BSI-Chef Arne Schönbohm steht im Zentrum der Kritik.
Der von Arne Schönbohm, dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI), gegründete Cyber-Sicherheitsrat Deutschland e. V. steht nach einer Ausstrahlung von Jan Böhmermanns "ZDF Magazin Royale" wegen seiner Nähe zu Russland ein weiteres Mal in der Kritik, unter anderem soll Innenministerin Nancy Faeser (SPD) derzeit eine Absetzung Schönbohms prüfen. Laut Recherchen des STANDARD war der Verein in den vergangenen Jahren jedoch nicht nur in Deutschland, sondern auch in Österreich aktiv.
So nahm man am 30. September 2013 an einem Round Table zum Thema "Cybersicherheit als Business Enabler für Betreiber Kritischer Infrastrukturen" beim Wiener Rennverein teil, einen Tag später referierte Arne Schönbohm im Namen des Vereins auf einer Security-Veranstaltung in Wien über das Thema "Wirtschaftsspionage: Wachsende Gefahr für ihr Unternehmen?".
Seite an Seite mit den Großen
Und schließlich findet sich der aktuelle Generalsekretär des Cyber-Sicherheitsrat Deutschland e. V., Hans-Wilhelm Dünn, unter den Referenten eines Events namens Autocontact 2016 in Bad Radkersburg. Thema der Veranstaltung war das Supply-Chain-Management in der Automobilbranche, zu den anderen Teilnehmern des Events gehören Vertreter von Branchengrößen wie Voestalpine Metal Forming, Magna Steyr, Daimler und Siemens.
Nun ist es per se kein Sicherheitsrisiko, auf demselben Event wie ein medial stark kritisierter Verein aufzutreten – die Größe und die Relevanz dieser Unternehmen als Zulieferer für eine europäische Spitzenindustrie lassen jedoch hellhörig werden. Der STANDARD hat daher die Unternehmen um Stellungnahme gebeten, ob russische Hard- und Software in ihren System verwendet werden. Antworten blieben bisher aus beziehungsweise wurde eine Stellungnahme abgelehnt.
Was bisher geschah
Im Kern steht der von Schönbohm 2012 gegründete Verein wegen seiner Nähe zu Russland in der Kritik. Zu den Mitgliedern gehörte bis vor kurzem unter anderem ein russischer Anbieter von Sicherheitssoftware, dessen Gründer zuvor im KGB tätig gewesen ist. Dieses Unternehmen wurde vom Verein am Montag ausgeschlossen. Weiters weist man russische Einflussnahme von sich und betont, dass man den Angriffskrieg Russlands auf die Ukraine verurteile.
Im Widerspruch dazu steht jedoch ein Beitrag der ARD aus dem Jahr 2019. Schon damals wurde der Vereinsspitze eine fragwürdige Nähe zu russischen Unternehmen aus dem IT-Sicherheitsbereich attestiert. Unter anderem nahm Dünn als einziger deutscher Redner an einer Veranstaltung teil, die laut Sicherheitskreisen einen "russischen nachrichtendienstlichen Hintergrund" hatte: Wer daran teilnehme, setze sich der Gefahr aus, für propagandistische Zwecke missbraucht zu werden, hieß es damals.
Die Situation weckt auch Erinnerungen an den Umgang mit einem anderen russischen IT-Unternehmen: Kaspersky. Vor der Nutzung des Virenschutzes aus russischer Hand hatte das BSI unter Führung Schönbohms am 15. März, also knapp drei Wochen nach Ausbruch des Ukraine-Kriegs, öffentlich gewarnt. Firmengründer Eugene Kaspersky bezeichnete dies als rein politisch motivierten "Angriff", das Verwaltungsgericht Köln bestätigte die Warnung jedoch. Gemeinsame Veranstaltungen zwischen dem Verein und Kaspersky hatte es zuvor ebenfalls gegeben: Dünn hatte 2018 einem Expertenpanel des russischen Unternehmens teilgenommen, 2016 lud man Gründer Eugene Kaspersky zu einer Podiumsdiskussion im Umfeld der Münchner Sicherheitskonferenz.
Wer verwendet russische Software?
Eine essenzielle Frage bleibt nach wie vor unbeantwortet: Gibt es politische Institutionen und systemrelevante Unternehmen, deren Sicherheit durch die Nutzung russischer Hard- und Software gefährdet ist?
Zu diesem Thema hatte der Abgeordnete Helmut Brandstätter (Neos) im Februar 2021 – also bereits ein Jahr vor Beginn des Krieges – eine parlamentarische Anfrage gestellt: Er wollte wissen, ob Kaspersky-Software in heimischen Ministerien eingesetzt wird und ob es Kontakte zu Personen aus dem Unternehmen gab.
Die Antworten aus den Ministerien fielen recht schmallippig aus: In den meisten Fällen berief man sich darauf, aus Sicherheitsgründen keine Angaben über eingesetzte Security-Software machen zu können, zudem habe es keine Kontakte zu Vertretern des Unternehmens gegeben. Einzig der damalige Innenminister Karl Nehammer (ÖVP) gab an, dass es am 21. Jänner 2017 auf dem Ball der Industrie ein "Zusammentreffen zwischen dem ehemaligen Innenminister Sobotka und Herrn Kaspersky" gegeben habe. Drei Tage später gab es "einen Termin von Angehörigen der Linienorganisation mit Kaspersky-Vertretern". Mehr Details finden sich nicht.
Was sagt das BRZ?
Ähnliches ergibt sich aus einer Rückfrage des STANDARD beim Bundesrechenzentrum (BRZ). Aus Gründen der Verschwiegenheitspflicht und aus Sicherheitsgründen könne man keine Informationen dazu übermitteln, welche Software bei Kunden des BRZ oder beim BRZ selbst im Einsatz sind oder welche konkreten Maßnahmen zur Abwehr von Cyberangriffen gesetzt werden.
"Aktuelle Warnungen bzgl. des Einsatzes von Software aus Russland sind uns selbstverständlich bekannt", heißt es aber weiter: Man stehe zu diesem Thema zudem laufend im Austausch mit den zuständigen Behörden und Sicherheitsorganisationen und habe entsprechende Maßnahmen bereits umgesetzt. Auch prüfe das BRZ laufend sicherheitsrelevante Aspekte beim Einsatz von Soft- und Hardware und sei darauf ausgerichtet, "geeignete Lösungen für seine Kunden bereitzustellen und auf sicherheitsrelevante Entwicklungen zu reagieren". (Stefan Mey, 11.10.2022)
Update, 13.10.: Die besagte Podiumsdiskussion mit Kaspersky fand nicht 2022, sondern 2018 statt, der Fehler wurde korrigiert.