Es gibt Zoff zwischen dem Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und dem Bundesinnenministerium. Der Chef des BSI, Arne Schönbohm, steht ja mitten in einem Skandal um die von einem ehemaligen Angehörigen des russischen KGBs gegründete Sicherheitsfirma Protelion GmbH. Nun werden neue Einzelheiten bekannt. So hatte der Bundesverfassungsschutz vor Protelion und deren Produkten gewarnt, und der Vorsitzende des Vereins Cyber-Sicherheitsrats Deutschland e.V., Dünn wurde sogar abgehört – was auch Telefonate mit Arne Schönbohm betrifft.
Anzeige
Die Causa Arne Schönbohm
Die deutsche Bundesinnenministerin Nancy Faser (SPD) will die Entlassung des BSI-Chefs, Arne Schönbohm. Hintergrund ist eine fehlende Warnung vor der Cybersicherheitsfirma Protelion GmbH, die von einem ehemaligen russischen KGB-Angestellten gegründet wurde. Die Protelion GmbH soll mit ihren Produkten kritische Infrastruktur schützen – obwohl die Verbindungen von Protelion zu Russland lange bekannt waren und der Bundesverfassungsschutz sogar explizit vor dem Unternehmen gewarnt hatte.
Das Fass zum Überlaufen brachte wohl dann ein Vortrag von Arne Schönbohm beim Verein Cyber-Sicherheitsrat Deutschland e.V. im September 2022. Der Lobby-Verein wurde 2012 von Arne Schönbohm mit begründet. Schönbohm ist zwar mit Übernahme des Chefpostens beim BSI aus dem Verein ausgeschieden, aber es gab wohl weiter Kontakte. Brisant ist, dass das Unternehmen Protelion Mitglied in diesem Verein war, der als Türöffner in höchste politische Kreise fungiert. Vieles war Insidern seit Jahren bekannt und es gab immer mal wieder Berichte über diese Verflechtungen. So richtig Fahrt hat das Ganze erst mit der Berichterstattung von Jan Böhmermann in seiner Sendung Sicherheitsrisiko Cyberclown mit dem Titel "Wie eine russische Firma ungestört Deutschland hackt" im ZDF-Magazin Royale aufgenommen. Ich hatte im Blog-Beitrag Der Cyber-Sicherheitsrat Deutschland e.V., Russenfirma Protelion und der BSI-Chef Arne Schönbohm über dieses Thema berichtet.
Neues in der Causa und Zoff in Berlin
Es hat eine gewisse Tragik, aber auch etwas von Popcorn als Beobachter, auch wenn sich Abgründe auftun. Inzwischen gibt es neue Erkenntnisse in der Causa BSI versus Protelion sowie der Rolle des Innenministeriums, sowie des Bundesverfassungsschutzes. Nachfolgender Tweet bringt schon die Highlights, die der Spiegel, dem entsprechende Dokumente vorliegen, in diesem Artikel näher beleuchtet. Die Ganze Geschichte kompakt zusammengefasst ergibt dann nachfolgende Punkte, von denen einige für mich recht neu sind.
Anzeige
BSI beklagt sich beim BMI
Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), beklagt sich in einem Schreiben an Staatssekretär Markus Richter im Bundesinnenministerium (BMI) über fehlende Rückendeckung durch die Politik. Der Spiegel zitiert aus dem Schreiben, was der Redaktion vorliegt, das "in der Öffentlichkeit die Vertrauenswürdigkeit des BSI und seiner Leitung in Frage gestellt wird", und das BSI keine Rückendeckung vom BMI bekomme. Vielmehr werde öffentlich heftig über die Zukunft des BSI-Präsidenten Arne Schönbohm spekuliert. Der Vorwurf: "Dem wird, angesichts des bereits jetzt ganz erheblichen Reputationsschadens und Vertrauensverlustes in die Arbeit des ganzen BSI, durch das BMI bislang wenig entgegengetreten." Dem ist definitiv so, vom BMI hört man nur gestreute Informationen über die Ablösung des BSI-Chefs.
BSI wollte Infotecs-Software zertifizieren
Dann ist da noch der Vorfall, dass das BSI die Software der Firma Infotecs zertifizieren sollte. Infotecs ist die Firma, die ursprünglich vom russischen Geheimdienstmann gegründet wurde. Nach dem Einmarsch Russlands in die Ukraine wurde die Firma Infotecs als Protelion GmbH umfirmiert. Die Firma versuchte aber eine Zertifizierung ihrer Software durch das BSI zu erhalten. Dieser Prüfvorgang wurde zwar 2021 mit einer Ablehnung durch das BSI beendet. Aber es gab keine öffentliche Warnung vor der Firma und deren Produkten durch das BSI.
Bundesverfassungsschutz warnte frühzeitig
Bereits 2017 warnte ein US-Geheimdienst das Bundesamt für Verfassungsschutz (BfV) vor dem Firmengeflecht rund um das russische Mutterunternehmen Infotecs – welches den gleichnamigen deutschen Ableger hatte. Recherchen von Die Zeit und des ARD-Politikmagazins Kontraste ergaben laut diesem Artikel folgendes Bild:
- 2019 bemerkten die Verfassungsschützer eher zufällig auf der Homepage des BSI, dass die deutsche Tochterfirma Infotecs ihre Software ViPNet Crypto Core 2.0 beim BSI zertifizieren lassen wollte.
- Das BfV wurde daraufhin beim BSI vorstellig, wies auf die Sicherheitsbedenken hin und versuchte, eine Beendigung des Zertifizierungsverfahrens zu erreichen. Doch das BfV drang damit beim BSI zunächst offenbar nicht durch.
Es heißt, dass das BSI auf seine Prüfzuständigkeit verwiesen haben soll und darauf, dass es um eine technische Prüfung gehe. Der Zertifizierungsprozess lief jedenfalls noch fast zwei Jahre weiter. Erst als der Verfassungsschutz das Bundesinnenministerium einschaltete, wurde die Zertifizierung der Software am 13. März 2021 abgelehnt.
Im Spiegel Online-Artikel heißt es, dass der Bundesverfassungsschutz gezielt einzelnen potentielle Kunden der Infotecs vor dem Einsatz der Software ViPNet Crypto Core 2.0 warnten. Gegen die "Versagung der Zertifizierung" legte Protelion erfolglos Widerspruch ein. Die Argumentation kommt mir bekannt vor. "Es ist eine reine politische Entscheidung vom BMI gewesen", so Protelion-CEO Waclaw gegenüber "Zeit" und Kontraste. Das BSI habe keinerlei Schwachstellen in der Software gefunden.
Inzwischen sollen die Vorgänge um Protelion/Infotecs, das BSI und den nachfolgend thematisierten Cybersicherheitsrat sollen Informationen von Kontraste und "Die Zeit" auch die Woche Thema im geheim tagenden parlamentarischen Kontrollgremium des Bundestags gewesen sein.
Vorsitzender des Cyber-Sicherheitsrats Deutschland e.V abgehört
Arne Schönbohm und sein Freund Hans-Wilhelm Dünn hatten 2012 ja den IT-Lobbyverein "Cybersicherheitsrat Deutschland e.V." (CSRD) gegründet. Während Schönbohm im Vorstand ausschied, führte Dünn den Verein weiter, und die Protelion GmbH war bis zu ihrem Ausschluss am 10. Oktober 2022 sogar Mitglied in diesem Verein.
Recherchen des ARD-Politikmagazins Kontraste und der Wochenzeitung "Die Zeit" hatten bereits 2019 das Ergebnis, das der Vereinsvorsitzende Dünn enge Kontakte nach Russland pflegte. Die Tagesschau berichtet von Recherchen der "Zeit" und Kontraste, denen zufolge Hans-Wilhelm Dünn im Rahmen einer Verfassungsschutzmaßnahme mit dem Codenamen "Operation Steinbeis" zeitweise sogar ins Blickfeld der deutschen Spionageabwehr geriet. Die Verfassungsschützer observierten einen russischen Geschäftsmann aus Berlin, den sie für einen Agenten des russischen Nachrichtendienstes FSB halten. Der Mann unterhielt zeitweise offenbar enge Kontakte zu Dünn, gegen den die Operation aber nicht gerichtet war. Dünn wurde dabei durch den Verfassungsschutz abgehört. Die "Operation Steinbeis" brachte keine verwertbaren Beweise und wurde schließlich aus juristischen Gründen eingestellt.
Vor diesem Hintergrund ist dann auch die Verbindung von Arne Schönbohm mit dem Cyber-Sicherheitsrats Deutschland e.V. zu sehen. Da schwelte offenbar schon lange etwas. Das die BSI übergeordnete Bundesinnenministerium (BMI) hatte laut Tagesschau bereits 2015 schriftlich klargestellt, dass der umstrittene Verein CSRD nicht aufgewertet werden solle. Arne Schönbohm wurde erst 2016 Präsident des BSI, hielt aber weiterhin Kontakte zu Dünn und dem Cyber-Sicherheitsrat Deutschland e.V. Letztmalig wohl bei seinem Auftritt im September 2022, als das 10 jährige Bestehen des Vereins begangen wurde.
Und nun fällt dieses Engagement den Beteiligten wohl arg auf die Füße. Die Geschichte von "Blauäugigkeit bis zum Abwinken", die auch bei der versuchten Genehmigung der Gasleitung Nordstream 2 durch die vormalige Bundesregierung alle Entscheidungen durchdringt, lässt sich auch in dieser Causa erkennen. Sowohl die Tagesschau als auch Spiegel Online zeichnen die Ereignisse in ihren Beiträgen detaillierter nach.
Ähnliche Artikel:
BSI-Präsident Arne Schönbohm zum 18.10.2022 freigestellt
Stunk zwischen BSI und BMI: Schönbohm, der Verfassungsschutz und der Cyber-Sicherheitsrat
Der Cyber-Sicherheitsrat Deutschland e.V., Russenfirma Protelion und der BSI-Chef Arne Schönbohm
Affäre Arne Schönbohm (BSI), es wird grotesk
Neues zum BSI-Fall Arne Schönbohm, Böhmermann-Bericht stört Geheimdienstoperation
Sicherheitsfirma Dream Security: Neugründung von Sebastian Kurz und Ex-NSO Chef Shalev Hulio
Anzeige
Leider endet der Artikel abrupt!
Ist korrigiert – da ist ein Textfragment am Ende stehen geblieben – den ich übersehen hatte.
Danke!
Zertifiziert bis zum nächsten Update oder was? Und bei Sicherheitsprodukten die teilweise mehrmals täglich Signaturupdates erhalten (wie Virenscanner oder NextGen-Firewalls) wird dann jedes neue Signaturupdate zertifiziert oder was?
Schaut bei Lancom Routern – da sind meist nur einzelne Modelle zertifiziert und auch nur dann wenn die Konfiguration bestimmte Kriterien erfüllt und es wird auch nicht jedes Firmware Update zertifiziert – für den Status zertifiziert muss man also im Zweifel auf Firmware Updates länger warten und auf Funktionen verzichten.
Da sieht man schon, dass Zertifizierung in der schnelllebigen IT-Welt nur Augenwischerei und Marketing-Gags sind.
Schönbohm wird leider nur freigestellt also bekommt weiter Geld fürs Nichtstun.
BSI-Präsident Schönbohm wird freigestellt