Perspektive : Crypto-Making, Crypto-Breaking – und eine Bundesregierung, die es wieder vermischt

Als die Bundesregierung 1991 das Bundesamt für Sicherheit in der Informationstechnik (BSI) gründete, traf sie eine bewusste strukturelle Entscheidung: Crypto-Making – die Entwicklung, Standardisierung und Implementierung sicherer Verschlüsselung – verblieb beim neuen BSI, Crypto-Breaking, das Umgehen von Verschlüsselung in fremder Kommunikation, beim Bundesnachrichtendienst (BND). Das BSI ging aus der Zentralstelle für das Chiffrierwesen (ZfCh) hervor, einer BND-Dienststelle in Bonn-Mehlem, die beide Funktionen vereint hatte. Die institutionelle Trennung folgte einem klaren Vertrauensprinzip: Unternehmen und Bürger:innen sollten darauf bauen können, dass BSI-empfohlene Kryptographie keine versteckten Schwachstellen enthält.

Zwei historische Fälle zeigen, warum dieser Grundsatz unverzichtbar ist. Bei der Operation Rubikon manipulierten BND und CIA ab den 1970er-Jahren die Verschlüsselungstechnik der Schweizer Firma Crypto AG. Über Siemens wurden absichtlich geschwächte Algorithmen in Exportgeräte eingebaut. So konnten Nachrichtendienste die Kommunikation von mehr als 130 Staaten mitlesen, darunter Verbündete wie Österreich und Spanien.

Im zweiten Fall brachte die National Security Agency (NSA) der Vereinigten Staaten laut Snowden-Leaks den Zufallszahlengenerator Dual EC DRBG inklusive Hintertür in einen NIST-Standard ein. Die NSA betrieb mit Bullrun ein Programm zur gezielten Schwächung kryptographischer Standards. Beide Fälle zeigen dasselbe Muster: Wer gleichzeitig sichere Verschlüsselung empfehlen und Kommunikation entschlüsseln soll, steht in einem Interessenkonflikt, der das Vertrauen in ersteres untergräbt.

Crypto-Making und Crypto-Breaking am selben Standort

Nun plant der BND laut Medienberichten ein „Krypto-Cyber-Technologiezentrum" in Bonn – ausgerichtet unter anderem auf Kryptoanalyse, also Crypto-Breaking. Die mutmaßliche Adresse: Am Nippenkreuz 19 in Bonn-Mehlem, wo bereits das Amt für Militärkunde (AMK), eine vormals getarnte BND-Dienststelle, ansässig ist und eine BSI-Außenstelle, die sich seit Gründung der Behörde mit Verschlüsselung und Kryptographie beschäftigt.

Die Grauzone ist nicht neu. 1999 war die ZfCh in der Cray-Nutzergruppe unter dem Namen „Amt für Militärkunde“ vertreten; Crays waren Supercomputer, die zur Dechiffrierung verschlüsselter Kommunikation genutzt werden können. 2012 nahm ein AMK-Mitarbeiter bei den Krypto-Tagen der Gesellschaft für Informatik teil – mit einer Kontaktadresse, die die Zugehörigkeit zum AMK und seine Arbeit an Kryptographie explizit ausweist. Crypto-Breaking war in Mehlem also nie ganz weg. Das macht es nicht weniger problematisch. Die strukturelle Herausforderung bleibt und wird verschärft.

Die entscheidende Frage ist institutioneller Natur. Das BSI bezieht seine Glaubwürdigkeit aus seiner Funktion als neutrales Kompetenzzentrum für Cybersicherheit. Diese Glaubwürdigkeit ist Voraussetzung dafür, dass IT-Sicherheitsforscher:innen ihr Schwachstellen melden und die Behörde IT-Großprojekte wie die elektronische Patientenakte glaubhaft begleiten kann. Nicht zufällig hat die Bundesregierung das Trennungsprinzip 1999 in den Eckpunkten der deutschen Kryptopolitik verankert.

Bundesregierung muss Unabhängigkeit des BSI glaubhaft machen

Der gute Ruf des BSI ist das Ergebnis bewusster Entscheidungen und kann durch Nachlässigkeit wieder verloren gehen. Der Schaden etwa durch den Dual-EC-Skandal wurde nicht von böswilligen Einzelpersonen verursacht, sondern entstand durch strukturelle Interessenkonflikte, die über lange Zeit toleriert wurden.

Die Bundesregierung sollte erstens Klarheit darüber herstellen, welche Einheiten tatsächlich am Standort Bonn-Mehlem tätig sind und sein werden. Zweitens sollte sie klären, wie sie die institutionelle Unabhängigkeit des BSI sicherstellen will, während Bonn zum Gravitationszentrum mehrerer sicherheitsrelevanter Behörden mit teils gegenläufigen Interessen wird. Die bisherige Praxis, Crypto-Making und Crypto-Breaking entgegen öffentlicher Zusicherungen und ohne politische Diskussion am gleichen Ort zu betreiben, ist für ein modernes demokratisches Gemeinwesen nicht mehr zeitgemäß.

Die Bundesregierung hat 1991 aus der Geschichte die richtigen Schlüsse gezogen. Sie sollte das Prinzip der Trennung nicht wieder zur Disposition stellen.

Sven Herpig ist Lead Cybersecurity Policy and Resilience bei Interface.

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Herpig erschienen: Ein Cyber Dome made in Germany?