Cyber-Angriffe:Warum Deutschland eine NSA braucht

NSA

Logo des US-Geheimdienstes National Security Agency (NSA)

(Foto: dpa)

Ein angemessen ausgestattetes Bundesamt könnte die Rolle einer "guten" NSA für Deutschland übernehmen.

Von Helmut Martin-Jung

Eines der wichtigsten Verfassungsorgane Deutschlands, der Bundestag, ist digital attackiert worden. Die Abgeordneten, ihre Mitarbeiter - jeder muss damit rechnen, dass gigabyteweise E-Mails und andere sensible Daten abgegriffen worden sind. In Hessen und Rheinland-Pfalz haben Hacker Kfz-Zulassungsstellen lahmgelegt. Im Nachbarland Polen konnten Flugzeuge stundenlang nicht abheben, weil die Computer angegriffen wurden, mit denen Flüge geplant werden. Alles Beispiele aus den vergangenen Tagen. So etwas passiert eben in der vernetzten Welt? Schicksal? Gibt es die totale Sicherheit nur mit gezogenem Stecker? Moment mal!

Zugegeben: Niemand kann in Computernetzen hundertprozentige Sicherheit gewährleisten. Dafür bietet die Technik einfach zu viel Angriffsfläche. Aber richtig ist auch: Die weitaus meisten Attacken wären zu vermeiden gewesen oder hätten zumindest weniger Schaden verursacht, hätten die Betroffenen sich bloß an eine Reihe von Grundregeln der IT-Sicherheit gehalten.

Weite Teile des Netzes infiltriert

Jeder, der sich damit auch nur ein bisschen befasst, weiß, dass es heute nahezu unmöglich ist, einzelne Geräte vollständig zu schützen. Geben sich die Angreifer etwas Mühe beim social engineering, beim Anpassen von Angriffen auf die Opfer also, steigen ihre Chancen stark an, dass eines von ihnen einen gefährlichen E-Mail-Anhang öffnet oder einen Link auf eine verseuchte Webseite anklickt. Der Schutz muss also umfassender sein, keinesfalls darf es dazu kommen, dass von einem Schwachpunkt aus gleich weite Teile des Netzes infiltriert werden, so wie das im Bundestag geschehen ist.

Nun ist es am Bundesamt für Sicherheit in der Informationstechnik (BSI), sich einen Überblick in dem Schlamassel im Netz des Bundestages zu verschaffen, was bei einigen Tausend Rechnern dauern wird. Außerdem sollen auch externe Firmen, genannt wurde zum Beispiel die Telekom-Tochter T-Systems, daran mitarbeiten, das Netz neu aufzusetzen. Das ist in Ordnung, keine Frage, da das BSI mit seinen etwas mehr als 600 Mitarbeitern personell kaum in der Lage ist, solche Jobs zu übernehmen. Sogar die NSA, bei der mehr als 100 000 Menschen arbeiten, beschäftigt externe Mitarbeiter, dazu zählte auch einmal Edward Snowden.

Kann das BSI seiner Aufgabe gerecht werden?

Die Frage aber stellt sich schon: Ist das BSI überhaupt in der Lage, seiner Aufgabe gerecht zu werden? Einer Aufgabe, der im Zeitalter der Vernetzung überragende Bedeutung zuwächst. Die Antwort ist ebenso wenig überraschend wie andererseits eindeutig: Nein, das ist es nicht. Das liegt nicht an den Mitarbeitern, die in der Branche durchaus einen guten Ruf genießen. Es sind im Wesentlichen zwei Gründe, unter denen die Behörde leidet.

Erstens: Das BSI ist aus einer Unterabteilung des Bundesnachrichtendienstes entstanden und untersteht heute dem Bundesinnenministerium. Das führt zu Konflikten: Dieselbe Behörde, die Unternehmen, Verwaltung und die Bürger vor Cyberattacken schützen soll, wirkt zum Beispiel auch an Angriffssoftware mit - Stichwort Bundestrojaner.

Das BSI sollte deshalb eine unabhängige Behörde werden, so wie es von 2016 an für die Behörde der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgesehen ist. Dazu bedurfte es allerdings der Unterstützung des EuGH. Nun sollte niemand so naiv sein und glauben, ein Staat wie Deutschland käme ohne digitale Spionage aus. Es braucht die Dienste, und auch die Polizei muss auf dem Stand der Technik sein. Aber die Aufgaben sind klar und deutlich zu trennen.

Grotesk unterfinanziert

Zweitens: Das BSI ist, gemessen an seiner Aufgabe, geradezu grotesk unterfinanziert. Wenn das Amt wirklich effektiven Schutz bewerkstelligen soll, muss es besser ausgestattet werden. Mit Geld und mit qualifiziertem Personal. Dazu könnte es auch erforderlich sein, über den Schatten der Bundesbesoldungsordnung zu springen. Sogar Firmen in der freien Wirtschaft, die gute Gehälter zu zahlen bereit wären, tun sich schwer, gestandene Security-Spezialisten zu finden und zu halten. Vaterlandsliebe allein wird zur Motivation nicht reichen.

Ein angemessen ausgestattetes BSI wäre das, was man sich unter einer guten NSA vorstellen könnte. Eine Behörde, deren erste und wichtigste Aufgabe es tatsächlich wäre, für die nationale (IT-) Sicherheit zu sorgen. Deutschland lebt von vielen Mittelständlern, deren Know-how im digitalen Zeitalter mehr in Gefahr ist denn je. Gerade sie, aber auch die Organe der Verwaltung, brauchen unabhängige Beratung und Unterstützung. Nur so lässt sich verhindern, dass der Weg in Richtung vernetzte Produktion und E-Government im Datenfiasko endet.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: