Abgeordnete hören Lektion über IT-Sicherheit

Berlin (hib/wid) Der frühere IT-Direktor des Bundesinnenministeriums Martin Schallbruch erinnert sich aus seiner Dienstzeit an keinen Cyberangriff, der sich „eindeutig“ auf einen Nachrichtendienst der USA oder anderer westlicher Verbündeter hätte zurückführen lassen. Dies sagte Schallbruch am Donnerstag in seiner Vernehmung durch den 1. Untersuchungsausschuss (NSA). Der Informatiker war im Innenministerium von Februar 2002 bis Februar 2016 in verschiedenen Funktionen zuständig für Netzpolitik, digitale Gesellschaft, den IT-Einsatz in der öffentlichen Verwaltung sowie Cybersicherheit. Er führte zudem die Fachaufsicht über das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In den fast anderthalb Jahrzehnten seiner Tätigkeit für die Bundesregierung habe sich die Digitalisierung rasant ausgebreitet, habe die Abhängigkeit des Staates wie der Wirtschaft von der Informationstechnik immer weiter zugenommen. Die Bedrohungslage sei folglich immer komplexer geworden, berichtete Schallbruch dem Ausschuss. Zumal seit 2004 habe die Bundesverwaltung eine stetige Zunahme von Angriffen auf ihre Computernetzwerke registriert, deren Urheber freilich in der Regel nicht erkennbar gewesen seien. „Ab einem bestimmten Professionalisierungsgrad“ habe man davon ausgehen können, dass ein ausländischer Nachrichtendienst „im Hintergrund“ gewesen sei. Allerdings sei eine Zuordnung in keinem Fall gelungen.

In den ersten Jahren seiner Tätigkeit, meinte Schallbruch, habe er in der Verwaltung für die Digitalisierung werben müssen. Die vergangenen fünf Jahre habe er dann damit verbracht, angesichts digitaler Euphorie die strikte Beachtung der Sicherheitsstandards anzumahnen. Dabei sei im Sommer 2013 die Snowden-Affäre hilfreich gewesen: „Es hat sich seit Snowden gravierend was verändert.“ Die Vorbehalte gegen Verschlüsselungstechniken und die von Schallbruch wiederholt geforderte Vereinheitlichung der IT-Infrastruktur der öffentlichen Verwaltung seien geschwunden. Dafür sei die Bereitschaft gewachsen, bei der Vergabe sicherheitsrelevanter Aufträge eine europarechtliche Ausnahmeregelung zu nutzen.

In der Regel sind öffentliche Aufträge europaweit auszuschreiben. In begründeten Ausnahmefällen, etwa bei der Installierung einer sensiblen Software, die eine Garantie bieten soll, vor dem Zugriff fremder Nachrichtendienste geschützt zu sein, besteht die Möglichkeit, ausschließlich einheimische Anbieter zu berücksichtigen. Lange Zeit hätten deutsche Behörden von dieser Regelung nur zögerlich Gebrauch gemacht aus Furcht vor Prozessen oder einer Maßregelung durch die EU-Kommission. Mit dieser Zurückhaltung sei es seit der Snowden-Affäre vorbei: „Seit Snowden wird eine sehr viel nationalere Beschaffungs- und Kryptopolitik betrieben“, sagte Schallbruch.

Entsprechend gewachsen sei aber auch der „Lobbydruck“ vor allem von seiten großer IT-Unternehmen aus den USA. Schallbruch räumte ein, dass Snowdens Mitteilungen über die Praktiken der amerikanischen National Security Agency (NSA) auch ihm persönlich einige Überraschungen bereitet hätten: „Ich hatte nicht erwartet, dass das Ausmaß technischer Maßnahmen der NSA so gewaltig ist.“ Gestaunt habe er auch über die „Methodenvielfalt“, die Mannigfaltigkeit der „verschiedenen Stoßrichtungen, um in fremde Systeme einzudringen“.