Vor welche Herausforderungen stellt uns die Digitalisierung im Bereich Cyber Defense? Wir haben mit Klaus-Hardy Mühleck, Leiter der Abteilung Cyber und Informationstechnik (CIT) beim Verteidigungsministerium, über den Schutz von IT-Systemen, Cyber-Abwehr und Krypto-Sicherheit gesprochen.
Sehr geehrter Herr Mühleck, Sie sind Leiter der Abteilung Cyber und Informationstechnik (CIT) beim Verteidigungsministerium. Für diejenigen, die noch nichts von dieser vergleichsweise jungen Abteilung gehört haben: Welche Aufgaben hat die CIT?
- Die Schaffung der neuen Abteilung Cyber und IT zielt auf eine stringente Bündelung der Verantwortlichkeiten für den Cyberraum und die Informationstechnologie ab.
- Wir sind verantwortlich – in Breite und Tiefe – für
- Beiträge zu Cyberpolitik und –strategie in Kooperation mit den anderen Ressorts
- über strategische Steuerung der IT des Geschäftsbereiches BMVg
- bis hin zur technischen Projektumsetzung von IT- und Cyberprojekten.
- Strategische Steuerung BWI
- Internationale Kooperation im Bereich Cyber/IT: NATO und EU, Pflege bilateraler Beziehungen
- Vertrauensbildende Maßnahmen Cyber in VN und OSZE in Zusammenarbeit mit Auswärtigem Amt
Sie blicken auf eine Karriere in internationalen Großunternehmen wie ThyssenKrupp, Volkswagen und Daimler zurück. Was hat Sie dazu bewogen, ins Bundesverteidigungsministerium zu wechseln?
In der Tat kann ich auf eine spannende Karriere bei den größten deutschen DAX-Konzernen zurückblicken. Die dort gesammelten Erfahrungen kann ich im öffentlichen Sektor, vor allem in der Bundeswehr, bei der Umsetzung der digitalen Transformation einbringen. Das tue ich nun bereits seit über einem Jahr.
Verteidigungsministerin Ursula von der Leyen bezeichnet IT als eine „Kernressource“ der Bundeswehr. Inwieweit macht sich das bereits heute innerhalb der Bundeswehr bemerkbar und in welchen Bereichen werden wir in den kommenden Jahren die größten Veränderungen sehen?
Für uns gibt es drei eng miteinander verknüpfte Handlungsfelder:
- Digitalisierung des Geschäftsbereiches: Wie jede Institution muss sich auch die Bundeswehr mit den Herausforderungen der Digitalisierung beschäftigen. Dabei stehen Schlagworte wie Service-Orientierung, Erweiterung und Modernisierung des IT-Portfolios oder Anpassung der unterstützenden Geschäftsprozesse im Vordergrund. Dabei ist immer die frühe Berücksichtigung von Cybersicherheits-Aspekten relevant. Auch die Aus- und Weiterbildung von Mitarbeitern spielt eine große Rolle bei der Digitalisierung. Mit der BWI als unserem strategischen Partner haben wir diesen Prozess erfolgreich begonnen und werden diesen – gemeinsam mit den anderen Ressorts – in den nächsten Jahren kontinuierlich fortsetzen.
- Digitalisierung des Gefechtsfeldes: Die technologischen Entwicklungen wirkt sich in stetig zunehmendem Maße auch auf militärische Fähigkeiten aus. Heutzutage kommt kein Waffensystem mehr ohne digitale Sensorik, Netzwerke und entscheidungsunterstützende Computersysteme aus. Lagebilder stehen in modernen Gefechtsständen in Echtzeit zur Verfügung. Auch die Einbindung moderner IT-Systeme in den militärischen Planungs- und Entscheidungsprozess hat die Einsatzfähigkeit moderner Streitkräfte deutlich erhöht. Die schnellen Innovationszyklen der Informationstechnologie und zunehmende Verfügbarkeiten moderner Technologie in den Konfliktregionen werden die notwendigen Veränderungen für die Bundeswehr weiter treiben.
- Zunehmende sicherheitspolitische Bedeutung des Cyberraums: Während des NATO-Gipfels 2016 haben die Nationen Cyber als neue Dimension der Operationsführung anerkannt. Dieser Beschluss stellt die konsequente Folgerung aus der jüngsten Vergangenheit dar, in welcher bewaffnete Konflikte zunehmend im Cyberraum ausgetragen, durch Cyberangriffe eingeleitet oder begleitet wurden. Da immer mehr Staaten, aber auch nichtstaatliche Akteure sowie Gruppen organisierter Kriminalität, Fähigkeiten zu Computer-Netzwerkoperationen entwickeln, wird deren Einsatz auch im Rahmen von Konflikten zunehmen.
In den nächsten Jahren wird die technologische Entwicklung weiter Einfluss auf militärische Fähigkeiten nehmen. Potentiell disruptive Technologien wie Künstliche Intelligenz, Machine Learning in Verbindung mit Big Data, oder 3D-Druck, Quantencomputer werden zunehmend Einzug in die Fähigkeitsportfolios von staatlichen und nichtstaatlichen Akteuren haben. Heute arbeiten mehr als 100 Staaten weltweit an der Erlangung von Cyberfähigkeiten oder besitzen diese bereits. Zwischen- und innerstaatliche Konflikte werden sich dadurch weiter im Charakter verändern.
Durch diese Entwicklungen ist absehbar, dass die in Deutschland verankerte Trennung zwischen Innerer und Äußerer Sicherheit in Bezug auf Cyber-Bedrohungen unschärfer wird. Mit der Einrichtung des Cyberabwehr- zentrum in Deutschland sind die ersten Schritte gegangen worden, um diesen Herausforderungen in einem gesamtstaatlichen Ansatz ressortübergreifend zu begegnen.
Die potentiellen Bedrohungen im, durch oder gegen den Cyberraum werden ein neues Bewusstsein für das Potential und die mögliche Gefahren des Cyberraums in der Bevölkerung und in unserer Bundeswehr erzeugen.
Was ist für Sie aktuell die größte Herausforderung beim Aufbau der neuen Abteilung?
Ziel meiner Abteilung ist es, die Bundeswehr mit den Fähigkeiten der Zukunft auszustatten. Das bedeutet nichts weniger als die Voraussetzungen für die digitale Transformation zu schaffen, sowohl in den Streitkräften, also Luftwaffe, Heer und Marine, als auch in den anderen Bereichen, wie der Verwaltung oder der Sanität.
Das erfordert eine umfangreiche Weiterentwicklung unserer IT und unserer Geschäftsprozesse. Die Digitalisierung muss ganzheitlich gedacht werden. Nur wenn wir alle an einem Strang ziehen, können wir uns erfolgreich der digitalen Transformation stellen.
Das Thema Cyber-Sicherheit betrifft Privathaushalte, Unternehmen und die Regierung gleichermaßen. Vielerorts fehlt allerdings noch das Bewusstsein für die Gefahren aus dem digitalen Raum. Worauf führen Sie das zurück?
Ich bin immer wieder überrascht über das mangelnde Sicherheitsbewusstsein im Umgang mit IT. Selbstverständlich schnallen wir uns im Auto an, diskutieren über eine Helmpflicht bei Fahrradfahrern, schließen unsere Türen ab und investieren in Haussicherheitstechnik. Bei der IT hört das aber alles auf. Für viele Menschen kommt das Internet wie der Strom aus der Steckdose. Sie stehen ohnmächtig gegenüber der gewaltigen technischen Komplexität und auch gegenüber dem dahinter verborgenen Bedrohungspotenzial.
Ein Gerät, das sich zum Internet verbindet, lässt sich nun mal auch potenziell kompromittieren. Privathaushalte, Unternehmen und die Regierung trifft die Gefahren aus dem digitalen Raum dabei nicht in gleicher Weise. Im Bewusstsein der Privathaushalte ist beispielsweise die Gefahr des Versagens angegriffener digitalisierter Verwaltungen weniger präsent, als jene der Cyber-Kriminalität, wenngleich kompromittierte IoT in Privathaushalten sehr wohl Teil einer Denial of Service Attacke auf die Verwaltung sein kann. Sichere Endgeräte in Privathaushalten sind dabei vergleichbar mit der individuellen Schutzimpfung, die zwar auch das Individuum, insbesondere aber die Gesellschaft schützen soll.
Da hilft nur vorsichtige und einfühlsame Bewusstseinsbildung (Cybersecurity Awareness), die die Menschen auch nicht überfordern darf – und vielleicht auch der Hinweis, dass basale Dinge des Miteinanders womöglich auch keiner Digitalisierung bedürfen.
„Der Angriff, der aus dem Kühlschrank kam“ titelte Zeit Online im Oktober 2016. Wird die zunehmende Verbreitung des Internet of Things langfristig zum Problem oder bedarf es nur wirksamer Schutzmechanismen?
Auch wenn wir bereits heute von einer digitalen Welt sprechen und glauben, in einer voll-vernetzten Gegenwart zu leben, zeichnet sich ein Bild der Zukunft ab, welches unsere Vorstellungskraft zum jetzigen Zeitpunkt überschreitet. 2009 soll es weltweit zirka 2,5 Milliarden vernetzte Geräte gegeben haben. Wenn die Prognosen zutreffen, werden wir bis 2020 bereits 30 Milliarden Geräte im Netz der Dinge sehen, mit weiterhin exponentiellem Wachstum. Die preiswerte Fertigung und die zunehmend umfangreichere Intelligenz auch kleinerer elektronischer Geräte verursachen den zunehmenden Einbau und die Verwendung in technischen Anlagen, aber auch in Haushalten. Die Sensorik in einem Triebwerk eines Verkehrsflugzeuges generiert bereits heute pro Flug bis zu 500 Gigabyte an Daten, welche im Rahmen der „predictive Maintenance“ wertvolle Erkenntnisse über Abnutzungen und potentielle Folgefehler liefern können.
Im Zusammenhang mit der zunehmenden Ausbreitung von Sensorik und Computersystemen in unserem Alltag spielt die Bedeutung von Big Data Analytics bei der Auswertung, Aufbereitung und Verarbeitung der Unmengen von Daten eine wichtige Rolle (Stichwort „Omnipresent Sensing“). Hieraus ergeben sich zahlreiche Vorteile und ein großes Potential. Das prognostizierte Marktvolumen für „Internet of Things“ wird die Entwicklung in diesem Bereich weiter vorantreiben. Auch für das Militär gibt es eine breite Palette an möglichen Verwendungs- zwecken.
IoT ist aber bereits heute ein Problem, da sich längst Abermillionen solcher Komponenten mit unzureichenden oder keinen Sicherheitsstandards 24/7 im täglichen Gebrauch befinden. Und es ist ein langfristiges Problem, da diese Komponenten oftmals eine lange Lebensdauer haben – sie sind Teil der Gebäudeautomation, der Infrastruktur, des öffentlichen und des privaten Lebens. Der von Ihnen zitierte Kühlschrank gehört eben auch dazu. Man könnte hoffen, Hersteller würden der Cyber-Sicherheit ihrer Produkte eine ähnlich große Aufmerksamkeit widmen, wie sie dies bei Arbeitsschutz und Umweltverträglichkeit ihrer Produkte tun.
Der Aspekt der Cybersicherheit im Internet of Things darf also nicht vergessen werden. Der vergleichsweise technisch leicht umsetzbaren Ausstattung beliebiger technischer Geräte mit Netzwerkfunktionalität, z. B. für Smart-Home Anwendungen, stehen die Gefährdungen gegenüber, die sich ergeben, wenn dabei keine oder unzureichende Sicherheitsvorkehrungen getroffen werden. Unter anderem müssen insbesondere für diese Geräte die Prinzipien „security by design“ und „security by default“ Anwendung finden. Ebenso ist die Versorgung der Geräte mit Sicherheits-Updates über ihre Lebensdauer durch die Hersteller zu gewährleisten.
Hierfür beschäftigen sich verschiedenste Gremien wie beispielsweise die Europäische Union, mit den notwendigen Grundlagen (z.B. durch konsequente Standardisierung und rechtliche Rahmenbedingungen, hier Haftungsprinzip). Von diesen Fortschritten wird auch die Cybersicherheit im Geschäftsbereich BMVg profitieren. Wie Sie sich vorstellen können, haben wir hohe Anforderungen an die Sicherheit, speziell auch die Cybersicherheit, für die in der Bundeswehr eingesetzte Technologie.
Es wird schwierig sein, hier global gültige Sicherheitsstandards durchzusetzen und deren Umsetzung wirksam zu überwachen. Parallelen zum von mir schon genannten Arbeitsschutz und zur Umweltverträglichkeit können aber der Hoffnung Auftrieb verschaffen. Hier wurde über Normsetzung – auch national – vieles erreicht. Insbesondere den Konsumgütern und Produkten im Bereich der Unterhaltungselektronik, die mit dem Ziel des schnellen Umsatzes schnell auf den Markt gebracht werden, kommt hier eine Schlüsselrolle zu, einerseits, weil es die Masse der Geräte ausmacht, andererseits, weil sie oft auch schnell wieder in der Obsoleszenz verschwinden und durch aktuellere Geräte ersetzt werden.
Der Schutz von IT-Systemen, Cyber-Abwehr und Krypto-Sicherheit gewinnen bei der Bundeswehr zunehmend an Bedeutung. Werden sich die „Kriege der Zukunft“ nur noch im virtuellen Raum abspielen?
Der Einfluss der zunehmenden Vernetzung und Technologisierung hat natürlich einen Einfluss auf den Charakter von Konflikten. Der Cyberraum wird zunehmend als Unterstützung für die Austragung traditioneller Konflikte genutzt (Beispiele: Nutzung von sozialen Medien, Cyberangriffe). Im zurückliegenden Jahrzehnt konnte außerdem beobachtet werden, wie bestimmte Vorteile des Internets genutzt wurden, um Konflikte zunächst dort auszutragen, bevor diese sich in traditionellen, bewaffneten Auseinandersetzungen manifestierten (z.B. Ukraine-Konflikt, Arab Spring, Syrien). Es gab auch Beispiele, wie Konflikte ausschließlich im Cyberraum stattfanden, ohne sich in einen realen Konflikt zuzuspitzen (Beispiel Cyberangriffe 2007 auf Estland).
Für mich steht fest, dass die Nutzung des Cyberraums zu einer festen Größe in Konflikten und militärischen Auseinandersetzungen geworden ist. Die taktischen und strategischen Vorteile durch effektive Nutzung von Cybereffekten wird in den nächsten Jahren zunehmen. Wir werden auch immer wieder Beispiele von Konflikten sehen, welche sich ausschließlich auf den Cyberraum beschränken. Allerdings wird sich meiner Einschätzung nach der Großteil der Konflikte weiterhin auch eine konventionelle Komponente beinhalten. Staaten werden situativ immer die Mittel einsetzen, welche den größten eigenen Nutzen bei gleichzeitiger Minimierung potentieller Risiken versprechen.
Die Bundeswehr hat sich auf die zunehmende Bedeutung der Dimension Cyber eingestellt. Organisatorisch haben wir mit der Schaffung des neuen Organisationsbereiches wichtige Prioritäten gesetzt.
Wandelt sich durch diese Entwicklung langfristig auch das Berufsbild des Soldaten?
Das „Berufsbild des Soldaten“ bündelt normative, funktionale und politische, organisationsbezogene sowie individuelle Parameter, die das Soldatsein und den Soldatenberuf kennzeichnen. Es wandelte sich in der Vergangenheit ständig, wenn sich der militärische Auftrag und seine gesellschaftliche Wahrnehmung änderten, daher wird auch diese (o.a.) Entwicklung dazu beitragen.
Die mit der Aufstellung der Abteilung Cyber- und Informationstechnik (CIT) im Bundesministerium der Verteidigung (BMVg) und des militärischen Organisationsbereiches Cyber- und Informationsraum (CIR) aufwachsenden Aufgaben und Tätigkeiten zur gesamtstaatlichen Cyber-Sicherheitsvorsorge Deutschlands, aber auch die zunehmende Digitalisierung und Vernetzung stellen insgesamt hohe fachliche Anforderungen an das Cyber- und IT-Personal der Bundeswehr. Die fachliche Ausbildung und Qualifizierung dieses Personals wird aufgrund der rasanten Entwicklung technischer Standards in kürzeren Zyklen angepasst. Die Entwicklung – auch im zivilen Bereich – hat gezeigt, dass der Fortschritt in der digitalen Branche innerhalb von wenigen Jahren zu ganz neuen, oftmals hochspezialisierten Tätigkeitsprofilen geführt hat. Aufgrund der begrenzten Halbwertzeit ist die Bereitschaft vonnöten, sich ständig weiterzubilden. All dies spiegelt sich in der Lebenswelt der soldatischen Wirklichkeit wider und wird somit auch sein Berufsbild wandeln.
Wo lauern derzeit die meisten Bedrohungen im digitalen Raum und wie ist die Bundeswehr im internationalen Vergleich im Bereich Cyber Defense aufgestellt?
Das Feld der relevanten Akteure im Cyberraum ist unglaublich divers, dadurch ergibt sich ein vielschichtiges Modell von Interessen, potentiellen Risiken und Zielen. Es reicht von staatlichen Akteuren, quasi staatlichen Akteuren und organisierter Kriminalität über terroristische Zellen bis hin zu Black-Hat-Hackern. Es muss auch sorgfältig zwischen den eingesetzten Mitteln und den Absichten unterschieden werden. In den zurückliegenden Jahren ist dabei eine zunehmende Komplexität und Intensität der Angriffe festzustellen. Dabei werden spezialisierte, zielgerichtete und schwer beziehungsweise spät erkennbare Angriffsmuster, die sich aus einer Vielzahl von Einzelaktionen, gestreckt über einen langen Zeitraum zusammensetzen, immer häufiger. Diese werden unter dem Begriff der Advanced Persistent Threats (APT) zusammengefasst und ihnen wird derzeit das größte Schadpotenzial zugesprochen. Die Feststellung der Identitäten, Zugehörigkeiten und Absichten der Täter ist insgesamt eine große Herausforderung (hier: Attributionsproblematik).
Im Bereich der quasi-staatlichen Akteure sind insbesondere organisierte Gruppen zu nennen, die aufgrund ihrer Größe und ihrer finanziellen Möglichkeiten in der Lage sind, Fähigkeiten im Cyber-Raum abzubilden, die den Fähigkeiten staatlicher Akteure ähneln. Dies betrifft Fähigkeiten im Bereich der Informationssammlung beziehungsweise Nachrichtengewinnung genauso wie die Erzielung von Effekten im Cyber- und Informationsraum. Neben der Erbringung von Dienstleistungen für staatliche oder nicht-staatliche Akteure steht bei diesen quasi- staatlichen Akteuren insbesondere die Förderung der eigenen wirtschaftlichen, gesellschaftlichen wie politischen Einflusssphäre im Fokus.
Der grenzenlose Charakter des Cyberraums und die niedrigen Einstiegskosten begünstigen für viele Akteure den Einstieg in Cyberaktivitäten. Schadsoftware („Malware“) und detaillierte Beschreibungen zur Ausnutzung von Sicherheitslücken („Exploits“) sind die Voraussetzungen für eigene Cyber-Effekte. Bereits heute sind diese im Cyberraum erhältlich und begünstigen Cyber-Angriffe. Gleichzeitig ermöglicht die Analyse dieser Verbreitungswege grundsätzlich die Kartographierung von Akteursnetzwerken sowie der zu erwartenden Angriffsvektoren.
Als militärische Organisation wird unsere Cybersicherheit durch viele dieser Akteure nahezu täglich herausgefordert. Dabei ist die Kooperation mit Verbündeten weltweit ein richtiger und wichtiger Schritt, diesen Bedrohungen gegenüber zu treten.