„Cyberraum ist zu einem entscheidenden Faktor in der modernen Kriegführung geworden.“

Tagtäglich wird deutsche ITInformationstechnik-Infrastruktur aus dem Internet heraus angegriffen – auch die der Bundeswehr. Wie sich die Truppe dagegen wehrt, erklärt im Interview Oberst Andreas Kubitz, Kommandeur des Zentrums für Cyber-Sicherheit der Bundeswehr.

Vergrößern

Immer öfter hört und liest man von Cyberangriffen auf staatliche Institutionen, Behörden und Unternehmen in Deutschland. Ist die Bundeswehr auch davon betroffen?

Ja, die Bundeswehr ist regelmäßig Ziel von Cyberangriffen. Die Auswirkungen waren aber aufgrund unserer technischen Vorkehrungen und unseres Fachpersonals bisher eher gering.

Was wird bei der Bundeswehr angegriffen?

Ein häufiges Angriffsziel ist unsere Bürokommunikationsinfrastruktur. Über 200.000 Mitarbeitende in der Bundeswehr erhalten täglich E-Mails und nutzen das Internet. Es gibt also eine dauerhafte Verbindung nach draußen in den Cyberraum, wo sich Angreifer frei bewegen können. Die Informationstechnik der Bundeswehr umfasst natürlich wesentlich mehr: Waffen- und Führungssysteme oder auch Haustechnik wie zum Beispiel Überwachungskameras und Zugangskontrollanlagen können vom Gegner für einen Angriff, Spionage oder Störung genutzt werden.

In welcher Form wird die Truppe angegriffen?

Wir beobachten vielfältige Angriffe. Sie reichen von Phishing-Attacken über Malware-Infektionen bis zu gezielten Spionageversuchen durch Advanced Persistent Threats, kurz APTAdvanced Persistent Threat. Für Ransomware-Angriffe ist die Bundeswehr nicht attraktiv. Kriminelle können sich sicher sein, dass die Bundeswehr kein Lösegeld bezahlen würde. Gefährlicher ist ein Datendiebstahl, bei dem Kriminelle versuchen, in unsere Systeme einzudringen und die dort abgefischten Daten an andere Staaten zu verkaufen.

Wie schützt sich die Bundeswehr gegen Cyberangriffe?

Jeder in der Truppe ist ein potenzielles Einfallstor für einen Angriff. Daher konzentrieren wir uns nicht nur auf die technische Absicherung, sondern betrachten Informationssicherheit als Gesamtsystem. Die Verantwortlichkeiten sind dezentral organisiert: In allen Dienststellen, Organisationsbereichen und Teilstreitkräften gibt es Personal, das technische und organisatorische Maßnahmen etabliert, prüft und berät. Wichtig sind auch die Einrichtungen, die den ITInformationstechnik-Betrieb sicherstellen. Die Technikerinnen und Techniker müssen oft kreativ sein und unter Zeitdruck arbeiten – und dürfen dabei die Informationssicherheit nie aus dem Blick verlieren.

Welche Rolle spielt dabei das Zentrum für Cyber-Sicherheit der Bundeswehr?

Das Zentrum für Cyber-Sicherheit der Bundeswehr, kurz ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr, wurde 2017 aufgestellt. Unser Name ist Programm: Es geht nicht nur um ITInformationstechnik-Sicherheit, also technische Schutz- und Überwachungsaufgaben, sondern um einen umfassenden operativen und taktischen Auftrag. Fast 600 militärische und zivile Mitarbeitende arbeiten hier, viele sind hochspezialisierte ITInformationstechnik-Expertinnen und -Experten. Wir überwachen den gesamten Cyberraum der Bundeswehr. Dazu gehört, neu eingeführte ITInformationstechnik-Systeme zu prüfen, allgemeine Vorgaben zu machen und bei Sicherheitsvorkommnissen zu unterstützen. Bei Cyberangriffen sind unsere mobilen Teams schnell vor Ort. Wir führen auch Penetrationstests von Systemen durch und prüfen die Abstrahlungen von ITInformationstechnik. Wir sind also breit aufgestellt. Wichtig ist, dass wir unsere Fähigkeiten stets an die Angriffsmethoden im Cyberraum anpassen.

Ein Beispiel dafür ist der Einsatz von künstlicher Intelligenz: Die Zunahme von KIkünstliche Intelligenz stellt uns vor enorme Herausforderungen, aber sie kann unsere Cyberabwehr auch stärken. Eine gute KIkünstliche Intelligenz, die von Fachpersonal trainiert und kontrolliert wird, kann Phishing-Mails, Deep Fakes oder ungewöhnliche Verhaltensmuster in Bundeswehrnetzwerken frühzeitig identifizieren und bei der Abwehr unterstützen.

Wie oft passieren solche Angriffe?

Ich bin bei konkreten Zahlen und Beispielen sehr zurückhaltend. Gegnerische Kräfte könnten daraus Rückschlüsse auf unsere Sensoren und Methoden erhalten. Ein weiterer Grund: Was ist ein Cyberangriff ? Ist ein Computervirus, der an einer Phishing-E-Mail angehängt ist, aber an unserer Peripherie erkannt und isoliert wurde, ein Angriff oder ein „Abklopfen“ unserer Systeme auf potenzielle Schwachstellen? Wir bearbeiten jedes Informationssicherheitsvorkommnis auf einer eigens dafür entwickelten Plattform. 2023 wurden mehr als 3.500 Tickets bearbeitet. Das gibt ein grobes Gefühl über die Menge, wobei die Komplexität und der Aufwand pro Ticket sehr unterschiedlich sind. 

Was ich sagen kann: Wir erleben seit der russischen Vollinvasion in der Ukraine im Februar 2022 einen erheblichen Anstieg von Distributed-Denial-of-Service-(DDoSDistributed Denial of Service)-Ereignissen gegen öffentliche Portale der Bundeswehr. Gegnerische Gruppen fluten unsere Server mit Anfragen und stören unsere öffentlichen Schnittstellen und Webseiten. Auswirkungen auf operative Fähigkeiten der Bundeswehr haben sie aber nicht. Wir stellen unsere Architekturen und Prozesse auf die Bedrohungslage ein, damit unsere Systeme noch resilienter werden. Es geht aber nicht nur um die Bundeswehr. Cybersicherheit ist eine gesamtstaatliche Aufgabe. Ich würde mir wünschen, dass mehr Bürgerinnen und Bürger wüssten, was jeder privat und beruflich dagegen tun kann. Prävention beginnt bei jedem Einzelnen. Wir müssen uns bewusst werden, dass unser digitales Handeln Auswirkungen auf die Sicherheit aller haben kann.

Was weiß man über die Drahtzieher und ihre Hintergründe?

Das ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr nimmt grundsätzlich keine Attribution, sprich Zuordnung von Angriffen zu Akteuren, vor. Aber wir sammeln Beweise und leiten sie den Strafverfolgungsbehörden weiter. Manchmal ist es offensichtlich, woher ein Angriff kommt. Gerade Hacktivisten bekennen sich häufig öffentlich, um einen vermeintlichen Erfolg für sich zu verbuchen. Viele Gruppen haben bestimmte Methoden und Werkzeuge, die wir wiedererkennen und auf die wir unsere Abwehr passgenau abstimmen. Für Staaten sind Cyberangriffe günstige Möglichkeiten, um geopolitische und wirtschaftliche Ziele zu erreichen – ohne in einen militärischen Konflikt einzutreten. Russland hat hochentwickelte Fähigkeiten. Staatlich unterstützte Hackergruppen wie APT28 oder APT29 nutzen Schwachstellen in Netzwerken aus. Die Angriffsmöglichkeiten reichen von APTAdvanced Persistent Threat und Ransomware bis zu Phishing-Kampagnen.

Dazu kommen Botnets und die Manipulation sozialer Medien. China geht es auch um Zugang zu sensiblen Daten und ökonomische Interessen. Als führende Industrienation sind wir ein attraktives Ziel, um geistiges Eigentum, technologische Innovationen und Produktionsdaten auszuspähen. Spezialisierte Hackergruppen wie APT41 oder Hafnium könnten auch unsere kritischen Infrastrukturen stören. Auch Nordkorea verfügt mit Hackergruppen wie Lazarus über gute Fähigkeiten zu Cyberangriffen, inklusive Nutzung von Malware und Social-Engineering-Techniken.

Oberst Andreas Kubitz, Kommandeur des Zentrums für Cyber-Sicherheit der Bundeswehr Bundeswehr/Ali Rahnama

„Eine gute Cyberabwehr verhindert Datenverluste, bewahrt die Integrität und Verfügbarkeit von Systemen und stärkt die Handlungsfähigkeit von Streitkräften.“

Tauschen Sie sich mit anderen Stellen über ihre Erfahrungen aus?

In der EUEuropäische Union, der NATONorth Atlantic Treaty Organization und innerhalb Deutschlands sowie mit Österreich und der Schweiz arbeiten wir sehr eng zusammen. Wir haben gute Austauschprozesse über erkannte Angriffsverfahren und -muster etabliert und führen gemeinsame Übungen durch. Die nationale Zusammenarbeit ist genauso wichtig. Denn innere und äußere Sicherheit lassen sich nicht trennen. Deshalb wurde das Nationale Cyber-Abwehrzentrum aufgebaut, in dem unter anderem das Innen- und das Verteidigungsministerium vertreten sind. Für ein gemeinsames Lagebild und um Aktionen zu planen, unterhalten wir vom ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr auch enge Kontakte zum CERT-Bund, der zentralen Anlaufstelle für Bundesbehörden bei ITInformationstechnik- Sicherheitsvorfällen, zu Telekommunikationsanbietern sowie vielen anderen Akteuren.

Das unberechtigte Eindringen in fremde ITInformationstechnik-Systeme ist in Deutschland verboten. Was macht das ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr bei einem akuten Cyberangriff?

Es ist unser Kernauftrag, die Informationssicherheit in der Bundeswehr zu schützen und wiederherzustellen, wenn diese gestört wurde. Das ist eine Dauereinsatzaufgabe, die rund um die Uhr durch das Cyber Security Operations Centre (CSOCBw) erfüllt wird. Unsere Sensorik liefert das technische Lagebild dafür. Die Daten über ITInformationstechnik-Systeme, Übergänge in andere Netzwerke und registrierte Veränderungen werden weitgehend automatisiert ausgewertet. Wenn ein Angriff auf die Bundeswehr erkannt wird, beheben unsere Spezialistinnen und Spezialisten den Schaden schnellstmöglich. Sie werten ihn aus und sichern Beweise, um einen vergleichbaren Angriff in Zukunft auszuschließen.

Neben der akuten Reaktion suchen wir auch nach Spuren, die auf die Anwesenheit von Eindringlingen in den Bundeswehrnetzen schließen lassen. Man nennt das „Cyber Threat Hunting“, also das Aufspüren von Cyber-Bedrohungen. Das gleicht oft der sprichwörtlichen Suche nach der Nadel im Heuhaufen. Je nach Aufwand kann ein Vorfall in wenigen Minuten entdeckt, dokumentiert und abgeschlossen sein oder sich über Wochen hinziehen, bis alles gesichert ist und Funktionen wiederhergestellt sind.

Sie entsenden auch mobile Teams, die bei Cyberangriffen unterstützen. Wer fragt die Bundeswehr an und wie läuft das ab?

Grundsätzlich verlegen unsere Kräfte selten an den Ort des Geschehens. Unsere hochgradige Vernetzung ermöglicht es uns, Aktionen an ITInformationstechnik-Systemen verzugslos und standortunabhängig durchzuführen. Im Reach-Back-Verfahren können unsere ITInformationstechnik-Expertinnen und -Experten aus Euskirchen unterstützen. Unsere flexiblen Incident Response Teams können bei Bedarf auch vor Ort – weltweit und sogar unter Gefechtsbedingungen – ihren Auftrag erfüllen. Bei Bedarf können sie auch Amtshilfe leisten, wie im Juli 2021, als wir den Landkreis Anhalt-Bitterfeld nach einem schweren Angriff auf dessen ITInformationstechnik-Infrastruktur unterstützten. Wir haben Fachleute entsandt, die die Lage begutachteten und bei der Behebung der Schäden halfen. Abschließend gaben wir dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSIBundesamt für Sicherheit in der Informationstechnik, unsere Erkenntnisse weiter.

Wir wollen nicht in Konkurrenz zu zivilwirtschaftlichen Anbietern treten, sondern setzen auf Zusammenarbeit. Beim Cyberangriff im August 2020 auf die BwFuhrpark-Service GmbHGesellschaft mit beschränkter Haftung konzentrierten wir uns auf die Suche nach kompromittierten Verbindungen zum Bundeswehrnetz. Mit der Analyse und Behebung des Schadens wurde ein ziviles Unternehmen beauftragt.

Das ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr unterstützt BwBundeswehr-Dienststellen auch im Umgang mit der Abstrahlung der dienstlichen ITInformationstechnik. Worum geht es dabei genau?

Jedes technische Gerät gibt bei seiner Nutzung elektromagnetische Strahlen frei, genauso wie ein Auto. In diesen Emissionen können unter Umständen sicherheitsempfindliche Informationen enthalten sein. Diese „kompromittierte Abstrahlung“ kann durch elektromagnetische Wellen – zum Beispiel über das WLAN – in die Umwelt übertragen werden. Ein Angreifer kann diese Wellen mit einer Antenne empfangen und die enthaltenen Informationen auswerten. Der Schutz unserer ITInformationstechnik vor elektromagnetischer Abstrahlung ist unerlässlich. Unsere Abstrahlprüferinnen und -prüfer sind mit einer speziellen Sensorik ausgestattet, um die Strahlung von technischen Geräten zu prüfen und Dienststellen der Bundeswehr über mögliche Sicherheitslücken zu informieren. Es geht uns vor allem um Prävention und Beratung.

Wie läuft so eine Prüfung ab und was kann man gegen Abstrahlung tun?

Wir beraten die jeweiligen Verantwortlichen von ITInformationstechnik-Systemen, zum Beispiel die Informationssicherheitsbeauftragten einer Dienststelle, in allen Fragen der Abstrahlsicherheit. Das umfasst sowohl die Planung und Implementierung neuer Systeme und Infrastrukturen als auch die Absicherung bestehender Strukturen, Räume oder Gebäude, in denen eingestufte Informationen verarbeitet werden. Für ein gutes Schutzkonzept können bautechnische Maßnahmen notwendig sein, um Systeme zu „härten“, damit von ihnen keine oder nur eine sehr geringe kompromittierende Abstrahlung ausgeht. Diese Maßnahmen werden in der Regel bereits von den Herstellern umgesetzt. Die bautechnische Härtung von Räumen und Gebäuden sowie die technische Absicherung kompletter Waffensysteme sind sehr wichtig.

Ein Beispiel: Unsere Prüferinnen und Prüfer sind fester Bestandteil bei der Einführung des neuen F-35-Kampfjets ab 2027. Sie stellen sicher, dass von den Jets und der Infrastruktur keine kritische Abstrahlung ausgeht. Erst dann können die F-35 an die Bundeswehr übergeben werden. Grundsätzlich werden die Abstrahlprüfungen bei Geräten alle sechs Jahre wiederholt. Wir prüfen, ob die Grenzwerte etwa zur Verarbeitung von VS-Dokumenten noch eingehalten werden oder die Technik erneuert werden muss. Dafür hat unser Zentrum vier Abstrahlprüflabore an verschiedenen Standorten. Um Infrastrukturen und Waffensysteme zu vermessen, nutzen wir zehn Mess- und Prüffahrzeuge, die im In- und Ausland eingesetzt werden können.

Zum Abschluss: Ist der Cyberraum noch aus den Streitkräften wegzudenken?

Nein, der Cyberraum ist zu einem entscheidenden Faktor in der modernen Kriegführung geworden. Eine gute Cyberverteidigung ist deshalb unerlässlich. Sie schützt kritische Infrastrukturen, Kommunikationssysteme und die eigene Waffensteuerung vor Angriffen. Ohne Informationssicherheit könnte die eigene operative Handlungsfähigkeit massiv beeinträchtigen werden. In asymmetrischen Konflikten und hybriden Bedrohungsszenarien spielen Cyberangriffe heute eine Schlüsselrolle, um Gegner zu destabilisieren, Spionage zu betreiben oder Desinformation zu verbreiten. Eine gute Cyberabwehr verhindert Datenverluste, bewahrt die Integrität und Verfügbarkeit von Systemen und stärkt die Handlungsfähigkeit von Streitkräften. Am Ende geht es auch um Abschreckung: Eine robuste Verteidigung im Cyberraum signalisiert potenziellen Angreifern, dass ihre Aktionen wirkungslos sind und sehr kostspielig werden könnten.