Vor fünf Jahren waren die Aktivitäten des Bundesheeres im Cyberspace noch eine Art Staatsgeheimnis. Fragten Oppositionspolitiker mittels parlamentarischer Anfrage nach, winkte der damalige Verteidigungsminister Norbert Darabos (SPÖ) ab: Er bedaure, dabei handle es sich um "Geheimhaltung im Interesse der umfassenden Landesverteidigung". Das hat sich geändert. Österreichs Militär spricht mittlerweile offen über seine "Cyberkräfte", schließlich ist der "Krieg im Netz längst in Gang", wie Generalstabschef Othmar Commenda unlängst erklärte. Täglich erlebe man "tausende Angriffe auf Unternehmen, Institutionen und Privatpersonen".

Ein begehrtes Ziel sind auch die IT-Systeme des Bundesheeres. Derzeit gebe es wöchentlich drei bis fünf Attacken, "die man ernst nehmen muss", sagt Major Dietmar Rust zum STANDARD. Weitere hunderttausende Attacken mit der Absicht, Computer zu sabotieren oder Daten zu stehlen, werden mit herkömmlichen Methoden wie Firewalls abgewehrt.

Angriff auf Feinde im Netz

Die Cyberkrieger des Bundesheeres sind aber auch in der Lage, Angriffe auf fremde Netze durchzuführen, also zu hacken. Werden wichtige Computersysteme der Republik wie Krankenhäuser oder Stromnetze attackiert, dann wird nicht nur abgewehrt, sondern der Gegner muss auch damit rechnen, dass sein Rechner "plattgemacht" wird, wie es in der Sprache der Militärs heißt. Nach STANDARD-Informationen gab es bisher keinen derartigen Fall, aber entsprechende Übungen.

Hackback auf dünnem Eis

Rechtlich sei dieser "Hackback" durch "kriegsvölkerrechtliche Regeln" und das "Militärbefugnisgesetz" gedeckt, heißt es seitens des Bundesheeres. "Offensive Verteidigungsmaßnahmen" können zum Einsatz kommen, wenn das Bundesheer angegriffen wird oder wenn die Attacke die Absicht hat, die Souveränität Österreichs auszuschalten. Fällt die Abwehr eines Cyberangriffs unter den Aspekt der "inneren Sicherheit", so kann das Bundesheer auch zu einem sicherheitspolizeilichen Assistenzeinsatz herangezogen werden.

Dabei begibt sich das Bundesheer auf dünnes Eis, da die Kriegsführung im Cyberraum höchst komplex ist und die Gegner meist im Ausland sitzen. Das bringt erhebliche Gefahren sowie ein großes Eskalationspotenzial mit sich. So ist es mehr oder weniger unmöglich herauszufinden, wer wirklich hinter einer Attacke steckt. Angreifer können ihren Standort verschleiern, indem sie etwa fremde Rechner kapern und für ihre Zwecke nutzen. Dramatisch kann es werden, wenn sie zur Tarnung etwa einen zentralen Server eines Krankenhauses nutzen und dieser im Zuge eines Cybergefechts lahmgelegt wird.

Hackt das Bundesheer im Ausland, befindet es sich "in einer Grauzone", sagt Völkerrechtsexperte Erich Schweighofer, der an der Universität Wien lehrt. Dies sei nur mit Einverständnis des betroffenen Landes möglich. Wie das zum Beispiel inmitten eines laufenden Angriffs funktionieren soll, ist unklar. Auch die Unsicherheit darüber, wo nun die Gegner wirklich sitzen, "macht große Probleme", so Schweighofer zum STANDARD. "Ohne exakte Zurechnung zum Staat ist keine völkerrechtliche Sanktion möglich; das Risiko, einen Falschen zu treffen, ist zu groß."

Sicherheitslücken

Dazu kommt, dass man für Attacken im virtuellen Raum Sicherheitslücken benötigt, die in der Regel von Dritten, meist dubiosen Firmen, gekauft werden müssen. Deren Geschäftsmodell verbietet es, die Öffentlichkeit über Lecks zu informieren, und ebendiese geheim gehaltenen Lücken könnten auch von Kriminellen oder staatlichen Hackern entdeckt und für Angriffe ausgenutzt werden, was in der Vergangenheit auch schon passiert ist. Eigentlich müssten Behörden ein Interesse haben, diesen Markt auszutrocknen und ihn nicht zu beflügeln. Das Bundesheer arbeitet eng mit Firmen aus Israel zusammen, die entsprechende Lücken und Software anbieten.

Eine Kooperation, die nicht überall Wohlgefallen findet. Thomas Lohninger von der Netz-NGO epicenter.works lehnt "Angriffswaffen in den Händen unserer Militärs klar ab. Verteidigung ist immer legitim. Die beste Verteidigung liegt allerdings darin, sichere Systeme zu schaffen, Datenschutz auf allen Ebenen ernst zu nehmen und rigoros gegen Datenmissbrauch vorzugehen." (sum, 16.2.2018)