Details zur militärischen Cyberabteilung Milcert gelten als hochsensibel. Als der FPÖ-Abgeordnete Mario Kunasek im Dezember 2012 vom damaligen Verteidigungsminister Norbert Darabos (SPÖ) wissen wollte, welche Aufgaben Milcert zugeteilt wurden und welches Budget der Abteilung zur Verfügung steht, schwieg das Verteidigungsministerium. Aus Gründen der "Geheimhaltung im Interesse der umfassenden Landesverteidigung" könne Darabos keine einzige der Fragen der freiheitlichen Politiker beantworten, schrieb das Ministerium damals.

Noch heute ist es so, dass Journalisten, die einen der seltenen Einblicke in die Abteilung erhalten, deren Mitglieder nur anonymisiert zitieren dürfen. Wer sich im Netz umsieht, stößt jedoch rasch auf viele Informationen zu Milcert-Mitarbeitern – die von ihnen selbst online gestellt wurden. Diese sind auf Karriereplattformen wie Xing oder LinkedIn vertreten. In ausführlichen Profilen dokumentieren sie dort öffentlich einsehbar, welche Fähigkeiten sie besitzen.

Ein Bereichsleiter schlüsselt etwa genau auf, welche Kurse er in den vergangenen Jahren belegt hat – beispielsweise "Reverse Engineering Malware" oder "Web App Penetration Testing and Ethical Hacking".

Als "freier Consultant" tätig

Ein "Gründungsmitglied" und "Mitglied des IT-Sicherheitskonzept-Teams" gab sogar an, als "freier IT-Sicherheitsconsultant" tätig zu sein. In seinem Lebenslauf, den er offenbar für eine Konferenz im Jahr 2013 verfasste, bei der er als Sprecher auftrat, und der online leicht auffindbar ist, schreibt er, dass er 2006 dafür verantwortlich war, die Software des Eurofighters mit den IT-Sicherheitssystemen des Bundesheers zu verknüpfen.

Das gilt als besonders sensibler Softwarebereich, laut Verteidigungsministerium werden Teile dieses Wissens als "geheim" – also mit der hierzulande höchsten Geheimhaltungsstufe – klassifiziert.

Der Militärexperte Gerald Karner, der bis 2005 im Rang eines Brigadiers beim Heer tätig war, nennt ausführliche Lebensläufe und Einblicke in sozialen Medien bei Mitarbeitern derartiger Bereiche "hochproblematisch" . Wenn damit, auch unbeabsichtigt, ein Transfer sensiblen Know-hows zu befürchten sei, müsse man eine derartige Präsentation laut Karner unterbinden.

Nebenjobs müssen lediglich "gemeldet" werden

Das Verteidigungsministerium gibt auf Anfrage des STANDARD an, dass Nebentätigkeiten nur für Angehörige von Abwehramt und Heeresnachrichtenamt untersagt seien. Bei allen anderen Mitarbeitern des Bundesheers gelte die Weisung, dass eine Nebenbeschäftigung "bei der Dienstbehörde zu melden ist". Als das Milcert-Gründungsmitglied in seinem Lebenslauf von freiem Consulting schrieb, war Milcert jedoch noch Teil des Abwehramts – deshalb wurde die parlamentarische Anfrage damals auch mit Verweis auf die nationale Sicherheit nicht beantwortet.

Nun, da die Cyberabteilung dem Führungsunterstützungszentrum untergeordnet ist, das Aufgaben für die oberste Ebene des Bundesheers erfüllt, müssen dessen Mitarbeiter laut Verteidigungsministerium ihre Nebentätigkeiten lediglich "melden". Auch gelten für ihre Aktivitäten in sozialen Medien "dieselben Regeln wie für alle anderen Bundesheerangehörigen".

Reinhard Bösch, der die Agenden als freiheitlicher Wehrsprecher von Mario Kunasek übernommen hat, bezeichnete es im Gespräch mit dem STANDARD als "nicht akzeptabel", dass "in sozialen Medien derart unbedarft mit solchen Informationen umgegangen wird". Bösch fordert, dass strengere Geheimhaltung nicht nur bei den Geheimdiensten, sondern auch bei "neu geschaffenen Einheiten mit derart sensibler Materie" gelten muss.

Geheimdienste nutzen auch öffentlich zugängliche Informationen, um zu spionieren. Derartige Daten werden im Jargon als "Osint" bezeichnet.

Für militärische und geheimdienstliche Einrichtungen stellen die Social-Media-Aktivitäten ihrer Soldaten und anderer Mitarbeiter zusehends ein Problem dar. So hielten 2009 etwa die Social-Media-Aktivitäten des designierten MI6-Chefs Paul Sawer Großbritannien in Atem. Dessen Frau postete auf ihrem öffentlich einsehbaren Facebook-Profil nicht nur Fotos des künftigen obersten Spions im Badeslip, sondern verriet auch die gemeinsame Wohnadresse.

Während Erstes eher peinlich war, stellte das Publikwerden der Adresse ein größeres Sicherheitsrisiko dar. Nachdem die Informationen – darunter Gratulationen an "Onkel C" zum neuen Job – entfernt worden waren, konnte Sawer seinen Dienst dennoch antreten, er blieb bis 2014 im Amt.

Die US-Armee warnte Soldaten im Dezember 2014 wiederum, dass ihre Profile in sozialen Medien von Jihadisten analysiert werden könnten. Diese wären dann in der Lage, gezielte Anschläge auf US-Militärangehörige durchzuführen. "Taucht bei ihnen zu Hause auf und schlachtet sie ab", forderten Führungspersonen der Terrormiliz "Islamischer Staat" damals ihre Anhänger auf. Ein ehemaliger Air-Force-Pilot und dessen jugendlicher Sohn sollen zuvor ins Visier von Jihadisten geraten sein und eine Vielzahl an beleidigenden E-Mails und Nachrichten erhalten haben.

Offene Informationen werden aber nicht nur von Nachrichtendiensten, sondern auch von Journalisten ausgewertet. Die Investigativplattform Bellingcat konnte anhand der Social-Media-Aktivitäten russischer Soldaten etwa deren Aktivitäten in der Ostukraine nachweisen. Dabei wurde der Hintergrund von Fotoaufnahmen, die die Soldaten online gestellt hatten, analysiert.

NSA-Mitarbeiter zu offen

Der Spiegel konnte hingegen nach den NSA-Enthüllungen Edward Snowdens zahlreiche US-Spione identifizieren, die in Deutschland stationiert und auf Karriereplattformen wie LinkedIn vertreten waren. Mitarbeiter von Geheimdiensten wie der NSA plauderten damals öffentlich über ihre Tätigkeiten als "Interceptor" oder "Sigint Analyst". Auf den Karriereplattformen findet man auch ehemalige US-Geheimdienstmitarbeiter, die ihren Dienst in Österreich versehen haben.

In Deutschland ärgerte sich der Bundesnachrichtendienst (BND) über ehemalige Mitarbeiter, die auf Xing vertreten waren. Einige davon gaben an, in dessen IT-Abteilung oder der "Fernmeldeabteilung", also dem Abhörbereich, gearbeitet zu haben.

Heimische Geheimdienste sind hier prinzipiell vorsichtiger. Sucht man nach Mitarbeitern des Heeresnachrichtenamts, des Auslandsgeheimdiensts des Bundesheers, findet man keine aktuellen Mitarbeiter auf Xing oder Linkedin. Dasselbe gilt für das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), das zum Innenministerium gehört.

Für Geheimdienste steht viel auf dem Spiel: Sie wollen ihre Interna schützen und auf jeden Fall vermeiden, dass Informationen nach außen dringen. Das Problem ist nicht komplett neu. Zwar gab es früher keine Social-Media-Profile, sehr wohl aber Nebentätigkeiten. Im Bereich der Technik oder etwa der Logistik soll es in der Vergangenheit laut Karner "immer" Personen gegeben haben, "die im Dienstverhältnis zum Verteidigungsministerium standen und versuchten, sich auf dem freien Markt verfügbar zu machen". Ein Problem im IT-Bereich ist, dass Privatunternehmen mit dem Bundesheer als Arbeitgeber konkurrieren. Das sei laut Karner "schwierig", da diese Jobs auf dem freien Markt oftmals hoch bezahlt werden. Deshalb gebe es etwa auch für Piloten beim Bundesheer Sonderverträge.

Konkurrenz mit Privatwirtschaft

Joe Pichlmayr ist Geschäftsführer der IT-Sicherheitsfirma Ikarus und Organisator der "Cyber Security Challenge", mit der junge Talente auch mit dem Bundesheer vernetzt werden. Im Gespräch mit dem STANDARD spricht Pichlmayr "definitiv von einem Engpass". "Diesen Bedarf an gut ausgebildeten IT-Fachkräften hat ja nicht nur die öffentliche Hand, sondern auch die Wirtschaft", sagt Pichlmayr. Der freiheitliche Wehrsprecher Bösch fordert, dass "diese Experten angemessen bezahlt werden". Denn diese "erfüllen im Notfall grundlegend wichtige Aufgaben." Allerdings wirbt etwa auch der Verfassungsschutz um talentiertes IT-Personal.

Pichlmayr, der eng mit dem Heer zusammenarbeitet, denkt aber, dass mit dem Angebot eines Cybergrundwehrdiensts eine "clevere Langzeitstrategie" entwickelt worden ist. Diese "Cyberrekruten" haben erstmals in der zweiten Jahreshälfte 2014 ihren Dienst angetreten. Das Angebot entstand einerseits in dem Bemühen, den Grundwehrdienst attraktiver zu gestalten, andererseits sollen so etwa HTL-Absolventen mit den Cyberabteilungen des Heeres in Berührung kommen. Schwierige Aufgaben dürfen diese Rekruten nicht ausführen.

Sie sollen etwa nicht bei der Analyse von Schadcode zum Einsatz kommen – was eine der Hauptaufgaben von Milcert ist. "Dem Einsatz von Grundwehrdienern in diesen Bereichen widerspricht die kurze Nutzungsdauer von maximal vier Monaten bei einem unverhältnismäßig hohen Einarbeitungsaufwand", argumentierte das Abwehramt 2014 im Bundesheermagazin Truppendienst.

Deshalb soll künftig eine "Cybermiliz" entstehen, die eine engere Verzahnung von Privatwirtschaft und Bundesheer ermöglicht. "In seinem späteren Berufsleben würde bei einer einschlägigen Spezialisierung im Beruf die bereits gewonne Praxis in der Cyberdefence sicherlich als Vorteil gegenüber 'normalen' Absolventen anerkannt werden", argumentierte das Abwehramt.

Die Milizsoldaten sollen etwa an militärischen Übungen teilnehmen, bei denen Österreich im Cyberbereich mit der Nato kooperiert. Der Vorteil für das Bundesheer wäre laut Abwehramt die "Erhöhung der Anzahl an verfügbaren Cyberexperten – bei vergleichsweise niedrigen Personalkosten".

Kooperation mit Wirtschaft

In anderen Ländern ist die Kooperation zwischen Privatunternehmen und Militär im IT-Bereich schon stärker fortgeschritten. In den USA herrscht etwa eine starke personelle Fluktuation zwischen Konzernen wie Booz Hamilton oder Northrup und Geheimdiensten wie der NSA. So war auch NSA-Whistleblower Edward Snowden als eine Art "Leiharbeiter" für die US-Abhörbehörde tätig, angestellt war Snowden bei Booz Hamilton.

Kritiker warnen hier vor der Entstehung eines "militärisch-digitalen Komplexes", der sich der Kontrolle durch die Öffentlichkeit entzieht. Der Journalist und Autor Shane Harris warnte im Gespräch mit dem STANDARD bereits 2015 vor "privaten Quasi-Geheimdiensten". Er meinte damit "IT-Konzerne, die oft von ehemaligen NSA- oder FBI-Mitarbeitern gegründet worden sind."

In Österreich will das Verteidigungsministerium in den nächsten Monaten viel Geld in die Hand nehmen, um seine Cyberfähigkeiten auszubauen. Im Bereich der "Abwehr von Cyberbedrohungen" und der "nachrichtendienstlichen Abwehr" sind 26 Millionen Euro für Beschaffungen und Betriebskosten von 2,6 Millionen Euro pro Jahr veranschlagt.

Zusätzlich sollen 60 Millionen Euro für Neuerungen im Bereich der "Richtfunksysteme" und der "Flieger-Boden-Kommunikation" aufgewendet werden. Um Ressourcen für diesen Bereich konkurrieren aber nicht nur Bundesheer und Privatwirtschaft, sondern auch der Verfassungsschutz.

Einen Erfolg verzeichnete Milcert jedenfalls vergangenen Oktober. Damals konnte die Abteilung eine Sicherheitslücke in einem Microsoft-Produkt offenlegen. Das Heer freute sich, "einen Beitrag zur globalen Cybersecurity" geleistet zu haben. Derartige Lücken werden von Privatunternehmen begehrt, die sie für hohe Summen an Geheimdienste weiterverkaufen. Aber auch die Hersteller von Produkten wie Microsoft bieten Hackern Geldsummen an, wenn diese Schwachstellen in deren Produkten melden. Milcert konnte damals eine Schwachstelle in Microsofts Office-Produkt nachweisen und leitete diese an den US-Konzern weiter.

In nächster Zeit sucht das Heer mehr als 250 neue Mitarbeiter in seinen Cyberabteilungen. Bei der Jobsuche kooperiert das Heer schon seit Jahren mit Fachhochschulen, wo Mitarbeiter Vorträge über Cybersicherheit halten.

Die Profile der Milcert-Hacker auf Xing und LinkedIn sind jedenfalls auch nach der Anfrage beim Verteidigungsministerium noch abrufbar. Dort heißt es auf die Frage, ob dem Verteidigungsministerium Nebenjobs der Milcert-Mitarbeiter bekannt sind, lediglich: "Wenn diese gemeldet wurden: ja." (Fabian Schmid, Markus Sulzbacher, 1.4.2017)