Das Szenario von einer binnen kürzester Zeit in den Grundfesten erschütterten und ohne einen einzigen Schuss besiegbaren freien Gesellschaft beschreibt keine nur theoretische Option. Innenminister Thomas de Maizière (CDU) bezeichnete einen "lang anhaltenden" Stromausfall erst vor Kurzem für als sehr wahrscheinlich. Verteidigungsministerin Ursula von der Leyen (CDU) reagiert auf die neuen Herausforderungen, indem sie neben die klassischen Teilstreitkräfte Heer, Luftwaffe und Marine eine Abteilung für Cyber und Informationstechnik stellte, die in den nächsten Jahren von 130 auf 13.500 Männer und Frauen anwachsen soll.

An der Spitze dieser neuen Cyberarmee wird ein Dreisterne-General stehen, der fast so viele Soldatinnen und Soldaten befehligt, wie die komplette Marine zählt. Der Schutz der Truppe vor Angriffen von außen steht im Vordergrund. Schon jetzt fliegt ein Kampfjet vom Typ Eurofighter nur, weil an Bord 80 Computer über 100 Kilometer Kabel vernetzt sind. Würde hier unentdeckt ein Virus eingeschleust, könnte das zu verheerenden Folgen führen. Lahmgelegte Steuer- und Abwehrfunktionen oder gar ferngelenkte Bombardierungen der eigenen Truppen eingeschlossen.

Es ist die wirksamste und kostengünstigste Art der Kriegführung. Im Konflikt um das iranische Atomprogramm gaben die USA und Israel Pläne zur Bombardierung von Schlüsselkomplexen auf, weil die unter vielen Metern Fels, Stahl und Beton auch für stärkste Bomben kaum erreichbar waren. Ein mit großem Aufwand entwickelter Computerwurm ("Stuxnet") indes drang ein, legte 2010 große Teile des Nuklearprojekts lahm und beschädigte sie auch physisch.

Das Ausschalten der Energieversorgung als Mittel nachdrücklicher Bedrohung funktioniert ebenfalls längst. Zu besichtigen war es 2007 in Estland, als Russen damit auf die Verlegung eines sowjetischen Denkmals reagierten, und auch im Ukraine-Krieg zeigen Computer-Spezialisten, wie nicht nur Infanterie und Artillerie einem Gegner zusetzen, sondern die Menschen auch weit von der Front einem Gefühl von Ohnmacht und Unterlegenheit ausgesetzt werden können.

Immer wieder decken IT-Spezialisten Sicherheitslücken auf. So waren auch bei der Bundeswehr die Bereiche Sold und Beschaffung kaum geschützt. Ein Eindringen in die Administratorenrechte hätte ein komplettes Chaos anrichten können. Als dem Bundestag das im Mai vergangenen Jahres passierte, musste das Parlament für Tage vom Netz. Unbemerkt waren bei der Cyber- attacke über 15 Gigabyte an Daten aus den Büros gesogen worden. In diesem Fall bemerkten die Sicherheitsbehörden das Eindringen bereits nach wenigen Wochen. Im Schnitt vergehen indes nach Berechnungen der Bundeswehr-Spezialisten 200 Tage, bis ein komplexer Angriff erkannt wird, und dann braucht es erneut rund einen Monat, bis das Problem behoben ist.

Vor diesem Hintergrund ist es beunruhigend, dass auf die Regierungsstellen täglich bis zu 6500 Angriffe verübt werden. Das sind meistens Massenoffensiven, die relativ leicht beherrscht werden. Gefährlich sind die Attacken, die mit großem Know-how sehr zielgerichtet mögliche Schwachstellen ins Visier nehmen. Aber auch davon zählt das Bundesamt für IT-Sicherheit täglich mehr als 20 Versuche.

Sie können auf den ersten Blick sehr harmlos daherkommen. Im Bundestag steckten die Schadwürmer unter anderem in einer E-Mail, die gewöhnlichen und regelmäßig geöffneten Tätigkeitsberichten täuschend echt nachempfunden war. Sie kamen scheinbar von einem bekannten und damit absolut vertrauenswürdigen Absender. Auch die Ziele lassen die Gefahrenpotenziale oft nicht auf den ersten Blick erkennen. Wenn etwa die Klimaanlage einer Uni plötzlich ferngelenkt würde, könnte man zunächst eher an schwitzende oder frierende Studenten denken. Doch wenn dann in der Uni die Lüftung im Chemielabor mit hochgiftigen Dämpfen nicht mehr beherrschbar wäre . . . - so wird deutlich, an was die Sicherheitsbehörden alles denken sollten.

Die Cybertruppe der Bundeswehr kann auch Angriff. Eine kleine, geheime Einheit in Rheinbach bei Bonn soll bereits 2015 in afghanischen Netzen nach Hinweisen auf eine entführte Deutsche gesucht haben. Ein Mandat für diesen Angriff der Militärs ist nicht bekannt. Es muss aber auf jeden Fall neu durchdacht werden, was die Bundeswehr darf und was nicht. "Es gibt keine äußere und innere Grenze im Cyberraum mehr", betont von der Leyen. Und so sieht die Bundeswehr die Abwehr von verheerenden Angriffen auf die deutsche Infrastruktur als Teil der Landesverteidigung. Dafür rüsten indes auch das Innenministerium, die Polizei, der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Herbst will de Maizière ein Konzept für eine neue, schlagkräftige, rund um die Uhr arbeitende Spezialbehörde fertig haben. Konflikte zeichnen sich damit ab. Nicht nur im Cyberraum.