Von Georg Mascolo

Die Aufregung um den Hackerangriff auf deutsche Politiker, Prominente und Journalisten war auf ihrem Höhepunkt, da meldete sich der parlamentarische Staatssekretär im Bundesinnenministerium Stephan Mayer zu Wort. Man sei entschlossen, das Cyber-Abwehrzentrum in Bonn schnell zu reformieren, auszubauen, schlagkräftiger zu machen. Die Botschaft sollte beruhigend klingen.

Was Mayer allerdings vergaß zu erwähnen: Der Auftrag für eine solche Reform, für ein "Cyber-Abwehrzentrum plus", stammt bereits aus dem Jahr 2015. Aber außer einer Reihe von Sitzungen und dem Austausch von immer neuen Konzepten geschah nicht viel. Die dort sitzenden neun Behörden - darunter das Bundeskriminalamt (BKA), der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) - taten sich schwer, sich zu einigen. Die digitale Wacht am Rhein funktioniert jedenfalls nicht gut genug. Bisher gibt es nicht einmal einen Dienst rund um die Uhr.

Vorbild: Das gemeinsame Terrorabwehrzentrum (GTAZ)

Nun soll es aber tatsächlich schnell gehen. Das Innenministerium macht Druck, Spitzentreffen sind anberaumt, auch eine große Lösung zeichnet sich ab. Um die zersplitterten Zuständigkeiten in der Cyber-Abwehr zu bündeln, will man sich an einem Vorbild orientieren, das seit Jahren ziemlich gut funktioniert: am Gemeinsamen Terrorismusabwehrzentrum, kurz GTAZ, in Berlin. Ohne formalen Leiter, organisiert in verschiedenen Arbeitsgruppen, in denen unterschiedliche Behörden den Vorsitz führen, hat das GTAZ es geschafft, eine gute Zusammenarbeit zwischen zuvor mauernden oder auf ihre eigene Zuständigkeit bestehenden Polizei- und Geheimdienstbehörden zu organisieren.

Auch die Länder sind dort eingebunden. BSI-Präsident Arne Schönbohm und sein BKA-Kollege Holger Münch gehören zu den Befürwortern eines solchen Cyber-GTAZ: Die Geschäftsführung würde danach wie bisher beim BSI bleiben, deren Experten wären zuständig für Lagebeurteilung und technisches Know-how. Gestärkt würde vor allem die "operative Komponente". Notwendige Ermittlungen würde das BKA übernehmen und auch die Landeskriminalämter einbinden. Ebenso würde der Verfassungsschutz vorgehen. Die Länder säßen künftig mit am Tisch.

Bis heute gibt es nicht einmal eine gemeinsame Datenbank, in der Cybervorfälle registriert werden. Muster von Angriffen zu erkennen, um dann frühzeitig zu reagieren, macht dies fast unmöglich. Im Internet gibt es keine Staatsgrenzen, die Bedrohungen reichen von gewöhnlicher Kriminalität über Wirtschaftsspionage bis hin zur Bedrohung von Strom- und Wasserversorgung oder Atomkraftwerken. Deutschland tut sich schwer, sich in dieser neuen Welt zurechtzufinden.

Experten erstklassig, Strukturen suboptimal

Eigentlich gibt es genau hierfür das Cyber-Abwehrzentrum in Bonn, es existiert seit 2011. Die dort eingesetzten Experten gelten als erstklassig, aber die Strukturen funktionierten nie gut genug. Bereits drei Jahre nach der Gründung kritisierte der Rechnungshof, das Konzept sei "nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln". Manche der dort eingesetzten Behörden schickten nicht einmal einen Vertreter zur täglichen Lagebesprechung. Kurz darauf kam der Auftrag für die Reform.

In internen Analysen hieß es, der für "den Staat, die Wirtschaft und die Bürgerinnen und Bürger erreichte Status quo" sei "nicht ausreichend". Aber statt Reform gab es immer wieder Konflikte: Als im Februar vergangenen Jahres bekannt wurde, dass mutmaßlich russische Hacker in das Regierungsnetz eingedrungen waren, wusste das BSI Bescheid. Im Cyber-Abwehrzentrum aber war das am Tisch sitzende BKA nicht informiert worden.

Nun ist das Erschrecken nach der großen Attacke gewaltig. Dass sie sich gegen so viele Politiker richtete, hat im politischen Berlin Besorgnis ausgelöst. In diesen Tagen schicken sich Spitzenpolitiker gegenseitig ihre neuen Telefonnummern zu. Manche hatten sie zuvor mehr als ein Jahrzehnt lang nicht wechseln müssen. Der Ruf nach einer besseren Cyberabwehr ist laut.

Cyberexperten sollen jetzt Einzelfälle im Fall "Orbit" aufklären

Bei den eingeschalteten Cyberexperten gilt der Fall als ernst, aber nicht herausragend. Von den fast 1000 betroffenen Personen wurden meist nur Telefonnummer, Adresse und Mailanschrift veröffentlicht. In 38 Fällen waren es bisweilen höchstpersönliche Chatverläufe, in neun waren es Bankdaten. "Nur von wenigen Politikern wurden mehrere Daten sowie darüber hinaus Dokumente, die mit ihnen im Zusammenhang stehen, veröffentlicht", heißt es in einem internen Bericht. Von einem Hack auf die Hotelkette Marriott, der beinahe zur gleichen Zeit bekannt wurde, könnten dagegen bis zu einer halben Milliarde Gäste betroffen sein. Berichte, wonach deutsche Behörden wegen des Angriffs auf Prominente und Politiker angeblich auch den amerikanischen Abhördienst NSA um Hilfe gebeten hätten, dementierte der Verfassungsschutz im Cyber-Abwehrzentrum.

Jetzt ist eine vom BKA eingesetzte Sonderkommission ("Liste") dabei, die einzelnen Vorgänge nach ihrer Bedeutung zu gewichten. Die Länder wollten dem BKA nicht die alleinige Ermittlungskompetenz zugestehen, so gilt jetzt ein aufwendiges Verfahren. Alle Landeskriminalämter versehen die Fälle der Betroffenen mit einer Priorität. Wo der mutmaßliche Täter Johannes S. nur öffentlich zugängliche Daten sammelte und veröffentlichte, könnte eine Strafverfolgung schwer werden; es wäre wohl nur ein Verstoß gegen das Datenschutzgesetz. So konzentriert man sich auf die ernsten Vorgänge, um die wegen des Verdachts des Ausspähens von Daten und der Datenhehlerei laufenden Ermittlungen voranzutreiben. Computer und Telefone könnten, sofern die Opfer zustimmen, forensisch untersucht werden.

Der geständige Johannes S. fiel bereits in der Vergangenheit als Ausländerfeind auf, ein Hinweis des Verfassungsschutzes half bei der schnellen Identifizierung. S. war ein ziemlicher Schwätzer, Spuren von ihm fanden sich in zahlreichen Foren. Gegenüber der Justiz behauptet der 20-Jährige noch immer, allein gehandelt zu haben. Aber als BKA-Beamte ihm einen Computer zuschoben und aufforderten, doch einmal zu zeigen, wie er das gemacht habe, scheiterte S. Die Ermittlungen gehen weiter.