Möglichkeiten zur Verringerung von und zum Umgang mit solchen Risiken auf.

Fazit und Zusammenfassung

  • Dual-use sind Forschungsprojekte, (neue) Technologien oder Informationen, denen das Potential für förderliche und schädliche Anwendung innewohnt und die besonders verheerende Auswirkungen haben können (Oltmann 2015).
  • Dual-use-Risiken sind früh im Forschungsprozess, solange Anpassungen relativ leicht vorzunehmen sind, schwer feststellbar, während sie in der anwendungsorientierten Forschung, wenn sie leichter feststellbar sind, aufwendiger zu vermeiden sind (Collingridge-Dilemma).
  • Dual-use-Risiken können Rüstungsdynamiken und die Stabilität der internationalen Gemeinschaft negativ beeinflussen.
  • Um Dual-use-Risiken zu bewerten, gibt es verschiedene Ansätze der Technikfolgenabschätzung. Diese untersuchen die möglichen Effekte von Technologien auf die Gesellschaft, unter Berücksichtigung von Normen, wie dem Vorsorgeprinzip oder Pazifismus.
  • Dual-use in der Informatik beinhaltet zahlreiche hier dargestellte Forschungsfragen, die wir aktuell in der Forschung adressieren.

Anmerkungen

1) Softwareentwicklung ist die „zielorientierte Bereitstellung und systematische Verwendung von Prinzipien, Methoden und Werkzeugen für die arbeitsteilige, ingenieurmäßige Entwicklung und Anwendung von umfangreichen Softwaresystemen“ (Balzert 2000).

2) Dem Wassenaar-Abkommen für die Exportkontrolle konventioneller Rüstungsgüter und Güter mit doppeltem Verwendungszweck (Dual-use Güter) sowie darauf bezogene Technologien gehören 41 Staaten an. Es ist am 1. November 1996 in Kraft getreten.

Literatur

Altmann, J.; Bernhardt, U.; Nixdorff, K.; Ruhmann, I.; Wöhrle, D. (Hrsg). (2017): Naturwissenschaft – Rüstung – Frieden. Wiesbaden: Springer Fachmedien.

Balzert, H. (2000): Lehrbuch der Software-Technik – Software-Entwicklung. Heidelberg: Spektrum Akademischer Verlag.

Bernhardt, U.; Ruhmann, I. (2017): Informatik. In: Altmann et al. (Hrsg.): Naturwissenschaft – Rüstung – Frieden (pp. 337-448). Wiesbaden: Springer Fachmedien.

Carr, J. (2013): The misunderstood acronym – Why cyber weapons aren’t WMD. Bulletin of the Atomic Scientists, Vol. 69, Nr. 5, S. 32-37.

Collingridge, D. (1980): The social control of technology. New York: St. Martins Press.

Dingsøyr, T.; Nerur, S.; Balijepally, V.; Moe, N. B. (2012). A decade of agile methodologies – Towards explaining agile software development. Journal of Systems and Software, Vol. 85, Nr. 6, S. 1213-1221.

Dullien, T. (2015): Why changes to Wassenaar make oppression and surveillance easier, not harder. Blog ADD / XOR / ROL, 2.10.2018; addxorrol.blogspot.com.

Dullien, T.; Iozzo, V.; Tam, M. (2015): Surveil­lance, Software, Security, and Export Controls – Reflections and recommendations for the Wassenaar Arrangement Licensing and Enforcement Officers Meeting. Draft Report, 2.10.2015; tac.bis.doc.gov.

Forge, J. (2010): A note on the definition of »dual use«. Science and Engineering Ethics, Vol. 16, Nr. 1, S. 111-118.

Grunwald, A. (2002): Technikfolgenabschätzung – Eine Einführung. Berlin: Edition Sigma.

Hansen, L.; Nissenbaum, H. (2009): Digital disaster, cyber security, and the Copenhagen School. International Studies Quarterly, Vol. 53, Nr. 4, S. 1155-1175.

Harris, E.D. (ed.) (2016): Governance of Dual-Use Technologies – Theory and Practice. Cambridge MA: American Academy of Arts & Sciences.

Herr, T. (2016): Malware counter-proliferation and the Wassenaar Arrangement. NATO Cooperative Cyber Defence Centre of Excellence, 8th International Conference on Cyber Conflict – CyCon 2016. Proceedings, S. 175-190.

Leng, C. (2013): Die dunkle Seite – Informatik als Dual-Use-Technologie. Gesellschaft für Informatik.

Liebert, W. (2011): Wissenschaft und gesellschaftliche Verantwortung. In: Eger, M.; Gondani, B.; Kröger, R. (Hrsg.): Verantwortungsvolle Hochschuldidaktik. Berlin: LIT, S. 15-34.

Liebert, W.; Englert, M.; Pistner, C. (2009): Kernwaffenrelevante Materialien und Präventive Rüstungskontrolle - Uranfreie Brennstoffe zur Plutoniumbeseitigung und Spallationsneutronenquellen. Osnabrück: Deutsche Stiftung Friedensforschung, Forschung DSF Nr. 20.

Lin, H. (2016): Governance of Information Technology and Cyber Weapons: In: Harris, E.D. (ed.), op.cit, S. 112-157).

Müller, H.; Schörnig, N. (2006): Rüstungsdynamik und Rüstungskontrolle – Eine exemplarische Einführung in die Internationalen Beziehungen. Baden-Baden: Nomos.

North Atlantic Treaty Organization/NATO (2016): Warsaw Summit Communiqué. nato.int.

Neuneck, G. (2017): Krieg im Internet? Cyberwar in ethischer Reflexion. In: Werkner, I.-J.; Ebeling, K. (Hrsg.). Wiesbaden: Springer Fachmedien, S. 805-816.

Oltmann, S. (2015): Dual use research – investigation across multiple science disciplines. Science and Engineering Ethics, Vol. 21, Nr. 2, S. 327-341.

Reinhold, T. (2016): Cyberspace als Kriegsschauplatz? Herausforderungen für Völkerrecht und Sicherheitspolitik. Aus Politik und Zeitgeschichte/APUZ 35-36/2016, S. 22-27.

Reuter, C. (2019): Information Technology for Peace and Security – IT-Applications and Infrastructures in Conflicts, Crises, War, and Peace. Wiesbaden: Springer Vieweg (im Erscheinen).

Reuter, C.; Kaufhold, M.-A. (2018a): Fifteen Years of Social Media in Emergencies – A Retrospective Review and Future Directions for Crisis Informatics. Journal of Contingencies and Crisis Management/JCCM, Vol. 26, Nr. 1, S. 1-17.

Reuter, C.; Kaufhold, M.-A. (2018b): Informatik für Frieden und Sicherheit. In: Reuter, C. (Hrsg.): Sicherheitskritische Mensch-Computer-Interaktion – Interaktive Technologien und Soziale Medien im Krisen- und Sicherheitsmanagement. Wiesbaden: Springer Vieweg, S. 577-597.

Reuter, C.; Kaufhold, M.-A.; Spielhofer, T.; Hahne, A.S. (2017): Social Media in Emergencies – A Representative Study on Citizens’ Perception in Germany. Proceedings of the ACM on Human Computer Interaction, Computer-Supported Cooperative Work and Social Computing, Vol. 1, Nr. 2, S. 1-19.

Riebe, T.; Reuter, C. (2019): Dual Use and Dilemmas for Cybersecurity, Peace and Technology Assessment. In: Reuter, C. (ed.) (2019), op.cit.

Tucker, J.B. (ed.). (2012): Innovation, Dual Use, Security – Managing The Risks of Emerging Biological and Chemical Technologies. Cambridge MA: MIT Press.

Vella, V. (2017): Is There a Common Understanding of Dual-Use? The Case of Cryptography. Strategic Trade Review, Vol. 3, Nr. 4, S. 103-122.

von Schomberg, R. (2006): The Precautionary Principle and Its Normative Challenges. In: Fischer, E.; Jones, J.; von Schomberg, R. (eds.): Implementing the Precautionary Principle – Perspectives and Prospects. Cheltenham: Edward Elgar, S. 19-42.

Thea Riebe ist wissenschaftliche Mitarbeiterin an der Technischen Universität Darmstadt sowie der Universität Siegen und promoviert zu Dual-use in der Informatik.
Christian Reuter ist Professor für Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) an der Technischen Universität Darmstadt; peasec.de.

Lebensadern des Cyberkriegs


Lebensadern des Cyberkriegs

von Ingo Ruhmann und Ute Bernhardt

Die Manipulation unserer IT-Infrastrukturen aus Hardware, Software und Netzwerken durch Militärs, Geheimdienste und deren Söldner ist zum Element des digitalen Alltags geworden. Für die Betroffenen ist es völlig egal, ob wir dies als Cyberkrieg bezeichnen oder diplomatischer als transnationale staatliche Computereingriffe (intrusion) „ohne Einwilligung betroffener Staaten zu Zwecken der Überwachung, Spionage oder Cyberoperationen in Zeiten des Friedens oder der Spannungen“.1 Für den Alltag wichtig ist die Frage, wie sich diese Eingriffe eindämmen und möglichst verhindern lassen. Wer dies als Ziel verfolgt, muss zuerst klären, womit wir es zu tun haben – und das nicht nur auf der Handlungsebene, sondern auf der Ebene der Infrastrukturen, der Lebensadern des Cyberwar.

Computermanipulationen werden im Allgemeinen primär auf der Wissens- und Handlungsebene betrachtet. Für Angreifer wie Betroffene hat das Handlungswissen eine wesentliche Rolle, als Infrastruktur werden nur Computer und Internetverbindungen betrachtet. Dabei sind im Sinne der IT-Sicherheit die operativen Elemente der Cyberkriegsführung zu unterscheiden vom Hacken. Die Cyberkriegsführung verfolgt spezifische Ziele gemäß einer definierten Doktrin, die Akteure verfügen über spezifische Ressourcen, und die Cyberkriegsführung verbleibt nicht im Digitalen, sondern geht auch mit physischen Operationsformen einher. Sowohl die Ziele als auch die exorbitanten personellen und vor allem materiellen Ressourcen, die für die Cyberkriegsführung heute aufgewandt werden,2 lassen sich an Infrastrukturen – »Lebensadern« – festmachen. Aus diesen Lebensadern ergeben sich Ansatzpunkte für Gegenstrategien, was schon elementarste Ebenen zeigen.

Kritische Infrastrukturen der Zivilgesellschaft

Beginnen wollen wir mit dem Offensichtlichen: den zivilen Infrastrukturen. In den 1990er Jahren wurde aufgearbeitet, welche Eingriffe in zivile Netzwerke zu »kritischen« Ausfällen lebenswichtiger Versorgungssysteme der Zivilgesellschaft führen würden. Diese Versorgungssysteme betreffen die Sektoren Energie, Wasser, Telekommunikation, Gesundheit, Ernährung, Logistik und das Finanzsystem, aber auch die staatliche Verwaltung. Ihre »Kritischen Informationstechnischen Systeme« (KRITIS) gelten als primäre Ziele von Cyberangriffen und sind in besonderer Weise zu schützen. Nach über 20 Jahren der Diskussion in Deutschland regelt das IT-Sicherheitsgesetz nun technische Vorgaben und Meldepflichten.

Schon diese Sicht auf physische, logische und organisatorische Infrastrukturen, ihre Spezifika und die entsprechende Risikoanalyse ermöglicht Handlungs- und Schutzstrategien sowie rechtliche Vorgaben. Wären die Infrastrukturen des Cyberkrieges bekannt, ließen sich ebenfalls Reaktionsstrategien entwickeln. Der Schutz kritischer Infrastrukturen ist jedoch allein auf zivile Infrastrukturen gerichtet. Systematisch ausgeblendet werden damit jene militärischen und geheimdienstlichen IT-Infrastrukturen, die das Hochwert-Ziel jedes Angreifers darstellen. Genauso wie KRITIS für die Zivilgesellschaft, gibt es für militärische und geheimdienstliche Akteure schützenwerte Infrastrukturen, die der militärischen Operationsführung dienen. Besonders interessant sind die Infrastrukturen für offensive und defensive Cyber-Operationen.

Nervenbahnen für Kommando und Kontrolle – militärische Infrastrukturen

Ein Ziel der elektronischen Kriegsführung – in der Bundeswehrsprache: Fernmelde- und Elektronischer Kampf (Eloka)3 – ist es, die Kommunikationsinfrastrukturen potentieller Gegner lückenlos zu erfassen. Viele Werkzeuge werden seit Jahrzehnten rund um die Uhr eingesetzt und sind ein operativer Teil der heutigen Cyberkriegs-Infrastruktur. Sichtbar ist das bei jenen militärischen Anlagen, die als Antennen-Installationen in Sperrgebieten aus der Umgebung und selbst auf Satellitenbildern gängiger Suchmaschinen unübersehbar sind, wie das monströse Rechenzentrum des US-Spionagegeheimdienstes NSA mit fast zehntausend Quadratmetern Fläche nur für die IT plus achtzigtausend Quadratmetern für Kühlung und Energieversorgung.

Telekommunikationsunternehmen sind ebenfalls in diese Infrastrukturen eingebunden. Das Post- und Telekommunikationssicherstellungsgesetz schrieb ihnen bis vor wenigen Jahren sogar noch bauliche Maßnahmen, wie das Verbunkern, vor „zum Schutz von Anlagen zur Aufrechterhaltung des Betriebes auch während unmittelbarer Kampfeinwirkungen“.4 Mit dem Projekt HERKULES verfügt die Bundeswehr nun wie andere Armeen über ein Weitverkehrs-Datennetz unter eigener Kontrolle.5

Diese Infrastrukturen sind die Nervenbahnen militärischer Kommandoausübung. Sie unbrauchbar zu machen, bedeutet das Ende koordinierter Militäroperationen. Daher gehört zu den sensibelsten Teilen der Infrastruktur einerseits der Schutz der physischen Infra­struktur internationaler Datennetze, andererseits deren Überwachung. Im britischen Menwith Hill,6 im bayerischen Bad Aibling7 oder im baden-württembergischen Rheinhausen8 wird die Überwachung der Satellitenkommunikation sichtbar. Weniger sichtbar ist, dass seit der Jahrtausendwende U-Boote der USA auch an den unterseeisch verlegten Glasfaserkabeln horchen;9 russische Boote haben nachgezogen.10

Verborgene Lebensadern

Neben diesen Lebensadern des Cyberkrieges existieren digitale Infrastrukturen, die schwerer zu identifizieren und bei denen die physische Existenz und logische Funktion nur mit größerem Aufwand zu ermitteln sind.

Glasfasernetze haben auch die Infrastruktur der Überwachung verändert. Der Deutsche Central Internet Exchange De-CIX in Frankfurt ist der weltweit größte Internetknoten zur Übergabe von Daten zwischen verschiedenen Providern. Der Bundesnachrichtendienst (BND) und zuvor die NSA haben sich dort Anschluss verschafft, die Klage des Betreibers dagegen blieb 2018 erfolglos.11 Vergleichbare Einrichtungen zur Überwachung und Ableitung des durch die USA laufenden Datenverkehrs sind bekannt. Seit 2003 hat die NSA Verträge mit Providern geschlossen.12 Für die Filterung der enormen Datenmengen aus der Überwachung des Datenverkehrs werden Rechenkapazitäten vor Ort benötigt. Unterlagen der NSA zufolge besteht diese heimliche Infrastruktur aus trutzigen Gebäude inmitten jener acht Städte in den USA, in denen es einen direkten Zugang zu den großen Internet-Backbones gibt.13 Von dort aus wird der gefilterte Datenverkehr zu Rechenzentren der NSA geleitet.

Auch andere Infrastrukturen sind sichtbar, ihre Bedeutung aber schwer zu erkennen. Seit Jahren war für IT-Fachleute rätselhaft, welch riesigen Datenmengen über bestimmte Datenleitungen im Stuttgarter Raum abgewickelt wurden, obwohl nur eine kleine Signals-Intelligence-Einheit der U.S. Army angeschlossen war. Durch die Snowden-Enthüllungen wurde klar, dass Stuttgart-Vaihingen einer von weltweit nur drei Übergangsknoten für das NSA-Programm TRANSGRESSION ist.14 Das auffällige Datenvolumen resultiert daraus, dass sich die NSA bei ihren gegnerischen Cyberkriegs-Akteuren einhackt, deren Werkzeuge und Zugänge zu Infrastrukturen in andern Ländern stiehlt und die erbeuteten Daten über Vaihingen in die USA übermittelt. So operiert nicht nur die NSA. Sie erbeutet bei diesen Raubzügen auch Daten, die von den Gegnern von dritter und vierter Seite gesammelt wurden. Solche Operationen machen klar, welch detaillierte Kenntnisse die großen Cyberkriegs-Akteure in West, Ost und Fernost von ihren jeweiligen Gegnern und ihren Infrastrukturen haben.

Der Lebenssaft in den Lebensadern: Software

Zu den bisher skizzierten Lebensadern des Cyberkrieges kommt der »Lebenssaft« in diesen Adern: die Software. Cyberkriegs-Akteure profitieren von den sich trotz aller Veränderungen immer wieder herausbildenden Software-Monokulturen. Das sind vor allem dominante Betriebssysteme und die gängigste darauf laufende Anwendungssoftware. Die noch unveröffentlichten Sicherheitslücken darin – »zero-day exploits« – sind Einfallstore für Angriffe. Dafür hat sich ein Millionenmarkt etabliert, den Cyberkriegs-Akteure anfachen, statt dafür zu sorgen, dass die Sicherheitslücken bekannt und geschlossen werden. Die NSA sammelt seit den 1980er Jahren in weltweit verteilten Datenbanken alle ihr bekannt werdenden Schwachstellen möglichst vieler IT-Systeme, um mit diesem Wissen mit den heutigen Cyberkriegs-Werkzeugen, wie XkeyScore, beliebige Computer automatisiert und ohne Fachkenntnisse der Bearbeiter anzugreifen und zu übernehmen.15

Software-Monokulturen und die Detailkenntnis physischer Infrastrukturen erlauben unmöglich scheinende Angriffsformen. Im »Quantum«-Programm haben US-Dienste Werkzeuge entwickelt, um die von nur wenigen Herstellern produzierten Telekommunikationsknoten mit »Implantaten« zu versehen und sie unter eigene Kontrolle zu bringen. Ziel ist es bei diesem Programm nicht, das Netz abzuschalten, sondern die Kommunikation von Angriffsopfern selektiv zu manipulieren. Das Implantat auf dem gekaperten Netzknoten fängt automatisiert den Datenverkehr zum Zielsystem ab und ersetzt ihn durch manipulierte Datenpakete. Die Reaktionsgeschwindigkeit in Sekundenbruchteilen setzt voraus, Netzknoten nahe am Operationsziel zu kapern.16 Damit gelang der NSA der Angriff auf die Rechner der EU-Kommission über deren Provider Belgacom.

In Lebensadern denken: Was sind die Infrastrukturen des Cyberkrieges?

Es liegt in der Logik der Sache, dass die Cyberkriegs-Akteure die zivilen und militärischen Infrastrukturen ihrer Gegner ausspionieren und manipulieren. Das TRANSGRESSION-Programm der NSA und die gegenseitigen Raubzüge der Cyberkrieger zeigen, wie gut die Akteure sich gegenseitig und ihre Infrastrukturen kennen. Schon dies widerlegt den Irrglauben, gegen Cyberkrieg sei nichts auszurichten, weil die Akteure und ihre Infrastrukturen unbekannt seien. Sie kennen auch unsere zivilen Infra­strukturen. Wir aber nicht ihre. Das ist fahrlässig. Denn wer als Provider weiß, dass spezifische Datenleitungen einen zentralen NSA-Übergabeknoten anbinden und damit primäres Cyberkriegs-Ziel sind, wird für seine zivilen Kunden nach Alternativen suchen.

Es geht aber um mehr: Cyberkriegs-Akteure aus Russland, der Volksrepublik China und den USA gehen davon aus, dass die jeweils andere Seite »Implantate« in den kritischen Infrastrukturen installiert hat, um diese bei Bedarf zusammenbrechen zu lassen. Für die US-Seite sei der Erhalt solcher Implantate in anderen Staaten Vorbedingung zum IT-Sicherheits-Abkommen mit China gewesen.17 Die Friedensbewegung hat in der Vergangenheit Atomwaffenlager als militärische Infrastruktur oder Sprengkammern in Brückenbauwerken zur Zerstörung ziviler Infrastruktur zur Kenntnis gebracht. Heute geht es darum, die Infrastrukturen des Cyberkriegs aufzuklären und die Risiken durch eine Vernetzung militärischer mit zivilen IT-Infrastrukturen zu reduzieren.

Es geht letztlich darum, Cyberkrieg für die Rüstungskontrolle und internationale Kooperation fassbar zu machen. Es reicht nicht mehr aus, dass das schwedische Friedensforschungsinstitut SIPRI Truppenstärken, Atomwaffenarsenale und Ausgaben für die konventionelle Rüstung ermittelt. Wir haben aufgezeigt, dass sich die materiellen und personellen Ressourcen der Cyberkriegs-Akteure ermitteln lassen.18

Die Infrastrukturen des Cyberkriegs sind ein Gegenstand für Rüstungskon­trolle. Die Kenntnis der Infrastrukturen ist auch ein Ansatzpunkt für internationale Kooperation als Gegenmodell zum heutigen Cyberkrieg – jeder gegen jeden. Wir sollten lernen, die Lebensadern des Cyberkriegs zu erkennen und systematisch zu erheben. Dieses Wissen lässt sich nutzen, um die Folgen des Cyberkrieges abzumildern oder Cyberkonflikte zu verhindern. Für diese Aufgabe liegen genügend Daten vor.

Anmerkungen

1) Militärische Definition von »Intrusion« in: U.S. Vice Chairman of the Joint Chiefs of Staff (2010): Joint Terminology for Cyberspace Operations. Washington.

2) Vgl. Ruhmann, I. (2018): Aufrüstung im Cyberspace – Staatliche Hacker und zivile IT-Sicherheit im Ungleichgewicht. W&F-Dossier Nr. 79, S. 12-16.
Ders. (2015): Wachsendes Ungleichgewicht – Cyberrüstung und zivile IT-Sicherheit. W&F-Dossier Nr. 86.

3) Siehe die gute Aufbereitung in: Piper, G. (2014): EloKa – die Abhörtruppe der Bundeswehr. telepolis, 9.8.2014.

4) Post- und Telekommunikationssicherstellungsgesetz §9, BGBl. I, vom 14. September 1994, S. 2325, 2378.

5) BWI GmbH (2010): Bundeswehr-Sondernetze jetzt in das neue Weitverkehrsnetz integriert. Pressemeldung vom 28.9.2010.

6) Gallagher, R. (2016): Inside Menwith Hill. The Intercept, 6.9.2016.

7) Meister, A (2016): Geheimer Prüfbericht – Der BND bricht dutzendfach Gesetz und Verfassung – allein in Bad Aibling. netzpolitik.org, 1.9.2016.

8) SIR/dpa (2014): BND lüftet Geheimnis um Abhöranlage. Stuttgarter Nachrichten, 6.6.2014.

9) Meister, A. (2013): Glasfaserkabel und Spio­nage-U-Boote – Wie die NSA die Nervenzentren der Internet-Kommunikation anzapft. ­Netzpolitik.org, 20.6.2013.

10) Michael Birnbaum (2017): Russian submarines are prowling around vital undersea cables – It’s making NATO nervous. Washington Post, 22.12.2017.

11) Pressemitteilung Nr. 38 des Bundesverwaltungsgerichts vom 31.5.2018.

12) Timberg, C.; Nakashima, E. (2013): Agreements with private companies protect U.S. access to cables’ data for surveillance. The ­Washington Post, 6.7.2013.

13) Gallagher, R.; Moltke, H. (2018): The Wiretap Rooms – The NSA’s Hidden Spy Hubs in Eight U.S. Cities. The Intercept, 25.6.2018.

14) So die Angaben aus der NSA-Präsentation in Spiegel Online auf spiegel.de/media/media-35685.pdf , Folie 5.

15) Vgl. Bernhardt, U.; Ruhmann, I. (2014): Information Warfare und Informationsgesellschaft – Zivile und sicherheitspolitische Kosten des Informationskriegs. W&F-Dossier Nr. 78, S. 9f.

16) Appelbaum, J.; Rosenbach, M.; Schindler, J.; Stark, H.; Stöcker, C. (2013): NSA-Programm »Quantumtheory« – Wie der US-Geheimdienst weltweit Rechner knackt. Spiegel Online, 30.12.2013; eigene Auswertung der darin publizierten Dokumente.

17) Sanger, D.E. (2015): U.S. and China Seek Arms Deal for Cyberspace. New York Times, Sept. 19, 2015.

18) Vgl. Ruhmann, I. (2018).

Ingo Ruhmann (Dipl. Inform.) ist wissenschaftlicher Referent und Lehrbeauftragter an der TH Brandenburg. Er ist ehemaliges Vorstandsmitglied des Forum InfomatikerInnen für Frieden und gesellschaftliche Verantwortung e.v. ( FifF) und arbeitet zu den Themen IT-Sicherheit, Informatik und Militär sowie Datenschutz im Netzwerk.
Ute Bernhardt (M.A.) ist wissenschaftliche Referentin. Sie ist Gründungs- und ehemaliges Vorstandsvorsitzende des FIfF und arbeitet zu den Themen Bürgerrechte, Informatik und Militär sowie Datenschutz im Netzwerk.

Big Data und Militär


Big Data und Militär

Der Kampf gegen den Zufall

von Daniel Leisegang

Big Data soll ein effektiveres und wirkungsvolleres Handeln des Militärs ermöglichen. Allerdings drohen Kriege damit nicht nur automatisiert, sondern zugleich zum Mittel erster Wahl zu werden. Die Folgen sind dramatisch – auch und gerade für die Demokratie.

In Gefechtssituationen herrscht der „Nebel des Krieges“, wie es einst der preußische Militärtheoretiker Carl von Clausewitz ausdrückte (1834, S. 23). Demnach ist der Krieg „das Gebiet der Ungewißheit; drei Vierteile derjenigen Dinge, worauf das Handeln im Kriege gebaut wird, liegen im Nebel einer mehr oder weniger großen Ungewißheit“. Das Schlachtfeld gerate damit zu einem „Gebiet des Zufalls“.

Um diesen Nebel zu lichten, stößt das Thema Big Data längst nicht nur bei kommerziellen Unternehmen, sondern auch bei Militär und Geheimdiensten auf großes Interesse. Sie erhoffen sich durch die Erfassung und Auswertung großer Datenmengen genauere Prognosen und damit strategische Vorteile – weit über das Schlachtfeld hinaus.

Als Big Data bezeichnet man gemeinhin „Datensätze, deren Größe die Fähigkeit herkömmlicher Datenbankwerkzeuge zur Erfassung, Speicherung, Verwaltung und Analyse übersteigt” (McKinsey 2011, S. 1). Insbesondere drei V’s charakterisieren diese: volume, variety und velocity – zu Deutsch: Volumen, Vielfalt und Geschwindigkeit. Demzufolge sind die Daten so umfangreich, dass Menschen sie ohne technische Hilfe nicht mehr analysieren können (volume). Darüber hinaus unterscheiden sie sich sowohl in ihrer Art – etwa ob sie in Form von Tabellen, E-Mails, Fotos, PDF-Dateien, Videos oder Audio bereitstehen – als auch darin, ob sie strukturiert oder unstrukturiert vorliegen (variety). Und nicht zuletzt wächst die Geschwindigkeit stetig an, mit der Maschinen und Menschen weitere digitale Daten erzeugen (velocity). Schätzungen zufolge werden wir 2025 rund zehn Mal so viele digitale Daten generieren wie im Jahr 2016 (Statista 2018).

Den »Nebel des Krieges« lichten: Wie das Militär Big Data entdeckt

Bereits 2013 äußerte die Führung der US-Armee die Sorge, dass „es massive Folgen nach sich zieht, wenn Big Data und die damit verbundenen Technologien […] ignoriert werden, einschließlich des Verlustes von Menschenleben und dem Scheitern von Missionen“ (Couch/Robins 2013, S. 3). In den vergangen Jahren konzentrierte sie sich daher darauf, Waffensysteme mit neuen Computern auszustatten, Akteure auf dem Gefechtsfeld zu vernetzen sowie digitale Führungsinformationssysteme einzuführen und zu optimieren (Teufel 2016, S. 50). Unterstützt wird die Armee dabei von der Defense Advanced Research Projects Agency (DARPA), einer Forschungsbehörde des US-Verteidigungsministeriums, deren Aufgabe es ist, die technische Überlegenheit des Militärs aufrechtzuerhalten. Die Behörde verfügt über ein Jahresbudget von rund drei Mrd. US-Dollar.

DARPAs Know-how benötigt die US-Armee dringend, gerade mit Blick auf Big Data sind die technischen Herausforderungen immens. Die Daten entspringen zumeist gänzlich unterschiedlichen Quellen: Maschinendaten entstammen etwa den Bewegungen von Schiffen, Flugzeugen, Panzern und Satelliten, Sensoren am Kriegsschauplatz und Radarstationen. Menschliche Daten hingegen werden in sozialen Netzwerken wie Facebook, YouTube oder Twitter generiert. Es ist somit erforderlich, die Daten zu sammeln, zu säubern, durchsuchbar zu machen, um sie schließlich mittels aufwändiger Algorithmen auszuwerten.

Die auf diese Weise gewonnenen Erkenntnisse nutzen Armeen beispielsweise dazu, ihr Personalwesen und ihre Logistik zu optimieren. So wertet die israelische Armee die persönlichen Angaben ihrer Rekrut*innen mit Rechnerhilfe aus, um diese automatisch an die für sie geeigneten Positionen innerhalb der Armee zu versetzen. Und die Bundeswehr arbeitet mit Hilfe der SAP-Software »SAP Analytics« an einer vorausschauenden Wartung (predictive maintance), um ihre Materialprobleme in den Griff zu bekommen.

Eine weitaus bedeutendere Rolle nehmen Big-Data-Analysen jedoch im Bereich der Überwachung in Krisenregionen und unmittelbar auf dem Gefechtsfeld ein. Gerade hier fallen ungemein große Datenmengen an, die möglichst in Echtzeit bereitgestellt und ausgewertet werden müssen.

So nutzt die US-Armee bereits seit einigen Jahren das hochauflösende Videoüberwachungssystem ARGUS-IS, das – an Drohnen angebracht – aus einer Höhe von bis zu 5.000 Metern ein Gebiet von bis zu 35 Quadratkilometern überwachen kann. Bei seinem Einsatz fallen jedoch pro Sekunde rund 40 Gigabytes an Daten an, rund 6.000 Terabyte am Tag. Zum Vergleich: Eine handelsübliche Festplatte verfügt etwa über ein bis zwei Terabytes an Speicherplatz.

Schulter an Schulter: das Pentagon und das Silicon Valley

Diese Daten auszuwerten, stellt ein überaus ressourcen- und zeitaufwändiges Unterfangen dar. Beharrlich spricht sich daher seit Jahren unter anderem der Stabschef der US-Luftwaffe, General David Goldfein, dafür aus, dass die mächtigste Armee der Welt mit den mächtigsten Digitalkonzernen kooperieren müsse (Erwin 2017). Beim ehemaligen Google-Vorstandsvorsitzenden Eric Schmidt rannte er damit offene Türen ein. Dieser hatte bereits 2013 in seinem Buch »Die Vernetzung der Welt« prognostiziert: „Was der Rüstungskonzern Lockheed Martin im 20. Jahrhundert war, werden Technologie- und Cybersicherheitsunternehmen im 21. Jahrhundert sein.“ (Schmidt/Cohen 2013) Inzwischen betreibt Schmidt höchstpersönlich und an vorderster Front den Aufbau des cyber-militärischen Komplexes mit: Er steht heute nicht mehr Google, sondern dem 2016 gegründeten Defense Innovation Board vor. Dieses hat die Aufgabe, die technologischen Innovationen des Silicon Valley in die US-Armee einfließen zu lassen (Leisegang 2015).

Allerdings musste das Vorhaben jüngst einen herben Rückschlag hinnehmen. Ausgerechnet Schmidts ehemaliger Arbeitgeber Google entschied, die Zusammenarbeit mit dem Pentagon einzustellen. Konkret ging es in dem »Project Maven« darum, Drohnenaufnahmen, wie jene des ARGUS-IS, anhand von insgesamt 38 Kategorien automatisch auszuwerten. Auf diese Weise sollen Rechner in die Lage versetzt werden, eigenständig Menschen von Gebäuden, Fahrzeugen und Waffen zu unterscheiden. Google verfügt hierfür nicht nur über die erforderlichen KI-Expert*innen, sondern auch über einen umfangreichen Datenschatz, der für das so genannte Maschinenlernen unentbehrlich ist. Der Direktor des Projekts, Generalleutnant John Shanahan, sieht sein Projekt darüber hinaus als den Funken, an dem sich „die Flammenfront der Künstlichen Intelligenz“ im gesamten Verteidigungsministerium entzünden solle. Nach Informationen des Wall Street Journal gab das Pentagon im vergangenen Jahr rund 7,4 Mrd. US-Dollar im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz aus (Barnes/Chin 2018).

Rund ein Dutzend Google-Angestellte kündigten indes aus Protest gegen die Zusammenarbeit; mehrere Tausend Mitarbeiter*innen unterschrieben eine Petition, der zufolge Google „nichts im Kriegsgeschäft verloren hat“.1 Letztendlich verzichtete der Konzern darauf, den Vertrag mit dem Verteidigungsministerium zu verlängern. Er läuft Ende des Jahres aus. Googles Platz wird nun voraussichtlich Amazon einnehmen. Der führende Cloudanbieter ist ebenfalls an den Vorarbeiten zum »Project Maven« beteiligt und arbeitet seit Jahren unter anderem eng mit der CIA zusammen.

Damit steigen zugleich Amazons Chancen, einen weitaus lukrativeren Großauftrag an Land zu ziehen, um den derzeit viele der großen US-amerikanischen IT-Unternehmen ringen: den Aufbau der »Joint Enterprise Defense Infrastructure« (Jedi) – ein gigantisches Speichersystem samt Datenanalyse mit künstlicher Intelligenz. Die smarte Cloud soll nicht nur sämtliche Armeeeinheiten, Basen und Kriegseinsatzgeräte der USA miteinander vernetzen, sondern obendrein deren Bestände an Munition, Reparaturteilen und Kraftstoffen erfassen, um die Logistik auf dem Schlachtfeld zu optimieren. Rund zehn Mrd. US-Dollar stellt das Verteidigungsministerium dafür bereit.

Der Krieg der Roboter

Big-Data-Analysen sollen allerdings nicht nur die Logistik optimieren, sondern auch den Waffeneinsatz und damit das Töten effektiver gestalten. Die militärische Fachzeitschrift »Defense One« vermeldete, dass die Arbeit des »Project Maven« auch die Treffergenauigkeit von »Killerdrohnen«, wie Reaper und Predator, erhöhen soll – und bestätigte damit die Befürchtungen der Google-Mitarbeiter (Weisgerber 2017).

Geht es nach dem Pentagon, sollen Killerroboter die dritte Revolution der Kriegsführung einleiten – nach Schießpulver und Nuklearwaffen. Bereits heute verfügt die US-Armee über Drohnen, die eigenständig über den Waffeneinsatz entscheiden können. Laut Stabschef General Mark Milley will sie ab dem Jahr 2021 Prototypen für bemannte, unbemannte und hybride Gefechtsfahrzeuge auf dem Schlachtfeld testen. Ab 2031 sollen autonome Waffen- und Aufklärungssysteme dann fester Bestandteil der US-Heeresformationen sein (Lezzi 2018).

Die US-Armee ist nicht die einzige, die ihre Kriegsführung automatisieren will: Auch die russische Armee plant derzeit die Anschaffung weitgehend autonom agierender Roboterpanzer. Und ausgerechnet an der »heißen« Grenze zwischen Nord- und Südkorea wachen bereits seit Jahren mit Maschinengewehren ausgestattete»Sicherheitsroboter« der Firma Samsung.

Der Einsatz von autonom agierenden Waffensystemen droht jedoch den Weg dafür zu ebnen, bewaffnete Konflikte in nie gekanntem Ausmaß zu führen und schneller, als Menschen sie begreifen können“, wie mehrere hundert Fachleute für Künstliche Intelligenz in einem offenen Brief warnen (Krüger 2018). Dessen ungeachtet steht eine internationale Regulierung der Killerroboter nach wie vor aus. Zwar verhandelten Ende August unter dem Dach der Vereinten Nationen in New York mehr als 75 Staaten über die Regulierung (teil-) autonomer Waffensysteme. Allerdings verhinderten allen voran die USA und Russland eine verbindliche Vereinbarung. Die Abrüstungschefin der Vereinten Nationen, Izumi Nakamitsu, warnt eindringlich, „dass die technologische Innovation der zivilen Kontrolle entgleitet“; ein Missbrauch der KI aber habe potenziell katastrophale Konsequenzen“ (Nakamitsu 2018).

Die Krisen von Morgen bekämpfen

Die Konsequenzen werden sich nicht nur auf das Schlachtfeld beschränken – ganz im Gegenteil, denn die Armeen wollen weitaus mehr als nur den »Nebel des Krieges« lüften: Big-Data-Analysen sollen es ihnen obendrein ermöglichen, einen Blick in die Zukunft zu werfen.

Schon heute nutzen zahlreiche Armeen Big-Data-Analysen, um zurückliegende Ereignisse und ihre Folgen zu analysieren und auszuwerten (descriptive analytics). Dadurch erhoffen sie zum einen Lerneffekte, zum anderen sollen die gewonnenen Informationen auch den Ausgang künftiger Szenarien oder Ereignisse vorhersagen (predictive analytics). Am Ende sollen Rechner in die Lage versetzt werden, Armeen mittels Datenanalyse entsprechende Handlungsoptionen vorzugeben (prescriptive analystics).

Besonders interessiert zeigen sich die Armeen an der Vorhersage drohender politischer und militärischer Krisen- und Bedrohungslagen, wie die Ukraine-Krise oder den Arabischen Frühling. Beide Ereignisse hatten weder die westlichen Geheimdienste noch die militärischen Führungen vorhergesehen (SPIEGEL ONLINE 2014; Miller 2015).

Um auch hierzulande besser gewappnet zu sein, erstellt das Bundesverteidigungsministerium derzeit gemeinsam mit IBM die Studie »IT-Unterstützung Krisenfrüherkennung«. Sie verfolgt das Ziel, eine softwarebasierte Lösung zu entwickeln, die mithilfe von Big-Data-Analysen Krisen vorhersagen soll. Die Auswertung strukturierter und unstrukturierter Daten aus öffentlichen, offenen und als geheim eingestuften Quellen soll dem IBM-Programm Watson einen »Prognosehorizont« von sechs bis 18 Monaten ermöglichen (BMVg 2016).

Ähnliche Funktionen bietet IBM bereits seit längerem mit seinem System »Blue Crush« an, das Straftaten voraussagt und auch in mehreren Bundesländern zum Einsatz kam (Biermann 2015). Nun will IBM ein System schaffen, dass die gesamte Welt observiert. Das Bundesverteidigungsministerium schließt nicht aus, dass Watsons Prognosen auch militärische Konsequenzen nach sich ziehen könnten.

Somit wollen die Armeen dieser Welt nicht nur den »Nebel des Krieges«, sondern auch den Nebel der Politik lichten. Drohende Volksaufstände werden dabei offenkundig ebenso als Sicherheitsrisiko verstanden wie ein grenzüberschreitender Kriegsausbruch. In beiden Fällen kann das Militär dann frühzeitig eingreifen, um das eine wie das andere zu verhindern.

Dies aber hat zwei dramatische Folgen: Zum einen gilt der Einsatz kriegerischer Mittel noch immer als Ultima Ratio – als letztes Mittel, wenn vorangegangene politische Interventionen nicht zur Lösung eines Konflikts beigetragen haben. Sagen jedoch künftig Computersysteme Krisen voraus, könnte sich dieses Verhältnis umkehren. Damit könnten kriegerische Mittel weitaus früher zum Einsatz kommen als bisher – durch militärische Drohgebärden, Präemptivschläge oder gar dem Einmarsch in ein anderes Land.

Zum anderen gefährdet das prädiktive Vorgehen des Militärs das Wesen demokratischer Politik in ihrem Kern. Wenn Big-Data-Analyse nicht nur dem Krieg, sondern auch der Politik »Ungewißheit« und »Zufall« austreiben soll, setzt dies ein bestimmtes Verständnis sozialer und politischer Prozesse voraus: Diese werden als quasi mechanische Vorgänge begriffen, die sich mittels Rechenkraft analysieren und bewerten lassen. Auf drohende gesellschaftliche Problemlagen reagiert dann nicht länger eine Politik der Aushandlung und des Kompromisses, sondern eine mathematisch hergeleitete Sozialphysik, die, um Sicherheit und Stabilität zu sichern, kühl ihre Lösungsparameter vorgibt. Dass dies eine überaus bedrohliche Entwicklung ist, kann man sich bereits heute ausrechnen – auch ohne aufwändige Big-Data-Analyse.

Anmerkung

1) Die Petition steht unter static01.nyt.com/files/2018/technology/googleletter.pdf.

Literatur

Barnes, J.E.; Chin, J. (2018): The New Arms Race in AI. Wall Street Jorunal, 2.3.2018.

Biermann K. (2015): Noch hat niemand bewiesen, dass Data Mining der Polizei hilft. zeit.de, 29.3.2015.

Bundesministerium der Verteidigung/BMVg (2016): »Gedanken« zum Weißbuch 2016 – Krisen früh erkennen. bmvg.de.

Couch, N.; Robins, B. (2013): Big Data for Defence and Security. Royal United Services Institute, Occasional Paper, September 2013.

Erwin, S.I. (2017): Cold Dose of Reality on DoD Technology. nationaldefensemagazine.org, 19.4.2017.

Krüger, P.A. (2018): Wenn Maschinen über Leben und Tod entscheiden. sueddeutsche.de, 30.8.2018.

Leisegang, D. (2015): Der cyber-militärische Komplex – Die dunkle Seite des Silicon Valley. Wissenschaft und Frieden, No. 2-2015, S. 27-30.

Lezzi, B. (2018): Militärische Roboter werden die Kriegführung revolutionieren, www.nzz.ch, 27.8.2018.

McKinsey Global Institute (2011): Big data – The next frontier for innovation, competition, and productivity. Juni 2011.

Miller, G. (2015): Former CIA official cites agency’s failure to see al-Qaeda’s rebound. ­washingtonpost.com, 3.5.2015.

Izumi Nakamitsu (2018): Remarks by Under-­Secretary-General and High Representative for Disarmament Affairs Ms. Izumi Nakamitsu – Opening of the August meeting of the 2018 Group of Governmental Experts on emerging technologies in the area of lethal autonomous weapons systems, Delivered by the Director of the Geneva Branch of the United Nations Office for Disarmament Affairs, Ms. Anja Kaspersen. 27.8.2018; un.org/­disarmament.

Schmidt, E.; Cohen, J. (2013): Die Vernetzung der Welt. Berlin: Rowohlt.

Statista (2018): Prognose zum Volumen der jährlich generierten digitalen Datenmenge weltweit in den Jahren 2016 und 2025. statista.com.

SPIEGEL ONLINE (2014): US-Geheimdienste wollen Krim-Krise nicht verschlafen haben. spiegel.de, 7.3.2014.

Teufel, D. (2016): Big Data Analytics. Behörden Spiegel, No. 9/2016.

von Clausewitz, C. (1834): Vom Kriege. Hier genutzte Ausgabe von 2018: Köln: Anaconda.

Weisgerber, M. (2017): The Pentagon’s New Artificial Intelligence Is Already Hunting Terrorists. defenseone.com, 21.12.2017.

Daniel Leisegang ist Politikwissenschaftler und Redakteur bei der Monatszeitschrift »Blätter für deutsche und internationale Politik« (blaetter.de).

Hybrides Kommando


Hybrides Kommando

Das neue Komando »Cyber- und Informationsraum« der Bundeswehr

von Christoph Marischka

Cyber-Themen sind längst auf allen Ebenen angekommen, auch in der Außen- und Verteidigungspolitik. Die Bundesregierung verabschiedete 2016 eine »Cyber-Sicherheitsstrategie«, damit „[d]ie Handlungsfähigkeit und Souveränität Deutschlands […] auch im Zeitalter der Digitalisierung gewährleistet“ bleibt. Ein wichtiges Element dieser Strategie ist die „Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik“. Dazu will die Regierung z.B. „[d]ie Cyber-Verteidigungspolitik der NATO weiterentwickeln“ (Zitate von auswärtiges-amt.de). Keineswegs beschränkt sich die Regierung aber auf eine »Cyber-Außenpolitik«, vielmehr hat das Arbeitsfeld auch bei der Bundeswehr hohe Priorität.

Ein Denkmal hat sich die in der zweiten Legislaturperiode amtierende Verteidigungsministerin von der Leyen auf jeden Fall gesetzt: Mit der Abteilung Cyber- und Informationsraum (CIR) im Bundesministerium für Verteidigung (BMVg) und einem identisch benannten Kommando in Bonn wurde de facto eine neue »Teilstreitkraft« der Bundeswehr ins Leben gerufen, auch wenn dieser Begriff im deutschen Diskurs gerne gemieden wird. Mit einem eigenen Inspekteur, der dem Kommando vorsteht, ist dieser Organisationsbereich den Teilstreitkräften Heer, Marine und Luftwaffe sowie der Streitkräftebasis und dem Sanitätsdienst gleichgestellt. Entsprechend erklärte von der Leyen den „Cyber- und Informationsraum“ anlässlich der Aufstellung des neuen Kommandos „neben Land, Luft, See und Weltraum“ nicht nur zur „sicherheitspolitische[n] Domäne“, sondern auch zum neuen „Operationsraum für die Bundeswehr“.1 Mit einer Zielgröße von 15.000 militärischen und zivilen Dienstposten liegt die neue Teilstreitkraft auch im Umfang nur knapp hinter dem der Deutschen Marine.

Dabei handelte es sich in einem ersten Schritt vor allem um eine Umstrukturierung. Im Tagesbefehl vom 17. September 2015, mit dem ein Aufbaustab für das neue Kommando ins Leben gerufen wurde, schrieb von der Leyen: „Die Bundeswehr hat bereits gute Fähigkeiten im Cyber-Raum und in der Informationstechnologie (IT) – diese sind aber organisatorisch verstreut.“ Die etwa 13.700 Dienstposten, die dem neuen Kommando zum 30. Juni 2017 unterstellt wurden, setzten sich fast ausschließlich aus den bereits bestehenden Truppengattungen Fernmeldetruppen, elektronische Kampfführung (EloKa), Geoinformationswesen und Operative Kommunikation zusammen. Entsprechend wurden dem Kommando etwa 5.500 Dienstposten aus dem Bereich Militärisches Nachrichtenwesen, 5.500 aus der IT-Cybersecurity, 650 vom Zentrum für Geoinformationswesen der Bundeswehr und 850 Dienstposten für Operative Kommunikation zugeordnet.2 Das Kommando selbst besteht zunächst aus 260 Dienstposten, bis spätestens 2023 sollen es jedoch 700-800 werden.

Eine Besonderheit des Organisationsbereiches CIR besteht darin, dass der entsprechenden Abteilung im BMVg (nicht aber dem Kommando CIR) auch die unternehmerische Steuerung der BWI GmbH mit 3.500 bis 4.000 Mitarbeiter*innen obliegt. Die BWI GmbH wurde 2006 von der Bundeswehr gemeinsam mit den Firmen Siemens und IBM gegründet und führte als Öffentlich-Private Partnerschaft die Modernisierung und Vereinheitlichung der »nicht-militärischen« Informationstechnologie der Bundeswehr durch. Seit 2016 befindet sie sich im alleinigen Besitz des Bundes und ist für den Betrieb der »weißen« (»nicht-militärischen« in Abgrenzung zur »grünen«) IT der Bundeswehr zuständig. Laut Wikipedia betreut sie bundesweit rund 1.200 Liegenschaften der Bundeswehr und betreibt u.a. drei zentrale Rechenzentren und 25 Servicecenter. An etwa 90 Standorten der Bundeswehr ist die GmbH dauerhaft präsent, an zentralen Liegenschaften des Organisationsbereichs CIR sogar sehr umfangreich, in Rheinbach etwa mit 200 Mitarbeiter*innen. „Eine Tendenz zur Hybridisierung der Verteidigung – im Verständnis zivil/militärisch – ist“ für die Bundesregierung dennoch „nicht erkennbar“.3

Die Aufgaben des Kommandos CIR

Dem Kommando CIR unterstehen das Kommando Informationstechnik, das Kommando Strategische Aufklärung sowie das Zentrum für Geoinformationswesen der Bundeswehr.

Das Kommando Informationstechnik führt vor allem die recht gleichmäßig über die Bundesrepublik verteilten Informationstechnikbataillone, die für den Betrieb sicherer Kommunikationsverbindungen in Deutschland, in den Einsatzländern und zwischen den hiesigen Stäben und den Kräften im Einsatz zuständig sind (militärisch werden diese Aufgaben auch als »Führungsunterstützung« bezeichnet). Während die Kommunikation der Bundeswehr in der Vergangenheit überwiegend auf Kabel- und Richtfunknetzen basierte, haben mit der »Einsatzorientierung« wesentlich verwundbarere und angreifbarere Satellitenverbindungen an Bedeutung gewonnen. „Von Kabelbaukräften zu IT-Spezialisten“ übertitelte kreisbote.de sein Portrait des Informationstechnikbataillons 293 in Murnau im Grunde recht treffend.

In dem Artikel wird auch deutlich, dass gerade diese Truppengattung – wenn auch meist mit kleineren Kontingenten – umfangreich an Auslandseinsätzen beteiligt ist. So heißt es alleine zum Murnauer Bataillon im bereits angesprochenen Portrait vom April 2018: „Die Abstellung von zirka 80 Soldaten nach Bosnien-Herzegowina bildete 1999 den Auftakt für die in den folgenden Jahren anstehenden, größeren Auslandseinsätze des Bataillons. Zum gegenwärtigen Zeitpunkt leisten Murnauer Soldatinnen und Soldaten ihren Dienst in Mali, im Irak, Afghanistan, Kosovo und Litauen.“4

Neben den Informationstechnikbataillonen unterstehen dem Kommando Informationstechnik auch mehrere Dienstposten, die aus dem ehemaligen Beschaffungsamt der Bundeswehr herausgelöst wurden, das zuvor bereits in »Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr« umbenannt wurde.

Deutlich vielfältiger sind die Aufgaben des Kommandos Strategische Aufklärung, das wesentliche Komponenten des militärischen Nachrichtenwesens umfasst und einen klaren räumlichen Schwerpunkt südlich von Bonn aufweist. Der Standort des Kommandos befindet sich recht versteckt in einem Industriegebiet bei Gelsdorf, südlich des Autobahnkreuzes Meckenheim. Hier befand sich bis 2007 das Zentrum für Nachrichtenwesen der Bundeswehr – eine rein militärische Parallelstruktur zum BND –, das mit seinem Bekanntwerden aufgelöst bzw. in das Kommando Strategische Aufklärung umgewandelt wurde.

Das Kommando führt u.a. die Bataillone für Elektronische Kampfführung. Diese haben die Aufgabe, gegnerische Kommunikationsnetze aufzuklären, abzuhören und zu stören.

Auch das Zentrum Cyberoperationen in Rheinbach untersteht dem Kommando Strategische Aufklärung und erfüllt auf der Ebene der Software ähnliche Funktionen wie die elektronische Kampfführung auf der Ebene der Hardware, stützt sich dabei jedoch stärker auf zivile Infrastruktur und Technologie. In Rheinbach befindet sich eine Einheit mit etwa 80 Kräften, die am ehesten dem Bild einer Hacker-Truppe entspricht und tatsächlich auch schon mit offensiven Cyber-Operationen beauftragt wurde – bekannt wurde ein Angriff auf das afghanische Mobilfunknetz zum Zwecke der Informationsgewinnung. Potentiell bestehen dort jedoch auch Kapazitäten und Fähigkeiten, um »gegnerische« IT-Systeme zu stören oder für Angriffe zu nutzen.

Auf den ersten Blick irritierend, wird auch das Zentrum für Operative Kommunikation in Mayen vom Kommando für Strategische Aufklärung geführt. Dessen Aufgaben bestehen in dem, was landläufig als »Propaganda« bezeichnet wird und von der Bundeswehr selbst in der Vergangenheit »Psychologische Kampfführung« genannt wurde. Zwar wird immer wieder behauptet, die gezielte Beeinflussung der öffentlichen Meinung mit wissenschaftlichen (oft aber auch sehr banalen) Methoden sei auf gegnerische Kräfte und die Bevölkerung in den Einsatzgebieten beschränkt, in der Praxis jedoch erweisen sich die Übergänge als fließend: So gehört zur Operativen Kommunikation auch der Betrieb des eigens für die Truppe bestehenden »Radio Andernach« sowie des Fernsehsenders BwTV. Die Aufnahmen der Einsatzkameratrupps des Zentrums für Operative Kommunikation sind formal für die militärische Führungsebene bestimmt, finden in der Praxis jedoch – nach vorangegangener Freigabe – immer wieder ihren Weg in Publikationen des BMVg und auch in Produktionen öffentlicher und privater Sendeanstalten.

Das Zentrum für Geoinformationswesen in Euskirchen wiederum untersteht direkt dem Kommando CIR. Hier werden u.a. Satellitenaufnahmen aufbereitet und für die Führungs- und Einsatzkräften bereitgestellt. Die Bezeichnung der Einrichtung lässt eine historische Fixierung des Militärs auf Karten und die Abbildende Aufklärung vermuten, tatsächlich werden hier allerdings viele Daten verarbeitet, die aus anderen Quellen stammen. U.a. beschäftigt das Zentrum für Geoinformationswesen Ethnolog*innen, die zuvor als Interkulturelle Einsatzberater*innen oder im Rahmen der zivil-militärischen Zusammenarbeit im Ausland im Einsatz waren. In seiner Selbstdarstellung zitiert das Zentrum Majorin Eva Kaufung, eine Geografin, mit der Aussage: „natürlich [sind] auch Informationen wichtig, wie stark die Gegend besiedelt ist, welche Ethnien sind im Land beheimatet oder welche Gesundheitsgefährdungen durch Krankheiten oder Tiere existieren“.5 Entsprechend wird von der Einrichtung gemeinsam mit zivilen Wissenschaftler*innen und Hochschulen stets an der verbesserten Aufarbeitung und Darstellung von Daten auf zunehmend interaktiven Karten gearbeitet.

Weitere Komponenten: Marktsichtung, Aus- und Fortbildung

Neben den operativen Aufgaben hat der Organisationsbereich weitere Komponenten, die sich insbesondere mit Strategie und Planung, Personalgewinnung, Aus- und Fortbildung sowie technologischen Innovationen beschäftigen und überwiegend von der Abteilung CIR im BMVg erbracht werden.

Zu deren Aufgaben gehört es, beständig den Markt für innovative Dienstleistungen und Technologien zu beobachten und diese auf ihre militärische Relevanz zu überprüfen sowie selbst entsprechende Forschung anzustoßen. Hierzu wurde u.a. ein »Cyber Innovation Hub« der Bundeswehr geschaffen, der als „Schnittstelle zwischen Startup-Szene und Bundeswehr“ fungieren soll.6 „Wir warten nicht, bis sich ein Start-up bei uns meldet. Wir suchen ganz aktiv die neuen disruptiven Technologien“, so von der Leyen anlässlich der Indienststellung des Kommandos CIR.7

Ende August 2018 gab die Bundesregierung darüber hinaus die Gründung zweier Forschungsagenturen bekannt: einer »Agentur für Innovation in der Cybersicherheit« unter gemeinsamer Steuerung des Verteidigungs- und des Bundesinnenministeriums sowie eine »Agentur zur Förderung von Sprunginnovationen«. Als Vorbild für beide Agenturen gilt die Forschungsbehörde DARPA des US-Verteidigungsministeriums, wofür auch die Begründung spricht, die von der Leyen für deren „flexible Struktur“ abgibt: „[W]ir müssen viel schneller sein, wir müssen rausgehen, wir müssen die Startups suchen, die spannende Technologien entwickeln, von denen wir noch nicht wissen, ob sie erfolgreich sein werden[,] und dann werden wir die, die wir interessant finden[,] fördern, wissend, dass ein Großteil vielleicht nicht funktioniert und dann in den Sand gesetzt wird, aber es braucht nur ein goldenes Ei, also eine Technologie, die dann wirklich bahnbrechend ist, dann hat man schon die Investition wieder raus.“8

Eigene Forschungsprojekte im Bereich der Informationstechnik gab und gibt das BMVg u.a. am Deutsch-Französischen Forschungsinstitut Saint-Louis (ISL), dem Deutschen Zentrum für Luft- und Raumfahrt (DLR) und bei verschiedenen Fraunhofer-Instituten in Auftrag, insbesondere bei den Fraunhofer-Instituten FHR und FKIE auf dem Wachtberg bei Bonn, die an das Netz der Bundeswehr angeschlossen sind und über eine „aktive Daten-Direkt-Verbindung“ nach Euskirchen verfügen, die als „Anbindung des Fraunhofer-Instituts FKIE an die Simulations- und Testumgebung der Bundeswehr“ dient.9

Als besondere »Herausforderung« für den neuen Organisationsbereich galt von Anbeginn der Planung die Gewinnung und Ausbildung des geeigneten Personals. Als Ziel wurde ausgegeben, »Spitzenkräfte« bzw. die »klügsten Köpfe“ zu gewinnen, was jedoch durch die starren Karrierestrukturen und Besoldungsstufen bei der Bundeswehr erschwert sei, da man mit den hohen Löhnen in der freien Wirtschaft schwer konkurrieren könne. Zur Ausbildung eigenen Personals wurde u.a. ein Studiengang »Cyber-Sicherheit« an der Universität der Bundeswehr in München mit elf neuen Professuren und mehreren Laboren in einem eigens errichteten Hochsicherheitsgebäude geschaffen, das ab 2018 jährlich 70 Absolvent*innen hervorbringen soll. Außerdem hat die Bundeswehr u.a. mit den Hochschulen Bremen und Bonn-Rhein-Sieg Kooperationsabkommen geschlossen, die in den jeweiligen Studiengängen (Frauenstudiengang Informatik bzw. Dualer Studiengang Informatik mit Schwerpunkt Informationssicherheit) ein Kontingent an Plätzen für die Bundeswehr reservieren.

Unter dem Arbeitstitel Cyber-Reserve“ ist außerdem vorgesehen, „Freiwillige, Seiteneinsteigerinnen und Seiteneinsteiger sowie bislang Ungediente aus der gewerblichen IT-Wirtschaft, einschlägigen MINT-Berufen oder ähnlichen Professionen […], die über Spezialisten-Ausbildungen oder herausragende Fähigkeiten, Fertigkeiten und Kompetenzen in einschlägigen IT-Bereichen bzw. IT-Funktionen verfügen“, zu integrieren.10 Neben Aufträgen an Unternehmen und Start-ups wolle die Bundeswehr „die richtig harten Nerds, die sich in den Tiefen der Internet-Protokolle auskennen, mit Beraterverträgen an die Bundeswehr binden“. Die „Stars der Branche“ sollten „nicht Soldat werden müssen, um für die Cybertruppe zu arbeiten“, so das ZDF Ende August 2018. Weiter heißt es in dem Bericht: „Ungefähr 8.000 IT-Fachkräfte muss die Bundeswehr innerhalb der nächsten Zeit am freien Markt einkaufen.“11 Diese Zahl erscheint angesichts einer Zielgröße des CIR von 15.000 Dienstposten, von denen über 13.000 bereits besetzt sind, bemerkenswert hoch. So oder so ist davon auszugehen, dass die Cybertruppe weit mehr als die anderen Teilstreitkräfte auf privatwirtschaftliche Kooperationen und private Angestellte setzen wird.

Hybride Strukturen für einen hybriden Raum

Während man bei den Richtfunknetzen der Bundeswehr womöglich noch von einer rein militärischen Kommunikationsinfrastruktur sprechen kann, stützt sich bereits die kabelgebundene Kommunikation der Bundeswehr überwiegend auf zivile Infrastruktur. Als Ergänzung zur Satellitenkommunika­tion über das System SATCOMBw, das teilweise von privaten Angestellten des DLR betrieben wird, kauft das BMVg zusätzliche Bandbreite bei zivilen Anbietern, deren Satelliten damit (wie etwa auch die Trans­atlantikkabel) zu einer zentralen militärischen Infrastruktur und im Kriegsfalle somit auch zu Zielen werden. Die »Verteidigung« der Kommunikationsstruktur der Bundeswehr lässt sich deshalb auch im Friedensfall nicht auf rein militärische Komponenten beschränken, sondern zielt zwangsläufig auf den gesamten »Cyberraum«.

Völlig undurchsichtig und offenbar nicht geklärt ist entsprechend die Aufgabenteilung zwischen zivilen Institutionen der Cybersicherheit und der Cyber-Truppe der Bundeswehr. Tatsächlich lassen sich Cyberkriminalität und Cyberkriegführung in der Praxis kaum unterscheiden – was auch daran liegt, dass (auch) anderen Staaten zumindest unterstellt wird, für Cyber-Angriffe auf privatwirtschaftliche Netzwerke und Unternehmen zurückzugreifen. Bei vielen dieser »Angriffe«, die häufig in unfassbar hohen Zahlen angegeben werden (z.B. „Bundeswehr zählt zwei Millionen Hackerangriffe [im Jahr 2017]“; waz-online.de vom 23.3.2018) handelt es sich tatsächlich um jenes »Abtasten«, also Suchen nach Schwachstellen, das künftig auch die Bundeswehr vornehmen muss, um sich – wie im »Weißbuch« der Bundeswehr von 2016 vorgesehen – auch auf offensive Cyber-Operationen vorzubereiten. Wie wir sehen, verschwimmen im Cyber- und Informationsraum also zunehmend die Grenzen zwischen Frieden, Krieg und Verteidigungsfall.12

Dies gilt umso mehr, als u.a. mit dem Zentrum für Operative Kommunikation auch Komponenten in den Organisationsbereich CIR aufgenommen wurden, die den öffentlichen Diskurs betreffen. Eine klare Abgrenzung zum »Informationsraum« findet hier ebenfalls nicht statt, wodurch selbst die veröffentlichte Meinung zum „Operationsraum der Bundeswehr“ wird.13 In dieser Domäne wähnt sich zumindest die EU bereits im Krieg. So forderte das Europäische Parlament in einer Entschließung vom 23. November 2016, die „Anerkennung und Enthüllung des russischen Desinformations- und Propagandakriegs“ als „integrale[n] Bestandteil der hybriden Kriegsführung“. Als Konsequenz wurden die Mitgliedsstaaten u.a. aufgefordert, feindliche Informationsmaßnahmen, die in ihrem Hoheitsgebiet durchgeführt werden oder darauf abzielen, ihre Interessen zu untergraben, aktiv, vorbeugend und gemeinsam zu bekämpfen“.14

Angesichts dieser hybriden Auffassung des Informationsraums zwischen ziviler und militärischer Infrastruktur, zwischen Kriminalität, Angriff und Verteidigung(sfall), zwischen Elektronischer Kampfführung, militärischem Nachrichtenwesen und öffentlicher Meinung überrascht es wenig, dass auch die für diesen »Operationsraum« geschaffene Struktur des BMVg mit der Einbindung ziviler Hochschulen, Forschungsinstitute und -agenturen, mit der engen Zusammenarbeit mit Unternehmen und einer auf Beraterverträgen basierenden »Cyber-Reserve« einen sehr hybriden Charakter aufweist. Ob und wann auch zivile Einzelpersonen und z.B. Organisationen der Friedensforschung Gegenstand der Operationsführung des Kommandos CIR werden, ist gegenwärtig nicht absehbar, aber keineswegs auszuschließen.

Anmerkungen

1) Aufstellung Kommando Cyber- und Informationsraum – KdoCIR – der Bundeswehr. Europäische Sicherheit und Technik, 5.4.2017; esut.de. Die Formulierung der Ministerin lässt offen, ob sie den Weltraum ebenfalls nur als eine »sicherheitspolitische Domäne« oder auch als einen »Operationsraum der Bundeswehr« versteht.

2) Ebd.

3) Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Sevim Dagdelen, Christine Buchholz, Annette Groth, weiterer Abgeordneter und der Fraktion DIE LINKE »Strukturen des Organisationsbereichs Cyber- und Informationsraum der Bundeswehr in Nordrhein-Westfalen«. BT-Drucksache 18/12277 vom 9.5.2017.

4) Max-Joseph Kronenbitter: Das Informationstechnikbataillon 293 in Murnau feiert den 60. Geburtstag. kreisbote.de, 17.4.2018.

5) Meldung »Geofaktoren analysieren, beschreiben und bewerten« auf cir.bundeswehr.de, 28.3.2018.

6) Seite »Cyber Innovation Hub« auf bmvg.de; ohne Datum.

7) Meldung »Aufstellung Kommando CIR: Ein Meilenstein deutscher Sicherheits- und Verteidigungspolitik« auf bmvg.de, 5.4.2017.

8) Sendung »Streitkräfte und Strategien« des NDR, 28.7.2018 (Sendungsmanuskript).

9) BT-Drucksache 18/12277, op.cit.

10) BMVg (2017): Abschlussbericht Aufbaustab Cyber- und Informationsraum. April 2017.

11) Peter Welchering: Cyber-Nerds verändern die Armee. zdf.de, 30.8.2018.

12) Siehe dazu ausführlich Ingo Ruhmann (2018): Wachsendes Ungleichgewicht – Cyberrüstung und zivile IT-Sicherheit. W&F-Dossier 86, Mai 2018.

13) So erläuterte die damals verantwortliche Staatssekretärin Karin Suder 2015 die „Rolle von Cyber“ in Hinblick auf die geplante Aufstellung des neuen Organisationsbereichs CIR anhand der Aktivitäten des „Islamischen Staates, der sich [sic!] unter anderem mit Hilfe modernster Kommunikationsmittel, Netzwerke, soziale Medien, junge Menschen rekrutiert, informiert, aktiviert und damit eine Terrorherrschaft auch aufgrund dieser modernen Kommunikationsmittel bisher unbekannten Ausmaßes etablieren konnte“ (Sendung »Streitkräfte und Strategien« des NDR, 17.10.2015, Sendungsmanuskript). Damit wurde deutlich, dass zumindest potentiell durch das Kommando CIR auch der Zugang von Akteuren zu zivilen Medien und zum allgemeinen Diskurs reguliert werden soll.

14) Entschließung des Europäischen Parlaments vom 23. November 2016 zum Thema »Strategische Kommunikation der EU, um gegen sie gerichteter Propaganda von Dritten entgegenzuwirken«. Dokument 2016/2030(INI).

Christoph Marischka ist Politikwissenschaftler und Mitglied im Vorstand der Informationsstelle Militarisierung. Seine inhaltlichen Schwerpunkte sind u.a. die Forschungs- und Technologiepolitik der Bundeswehr.

Wem kann ich trauen im Netz?

Wem kann ich trauen im Netz?

FIfF-Konferenz 2017, 20.-22. Oktober 2017, Universität Jena

von Stefan Hügel

Am Wochenende vom 20. bis 22. Oktober 2017 fand an der Universität Jena die FIfF-Konferenz 2017 »TRUST – Wem kann ich trauen im Netz und warum?« statt. Die FIfF-Konferenz ist die jährliche Konferenz des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.

Vertrauen ist die Basis, auf der unsere Gesellschaft aufgebaut ist. Wenn wir einander nicht mehr vertrauen können, funktioniert unser Zusammenleben nicht – das gilt auch im Netz. Wenn wir Dienste im Internet nutzen, müssen wir den Anbietern vertrauen können, dass sie die entsprechenden Leistungen erbringen und die Daten, die wir ihnen senden, verantwortungsvoll verwenden.

Doch das Vertrauen wird heute im Netz täglich verletzt, sowohl illegal als auch legal. Wir müssen uns vor kriminellen Menschen schützen, die unser Vertrauen missbrauchen. Spätestens seit den Veröffentlichungen des Whistleblowers Edward Snowden wissen wir aber auch, dass Behörden unsere Kommunikation umfassend ausspähen. Formaljuristisch ist dies häufig legal, verfassungsrechtlich bestehen aber erhebliche Zweifel, wie bereits mehrfach höchstrichterlich festgestellt wurde. Dazu kommt der Datenhunger der Diensteanbieter, die ihre Geschäftsmodelle auf der Nutzung der Daten aufbauen und dies zum Beispiel durch für den Laien unverständliche Nutzungsbedingungen formaljuristisch legalisieren. Dem soll mit dem neuen europäischen Datenschutzrecht gegengesteuert werden, doch inzwischen wissen wir, dass gerade die deutsche Bundesregierung massiv versucht, dieses Recht aufzuweichen und zu bremsen. Auch damit wird Vertrauen zerstört.

Ziel der FIfF-Konferenz war, die Bedeutung des Vertrauens umfassend zu thematisieren. Die Tagung war dafür in mehrere Blöcke aufgeteilt: Der Block »Cyberpeace statt Cyberwar« behandelte die Risiken, die sich aus der zunehmenden Militarisierung des Netzes ergeben. Die Bundeswehr will ihre Aktivitäten im Netz erheblich ausweiten und dabei auch Angriffskapazitäten aufbauen. Eine besonders perfide Form des Cyberkriegs ist die Nutzung von Drohnen, die die Opfer Tag und Nacht ständiger Bedrohung aussetzen.

Verlorenes Vertrauen kann durch ein besonderes Maß an IT-Sicherheit wiederhergestellt werden. Der Themenblock »IT-Sicherheit« behandelte den Zusammenhang zwischen Vertrauen und Sicherheit. Neben der Frage, ob Vertrauen und IT-Sicherheit im Gegensatz zueinander stehen, wurde der Zusammenhang anhand der Beispiele Open-Source-Software und Spam betrachtet.

Thema von zwei Vorträgen im Themenblock »Medien und soziale Netzwerke« war die Nutzung von Medien für die zivile Sicherheit. Ein Vortrag beschrieb ein unabhängiges Radioaktivitätsmessnetz im Umkreis der belgischen Atomreaktoren Tihange und Doel, wo eine zivilgesellschaftliche Initiative – zunächst in Aachen – zur Selbsthilfe griff, nachdem öffentliche Stellen dem in sie gesetzten Vertrauen nicht gerecht wurden. Der zweite Vortrag erläuterte die Nutzung von Daten aus sozialen Netzwerken durch Einrichtungen wie Feuerwehr oder Technisches Hilfswerk, um schneller und effizienter Hilfe leisten zu können. Die Frage nach der Glaubwürdigkeit öffentlich-rechtlicher Medien, die in letzter Zeit häufiger in Zweifel gezogen wurde, stellte Prof. Dr.-Ing. Gabriele Schade, vormals Vorsitzende (und derzeit stellvertretende Vorsitzende) des MDR-Rundfunkrats, in ihrem abschließenden Beitrag.

Der letzte Block behandelte die Frage der »Transparenz«. Transparenz ist ein entscheidender Faktor, um Vertrauen zu gewinnen. Die Referent*innen befassten sich mit der besonderen Bedeutung der IT-Sicherheit im Gesundheitswesen, mit der Attribuierung von Cyberattacken und deren Interpretation in Medien und Politik, mit den Herausforderungen des Identitätsmanagements sowie mit Problemen und Perspektiven von Free-to-Play-Spielen.

Ergänzt wurden die Vorträge wie gewohnt durch eine Reihe von Workshops. Am Samstagabend hielten wir Rückschau auf das vergangene Jahr und die Aktivitäten des FIfF. Der diesjährigen FIfF-Studienpreis wurde an Tobias Krafft für seine an der Technischen Universität Kaiserslautern erstellten Masterarbeit »Qualitätsmaße binärer Klassifikatoren im Bereich kriminalprognostischer Instrumente der vierten Generation« verliehen. Dietrich Meyer-Ebrecht, der aus persönlichen Gründen sein Engagement reduzieren möchte, wurde vom Vorstand des FIfF für seine langjährige Arbeit herzlich gedankt. Wir freuen uns sehr, dass er weiterhin, wenn auch in geringerem Umfang, beim FIfF aktiv bleiben wird.

Den Abschluss der Tagung bildete am Sonntag die Mitgliederversammlung mit der Neuwahl des FIfF-Vorstands. Dieser blieb fast unverändert: Stefan Hügel wurde wieder zum Vorsitzenden, Rainer Rehak als Nachfolger von Dietrich Meyer-Ebrecht zum stellvertretenden Vorsitzenden gewählt.

Stefan Hügel

Angriff und Verteidigung in der »Ära des Cyberkriegs«

Angriff und Verteidigung in der »Ära des Cyberkriegs«

Abendveranstaltung von W&F und BICC, 26. Januar 2018, Bonn

von Jürgen Altmann und Dietrich Meyer-Ebrecht

Die zunehmende Bedeutung des Cyberraums als »fünftem Kriegsschauplatz« war das Thema einer öffentlichen Diskussionsveranstaltung, die die Zeitschrift »Wissenschaft und Frieden« auf ihrer Jahrestagung in Zusammenarbeit mit dem Internationalen Konversionszentrum Bonn (BICC) am 26. Januar 2018 in Bonn ausrichtete. Der etwas sperrige Titel des Abends: »Ambivalenzen zwischen Angriff und Verteidigung in der ‚Ära des Cyberkriegs‘ – Theorie und Praxis der digitalen Strategie der Bundeswehr«. Der Anlass, dieses Thema zu wählen, war die Brisanz einer nun schon etwas zurückliegenden Nachricht, dass die Bundeswehr (Bw) eine eigenständige Einheit für Operationen im digitalen Raum, dem Cyber- und Informationsraum, in der Bundeswehrsprache kurz CIR, aufbaut. Auf dem Podium diskutieren Prof. Hans-Jörg Kreowski, Informatiker, Universität Bremen, Vorstandsmitglied des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), Generalmajor Michael Vetter, Erster Stellvertretender Inspekteur und Chef des Stabes des Kommandos Cyber- und Informationsraum (CIR) in Bonn, und Prof. Dr. Matthew Smith, Informatiker, Universität Bonn und Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKI), Wachtberg. Die Podiums- und anschließende Plenumsdiskussion moderiert Prof. Dr. Hartwig Hummel, Universität Düsseldorf, Vorstandsmitglied des Arbeitskreises Friedens- und Konfliktforschung (AFK) und von W&F. Das Podium widmet sich verschiedenen Aspekten des militärischen Engagements im Cyber- und Informationsraum und seinen Auswirkungen.

Prof. Kreowski stellt zunächst einige Fakten zusammen. Der neue Organisationsbereich »Cyber- und Informationsraum« (CIR) der Bundeswehr befindet sich mit rund 13.500 Dienstposten seit 2016 im Aufbau, die offizielle Indienststellung war im April 2017. Überwiegend werden vorhandene Abteilungen unter einem Dach zusammengeführt, die neben Heer, Marine und Luftwaffe eine neue Teilstreitkraft bilden. Unterstützt wird dieser Prozess durch massive Nachwuchswerbung und mit der Einrichtung eines Master-Studiengangs IT-Sicherheit an der Bundeswehr-Universität München.

Neben defensiven Aufgaben wird die neue Teilstreitkraft auch offensive Aufgaben haben und sich am weltweiten Cyberkriegswettrüsten (bei dem es vorwiegend um eine Stärkung der offensiven Fähigkeiten geht) beteiligen. Kreowski stellt die Frage, wie sich das mit dem Verteidigungsauftrag der Bundeswehr verträgt. Ebenso sei fraglich, ob die Vermischung militärischer Cyberverteidigung mit ziviler Cyberabwehr verfassungsgemäß ist. Denn Cyberangriffe, die geheim gehaltene Sicherheitslücken und Schwachstellen nutzen, erfordern ganz andere Kompetenzen als eine Cyberverteidigung, bei der es darum geht, vor allem zum Schutz der Zivilgesellschaft Sicherheitslücken zu schließen und Schwachstellen zu beheben. Um im Darknet Knowhow über Eingriffsmöglichkeiten, wie z.B. Zero-Day-Exploits, anzukaufen, erhielte die neue Teilstreitkraft ein dreistelliges Millionenbudget (was vom nachfolgenden Redner bestritten wurde). In kontraproduktiver Weise würde dieses Wissen der zivilen Datenverarbeitung vorenthalten.

Kreowski sieht im Aufbau eines Cyberwaffenarsenals eine erhöhte Kriegsgefahr, denn angreifen ist einfacher als verteidigen, die Mittel sind vergleichsweise billig (und wiederverwendbar!). So schwinden die Hemmschwellen, und die Eskalation durch konventionelle Vergeltungsschläge auf Cyberangriffe macht deren Folgen unkalkulierbar. Die vorhersehbare Ausweitung von Kriegen in den digitalen Raum, stellte Kreowski fest, ist völkerrechtswidrig, denn aufgrund der hohen Verletzlichkeit ziviler Infrastrukturen stellt sie in erster Linie eine Bedrohung der Zivilgesellschaft dar.

Dies alles sind Gründe, warum das FIfF mit seiner Kampagne »Cyberpeace statt Cyberwar« die Ächtung jeglicher Form von Cyberwaffen, zumindest jedoch der offensiven, fordert. Das Internet müsse entmilitarisiert werden und allein dem Frieden dienen, anstatt für Ausspähung und militärische Operationen missbraucht zu werden. Konsequent wäre es, eine »Digitale Genfer Konvention« zu schaffen, die Cyberangriffe auf lebenswichtige zivile Infrastrukturen verbietet. Weitere Forderungen der Kampagne sind ein Verbot des Einsatzes konventioneller Waffen als Antwort auf Cyberattacken, international transparente forensische Untersuchungen angeblicher Cyberkriegsangriffe, die Offenlegung und Beseitigung aller Schwachstellen (statt sie für eigene Angriffe zu nutzen) sowie die Sicherung kritischer Infrastrukturen (z.B. durch Entnetzung und Dezentralisierung).

Kreowskis provozierende Fragen stehen im Raum – sie bleiben auch unbeantwortet im Raum stehen, als Generalmajor Vetter das Podium übernimmt und die Perspektive der Bundeswehr einbringt. Vetter spricht über die Digitalisierung im Bereich der Streitkräfte, über die neuen Optionen und auch über die neuen Verwundbarkeiten. Er berichtet über den Aufbau der Cyberstreitkräfte als Segment der nationalen Cybersicherheitsstrategie 2016 der Bundesregierung. Federführend für letztere ist der Bundesminister für Inneres, während die Umsetzung schwerpunktmäßig in den Händen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), des Bundeskriminalamtes (BKA) und des Bundesamtes für Verfassungsschutz (BfV) liegt. Die Cyber-Verteidigung obliegt dagegen der Bundeswehr. Geht es um mandatierte Einsätze, ist Cyber-Außenpolitik gefordert. Entsprechend liegt die Verantwortung beim Auswärtigen Amt. Eine völlig neue Herausforderung sei die fehlende Symmetrie zwischen digitaler und materieller Welt. Denn mit vergleichsweise wenig (Software-) Aufwand kann ein immenser materieller Schaden verursacht werden. Abzusehen ist, dass es den »klassischen« Krieg nicht mehr geben wird. Ob ein Krieg als physikalischer beginnt oder als digitaler, in beiden Fällen wird die jeweils andere Komponente alsbald dazukommen und den Krieg zu einem hybriden machen.

Hierauf muss die Bundeswehr vorbereitet sein, betont Vetter. Sie hat jetzt alle diesbezüglichen Aktivitäten in einer Abteilung, dem Kommando CIR mit derzeit 13.500 Soldat*innen und zivilen Angestellten, gebündelt. Das Kommando soll auf knapp 15.000 Personen wachsen. Zuständig ist das Kommando für den Schutz der bundeswehreigenen IT-Systeme sowie der Satelliten-, Richtfunk- und terrestrischen Kommunikations-Infrastrukturen. Dazu betreibt es ein Cyber Security Operations Center, ähnlich wie die Telekom; es stellt mobile Einsatzgruppen (CERT) und beschäftigt Cyber-Forensiker. Weiterhin ist das CIR zuständig für das militärische Nachrichtenwesen. Dazu gehören die Aufklärung über Aktivitäten der Streitkräfte anderer Staaten, eine Krisenfrüherkennung, die Bereitstellung von 3D-Geo-Information sowie von Wetter- und Klimadaten. Viele dieser Aufgaben sind die bisherigen, neu ist jedoch, dass alle diese Aktivitäten – auf Anforderung verschiedener ziviler Behörden – in den Rahmen einer gesamtstaatlichen Cybersicherheit eingeordnet sind.

So werden mit Tornados und über Satelliten, kommerziellen wie militärischen, schon seit Längerem Funknetze überwacht. Zuständig dafür war und ist die Truppe für Elektronische Kampfführung (EloKa), jetzt Teil des Kommandos CIR. Zu ihren Aufgaben gehören auch Maßnahmen des Informationskrieges, wie die Beeinflussung der Zivilbevölkerung durch aufbereitete Nachrichten, unterstützt mit Narrativen, die Gegenpositionen beispielsweise zu Taliban- und IS-Narrativen vermitteln. Neu hinzu kommen Fähigkeiten, in gegnerische Netze eindringen zu können, nicht nur zur Aufklärung, sondern auch, um für operative Maßnahmen manipulierend eingreifen zu können. Vetter nennt Beispiele wie die Verhinderung des Auslösens von Sprengfallen per Mobilfunk durch mitgeführte Störsender oder durch gezielte Lahmlegung lokaler Mobilfunknetze. Dies entspräche dem klassischen Kriegsziel, die Luftabwehr auszuschalten (so geschehen z.B. in Serbien), indem Führungs- und Gefechtssysteme gehackt werden.

Solche Angriffe, so betont Vetter (um wenigsten diesen Punkt des Vorredners aufzugreifen), würden streng regelbasiert erfolgen. Für offensive Cyber-Einsätze würden dieselben rechtlichen Voraussetzungen gelten wie für kinetische Angriffe. Für Cyber-Einsätze zur Unterstützung konventioneller Verteidigung und Angriffe (wie z.B. in Afghanistan) werde grundsätzlich ein Mandat des Bundestages vorausgesetzt. Das Grundgesetz sei die eherne Grundlage. Auch würden bei derartigen Einsätzen, wie z.B. dem Blockieren eines Funknetzes, immer Rechtsberater hinzugezogen. Wegen möglicher weitreichender Kollateralschäden würde die rechtliche Prüfung sogar rigoroser ausfallen als bei kinetischen Angriffen. Ein grundsätzliches Problem dabei sei, dass bei Cyberangriffen extrem schnell gehandelt werden muss. Zu diesem Zweck laufen aus allen beteiligten Organisationen – BSI, BKA, BfV und Bw – Informationen über Angriffe in einem 2011 gegründeten Nationalen Cyberabwehrzentrum zusammen. Angestrebt wird, einen gemeinsamen Gefechtsstand für alle diese Organisationen zu schaffen. Die Bundeswehr würde auch im zivilen Bereich tätig werden, zwar nicht initiativ, aber auf Anforderung, wenn beispielsweise Kraftwerke nach einem großflächigen Ausfall wieder ans Netz angeschaltet werden müssen und die zivilen Kräfte dafür nicht ausreichen würden.

Zum besseren Verständnis der Materie liefert Prof. Smith in groben Zügen die technischen Fakten nach, die offensiven Cyberoperationen zugrunde liegen. Ausschlaggebend ist, dass zivile und militärische Informationssysteme unterschiedslos dieselben Hardware- und Softwarekonzepte und teils sogar dieselben Programmsysteme nutzen. Insofern sei eine Grenzziehung zwischen zivilen und militärischen Fragestellungen kaum möglich. Der Weg, nichtautorisiert in fremde Computer und IT-Netze einzudringen, führt über das Ausnutzen von Schwachstellen. Entstehen können sie durch Fehler in Soft- oder Hardware, durch Fehlkonfiguration von Programmen oder unbedacht im Zusammenspiel von Programmbausteinen – unvermeidbar bei der Komplexität heutiger Hardware und Software und der Vielzahl der beteiligten Entwickler. Schwachstellen und geheime Hintertüren können sogar absichtlich eingebaut oder nachträglich eingeschleust werden.

Smith erläutert, was ein so genannter Exploit ist – ein Softwarewerkzeug zur Ausnutzung einer Schwachstelle – und insbesondere ein Zero-Day-Exploit. Das ist ein Exploit, das eingesetzt wird, bevor die Schwachstelle aufgedeckt wird und damit erst die Chance zur Entwicklung eines Sicherheits-Updates geboten wird. Der Angreifer kann sich in der Zwischenzeit bereits unentdeckbar eingenistet haben und seine Herrschaft über das System weiter ausbauen. An Exploits arbeiten außer professionellen Entwicklern in militärischer oder geheimdienstlicher Mission unzählige Hacker, die ihr Wissen und ihre Entwicklungen auf einem florierenden Schwarzmarkt anbieten. Dort kann ein Zero-Day-Exploit, zugeschnitten beispielsweise auf Apples iOS, gut und gerne eine Million Euro kosten, und Entwicklungen gegen militärische Systeme können sogar noch sehr viel teurer sein. Solche hochkomplexen Cyberwaffen werfen jedoch noch ein besonderes Problem auf: Sie sind wiederverwendbar, dürfen also keinesfalls Gegnern in die Hände fallen. Sie müssen deshalb einen Selbstzerstörungsmechanismus eingebaut haben (dieser hat bei der bekannt gewordenen Schadsoftware Stuxnet offensichtlich nicht funktioniert). Ein eminentes Problem ist die Attribuierung, d.h. die faktische Unmöglichkeit, schnell und zuverlässig den Urheber einer Cyberattacke zu ermitteln. Ein voreiliger Gegenschlag, ausgeführt möglicherweise sogar unter Einsatz konventioneller Waffen, könnte deshalb schnell zu einer Eskalation führen oder, wenn er den Falschen träfe, ungewollt einen neuen Konflikt auslösen. Smith betont zum Abschluss noch einmal, wie vor ihm schon Kreowski, dass militärische und geheimdienstliche Aktivitäten im Cyberraum die Sicherheit ziviler Systeme schwächen, die Gesellschaft gefährden, statt zu schützen, und damit kontraproduktiv im Sinne des Auftrages unserer Bundeswehr sind. Wir müssten auch damit rechnen, dass Cyberangriffe eher zivile Systeme zum Ziel haben könnten als militärische, da letztere vermutlich aufwändiger geschützt werden. Terroristen und Kriminelle würden diese »weiche Flanke« ohne Skrupel nutzen, wo sich Militärs aus humanitären Gründen noch zurückhalten müssten. Selbst wenn jedoch das primäre Ziel eine militärische Einrichtung wäre, wird ihr Angriff unkalkulierbare Kollateralschäden verursachen, denen wieder vorwiegend zivile Einrichtungen zum Opfer fallen würden.

Die abschließende Diskussion ist engagiert, aber wenig ergiebig hinsichtlich der Klärung der offensichtlich kontroversen Positionen. Zu offensiven Cyberwaffen der Bundeswehr will sich Vetter erwartungsgemäß nicht äußern. Er verweist darauf, dass die empfindlichste Schwachstelle der Mensch sei und deshalb eine Cyber-Awareness entwickelt werden müsse. Dass die Probleme, die militärische Aktivitäten im Cyberraum für die Zivilgesellschaft bringen, damit gelöst werden können, bezweifelt Smith. Bezüglich des Entwurfs von Völkerrechtsregeln im Cyberraum wird das Tallinn-Manual erwähnt (das Richtlinien für den Krieg aufstellt, aber keine Rüstungsbegrenzung behandelt). Vertrauensbildende Maßnahmen seien nötig und z.T. schon in Arbeit. Kreowski weist auf die wichtige Rolle der Prävention mittels Technikfolgenabschätzung hin – mehr Geld sei hierfür nötig, ebenso auch für eine Rüstungskontrollforschung. Ein grundlegendes Problem sei, so Smith, dass Informationstechnologie und informatische Methoden fast unvermeidlich Dual-use-Charakter haben und dass dies zur Bildung einer ausgedehnten Grauzone in Forschung und Industrie führt.

Zu optimistisch wäre die Erwartung gewesen, dass sich die Podiumsteilnehmer in der Diskussion näher gekommen wären. Deutlich wird vielmehr, wie groß die Kluft zwischen den Positionen von Militärs und Zivilgesellschaft ist und wie wichtig es ist, dass die Zivilgesellschaft Gegenmodelle entwickelt – wie Kreowski abschließend noch einmal unterstreicht – und sich für ihre politische Durchsetzung einsetzt.

Audiodatei der Veranstaltung verfügbar unter https://nc.bicc.de/index.php/s/W4JfTsjDnQ4nFiv.

Jürgen Altmann und Dietrich Meyer-Ebrecht

FifFKon16 – in.visible systems

FifFKon16 – in.visible systems

Jahrestagung des FifF, 25.-27. November 2016, Berlin

von Stefan Hügel

In einer digitalisierten Gesellschaft untergraben unsichtbare Systeme die individuelle Selbst- und die demokratische Mitbestimmung. Doch nicht nur das: Die Manipulation von Denken und Handeln ist zur treibenden Kraft der IT-Entwicklung geworden. Dies wurde in Berlin auf der Jahreskonferenz 2016 des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) deutlich.

Unsere digitale Umwelt ist frei von Öl, Staub und Müll. Wir erfahren und erleben sie durch glänzende Oberflächen, flüssige Animationen und ästhetische Bilderwelten. Wir werden mit sozialen Räumen und (freiem) Internet versorgt, unsere E-Mail-Boxen und Kalender werden für uns betrieben, unsere Daten bequem verwahrt, das Internet durchsuchbar gehalten, der Verkehr optimiert und unser Zahlungsverkehr abgewickelt. Nun bleiben wir fit, können schneller Taxis finden und Zimmer vermieten. Gesundheitssysteme, der ÖPNV und andere staatliche Aufgaben werden digitalisiert. All dies geschieht mit Hilfe größtenteils unsichtbarer Systeme.

Zweck von Informationstechnik ist immer auch Komplexitätsreduktion und -verschleierung. Die Zusammenhänge bleiben nicht nur unsichtbar, sondern sie werden ganz gezielt versteckt. Dies geschieht einerseits zur sinnvollen Komplexitätsreduktion, andererseits auch, um verdeckte Zwecke zu verfolgen. Die Möglichkeit, ein inzwischen durchdigitalisiertes Leben und die genutzte Infrastruktur mündig zu beurteilen oder gar zu gestalten, wird so zunehmend unmöglich gemacht.

Auf der Konferenz wurden unsichtbare Systeme in Beiträgen und Workshops behandelt und diskutiert. Eingeleitet ­wurde sie durch eine historische und philosophische Einführung in verborgene Technik.

Kriegführung im Cyberspace steht im Widerspruch zur IT-Sicherheit und macht sich doch deren Methoden zunutze. Um den Cyberkrieg führen zu können, werden Schwachstellen in IT-Systemen geheim gehalten oder im Verborgenen erzeugt. Autonome Waffen werden im Geheimen entwickelt, und ihre Algorithmen und Verfahren entscheiden eigenständig und unsichtbar für den Menschen über Leben und Tod.

Die Überwachung der Menschen durch Geheimdienste, Sicherheitsbehörden und private Akteure schreitet fort: Durch weltweite Kommunikationsüberwachung, durch Videoüberwachung des öffentlichen und privaten Raums und durch biometrische Verfahren zur weiteren Automatisierung und Erkennung. Technologien wie »Big Data« erweitern das Instrumentarium der Überwachung – auch hier sind die automatisierten Entscheidungen und Ergebnisse für die Nutzer*innen oft nicht mehr nachvollziehbar. Effektiver Datenschutz muss juristisch und technisch durchgesetzt und sichergestellt werden.

Weitere Themen der Konferenz waren Geheimdienste und die Defizite ihrer (parlamentarischen) Kontrolle; Informationsfreiheit, ihre Verhinderung durch Amtsträger*innen und der Versuch, sie wieder durchzusetzen; Techniknutzung und Algorithmen in sozialen Kontexten; und Ethik in Informatik und Wissenschaft. Mehrere Workshops ergänzten das Programm mit Themen wie Malware, globale Friedensinitiativen, Menschenrechte, politische Informatik und nachhaltige Mobilität.

Die Antwort des FIfF auf die zunehmende Bedrohung durch Cyberwarfare ist »Cyberpeace«. Dazu haben wir auf zwei Jahre Cyberpeace-Kampagne und ihre Forderungen zurückgeblickt.

Kooperationspartner des FIfF bei der Tagung waren das Zentrum für Technik und Gesellschaft (ZTG) der TU Berlin, die Fachgruppe Informatik und Ethik der Gesellschaft für Informatik (GI) und der Chaos Computer Club (CCC). Die Web-Seite mit weiteren Informationen ist unter 2016.fiffkon.de zu finden. Von dort sind auch die Aufzeichnungen der Vorträge verlinkt, die unter media.ccc.de/c/fiffkon16 abgerufen werden können. Das Konferenzthema wird auch Schwerpunkt in der FIfF-Kommunikation 1/2017 sein, die Ende März erscheint.

Die FIfF-Konferenz 2017 wird am 20.-22. Oktober 2017 in Jena stattfinden.

Stefan Hügel

Cyberwar & Cyberpeace

Cyberwar & Cyberpeace

Internationaler Pugwash-Workshop, 23.-24. Oktober 2015, Berlin

von Dietrich Meyer-Ebrecht, Ingo Ruhmann und Thomas Reinhold

Militärische Aktivitäten können heute wohl nirgendwo mehr auf der Welt unbeobachtet ablaufen – außer im Cyberspace. Das klingt paradox, dient doch der Cyberspace als übermächtiges Instrument für eine Ausspähung bis in den letzten Winkel der Erde. Dennoch, mit den nötigen Kenntnissen und Mitteln ausgestattet können zumindest Inseln im Informationsraum weitgehend vor Beobachtung geschützt werden. Hier können Waffen entwickelt, produziert und »stationiert« werden, ohne physikalischen Raum zu benötigen; hier können Waffen getestet und zum Einsatz vorbereitet werden, ohne physikalische Spuren zu hinterlassen, und ihre digitalen Spuren können verschleiert oder sogar ausgelöscht werden.

Mit seinem überlegenen Potential zur Geheimhaltung ist der Cyberspace bereits seit langem als fünfter Operationsraum – neben Land, Luft, See und Weltraum – in die militärischen Strategien fest eingebunden. In der Zivilgesellschaft sind Kenntnisse über militärische Aktivitäten im Cyberspace jedoch eher vage, trotz der snowdenschen Enthüllungen. Das ist nicht nur der Geheimhaltung zuzurechnen. Die abstrakte Natur der Materie bringt es mit sich, dass das öffentliche Interesse wenig ausgeprägt ist. Entsprechend schwierig ist es auch, die Auswirkungen militärischer Cyberoperationen abzuschätzen. Unklar ist zudem die völkerrechtliche Einschätzung. Über reale Risiken hinaus ist es die Summe dieser Unsicherheiten, die bedrohlich wirkt.

In dieser Situation ist es umso wichtiger, dass das Thema »Cyberwar« zunehmend in wissenschaftlichen Veranstaltungen aufgegriffen wird, so auch beim diesjährigen Treffen der Deutschen Pugwash-Gruppe in Berlin. Die deutsche Pugwash-Gruppe wurde im Zusammenhang mit der Gründung der Vereinigung Deutscher Wissenschaftler (VDW) bereits im Jahre 1959 ins Leben gerufen, zwei Jahre nach der ersten Pugwash Conference on Science and World Affairs. Mit dem diesjährigen Workshop »Cyberwar & Cyberpeace: Sind neue Regeln im Cyberspace möglich?« setzte die Gruppe eine Veranstaltungsreihe zu Cyberthemen fort, die von den europäischen Pugwash-Gruppen im Sommer 2013 in den Niederlanden initiiert wurde. Ziel des Workshops war es, die mit der Thematik befassten nationalen und internationalen Gemeinschaften von Wissenschaft, Politik und Zivilgesellschaft miteinander ins Gespräch zu bringen und einen Beitrag dazu zu leisten, dass sowohl in Fachkreisen als auch in der Öffentlichkeit ein Bewusstsein für die Komplexität der Sachzusammenhänge entsteht.

Das Programm spiegelte die Vielfalt der Thematik wider. Eröffnet wurde es mit Vorträgen über die technischen Aspekte gegenwärtiger Cyberangriffe, über Konsequenzen für die globale digitale Infrastruktur und über Möglichkeiten für Gegenmaßnahmen und Verteidigung. Hier wurde auch speziell nach den Aufgaben der Regierungen und der Rolle der Europäischen Union gefragt. Dass der Cyberspace als neuer politischer Raum verstanden werden muss, dessen Gestaltung neue juristische und friedenspolitische Fragen aufwirft, machten Vorträge zur juristischen Situation deutlich, die sich mit der Anwendbarkeit internationalen Rechts im Cyberspace, mit der Bedeutung des Tallinn-Manuals und mit den Herausforderungen der NSA-Affäre für das nationale und internationale Recht befassten. In zwei Vorträgen wurde analysiert, wie effektiv internationale Bemühungen zur Gewährleistung der Sicherheit in den globalen digitalen Netzen sein können. Eine Panelsitzung befasste sich mit Forderungen an Verwaltung, Politik und Wirtschaft, speziell bezüglich der Sicherheitsbelange, auch im Hinblick auf humanitäre Fragen.

Ein für Cyberangriffe spezifischer Aspekt sind die Folgen der Schwierigkeiten einer Attribution. Dass die Herkunft von Angriffen und die Identifikation eines Angreifers ein Problem ist, hat auf politischer und strategischer Ebene die Folge, dass es ohne klare Attribution auch keinen eindeutigen Gegner gibt und damit auch keine politische Möglichkeit der Abschreckung oder Begrenzung. Aus Sicht der Diplomatie gibt es damit keine Möglichkeit zwischenstaatlicher Abkommen, sondern allein die Option einer weiteren Aufrüstung.

In der Plenarsession »Military Options and Arms Control for the Cybersphere« wurden systematisch die für bisherige Rüstungskontroll-Vereinbarungen entwickelten Denkweisen, Ziele und Umsetzungsmaßnahmen betrachtet, und es wurde versucht, diese auf den Cyberspace zu übertragen. Diese Sichtweise erlaubt neue Schlussfolgerungen für die Arbeit zur Begrenzung der Rüstung im Cyberspace. So ist die bei Atomwaffen mögliche Option auf Nicht-Verteidigungsfähigkeit in der Informatik keine Option, da IT-Sicherheit (die vielfach ohnehin lückenhaft ist) gegen vielerlei Gefährdungen erreicht werden muss. Dagegen kann eine Strategie der gegenseitigen Zerstörung (mutually assured destruction, MAD, bei Atomwaffen von Bedeutung) bei Cyberangriffen durchaus eine Option sein, wenn demonstriert werden kann, dass ein Gegenschlag auch bei und nach einem Angriff erfolgen kann – allerdings liegt auch hierin eher eine Tendenz zur Aufrüstung. Ein beachtenswerter historischer Sonderfall war im Kontext des Zerfalls der Sowjetunion die unilaterale, aber reziproke Ankündigung sowohl der USA als auch der Sowjetunion, einen Teil ihrer Atomwaffen auch ohne Vereinbarung zurückzuziehen, um das Ende des Kalten Krieges zu signalisieren. Als universeller Weg zur Rüstungskontrolle hingegen wurde der Aufbau vertrauensbildender Maßnahmen beschrieben, die in der IT-Welt etwa die verstärkte Kooperation von Computer Emergency Response Teams (CERTs) bedeuten würde. Etablierte Strategien für Abrüstung sind in jedem Fall wichtige und viel zu wenig untersuchte Ansatzpunkte auch für die Abrüstung im Cyberspace.

In dieser Session ging es auch darum, für die Rüstungskontrolle aus den Erkenntnissen zu lernen, die aus den Snowden-Dokumenten zu ziehen sind. Dies fängt damit an, dass Cyberwaffen bisher gar nicht als solche erkannt werden. Die XKeyscore-Software der NSA ist eine klassische Angriffswaffe, über die lediglich als Spionagewerkzeug berichtet wird. Auch die Infrastrukturen der Cyberkrieger sind heute noch nicht ausreichend erhoben und systematisiert. Wie das »Transgression«-Programm der NSA zeigt, haben die Cyber-Einheiten genügend Kenntnisse voneinander, um sich gegenseitig – sogar auf dritter und vierter Ebene – durch Cyberattacken die Ergebnisse der jeweils gegnerischen Arbeit zu stehlen. Diese Erkenntnisse ließen sich für die Rüstungskontrolle nutzen. Mindestens ebenso wichtig sind die personellen und finanziellen Ressourcen der Cyber-Einheiten, die – der Darstellung verfügbarer Daten zufolge – das sechs- bis zehnfache der Ressourcen zur Verfügung haben wie ihre Gegenüber in der zivilen Strafverfolgung und der zivilen staatlich organisierten IT-Sicherheit. Auch diese Kräfteverhältnisse sollten für die Rüstungskontrolle bewertet und genutzt werden. Als Fazit wurde gezeigt, dass die zahlreichen neuen, aber auch die bereits bekannten Daten und Fakten zu Cyberwar-Akteuren bei weitem nicht angemessen für Rüstungskontrollansätze genutzt werden und damit zahlreiche Lösungsansätze ungenutzt bleiben.

Ein wichtiges Element der Pugwash-Workshops ist die Diskussion spezieller Themen in Arbeitsgruppensitzungen, die der persönlichen, thematischen und wissenschaftlichen Vernetzung dienen. In parallelen Sitzungen waren drei Arbeitsgruppen angesetzt. Es ging darin um die Kontrolle des Internet (Internet Governance) und den Datenschutz, um die Verwundbarkeit der zivilen kritischen Infrastrukturen, wie der Energieversorgung oder des Finanzsystems, (Humanitarian Issues) und um die Frage, ob der Cyberspace zur Arena einer neuen Kriegsführung werden könnte oder dies bereits ist (Cyberspace and Warfare).

Diese letztgenannte Arbeitsgruppe fokussierte sich in ihrer Diskussion auf das friedenspolitisch zentrale Problem der Rüstungskontrolle: Lassen sich Methoden der Rüstungskontrolle, die in den vergangenen Jahrzehnten für andere Waffentechnologien entwickelt wurden, auf den Cyberspace übertragen? Eine entscheidende Voraussetzung dafür wurde in einer präziseren Fassung des Begriffs »Cyberwaffe« gesehen, insbesondere um eine Abgrenzung zu legitimen zivilen sowie defensiven militärischen Anwendungen, wie Penetrationstests, zu gewährleisten. Eine Klassifikation über das Schadenspotential erscheint notwendig, aber schwierig. Es fehlen verlässliche Klassifikationsmethoden. Vor allem lassen sich Kettenreaktionen beim Angriff auf IT-Systeme nicht abschätzen. Weitere wissenschaftliche Arbeit ist dringend geboten, insbesondere um eine Grundlage für internationale Vereinbarungen zu legen.

An dieser Arbeitsgruppe nahm ein einziger Informatiker teil. Überhaupt waren InformatikerInnen deutlich unterrepräsentiert, nimmt man den Ruf nach wirkungsvollerer technisch-wissenschaftlicher Unterstützung friedenssichernder Ansätze angesichts des Potentials militärischer Operationen im Cyberspace ernst. In Gesprächen am Rande wurde eine zögerliche Haltung der Informatik – hier speziell im Fachgebiet Cybersecurity – deutlich, sich mit diesem »heißen« Themenkomplex zu befassen. Dabei ist eine aktive Teilhabe der Disziplin auch deshalb so wichtig, weil der Cyberspace im Gegensatz zu den vier anderen militärischen Operationsräumen von Menschen gemacht ist und seine Funktionsweise von Fachleuten definiert und kontrolliert wird. Beeindruckend war andererseits, welche Vielfalt an wissenschaftlichen Disziplinen an diesem Workshop beteiligt war. Die Komplexität des Themas fordert dies. Allerdings, und das ist eine andere Beobachtung, müssen die Verständigungsbrücken zwischen den Wissenschaften noch erheblich ausgebaut werden.

Die einzelnen Vorträge sowie Berichte aus den Arbeitsgruppen sind im Internet abrufbar: neu.vdw-ev.de/veranstaltungen/international-pugwash-workshop/.

Dietrich Meyer-Ebrecht, Ingo Ruhmann, Thomas Reinhold