Taurus, Webex und Huawei: Warum der Fatalismus der Regierung unerträglich ist
Statt sich nach dem Taurus-Skandal ernsthaft um die eigene IT-Sicherheit zu kümmern, sucht Deutschland die Schuldigen im Ausland, meint Dennis-Kenji Kipker.
(Bild: M.Moira / Shutterstock.com)
- Prof. Dennis-Kenji Kipker
Wenn wir in Deutschland an Staat und Cybersecurity denken, ist es leider mittlerweile einfach nur noch peinlich: So ist die aktuelle Verzögerung in der Umsetzung des nationalen Umsetzungsgesetzes für NIS-2 vor allem auch darauf zurückzuführen, dass die Ressorts im Bund Kosten sparen wollen. Derweil werden der Wirtschaft nach dem Gießkannenprinzip über die europäische "Size-cap rule" neue Pflichten auferlegt, wohingegen die Mängel in der kommunalen Cybersicherheit immer noch gravierend sind, wo unter dem Vorwand angeblicher europarechtlicher Verstöße die Kommunen aus dem KRITIS-Anwendungsbereich ausgenommen werden. Doch primär geht es eigentlich nur darum, dass die Länder die Kosten für mehr Cybersicherheit bei versorgungsrelevanter kommunaler Infrastruktur nicht tragen wollen.
Und jetzt der Taurus-Skandal, der seit einigen Wochen nunmehr schon die nationale Glaubwürdigkeit Deutschlands erschüttert, mit geheimen Informationen angemessen umzugehen – eigentlich auch kein neues Thema, bedenkt man die Rolle des BND im internationalen nachrichtendienstlichen Gefüge.
Cybersicherheit immer wichtiger? Mitnichten!
Die deutsche Politik macht ihrer Angst vor Spionage fraktionsübergreifend Luft, denn – so das Zitat aus dem Wirtschaftsministerium – mit zunehmenden Cyberattacken sei eine sichere digitale Infrastruktur immer wichtiger. Das leuchtet ein. Was aber dann folgt, lässt einen aufhorchen: Der innenpolitische Sprecher der SPD-Bundestagsfraktion, Sebastian Hartmann, argumentiert, dass eine "systematische Strategie zum Austausch kritischer Komponenten von Huawei aus dem deutschen 5G-Netz dringend nötig" sei, um "mögliche kompromittierende strukturelle Abhängigkeiten" abzubauen.
Der Berliner Tagesspiegel titelt sogar: "Politiker fordern nach Taurus-Panne harte Linie gegen Huawei". Dass die deutsche Cybersicherheitspolitik bislang nicht widerspruchsfrei war, wissen wir alle schon seit geraumer Zeit – nicht umsonst reden wir schon jahrelang über ein unabhängigeres BSI, ohne gefühlt nur einen Schritt weiter gekommen zu sein. Dass aber jetzt der Vergleich von Äpfeln und Birnen als angeblich zwingend denklogischer Kausalverlauf hingestellt und fraktionsübergreifend getragen wird, ist eine gänzlich neue Dimension des politischen Cybersecurity-Irrsinns in Deutschland.
Denn wer sich an den Taurus-Vorfall vor einigen Wochen zurückerinnert, der weiß, dass es bei besagter Panne russischen Spionen offenbar gelungen war, ein von deutschen Generälen über Webex geführtes Videotelefonat abzuhören und dessen vertrauliche Inhalte zu veröffentlichen. Was dabei technisch genau passierte, konnte bislang noch nicht vollständig rekonstruiert werden, jedenfalls wird es auch für denkbar gehalten, dass schon das Hotelzimmer in Singapur mit Wanzen kompromittiert war, die den russischen Lauschangriff ermöglichten.
Anwendungsfehler der Generäle oder einfach nur Spionage?
Gleichgültig aber, woran es technisch letzten Endes lag – klar jedenfalls war von Anfang an, dass sowohl Hotel als auch die Konferenz in Singapur, die von den deutschen Militärs besucht wurden, ein Eldorado für Abhör- und Spionageaktivitäten jedweder Art gewesen ist. Und selbst Verteidigungsminister Boris Pistorius gab an, dass das Geheimdienstleck letztlich durch einen "Anwendungsfehler" einer der Generäle verursacht wurde, weil man sich nicht über eine geschlossene Verbindung eingewählt hätte.
Es geht nicht nur darum, dass dieses gravierende Datenleck erst gar nicht hätte entstehen dürfen, sondern es zeigt uns, wie die Bundesregierung offensichtlich mit den extremen Cybersicherheitslücken in ihrer Infrastruktur und bei ihren Geheimnisträgern vorgeht. Anstelle nun unverzüglich Maßnahmen einzuleiten, um derartige Vorfälle für die Zukunft nach bestem Wissen und Gewissen auszuschließen, wird vielmehr lapidar darauf verwiesen, dass man Spionage ja sowieso nicht richtig verhindern könne. Dieser unerträgliche Fatalismus durch den deutschen Staat könnte ja noch erträglich sein, wenn auf der anderen Seite nicht Tausende Unternehmen höchste Cybersicherheitsstandards umsetzen müssten, während man sich bei dem zentralen Thema Problembewusstsein und Awareness der eigenen Bediensteten vornehm zurückhält.
Selbst das könnte man vielleicht – vielleicht – noch irgendwie verstehen, weil es ja schon immer so war. Wenn denn nicht anstelle des eigentlichen Problems in den eigenen Reihen nun auf einmal völlig andere politische Themen aufkommen und etwa das deutsche 5G-Netz mit dem Taurus-Abhörskandal verknüpft wird. Und das sind zwei Dinge, die in diesem konkreten Fall rein gar nichts miteinander zu tun haben.
So wird fehlendes Problembewusstsein zu politischem Kapital
Ganz im Gegenteil: Anstelle sich einzugestehen, dass es um die Cybersicherheit in der Bundeswehr offensichtlich nicht gut bestellt ist, wird wieder einmal mehr verwischt, vertuscht, getarnt und versteckt. So soll vom eigentlichen Problem bewusst abgelenkt und sogar noch politisches Kapital geschlagen werden. Das ist definitiv einer der Gründe, warum Politik und Cybersicherheit zwei Dinge sind, die in Deutschland nicht zusammengehören.
(mack)