Die Bundesregierung will Waffengewalt einsetzen, um sich gegen Cyber-Angriffe zu wehren - sofern die besonders schwer ausfallen. Das geht aus einem internen Bericht für den Bundestag hervor. Die Gefahr gilt derzeit als gering, Sicherheitsexperten rechnen aber mit einer wachsenden Bedrohung.
Computer, Rechner
© DPADie Regierung will sich Gewalt gegen Cyber-Angriffe vorbehalten
Berlin - Die Bundesregierung behält sich grundsätzlich das Recht vor, auf schwere Cyber-Attacken mit Waffengewalt zu reagieren. "Je nach Eigenart kann ein Cyber-Angriff im Einzelfall als bewaffneter Angriff auf einen Staat zu werten sein", zitiert die Nachrichtenagentur Reuters aus einem vertraulichen Bericht der Bundesregierung, der zwischen Innenministerium, Auswärtigem Amt, Bundeskanzleramt und Verteidigungsministerium abgestimmt ist.

Staaten seien bei bestimmten Cyber-Angriffen berechtigt, "ihr naturgegebenes Recht auf individuelle oder kollektive Selbstverteidigung auszuüben", heißt es in dem Bericht laut Reuters. Dies gelte insbesondere dann, wenn die Souveränität des angegriffenen Staates bedroht sei oder die Wirkung der Cyber-Attacke sich mit der Wirkung herkömmlicher Waffen vergleichen lasse. Das Verteidigungsministerium bestätigte auf Anfrage, dass ein entsprechender Bericht existiert. Er sei am 21. September den Mitgliedern des zuständigen Ausschusses beim Bundestag zugegangen. Zum Inhalt äußerte sich das Ministerium unter Verweis auf die Geheimhaltungsstufe "VS - nur für den Dienstgebrauch" nicht.

Der Grünen-Abgeordnete Omid Nouripour, Sprecher der Fraktion für Sicherheitspolitik, kennt das Papier. "Es ist wenig plausibel, dass auf eine gehackte Website mit einer Panzerhaubitze geantwortet wird", sagte er am Freitag SPIEGEL ONLINE. Man werden den Bericht im Ausschuss diskutieren und von der Bundesregierung eine Erklärung fordern, "welche Szenarien damit genau gemeint sind", so Nouripour.

USA drohen mit Raketenangriffen

"Individuelle oder kollektive Selbstverteidigung", das bedeutet: Greift ein Staat mit Würmern und Trojanern an, riskiert er eine Vergeltung durch Kampfjets oder andere militärische Einheiten. Die Bundesregierung hat sich bislang nicht so klar geäußert. Die Vereinigten Staaten hatten Mitte 2011 erklärt, dass man auf einen Cyber-Angriff auch mit konventionellen Waffen reagieren wolle, Details soll eine neue Sicherheitsdoktrin regeln. Ein Pentagon-Sprecher sagte dem Wall Street Journal: "Wer die Stromnetze unseres Landes sabotiert, muss mit Raketen im Schornstein rechnen."

Einige Sicherheitsexperten warnen vor einem inflationären Gebrauch des Begriffs "Cyber-Krieg". Oft sei nicht klar zu unterscheiden, welche Angriffe Kriminalität, Terror oder Auseinandersetzungen zwischen Staaten zuzurechnen sind. Zudem ist bislang nicht definiert, ob beispielsweise Wurm-Attacken überhaupt als bewaffnete Angriffe im Sinne des Kriegsrechts gelten. Juristen wie Cordula Droege vom Internationalen Komitee vom Roten Kreuz plädieren für eine Einstufung mit Blick auf die Wirkung eines Angriffs: "Sicher kann man von einem bewaffneten Angriff sprechen, wenn Menschen zu Schaden kommen, auch wenn sie nur verletzt werden. Ebenso besteht Einigkeit darüber, dass die Zerstörung oder Beschädigung von Sachen darunter fällt."

Bundesregierung sieht "geringe Wahrscheinlichkeit" eines Angriffs

Mit einer derart schweren Offensive gegen Deutschland rechnet die Bundesregierung momentan allerdings nicht. "Die Bundesregierung beurteilt (...) die Wahrscheinlichkeit, dass ein Cyber-Angriff auf Deutschland erfolgt, der für sich genommen die Schwelle zum bewaffneten Angriff überschreitet, gegenwärtig als eher gering", heißt es in dem 35-seitigen Bericht.

Grundsätzlich nehme die Bedrohung durch staatlich gesteuert Cyber-Attacken aber zu. Die Angriffe könnten auch über bewegliche Datenträger ausgeführt werden. "Damit sind selbst bislang vom (offenen) Internet als sicher abgetrennt vermutete IT-Systeme wie Industrieproduktionsstätten, kritische Infrastrukturen oder grundsätzlich auch militärische waffensystemspezifische Netze verwundbar", stellt der Bericht fest. Nun hat sich Schadsoftware schon vor Jahrzehnten über Disketten verbreitet - neu sind Angriffe über "bewegliche Datenträger" also nicht gerade. Allerdings hat der Stuxnet-Wurm gezeigt, dass Schadprogramme per USB-Stick erfolgreich in abgeschirmte Netze gebracht werden können.

Bundeswehr trainiert Cyber-Krieger

In dem Regierungsbericht heißt es, für die Zukunft sei davon auszugehen, dass militärische Konflikte zunehmend über Internet-Attacken ausgetragen würden: "Gerade in Konfliktsituationen sind Angriffe im und durch den Cyber-Raum besonders zu erwarten."

"Dem Cyber-Raum wird somit zunehmend operative Bedeutung bei militärischen Auseinandersetzungen aller Art zukommen." Ausschließlicher Austragungsort eines Krieges werde das Internet auf absehbare Zeit allerdings nicht sein. Gleichwohl könnten Cyber-Angriffe in Kombination mit konventionellen Mitteln eine sehr hohe Bedrohung darstellen, auf die sich die Bundeswehr einstellen müsse. Die Armee nutze großteils kommerziell verfügbare Systeme wie Microsoft, deren Schwachstellen ein Angreifer ausnutzen könne. Auch menschliches Fehlverhalten und extremistische Innentäter stellten eine Gefahr dar.

Die Bundeswehr wappnet sich seit geraumer Zeit gegen Cyber-Attacken und verfügt seit Dezember 2011 über Experten, die selbst Angriffe im Internet starten können. Der Einsatz der Armee im Cyberspace unterliegt dabei den gleichen verfassungsrechtlichen Voraussetzungen wie jeder andere Streitkräfteeinsatz.

ore/lis/Reuters