Bis vor Kurzem stand das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergleichsweise wenig in der Kritik. Dann veröffentlichte die Behörde eine Produktwarnung vor Kaspersky-Software. Hierfür gab es Zuspruch, aber auch deutliche Kritik, zum Beispiel von den Experten Manuel Atug (zusammen mit dem Autor) und Dennis Kenji-Kipker. Der Prozess zur Rechtmäßigkeit der Warnung wird die Gerichte vermutlich noch länger beschäftigen. Neben den rechtlichen Aspekten ist der Fall aber noch aus einem anderen Grund bemerkenswert: Er zeigt, dass sich das BSI neuerdings offenbar in unruhigere, deutlich politischere Gewässer begibt. Davon zeugt auch das auf einer Informationsfreiheitsgesetz-Anfrage beruhende mediale Interesse an der Kaspersky-Warnung ("SPIEGEL Online" und "Tagesschau.de" berichteten).
Selten in der öffentlichen Kritik
Rechtlich gesehen war und ist das BSI natürlich nicht unantastbar. Es unterliegt der demokratischen Kontrolle genauso wie andere Behörden auch. Immer wieder gab und gibt es auch öffentliche Kritik am BSI, wie bei der Routerrichtlinie, der AusweisApp, der Unterstützung bei der Programmierung staatlicher Überwachungssoftware oder dem Mitmischen im grauen Schwachstellenmarkt.
In anderen Fällen jedoch blieb die Kritik fast vollständig aus. Dass das BSI nach mehreren unzureichenden Reformversuchen – der Bundesrechnungshof bezeichnete 2014 die Einrichtung des Nationalen Cyber-Abwehrzentrum zum Beispiel als „nicht gerechtfertigt” – die faktische Primus-inter-Pares-Leitung des Nationalen Cyber-Abwehrzentrum verlor und nur noch turnusgemäß einen Stellvertreterposten bekam, wurde öffentlich kaum thematisiert. Nahezu unbeschadet kam das BSI sogar durch den NSA-Untersuchungsausschuss. Hier lag der Fokus fast komplett auf dem Bundesnachrichtendienst – natürlich nicht ganz zu Unrecht.
Ähnlich erstaunlich ist die Tatsache, dass die Behörde in den vergangenen Jahren einen starken Ressourcenzuwachs verzeichnete (Anstieg der Personalausgaben zwischen 2016 und 2022: +120% sowie Anstieg der Gesamtausgaben zwischen 2016 und 2022: +145%), sich die Gefährdungslage aber laut Pressekonferenzen zur Lage der IT-Sicherheit seit Jahren auf gleichbleibend hohem Niveau hält oder sogar zunehmen wird. Ohnehin ist nicht nachzuvollziehen, auf welcher empirischen Basis die Behörde diese qualitativ-vergleichende Aussage trifft – abgesehen vom Zählen von Schadsoftware-Varianten, „Botnetz-Infektionen” und „Daten-Leak-Seiten”. Schaut man sich die Lagedarstellung des BSI unter rein quantitativen Gesichtspunkten an, kommt man zu dem Schluss, dass sich die Bedrohungslage verschärft, anstatt zu stagnieren. In diesem Fall sollte hinterfragt werden, was der Stellen- und Haushaltsmittelaufwuchs sowie die weitreichenden Befugniserweiterungen der vergangenen Jahre bewirkt haben, wenn die Gefährdungslage dauerhaft auf dem gleichem Niveau verweilt oder sich sogar verschlimmert.
Viele Jahre lang galt das BSI intern und in der äußeren Wahrnehmung als „Elfenbeinturm“. Als Institution, die sich und ihre Entscheidungen vollkommen der Technik und dem höchsten Stand der IT-Sicherheit verschrieben hat. Das mag ein ehrenwerter Anspruch sein, der sich allerdings ab und zu nicht in praxistaugliche Entscheidungen und Handreichungen übersetzt. Gezeigt hat sich das unter anderem im Bereich der Technischen Richtlinien. Das ärgerte insbesondere diejenigen, die diese Empfehlungen operativ umsetzen mussten. Richtig ist aber, dass sich das BSI vermutlich selten mangelnde technische Expertise vorwerfen lassen muss. Das ist für eine Fachbehörde elementar.
Der lange Weg in die Unabhängigkeit
Politische Fragen überließ das BSI seiner Rechts- und Fachaufsicht, dem Bundesministerium des Innern und für Heimat (BMI). Das BSI war in der Regel lediglich für die technisch-neutrale Bewertung zuständig. Aus der Befürchtung heraus, dass das BMI seine Fachaufsicht ausnutzen könnte, um technische Bewertungen des BSI aus politischen Gründen zu beeinflussen, erwuchs aufseiten von Politiker:innen und Expert:innen die Forderung nach größerer Unabhängigkeit des BSI.
Größere Unabhängigkeit des BSI vom BMI würde allerdings nur bedeuten, dass es keinen direkten politischen Einfluss des Ministeriums auf die Behörde gibt. Eine Garantie dafür, dass das BSI zu keinem Zeitpunkt politisch oder entgegen einer technischen Beurteilung handelt, ist das nicht. Die Befürworter von mehr Unabhängigkeit des BSI konnten mit dem IT-Sicherheitsgesetz 2.0 zumindest einen Teilerfolg feiern. In §1 des BSI-Gesetzes heißt es mittlerweile: „Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich-technischer Erkenntnisse [Hervorhebung durch den Autor] durch“.
Politische Zurückhaltung ade?
Unter der aktuellen Amtsleitung hat sich das BSI in den vergangenen sechs Jahren aber nicht nur vom Elfenbeinturm-Dasein verabschiedet, sondern auch von seiner politischen Zurückhaltung, scheint es. So gehört es mittlerweile zum gewohnten Umgangston, wenn BSI-Präsident Arne Schönbohm eine Firma auf einer Konferenz öffentlich als „Gefahr für die nationale Sicherheit” bezeichnet. Für seine Vorgänger wäre das undenkbar gewesen.
Das BSI ist durch die Verabschiedung des IT-Sicherheitsgesetzes 2.0 ein klein wenig unabhängiger vom BMI geworden, aber ganz gewiss nicht unpolitischer. Die zunehmende Politisierung des BSI ist sicherlich ein wichtiger Grund für den Ausbau und die bessere Ausstattung der Behörde in den vergangenen Jahren. Doch es gibt auch eine Kehrseite. Nach aktueller Informationslage wirkt es so, als wäre die Kaspersky-Warnung eine politische Entscheidung gewesen, für die man nachträglich technische Gründe gesucht hat. Das läuft eigentlich dem Auftrag des BSI entgegen und hat es bisher auch noch nie gegeben.
Unternehmen, Abgeordnete und andere Akteure, die sich auf die Informationen des BSI verlassen, werden sich daher in Zukunft öfter fragen müssen, ob die Behörde wirklich auf Grundlage ihrer wissenschaftlich-technischen Expertise agiert oder ob sie nicht eher (geo-)politischen Abwägungen folgt – und wenn ja, in welchem Ausmaß. Leider müssen gerade die Fachpolitiker:innen hinterfragen, inwiefern hier die viel diskutierte Unabhängigkeit des BSI vom BMI wirklich Abhilfe schaffen würde, denn: Die Idee der Kaspersky-Warnung ging von der Behörde aus und war keine Weisung seiner Fachaufsicht.
Politiker:innen, seid kritisch!
Spätestens nach der spezifischen Produktwarnung vor Kaspersky-Software ohne konkrete technische Anhaltspunkte und ohne, dass es Schwachstellen oder ein Fehlverhalten des Herstellers gab, kann das BSI also nicht mehr so tun, als wäre es eine reine Fachbehörde, die unpolitisch agiert und geopolitische Aspekte bei ihren Beurteilungen außenvorlässt. Der Geist der Politisierung ist jetzt endgültig aus der Flasche und es wird keinen Weg zurück in den Elfenbeinturm geben. Weder in Abhängigkeit vom BMI, noch als unabhängige Behörde.
Das BSI muss sich deshalb darauf einstellen, dass Fachpolitiker:innen und Expert:innen ungewohnt unbequeme Fragen stellen und Analysen schreiben. Dennis Kenji-Kipker wählte zum Beispiel drastische Worte: „Der Ruf des BSI als in der Vergangenheit immer propagierte unabhängige deutsche Fachbehörde zur Cybersicherheit hat durch die Warnung gelitten, die Glaubwürdigkeit wurde durch blinden politischen Aktionismus angekratzt.“
Das BSI als die zentrale Cybersicherheitsbehörde des Bundes trägt maßgeblich zur Sicherheit Deutschlands im Cyberraum bei. Ihre Neuausrichtung in den vergangenen Jahren hat dies ermöglicht, und ein gewisser Kulturwechsel hat dazu beigetragen, dass beim Erarbeiten operativ umsetzbarer Empfehlungen pragmatischer gedacht wird als zuvor. Es ist daher wichtig und richtig, dass viele Abgeordnete und Fachpolitiker:innen aller Parteien gerne nach Bonn reisen, um das Nationale IT-Lagezentrum und die Fachabteilungen zu besuchen. Gleichzeitig ist es mehr denn je ihre Aufgabe, kritische Nachfragen zu stellen und sich nicht mehr darauf zu verlassen, dass die Behörde rein technische Aussagen trifft.
Der Autor war von 2014 bis 2016 für das BSI tätig und wohnt noch
heute unweit der Behörde. Jede:r Abgeordnete ist vor seinem:ihrem
BSI-Besuch herzlich eingeladen, bei einem Kaffee die kritischen Fragen zu
raffinieren.
Sven Herpig ist Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung.
In
unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig
aktuelle Entwicklungen, Trends und Innovationen im Bereich
Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: IT-Sicherheit bei Freier Software: Der Staat ist in der Pflicht
