Die Bundeswehr hat nach Informationen von SPIEGEL ONLINE bereits 2015 ihre Cyber-Einheit offensiv eingesetzt. Damals hackten sich die Experten der Einheit "Computer Netzwerk Operationen" (CNO) in die internen Netze eines afghanischen Mobilfunkbetreibers ein, um dort Informationen über die Entführung einer Entwicklungshelferin in Afghanistan zu erlangen.

Bis heute betont die Bundeswehr stets, die streng abgeschirmte Truppe von rund 80 IT-Experten spiele in der Tomburg-Kaserne in Rheinbach Cyberangriffe und Gegenattacken ausschließlich unter Laborbedingungen durch. Dabei sei zwar eine "Anfangsbefähigung" für Attacken erreicht worden - aber eben nur offline.

Im Herbst 2015 operierten die Cyber-Krieger dagegen durchaus in fremden und weit entfernten Netzen. Hintergrund war eine Bitte des Krisenstabs, der an einem komplizierten Geiselfall in Afghanistan arbeitete. Dort war am 17. August die Entwicklungshelferin Käthe B. vor dem Kabuler Büro der GIZ entführt worden.

Wochen danach liefen erste diskrete Verhandlungen zur Freilassung der Deutschen. Mühsam hatte der Krisenstab über Mittelsmänner einen Kontakt zu den Entführern aufgebaut. Diese sagten zu, die Deutsche gegen Lösegeld freilassen zu wollen. Im Krisenstab allerdings herrschte Unsicherheit, ob den Kriminellen zu trauen sei. Deshalb wollte man wissen, ob sich die Entführer an die Abmachungen für eine Übergabe der Geisel halten oder nicht.

Für den Notfall hatte die Bundeswehr bereits das Kommando Spezialkräfte (KSK) nach Kabul verlegt. Die Elitesoldaten bereiteten parallel zu den Gesprächen des Krisenstabs einen Zugriff vor. Wären die Verhandlungen gescheitert, sollte das KSK die deutsche Entwicklungshelferin gewaltsam aus den Händen der Entführer befreien. Solche Missionen gelten grundsätzlich als hochgradig riskant.

Die Aufgabe für die Cybereinheit der Bundeswehr war entsprechend dringlich: Über die von den Entführern benutzten Mobiltelefone sollten die IT-Experten so genau wie möglich herausfinden, ob diese sich noch wie von ihnen behauptet mit der Geisel in Kabul aufhielten und sich zum verabredeten Zeitpunkt zu einem Übergabeort in der afghanischen Hauptstadt bewegten oder nicht.

Die CNO-Einheit fand eine Lösung: Über die im Internet verfügbare Kundenwebseite eines afghanischen Mobiltelefonbetreibers hackte sie sich in das System des Anbieters. Kurz darauf konnten die Soldaten auf die Geo-Positionsdaten der Entführer-Telefone zugreifen. Mehr oder weniger live verfolgten sie so die Bewegungen der Kidnapper nach.

Freilassung nach zwei Monaten

Für die Verhandler waren die Bewegungsprofile entscheidend. Am Ende gelang die Freilassung: Am Morgen des 17. Oktober, exakt zwei Monate nach der Entführung, übergab in Kabul ein Mittelsmann die unverletzte Entwicklungshelferin an deutsche Soldaten.

Die erste Cybermission der Bundeswehr wird von der Regierung bis heute geheim gehalten. Kurz nach der Freilassung von Käthe B. hatte Außenamts-Staatssekretär Markus Ederer den Bundestag zwar informiert, dass "zur Unterstützung des Krisenstabs vor Ort" auch Soldaten der Bundeswehr, darunter auch das KSK und "Experten vor Ort", aktiv waren. Von der Cybermission hingegen schrieb Ederer kein Wort.

Das Bundesverteidigungsministerium wollte auf Anfrage von SPIEGEL ONLINE auch ein Jahr später keinen Kommentar abgeben. Über Operationen der Einheit CNO, so ein Sprecher, würden ausschließlich die entsprechenden geheim tagenden Ausschüsse wie das Parlamentarische Kontrollgremium des Bundestags oder die Obleute des Verteidigungsausschusses unterrichtet.

Frage des Lösegelds bleibt heikel

Unter Experten wird die erste Hacker-Mission der Bundeswehr nicht als Cyberangriff gewertet, da die Soldaten im System des Mobilfunkbetreibers keinen Schaden anrichteten, Experten sprechen deswegen eher von einer "offensiven Penetration". Trotzdem war im Krisenstab lange über den Einsatz der Experten diskutiert worden, da die Rechtslage unklar war.

Im Nachhinein hält die Regierung den Einsatz der Hacker durch das Afghanistan-Mandat der Bundeswehr durchaus für gedeckt, da es alle militärischen Mittel zum Schutz und der Rettung von Deutschen in Afghanistan erlaubt. Heikel bleibt, dass die Entwicklungshelferin durch die Zahlung von Lösegeld freikam, obwohl die Regierung offiziell immer wieder betont, sie sei nicht erpressbar.