Das vor drei Jahren gegründete nationale Cyber-Abwehrzentrum in Bonn sollte Angriffe aus dem Netz verhindern und die Infrastruktur des Landes vor Hackern schützen. Der Bundesrechnungshof kommt laut Recherchen von SZ, NDR und WDR jetzt zu einem verheerenden Urteil.

Von John Goetz und Hans Leyendecker

Als 2011 das nationale Cyber-Abwehrzentrum (Cyber-AZ) in Bonn gegründet wurde, fehlte es nicht an großen Worten. Deutschland sollte künftig digital am Rhein verteidigt werden. Der damalige Bundesinnenminister Hans-Peter Friedrich (CSU) redete bei der Eröffnung über die drohenden Angriffe aus dem Netz auf die Infrastruktur des Landes und über den notwendigen Schutz vor Hackern.

Drei Jahre später steht fest, dass schon der Begriff Abwehrzentrum eine arge Übertreibung war. Selbst das Wort Informationszentrum wäre vermutlich zu gewaltig für die kleine Einrichtung am Rhein. Und das ist jetzt gewissermaßen amtlich.

Der Bundesrechnungshof hat sich in einem milieugemäß vertraulich gestempelten Bericht, der der Süddeutschen Zeitung, dem NDR und dem WDR vorliegt, mit dem Bonner Zentrum beschäftigt, das Ergebnis ist niederdrückend: Die jetzige Konzeption, urteilen die Rechnungsprüfer, sei "nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln."

Der Rechnungshof wird sogar ziemlich grundsätzlich. Er hält die Einrichtung einer solchen Institution "nicht für gerechtfertigt", wenn der einzig vorgegebene Arbeitsablauf die tägliche Lagebesprechung ist und "Handlungsempfehlungen auf politisch-strategischer Ebene" nur in einem Jahresbericht gegeben würden. Es sei "fraglich", welchen Nutzen die Einrichtung überhaupt entwickeln könne, wenn sie selbst als Informationsplattform "nur geringe Akzeptanz" finde.

Einige Mitglieder lassen sich bei den Besprechungen nicht oder nur selten sehen

Nun arbeiten in diesem Zentrum von Montag bis Freitag ein Dutzend IT-Fachleute. Ihnen macht der Bundesrechnungshof keinen Vorwurf. Sie sind vermutlich tüchtig, kenntnisreich und wahrscheinlich möchte auch der eine oder andere in einem echten Abwehrzentrum arbeiten, das den Namen verdient. Das Problem ist zum einen der politische Buhei, der auch um diese Einrichtung gemacht wurde. Gefahrenabwehr klingt gut. Mittlerweile gibt es in der Republik ein halbes Dutzend Abwehr-, Führungs- und Strategiezentren. Und auch mit dem Begriff Cyber lässt sich mittlerweile viel machen.

In diesen Tagen wollen Einrichtungen wie der BND und andere Organisationen mehr Geld vom Staat, damit sie den Gefahren aus dem Netz besser begegnen können. Selbst die Bundesanwaltschaft hat jetzt ein eigenes Cyberspionage-Referat. Die digitale Aufrüstung, die digitale Abwehr - beides kann sinnvoll sein, man muss die Aufgabe nur ernst nehmen und tun, was man in den Eröffnungsreden versprochen hat. Angriffe aus dem Netz orientierten sich "naturgemäß nicht an der Zuständigkeit einzelner Behörden" hatte Friedrich gemahnt. Es brauche Kooperation, Zusammenarbeit - eben ein gemeinsames Gefahrenabwehrzentrum.

Aus Sicht des Rechnungshofs beginnt das Problem damit, dass sich einige der Mitglieder in ihrer Einrichtung nicht oder kaum sehen lassen.

Federführend sind das mittlerweile überlastete Bundesamt für Sicherheit in der Informationstechnik (BSI), das ganz viele Aufgaben zu erfüllen hat, sowie das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Um diese drei Kernbehörden sollen wie Satelliten Behörden wie BND, MAD, Zollkriminalamt (ZKA), Bundeskriminalamt und noch die eine oder andere Einrichtung schwirren. Man spricht sich ab, reagiert flexibel auf die allgegenwärtigen Gefahren. So die Theorie. Das Problem ist die Wirklichkeit: Der Bundesrechnungshof stellte bereits 2013 fest, dass mittlerweile nicht einmal alle drei "Kernbehörden" an den Lagebesprechungen teilnähmen. Das ZKA sei nur einmal gesehen worden, die "vorgesehenen Einrichtungen der Bundeswehr" seien bis auf den MAD überhaupt nicht erschienen.

Im Februar reagierte das Bundesinnenministerium auf die wiederholt vom Rechnungshof zu Papier gebrachte Kritik und erklärte manches beim Cyber-AZ für "verbesserungswürdig". Die Unterscheidung zwischen Kern- und assoziierten Mitgliedern beispielsweise müsse auf den Prüfstand. Aber die vom Rechnungshof unter anderem geforderte Definition von Arbeitsabläufen ist aus Sicht des Innenministeriums entbehrlich, weil sich diese aus der täglichen Lagebesprechung ergäben. Außerdem informiere der Sprecher des Gefahrenabwehrzentrums den Cyber-Sicherheitsrat, den es auch gibt, über die Gefährdungslage. Beim BSI gebe es ein IT-Lagezentrum und das Computer-Notfall-Team des Bundes. Beide würden dem Cyber-AZ ihre Informationen zur Verfügung stellen. Der Bundesrechnungshof rät, das "Nebeneinander" zu ordnen: "Dieses Abwehrzentrum sollte mit eigenen Aufgaben und Kompetenzen für die Abwehr von Cyberangriffen ausgestattet sein".