Nationales Cyber-Abwehrzentrum Nur zehn feste Mitarbeiter

Ralph Langner findet die deutschen Bemühungen lachhaft. Dem IT-Sicherheitsexperten gelang es, Stuxnet zu entschlüsseln. Langner fand heraus, dass sich der Virus gegen das iranische Atomprogramm richten sollte. Der Frankfurter Rundschau sagte er, dass viel mehr Mittel nötig seien um Cyber-Attacken abwehren zu können. Zehn Leute würden keinesfalls reichen, notwendig sei mindestens das Zehnfache.

Tatsächlich ist es so, dass das Cyber-Abwehrzentrum nur zehn feste Mitarbeiter hat. Allerdings sollen auch Mitarbeiter der Bundespolizei, des Bundeskriminalamts, des Bundesnachrichtendienstes, der Bundeswehr und des Zollkriminalamts hinzugezogen werden. Sie verbleiben aber in ihren Behörden. Wie viele Mitarbeiter genau zusätzlich bereitgestellt werden, konnte das BSI auf Anfrage von sueddeutsche.de nicht sagen.

"Billiger, dahingepfuschter Kram"

Genau diese Zusammenarbeit von Nachrichtendiensten, Bundeswehr und Zoll hatte im Vorfeld in der Koalition offenbar für Verstimmungen gesorgt, da FDP-Abgeordnete bezweifelten, ob die Trennung von polizeidienstlicher und nachrichtendienstlicher Tätigkeit damit noch gewährleistet sei.

Auch in der Wirtschaft herrschen offenbar Vorbehalte. So sagte der IT-Sicherheitsexperte Sandro Gaycken von der Freien Universität Berlin dem ARD-Onlineportal tagesschau.de, in der Industrie gelte die Agentur als "billiger, dahingepfuschter Kram, wofür keiner Geld ausgeben wollte".

Womöglich versucht die Bundesregierung allerdings ein Problem zu lösen, dessen Ursachen viel tiefer liegen: Bereits seit Jahren kritisieren Experten, dass viele Unternehmen und Behörden bei der Entwicklung ihrer IT-Infrastruktur schlampig vorgehen und wichtige Systeme nicht komplett vom Internet abkabeln.

Viele Spionageprogramme kommen zudem durch Mitarbeiter ins System, die auf Phishing-Attacken hereinfallen oder eigene USB-Datenspeicher an den Unternehmensrechner hängen. Ein Fall wie Stuxnet war nur möglich, weil Industrierechner für kritische Infrastrukturen wie es beispielsweise Kraftwerke sind, häufig mit Komponenten kommerzieller Betriebssysteme arbeiten - die wiederum anfällig für Sicherheitslücken sind.

Die NCAZ kann deshalb auch als Eingeständnis gewertet werden, dass Deutschland das Thema IT-Sicherheit viel zu lange ignoriert hat.