Datum 23.05.2019

Videoaufzeichnung der Rede von BfV-Vizepräsident Niemeier auf der Website des Hasso-Plattner-Instituts

Es gilt das gesprochene Wort!

Sehr geehrter Herr Prof. Dr. Meinel,

ich danke Ihnen für die Einladung nach Potsdam, der das Bundesamt für Verfassungsschutz jedes Jahr sehr gern folgt.

Ihre Konferenz stellt bereits im 7. Jahr eine renommierte Plattform für namhafte Stimmen bereit, um das Thema Cybersicherheit weiter und tiefer in die Gesellschaft zu tragen.

Diese Ausdauer ist gerechtfertigt – denn der Zustand unserer Cybersicherheit definiert immer stärker die allgemeine Sicherheitslage unseres Landes!

Meine sehr geehrten Damen und Herren,
heute – am 23. Mai – feiern wir in Deutschland an vielen Orten und mit vielen Festakten den 70. Geburtstag des Grundgesetzes. Und dies völlig zu Recht.

Wir feiern 70 Jahre Demokratie.
Wir feiern 70 Jahre Freiheit und Rechtsstaatlichkeit.
Und wir feiern die wehrhafte Demokratie, die seit 70 Jahren für ihre Bürger die freiheitlich demokratische Grundordnung schützt und bewahrt!

Es ist viel geschehen in diesen 70 Jahren.
Heute schauen Politiker, Militärs und Nachrichtendienste nicht mehr allein auf Stacheldraht, Raketensilos und Spione, sondern auch auf Firewalls, Schadcodes und IT-Söldner.

Das „Grundgesetz der Digitalisierung“ war viel zu lange

• Schnelligkeit statt Achtsamkeit,
• Sorglosigkeit statt Wachsamkeit
• und Wirtschaftlichkeit vor Sicherheit!

Die Väter und Mütter des Grundgesetzes konnten nicht ahnen, dass im 21. Jahrhundert auch Cybersicherheit ein Kriterium für stabile Demokratien ist. Sie konnten nicht wissen, dass im 21. Jahrhundert staatliche Souveränität nicht nur in der realen Welt ausgefochten wird, sondern erstmals in einem digitalem Territorium, – dem Cyberraum.

Die durch den Cyberraum gewonnenen neuen Freiheiten haben lange die Illusion genährt, dass das Internet eine libertäre Utopie sei, die vor staatlichem Zugriff geschützt werden muss.

Gemessen an den Visionen vieler Internet-Theoretiker sind die zahlreichen Schadenmeldungen der letzten Jahre eine Enttäuschung.

Für Praktiker in Sicherheitsbehörden ist dies jedoch begrüßenswert, – denn eine Ent-Täuschung befreit im Wortsinne von einer Täuschung, die den Blick auf die Realität verstellt.

Selbst Facebook – die schillernde Reklametafel des Silicon Valley – möchte heute die Sicherheit seiner Nutzer und den Schutz ihrer Daten priorisieren.

Dass die Zeit großer Naivität zu Ende geht, ist also eine gute Nachricht – und auch das Verdienst von Veranstaltungen wie der heutigen!

Lassen Sie mich kurz im Rahmen der zur Verfügung stehenden Zeit drei Aspekte etwas näher beleuchten.

Die Cybersicherheitslage, aber das ist kein Abbild der Lage, das werde ich nicht aufziehen wie Herr Sczesny.
Zweiter Punkt - was sind die Konsequenzen.
Und drittens - wie handeln wir.

Meine Damen und Herren,
gerade offene, hochtechnisierte Gesellschaften sind seit Jahren Zielobjekt umfangreicher Cyberangriffe. Die deprimierende Konstellation aus hochgradiger IT-Vernetzung und mangelnder IT-Sicherheit ist nach wie vor eine unwiderstehliche Versuchung für Geheimdienste, Kriminelle und Militärs – aber auch für Extremisten.

Sie sind die Basis, auf der neue Cyberangriffswaffen entwickelt werden.

Bekanntlich sind alle Bereiche betroffen:

• die Wirtschaft, Wissenschaft und Forschung
• das Militär,
• die Politik und Verwaltung
• und selbst die öffentliche Meinung wurde bereits mittels Cyberangriffen und Cyberwaffen gelenkt beziehungsweise beeinflusst.

Ich erinnere nur an die Hack-and-Leak-Operations bei den Präsidentschaftswahlen in den USA und in Frankreich.

Unsere freiheitlich demokratische Grundordnung und unser Rechtsstaat mögen Errungenschaften des letzten Jahrhunderts sein – aber ihr Schutzversprechen für die Bürger gilt ohne Zweifel auch im Digitalzeitalter!

Auch der Bundesverfassungsschutz begrenzt seinen gesetzlichen Auftrag nicht auf die sogenannte Realwelt, sondern praktiziert Vorfeldaufklärung und Gefahrenabwehr überall dort, wo die Demokratie, der Bürger und seine Schutzrechte gefährdet werden – auch im Cyberraum.

Und die Liste der Cyberkampagnen und -attacken, die unser Haus protokolliert, ist lang.

Ich denke in diesem Zusammenhang an die Gefahr durch hybride Bedrohungsszenarien, die mit strategischer Geduld agieren und

• zivile,
• militärische,
• nachrichtendienstliche Bausteine kombinieren, um unsere Gesellschaften zu destabilisieren.

Wenn wir hybriden Aggressionen entgegentreten möchten, dann müssen wir die großen Angriffsflächen der offenen Gesellschaft, die wir sind und die wir bewahren möchten, in den Blick nehmen.

In Zeiten hybrider Bedrohungen ist es alarmierend, dass viele Attacken nicht nur auf die Wirtschaft, sondern auch auf die politische Sphäre zielen:
Ich möchte nur vier erwähnen,

• Februar 2017 – Angriffsvorbereitung gegen die CDU
• März 2017 – Angriff auf die Konrad-Adenauer-Stiftung
• März 2017 – Angriff auf die Friedrich-Ebert-Stiftung
• Ende 2017 – Angriff auf die IT-Infrastruktur der Bundesverwaltung

Und die Liste wächst weiter.

Denn auch 2018 setzten insbesondere die Nachrichten- und Sicherheitsdienste der Russischen Föderation und der Volksrepublik China Cyberangriffe für Spionageaktivitäten gegen Deutschland ein.

Große Sorgen machen uns Cyberangriffe, die zur Sabotage eingesetzt werden können – vor allem gegen kritische Infrastrukturen.

Im Frühjahr 2018 haben wir als Bundesverfassungsschutz festgestellt, dass Konfigurationsdaten tausender Router von einem Angreifer ausgeleitet wurden.

Der mögliche Zugriff auf Router ist als sehr kritisch einzustufen. Denn auf diese Weise kann der Angreifer Datenströme im Netzwerk abhören, umleiten und auch manipulieren.

Am 16. April 2018 veröffentlichten britische und US-amerikanische Behörden einen gemeinsamen Analysebericht, wonach weltweit Cyberangriffe auf Netzwerk­infrastrukturen beobachtet wurden, die russischen staatlichen Stellen zugeordnet werden. Aufgrund eigener Erkenntnisse teilen wir diese Einschätzung.
Was sind nun die Konsequenzen?

Meine sehr geehrten Damen und Herren,
welche Schlüsse müssen wir daraus ziehen?

Deutschland ist weiterhin ein begehrtes Ziel.
Deutschland wird weiter angegriffen.
Deutschland muss sich schützen.

Wenn im Zuge der Digitalisierung

• der Wettbewerbsvorteil von Wirtschaft und Forschung geplündert,
• Kritische Infrastruktur infiltriert
• und politische Institutionen strategisch ausspioniert werden,

dann brauchen wir eine robuste up-to-date Cyberabwehr und eine technische und rechtliche Ertüchtigung unserer Sicherheitsbehörden.

In einer Welt, in der sich geopolitische, ökonomische Konflikte verschärfen und Interessen immer offener kollidieren, müssen wir mit einer Steigerung sämtlicher nachrichtendienstlicher Aktivitäten gegen Deutschland rechnen.

In einer Welt, die sich in einem anonymen und nahezu rechtsfreien Cyberraum vernetzt, brauchen wir mehr denn je gute nachrichtendienstliche Arbeit, um

Cyberangriffskampagnen detektieren und attribuieren zu können!

Sprich: Wir müssen

• entdecken, dass wir angegriffen werden,
• ermitteln, wer uns angreift
• und erkennen, welche Interessen den Aggressor antreibt.

Dies ist klassische Intelligence-Arbeit, die im Digitalzeitalter mehr denn je beansprucht wird – und dabei immer anspruchsvoller wird!

Als deutscher Inlandsnachrichtendienst sind wir bereits ein zuverlässiger und erfolgreicher Baustein in Deutschlands Sicherheitsarchitektur.

Diverse Bedrohungen konnten mit unserer Hilfe identifiziert und attribuiert werden. Ich nenne nur drei kurze Beispiele:

Erstens,
so wurde im Rahmen unserer Bearbeitung russischer APTs Ende Oktober 2016 ein schwerwiegender Angriff auf das interne Netzwerk der OSZE aufgeklärt.

Zweitens,
wir unterstützten die Aufklärung des Cyberangriffs auf die IT-Infrastruktur deutscher Bundesbehörden durch eigene operative Maßnahmen. Die gewonnenen Erkenntnisse unterstützten eine Zuordnung des Angriffs zu einer mutmaßlichen russischen APT-Gruppe.

Und drittens,
im Februar 2018 wurde uns zudem eine mutmaßliche Infektion des Netzwerks eines deutschen Medienunternehmens durch die weltweit operierende APT-Gruppierung Sandworm bekannt. Der Angriff konnte detektiert und abgewehrt werden.

Wir nutzen unsere Erkenntnisse, um potenziell Betroffene in die Lage zu versetzen, sich gegen Spionagerisiken durch Cyberangriffe zu wappnen.

Mit unseren Informationen können gefährdete Stellen eine eigene Betroffenheit feststellen, potenzielle Zugriffe im Vorfeld sperren und so ihren Schutz gegen Cyberangriffe erhöhen.
Wie handeln wir nun?

Meine Damen und Herren,
trotz der Erfolge muss allen Akteuren unserer deutschen Sicherheitsarchitektur bewusst sein, dass wir noch eine lange Wegstrecke vor uns haben.

Um es deutlich und auch drastisch zu formulieren:
Wir dürfen gar nicht anhalten!
Wir müssen uns täglich fortbewegen!

In einer Zukunft, in der Künstliche Intelligenz die voll-vernetzte Umwelt nutzbar machen soll, bedeutet Stillstand Rückschritt.

5G, Internet of Things und Industrial Internet of Things werden noch mehr gigantische Datenberge produzieren. Es ist Konsens, dass Deutschland und Europa derzeit „noch viel Luft nach oben haben“, um im Bereich von KI und 5G an der Weltspitze mitzumischen.

Dies gilt auch für die Nachrichtendienste.

Und hier gilt die goldene Regel, dass Daten noch keine Erkenntnisse sind.

Auch hier zählen die Auswertung sowie die Kombination von Technik, menschlicher Expertise und Analysefähigkeit.

Und auch hier gilt die Ambivalenz der Technik:

KI wird in der Zukunft nicht nur eine Hilfestellung der Abwehr sein, sondern auch destruktive Fähigkeiten bereitstellen können – zum Beispiel für die Erstellung und Verbreitung sogenannter „Deepfakes“.

Dabei handelt es sich um manipulierte Bilder oder Videos, die das Phänomen der „Fake News“ und „Desinformation“ auf eine fatale, neue Ebene hieven könnten!

Aus diesen Gründen begrüßen wir die Unterstützung der Politik in den vergangenen Jahren für die Arbeit des Bundesverfassungsschutzes.

Und wir begrüßen die zunehmende Einsicht, dass wir auch rechtliche Anpassungen benötigen, damit der technische Fortschritt nicht nur unserem nachrichtendienstlichen Gegenüber zugutekommt!

Um nicht nur auf die Höhe der Zeit, sondern vor die Lage zu kommen, brauchen wir langfristige und tiefgreifende Strukturanpassungen, auch in unseren Behörden.

Wir leiten mit unseren Maßnahmen, die bereits in den letzten zwei Jahren begonnen haben, Prozesse ein, die in den nächsten Jahren, und weiter möchte ich gar nicht denken, wirksam sein müssen und aber auch gleichzeitig die Flexibilität für kurzfristige Anpassung beinhalten.
Und wer im öffentlichen Dienst schon einmal gearbeitet hat, weiß was das für eine Herausforderung bedeutet.

Bei unserer Neuausrichtung von IT und Technik handelt es sich nicht um einen einmaligen Prozess, sondern vielmehr werden die Grundlagen für einen kontinuierlichen und strategisch ausgerichteten Transformationsprozess angelegt.

Ziel ist nicht allein eine neue Struktur, sondern auch eine neue Kultur!

Eine Technik-Kultur für ein technisch potentes Bundesamt, dass auch im Digitalzeitalter den demokratischen, pluralistischen Rechtsstaat, die Verfassung und Deutschlands Souveränität vollumfänglich schützen kann.

Daneben schmieden wir auf internationaler Ebene neue Sicherheitspartnerschaften, wo wir aufgrund der Gefahren aus dem Cyberraum in großem Maße gemeinsame Interessen feststellen und auch Kooperationsfelder definieren.

Eine wichtige nationale Plattform ist das Cyber-Abwehrzentrum, an dem wir als Behörde beteiligt sind. Die Cyberabwehr des Bundesamtes für Verfassungsschutz ist hier Schnittstelle zu den Landesämtern als Teil des Verfassungsschutzverbundes.

Meine sehr geehrten Damen und Herren,
halten wir zum Schluss also fest:

• Im 21. Jahrhundert – so viel ist sicher – können nur diejenigen Staaten frei und souverän agieren, die ihre Sicherheitsarchitektur mutig und entschlossen an die technische Evolution anpassen.
• Die gültigen Rechtsnormen reichen noch nicht aus, um aktuellen und zukünftigen Gefährdungen optimal begegnen zu können!
• Wir müssen mit rechtsstaatlichen Mitteln in der digitalen Welt ankommen, um die freiheitlich demokratische Grundordnung auch dort schützen zu können: wie etwa durch Quellen-TKÜ auf Endgeräten oder dem Mittel der Online-Durchsuchung.
• Es besteht ein sehr hoher Bedarf an einer modernen, technischen Arbeitsumgebung!
• Und es besteht hoher Bedarf an qualifiziertem Personal. Dabei stehen wir in Konkurrenz zu anderen Behörden – aber auch zur Wirtschaft und Wissenschaft.

Das HPI ist eine Talentschmiede, von der wir noch mehr brauchen in Deutschland und Europa, damit wir die Digitalisierung nicht nur konsumieren, sondern verantwortungsvoll mitgestalten können!

Heute – vor exakt 70 Jahren – haben uns die Väter und Mütter des Grundgesetzes eine freiheitliche und wehrhafte Demokratie geschenkt. Nun liegt es an uns und Ihnen, die Verantwortung für Freiheit und Sicherheit zu tragen.

Ich zitiere an dieser Stelle Bundespräsident Frank-Walter Steinmeier, der zu diesem Thema jüngst auf der Konferenz re:publica feststellte:

„Demokratie kann in Zukunft nur gelingen, wenn sie auch digital gelingt. […] Nicht etwa die Digitalisierung der Demokratie, sondern die Demokratisierung des Digitalen – das ist die drängendste Aufgabe!“

An dieser Aufgabe arbeitet der Bundesverfassungsschutz täglich zusammen mit den anderen Sicherheitsbehörden, damit unsere Demokratie trotz der Schattenseiten der Digitalisierung wehrhaft bleibt.

Denn

• wer sich von Ent-Täuschungen nicht entmutigen lässt, kann sich von Illusionen frei machen.
• Wer frei ist, gewinnt Handlungsspielraum
• und wer handelt, schafft Sicherheit und bewahrt die Freiheit!

Ich danke für Ihre Aufmerksamkeit.