Wien – Früher sind die Entscheidungen leichter gefallen: Wenn fremde Truppen angegriffen haben, hat es keiner formellen Kriegserklärung bedurft, wenn man das Militär zur Abwehr einsetzen wollte. Aber in den heutigen Kriegen kann man nicht einmal die angreifenden Truppen eindeutig zuordnen – bei einem über das Internet getragenen Angriff, gibt es sie gleich gar nicht.
Verwundbare Strukturen – weltweit und in Österreich
Wenn die elektronisch vernetzte Infrastruktur eines Landes attackiert wird, dann merken es die Angegriffenen nicht einmal sofort – im aktuellen Buch "Smart Cities im Cyber War" (Westend-Verlag) setzt sich Florian Rötzer ausführlich mit der Verwundbarkeit der modernen Infrastruktur auseinander; und mit dem Problem, das die Akteure damit haben, den Feind zu identifizieren: 2020 seien bereits fünf Milliarden Menschen, 60 Prozent der Weltbevölkerung, online und 50 Milliarden Geräte mit dem Internet verbunden, das wären pro Person zehn. "Die Zahl der Angriffspunkte steigt entsprechend an, ein schwach geschütztes Gerät oder ein durch Social Engineering übertölpelter Benutzer kann prinzipiell einen unbefugten Zugang auf Systeme oder Datenbanken mit weitreichenden Folgen eröffnen."
Genau mit solchen Problemen waren die Akteure eines Planspiels an der Wiener Landesverteidigungsakademie, alle Beübten waren hochrangige Entscheidungsträger, in den vergangenen Tagen konfrontiert – Wolfgang Schwabl von A1 merkte erst im Lauf der von der European Defence Agency organisierten Übung, dass der auf die österreichische Infrastruktur gerichtete Angriff mit einer auf einem von seinem Unternehmen gehosteten Website eines Drittstaates zu tun hatte.
Komplexe Szenarien durchgespielt
Den österreichischen Reaktionen im Planspiel wurde von der European Defence Agency jedenfalls ein gutes Zeugnis ausgestellt. Roland Ledinger vom Bundeskanzleramt sagte nach der Übung: "Wir haben erstmals ein Szenarium durchgespielt, das auch den Defence-Fall umfasst hat. Diese Szenarien sind komplex, aber realitätsnah. Dabei hat sich gezeigt, dass die Strukturen funktionieren." Aber es gebe Verbesserungsbedarf.
Und Brigadier Helmut Habermayer, oberster IT-Chef des Bundesheeres, stieß rasch an "die Kernfrage: Wann darf das Militär im Cyberspace aktiv werden?" Denn eigentlich ist ein Einsatz des Bundesheeres nur im Verteidigungsfall vorgesehen.
Wann ist eigentlich Verteidigungsfall?
Aber ob der überhaupt eingetreten ist, merkt man in der Realität (und merkten auch die Übungsteilnehmer) erst mit Verzögerung. Schließlich sind technische Probleme oder ein krimineller Hackerangriff eben kein Anlass für militärisches Eingreifen.
Habermayer jedenfalls wünscht sich mehr Befugnisse für das Bundesheer bei der Abwehr von Angriffen aus dem Internet – "derzeit ist uns ja nicht einmal ein Hack-Back erlaubt." Was allerdings ein eigenes Verfassungsgesetz notwendig machen würde.
Die besten Hacker auf der richtigen Seite
Die nötige Kapazität, sprich: geeignete Cybersoldaten, habe das Bundesheer, jedes Jahr meldeten sich rund 350 Absolventinnen und Absolventen einschlägiger Schulen zum Militär. Habermayer: "Die besten Hacker sollten auf der richtigen Seite stehen."
Ein wesentliches bei der Übung identifiziertes Problem: Entscheidungsträgern in Politik und Verwaltung bei einem Cyberangriff die Lage und ihre Handlungsoptionen verständlich zu machen. (Conrad Seidl, 17.9.2015)