Datum 23.06.2022

Es gilt das gesprochene Wort!

Videoaufzeichnung der Rede von BfV-Vizepräsident Selen auf der Website des Hasso-Plattner-Instituts

Wenn ich die einzelnen Beiträge, die wir gehört haben, zuletzt von Wolfgang Wien, zusammenfasse, dann spiegelt das relativ gut meine eigene Rede. Entsprechend lasse ich mein Redemanuskript nun ein Stück weit liegen und möchte Sie mitnehmen in das, was wir in der Cyberabwehr und in der Spionageabwehr derzeit zu bewältigen haben.

Das ist – ganz am Anfang – ein bisschen angerissen worden: die äußere Sicherheit und innere Sicherheit. Wir haben viele akademische Diskussionen in den letzten Jahren darüber geführt: Was ist eigentlich äußere Sicherheit, was ist innere Sicherheit? Ich glaube, gerade der Ukraine-Krieg hat uns die Situation eindrucksvoll vor Augen geführt, dass das tatsächlich ein akademischer Diskurs ist, den wir hier führen. Denn innere und äußere Sicherheit gehören zusammen; sie sind eins.

Entsprechend müssen wir auch diese Gesamtlage gemeinsam betrachten, und ich bin dankbar, dass wir hier in der Bandbreite auch eingeladen worden sind: Denn wir müssen diese Verknüpfung von innerer und äußerer Sicherheit von verschiedenen Disziplinen zusammenbringen, wenn wir erfolgreich sein wollen. Und ich glaube: Wir sind ziemlich erfolgreich und arbeiten gut miteinander zusammen. Wenn wir dann auch noch anfangen, nicht im ersten Schritt auf die Zuständigkeiten zu gucken, sondern auf unsere jeweiligen Fähigkeiten und wie wir diese miteinander verschränken können, dann kommen wir wirklich weiter. Das ist der erste Punkt.

Der zweite Punkt, der eine ganz wichtige Rolle spielt, ist die Erkenntnis: Das ist kein nationales Spiel mehr. Auch aus Sicht eines Nachrichtendienstes ist es international ausgerichtet – und das gilt für einen Inlandsnachrichtendienst wie für den Auslandsnachrichtendienst, da gibt es keinen Unterschied. Wir müssen Inlandsdienste und Sicherheitsdienste, wie es im englischen Sprachraum heißt, wirklich auch europäisch denken, um hier wirklich auch ein Gesamtbild herstellen zu können.

Vieles, was wir im Ausland sehen, was Angriffe angeht – und das ist unser Schwerpunkt, Angriffe zu erkennen, Angriffe zuzuordnen –, müssen wir zusammenführen. Die Puzzlestücke tauchen teilweise in Deutschland auf, teilweise zum Beispiel in Polen, teilweise anderswo. Wenn Sie diese Teile nicht zusammenführen, haben Sie kein gemeinsames Bild.

Und der dritte Punkt, das geht auch ein bisschen in die Ganzheitlichkeit: Es reicht nicht, Spionageabwehr isoliert zu betrachten. Es gibt massive Wechselwirkungen in anderen Disziplinen, in denen wir auch unterwegs sind.

Nehmen Sie beispielsweise Extremismus für einen gegnerischen Dienst – und ich glaube, inzwischen können wir von gegnerischen Diensten sprechen –, da ist eine Desinformationskampagne total erfolgreich, wenn man beispielsweise auf extremistische Gruppierungen in einem Land zurückgreifen und diese instrumentalisieren kann: sei es, um Partei zu ergreifen für die eigene Position – das haben wir in Teilen erleben müssen im Ukraine-Kontext –, oder sei es, dass man einfach eine Verunsicherung in eine Gesellschaft trägt, indem man sagt: Hat das überhaupt Sinn, sich hier mit der Ukraine zu beschäftigen? Ist die Energieversorgung wirklich gewährleistet? Kann die Bundesregierung das überhaupt gewährleisten, wenn ich solche Inszenierungen in extremistische Kreise trage und in den „Information-Bubbles“ das ganze heißer und schneller gedreht wird? Denn das hat dann auch Auswirkungen in die Mitte der Gesellschaft hinein. Das ist die von uns so oft genannte Entgrenzung, die uns dann Sorge bereitet und in richtig schwierigen gesellschaftlichen Problemen münden kann.

Im Grunde ist das alles ja nicht neu – wird der eine oder andere von Ihnen sagen. Das ist im Kalten Krieg ab den 1950er Jahren genauso erlebt worden. Das haben die Systeme, die Modelle, die Gesellschaftsmodelle auch durchaus so betrieben, und Nachrichtendienste wie Spione haben hier eine Rolle gespielt. Eine Anmerkung: Der Film „Der Spion, der aus der Kälte kam“ ist einer, den man sich diesbezüglich immer wieder anschauen kann.

Der einzige Unterschied liegt darin: Die Werkzeugkisten haben sich massiv verändert. Während man aus nachrichtendienstlicher Sicht einen Instrumentenkasten hatte in Form eines Werkzeugkastens, müssen wir heute von Roh-Containern ausgehen, die zum Schluss mit Instrumenten gefüllt werden, die dann jeweils zur Verfügung stehen. Aber das sind alles nicht isolierte Elemente, sondern die greifen ineinander.

Und von daher warne ich auch ein Stück weit davor, hier nur auf Cyberaktivitäten zu schauen und zu sagen: Wir machen jetzt Cyberabwehr und Cybersicherheit. Unsere Gegner denken da anders.

Sie müssen sich das so vorstellen, dass die ein Blatt Papier nehmen und ähnlich wie beim Projektmanagement vorgehen und sich fragen: Was sind meine Ziele? Was sind die Identitäten, die ich angreifen möchte? Welche mittelfristigen, kurzfristigen Ziele habe ich? Und wer kann diese Ziele in meiner Organisationsstruktur am besten erreichen?

Und dann gibt es auf diesem Papier auch Meilensteine und Projektskizzen und Projektszenen, damit das alles bunt gemischt ist. Es gibt teilweise Cyberaktivitäten, mal eine DDos-Attacke, die möglicherweise gar keine DDos-Attacke ist, sondern ein ganz anderer Angriff, als er zunächst erscheint. Es geht dann teilweise um das Abschöpfen von Informationen, und man fragt sich: Ist das jetzt wirklich so dramatisch, wenn beispielweise E-Mail-Adressen abhandenkommen?

Aber genau das ist dann Teil der Geschichte, aber eben nicht die komplette Geschichte, die dort erzählt ist. Und wenn man nur einen Teil des Problems kennt, sind die Folgemaßnahmen nicht immer die richtige Antwort auf das ganze Problem. Darum ist es eine unserer zentralen Aufgaben, das Gesamtbild zu ergründen und zu verstehen, was passiert da, wer ist aktiv und wie fügt sich das in einen Gesamtplan ein.

Das ist etwas, was wir recht intensiv betreiben, wenn wir von APTs sprechen und dann eine Attribuierung vornehmen – in Richtung Russlands beispielweise. Und wenn wir erkennen, dass es sich beispielsweise um eine GRU-Gruppe handelt, die hier aktiv geworden ist, dann machen wir das nicht um festzustellen, was jetzt GRU ist, sondern wir fügen diese Erkenntnis in ein Gesamtkonzept ein und ziehen Schlüsse daraus, welche Bedrohungslage da tatsächlich ist.

Spionage ist ein zentrales Thema. Ich möchte jetzt nicht auf China, Russland oder Iran eingehen – das ist in der Breite eigentlich für alle in verschiedenen Schwerpunktsetzungen von Bedeutung. Aber Politik, Wirtschaft, Forschung und Lehre, Gesellschaft und Opposition: Das sind so die zentralen Felder, in denen wir massive Cyber-Aktivitäten mit verschiedenen Zielrichtungen sehen. Ich würde gerade im Bereich Politik und Wirtschaft, was die Instrumente angeht, durchaus aber auch von einer Erweiterung sprechen wollen, auf die ich gleich noch zurückkomme.

Was neu ist – ich habe gerade den GRU genannt, der sehr aktiv ist, der FSB ist auch sehr aktiv, genauso wie der SFB, um bei den russischen Operateuren zu bleiben –, und was uns so ein bisschen Sorge bereitet, ist dass auch ein Outsourcing zurzeit stattfindet.

Das heißt also, wir haben es immer stärker auch mit cyberkriminellen Gruppen zu tun, die beispielsweise von Russland sehr gern geduldet wurden. Und dieses Dulden hat jetzt langsam einen Preis, und entsprechend müssen wir in der Zukunft auch davon ausgehen – Holger Münch hat das gerade angesprochen –: Wenn man über Conti spricht, wenn man über Killnet spricht, dass diese Services, die durch Cybergruppen angeboten wurden, dass der Preis jetzt auch durch staatliche Stellen irgendwann zurückgefordert wird. Dass sie so frei agieren konnten, das bringt noch eine weitere Dynamik in die Situation, die wir also mitdenken müssen.

China ist sehr stark gewesen im Bereich der Wirtschaftsspionage. China war bis 2018 nicht so stark im Bereich der politischen Spionage, aber das hat sich geändert. Auch China ist in diesem Feld heute sehr aktiv mit entsprechenden Cybergruppierungen, und wenn ich mir den dortigen Personalansatz anschaue – wir können ihn ja nur erahnen, und der BND kann dazu wahrscheinlich deutlich mehr sagen zum Personalansatz der chinesischen Spionageringe und militärischen Einrichtungen –, dann würde ich im Vergleich mit unserem mal von einem „personalwirtschaftlichen Ungleichgewicht“ sprechen.

Ich habe Ihnen gerade die Angriffsvektoren dargestellt, und um da vielleicht ein bisschen Fleisch an die Knochen zu bringen, um das ein bisschen für Sie nachvollziehbarer zu machen, würde ich gern mit der Community anfangen, die für China – wahrscheinlich zukünftig auch sehr stark für Russland – eine Rolle spielen wird: Da geht es beispielsweise um die Uiguren, die detektiert werden sollen, im Endeffekt mit analogen und virtuellen Mitteln. Hier findet eine massive Aufklärung statt, aber das ist nicht der einzige Faktor. Es ist auch der Faktor, dass beispielsweise hier die Kommunikation von Chinesen in Deutschland mit der Heimat durchaus auch mal nicht gehackt wird, sondern dass sich darauf auch manchmal sehr offenkundig einfach draufgeschaltet und gesagt wird: „Schönes Familiengespräch, ich hör mal ein bisschen mit, das stört doch nicht. Ich weiß auch, dass deine Mutter da und da wohnt, und du solltest dich schon sehr sachgerecht äußern hier in Europa.“ Das sind so Faktoren, die wir mitdenken müssen, das sind auch Faktoren, die im Endeffekt einen Kampf der Modelle auch in Richtung China offenkundig machen.

Stichwort Forschung und Lehre: Ich mache mal kein Geheimnis daraus, ich glaube hier beim HPI kann ich das ausschließen, aber ich glaube, in vielen Bereichen herrscht da eine gewisse Blauäugigkeit. Da wo eine Offenheit in der Forschung und Lehre sehr stark akzentuiert wird und wo keine operative Sicherheit vorhanden ist, da bilden sich Faktoren, die wir durchaus mit Sorge betrachten, weil es einfach Angriffsvektoren sind, die man öffnet und nutzt.

Stichwort Unternehmen: Wir haben hier Konzernvertreter, die alle Kontakte zu großen Konzernen haben, die ihre IT-Sicherheitsabteilung haben, die im Austausch mit dem BSI stehen, die im Austausch mit unserem Wirtschaftsschutz stehen. Das funktioniert ganz gut. Die große Sorge, die uns im Augenblick umtreibt, ist der Mittelstand, die große Sorge, die uns umtreibt, sind Start-ups, die wirklich ganz spannende, für China, für Russland spannende Technologien entwickeln und an Sicherheitsthemen schlicht und einfach nicht denken. Ganz ehrlich: Diese Start-ups erreichen wir auch nicht; den Mittelstand so ein bisschen, aber viele Start-ups erkenne ich im Augenblick noch nicht einmal richtig.

Das ist etwas, wo ich mir vorstelle, dass durch Kooperationen und Austausch hier etwas erreicht werden kann. Sie haben, Stichwort GHOSTWRITER, massive Maßnahmen gegen den Deutschen Bundestag erlebt, gegen deutsche Politiker, Parteien und Stiftungen. Warum? Weil unsere Gegner sehr an deutschen Entscheidungsprozessen interessiert sind. Die europäischen Meinungsbildungsprozesse spielen auch eine Rolle, dementsprechend findet eine sehr starke Fokussierung auf Parteien statt. Das betrifft insbesondere die aktuellen Regierungsparteien, die hier sehr stark durch Nachrichtendienste aufgeklärt werden.

In der gesamten Bandbreite von Cyberangriffen über technische Angriffe, um beispielsweise Konferenzen, Gespräche etc. technisch aufzugreifen, bis hin zu klassischen HUMINT-Operationen, die auch nicht uneffektiv sind. Das heißt also, um das zusammenzufassen, wir haben es mit einer ganz großen Bandbreite der Interessensgebiete fremder Dienste zu tun, die, wie wir feststellen, sehr stark Deutschland fokussieren.

Das ist im Zusammenhang mit dem Ukraine-Konflikt jetzt nicht mehr geworden, aber Arne Schönbohm hat das so schön gesagt: Alarmstufe Rot ist schon erreicht. Also gehen wir da jetzt nicht in eine Struktur, so wie wir es bei Corona erlebt haben, dass bei den Lagebildern auf einmal die Farben ausgehen, wenn man bei Rot schon angekommen ist und dann neue Farben generiert.

Wir sind bei Rot, und auf dem hohen Niveau waren wir schon, dass bestimmte Aktionen, die im Zusammenhang mit dem Ukraine-Krieg festgestellt wurden, als Sabotageaktionen in der Ukraine eine Rolle gespielt haben – nicht immer und nicht immer so erfolgreich, aber sie wurden versucht.

„Hack and Leak Operations“, „Hack and Publish Operations“ gerade in Polen, aber auch in Bosnien beispielsweise gab es ähnliche Aktionen. Dass wir das in Deutschland nicht erlebt haben und erleben, bedeutet nicht, dass das nicht ausgeschlossen ist. Wenn sich die Option bietet, wenn sich die Möglichkeit bietet, müssen wir mit solchen Szenarien auch rechnen und in unsere gemeinsame Szenarienbildung aufnehmen.

Lange Rede, kurzer Sinn: Wir haben es mit Gegnern zu tun, die professioneller geworden sind, die aggressiver geworden sind und agiler, ein Stück weit flexibler mit den Situationen umzugehen. Wir haben es mit Spionage zu tun, und wir müssen Sabotage als einen Faktor einkalkulieren in unsere Szenarien. Wir haben es mit Vorbereitungshandlungen zu tun, wo im Endeffekt Daten abfließen und wo dann später dort weitergemacht wird; Desinformation und Diskreditierung gehören mit da rein. Das sind fließende Übergänge, und ich warne da so ein Stück weit davor, dass so zu trennen: Wir müssen im Endeffekt den Aktionsradius oder die Aktionsbreite der gegnerischen Dienste in ihrer Gesamtheit begreifen und auch damit umgehen.

Damit komme ich zum Schluss und frage: Was schließen wir aus all dem? Was soll das alles bedeuten?

Ich glaube, gerade im Bereich Szenarienbildung müssen wir noch weiter zusammenrücken. Ich denke, wir haben alle unsere Eindrücke, wir haben verschiedene Expertisen. Im Bereich Cyber-Crime sind diese Expertisen sehr weit ausgeprägt. Daran müssen wir partizipieren, mit diesen auch umgehen und praktisch in unsere Sprache übersetzen. Da ist – ich formuliere es mal so – Luft nach oben. Das können wir besser. Da müssen wir das BKA besser verstehen. BND und BfV haben eine sehr enge Zusammenarbeit, wir haben einen sehr guten Austausch, aber gerade auch in der Szenarienbildung können wir noch mehr machen.

Verknappung beispielsweise, um Ihnen das auch nochmal etwas zu vergegenwärtigen: Stichwort Verknappung von Ressourcen, gezielte Verknappung von Ressourcen, Unterbindung von Mobilität; die Dinge, die wir im Rahmen von Corona erlebt haben, durch Corona, die kann man ja auch gezielt herbeiführen. Das sind so Szenarien, die man einmal in Denkmodellen durchdeklinieren müsste, um zu verstehen, wie wir auch damit umgehen mit dem Ziel eines ganzheitlichen Ansatzes, damit wir die Aktionen auf der Gegenseite mit einem ganzheitlichen Ansatz auf unserer Seite beantworten können. Das muss national stattfinden mit den betroffenen Bereichen einerseits, aber vor allem europäisch stattfinden mit unseren Partnern andererseits. Das bringt uns weiter!

Vielen Dank für Ihre Aufmerksamkeit.