Bedingt einsatzbereit

Bedingt abwehrbereit – so lautete die Diagnose, die Spiegel-Journalisten 1962 der Bundeswehr stellten und damit eine der größten deutschen Staatsaffären auslösten. Damals im Kalten Krieg ging es um Geheimdienste, Wirtschaftsinteressen und die politische Beeinflussung von Berichterstattung. Ein halbes Jahrhundert später taucht der Begriff wieder auf: In Interviews beschreibt Arne Schönbohm den Zustand der deutschen IT-Sicherheit als „bedingt abwehrbereit“. Die Wirtschaft, ja, der gesamte Staat sei in Gefahr, wenn sich Kriminelle in unsere Computersysteme hackten. Schönbohm ist Vorsitzender des Cyber-Sicherheitsrats Deutschland e.V. – den Verein hat er 2012 zusammen mit Wirtschaftsvertretern, Professoren und Politikern gegründet, weil die deutsche Politik seiner Meinung nach zu wenig für die Abwehr von Cyber-Attacken unternimmt. Offiziell dafür zuständig ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das dem Innenministerium untersteht. Immer wieder kritisierte Schönbohm die Behörde, jetzt soll er auf einmal ihr Präsident werden.

Anfang kommender Woche will der 46-Jährige das Amt antreten. Die Personalie ist jedoch umstritten. IT-Experten bezeichnen ihn als inkompetent, die Opposition sieht ihn als Lobbyisten der Privatwirtschaft und fürchtet Interessenkonflikte. Ist der Sohn des ehemaligen CDU-Staatssekretärs im Verteidigungsministerium, Jörg Schönbohm, wirklich der richtige Mann für den Job?

Im vergangenen Jahr hat der Bundestag ein neues IT-Sicherheitsgesetz beschlossen. Unternehmen mit „kritischer Infrastruktur“ – etwa Rüstungsfirmen oder Chemiefabriken – sind nun verpflichtet, einheitliche Sicherheitsstandards einzuhalten und Attacken zu melden. Arne Schönbohm kritisierte damals, dass unklar bleibe, wann ein Unternehmen eine kritische Infrastruktur habe. Außerdem orientiere es sich zu wenig an internationalen Standards und verliere seine Wirksamkeit in dem bürokratischen Wirrwarr der Zuständigkeiten. Deswegen bezeichnete er das Gesetz als Papiertiger und erklärte die deutsche IT-Sicherheit für gescheitert. Nun soll er genau dieses Gesetz als BSI-Präsident umsetzen.

Der Vorschlag für die Personalie Schönbohm stammt von Innenminister Thomas de Mazière persönlich, wie aus einer Antwort auf die Anfrage des Grünen-Politikers Konstantin von Notz hervorgeht. Von Notz hatte sich über die Besetzung gewundert, nicht nur weil Schönbohm das BSI bislang stets kritisierte, sondern auch wegen seiner Nähe zur freien Wirtschaft. Schönbohm leitet eine IT-Beratungsfirma. Den Cyber-Sicherheitsrat bezeichnet von Notz als „Visitenkarten-Institut“, das nicht viel mehr tue, als Pressemitteilungen zu schreiben. Zu den Mitgliedern gehören unter anderem IBM, die Waffensparte von EADS und die IT-Sicherheitsfirma Kaspersky. Genau diese Art von Unternehmen soll das BSI eigentlich auf ihre IT-Sicherheit überprüfen. Steht Schönbohm dafür der Wirtschaft zu nahe?

Für den Vizepräsidenten des Cyber-Sicherheitsrats, Hans-Wilhelm Dünn, ist genau das Gegenteil der Fall. Er sagt, das Bundesamt brauche das „Know-how der Bedarfsträger“. Zudem könne man Schönbohm nicht unterstellen, dass er „keine Ahnung“ habe. Immerhin sei er Autor mehrerer Bücher zur Cyber-Sicherheit. In Rezensionen werden seine Publikationen allerdings häufig als Aneinanderreihung von Worthülsen beschrieben – und der Verdacht geäußert, er betreibe „Selbstmarketing“, um sich als Experte verkaufen zu können. Schönbohm will sich zu den Vorwürfen vor seinem Amtsantritt persönlich nicht äußern, verspricht aber, ab kommender Woche seinen Vorsitz des Cyber-Sicherheitsrats ruhen zu lassen und die Anteile an seiner IT-Firma zu verkaufen.

Konstantin von Notz beruhigt dieses Versprechen nicht. Für ihn ist Schönbohm ein IT-Lobbyist; jemand, der mit „fragwürdigen Firmen aus dem Bereich der digitalen Überwachungs- und Ausspähtechnologie“ zu tun hatte. „Insgesamt werde ich das Gefühl nicht los, dass sich Bundesregierung und Bundesinnenministerium nicht angeschaut haben, wen man da eigentlich an die Spitze des Bundesamts setzen will.“ Mit seiner Kritik ist er nicht allein. Der Internet-Blog netzpolitik.org nennt die Besetzung eine „Posse“. Für die Autorin des Artikels, Constanze Kurz vom Chaos Computer Club, fehlt Schönbohm die technische Kompetenz, die die bisherigen Präsidenten des BSI alle gehabt hätten. Sie schreibt, er werde in der Branche sogar als „Cyber-Clown“ bezeichnet. Anders als seine Vorgänger, die in der Regel Mathematiker oder Physiker waren, hat Schönbohm Internationales Management studiert und später seine Firma gegründet.

Online-Blogs wie netzpolitik.org kritisieren schon seit Längerem, dass wichtige Posten in der IT-Sicherheit mit Fachfremden besetzt werden. Dabei gewinnt das Thema Cyberkriminalität stetig an Bedeutung. Schon seit einigen Jahren beschäftigt sich das Bundeskriminalamt zunehmend mit Datenmissbrauch, Phishing, Spam und organisierter Kriminalität über das sogenannte Darknet. Wenn künftig nicht nur Personen, sondern auch Autos, Häuser und Haushaltsgeräte über das Internet miteinander vernetzt sind, erweitert das den Spielraum für Kriminelle enorm.

Im Jahr 2010 wurde bekannt, dass der Computerwurm Stuxnet auf zahlreichen iranischen Steuerungssystemen eingenistet wurde, um dort die Steuerung von Atomkraftwerken zu stören. Auf einmal ist der Gedanke an den Kalten Krieg gar nicht mehr so fern. „Bedingte Abwehrbereitschaft“ in der Informationstechnik könnte fatale Folgen haben. Vielleicht hat Schönbohm mit seiner pessimistischen Diagnose sogar recht. Vielleicht ist das aber auch der Grund, ihn nicht an die Spitze des Bundesamts zu setzen.