Eine Kaserne, rund zehn Autominuten südlich von Tallinns Zentrum. Keine mittelalterlichen Türme, keine verwinkelten Gassen, kein Honigbier und keine Souvenirs aus Bernstein für die Millionen von Touristen, die Sommer für Sommer in die estnische Hauptstadt reisen. Hier gibt es Stacheldrahtzäune, Passkontrollen, finstere Gesichter und Metalldetektoren. Hier steht seit drei Jahren das Cooperative Cyber Defence Centre of Excellence (CCDCOE) der North-Atlantic Treaty Organization (NATO). Rund dreißig Menschen arbeiten in den Baracken, die der russische Zar Anfang des 20. Jahrhunderts errichten ließ und die heute der estnischen Armee gehören. Sie beschäftigen sich mit einem einzigen Thema: Dem Krieg im Internet. Die NATO-Experten denken schon einmal darüber nach, was dann völkerrechtlich erlaubt sein wird. Und sie üben. Dann tritt Team Blue gegen Team Red an, ihre Waffen sind die Computer, ihre Munition sind die Kommandos, die sie in die Tastaturen hämmern. Der estnische Oberst Illmar Tamm leitet das CCDCOE. Vor ein paar Jahren kämpfte er noch in Afghanistan, jetzt sitzt er den ganzen Tag vor dem Bildschirm. Seinen neuen Arbeitsplatz darf er nicht herzeigen: „classified“. Deswegen sitzt er steif in einem der Sofasessel der Bibliothek im Erdgeschoss und erzählt von Cyberwaffen und seinem Unbehagen mit dem Wort Krieg.

NATO-Generalsekretär Anders Fogh Rasmussen denkt seit Längerem laut (zuletzt in der Sommernummer des US-amerkanischen Magazins Foreign Affairs) über die Kriegsführung im Internet nach. Entwickeln Sie hier die Waffen dafür?

Nicht direkt. Niemand hier schreibt Code von potentiell schädlicher Software, die einmal als Cyberwaffe verwendet werden kann. Auf der anderen Seite müssen unsere Leute natürlich verstehen, was das für Waffen sind und wie sie eingesetzt werden können. Während unserer Übungen bitten wir Experten, ihre eigene Malware (vom Englischen malicious also schädlich, Anm.) mitzubringen. Ich würde aber nicht sagen, dass wir eine Rüstkammer betreiben. Man kann uns nicht einfach eine Anfrage schicken, wir schicken Ihnen einen Preis und dann produzieren wir die Dinger in den nächsten paar Monaten für Sie. 

Aber es gibt doch Leute, die genau das machen. 

Natürlich können sie einfach mal das Internet durchstöbern. Da werden Sie alle möglichen Dinge finden, manchmal für relative kleine Summen. Die meisten haben strafrechtliche Konsequenzen für Sie. Ja, diese Dinge gibt es und Sie sind gar nicht mal so teuer. 

Die besten von ihnen kommen vom Militär. Das auf Millionen Dollar an Entwicklungsgeldern geschätzte Stuxnet wurde mit ziemlicher Sicherheit nicht in einer Garage programmiert sondern von einem Geheimdienst. Gibt es da für NATO-Mitglieder irgendwelche Schranken?

Okay, lassen Sie es mich so sagen: Was Sie meinen könnten, ist eine Art von Cyberwaffenkontrolle oder etwas in dieser Art. Natürlich, das könnte es geben. Ich kann die Zukunft nicht vorraussagen. Das hängt auch davon ab, was noch alles passiert. Die NATO ist bis heute als Verteidigungsbündnis definiert. Wenn also der Geheimdienst eines Mitgliedslandes so eine Waffe baut, dann haben wir von unserer Seite aus nichts damit zu tun. Aber die NATO wird auf jeden Fall versuchen, so genannte Rules of Engagement für seine Mitglieder zu vereinbaren. Dabei geht es auch darum, wann man grünes Licht dafür gibt, offensive Waffen einzusetzen. So ein Krieg wird aber nicht nur im Cyberspace geführt, wir rechnen mit kombinierten Attacken. Cyberwaffen werden dann nur ein Werkzeug von vielen sein. Die Rules of Engagement werden vermutlich so aussehen, wie die Ten Rules of Cyber Security, die wir bereits veröffentlicht haben.

Sie führen in dem Zentrum auch Übungen mit vorgeblich neutralen und bündnisfreien Staaten durch. Geht das völkerrechtlich so einfach?

Der Vorteil unseres Zentrums ist, dass wir nicht direkt der NATO-Kommandokette unterliegen, wir sind ein Think Tank. Wir sind mit der NATO assoziiert, aber wir erhalten unsere Mittel aus den Budgets der acht finanzierenden Staaten (zur Zeit Estland, Lettland, Litauen, Deutschland, Ungarn, Italien, Slowakei und Spanien, Anm.). Das heißt, dass wir für bestimmte Projekte mit anderen Ländern zusammenarbeiten können. Im vergangenen Jahr hatten wir eine Übung, bei der auch Schweden, die Schweiz und Finnland dabei waren. Die bildeten verteidigende Teams, Beobachter und Kontrolleure. Die Angreifer haben wir hier aus Tallinn rekrutiert. Die greifen dann ein Netzwerk mit bestimmten Waffen an und wir testen, wie die teilnehmenden Staaten sich verteidigen.

Und da kann jedes Land mitmachen?

 Ich kann sicher keine Politik der offenen Tür betreiben. Wir können nicht jeden, der kommt, einfach so akzeptieren, das wäre eine Illusion. Am Ende müssen das die Staaten entscheiden, die das Zentrum finanzieren. 

Kann man annehmen, dass der alte NATO-Gegner Russland nicht mitmachen darf?

 Ich bin nicht auf dem Level, um jetzt Nein zu sagen. Wenn die Russen eine Kooperation anstreben, dann wird sich das Zentrum damit beschäftigen. Jeder der acht Finanziers kann sein Veto einlegen.

Haben Sie schon Kontakte zu österreichischen Militärs?

 Wir hatten bisher keinen direkten Kontakt. Ich kann mich daran erinnern, dass wir mit Deutschland einige Vereinbarungen getroffen haben.

Was würden Sie eigentlich davon halten, wenn das österreichische Bundesheer eine 1.600 Mann starke Cybereinheit aufstellen würde?

 Wie kommen Sie genau auf diese Zahl?

Das ist ein Vorschlag des österreichischen Verteidigungsministers.

Ich kann Ihnen nicht sagen, ob dieser Vorschlag falsch oder richtig ist. In Estland haben wir ein Modell, wo wir eine Kombination aus zivilen und militärischen Technikern trainieren. Das sind insgesamt nicht mehr als 200 Leute.

Wie definiert die NATO eigentlich den Begriff Cyberkrieg?

Wir vom Zentrum haben so eine Definition nicht. Das wird eine politische Entscheidung sein. Die wird auch davon abhängen, wer gerade attackiert wird. Reden wir von weltweiten Auswirkungen oder von einem einzelnem Versuch? Dann muss man noch die Linie ziehen, ob man so etwas einem Staat zuordnet oder einer politischen Gruppe. Sind die Auswirkungen nur unangenehm oder sind sie so, dass ich morgen nicht einschlafen kann?

Kann man sich hundertprozentig gegen Cyberattacken absichern?

Ich würde argumentieren, dass das nicht geht. Das ist ein netter Traum, Unfälle passieren. Man muss gewisse Risken tolerieren. Die Grenze ist dann erreicht, wenn ein ungeschütztes System katastrophale Endresultate wie Massenpaniken, Stromausfälle oder Unfälle in Atomkraftwerken hervorrufen kann. Dann kann eine Cyberattacke zu Toten führen.

Dieses Interview wurde im Rahmen von Eurotours 2011 erstellt. Eurotours ist ein Projekt der Europapartnerschaft, finanziert aus Gemeinschaftsmitteln der EU. Hier ein Link zur Fanseite des Projektes auf Facebook.