Quelle: Der Offizier 4/2016
„Bundesheer bekommt bis 2020 zusätzlich 1,3 Milliarden“, „10.000 neue Bundesheer-Arbeitsplätze“, „Jagdkommando: Speerspitze im Kampf gegen Terror“, „Bundesheer setzt auf offensive Cyberwaffen“, „Das Bundesheer übernimmt den Schutz kritischer Infrastruktur von der Polizei“ – Schlagzeilen, die jedes Soldatenherz höher schlagen lassen, oder? Nach Jahren der Ignoranz und finanziellen Ausblutung geht es nun mit dem Bundesheer wieder Berg auf.
Bereits im Heft 3 und 4/2015 wurde eine systemische Betrachtung der sicherheitspolitischen Entwicklungen durch den Autor durchgeführt. Nicht zuletzt aufgrund der angeführten Schlagzeilen und den daraus resultierenden Diskussionen, auch im Der Offizier, sollen diese Betrachtungen weitergeführt und vertieft bzw. einer kritischen Reflexion unterzogen werden.
Sicherheitspolitische Kehrtwende
Die Diskussionen und Entwicklungen rund um die innere und äußere Sicherheit der vergangenen Monate haben einmal mehr gezeigt, wie rasch sich Dinge ändern können. Wurde in Österreich das Thema „Sicherheit“ noch bis vor nicht allzu langer Zeit sehr stiefmütterlich behandelt und um jedem Preis versucht, Budgetmittel und Personal einzusparen, so hat sich das plötzlich trastisch geändert. Einmal mehr hat sich Prinz Eugen bewahrheitet: „Sie schreien nach uns um Hilfe, wenn ihnen das Wasser in das Maul rinnt, und wünschen uns vom Hals, kaum als einen Augenblick dasselbige verschwunden.“
Die Dynamik steigt
Zum Glück ist bisher nichts Schlimmeres passiert und so lässt sich hoffentlich so manche personelle, organisatorische oder infrastrukturelle Fehlentwicklung der vergangenen Jahre noch rechtzeitig reparieren. Die vergangenen Monate haben aber auch gezeigt, dass die heutigen sicherheitspolitischen Veränderungen viel rascher von Statten gehen, als in vergangenen Zeiten. Daher wird sich wohl noch so manche Einschätzung über erwartete Frühwarnzeiten als zu optimistisch oder als falsch herausstellen. Ganz abgesehen davon, dass es häufiger anders kommt, als erwartet. Dazu wurde bereits im Heft 3/2015 einiges gesagt.
Das europäische Stromversorgungssystem
Neben den bekannten sicherheitspolitischen Herausforderungen gab es im vergangenem Jahr drei wesentliche Entwicklungen, die uns massiv zur Wachsamkeit und Achtsamkeit aufrütteln sollten. Einerseits haben bereits vier Länder – Belgien, Frankreich, Großbritannien und die Schweiz – massive Herausforderungen bei der Stromversorgung für den kommenden Winter bekanntgegeben. Diese beinhalten die Möglichkeit, dass es insbesondere bei Kältewellen zu weitreichenden Ausfällen/Notabschaltungen und im schlimmsten Fall zu Blackouts kommen könnte. So lange die Notabschaltungen geplant verlaufen, sollte die Lage beherrschbar bleiben. Sollte es zu ungeplanten Dominoeffekten kommen, könnten sich diese Störungen rasch auf das restliche europäische Verbundsystem ausbreiten.
Cyber-Eskalationen
Im Oktober kündigte die US-Administration öffentlich an, Präsident Putin über den Cyberspace „bloßstellen zu wollen“. Das mag zwar für viele wie ein übliches Geplänkel klingen, birgt aber eine enorme Sprengkraft in sich. Denn ein Denkzettel könnte rasch nach hinten losgehen, was gerade im Cyber-Raum leicht möglich ist. Kleine Ursache, große Wirkung, wenn etwa Infrastrukturen ins Visier geraten. Nicht auszudenken, wo das Ganze enden könnte, wenn sich nun ein dritter Player dazu veranlasst sieht, die Chance zu ergreifen und die beiden offiziellen Kontrahenten gegeneinander auszuspielen. Bekanntlich ist im Cyber-Raum eine klare Ursache-Wirkungszuordnung nur schwer bis gar nicht möglich, was bei komplexen Systemen normal ist.
Aufgrund einer Untersuchung des gegenwärtigen Internet-Nutzungsumfanges haben deutsche Sicherheitsexperten erkannt, dass die Belastung der Internetnetzknoten durch Cyberkonflikte zwischen den USA und Russland oder auch zwischen den USA und China zu erheblichen Beeinträchtigungen des gesamten Datenverkehrs im Internet, auch bei uns – obwohl unbeteiligt – , führen würden. Das könnte sich zu bisher wenig beachteten Kettenreaktionen aufschaukeln. Selbst Internet-Experten seien von diesen potenziellen „Nebenwirkungen“ bilateraler Auseinandersetzungen überrascht gewesen.
Das könnte dazu führen, dass der Datenverkehr in Europa soweit überlastet wird, dass es zu weitreichenden Beeinträchtigungen oder sogar Ausfällen von Kritischen Infrastruktursystemen oder in der Logistik kommt. Europa könnte daher zum „Kollateralschaden“ eines Geplänkels zwischen Supermächten werden.
Das die erwarteten Eskalationen nicht aus der Luft gegriffen sind, zeigen massive Angriffe auf russische Banken im November, die sogleich in den Medien den USA bzw. der Ankündigung zugeordnet wurden. Was auch immer wirklich dahinter steckt, entscheidend ist die öffentliche Wahrnehmung. Nicht einmal erst haben sich auch „unbeteiligte Dritte“ (etwa „Patrioten“) eingemischt und zu nicht geplanten Eskalation beigetragen. Das ist eine mögliche Realität im Cyberspace, die leider noch vielerorts unterschätzt wird.
Internet der Dinge als Angriffswaffe
Eine weitere Eskalation fand durch den massiven Einsatz von nicht gesicherten bzw. auch derzeit nicht wirklich absicherbaren Geräten aus dem sogenannten Internet der Dinge (Internet of Things, wie Überwachungskameras, Kühlschränke, Toaster, etc.) statt. Dabei wurden an und für sich bereits sehr robuste Ziele mit bisher nicht gesehen Datenmengen zugemüllt und zum Ausfall gebracht. Hier wurde wohl präsentiert, was bereits möglich ist und zum anderen wurde der Angriffscode frei im Internet verteilt. Wir werden daher in absehbarer Zukunft noch deutlich schwerwiegendere Angriffe sehen. Sollte diese „Kanone“ auf wichtige Infrastrukturbereiche gerichtet werden, sind weitreichende Kettenreaktionen in der physischen Welt möglich.
Blackout durch Cyber-Angriff
Am 23. Dezember 2015 kam es in der Ukraine weltweit zum ersten Blackout, das gezielt durch einen Cyber-Angriff ausgelöst wurde. Damit wurde auch der Beweis erbracht, dass das nicht nur theoretisch möglich ist. Der amerikanische Untersuchungsbericht kam zum Schluss, dass die Vorgangsweise wohl überall bzw. auch bei uns „erfolgreich“ eingesetzt werden könnte.
Wer im Glashaus sitzt …
Daher sollten Ankündigungen wie: „Bundesheer setzt auf offensive Cyberwaffen“ oder „Wir schützen Strom und Wasser“ mit Bedacht ausgesprochen werden, denn es könnte damit auch jemand auf die Idee kommen, einmal die Abwehrfähigkeiten zu testen und diese werden bekanntlich nicht beim stärksten, sondern beim schwächsten Glied angesetzt. Und das ist – wie bereits 2015 ausgeführt – unsere Infrastruktur und unsere nicht auf Störungen vorbereitete Gesellschaft. Weder noch so vielen Cyber-Soldaten noch ein umfassender Objektschutz werden das verhindern können, da die heutigen komplexen Systeme nicht wie in früheren Zeiten erfolgversprechend gesichert werden können, schon gar nicht durch Soldaten. Wir sollten daher tunlichst vermeiden, falsche Erwartungshaltungen zu wecken, da das auf uns noch zurückfallen wird.
Unzureichende Überlegungen
Leider ist diese Tendenz in vielen Bereichen der Gesellschaft zu beobachten. So haben wir in den vergangenen Jahren umfangreiche Scheinsicherheiten und Illusionen aufgebaut. Zusätzlich werden viel Energie und Ressourcen für den „Schutz“ bzw. für die „Verhinderung von Ereignissen“ aufgewandt. Überlegungen, was es bedeuten könnte bzw. was zu tun ist, wenn das nicht ausreicht und es zu weitreichenden Ausfällen oder etwa doch zu Anschlägen kommt, sind hingegen kaum vorhanden bzw. weitgehend unzureichend, da in der Regel die Bevölkerung = Personal nicht ausreichend vorbereitet sind.
Es reicht nicht, wenn das „Top-Management“ Bescheid weiß, aber nicht die richtigen Konsequenzen daraus gezogen werden, was leider immer wieder zu beobachten ist. Das mag aufgrund der jeweiligen Rahmenbedingungen (politische Ignoranz, persönliche Karriereinteressen, etc.) nachvollziehbar sein, ist aber gesellschaftlich unverantwortlich. Gerade wir Soldaten sollten uns dabei an unser Treuegelöbnis erinnern: „… und mit allen meinen Kräften der Republik Österreich und dem österreichischen Volk zu dienen.“
Nicht das Pferd von hinten aufzäumen
Wobei es nicht um ein „entweder-oder“ sondern um ein „sowohl-als-auch“ geht. Derzeit betrachten wir das Thema jedoch zu einseitig bzw. zäumen wir das Pferd von hinten auf, was nur so lange gut geht, so lange nichts passiert. Denn das erforderliche Schutzniveau kann erst dann definiert werden, wenn man weiß, wo die eigenen Verwundbarkeiten und Schwachstellen liegen bzw. was auf keinen Fall eintreten darf. Man kann eben nicht alles sichern. Daher läuft man hier rasch Gefahr, nur eine Scheinsicherheit zu erzeugen. Das auch, weil wir uns noch häufig an vergangene Zeiten und Rahmenbedingungen orientieren , die es aber heute in dieser Form nicht mehr gibt. Wir haben durch die zunehmende technische Vernetzung Abhängigkeiten und Verwundbarkeiten geschaffen, die mit den alten Lösungsansätzen nicht mehr beherrschbar sind.
„Kampf der verbundenen Waffen“
Der Schutz Kritischer Infrastrukturen ist durchaus beim Bundesheer besser aufgehoben, da hier deutlich mehr Ressourcen als bei der Polizei zur Verfügung stehen, bzw. es ja nicht nur um Großereignisse geht. Dazu ist aber auch ein Umdenken bei uns selbst erforderlich, denn es geht nicht nur um den bekannten Objektschutz, sondern vor allem um ein umfassendes präventives Sicherheits- und Risikomanagement, das vernetztes Denken erfordert. Wir haben das eigentlich mit dem „Kampf der verbundenen Waffen“ gelernt, nur müssen wir das unter den heutigen Rahmenbedingungen erweitert denken. Es geht nicht nur um vernetztes Denken innerhalb des Militärs, sondern um eine weitreichende Vernetzung mit anderen Organisationen und mit der Bevölkerung, um die heutigen und zukünftigen Herausforderungen bewältigen zu können.
Schutz Kritischer Infrastruktur ist heute weit mehr als Objektschutz und muss vor allem den Schutz VOR Kritischen Infrastrukturen umfassen (sowohl-als-auch), sprich eine Gesellschaft, die auch in der Lage ist, mit einem temporären Ausfall lebenswichtiger Infrastrukturen umzugehen, was derzeit leider nicht der Fall ist.
Fehlende Rückfallebenen und falsche Erwartungen
Die langjährige Auseinandersetzung mit dem Szenario eines europaweiten Strom- und Infrastrukturausfalls („Blackout“) zeigt leider, dass heute so gut wie keine Organisation in der Lage ist, aufgrund der weitreichenden Folgen dieses möglichen strategischen Schockereignisses, länger als einen halben Tag handlungsfähig zu bleiben. Zumindest in der Form, wie die meisten Menschen aber auch Verantwortungsträger das erwarten.
Natürlich gibt es überall Überlegungen und auch einzelne Vorbereitungen. Doch der Hund liegt wie so oft im Detail begraben, was viel zu wenig berücksichtigt wird. Diese Einschätzung wird vor allem von jenen bestätigt, die bei lokalen Ereignissen bereits ihre begrenzte Handlungsfähigkeit erlebt haben. Viele Verantwortliche überschätzen die Fähigkeiten der eigenen Organisation.
Sicherheitskommunikation
Um derart erwartbare Ereignisse bewältigen zu können, ist es unverzichtbar, die Bevölkerung = Personal(!) in die Lage zu versetzen, sich selbst zu helfen, um das Schlimmste überbrücken zu können. Dazu ist eine umfassende Sicherheitskommunikation erforderlich, die auch bestehende Scheinsicherheiten und falsche Erwartungen berichtigt. Wie etwa, dass das Bundesheer in einem solchen Fall nicht mehr in der Lage ist, sich ausreichend selbst zu versorgen, so wie das Viele erwarten bzw. einmal möglich war. Gerade das in Umsetzung befindliche Force-Provider-Konzept wird diese Handlungsfähigkeit im Inland bei einem weitreichenden Infrastrukturausfall nochmals reduzieren.
Einsatz im Inneren und die eigenen Familien
Natürlich sind Stabsrahmenübungen und Planungen auf höheren Ebenen wichtig und notwendig, um Führungsabläufe zu formulieren und zu üben. Wenn das Österreichische Bundesheer jedoch so gut wie über keine notstromversorgten Tankstellen verfügt, die Verbände nur unzureichend in der Lage sind, sich selbst zu versorgen, sollte es zu weitreichenden Versorgungsunterbrechungen kommen, lokal Führungs- und Verbindungsmittel nur eingeschränkt zur Verfügung stehen und das Personal und deren Familien so gut wie nicht auf ein Szenario im Inland vorbereitet sind, dann ist eine reale Handlungsfähigkeit nur eingeschränkt zu erwarten. Denn als erstes zählt die Familie, wie Psychologen bestätigen werden. Egal was dienstrechtlich und sonst noch drohen könnte.
Eine mögliche Terrorlage oder soziale Unruhen erfordern ebenso nicht nur die Führungsfähigkeit, sondern auch entsprechend vorbereitete Soldaten für einen Einsatz im Inland. Auf der einen Seite ist es nicht sehr wahrscheinlich, dass Soldaten unmittelbar auf Angreifer stoßen werden. Zum anderen sollten sie aber dazu ausgebildet sein, um mit Eskalationen umgehen zu können, was vor allem auch deeskalierende Maßnahmen erfordert. Denn bei einem Einsatz im Inland handelt es sich nicht unbedingt um einen Crowd-and-Riot-Einsatz, wie er für Auslandseinsätze geübt wird. Hier steht möglicherweise die eigene Bevölkerung gegenüber, insbesondere sollte es zu länger andauernden Infrastrukturausfällen kommen. Und wie sieht es etwa mit der Rückfallebene „persönliche Taschenlampe“ aus? Eine scheinbare Kleinigkeit – die aber je nach Anlassfall sehr wohl entscheidend zur Handlungsfähigkeit beiträgt. Und so könnten die Aufzählungen noch lange fortgesetzt werden.
Chancen nutzen
Ja, das Bundesheer muss die anstehenden Herausforderungen annehmen und soll die entstandenen Chancen nützen. Jedoch darf in der Euphorie nicht vergessen werden, wo wir derzeit stehen und welche dringenden und grundlegenden Hausaufgaben noch zu erledigen sind, um die skizzierten Verwundbarkeiten unserer modernen Gesellschaft zu reduzieren. Dabei zählt vor allem der Status-quo und nicht mögliche wünschenswerte zukünftige Fähigkeiten. Denn das Unerwartete kann uns bereits morgen treffen.
Zur Person
Herbert Saurugg, MSc, war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/ Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Auswirkungen der steigenden Vernetzung und Komplexität, welche zu bisher kaum bekannten systemischen Risiken führen.
# Vier europäische Länder – Belgien, Frankreich, Großbritannien und die Schweiz – halten massive Herausforderungen bei der Stromversorgung für den kommenden Winter immerhin für möglich. bekanntgegeben. Könnten wir in Österreich davon nicht ebenso betroffen sein? Oder ist der Winter hier bei uns bereits abgesagt?
# Wer fühlt sich für die Implementierung eines umfassenden Sicherheits- und Rusikomanagements auf allen Ebenen verantwortlich? Wer wird mit dem Einüben einer verantwortungsvollen Risiko-Kommunikation?
Oder warten wir alle geduldig, bis uns im Ernstfall dann „… das Wasser in des Maul rinnt….“?
@ Markus Reitsamer
Wenn etwas auf europäischer Ebene schief geht, dann ist ziemlich sicher auch Österreich davon
betroffen. Es handelt sich um ein eng vermaschtes europäisches Verbundsystem, das vor allem durch den Strommarkt getrieben wird.
Für die Risikokommunikation gibt es keine eindeutige und klare Zuordnung. Hier spielen verschiedene Organisationen eine Rolle, etwa der Katastrophenschutz (=Ländersache), der Zivilschutz zur Sensibilisierung der Bevölkerung (=Ländersache), usw.
Aus meiner Sicht wäre hier eine überparteiliche Vorgangsweise auf nationaler Ebene erforderlich, um das Thema wirklich seriös in die Breite zu tragen.
Die Schweiz hat auch gerade gezeigt, wie das gehen kann, obwohl es dort auch sehr dezentralisierte, föderale Zuständigkeitsstrukturen gibt: https://www.saurugg.net/2017/blog/stromversorgung/thementag-blackout