Sicherheitspolitik: Public-private-Abhängigkeit

Deutschland steht unter Dauerfeuer. 1100 Cyber-Angriffe von Nachrichtendiensten und Regierungen im Ausland hat der Verfassungsschutz im vergangenen Jahr registriert, hinzu kommen Angriffe auf große Unternehmen. Thyssen-Krupp soll unter den Angegriffenen sein, berichtet der „Spiegel“, wenn auch „lokal“ in den USA.

Erneut macht die staatliche chinesische Hackereinheit 61398 Schlagzeilen. Anfang der vergangenen Woche hatte die private amerikanische Cyber-Sicherheitsfirma Mandiant bekannt gemacht, sie habe einen großen Teil der ihr bekannten Angriffe auf amerikanische Unternehmen auf die chinesischen Hacker zurückführen können. US-Präsident Barack Obama musste reagieren: Hackerangriffe auf Unternehmen in den USA wolle man in Zukunft mit Handelssanktionen gegen diejenigen Staaten beantworten, die man als Urheber der Angriffe ansehe.

China nannte der amerikanische Präsident zwar konkret nicht. Und doch beginnt die Thematik, zum diplomatischen Problem zu werden. Mit öffentlichen Anschuldigungen haben sich die USA ebenso wie Deutschland bislang stets zurückgehalten. Je mehr Informationen allerdings an die Öffentlichkeit gelangen, desto notwendiger eine Reaktion. Der oft plakativ als „Cyberwar“ deklarierte Kampf um Informationen mittels Computerspionage dürfte bald das diplomatische Parkett erobern.

Vorfälle wie die Veröffentlichung von Mandiant zeigen gleichzeitig, wie sehr den Staaten in diesem sensiblen Bereich die Hoheit über das Geschehen entglitten ist. Es ist letztlich ein privates Unternehmen, das durch die Veröffentlichung die amerikanische Regierung unter außenpolitischen Zugzwang bringt und damit Politik gestaltet – ein Symptom einer verbreiteten Mangelerscheinung.

Viele Staaten (und Deutschland stärker als die USA) können im Bereich der Cybersicherheit und -abwehr noch immer nicht mit der Expertise privater Unternehmen mithalten. In sensibelsten Bereichen der Außen- und Innenpolitik ist deshalb ein Abhängigkeitsverhältnis entstanden. Weil eigenes Personal fehlt, müssen sich Staaten bei der virtuellen Spionageabwehr, Verteidigung und Strafverfolgung notgedrungen der IT-Branche öffnen.

Die Abhängigkeit besteht zuerst bei den Informationen. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik federführend bei der Detektion und Analyse von Angriffen auf Bundesbehörden – doch die Informationen über die Art und Beschaffenheit der Viren stammen auch von privaten Unternehmen und universitären Forschungseinrichtungen, mit denen das BSI kooperiert. Das hängt man nicht gern an die große Glocke – mit gutem Grund, haben doch die Anti-Viren-Hersteller dieser Welt ein großes Interesse daran, Gefahren aufzubauschen.

Auch in der „Staatstrojaneraffäre“ zeigte sich die heikle Abhängigkeit. Mangels eigener Kompetenzen musste das BKA für das Abhören digitaler Kommunikation, also beim Einbruch auf die Computer deutscher Bürger, auf einen von einer privaten Firma entwickelten Trojaner zurückgreifen. Das Bundesverfassungsgericht monierte die Praxis, das BKA versucht seither, eine eigene Software zu entwickeln – bislang offenbar ohne Erfolg, wie eine Kleine Anfrage von Bundestagsabgeordneten im Dezember zeigte.

Dass sich staatliche Stellen von der Technik und den Informationen privater Anbieter abhängig machen, ist umso absurder, wenn man bedenkt, wie hoch und dick die Mauern sind, die ansonsten um sensible Bereiche der Innen- und Verteidigungspolitik gezogen werden. In Rüstungs- und Geheimdienstfragen glaubt die Bundesrepublik mit einem Minimum oder auch gar keiner parlamentarischen Kontrolle auszukommen – geschweige denn, dass es einen Auskunftsanspruch der Presse gäbe. Gleichzeitig müssen sich die Sicherheitsbehörden auf Informationen und Technik privater Unternehmen verlassen. Nun, da der US-Präsident indirekt mit einem Handelskrieg gegen China gedroht hat, wird deutlich, welche Dimension die Folgen haben könnten.

In den USA hat man das Dilemma offenbar erkannt. Erst Ende Januar berichteten amerikanische Zeitungen, dass Verteidigungsministerium wolle seine „Cyberstreitkräfte“ von jetzt 900 auf 4900 Mitarbeiter ausbauen. Andere wollen den Mangel zum Programm machen. Der stellvertretende Chef des europäischen Cyberabwehrzentrums plädierte erst vergangene Woche in Berlin für einen Ausbau der Kooperation zwischen Staaten und Unternehmen. Erstrebenswert scheint das nicht. Deutschland muss Herr über seine Sicherheitsarchitektur bleiben. Zur Not müssen eben auch Gehälter jenseits des TVÖD gezahlt werden.