Fähigkeiten der "Cyber-Truppe" der Bundeswehr

Welche Einsätze von IT-Kräften der Bundeswehr, insbesondere der CNO- Einheit sowie deren Nachfolgeinstitutionen, wie dem Zentrum Cyber- Operationen, gab es seit Gründung der CNO (Computer-Netzwerk-Operationen) im Jahr 2006?

Welche Kräfte innerhalb des Kommando CIR (Cyber- und Informationsraum) sind für die kontinuierliche Lagebildaufklärung im „Cyber-Raum“ zuständig?

Welche anderen Bereiche bzw. Einheiten der Bundeswehr sowie externer Stellen wie beispielsweise der Nachrichtendienste sind an der Lagebildaufklärung im „Cyber-Raum“ beteiligt, und in welchem Umfang?

Inwieweit werden im Rahmen der Vorfeldaufklärung in Friedenszeiten bzw. außerhalb nur im bewaffneten Konflikt geltender spezifischer Befugnisse auch fremde IT-Systeme analysiert?

Wodurch wird dabei der völkerrechtlich gebotenen Differenzierung zwischen staatlichen und privaten Akteuren bzw. IT-Systemen Rechnung getragen?

Welche Kooperationen von IT-Kräften der Bundeswehr, des Kommando CIR, der CNO-Einheit sowie deren Nachfolgeinstitutionen wie dem Zentrum Cyber-Operationen mit anderen deutschen staatlichen Stellen bzw. Nachrichtendiensten gab und gibt es?

In welchen Anteilen wurden und werden hier welche Aufgaben erfüllt, und zu welchen Zwecken?

Inwieweit wurden und werden durch IT-Kräfte der Bundeswehr, das Kommando CIR, die CNO-Einheit sowie deren Nachfolgeinstitutionen wie das Zentrum Cyber-Operationen oder andere Stellen im Geschäftsbereich des Bundesministeriums der Verteidigung Exploits bzw. Schwachstellen in IT-Produkten (Soft- und Hardware) mit dem Ziel der Ausnutzung dieser Schwachstellen für Aufklärung oder offensives Wirken im „Cyber-Raum“

a) eigenständig gesucht,

b) angekauft (bitte unter nachvollziehbarer, präziser Angabe der zugrunde gelegten Haushaltstitel auflisten) bzw.

c) durch Kooperationen mit anderen Diensten oder Staaten bereitgestellt?

Inwieweit existiert derzeit eine Praxis im Geschäftsbereich des Bundesverteidigungsministeriums und nachgeordneter Stellen, erkannte Schwachstellen in IT-Produkten (Soft- und Hardware) zu melden bzw. veröffentlichen?

Inwieweit und unter welchen Bedingungen werden Sicherheitslücken –sofern sie verwendet werden – zurückgehalten für eine spätere Nutzung?

Inwiefern findet ein kontinuierlicher Prozess der Abwägung über deren Veröffentlichung statt (im Sinne eines Vulnerabilities Equities Process)?

Welche Ansätze im Zuständigkeitsbereich der gesamten Bundesregierung gibt es, im Interesse der IT-Sicherheit darauf hinzuwirken, dass

a) ausnahmslos alle bekannt werdenden Sicherheitslücken gemeldet und geschlossen werden und nicht zur Infiltration von Netzen genutzt werden dürfen, und

b) an diese Verpflichtungen auch staatliche Stellen – einschließlich Geheimdiensten und Stellen im Geschäftsbereich des Bundesverteidigungsministeriums und nachgeordneter Behörden – gebunden werden, d. h. die Meldepflichten auch für diese gelten und ihnen die Nutzung von Exploits bzw. Schwachstellen untersagt wird?

Welche Kooperationen oder Bedarfsmeldungen gibt es seitens des Kommando CIR an die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) sowie an die neue Agentur für Innovation in der Cybersicherheit?

Welche Einsatzszenarien wurden und werden durch die CNO-Einheit sowie deren Nachfolgeinstitutionen wie das Zentrum Cyber-Operationen geübt?

Für welche strategischen Aufgaben und Ziele planen diese IT-Kräfte?

Welche Einheiten im Geschäftsbereich des Bundesverteidigungsministeriums außer der CNO-Einheit sowie deren Nachfolgeinstitution Zentrum Cyber-Operationen verfügen über Fähigkeiten zum „Wirken im Cyber-Raum“?

In welchem quantitativen und qualitativen Verhältnis steht bei der Aus- oder Fortbildung von IT-Kräften, im Kommando CIR, bei der CNO-Einheit sowie deren Nachfolgeinstitutionen wie dem Zentrum Cyber-Operationen der Bundeswehr das Vermitteln offensiver Fähigkeiten und Fähigkeiten zum „Wirken in fremden Netzen“ zum Erwerb und der Vermittlung von Fähigkeiten zur Härtung von IT-Systemen?

Inwieweit und konkret durch welche Verfahrensschritte wird bei der Auswahl von Bewerberinnen und Bewerbern, der Nachqualifikation von Mannschaften und der Ausbildung aller (zukünftigen) IT-Kräfte im Geschäftsbereich des Bundesverteidigungsministeriums darauf geachtet und sichergestellt, dass diese qualifiziertes Fachwissen über Stabilität, Sicherheit, Zuverlässigkeit von IT-Systemen und auch darüber besitzen bzw. erwerben, wie typische Angriffe auf die IT-Infrastruktur funktionieren und wie Hard- und Software schon bei der Entwicklung dagegen geschützt werden kann?

Welche Planungen – sowohl personell als auch hinsichtlich technischer Fähigkeiten – gibt es im Kommando CIR über 2021 hinaus?

Inwieweit ist beabsichtigt, das Parlament über die offensiven Fähigkeiten bzw. Fähigkeiten zum „Wirken im Cyber-Raum“ zu unterrichten, die erworben werden durch IT-Kräfte der Bundeswehr, das Kommando CIR, die CNO-Einheit sowie deren Nachfolgeinstitutionen wie das Zentrum Cyber-Operationen oder andere Stellen im Geschäftsbereich des Bundesverteidigungsministeriums?

In welcher Form und in welchem Detailumfang?

In welcher Form konkret ist eine Beteiligung des Parlaments vor dem Einsatz offensiver Fähigkeiten bzw. Fähigkeiten zum „Wirken im Cyber-Raum“ durch IT-Kräfte der Bundeswehr, das Kommando CIR, die CNO-Einheit sowie deren Nachfolgeinstitutionen wie das Zentrum Cyber-Operationen oder andere Stellen im Geschäftsbereich des Bundesverteidigungsministeriums realisiert oder beabsichtigt?

Welche Fähigkeiten aus dem IT-Bereich sollen der NATO zur Verfügung gestellt werden (vgl. www.zeit.de/news/2019-02/14/deutschland-stellt-natomittel-fuer-militaerische-cyber-einsaetze-zur-verfuegung-20181004-doc- 19r778)?