Antiviren-Programme statt Panzerhaubitzen

Die Armee will mehr Ressourcen in Cyber- Verteidigung stecken. Das wird nicht viel bringen. Aber mit einem Antivirus-Programm kann man wenigstens niemanden töten. Von Andreas Weibel

Politikerinnen und Politiker von links bis rechts überbieten sich derzeit mit Forderungen, dass die Armee sich vermehrt auf Bedrohungen aus dem Internet ausrichten soll. Im vergangenen Juni unterzeichnete VBS-Chef Parmelin den «Aktionsplan Cyber Defense». Gleichzeitig fordern Motionen ein neues Kompetenzzentrum für Cyber Security und eine militärische Cyberdefence-Organisation. Eine erste Cyber- RS soll bereits dieses Jahr stattfinden. «Cyber» ist das Schlagwort der Stunde – auch wenn niemandem so ganz klar ist, was darunter zu verstehen ist.

Begriffswirrwarr
Das liegt auch daran, dass es zahlreiche unter schiedliche Definitionen von Cyberwar gibt: Soll die Armee primär sich selbst oder auch Private schützen? Geht es vor allem um die Ab wehr von Angriffen? Oder soll die Armee auch aktive Gegenmassnahmen ergreifen können? Ist eine gehackte Website bereits ein Akt des Cyberwar? Geht es auch um Informationskriegsführung und Beeinflussung «CYBERWAR» der öffentlichen Meinung durch fremde Staaten? Um gar um die Überwachung der Bürgerinnen und Bürger?

Dass die Armee auch alle Unternehmen und Privatpersonen vor Cyber-Angriffen schützen soll ist weder realistisch noch wünschenswert. Es braucht keine Soldaten, um den Computer- BenutzerInnen beizubringen, gute Passwörter zu verwenden, ihren Virenschutz aktuell zu halten und keine Dateianhänge von dubiosen AbsenderInnen zu öffnen. Und für komplexere Fälle sind ohnehin die zivilen Behörden zuständig. Das ist selbst der Armeespitze klar. Derzeit zielen die Vorhaben der Armee auch nicht in Richtung Informationskriegsführung und über die Überwachung der Bürgerinnen und Bürger wird in anderem Kontext diskutiert. Auch die Ideen zu den offensiven Kapazitäten des VBS klingen momentan beim genaueren Hinschauen relativ harmlos. Sollte die Armee jedoch plötzlich auch «Cyber-Waffen » wie Trojaner einsetzen wollen, müsste dem klar widersprochen werden.

Eine Firewall tötet nicht
Was übrig bleibt, ist ein Ausbau der Verteidigung gegen Angriffe auf die Armee selbst. Nach dem peinlichen Datenklau bei der bundeseigenen Rüstungsschmiede RUAG wird kaum jemand bestreiten, dass es hier Defizite gibt. Was sollen wir davon halten?

«L’armée, ça tue, ça pollue et ça rend con» lautet ein Slogen der GSoA in der Romandie: Die Armee tötet, sie verpestet und macht dumm. Für Cyberwar gilt das nur noch abgeschwächt. Antivirus-Programme, Firewalls und Distributed-Denial-of-Service-Attacken (auch DDoS-Attacken genannt) töten nicht. Desaströse Cyber-Angriffe auf Atomkraftwerke oder Stauseen gehören ins Reich der Science-Fiction: Kritische Infrastrukturen vor Hackern zu schützen ist banal, wenn man dafür sorgt, dass sie physisch nicht mit dem Internet verbunden sind und keine anderen angreifbaren Schnittstellen aufweisen.

IT-Infrastruktur benötigt zwar auch natürliche Ressourcen, aber wenn man dafür Panzerbataillone und Kampfjet-Geschwader einspart, gewinnt die Natur. Und die Armee wird sich hüten, ihre Cyber-Rekruten und IT-SpezialistInnen durch hirnlosen Drill wegzuekeln. Sollen wir uns deshalb über die Zuwendung der Armee zum Cyberspace freuen? Natürlich nicht, denn das Geld für die IT-Offensive des VBS könnte man an anderen Orten viel besser brauchen. Aber jede Handgranate, Panzerhaubitze oder Mörsergranate, auf die zugunsten eines Cyber-Spezialisten verzichtet wird, ist ein Sicherheitsrisiko weniger.

Was von der Cyber-Offensive des Militärdepartements schlussendlich übrig bleiben wird, steht ohnehin in den Sternen. Denn das VBS weiss noch nicht, woher es angesichts des Fachkräftemangels die benötigten Spezialist – Innen finden will. Denn wer will schon beim VBS arbeiten, wenn gleichzeitig ein lukrativeres und spannenderes Angebot von Google oder einer Startup-Firma lockt?