Der Krieg, der keine Uniform trägt
Auf der AFCEA-Fachausstellung in Bonn sprach Julian Fischer von Google über hybriden Krieg und europäische Souveränität. Wer dabei an klassische Frontlinien denkt, hat die Lage verfehlt. Die hybride Auseinandersetzung spielt sich dort ab, wo der Alltag digital geworden ist: in Identitäten, Berechtigungen, Updates, Abhängigkeiten. Sie beginnt nicht mit einer Kriegserklärung. Sie beginnt mit einem kompromittierten Zugang, einem manipulierten Narrativ, einem gezielten Ausfall zur falschen Zeit.
Fischer nahm diesen Befund ernst, ohne ihn zu dramatisieren. Er beschrieb eine Welt, in der digitale Infrastruktur nicht länger ein Werkzeug ist, das man zusätzlich hat. Sie ist die Grundlage der Handlungsfähigkeit. Wer sie nicht kontrolliert, kontrolliert am Ende auch nicht die eigene Reaktion. Der hybride Gegner muss keine Panzerkolonnen bewegen. Er genügt sich mit Störungen, die Misstrauen säen, Prozesse verlangsamen, Entscheidungsräume verengen. Eine Demokratie, die unter Zeitdruck Entscheidungen treffen muss, verliert Spielraum. Darauf zielt der Angriff.
Souveränität als Frage der Zugriffsmacht
Das Wort „Souveränität“ fällt in Europa schnell, oft begleitet von dem Wunsch, Abhängigkeiten zu reduzieren. Fischers Vortrag führte diese Debatte in die technische Wirklichkeit zurück. Souveränität entsteht nicht durch ein Etikett auf einem Rechenzentrum. Sie entsteht durch Zugriffsmacht: Wer hat Sicht auf Bedrohungen, wer erkennt Muster, wer kann in Minuten reagieren, wer spielt Patches aus, wer isoliert kompromittierte Konten, wer stellt Dienste wieder her.
In dieser Logik rücken die großen Plattform- und Cloudanbieter in eine Rolle, die der Staat allein kaum ausfüllen kann. Sie haben globale Telemetrie, sie sehen Angriffsserien, bevor sie in Pressemitteilungen auftauchen, sie verfügen über Teams, die rund um die Uhr auf neue Techniken reagieren. Das hat nichts mit politischer Sympathie zu tun. Es ist Struktur. Wer einen großen Teil der digitalen Infrastruktur betreibt, wird automatisch Teil der Sicherheitsarchitektur.
Damit entsteht eine Paradoxie, die Fischer nicht auflösen kann, aber offenlegt. Europa will digitale Souveränität, nutzt zugleich Infrastruktur, Sicherheitsforschung und Abwehrkompetenz globaler Konzerne. Diese Realität lässt sich nicht wegwünschen. Sie lässt sich nur steuern. Souveränität heißt unter diesen Bedingungen: Wahlfreiheit, vertraglich abgesicherte Zuständigkeiten, klare Regeln für Datenzugriff, Transparenz über Sicherheitsprozesse, Exit-Fähigkeit, Notfallmechanismen, die auch dann funktionieren, wenn Politik und Märkte in Bewegung geraten.
Investitionen als Sicherheitsfaktor, nicht als PR
Fischer sprach auch über Googles Investitionen in Cybersecurity. Das ist der Teil, der bei kritischen Zuhörern reflexhaft Alarm auslöst, weil Konzerne in sicherheitspolitischen Kontexten gern als Lobbyakteure gelesen werden. Der Vortrag ließ sich jedoch auch anders hören: als Hinweis darauf, dass Sicherheit im Digitalen nicht als Projekt erledigt wird. Sie braucht dauerhafte Investitionen, Personal, Forschung, Infrastruktur, Übungen, eine Kultur schneller Updates. Wer Sicherheitsfähigkeit fordert, muss akzeptieren, dass sie Ressourcen bindet. Die Vorstellung, der Staat könne digitale Sicherheit im Alleingang organisieren, wirkt in dieser Lage wie eine Erinnerung an eine frühere Epoche.
Gleichzeitig drängt sich eine zweite Frage auf, die in Bonn unter der Oberfläche mitschwang: In welchem Umfang will Europa eigene Kapazitäten aufbauen, um nicht nur Nutzer, sondern gestaltender Akteur zu sein? Investitionen von Google, Microsoft oder Amazon ersetzen keine europäische Strategie. Sie überdecken nur kurzfristig die Lücken. Dauerhafte Handlungsfähigkeit entsteht erst, wenn Europa Standards setzt, Kompetenzen ausbildet, eigene Sicherheitsforschung stärkt, kritische Abhängigkeiten reduziert und im Krisenfall Prioritäten durchsetzen kann.
Der hybride Gegner greift die Kette an
Fischer führte die Logik hybrider Bedrohungen über den reinen Cyberbegriff hinaus. Angriffe treffen selten nur ein System. Sie treffen Ketten: Zulieferer, Dienstleister, Updatekanäle, Identitätsanbieter, Kommunikationsplattformen. Ein Angriff auf den kleinen Dienstleister kann das große Haus treffen. Ein Angriff auf den Betreiber kann die Kommune treffen. Ein Angriff auf die Narrative kann das Vertrauen in die Reaktion zerstören, noch bevor die Reaktion startet.
Damit verschiebt sich der Fokus von Einzelsystemen auf Interdependenzen. Wer europäische Souveränität ernst meint, muss diese Ketten kartieren und absichern. Das betrifft auch kritische Infrastrukturen, die häufig privat betrieben werden: Energie, Wasser, Kommunikation, Verkehr, Gesundheit. Das „gesamtstaatliche“ Element besteht nicht in einem großen Plan. Es besteht in der Fähigkeit, die Betreiberwelt, die Behördenwelt und die militärische Welt in einem gemeinsamen Lagebild zusammenzuführen, mit kompatiblen Schnittstellen, klaren Eskalationswegen und gemeinsam geübten Abläufen.
Hackbacks als Grenzfrage des Rechtsstaats
Spätestens an diesem Punkt landet jede ernsthafte Diskussion bei der Hackback-Frage. Der Begriff ist in Deutschland politisch verbrannt, weil er nach Vergeltung klingt. Der Bedarf an Handlungsfähigkeit verschwindet dadurch nicht. Im Gegenteil. Wer Angriffe dauerhaft erträgt, wird für Angreifer kalkulierbar. Kalkulierbarkeit ist die Einladung zur Wiederholung.
Fischer stand mit Google naturgemäß nicht als Befürworter staatlicher Gegenangriffe auf der Bühne. Der Vortrag öffnete jedoch die Debatte, weil er die operative Realität sichtbar machte: Abwehr bedeutet oft Unterbrechung. Unterbrechung heißt, Angriffswege zu schließen, kompromittierte Segmente zu isolieren, schädliche Infrastruktur zu neutralisieren, Finanzströme zu blockieren, Identitäten zu sperren. Die Grenze zur Offensive verläuft im Digitalen nicht entlang von Uniformen, sie verläuft entlang von Wirkung und Zuständigkeit.
Genau hier entsteht die politische Aufgabe. Ein Staat braucht Werkzeuge, um kritische Infrastruktur zu schützen. Er braucht zugleich Regeln, die Missbrauch verhindern. Attribution bleibt schwierig, Kollateralschäden bleiben möglich, Zuständigkeiten zwischen Bund und Ländern bleiben heikel. Die Alternative, nichts zu tun, ist jedoch keine Neutralität. Sie ist eine Entscheidung für Passivität. Der Rechtsstaat muss seine Antwort so bauen, dass Handlungsfähigkeit möglich bleibt, Kontrolle möglich bleibt, Tempo möglich bleibt. Tempo ist der Engpass, nicht der Wille.
Die Zeit als eigentliche Währung
Der hybride Gegner spielt auf Zeit. Er stiehlt Zeit durch Überlastung, durch Desinformation, durch Angriffe auf Kommunikationswege, durch Bürokratieeffekte. In Bonn wurde deutlich, dass moderne Cyberabwehr kein Krisenmodus ist, der sich bei Bedarf einschaltet. Sie ist Dauerbetrieb. Sie braucht Automatisierung, die transparent bleibt. Sie braucht Entscheidungsunterstützung, die Unsicherheit sichtbar macht. Sie braucht Bedienbarkeit, die im Stress nicht kollabiert. Sie braucht Übungen, weil die beste Technologie im Ernstfall an Missverständnissen scheitert.
Das führt zurück zur Souveränitätsfrage. Souveränität heißt in dieser Zeitrechnung: schneller entscheiden können, schneller koordinieren können, schneller wiederherstellen können. Wer in mehreren Lagebildern lebt, verliert Minuten. Wer Daten nicht teilen darf, verliert Stunden. Wer erst in der Krise Zuständigkeiten klärt, verliert Tage. Der hybride Gegner braucht diese Verluste nicht zu erzwingen. Die Struktur liefert sie frei Haus.
Europa zwischen Abhängigkeit und Gestaltung
Der Google-Vortrag hat in Bonn eine unbequeme Wahrheit ausgesprochen, ohne sie als Provokation zu inszenieren: Europas Sicherheitslage hängt an digitaler Infrastruktur, die großteils privat betrieben wird. Daraus folgt keine Unterwerfung. Daraus folgt eine Aufgabe. Europa muss die Bedingungen definieren, unter denen Kooperation stattfindet. Es braucht technische Standards, rechtliche Klarheit, Austauschformate, Beschaffung, die Innovation nicht erdrückt, und eine Strategie, die eigene Fähigkeiten aufbaut.
Wer in Europa von Souveränität spricht, muss die Rolle der Konzerne klar benennen. Sie sind weder Feind noch Ersatzstaat. Sie sind Akteure mit eigenen Interessen, eigenen Ressourcen, eigener Reichweite. Der Staat bleibt verantwortlich, weil nur er Recht setzen, Prioritäten definieren und im Extremfall Zwang ausüben kann. Der Staat bleibt auch in der Pflicht, weil Sicherheit am Ende eine öffentliche Aufgabe ist, unabhängig davon, wer die Server betreibt.
Anschluss an das Sicherheitsökosystem
Bonn zeigte an diesem Tag, wie eng militärische, zivile und wirtschaftliche Ebenen bereits ineinandergreifen. Der hybride Krieg trifft die Kommune, bevor er das Ministerium erreicht. Er trifft die Lieferkette, bevor er die Kaserne trifft. Er trifft die Erzählung, bevor er die Infrastruktur trifft. Ein gesamtstaatliches Sicherheitsökosystem braucht daher mehr als Technik. Es braucht Verbindungen, gemeinsame Standards und eine operative Verständigung darüber, wer in welcher Lage was tut.
Der Vortrag von Julian Fischer hat dafür einen Baustein geliefert: die Perspektive eines Akteurs, der täglich mit Angriffsmustern arbeitet und der weiß, dass Sicherheit im Digitalen nie „fertig“ ist. Die politische Frage bleibt offen: Ob Europa die Kraft findet, aus dieser Realität Gestaltung zu machen.
