Berlin/Bonn. Das Bundesamt für Sicherheit in der Informationstechnik steht in der Kritik. Ein 20-Jähriger konnte unbemerkt massenhaft Daten klauen.
Der Raum, in dem Deutschland seinen Kampf gegen Hacker und Cyberkriminelle gewinnen will, ist gerade so groß wie ein Klassenzimmer. An den weißen Tischen ist Platz für ein Dutzend Computerfachleute, an der Wand hängen Flachbildschirme, auf denen rote, grüne und gelbe Balken und Kurven leuchten.
Unter der Woche, während der Bürozeiten, ist gut Betrieb im „nationalen IT-Lagezentrum“ des Bundesamtes für Sicherheit in der Informationstechnik, dem BSI. In der Nacht und am Wochenende schaltet die Zentrale auf einen Notdienst um. Anfang Januar war so ein Notfall, ein ziemlich gravierender sogar.
Am späten Donnerstagabend des 3. Januar, ab 22.40 Uhr, gingen bei den deutschen Sicherheitsbehörden Meldungen von Politikern ein. Ihre Konten seien gehackt worden, private Daten, Email-Adressen, Telefonnummern, teilweise Kontodaten und private Chats von Facebook wurden nach und nach auf Twitter veröffentlicht.
Seehofer im Lagezentrum
Doch hier im IT-Lagezentrum war das erst zu spät aufgefallen. Die Daten waren längst massenhaft im Internet öffentlich und kopiert. Auch deshalb steht an diesem Montagnachmittag Innenminister Horst Seehofer (CSU) im nationalen Lagezentrum in Bonn. Er ist seit neun Monaten im Amt. Jetzt will er sich erstmals ein Bild von Deutschlands Cyberabwehrbehörde machen.
Das BSI gibt es schon seit 1991, ein Nachrichtendienstler des BND übernahm damals die neue Zentrale. Viele Jahre kannte kaum jemand das Bundesamt, über Cyberangriffe sprachen nur Computer-Nerds und Sicherheitsexperten. Das BSI sitzt bis heute in Bonn, im Zentrum der alten Republik.
Doch in den vergangenen Jahren trieben große Angriffe das Thema „Cyber“ aus der Nische der Politik. 2015 hackte eine Gruppe das Netz des Bundestags, 2018 griffen Hacker die IT-Infrastruktur der Bundesregierung an. Der aktuelle Datenklau hatte keine große Dimension, kein internationales Hackernetzwerk, sondern ein 20 Jahre alter Schüler aus Hessen steht unter Tatverdacht – und doch war die Aufregung groß, denn vor allem Politiker waren betroffen.
In einer Demokratie zählen sie zur „kritischen Infrastruktur“, wie ein Krankenhaus im Gesundheitssystem.
Auch interessant
Ein System wurde nicht erkannt
In acht Fällen hatten sich Politikerinnen und Politiker 2018 bei der Polizei gemeldet. Verdacht: Hackerangriff. In einem Fall forschte das BSI bereits seit Dezember nach. Doch für die Behörden waren es Einzelfälle.
Auch interessant
Polizei und BSI führten ihre Ermittlungen nicht zusammen.
Das zeigt ein erstes Problem: Die deutsche Cyberabwehr ist ein Flickenteppich. Neben dem BSI haben Polizei und Nachrichtendienste eigene Cyber-Abteilungen, in München arbeitet ein Zentrum des Bundes zudem daran, Software für Ermittler zu basteln. Und die Bundeswehr baut derzeit ein Cyberkommando auf.
„Deutschlands Sicherheitsbehörden benötigen professionelle Meldewege, damit diese Anzeigen aus einer Kleinstadt in einem Bundesland bis ins nationale Cyberabwehrzentrum finden“, sagt der IT-Sicherheits-Experte der Union, Christoph Bernstiel, unserer Redaktion. Viele Nutzer würden Datenklau, Betrug im Internet oder einen Hackerangriff der lokalen Polizeidienststelle melden. Und eben nicht dem „nationalen Lagezentrum“ in Bonn, sagt Bernstiel. Der aktuelle Fall des Datenklaus zeige, „wie sehr der Föderalismus die Cybersicherheit in Deutschland gefährdet, wenn die Abstimmung zwischen Länderbehörden und dem Bund nicht funktioniert.“
Torwart im Cyber-Spielfeld
Der Präsident des BSI in Bonn ist derzeit Arne Schönbohm, Betriebswirt und Sohn des früheren Innenministers von Brandenburg Jörg Schönbohm. Schönbohm Jr. erklärt den Cyberabwehrkampf gerne mit einfachen Bildern. Seine Behörde, das BSI, sei der Torwart auf dem Spielfeld der deutschen IT-Sicherheit.
Nach dem Datenklau dauerte es nur Stunden, bis die Strafverfolgungsbehörden dem 20-Jährigen auf die Spur kamen. Vor allem Unionspolitiker loben das Handeln der Behörden. Die Gewerkschaft der Kriminalbeamten BDK beklagt dagegen, dass die Polizei häufig nicht über „Cyberstraftaten“ informiert werde, die das BSI erkennt. Die Weitergabe von Daten müsse mit einem Gesetz verpflichtend festgeschrieben werden, so BDK-Vorsitzender Sebastian Fiedler.
Im BSI in Bonn gibt bisher es neben dem IT-Lagezentrum einen Flur, in dem das „nationale Cyberabwehrzentrum“ liegt. Hier haben Verfassungsschutz, BKA und BSI ihre Büros. Bald sollen auch die Landeskriminalämter ihre Experten nach Bonn schicken. Der Flur ersetzt bisher das, was ein Gesetz regeln könnte: Austausch von Informationen zwischen den Behörden.
Wer schützt die Nutzer?
Aber welche Fälle sollen ausgetauscht werden? Nur zu großen Hackerangriffen? Jede Meldung eines Datenklaus? Jeder zweite Internetnutzer war laut einer Umfrage des Branchenverbands Bitcom im vergangenen Jahr Opfer von Cyberkriminellen. Der Stapel an Anzeigen im BSI wäre riesig, würden die Mitarbeiter jede Anzeige registrieren und bewerten.
Doch eine automatisierte Datenbank könnte den IT-Experten in den deutschen Behörden helfen, Fälle zu gewichten, Strukturen von Kriminellen früher zu erkennen. Eine Art „Cyber-Frühwarnsystem“, so will es auch Innenminister Seehofer. Zwar werden die Fälle, die im BSI einlaufen, durchaus bewertet, doch eine Datenbank für Cyberabwehr gibt bei Deutschlands Cyberbehörden bisher nicht.
Hacker-Angriffe sollen früh erkannt werden
Zuständig ist Schönbohms Cyberabwehrbehörde bisher ohnehin nicht für die Sicherheit eines jeden Internetnutzers, sondern nur für den Schutz der Regierungsnetze, also der Technik etwa der Ministerien und der Verwaltung des Bundes.
Das Amt darf laut BSI-Gesetz zur Abwehr von Gefahren sogenannte „Protokolldaten“, die bei der Nutzung dieser Technik anfallen, erheben und automatisiert auswerten. Das heißt, das BSI erfasst, wer wann und wie im Netzwerk der Regierungs-IT unterwegs ist. Anzeichen für Angriffe etwa durch Hackergruppen sollen so früh erkannt werden.
Sind Cyberkriminelle und deren Schadsoftware erkannt, darf das Bundesamt ihre Erkenntnisse über die Täter an andere Sicherheitsbehörden weitergeben – je nach Fall an die Polizei oder auch die Geheimdienste.
Auch interessant
durch den hessischen Schüler waren keine Ministerien Opfer des Angriffs. Abgeordneten wie Cem Özdemir oder Andrea Nahles ist das passiert, was jedes Jahr etlichen Internetnutzern passiert: Ihr Passwort wurde umgangen, Daten gestohlen. Und damit beginnt das zweite Problem der Cyberabwehr. Wer schützt die Parlamentarier – und am Ende auch die ganz normalen Verbraucher?
„Kein Bittsteller“
Bei seinem Besuch beim BSI am Montag verspricht Innenminister Seehofer dem Amt mehr Rechte. Das BSI solle künftig Einträge mit etwa geklauten Daten selbst in den sozialen Netzwerken wie Facebook und Twitter löschen können. „Ich möchte nicht, dass das BSI als Bittsteller auftreten muss“, sagte Seehofer in Bonn.
Als die Behörde Anfang Januar den Datenklau entdeckte, musste sie ein Ersuchen bei Twitter stellen, um die Konten etwa wie „0rbit“ und „0rbiter“ löschen zu lassen. Es vergingen nach der ersten Meldung zum Daten-Hack mehr als zwölf Stunden, bis die Twitter-Accounts deaktiviert waren.
Bisher müssen Unternehmen wie Wasserwerke oder Krankenhäuser dem BSI melden, wenn ihre IT-Systeme angegriffen wurden. Sie zählen zur „kritischen Infrastruktur“. 2016 legten Hacker etwa eine Klinik in Neuss lahm und wollten so Geld erpressen: Funktionierende IT nur gegen Lösegeld. Das Krankenhaus war im Ausnahmezustand, der Vorfall kostete eine Million Euro. Das BSI schickte ein Team von IT-Experten.
Am Ende lief der Erpressungsversuch ins Leere. Derzeit arbeitet die Regierung an einer neuen Fassung des IT-Sicherheitsgesetzes. Demnach könnten bald auch Autohersteller oder Rüstungsunternehmen verpflichtet werden, dem BSI Hackerangriffe zu melden. Zudem soll das Amt IT-Technik mit Zertifikaten die Qualität bescheinigen – und so Verbrauchern beim Schutz ihrer Daten helfen.
Behörden konkurrieren um Fachkräfte
Doch dafür benötigt das BSI Fachleute. Lange interessierte in der Politik nur wenige, wie viele Mitarbeiter in der Bonner Zentrale arbeiten. Jetzt soll das Amt rasant wachsen. Allein in diesem Jahr um mehr als 300 Stellen. Derzeit beschäftigt das Amt mehr als 800 Mitarbeiter. Davon aber sind fast die Hälfte befristet eingestellt und nur für die Zeit einzelner IT-Projekte. Feste Stellen sind weit weniger besetzt, als es sich Amt und Politik wünschen: Bis Ende 2019 sollen 1146 Planstellen im BSI besetzt sein. Das Geld dafür ist vom Bund genehmigt. Mitte 2018 waren gerade einmal 450 besetzt.
IT-Experten sind begehrt. Unternehmen können oft deutlich höhere Gehälter zahlen als Behörden. „Amerikanische Cyberbehörden haben das Personal mittlerweile nicht mehr direkt beim Staat angestellt, sondern bei Subunternehmern, die für die Cyberbehörden arbeiten“, sagt Sandro Gaycken, Direktor am Digital Society Institute in Berlin, unserer Redaktion. So könnten die US-Behörden den IT-Experten höhere Löhne zahlen, ohne gegen Beamtenregelungen zu verstoßen.
Und: Die deutsche Cyberabwehr macht sich gegenseitig Konkurrenz. Neben dem BSI suchen auch andere Behörden wie das BKA und die Geheimdienste dringend nach Experten. Nicht nur das: Cyberbehörden wie das ZITiS in München arbeiten unter anderem daran, für die Polizei eine Software zu entwickeln, mit der sie zielgenauer Computer und Handys ausspähen kann, sobald mutmaßliche Täter ins Visier der Strafverfolger geraten. Dafür nutzen Software-Entwickler Sicherheitslücken in der Technik. Lücken, die das BSI in Bonn schließen soll.