Wir haben junge Hacker gefragt, ob sie Deutschland im Cyberkrieg dienen würden

Es herrscht akuter Fachkräftemangel in Cyber-Deutschland – auch gut bezahlte und lukrative Beamtenstellen können einfach nicht besetzt werden. Das zeigt ein Blick auf einige der wichtigsten Projekte, mit denen Deutschland gerade in Sachen Online-Sicherheit aufrüstet. So hat die eigens eingerichtete Sonderstelle ZITIS, die Verschlüsselungen knacken soll, zwar ein Budget von 12,5 Millionen Euro, aber von den bis Ende des Jahres geplanten 120 Arbeitsplätzen sind bisher nur acht besetzt, wie die Welt recherchiert hat.

Auch die Bundeswehr rüstet in Sachen CyberCyber™ auf: Seit April gibt es mit dem sogenannten Cyber- und Informationsraum (CIR) einen eigenen Bereich, der sich dem militärischen Kampf im Internet widmet. Erst vor wenigen Wochen wurde das Kommando auf über 13.500 Soldaten aufgestockt. 80 Soldaten sollen zu jener operativen Einheit gehören, die auch angreifen und aktiv hacken, kommandiert werden soll das CIR von einem Drei-Sterne-General.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Doch das größte Problem der deutschen Cyber-Ambitionen sind bisher die Hacker. Die nämlich fehlen. Zumindest solche, die bereit sind, ihre schwarzen Kapuzenpullis gegen grüne Uniformen zu tauschen und auf Kommando zu hacken. Dabei ist Deutschland eigentlich durchaus ein international führender IT-Standort: Mit dem Chaos Computer Club gibt es hier den größten Hacker-Club der Welt. Jedes Jahr versammeln sich zehntausende Hacker und Nerds auf dem viertägigen Hacker-Festival des Clubs, auf dem regelmäßig aufsehenerregende Analysen zu Sicherheitslücken und Cyber-Sicherheit vorgestellt werden. Das Problem für den Staat: Viele CCC-Anhänger sind überwachungskritisch und beäugen die digitale Aufrüstung des Staates skeptisch. Auch das "Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung" (FIfF), ein zivilgesellschaftliches Bündnis aus Informatikern und Sicherheitsexperten, fordert den Stopp militärischer Aktionen im Internet.

Um mehr Informatiker und Hacker in die Kasernen zu locken, rührt die Bundeswehr daher seit Monaten eifrig die Werbetrommel: mit Online-Ads, Cybercamps, Branded Stories in der Startup-Szene. Auch "Lan-Partys für die Rekrutierung von Talenten aus der Gamer-Szene" sind laut einem Bundeswehr-Bericht im Gespräch. Wie groß die Not am Mann ist, verdeutlicht ein Papier aus dem Verteidigungsministerium vom März, das vorschlägt, auch Quereinsteiger und "Ethical Hacker" anzuwerben, Leute also, die keine militärische Ausbildung haben und sich vorstellen könnten, "ehrenamtlich" für die Truppe zu hacken.

Doch wie stehen eigentlich die angehenden Informatiker der digitalen Aufrüstung Deutschlands gegenüber? Um das zu erfahren, sind wir dorthin gegangen, wo das Wissen um die Cyberangriffe von morgen produziert wird: zu IT-Studierende an deutsche Hochschulen, die vielleicht eines Tages als IT-Krieger im digitalen Schützengraben hocken – oder vielleicht genau das verhindern wollen.

Motherboard: Die Bundeswehr-Kampagne läuft auf Hochtouren, mittlerweile fragen selbst Werbeplakate an Bushaltestellen Passanten, ob sie eine Firewall um ein Feldlager ziehen würden. Würdest du?

Kai: Ich finde es verwerflich, meine Fähigkeiten für so etwas einzusetzen. Es geht hier ja nicht nur um Technik, sondern darum, Macht auszuüben und Menschen zu kontrollieren. Als Cybersoldat machst du ja nicht nur irgendwas mit Technik, sondern trägst dazu bei, Kriege effektiver zu führen.

Außerdem würde ich dafür sorgen, Kriege weiter zu legitimieren. Denn in Zeiten, in denen der Rückhalt in der Bevölkerung für eine kriegerische Politik weiter abnimmt, ist man auf die technologische Entwicklung der Militärindustrie angewiesen, etwa auf Automatisierung. Man braucht die technologische Entwicklung, um den Krieg noch mehrheitsfähig zu machen, weil die Leute keine Lust mehr haben, für fragwürdige Sachen zu sterben.

Hast du einen Tipp für die Marketing-Abteilung der Truppe?

Naja, ich finde die Uniformen sind schon mal unklug. Ich fühle mich davon überhaupt nicht angesprochen, viele meiner Kommilitonen sicherlich auch nicht. Der Slogan auf der Bundeswehr-Seite "Mach was wirklich zählt" ist strategisch schon besser. Die Vorstellung sich für eine sichere Welt einzusetzen, dürfte bei mehr Menschen ankommen.

Die Kampagne auf die Gefahr durch Cyberangriffe und auf Gegenschläge zuzuschneiden ist aber wenig durchdacht. Ich denke, wenn sie verschleiern würden, dass sie selber in die Offensive gehen würden, wäre das sicherlich zielführender. Am besten setzen sie aber statt der Uniformierten ein paar Studenten in ein Café, die ein Macbook in der Hand haben und die davon sprechen, sich für die Sicherheit Deutschlands einzusetzen. Das wäre dann sicherlich ansprechender.

Das würde auch dem Selbstverständnis der Cybertruppe entsprechen – Deutschland zu schützen.

Ja, aber ich kritisiere das Image, das sie damit rüberbringen. Man kriegt im Cyberspace keine Sicherheit, indem man gegeneinander arbeitet und andere Systeme angreift. Es ist illusorisch zu glauben, dass die Bundeswehr etwas hat, was der Rest der Welt nicht hat. Nur wenn man zusammen mit der Zivilgesellschaft Lösungen entwickelt, die allen zugänglich sind, das heißt die Systeme für alle Nutzer verbessert, kann man das erreichen.

Beispielsweise wenn Unternehmen und die Zivilgesellschaft gemeinsam an einem Verschlüsselungsstandard arbeiten, etwa der OpenSSL-Bibliothek, die alle nutzen. Das ist eine globale Kooperation, von der alle profitieren, weil der Standard die Netzwerke für alle sicherer macht. Selbst innerhalb der Freund-Feind-Logik würde es Sinn ergeben, die Sicherheitslücken gemeinsam und global zu schließen, anstatt sie zu horten und auszunutzen.

Unterhältst du dich mit Kommilitonen über das Thema Cyberkrieg oder wie es wäre, als ITler zur Bundeswehr zu gehen?

An der Uni wird leider nicht vermittelt, was mit der Informatik in der Gesellschaft passiert. Ich habe nur eine Veranstaltung besucht, in der es um die "Auswirkungen der Informatik" ging, aber das war auf Folgen für Firmen beschränkt. Die meisten meiner Kommilitonen haben eher Lust auf so fancy Startup-Geschichten, um Geld zu verdienen. Der Rest will etwas Sinnvolles machen, etwa für eine NGO oder für Open Source-Projekte arbeiten oder an der Uni bleiben.

Was hast du gedacht, als du gehört hast, dass Verfassungsschutz-Chef Maaßen die Bundeswehr auch offensiv angreifen lassen möchte, mal abgesehen davon, dass er gar nicht zuständig ist?

Das reagiert überhaupt nicht auf das Problem. Wenn zum Beispiel Krankenhäuser alte Computer nutzen und ihre Systeme nicht updaten und dann von einer Ransomware erpresst werden, was soll da eine Cybereinheit der Bundeswehr bringen? Die hat keine Auswirkungen auf dieses Problem.

Die Lösung wäre vielmehr, sich bessere Systeme zuzulegen oder neue Lösungen gemeinsam entwickeln, und nicht weitere Schwachstellen ausfindig zu machen. Wenn man sagt, man will angreifen, dann muss man Sicherheitslücken geheim halten. Doch wenn man sie lange geheim hält, steigt natürlich die Gefahr, dass sie andere entdecken. Man kann die Lücken nur global beheben.

Für unseren Artikel haben wir auch die Bundeswehr selbst und die Hamburger Bundeswehr-Universität kontaktiert, um mit angehenden Informatikern zu sprechen, die sich für den Weg als Cybersoldat entschieden haben. Als Antwort auf unsere Fragen, hat die Bundeswehr uns einen Kontakt zu Julian Karsten und Yannic Reidel vermittelt, die unsere Fragen per E-Mail und gemeinsam beantwortet haben.

Motherboard: Ihr studiert Informatik an der Bundeswehr-Uni in Hamburg, damit scheint es relativ naheliegend, dass ihr später auch in der Cybertruppe der Bundeswehr dienen könntet. Warum habt ihr euch für diesen Weg entschieden?

Julian Kasten, Yannic Reidel: In erster Linie haben wir uns für den Beruf Soldat in der Laufbahn der Offiziere entschieden. Als solche stehen wir vor allem in Personal- und Materialverantwortung. Durch unser Studium Informatik-Ingenieurwesen können wir uns durchaus vorstellen, diese Verantwortung im Bereich CIR zu übernehmen.

Ein großer Vorteil ist, dass die Bundeswehr eine vielseitige und spannende Ausbildung bietet und die nötige Infrastruktur zur Verfügung stellt. Jedoch sollte einem bewusst sein, dass man nicht nur „ITler" ist, sondern in erster Linie Soldat.

Als Soldaten stehen euch Land, Wasser, Luft und vielleicht irgendwann auch der Weltraum als Operationsfeld zur Verfügung. Warum wollt Ihr Soldaten im Cyberspace sein?

Durch unsere Berufswahl und das eigene Selbstverständnis haben wir uns verpflichtet die Bundesrepublik Deutschland, soweit nötig, in jeglichen Bereichen zu verteidigen. Der Bereich IT-Sicherheit ist nicht erst seit kurzem ein Aufgabenbereich der Bundeswehr. Durch die mediale Aufmerksamkeit, die der IT-Sicherheit weltweit gewidmet wird, steht diese momentan Besonders im Fokus. Wir hoffen natürlich durch unsere Ausbildung der Bundeswehr das nötige Know-How zur Verfügung zu stellen.

Würdet ihr in einem Cyberkrieg auch in die Offensive gehen?

Nach unserer Auffassung kann generell im Cyberraum nicht von einem Kriegszustand die Rede sein. Auch im Wirtschaftssektor werden erkannte Sicherheitslücken in IT-Systemen konsequent ausgenutzt. Durch die Ausnutzung von Sicherheitslücken bei militärischen Systemen kann jedoch ein erheblicher Schaden für Leib und Leben entstehen. Diese Lücken gilt es zu erkennen und zu schließen.

Um Sicherheitsmängel in IT-Systemen zu finden, benötigt man zwingend ein Verständnis für Angriffsmethoden im Cyberraum. Hierbei muss jedoch der Gesetzgeber Rahmenbedingungen schaffen, wie in jedem anderen Einsatz der Bundeswehr auch.

Motherboard: Würdest du eine Firewall um ein Feldlager ziehen?

Daniel: Nein. Allein schon die Bezeichnung IT-Soldat finde ich nicht wirklich attraktiv. Die Bundeswehr verkörpert für mich Ideen wie militärische Aufrüstung, Disziplin und Patriotismus. Ich kann mich damit überhaupt nicht identifizieren, daher kommt die Bundeswehr für mich als Arbeitgeber nicht in Frage. Da können sie noch so kreativ sein beim Formulieren von Werbeslogans.

Was würde denn für eine Stelle bei der Armee sprechen?

Ein Job bei der Bundeswehr hat bestimmt auch Vorteile: Man hat eine sichere Stelle und wahrscheinlich eine gute soziale Absicherung. Außerdem kann man seine Fähigkeiten unter Beweis stellen und eventuell Dinge tun, die für Privatpersonen illegal wären. Das macht den Job sicherlich für manche attraktiv.

Andererseits ist die Bezahlung deutlich schlechter als in der Privatwirtschaft. Aus ökonomischer Sicht ergibt es überhaupt keinen Sinn, zur Bundeswehr zu gehen. Auch der militärische Drill und die hierarchischen Strukturen machen den Job wenig schmackhaft. Wobei manche das womöglich als Vorteile sehen.

Spielt es für dich eine Rolle, ob du Deutschland im Cyberkrieg nur verteidigen müsstest, oder selbst an vorderster Front mithacken müsstest?

Nein. Für mich gibt es da keinen Unterschied zwischen Ernst- und Normalfall. Ich bezweifle, dass es der Bundeswehr in naher Zukunft möglich sein wird, offensiv Cyberangriffe auszuführen. Die ganze Kampagne zeigt doch, dass der IT-Bereich bei der Bundeswehr bisher sträflich vernachlässigt wurde.

Was meinst du, sollte Deutschland in Sachen Cyber-Offensiven aufrüsten?

Ich kann nachvollziehen, dass man sich gegen Angriffe schützen möchte. Vermutlich ist man damit in den nächsten Jahren erstmal genug beschäftigt. Was offensive Kapazitäten angeht, kann ich mir vorstellen, dass es da noch offene rechtliche Fragen gibt. Zum Beispiel: Muss das Parlament einen Cyberangriff genehmigen? Und dann ist ja auch bei einem Cyberangriff und Gegenangriff nicht immer klar, mit wem man es eigentlich zu tun. Es ist nicht so einfach einen einzelnen Hackerangriff einem Staat zuzuordnen.

Motherboard: Knapp 20 Mal pro Tag greifen Hacker deutsche Regierungsnetze an. Die Bundeswehr sagt, sie will Deutschland besser vor Cyberangriffen schützen. Fühlst du dich vor diesem Hintergrund da irgendwie verpflichtet?

Marco: Nein. Da müssen die jeweiligen Organisationen selbst vorsorgen. Wer sich ein IT-Netz innerhalb seiner Struktur aufbaut, egal ob der Bundestag oder der kleine Schreiner von nebenan, der muss auch in der Lage sein, die entsprechende Expertise und eigenen Ressourcen aufzuwenden, um diese zu schützen. Da ist man viel zu lange zu blauäugig rangegangen. Dass man jetzt so verzweifelte Werbekampagnen betreibt, beweist nur das eigene Versäumnis. Man baut sich ja auch kein Haus ohne ein sicheres Schloss an der Eingangstür.

Würdest du im Ernstfall Deutschland im Cyberkrieg dienen?

Das kommt darauf an. Prinzipiell könnte ich mir vorstellen, bei einer Regierungsinstitution zu arbeiten und dort die IT-Sicherheit zu verbessern. Ich mache aber einen klaren Unterschied zwischen passiver Verteidigung, etwa dem Schutz vor Angriffen, und dem Eindringen in andere Systeme. Nur wenn alle rechtlichen Fragen geklärt sind und der Bundestag so einen Einsatz legitimiert, könnte ich mir ein offensives Angreifen vorstellen, und auch nur dann, wenn es der Abwehr von Angriffen dient.

Ist die Cyberkrieg-Debatte an deiner Uni ein Thema?

Nicht in Lehrveranstaltungen. Es gab aber vor einiger Zeit eine Info-Veranstaltung der Bundeswehr auf dem Campus. Hier gab es auch einigen Protest von Studierenden. Allerdings kam mir die pauschale Verurteilung der Bundeswehr als "Mörder-Truppe" etwas zu platt und undifferenziert vor. Manche Studenten jubeln den USA zu, wenn diese ein Land von einem Diktator "befreien", lehnen aber jede kriegerische Option ab, die von Deutschland ausgehen könnte. Beides zusammen geht leider nicht.

Im globalen Cyber-Wettrüsten hinkt Deutschland um viele Jahre hinterher. In deinen Augen ein Problem?

Nicht zwangsläufig. Ich denke, der Ausbau und die Verbesserung bestehender Netzwerke und Systeme sollte im Vordergrund stehen. Wenn tagtäglich Cyberangriffe auf deutsche Zielsysteme stattfinden und dort offensichtlich Nachholbedarf besteht, ist der logische Schluss erstmal, die Sicherheit zu stärken. Nicht unbedingt, eigene Cyberwaffen zu entwickeln.

Andererseits muss die Bundesregierung eine Antwort darauf finden, wenn Hackerangriffe verstärkt von anderen Staaten eingesetzt werden. Aber auch hier ist eine pauschale Reaktion - vor allem aufgrund historischer Ereignisse - sehr schwierig. Deutschland sollte auf keinen Fall einen Alleingang starten, sondern sich mit anderen europäischen Staaten abstimmen.