NSA in NRW
Bei der Expertenanhörungen im Landtag zur Cyberspionage spionierte ausgerechnet das US-Konsulat
Am Donnerstag informierten sich im NRW-Landtag die Abgeordneten in zwei Ausschüssen über den Stand der IT-Sicherheit vor dem Hintergrund der Snowden-Enthüllungen.
Die Edward Snowdens aus NRW: Datensicherheit und Informantenschutz
Im Innenausschuss referierten auf Antrag der Fraktion der NRW-Piraten Experten zu den Risiken der Kommunen durch Ausspähen, sowie zur Frage, ob in Verwaltung und Unternehmen entsprechendes Whistleblowing gesetzlich flankiert werden solle.
Wie krass die Sicherheitslücken im kommunalen Bereich sind, erläuterte der IT-Experte Tobias Morsches, der Penetrationstests durchführt. So war es seiner Firma in allen untersuchten Kommunen möglich, ohne Vorzeigen eines Ausweises Zugang zu Netzwerken zu erhalten. In fast allen Fällen gelang es, ohne Insiderkenntnisse innerhalb von zwei bis acht Stunden Zugriff auf alle Systeme zu bekommen. Dabei kam er an so sensible Daten wie Alias-Identitäten für gefährdete Personen, Steuerdaten, Online-Banking, Anträge für Wirtschaftsförderung oder Alarmierungs- und Leitsysteme der Feuerwehr. Dabei hatte er durchaus auch schreibenden Zugriff, hätte etwa Bußgeldbescheide löschen können – was bei manchem Verwaltungsangestellten offenbar gängige Praxis ist. Auf kritische Infrastrukturen wie Strom, Wasser, Gas und Abwasser hätte er Zugriff nehmen können. Den staatlichen Auftrag, die Grundrechte der Bürger auf informationelle Selbstbestimmung zu schützen, erfüllten die Kommunen nicht, entsprechende Schäden wären wegen grober Fahrlässigkeit kaum versicherungsrechtlich gedeckt.
Zur Frage, inwiefern Whistleblowing zur Verbesserung der Sicherheitsinfrastruktur etwa in Unternehmen beitragen könne, pflegt der Verein Whistleblower Netzwerk e.V. naturgemäß eine zustimmende Auffassung, während die Landesvereinigung der Unternehmerverbände nichts von derartigem hielt. Eine Alternative zu anonymen E-Mail-Briefkästen sind Ombudspersonen. Insoweit verfügte die Rechtsanwältin Dr. Stefanie Lejeune über Erfahrung und erläuterte etwa die arbeitsrechtliche Seite.
Ein NRW-Unternehmen, in dem man bislang besonders naiv mit US-IT umgeht, ist übrigens der NRW-Landtag selbst.
Freundliche Spionage
Im Wirtschaftsausschuss referierten ebenfalls auf Antrag der Piratenfraktion Experten zum Thema Wirtschaftsspionage in NRW, also Spähangriffe durch Geheimdienste im Interesse ausländischer Wirtschaft. Bundesweit rechnet man mit hierdurch verursachten Schäden in der Größenordnung von jährlich zwischen 20 und 50 Milliarden €. Eine zentrale Frage betraf auch, inwiefern die Experten Wirtschaftsspionage durch befreundete Staaten befürchten.
Diese Frage dürfte einen besonderen Gast angezogen haben: Auf der ansonsten nahezu leeren Besucherempore wurde ausgerechnet die Referentin für Wirtschaft und Politik des US-Generalkonsulats identifiziert. Offenbar scheint es wieder an der Kommunikation zwischen CIA und NSA zu hapern, denn den Elektrospähern kann schwerlich entgangen sein, dass die Veranstaltung ins Netz gestreamt wurde, wo man sie unauffälliger hätte observieren können. Vielleicht war sie ja auch nur zur Qualitätskontrolle funkender Bügeleisen oder Wasserkocher vor Ort, die vertrauliche Kommunikation zum 3 km entfernten US-Generalkonsulat übertragen könnten.
Für den NRW-Verfassungsschutz, also den zur Abwehr fremder Nachrichtendienste zuständige Inlandsgeheimdienst, sprach Ministerialdirigent Burkhard Freier, der auf die Frage, ob Anlass zur Sorge vor Wirtschaftsspionage durch befreundete Organisationen bestünde, Entwarnung gab: Die Verfassungsschutzbehörde des Landes Nordrhein-Westfalen hat keine eigenen Erkenntnisse, dass sogenannte befreundete Dienste Wirtschaftsspionage in Nordrhein-Westfalen betreiben. Auch dem Präsidenten des Bundesamtes für Verfassungsschutz liegen nach eigener Aussage "keinerlei Erkenntnisse vor, die die These einer Wirtschaftsspionage aus dem Westen stützen".
Etliche der anderen Experten hatten allerdings einen anderen Eindruck gewonnen. Der Vertreter der Arbeitsgemeinschaft Produkt- und Know-How-Schutz wurde sehr deutlich: Grundlegend ist zu festzustellen, dass die USA arroganter Weise für sich in Anspruch nehmen, dass es außerhalb der USA "nichts Besseres gibt" und sie nicht klauen müssten. Gleichzeitig darf es aber nichts geben, über dass sie nicht Bescheid wissen – dies stellt den Grundsatz der totalen Überwachung dar. Tatsächlich sei, unabhängig von den NSA-Aktivitäten, die Masse der sichtbaren Folgen der Industriespionage aus Asien weitaus gravierender. Er verwies auf ALSTOM vs. SIEMENS (Südkorea) und Äußerungen von Staatsfunktionären aus Frankreich und den USA. Die hohen Kosten für die Geheimdienste seien Steuerverschwendung, wenn man sie nicht für die eigene Volkswirtschaft nutze.
Das strukturelle Problem der Cyberspionage ist allerdings, dass sie selten überhaupt bemerkt wird und der Nachweis der Urheberschaft schwierig ist. So wies denn auch Jürgen Schmidt von heise security darauf hin, dass ein cleverer Profi seinen Spähangriff als solchen einer Dritten Partei tarnen würde. Im Zuge der Snowden-Enthüllungen zieht der Experte inzwischen auch exotische Methoden in Betracht, die man vor einem Jahr noch als rein theoretisch und paranoid verworfen hätte. Die Strategie, aus Sicherheitsgründen keine Produkte aus den USA oder China einzusetzen, sieht der Experte als derzeit nur schwer realisierbar, da es für viele Hardware-Produkte keine einheimischen Alternativen gäbe und im Softwarebereich US-Firmen wie Microsoft und Apple dominierten. Er verwies jedoch auf Open-Source-Entwicklungen, etwa das chinesische Red Flag Linux. Auch traut er deutschen Virenscannern eher über den Weg, Telekomdienste hätten ihn jedoch nicht so recht überzeugt.
Temperamentvoller äußerte sich der IT-Experte Bernd Oliver Bühler, der an den Echelon-Bericht der EU von 2001 erinnerte. Bühler zitierte auch den französischen Präsident Mitterand (1989): „Betrachten wir die Weltwirtschaft, so sieht man ein Schlachtfeld vor sich, auf dem sich die Unternehmen einen gnadenlosen Krieg liefern. Gefangene werden nicht gemacht. Wer fällt, stirbt. Der Sieger kämpft nach alterprobten kriegsstrategischen und sehr einfachen Regeln: die beste Vorbereitung, die schnellsten Bewegungen, der Vorstoß auf feindliches Terrain, gute Verbündete, der Wille zum Sieg.“ Bühler wies darauf hin, dass es Mitarbeitern von US-Geheimdiensten grundsätzlich nicht untersagt sei, sich parallel in der Privatwirtschaft zu engagieren.
Beim Anhörungstermin fanden gerade einmal 14 Abgeordnete den Weg in den Landtag, fast alle Piraten oder Grüne. Eine CDU-Abgeordnete hatte zu Beginn eine diffuse Frage gestellt und kurz darauf den Saal verlassen. Die Sicherheit sowie die Interessen der Wirtschaft scheinen für Konservative keine wichtigen Themen zu sein. Auch Pressevertreter machten sich rar. Auf die professionelle wie nachhaltige Aufmerksamkeit der USA hingegen, da scheint Verlass zu sein ...