BfV-Newsletter Nr. 4/2017 - Thema 1
Rede von BfV-Präsident Dr. Maaßen bei der Handelsblatt Jahrestagung Cybersecurity am 27. November 2017 in Berlin: „Die Vernetzung der Welt als Vernetzung von Risiken? – Risikokontrolle im 21. Jahrhundert“
Es gilt das gesprochene Wort!
Meine sehr geehrten Damen und Herren,
wir erfahren seit Jahren, dass mit der Vernetzung aller Lebensbereiche einst unbekannte Risiken aus der Außenwelt in unser Wohnzimmer einbrechen. Wer hätte noch vor Jahren gedacht, dass der Fernseher zu einer Wohnraumüberwachungsanlage werden kann, wenn er als Smart-TV gehackt worden ist – oder zu einer „Schlafzimmerausspäheinrichtung“, wie die BILD-Zeitung vor kurzem feststellte.
Cyberraum und Realwelt sind heute nicht mehr getrennt darstellbar. Wir sind deshalb gut beraten, Cybersicherheit nicht mehr als Thema von Experten, sondern als eine wichtige Dimension der Sicherheitspolitik zu begreifen. Die Handelsblatt-Jahrestagung widmet sich einmal mehr der Cybersecurity – mit anhaltendem Erfolg!
Selten hat ein Themenfeld, über das nur wenig gesichertes Wissen existiert, in so wenigen Jahren so große Aufmerksamkeit generiert. Cybersicherheit operiert mit einer hochspezialisierten Materie, deren komplexe Zusammenhänge oft nur Experten durchdringen.
Seit vielen Jahren konkurrieren euphorische Gewinnerwartungen mit apokalyptischen Horrorszenarien. Potentielle Risiken beruhen auf Wahrscheinlichkeiten, und mögliche Zukunftsschäden sind schwer zu beziffern. Unsere Wissensgesellschaft reagiert höchst unsicher auf ein Thema, das sie existentiell betrifft, zu dem aber nur wenig gesicherte Prognosen vorliegen.
Die Realität schafft bekanntlich Tatsachen, – und so sind es die Erfolgsgeschichte und die drastischen Nebenwirkungen der Digitalisierung, die das Thema der Cybersicherheit aus dem Kreis von Fachexperten und Militärstrategen hinaus- und in die breite gesellschaftliche Debatte hineingetragen haben.
Das ist die gute Nachricht.
Die schlechte Nachricht ist, dass sich bereits viele Bedenken realisieren. Auch 2017 zeugten die Schlagzeilen in hoher Taktung von Unfallmeldungen einer Gesellschaft, die in der Produktion neuer Digitaltechnik nicht auf deren Sicherheit schaut und diese Technik in der Praxis viel zu oft unsicher anwendet.
Wir entscheiden im Bereich der IT-Politik heute über die Risiken von morgen. Es lohnt sich mehr denn je, wenn wir uns dem Aspekt der Risikokontrolle zuwenden. Wir dürfen uns von den Chancen der Digitalisierung nicht blenden lassen. Sicherheit im 21. Jahrhundert hängt nicht allein von technischen Lösungen, sondern auch von strategischen Entscheidungen und von Konzepten der Zurückhaltung ab.
Der Verfassungsschutz bewertet die Digitalisierung nicht nach moralischen Kriterien oder ökonomischen Interessen. Als Brandmelder und Frühwarnsystem unserer Demokratie schlägt der Bundesverfassungsschutz seit vielen Jahren Alarm, denn im Fahrwasser der Digitalisierung wird Deutschlands Souveränität von destruktiven Kräften bedroht.
Cybertechnologien sind in allen relevanten Bereichen der Gesellschaft bedeutende „Game Changer“ – sei es in der Wirtschaft, der Medienlandschaft oder der Politik. Staatliche und nicht-staatliche Akteure nutzen Cybertechnologien und die weitgehende Rechtlosigkeit des Cyberraums zu ihrem Vorteil.
Damit beschleunigt die Digitalisierung die bereits im Gang befindliche Fragmentierung globaler Machtverhältnisse.
Ich möchte zum Jahresende die Gelegenheit nutzen, aus der Perspektive des Verfassungsschutzes zu erörtern, inwieweit Cybersabotage, -spionage oder Desinformationskampagnen unsere Sicherheit strapazieren. Dabei kann kein Zweifel an unserem Auftrag bestehen:
Je mehr die Digitalisierung unsere Realwelt transformiert, desto weniger können wir hinnehmen, dass der Cyberraum eine No-Go-Area für Demokratie und Rechtsstaat wird!
Die streitbare Demokratie muss auch im Cyberraum wehrhaft sein. Je mehr der Bürger als Souverän im Netz zu Hause ist, desto weiter muss ihm die Cybersicherheit auf dem Fuß folgen.
Meine sehr geehrten Damen und Herren,
wir wollen uns alle digital mit dem Fortschritt vernetzen, aber niemand möchte seinen Gegnern ins Netz gehen. In diesem Sinne wurden das Internet, die neuen Kommunikationstechnologien, das „Internet of Things“ (IoT) oder die Industrie 4.0 häufig idealisiert oder dämonisiert.
Wir wissen heute, dass der Cyberraum schlichtweg ein Land der Extreme ist. Er ist unbestelltes Land – mit enormen Möglichkeiten für technische Entdecker, wirtschaftliche Visionäre und Menschen mit Pioniergeist. Zugleich ist er weitgehend rechtlos, anonym und gefährlich. Er ist damit auch ein Eldorado für Gesetzlose, fremde Geheimdienste und IT-Söldner. Im Cyberraum sind die Versprechen groß und die Risiken gewaltig.
Cybertechnologien optimieren Prozesse in der Wirtschaft, der Forschung, dem Transportwesen oder dem Wertpapierhandel. Und sie optimieren Spionage und
Sabotage:
In der Vergangenheit riskierten stets einige wenige Spione sehr viel, um geschützte Orte zu erreichen und exklusive Informationen zu erbeuten. Heute ist es genau umgekehrt: Sehr viele müssen nur sehr wenig riskieren, um großen Schaden anzurichten und massenhaft sensible Daten zu stehlen.
Im 21. Jahrhundert infiltrieren und sabotieren Hacker Kritische Infrastrukturen, Computernetzwerke, Bankkonten, Produktionsstraßen und E-Mail-Postfächer –
ohne dass sie sich von ihrem Stuhl erheben und körperlich Grenzen überscheiten müssten!
Knapp 30 Jahre nach dem Ende des Ost-West-Konfliktes zählen Nachrichtendienste nicht mehr primär feindliche Panzer und Raketen auf Satellitenbildern, sondern die täglichen Cyberattacken auf Firmen-, Militär- oder Regierungsnetzwerke.
Involviert sind sowohl ausländische Geheimdienste als auch nichtstaatliche Akteure, so dass sich die Intensität von Spionageaktivitäten um ein Vielfaches gesteigert hat.
Die Russische Föderation, die Volksrepublik China und die Islamische Republik Iran sind die Hauptakteure der gegen Deutschland gerichteten Spionageaktivitäten – doch bei Weitem nicht die einzigen. Leider spielen weitere Staaten wie beispielsweise Nordkorea eine zunehmende Rolle.
Und Deutschland bleibt als potenter Wirtschaftsstandort ein begehrtes Ziel für Cyberspionage. Im Fokus der Angreifer stehen Unternehmen aus allen Schlüsselbereichen der Wirtschaft – insbesondere aus den Bereichen Automotive, Rüstung, Luft- und Raumfahrt, dem Maschinen- und Anlagenbau sowie der Chemie- und Pharmaindustrie.
Technisch komplexe Spionagekampagnen können über Jahre laufen, wobei sich die Schadsoftware modifiziert. Durch die hohe Vernetzung der Realwelt mit dem
Cyberraum finden sie eine große Angriffsfläche und eine optimale Opferauswahl vor.
Die Cyberangriffskampagne APT 28 stellt einen Arbeitsschwerpunkt der Cyberabwehr des Bundesamtes für Verfassungsschutz dar. Es handelt sich um eine langjährige, international angelegte Angriffsoperation, die weltweit Schaden anrichtet. Auch der Angriff auf den Deutschen Bundestag 2015 erfolgte durch diese Kampagne. Die Cyberkampagne APT 28 ist russischen Ursprungs.
Das Ausmaß der elektronischen Ausspähung umfasst alle strategischen Bereiche – neben der Wirtschaft sind auch die Politik, die Wissenschaft, die Forschung und Industrieanlagen betroffen. Wir registrieren Angriffe auf Regierungs- und Verwaltungsnetze, auf IT- und Cloud-Provider.
Wer jedoch in der Lage ist, als Cyberspion in sensible Netzwerke einzudringen, der kann am selben Ort auch rasch zum Cybersaboteur werden, indem die Schadsoftware-Module im Opfersystem zu Angriffswaffen erweitert werden.
Ich erinnere Sie an das westukrainische Kraftwerk, das im Dezember 2015 infolge der russischen Cyberkampagne APT 29 abgeschaltet worden war; oder an das iranische Atomprogramm, das durch STUXNET sabotiert und zurückgeworfen wurde.
Schwerwiegende Fälle von Cybersabotage wurden in Deutschland bislang nicht festgestellt: Gleichwohl weist das Bundesamt für Verfassungsschutz seit Jahren auf das Gefährdungspotential hin. Auf der Ebene der Cyberkriminalität sind die Schäden von Erpressungstrojanern einer breiten Öffentlichkeit bekannt geworden:
So enthüllte der Fall des sogenannten „Wanna-Cry-Virus“ beinahe idealtypisch die Problemketten und Schwachstellen, denen wir aktuell begegnen.
Wir haben:
nicht eindeutig identifizierbare Urheber,
professionelle Vorgehensweisen und ein anspruchsvolles Know-how,
gefährliche Sicherheitslücken in weitverbreiteten Betriebssystemen sowie
Firmen und Anwender, die mangelhaft, zu spät oder gar nicht auf Sicherheitshinweise reagierten.
Wenn wir all diese Aspekte zusammenfassen und mit den realen Schadensmeldungen der Schlagzeilen abgleichen, offenbart sich am Ende ein beinahe groteskes Bild:
Wir vernetzen mit IoT alle relevanten Bereiche der Gesellschaft mit einem schwer fassbaren Ort, an dem wir sehr verwundbar sind, über den wir keine wirkliche Kontrolle besitzen und in dem vielfach unbekannte Personen unerkannt operieren können. Wir stehen auf einem unsichtbaren Schauplatz zusammen mit unsichtbaren Gegnern in meist unsichtbaren Allianzen, die einander mit unerklärten Cyberattacken überziehen.
Meine sehr geehrten Damen und Herren,
in den Phänomenbereichen des politischen Extremismus und Terrorismus beschränken sich Cyber-Sabotageaktionen bislang auf technisch geringwertige DDoS-Angriffe oder auf sogenannte „Defacement-Aktionen“, die Propagandazwecken dienen.
So schön, so gut, – aber damit ist das Problem der Cybersabotage durch Extremisten und Terroristen nicht vollständig beschrieben, denn
wenn im Cyberraum sensibles Wissen leicht und massenhaft zugänglich gemacht werden kann,
wenn durch die verstärkte Ausbildung in IT-Technik immer mehr Hacker mit hochwertigem Know-how als potentielle Söldner zur Verfügung stehen und
wenn aus IT-Produkten gefährliche Tatwerkzeuge werden können,
dann bedeutet Sicherheit im 21. Jahrhundert zwangsläufig, die Gefahren „digitaler Proliferation“ zu reflektieren und „waffenfähige Codes“ beziehungsweise „waffenfähiges IT-Wissen“ auf dem Radar zu behalten! Die Entwendung und anschließende Verbreitung von waffenfähigem IT-Wissen wird eine große Herausforderung für die Abwehrdienste darstellen.
Der „Wanna-Cry“-Angriff vom 12. Mai 2017 zeigte nicht nur die dargestellte Vulnerabilität unserer IT-Gesellschaft, sondern zeigte auch, was für Folgen die Entwendung und Verbreitung von geheimem Wissen über eine IT-Waffe der NSA haben kann.
Zum Glück wurden bislang keine großen Fälle bekannt, die sich im strengen Sinne als Cyberterrorismus qualifizieren ließen. Terroristische Gruppierungen verfügen offensichtlich noch nicht über die technischen Fähigkeiten zur Durchführung hochwertiger Cyberangriffe. Es ist aber keineswegs sicher, dass zum Beispiel die technikbegeisterten jungen Gefolgsleute des islamistischen Terrors es dabei bewenden lassen.
Das Pseudo-Kalifat des sogenannten Islamischen Staates mag in Nahost in Trümmern liegen. Das globale Cyber-Kalifat des Islamismus, der mit popkulturellen Mitteln und Medien einen „Mit-Mach-Jihad“ als Jugendrevolte und Abenteuer inszeniert, wird uns noch lange beschäftigen und weltweit neue Rekruten anziehen.
Es ist ein sicherheitspolitisches Mantra der zuständigen Behörden geworden, dass der Cyberraum den Aktionsradius von Extremisten und Terroristen exorbitant erweitert sowie die Handlungsmöglichkeiten der Sicherheitsbehörden – bei wenig veränderten gesetzlichen Rahmenbedingungen – eingeschränkt hat. Um nur ein Beispiel zu bringen:
Die Kommunikationsüberwachung im Cyberraum ist in keiner Weise mehr vergleichbar mit der Lebenswirklichkeit der 1990er-Jahre, in denen mobile Telekommunikation noch den Gang zur Telefonzelle bedeutete.
Heute zählen wir in Deutschland rund 131 Millionen Mobilfunkanschlüsse und beobachten eine „nomadische Nutzung“ des Internets, nämlich: ortsunabhängig und überall durch freie WLAN-Zugänge. Heute besitzen die Nutzer eigene Verschlüsselungen und Anonymisierungstechniken, die weder vom Anbieter noch von uns so ohne weiteres aufgelöst werden können.
Terroristen und Straftäter entziehen sich nachweislich mit einfachen Kommunikationsmitteln der Überwachung durch unsere Ermittlungsbehörden. Die technische Entwicklung unterläuft bestehende Gesetze. Oder anders formuliert: Bei gleichbleibender Gesetzeslage und gleichbleibenden technischen Möglichkeiten können wir den vom Gesetzgeber eingeforderten Arbeitsauftrag nicht optimal ausführen! Wir sehen schlichtweg nicht mehr alle relevanten Informationen zu einer Person, die der Gesetzgeber überwacht sehen will – sie verschwindet im Dunkel des Cyberraums!
Der Einbruch des Terrors aus der Virtualität in die Realität trifft am Ende allerdings reale Opfer, deren Leiden nicht mehr virtuell sind.
Auch wenn ich aus Zeitgründen diesen Aspekt nur streifen kann, möchte ich zumindest erwähnen, dass die digitalen Plattformen und Chat-Communities natürlich auch die Kampagnenfähigkeit von politischen Extremisten nach Kräften befeuern. Ich kann mit Hilfe „Sozialer Medien“ zur Rettung des Regenwaldes aufrufen, aber auch zur Gewalt beim G20-Gipfel in Hamburg.
Das Mobilisierungspotential ist enorm und zweigleisig – denn es betrifft die emotionale und die organisatorische Ebene. Es werden im Netz öffentliche Personen diffamiert, gegen politische Gegner, Asylbewerberheime und die Polizei mobilisiert – oder die Besetzung eines Braunkohltagebaus organisiert.
Meine sehr geehrten Damen und Herren,
ich möchte betonen, dass in meinen Augen auch die öffentliche Meinung und auch die öffentlichen Kommunikationsmittel mit Kritischen Infrastrukturen gleichzusetzen sind, die Opfer von Spionage, Sabotage und fremder Einflussnahme werden können. Es sind quasi „Kritische Infrastrukturen unserer offenen Gesellschaft“, was sie zum Angriffsziel unserer Feinde macht.
Diese Entwicklung spielte sich in jüngster Vergangenheit vor unseren Augen ab:
Wir sahen
Fälle gezielter Hacks und direkter Einflussnahme in innenpolitische Meinungsbildungsprozesse während der US-Präsidentschaftswahlen,
fremde Eingriffe in den Wahlkampf von Emmanuel Macron,
Hacker-Angriffe auf deutsche Unternehmen, Parteien und den Deutschen Bundestag und
Spuren, die meist nach Moskau führten.
Gerade die Bundesrepublik Deutschland sah sich im Wahljahr 2017 mit diesem Themenkomplex konfrontiert.
Der Bundesverfassungsschutz richtete ein TASK-Force ein, die relevante Cyberangriffskampagnen wie APT 28 beobachtete und ein verstärktes Monitoring sozialer Medien praktizierte, um gegebenenfalls schnell auf Versuche der unlauteren Einflussnahme reagieren zu können.
Dass die Bundestagswahl verschont blieb, ist kein Indiz für einen Fehlalarm, sondern für komplizierte Motivlagen möglicher Akteure und eine gelungene Sensibilisierung im Vorfeld. Erfolgreiche Prävention bedeutet, Dinge gerade nicht geschehen zu lassen. Und das ist ein größerer Erfolg, als im Nachgang eines schädigenden Ereignisses zwar den Tatverdächtigen benennen zu können, aber gleichzeitig vor einem Scherbenhaufen zu stehen.
Meine sehr geehrten Damen und Herren,
die Digitalisierung kann dem demokratischen Diskurs zweifellos dienen, aber sie kann die Nervenbahnen liberaler Gesellschaften auch überreizen und vergiften, denn sie erreicht den Adressaten direkt und ungefiltert am Smartphone und verändert im Guten wie im Schlechten den demokratischen Diskurs.
Wir hatten uns angewöhnt, von den Medien als vierter Macht im Staat zu sprechen, weil sie vor langer Zeit Verantwortung übernommen haben. Die Zeitungsverlage und Medienhäuser hatten diese Rolle für sich in Anspruch genommen, weil sie relevant geworden waren, weil sie den Bürger erreichten, ihn unterrichteten und Einfluss auf seine Meinung nehmen konnten.
Heute entdecken wir eine fünfte Macht, die zwar Ansprüche erhebt, aber bisher keine gesellschaftliche Verantwortung übernehmen will: Es sind riesige Digitalkonzerne, die sich lediglich als Transporteure von Informationen verstehen und sich hinter rechtlichen Plattform-Privilegien wegducken, weil sie die redaktionelle Prüfung ihrer Inhalte nicht übernehmen wollen.
Sie geben sich transparent und altruistisch; sie tarnen ihre Macht- und Profitinteressen hinter einer scheinbar selbstlosen Kommunikationsutopie; dabei lenken und beeinflussen ihre Algorithmen nicht nur Datenströme, sondern auch politische Willensbildung.
Digitale Plattformen und Chat-Communities dienen nicht immer der sachlichen Debatte und dem demokratischen Kompromiss. Sie schöpfen auch Meinungen ab und streuen diese nach Kriterien, die entweder nach Attraktion und Emotion sortieren oder gleich ganz im Verborgenen liegen.
In der Demokratie dürfen Meinungen und Fakten jedoch nicht als gleichwertige Datenpakete gehandelt werden! Meinungen und Fakten sind nicht identisch und nicht einfach „Bits and Bytes“!
Genau dies geschieht jedoch – zumal wenn hinter den Posts und Tweets sogar gesteuerte Bot-Netzwerke stecken, die millionenfach seelenlose Zombie-Meinungen streuen und politische Debatten lediglich simulieren! Diese Zombie-Netzwerke können heute Diskurse lenken. Sie infizieren Menschen, deren reale Empörung reale Konsequenzen trägt.
Wenn es auf Fakten nicht mehr ankommt und die Realität auf Meinungen reduziert wird, verliert der demokratische Pluralismus sein Fundament. Wir sind dann nicht mehr gemeinsame Bewohner derselben Realwelt, wenn wir aus dem Cyberraum mit unterschiedlichen Wahrheiten zurückkehren. Eine offene, pluralistische Gesellschaft verträgt viele Meinungen – aber nicht viele Wahrheiten!
Solche Muster erkennen wir in den Debatten über den BREXIT, den US-Wahlkampf, die Asylkrise in Deutschland oder in der aktuellen innerspanischen Kampagne zur Zukunft Kataloniens.
Aus diesem Grunde begrüße ich es sehr, dass derzeit in den Vereinigten Staaten die Rolle der Tech-Giganten hinterfragt wird. Es ist bezeichnend, dass die hauseigenen Unternehmensjuristen von Facebook Anfang des Monats in einer Anhörung vor dem US-Kongress einräumen mussten, dass 126 Millionen Menschen bei Facebook jene politische Botschaften gesehen haben, die von einer Firma platziert wurden, die eng mit der russischen Regierung verbunden sein soll.
Silicon Valley ist zweifellos gut im Umwälzen unserer alten Industrielandschaften, aber nicht immer gut darin, die Folgen abzuschätzen! Die Internetpropheten des Valleys predigen Transparenz und die totale Vernetzung in der Cloud.
Sie säen simulierte Informationsfreiheit – und wir ernten reale Datenunsicherheit. Der irische Professor John Naughton hat dies vor zwei Wochen in einem Beitrag für den Guardian auf den Punkt gebracht: „A halfeducated tech elite delivered us into chaos.“
Meine sehr geehrten Damen und Herren, fassen wir also zusammen:
Der Cyberraum bedient Extreme, die der Demokratie, der Wirtschaft und dem Staat zumindest einen Stresstest abverlangen.
Die schnellen Innovationszyklen der Digitalisierung halten die Dinge im Fluss und erschweren Gefahrenprognosen – dies gefällt Sicherheitsbehörden und
Nachrichtendiensten naturgemäß nicht.
Sicher ist jedoch, dass wir uns auf einem unsicheren Konfliktfeld befinden, auf dem auch mit rüden Mitteln um Einfluss gerungen wird. Wer also glaubt, ohne robuste Sicherheitsmaßnahmen die digitale Zukunft gestalten zu können, kann vielleicht in der Gegenwart rasch Rendite einfahren, nimmt sich aber für die Zukunft aus dem Spiel.
Die digitale Community ist unglaublich innovativ und hochtourig – aber sind wir auch innovativ und schnell genug, wenn es um unsere Sicherheit geht? Wir sind nicht Bürger zweier Welten. Unsere Demokratie endet nicht vor dem Cyberraum.
Meine sehr geehrten Damen und Herren,
wie sollen wir uns nun in dieser Lage verhalten?
Da es keine kurzfristigen Lösungen geben kann, müssen wir auf Sicht fahren. Es empfiehlt sich weiterhin eine Doppelstrategie, die sich sowohl der globalen Dimension der Cybersicherheit verpflichtet als auch den akuten Aufgaben zu Hause. Eine derartige „digitale Doppelstrategie“ befürwortet internationale Anstrengungen zur Pazifizierung des Cyberraums und trägt der nationalen Souveränität Rechnung.
Es gibt historische Beispiele, wie durch vertrauensbildende Maßnahmen, politische Verträge und internationale Regime das Sicherheitsdilemma im anarchischen Staatensystem gemildert werden konnte. Es wäre ein Gewinn, wenn wir langfristig das Sicherheitsdilemma im Cyberraum durch ähnliche Initiativen bekämpfen könnten.
Ebenso breite Interessen-Allianzen bestehen im Bereich sicherer IT-Technik. Es ist höchste Zeit für die schmerzhafte Erkenntnis, dass eine effiziente IT-Sicherheit
kein Flickwerk, sondern ein solider Neubau sein muss. Bei der Programmierung von Software besteht leider immer noch ein eklatanter Mangel an Problembewusstsein. Jahrzehntelang wurde Cybersicherheit bestenfalls als notdürftiges Pflaster auf die Außenhaut der Digitalisierung geklebt. Je tiefer die Digitalisierung in die Organe der Gesellschaft eindringt, desto grundlegender müssen wir jedoch ihre Cyber-Abwehrkräfte stärken.
Es sollte uns in diesem Zusammenhang Sorgen bereiten, dass wir in Deutschland in großen Teilen der relevanten Sicherheitsbereiche keine eigene Software und Hardware mehr entwickeln.
Wir verfügen über keine Betriebssysteme, keine Basis-IT, keine Instant-Messenger-Dienste und keine sozialen Netzwerke usw. – kurz gesagt: über keine Basis im Cyber-Bereich, die eine länderspezifische Souveränität erlaubt. Wir müssen unsere Abhängigkeit von amerikanischer und asiatischer Computertechnologie reduzieren. Derartige Kraftanstrengungen sind Projekte, die durchaus einen europäischen Schulterschluss nahelegen.
Doch seien wir ebenso realistisch:
Unser Know-how, unsere Wertschöpfung, unsere Infrastruktur und unsere Kommunikationssysteme sind hochgradig vernetzt und damit sehr verwundbar. Der Cyberraum ist sowohl für unsere Freunde, Feinde als auch Wettbewerber viel zu attraktiv und kompetitiv, um ihn allein partnerschaftlich zu nutzen.
Er ist eine neue Dimension jenseits klassischer staatlicher Gestaltungsspielräume – aber auch nur der erweiterte Operationsraum alter und neuer Gegensätze. Die Digitalisierung löst immer mehr Grenzen auf – jedoch nicht die Interessenkonflikte!
Dies führt zu der scheinbar paradoxen Einsicht, dass gerade das transnationale Phänomen der Digitalisierung eine nationale Kraftanstrengung erzwingt. Deutschland muss die Risikokontrolle im Cyberraum als ein neues Merkmal staatlicher Souveränität und damit auch als nationale Aufgabe begreifen!
Dieser Tatsache trägt die Spionageabwehr des Bundesamtes für Verfassungsschutz mit einem 360-Grad-Blick Rechnung. Damit berühren wir den Aufgabenbereich der Nachrichtendienste – und meinen letzten Punkt.
Meine sehr geehrten Damen und Herren,
als ein starker Arm der inneren Sicherheit leistet der Verfassungsschutz für die nationale Cybersicherheit seinen Beitrag, insoweit er seine Spionage- und Sabotageabwehrarbeit auch im Cyberraum betreibt. Technisches Know-how und die kompetente Analyse umfangreicher Lagebilder sind Faktoren klassischer
Intelligence-Arbeit.
Unser gesetzlicher Auftrag ist sowohl die frühzeitige Angriffserkennung, die technische Analyse der Angriffsmethodik und die Erkenntnisgewinnung über mögliche Urheber. Wir handeln also nicht allein reaktiv, sondern versuchen bereits im Vorfeld, drohende Gefahren aktiv ausfindig zu machen und diese gar nicht erst zur Wirkung kommen zu lassen.
Durch diese Expertise sind wir ein kompetenter Ansprechpartner für Politik, Wirtschaft und Wissenschaft und reichen unser Wissen in Sensibilisierungsgesprächen an gefährdete Stellen weiter.
Die Cyberabwehr des Bundesamtes für Verfassungsschutz ist durchaus erfolgreich – ich erwähne drei Beispiele:
So wurde der Schweizer Rüstungskonzern RUAG von einem fremden Nachrichtendienst ausspioniert. Der Angriff konnte vom Bundesamt für Verfassungsschutz detektiert und über die Schweizer Kollegen gemeldet werden.
Ende 2016 erkannte unsere Cyberabwehr einen Hackerangriff auf die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), die wir umgehend in Kenntnis setzten.
Wir informierten im Mai 2015 auch den Deutschen Bundestag über die Kompromittierung seines Datennetzes durch feindliche Angriffssoftware.
Unsere Sicherheitsbehörden müssen jedoch mit weiteren effektiven Befugnissen ausgestattet werden – auch die Nachrichtendienste. Dazu gehören etwa Online-
Durchsuchungen oder offensive „Hack-Back“-Kapazitäten, um feindliche Angriffs-Strukturen notfalls auszuschalten und gestohlene Daten zu löschen.
Wenn die Technik voranschreitet, müssen wir weiterhin in der Lage sein, dass Spiel mitzuspielen. Es ist kein Zeugnis von Rechtsstaatlichkeit, wenn technischer Fortschritt nur dessen Gegnern zukommt.
Es gibt noch viele Baustellen, über die es sich zu reden lohnt – denken Sie etwa an die Frage, ob der spezifisch deutsche Föderalismus in all seinen Facetten für die kommenden Herausforderungen im Bereich der inneren Sicherheit zielführend ist.
Meine sehr geehrten Damen und Herren,
ich denke, ich habe Ihnen einige Anregungen zur Diskussion vermitteln können, und ich habe den Eindruck, dass Sie mir aufmerksam zugehört haben.
Dafür danke ich Ihnen.
Zurück zum Inhaltsverzeichnis des BfV-Newsletters Nr. 4/2017
Herausgeber: Bundesamt für Verfassungsschutz
Stand: Dezember 2017
