FOCUS online: Herr Schulte, Sie sind Oberst und Chief Information Security Officer (CISO) der Bundeswehr. Wenn Sie auf die geopolitische Lage schauen – wie geht es Ihnen dann?
Guido Schulte: Die Lage ist herausfordernd, aber auch spannend. Das passt zu meinem Naturell.
Vielen machen Drohnensichtungen, politische Spannungen und die Berichte über einen möglichen größeren Krieg zwischen der Nato und Russland Angst.
Schulte: Das kann ich verstehen. Aber wir sollten nicht in Schockstarre verfallen. Vor allem, weil ich nicht denke, dass sich die Weltlage mittelfristig verbessert.
Wie meinen Sie das?
Schulte: Schauen wir nur mal auf den Cyber-Raum, das Internet. Staaten, Organisationen und Kriminelle werden auch künftig versuchen, Systeme anzugreifen und Menschen zu beeinflussen. Sie wollen unter anderem ihren politischen Einfluss vergrößern oder wirtschaftliche Vorteile haben.
Wie Sie schon angedeutet haben: Ihr Fachgebiet ist die Informationstechnik. Was beobachten Sie in diesem Zusammenhang?
Schulte: Dass die technologische Entwicklung immer mehr Abhängigkeiten schafft, wir sind immer mehr auf funktionierende IT angewiesen.
Zum Beispiel?
Schulte: Nehmen wir Fahrassistenz-Systeme in Autos. Wir haben uns so an diese Form der Unterstützung gewöhnt, dass wir kaum mehr ohne sie auskommen. Genauso unsere Smartphones. Und wer kann heutzutage noch einen analogen Kompass benutzen?
Sie beschäftigen sich auch mit Bedrohungen im digitalen Raum.
Schulte: Das stimmt.
Und wie sieht es da aus?
Schulte: Wir sehen, dass es immer mehr Gefahren gibt. Phishing-Mails wirken durch KI authentischer. Cyberkriminelle gehen immer professioneller vor und agieren in Gruppen mit Aufgabenteilung.
Und politisch?
Schulte: Im Rahmen des Ukraine-Krieges konnten wir deutliche Anstiege sogenannter Distributed-Denial-of-Service-Angriffe (DDoS) beobachten. Das heißt, dass Webseiten oder Server durch eine hohe Anzahl von Anfragen überlastet wurden und für legitime Nutzer nicht mehr zugänglich waren. Diese Sabotageakte haben aus meiner Sicht zugenommen.
Ah.
Schulte: Ein Beispiel. Kurz nachdem Russland die Ukraine überfallen hat und wir von deutscher Seite Kiew unsere Unterstützung zugesichert haben, kam es zu Angriffen auf die Informationstechnik der Bundeswehr. Wir fühlten uns von der Intensität dieser Angriffe überrumpelt.
Was genau ist passiert?
Schulte: Unsere Webseiten wurden lahmgelegt. Das war zwar ärgerlich, aber nicht gravierend. Immerhin besuchten zum Angriffszeitpunkt vermutlich nur wenige Menschen unseren Internetauftritt.
Welchen Sinn hatte der Angriff dann?
Schulte: Ich denke, Ziel war die Gefühlswelt der Menschen. Bundes- und Sicherheitsbehörden vorzuführen. Sie so darzustellen, als wären sie nicht in der Lage, sich gegen Attacken zu schützen.
Das scheint – zumindest teilweise - gelungen zu sein.
Schulte: Ja. Der DDoS-Angriff passierte an einem Freitagabend, direkt zu Ostern. Unsere Systemadministratoren waren nicht alle da. Es gab natürlich die Rufbereitschaft. Alles wieder zum Laufen zu bringen, hat gedauert. Und die Angreifer konnten sagen: Wir haben die Bundeswehr-Services zwölf Stunden lahmgelegt. Das klingt beeindruckend. Dabei hatte es hauptsächlich mit den Rahmenbedingungen zu tun. Wenn der Angriff Dienstagsmorgens stattgefunden hätte, dann wäre der Spuk deutlich schneller vorbei gewesen.
Anderes Thema: Wie ist es um Deutschlands kritische Infrastruktur bestellt?
Schulte: Cyberangriffe auf KRITIS-Einrichtungen kommen immer wieder vor. Es trifft zum Beispiel Krankenhäuser. Häufig allerdings aus Versehen.
Aus Versehen?
Schulte: Ja. Vielen Kriminellen geht es ums Geld, wenngleich dieses Beispiel grundsätzlich in der Zuständigkeit der Strafverfolgungsbehörden liegt. Sie nehmen sich beispielsweise vor, eine Universität zu attackieren. Nun kann es passieren, dass sie statt der Uni die Uniklinik erwischen. Für den Tod kranker Menschen wollen Cyberkriminelle in der Regel nicht verantwortlich sein.
Das heißt?
Schulte: Sie helfen der Klinik zum Beispiel, ihre Daten wieder zu entschlüsseln. Grundsätzlich muss man auch sagen, dass viele KRITIS-Einrichtungen im physischen Raum angreifbarer sind als im virtuellen. Stromkabel oder Bahnschienen lassen sich vergleichsweise leicht zerstören.
Im Zuge der Umstellung von Windows 10 auf Windows 11 gab es aber auch Debatten um die digitale Angreifbarkeit der KRITIS.
Schulte: Das stimmt. Aber solche Diskussionen hatten wir auch bei der Migration auf andere Betriebssysteme. Im Notfall kann man Updates nachkaufen - auch wenn klar ist, dass veraltete Rechner nicht ins Internet gehören. Und eine solide Sicherheitssoftware je nach Betriebssystem zur Standardausrüstung gehören sollte.
Was sind die größten Cyber-Bedrohungen für Unternehmen und Privatpersonen?
Schulte: Wer ein aktuelles Betriebssystem samt Sicherheitssoftware verwendet und seinen Router gewissenhaft eingerichtet hat, ist relativ sicher unterwegs. Ich sehe das Hauptproblem in betrügerischen Nachrichten und E-Mails. Also im „Austricksen“ der Nutzer.
Und bei Unternehmen?
Schulte: Da sieht die Sache etwas anders aus. Gerade kleinere und mittlere Unternehmen haben es schwer, ihre Systeme sicher zu halten. Denn das kostet Geld, das an anderer Stelle fehlt. Dabei kann ein erfolgreicher Angriff zur Insolvenz führen, wenn zum Beispiel alle Kundendaten weg sind.
Wie versucht die Bundeswehr, digitale Gefahren abzuwehren?
Schulte: Zum einen, indem wir unsere Systeme so sicher wie möglich halten. Angefangen beim Perimeterschutz: Alles, was reinkommt, wird gefiltert. Spam-Mails kommen so in der Regel gar nicht beim Endnutzer an. Werden Dateien aus dem Internet nachgeladen, scannen wir sie. Wir überlegen auch sehr genau, ob wir zum Beispiel Makros zulassen oder nicht. Und im Bereich „Cyber Threat Intelligence“ kaufen wir zusätzliche Dienstleistungen ein.
Was bedeutet das? Also „Cyber Threat Intelligence“.
Schulte: Der Begriff bezieht sich auf Angreifer-Gruppen im Cyberraum, ihre strategische Motivationslage, ihre Relevanz für die Bundesrepublik und die von ihnen eingesetzten Angriffstechniken.
Guido Schulte ist ein deutscher Oberst. Als Chief Information Security Officer (CISO) der Bundeswehr beschäftigt er sich vor allem mit digitalen Bedrohungen und der Abwehr von Cybercrime.
Sie haben sicher die Debatte über Drohnen, die in Nato-Luftraum eingedrungen sind, mitbekommen. Wie blicken Sie als Oberst auf die Ereignisse?
Schulte: Das ist ein schwieriges und komplexes Thema. Etwa, was den Schutz unserer Liegenschaften angeht. Ich frage mich, was die Auswirkungen auf den Landkampf sind. Mit Drohnen lassen sich Aufstellungen ausspähen. Sind die Drohnen bewaffnet, wird die Lage ungleich gefährlicher. In der Öffentlichkeit gibt es erst jetzt Diskussionen, bei der Bundeswehr schon lange.
Was hat sich verändert?
Schulte: Früher ging es um wenige und sehr große Geräte. Alles im Rahmen der Drohnenaufklärung. Jetzt sprechen wir von Drohnenschwärmen. Das ist militärisch ein Riesenunterschied.
Erzählen Sie mal.
Schulte: Es gibt doch diese Drohnenshows, die an Silvester stattfinden. Das ist gar nicht so anders. Die Drohnen kommunizieren miteinander, füllen selbstständig Lücken und formen Muster. So kann man sich das auch beim Militär vorstellen. Der Schwarm regeneriert sich von allein. Das funktioniert über einen Algorithmus.
Warum ist das so gefährlich?
Schulte: Wegen der Reaktionsgeschwindigkeit und der Masse an Drohnen. Die Flugkörper lassen sich normalerweise gezielt mit Lasern oder elektromagnetischen Impulsen zerstören. Das funktioniert bei fünf oder zehn Drohnen, aber nicht bei hundert.
Längst wird auch über das „Hacken“ von Drohnen diskutiert.
Schulte: Das stimmt. Und technisch wäre es durchaus möglich, in ein Drohnensystem einzudringen. Allerdings ist ein solches Vorgehen hochkomplex. Und dann gibt es noch die sogenannte Rüstungsspirale. Wenn ich eine Kampfdrohne umprogrammiere und zurückschicke, dann wird es dagegen wieder Schutzmechanismen geben, wie wieder durch neue Angriffe unterlaufen werden.
Was glauben Sie: Will Putin die Nato testen? Russland dementiert, etwas mit den Drohnensichtungen zu tun zu haben.
Schulte: Ich denke, wenn man jede Aktion - also Drohnenflüge, Fake-News, DDoS-Angriffe - einzeln betrachtet, findet man für alles eine eigene Erklärung. Aber wenn wir die Punkte verbinden, kristallisiert sich ein System heraus.
Welches?
Schulte: Die russische Regierung will die deutsche Bevölkerung verunsichern, um gegen unsere politische Ordnung, unser Demokratieverständnis vorzugehen. Es klingt hart, aber: Eine Demokratie ist in Krisensituationen nicht so effizient wie eine Autokratie. Autokraten können einfach durchregieren. Deshalb ist wichtig, dass wir uns gesamtgesellschaftlich um das Thema Verteidigung kümmern.
Fühlen Sie sich in Europa sicher?
Schulte: Ja.
Und in Deutschland?
Schulte: Auch.
Sie klingen so überzeugt.
Schulte: Schauen Sie sich einfach mal um. Ich würde nicht in China, Russland, im Gaza-Streifen oder Nordkorea leben wollen. Wir haben es vergleichsweise gut.
Themenwechsel. Als Fachmann für Informationssicherheit: Gehen die Deutschen zu sorglos mit ihren persönlichen Daten um?
Schulte: Solche Diskussionen führe ich häufig. Warum vertrauen die Menschen Google, Microsoft, Apple oder Gaming-Anbietern mehr als den eigenen Sicherheitsbehörden? Das hat mehr mit ihrem Staatsverständnis als mit der fortschreitenden Digitalisierung zu tun, denke ich.
Sie klingen besorgt.
Schulte: Naja. Viele Menschen glauben, sie bekommen die Dinge im Internet umsonst. Aber da hängt eigentlich immer etwas dran. Im besten Fall nur Werbeprofile.
Und im schlechtesten?
Schulte: Im schlechtesten Fall wird Profiling betrieben, dass bei der nächsten Einreise ins Ausland zum Tragen kommt. Immerhin kann es sein, dass man seine Social-Media-Profile offenlegen muss. Auch ein Profil über Geolokalisierung wäre denkbar. Um zu ermitteln, ob ich in einer wohlhabenden Gegend wohne. Das könnte beispielsweise für Einbrüche genutzt werden.
Was würden Sie jedem Bürger mit Blick auf digitale Sicherheit raten?
Schulte: Alle Geräte sollten auf einem aktuellen Stand sein. Wenn das Smartphone keine Updates mehr bekommt, möglichst bald wechseln. Natürlich kostet das Geld. Deswegen versucht das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerade, Lieferanten zum längeren Support zu verpflichten. Und: Ein Sperrcode am Handy lohnt sich. Wird es gestohlen, sind nämlich nicht nur die eigenen Daten weg, sondern auch die aller Kontakte.