Das Bundesamt für Sicherheit in der Informationstechnik und seine Kooperation mit militärischen Einrichtungen

Noch mehr Übungen, noch mehr zivil-militärische Zusammenarbeit und Kooperation mit "Drittländern". Wie oft kommt in dem EU-Konzept (und dem Artikel) das Wort "Cyber" vor?
Noch mehr Übungen, noch mehr zivil-militärische Zusammenarbeit und Kooperation mit „Drittländern“. Wie oft kommt in dem EU-Konzept (und dem Artikel) das Wort „Cyber“ vor?

cyber_atlantic_ENISAIn den von Edward Snowden nach und nach veröffentlichen Geheimdokumenten zu den Fähigkeiten der US-Geheimdienste ist auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rede. Die Behörde bezeichnete sich selbst „Schlüsselpartner“ des US-Militärgeheimdienstes National Security Agency (NSA).

Unbestritten ging das BSI aus der „Zentralstelle für das Chiffrierwesen“ hervor, die beim Bundesnachrichtendienst angesiedelt war. Im „Nationalen Cyber-Abwehrzentrum“ (NCAZ) arbeitet die Behörde mit allen Polizeien und Geheimdiensten des Bundes zusammen, darunter auch dem Militärischen Abschirmdienst. Wie die Bundeswehr betreibt das BSI ein „Computer Emergency Response Team“ (CERT). Ziel der CERT’s, die auch auch von der Privatwirtschaft errichtet werden, ist der „verbesserte IT-Schutz“. Hierzu gehört nicht nur die „Lösung von konkreten IT-Sicherheitsvorfällen“ oder Warnungen vor Sicherheitslücken. „In Einzelfällen“ werden laut Bundesregierung auch „Penetrationstests“ vorgenommen.

Grund genug also, sich für Kooperationen des BSI auf internationalem Parkett zu interessieren. Das dachte sich auch der MdB Jan Korte, der gemeinsam mit anderen Abgeordneten die Kleine Anfrage „Die Rolle des Bundesamts für Sicherheit in der Informationstechnik in der PRISM-Ausspähaffäre“ gestellt hatte. Die Antwort ist nun eingetrudelt. Wie üblich werden eine Reihe von Informationen aber in die Geheimschutzstelle verschoben und sind dort nur für die Angehörigen des Bundestages einsehbar. Darüber sprechen dürfen sie in der Öffentlichkeit nicht.

So erfahren wir beispielsweise nichts über weitere Treffen zwischen dem BSI und weiteren geheimdienstlichen US-Einrichtungen. Lediglich ein „Expertentreffen“ zwischen dem US-Militärgeheimdienst NSA, dem BND und dem BSI am 10. und 11. Dezember 2012 in Bonn wird bestätigt. Eine „fachliche Kontaktaufnahme“ seitens des BSI zur NSA sei auch gar nicht nötig gewesen, erklärt die Bundesregierung. Denn diese sei bereits „auf ministerieller Ebene erfolgt“. Das ist interessant, denn das BSI untersteht dem Bundesinnenministerium. Der Satz lässt sich so interpretieren, dass IM Friedrich selbst bei der NSA angeklopft hatte.

Doch auch die öffentlich beantworteten Fragen geben Anlass zu Zweifeln. Denn es wird wiederholt, was das BSI bereits in einer eigenen Pressemitteilung betonte. So heißt es, man habe „weder die NSA noch andere ausländische Nachrichtendienste unterstützt“. Allerdings geht es bei dem Dementi lediglich um die Frage, ob das BSI half, „Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX“ auszuspähen. Bezüglich des Überwachungswerkzeugs XKeyscore war das BSI aber sehr wohl involviert: MitarbeiterInnen seien laut der Bundesregierung „bei einer externen Präsentation des Tools durch den Bundesnachrichtendienst im Jahr 2011“ anwesend gewesen.

Die Zusammenarbeit mit der NSA wird nicht bestritten, denn diese sei die für die USA zuständige „Nationale Kommunikationssicherheits- und Cybersicherheitsbehörde“. Die NSA ist aber nicht die einzige Militärbehörde, mit der das BSI Beziehungen pflegt. Die internationale Kooperation knüpft laut der vorliegenden Antwort an die Mitgliedschaft der Bundesrepublik Deutschland in der NATO an. „Kooperationsfelder“ würden sich demnach „aus den Aufgaben der NATO in der Informations- und Cybersicherheit“ ableiten. Für die „anlass- und themenbezogene Zusammenarbeit“ innerhalb der NATO seien „geregelte Gremienstrukturen“ eingerichtet worden.

Zur Wahrnehmung seiner Aufgaben nimmt das BSI an „internationalen IT-Sicherheitsübungen“ teil. Die Europäische Union hatte beispielsweise die Übung „Cyber Europe 2010“ ausgerichtet, um die „Abwehrbereitschaft der EU“ zu verbessern. 22 Mitgliedstaaten beteiligten sich, verantwortlich war die Europäische Agentur für Netz- und Informationssicherheit (ENISA) mit Sitz in Athen. Chef der ENISA ist Udo Helmbrecht, früherer Präsident des Bundesamtes für Sicherheit in der Informationstechnik).

Mittlerweile werden derartige Manöver zur „Abwehr von IT-Angriffen gegen Regierungsnetze“ unter Beteiligung der USA durchgeführt. In der Übung „Cyber Atlantic 2011“ lag hierfür unter anderem das Szenario eines Hackerangriffs zugrunde:

Für das erste Szenario wurde als Angreifer eine Hackergruppe mit „Anonymous ähnlichem“ Hintergrund angenommen und im zweiten Szenario wurde die Reaktion auf Angriffe gegen kritische Infrastrukturen geübt.

Kurz vor der „Cyber Europe 2010“ hatten mehrere EU-Mitgliedstaaten (Frankreich, Deutschland, Ungarn, Italien, Niederlande, Schweden und Großbritannien) an der zivil-militärischen US-Übung „Cyber Storm III“ teilgenommen, die vom Ministerium für Innere Sicherheit der Vereinigten Staaten (DHS) geleitet wurde. Die EU-Kommission und ENISA nahmen als Beobachter teil. Auch das BSI war mit 25 MitarbeiterInnen an Bord und beschäftigte sich in „Cyberstorm III“ mit einem „Computerwurm-Szenario“ (kurz darauf wurde erstmals die Existenz des Stuxnet-Virus offenkundig). Auch ein Mitarbeiter des Bundeskriminalamts (BKA) sei laut der Bundesregierung an „Cyberstorm III“ beteiligt gewesen, ein Mitarbeiter des BSI saß mit in der „zentralen Übungssteuerung“ in Den Haag.

Hier schließt sich der Kreis zur Zusammenarbeit mit internationalen Militärs, denn in „Cyber Storm III“ war auch das US-Verteidigungsministerium mit mehreren Behörden eingebunden: Dem „Defense Cyber Crime Center“, dem „United States Cyber Command“, dem „United States Strategic Command“ und natürlich führenden MitarbeiterInnen der NSA.

Zur derart dominanten militärischen Beteiligung bei „Cyberstorm III“ befragt, redet sich die Bundesregierung heraus:

An dem Strang von Cyber Storm III, an dem Deutschland [mit BSI und BKA] beteiligt war, haben keine militärischen Stellen teilgenommen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. „militärische stellen“…der oberbegriff der politdummies für alles was der totalüberwachung dient. ist ja geheim und alternativlos, ausserdem grundrechtsschonend. und wenns zur großen kollision kommt hat die opposition nicht mal mehr ein viertel der sitze….keine chancen mehr auf eigenständiges einsetzen von ausschüssen und so weiter……also wenn ihrs nicht hört….ich kann das grinsen unserers innenfridolins und oberbewachers ziercke bis hierher hören.

  2. Das BSI ist die ehemalige Abteilung 6 des BND. Es ist nicht bekannt, auf welche Eide die Spione vom BSI vor 1990 eingeschworen wurden. Aber dadurch, dass einige dieser Spione in private Trustcenter gegangen sind, sind auch diese kompromittiert und nicht zuverlässig.

    Ob der undokumentierten und geheimen Zusammenarbeit des BSI mit Auslandsnachrichtendiensten, die Bürger, Wirtschaft und Staat ausspionieren, ist das BSI in keinster Weise geeignet die Bürger zu schützen, sondern Teil der Beredrohung durch die Spionage fremder Mächte auf deutschem Boden. Es ist sogar zu fragen, ob hier nicht systematisch Landesverrat durch diese Zuarbeit für die Spionage fremder Mächte gegen die BRD vorliegt.

    Auf gar keinen Fall sollten Bürger Software vom BIS verwenden oder Soft- und Hardware verwenden, die vom BSI zertifiziert wurde. Hier muss es durch unabhängige Kräfte sichergestellt werden, dass hier keine Hintertüren zur Spionage eingebaut wurden.

    Im Klartex heisst das auch, dass die komplette Sicherheitsarchtektur des Bundes überarbeitet werden muss,. da auch nicht sichergestellt ist, ob nicht bei den Projekten zu „Kritischen Infrastrukturen“ Spionageeinrichtungen und Terrormöglichkeiten eingebaut wurden. Mit Stuxnet wurde gezeigt, dass die größte Bedrohung der IT-Strukturen der Welt derzeit von westlichen Staatseinrichtungen ausgeht.

    Mir ist völlig unklar, warum eine Behörde so leichtfertig nach 23 Jahren ihre Seriösität hinrichtet und die Seite vom Schutz zur Bedrohung wechselt. Sei es. Dem BSI ist auch jeden Fall nicht mehr zu trauen.

    1. „Dem BSI ist auch jeden Fall nicht mehr zu trauen“….hast du denn wirklich irgendeinem bundesinstitut, das mit daten der bürger auch nur hauchzart in berührung kommt, jemals vertraut????

  3. @wolfgang

    danke für dein antwort.

    ich hoffe nie in der „blöd“ die headline „Skandal! BfA verhökert Daten an die NSA“…..und die Stellungnahme von dumfalla…“das ist im rahmen der terrorabwehr rechtsmässig und alternativlos. ich habe herrn diekmann schriftlich zugesichert, dass dies beendet ist“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.