Affäre um Infotecs und das BSI: Faesers fehlende Antworten
Dem BSI-Chef wird zu große Russlandnähe vorgeworfen, doch belegt ist noch nichts. Deutschlands Sicherheitsapparat und die Bundesinnenministerin agieren konfus.
(Bild: Jörn Heller, gemeinfrei (Creative Commons CC0))
Zwei Wochen nach der Sendung ZDF Magazin Royale von Moderator Jan Böhmermann zu Russlandverstrickungen rund um den Verein Cybersicherheitsrat Deutschland e.V. scheint vor allem eines klar: Deutschlands Sicherheitsapparat und die Bundesinnenministerin haben große Probleme und denken und agieren vorrangig in ihren eigenen Silos. Seit die Ministerin nur eineinhalb Tage nach der Ausstrahlung der Sendung in ZDF und Internet bereits Konsequenzen ankündigte und dabei auch ausdrücklich die Demission des BSI-Chefs in Betracht gezogen wurde, zieht der Fall immer neue Kreise – und die Erklärungsnot der Ministerin wird größer statt kleiner.
Vorwürfe gegen BSI-Chef öffentlich nicht erhärtet
Der Kern der Anschuldigungen von Innenministerin Nancy Faeser (SPD) gegen Arne Schönbohm bleibt bisher zumindest öffentlich nicht erhärtet. Nicht einmal andeutungsweise scheint ihm bislang nachzuweisen zu sein, dass er selbst eine zu große Nähe zu russischen Akteuren pflegt. Stattdessen rückt nun eine andere Frage ins Zentrum: Ist die derzeitige Aufstellung der Sicherheitsbehörden und der Modus ihres Zusammenarbeitens überhaupt richtig? Oder kochen die Nachrichtendienste ein ganz eigenes Süppchen, während die Cybersicherheit im Regen steht?
Böhmermanns Berichterstattung hat offenbar nicht nur eine Aktion der deutschen Nachrichtendienste gegen Protelion ins Licht der Öffentlichkeit geschoben. Sie zeigt auf, dass diese zwar beobachteten – aber es nicht für nötig hielten, dafür zu sorgen, dass Berufsgeheimnisträger nicht mehr mit dem Cybersicherheitsrat Deutschland e.V. (CSRD) interagierten. Denn BSI-Präsident Schönbohm – immerhin mit maximaler NATO-Sicherheitsfreigabe ausgestattet – war bei weitem nicht der Einzige, der mit dem umstrittenen Cybersicherheitsrat-Verein interagierte.
BMI wünschte keine Kontakte zum Verein
Trotz einer Weisung des BMI aus dem Jahr 2015, dass Kontakte mit dem Verein möglichst zu unterlassen seien, waren scharenweise Berufsgeheimnisträger mit hohen Sicherheitseinstufungen zu Gast. Auch der damalige Verfassungsschutzpräsident Hans-Georg Maaßen Anfang 2016 (der nun im Zentrum der Diskussionen stehende Hans-Wilhelm Dünn war noch nicht Vereinspräsident) hatte wenig Berührungsängste und war als Hauptredner bei einer Vereinsveranstaltung in Düsseldorf geladen. Maaßen war immer ausgesprochen klar gegen Russland, den NSA-Whistleblower Edward Snowden und andere positioniert und hat in seiner Karriere oft eigenwillige Ideen gehabt, welche Nähe zu ihm passen würde.
Dass der Abteilungsleiter Cybersicherheit im Bundesinnenministerium und der Referatsleiter, teils mehrfach und auch bis vor kurzem mit dem Verein Kontakt pflegten, wirkt da schon eigenwilliger. Immerhin sind sie diejenigen, die unmittelbar für das BSI mitzuständig sind und auch heute am ministerialen Umgang mit dem Fall mitwirken. Wie oft BMI-Angehörige mit dem Cybersicherheitsrat interagierten, ist nicht bekannt – statt zu registrieren, wer wann mit dem Verein ausnahmsweise mit Genehmigung in Kontakt trat, werden nun seit Tagen Dienstkalender durchforstet.
Geheimnisträger wurden nicht deutlich gewarnt
Doch die Fragen gehen seit dem Bekanntwerden der nachrichtendienstlichen Beobachtung von Infotecs und CSRD-Präsident Dünn viel weiter: Warum wurden Berufsgeheimnisträger nicht ausdrücklicher gewarnt? Derartige Warnungen scheint es weder vor und noch nach dem Jahr 2019 gegeben zu haben, als der Cybersicherheitsrat-Präsident Hans-Wilhelm Dünn bereits wegen einer Vereinbarung mit dem russischen Verein NAMIB (engl. NAIIS), der eindeutige enge Verbindungen zu russischen Nachrichtendiensten aufweist, unter besonderer Beobachtung stand. Hans-Wilhelm Dünn nahm damals auch an einer Veranstaltung des russischen Vereins in Garmisch-Partenkirchen teil, nach öffentlicher Kritik wurde die Vereinbarung wieder aufgekündigt. Presseberichte griffen in vielen großen Medien das Thema auf, die FDP stellte Anfragen im Bundestag dazu. Wäre das alles nicht Grund genug gewesen, die Veranstaltungen des Cybersicherheitsrates und die Teilnehmerlisten in den Blick zu nehmen? Und gegebenenfalls einzuschreiten, wenn Geheimnisträger sich in diesem Umfeld bewegten?
Noch im Februar 2022, zwei Wochen vor dem Großangriff Russlands auf die Ukraine mit Auswirkungen eines Satellitenhacks bis nach Deutschland, wurde in Berlin in einem Weinlokal unmittelbar neben den Bundestagsliegenschaften, nur wenige hundert Meter von Kanzleramt und BND-Zentrale entfernt, vom Cybersicherheitsrat wieder eingeladen. In kleiner Runde sollte über die Cybersicherheit in Krankenhäusern und bei anderen kritischen Infrastrukturen im Gesundheitsbereich diskutiert werden. Der Keynote-Speaker: Thomas Strobl, Innenminister des Landes Baden-Württemberg und damit auch Chef des dortigen Landesamtes für Verfassungsschutz, und von Amts wegen Berufsgeheimnisträger.
Ist Schönbohm wirklich das Hauptproblem?
Auf Bildern von anderen Veranstaltungen des Vereins sind bis zur Böhmermann-Sendung immer wieder Uniformträger der Bundeswehr oder Vertreter von Landesbehörden wie dem bayerischen BSI-Pendant LSI und anderen Ministerien zu sehen. Auf Anfrage von heise online bei mehreren ehemaligen Teilnehmern von Veranstaltungen kann keiner davon berichten, dass er oder sie von BMI, BfV oder anderen Sicherheitsbehörden aktiv kontaktiert worden sei, um eine Teilnahme abzusagen oder zumindest besondere Vorsicht dort walten zu lassen. Und das trotz öffentlich bekanntgegebener Veranstaltungseinladungen. Hat man nur deshalb nicht eingegriffen, um laufende Aktionen nicht zu gefährden? Wenn ja, wer hat die Entscheidungen getroffen, dass der Methodenschutz hier vor Geheimnisschutz geht? Waren es die Nachrichtendienste selbst? Oder die politisch für sie Verantwortlichen? Das Vorgehen wirkt alles andere als planvoll – und wirft die Frage auf, ob Schönbohm wirklich das Hauptproblem ist.
Das gilt auch für die fehlende Warnung vor Protelion/Infotecs: "In den Fällen, in denen ein konkreter Verdacht bestand, hat die Bundesregierung entsprechend sensibilisiert", heißt es dazu aus dem BMI, natürlich aber ohne etwas zu Infotecs sagen zu wollen. Die Bundesverwaltung jedenfalls sei nicht betroffen. Und eine offizielle Warnung, wie sie im Fall Kaspersky durchaus umstritten war, wurde ebenfalls nicht ausgelöst. Tatsächlich scheint Infotecs nur wenige Kunden in Deutschland gehabt zu haben.
Fragliche Produkte in kritischen Infrastrukturen eingesetzt?
Zumindest die Mutterfirma soll auch Angriffswerkzeuge für den FSB geliefert haben. Spätestens seitdem die USA Infotecs erstmals 2018 auf ihre Sanktionsliste setzten, hätte also ein geregelter Prozess einsetzen müssen. Doch davon gibt es keinerlei Spuren. Ob die Produkte des problematischen Herstellers aber etwa in kritischer Infrastruktur zum Einsatz kamen? "Dem BSI und dem BMI ist nicht bekannt, ob Produkte des Unternehmens Protelion/Infotecs in Kritischen Infrastrukturen eingesetzt werden", hieß es aus dem BMI auf Anfrage. "Bei den Produkten handelt es sich nach hiesiger Kenntnis um frei am Markt verfügbare Produkte, über deren Einsatz die Betreiber eigenständig entscheiden." Und auch der als Schutz vor böswilligen Akteuren eingeführte Paragraf 9b BSI-Gesetz, auch als Lex Huawei bezeichnet, greift in dem Fall nicht: "Die Anzeigepflicht nach § 9b BSIG bezieht sich derzeit ausschließlich auf bestimmte Komponenten, die in öffentlichen 5G-Mobilfunknetzen eingesetzt werden."
Längst geht es gar nicht mehr allein um die Personalie Schönbohm, auch gar nicht um die Cybersicherheit. Sondern darum, ob das Bundesinnenministerium und seine nachgeordneten Behörden überhaupt tatsächlich gemeinsam an der Sicherheit in Deutschland arbeiten. Das Bundesamt für Verfassungsschutz, immerhin auch für die Spionageabwehr zuständig, lässt einen Beamten mit höchsten Sicherheitseinstufungen im Unklaren darüber, dass er mit einem Verdachtsfall im Kontakt steht, um eine Operation nicht zu gefährden. Und die Bundesinnenministerin? Scheint in all dem kopflos zu agieren.
Unabgestimmtes Vorgehen mehrerer Stellen
Nachdem die Cybersicherheitsstrategie des BMI im Sommer vor allem für lautstarken Protest sorgte, weil sie in wesentlichen Punkten überhaupt nicht das umsetzte, was im Koalitionsvertrag der Ampelregierung vereinbart war, steht Nancy Faeser kein Jahr nach Amtsantritt nun nicht bloß vor einem cybersicherheitspolitischen Scherbenhaufen, sondern einem innenpolitischen. Was nutzt ein nationales Cyberabwehrzentrum, auf das die Innenminister der vergangenen Jahre so stolz sind, wenn Spionageabwehr- und Cybersicherheitszuständige nicht miteinander arbeiten, sondern parallel und unabgestimmt und damit effektiv gegeneinander? Auf diese Weise kann die Sicherheit kaum garantiert werden.
Der Versuch, mit der Abberufung von Arne Schönbohm die Geschichte möglichst schnell abzuräumen, hat ebenfalls nicht funktioniert : Das von Faeser ins Feld geführte "beeinträchtigte unerlässliche Vertrauensverhältnis der Ministerin in die Amtsführung", einer der vielen wenig konkreten genannten Gründe, warum ausgerechnet Schönbohm gehen soll, betrifft angesichts des Gesamtbildes auch Faeser selbst, ihre ministerialen Zuständigen für die Cybersicherheit und den Verfassungsschutz. Und auch BfV-Präsident Thomas Haldenwang muss den Geheimdienstkontrolleuren des Bundestages in den kommenden Tagen jede Menge Fragen beantworten, einige Innenpolitiker nehmen zaghaft bereits das Wort vom Untersuchungsausschuss in den Mund. Und all das mitten in der konkretesten Bedrohungslage, die die Bundesrepublik in den vergangenen 30 Jahren je erlebt hat.
(tiw)