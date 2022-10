Vorab: Ich bin kein Fan des Noch-BSI-Chefs Arne Schönbohm; im Gegenteil hielt ich ihn wegen fehlender Kompetenz im Bereich IT-Security auch lange Zeit für einen #Cyberclown. Aber ich halte ihm eines zugute: Er hat nicht versucht, die IT-Sicherheit einer politischen Agenda zu unterstellen. Bei inhaltlichen Entscheidungen verließ er sich in der Regel auf den Input seiner Fachabteilungen.

Ein Kommentar von Jürgen Schmidt Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

In der Folge sprach sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Schönbohm wiederholt und öffentlich für das sofortige Schließen aller Sicherheitslücken aus. Hintertüren in der Verschlüsselung erteilte das BSI konsequent eine Absage. Zu gefährlich sei das Spiel mit absichtlich geschwächter Kryptografie oder Schwachstellen, die man selbst ausnutzen und deshalb lieber offen lassen wolle. Das ist IT-Sicherheit, wie sie von Fachleuten gefordert wird.

Gefährliche Pläne

Im Bundesinnenministerium unter Nancy Faesers Leitung hingegen steht aktuell das sogenannte "Schwachstellen-Management" weit oben auf der politischen Agenda. Das ist ein Euphemismus für: "die Schlechten ins Töpfchen, die Guten ins Kröpfchen". Bestimmte Sicherheitslücken will man lieber erst selbst ausnutzen, bevor man sie dem Hersteller meldet und damit für alle unbrauchbar macht – was ja letztlich im Interesse der IT-Sicherheit wäre. Vorbild ist der US-amerikanische Vulnerabilities Equities Process (VEP), wo in jedem Einzelfall entschieden wird. Bei ausreichend großem "nationalem Interesse" muss die Sicherheit der Allgemeinheit dann eben mal zurückstehen.

Außerdem liebäugelt das BMI unverhohlen mit den EU-Plänen zur Chat-Kontrolle, die einen Einstieg in die anlasslose Massenüberwachung privater Kommunikation bedeutet. Technisch muss man dazu entweder Hintertüren auf den Geräten platzieren oder die Verschlüsselung aufweichen. Beides sind Dinge, die Militär, Geheimdienste und Strafverfolgungsbehörden seit Jahren lautstark fordern. Sicherheitsexperten hingegen lehnen sie mit dem Verweis auf die damit verbundenen Gefahren mehrheitlich ab und Datenschützer warnen vor einem Überwachungs-Albtraum.

Nein! Doch! Oh!

Betrachtet man die konkreten Vorwürfe gegen Schönbohm genauer, bleibt jedoch nicht viel übrig. Er war der Chef und Gründer des windigen Lobbyverbandes "Cyber-Sicherheitsrat Deutschland e.V." – das wusste man bereits vor seiner Berufung, weshalb es schon damals einige Kritik an der Neubesetzung des BSI-Chefpostens hervorrief. Jahre, nachdem er diesen Verein verlassen hat, ist dort die dubiose Sicherheitsfirma Protelion mit verdächtigen russischen Wurzeln Mitglied geworden. Dass sein Nachfolger als Vorsitzender des Lobbyverbandes dagegen nichts unternommen hat und sich zu absurden Statements zur Zusammenarbeit mit Russland versteigt, kann man Schönbohm kaum vorwerfen. Das BSI hat diese Firma jedoch nie unterstützt oder auch nur erwähnt.

Bleibt seine Teilnahme an der 10-Jahresfeier des von ihm gegründeten "Cyber-Sicherheitsrat Deutschland e.V." Anfang September. Gegen den Verein stehen bereits seit 2019 Vorwürfe einer verdächtigen Nähe zu Russland im Raum. Das hätte Schönbohm tatsächlich besser nicht gemacht; doch der Auftritt war immerhin von Faesers eigenem Staatssekretär abgesegnet. Und ihr aktueller Abteilungsleiter Cybersicherheit war ebenfalls bereits Gast dort. So schlimm kann das also aus Sicht des Innenministeriums nicht sein.

Und wozu das alles?

Alles in allem wirken die im ZDF Magazin Royale erhobenen Vorwürfe vielmehr wie ein nur allzu willkommener Anlass, einen Beamten zu entsorgen, der sich Feinde im BMI gemacht hat. Nicht wegen herbeigeredeter, angeblicher Interessenverstrickungen mit Russland, sondern weil er der Stimme von IT-Security-Fachleuten ein offizielles Gesicht gegeben hat.

Damit steht er den Plänen zum Ausbau von staatlicher Überwachung und Fantasien von Hackbacks im Cyberspace im Weg. Ich wette einen Kasten Bier, dass sein Nachfolger (oder seine Nachfolgerin) da weniger unbotmäßig auftreten wird. Wer wettet dagegen?

