NSA-Spionage: BSI durfte Merkels Handy nicht untersuchen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) durfte das möglicherweise vom US-Geheimdienst NSA ausgespähte Handy von Bundeskanzlerin Angela Merkel (CDU) nicht untersuchen. Die Behörde habe eine Prüfung angeboten, "aber die ist nicht angenommen worden" , sagte BSI-Vizepräsident Andreas Könen am Donnerstag vor dem NSA-Untersuchungsausschuss des Bundestags in Berlin. Daher habe im konkreten Fall nicht verifiziert werden können, ob sich beispielsweise Schadsoftware auf dem Gerät befunden habe.
Im Oktober 2013 war bekanntgeworden , dass die NSA möglicherweise das Mobiltelefon Merkels überwacht hatte. Zunächst war spekuliert worden, ob es sich dabei um das abhörsichere Diensthandy gehandelt haben könnte. Später stellte sich heraus, dass es sich bei der angegebenen Telefonnummer um Merkels Parteihandy gehandelt hatte. Gründe, warum sich das BSI das Gerät nicht anschauen sollte, nannte Könen nicht. Möglicherweise ging das Bundeskanzleramt davon aus, dass die NSA im Berliner Regierungsviertel die unverschlüsselte Kommunikation abhört, um interessante Gespräche herauszufiltern. Dann wäre die Abhöraktion auch ohne Schadsoftware möglich gewesen.
Vom BND zum BSI gewechselt
Könen, der seit 2013 Vizepräsident des BSI ist, schilderte in seinem Eingangsstatement zunächst die allgemeine Bedrohungssituation für IT-Systeme. Vor dem Hintergrund der eigenen Erkenntnisse habe die Behörde die von Edward Snowden geleakten NSA-Dokumente als authentisch eingeschätzt. Erstaunt habe dabei, dass selbst aufwendige Überwachungsmaßnahmen umgesetzt worden seien.
Solche Spionageaktionen dürften dem 55-Jährigen nicht unbekannt gewesen sein. Denn Könen war fast 20 Jahre lang selbst Mitarbeiter beim Bundesnachrichtendienst (BND). Das BSI hatte dies bei seiner Ernennung(öffnet im neuen Fenster) elegant umschrieben: "Von 1988 bis 2006 war er auf dem Gebiet der Informationssicherheit in der Bundesverwaltung tätig."
"Problematische Schnittstellen" zum BND
Dem Zeugen waren Überwachungsaktionen wie die Operation Eikonal und die Operation Glotaic daher durchaus bekannt, auch wenn er keine Details dazu nennen konnte. Könen räumte ein, dass beide Behörden dabei zum Teil unterschiedliche Ziele verfolgen können: Während das BSI beispielsweise für sichere Verschlüsselungsverfahren zuständig sei, erschwere es die Aufgaben des BND erheblich, wenn Kriminelle und Terroristen ihre Kommunikation verschlüsselten. Könen sprach selbst von "problematischen Schnittstellen" zum BND.
Dennoch sei es nicht sinnvoll, das BSI aus der gemeinsamen Kontrolle durch das Bundesinnenministerium herauszulösen und als eigenständige Bundesbehörde zu etablieren. Es sei beispielsweise einfacher, mit Unterstützung eines Ministeriums Personalwünsche durchzusetzen, sagte Könen und versicherte: "Wir produzieren Sicherheit und werden nicht eingeschränkt." Auch kontroverse Themen wie der Einsatz von Bundestrojanern werden in einem klaren, sichtbaren Prozess debattiert.
Nur deutsche Verschlüsselungstechnik erlaubt
Nach Darstellung des Diplom-Mathematikers ist es in vielen Fällen nicht so einfach, ein hohes Niveau für die IT-Sicherheit der Bundesbehörden zu gewährleisten. Denn in vielen Fällen gebe es keine Hard- und Software von deutschen Herstellern, die von den Behörden eingesetzt werden könne. Könen wollte aber nicht pauschal der Aussage zustimmen, dass die Nutzung von US-amerikanischen IT-Produkten ein hohes Sicherheitsrisiko darstelle. Ein pauschaler Verzicht auf die Nutzung sei nicht sinnvoll.
Allerdings dürfe nur deutsche Verschlüsselungssoftware für die Kommunikation geheimer Dokumente und Nachrichten genutzt werden. Kryptohandys auf der Basis von ausländischen Betriebssystemen wie Android oder iOS müssten daher mit Hilfe eines eigenen Verschlüsselungsmoduls gehärtet und abgeschottet werden. Dabei gibt es laut Könen jedoch eine "deutliche Sprunghöhe" , wenn es sich um höhere Geheimhaltungsstufen handelt. Während für die niedrigste Stufe (VS-NFD) auch Standardprodukte genutzt werden könnten, dürften für Dokumente, die als "vertraulich" oder "geheim" eingestuft würden, nur nationale Krypto-Produkte eingesetzt werden.
Mehr Basisstationen aufgestellt
Wesentliche Änderungen bei der IT-Sicherheit hat es nach den Snowden-Enthüllungen im Sommer 2013 offenbar nicht gegeben. Laut Könen wurde beispielsweise überprüft, ob die Kommunikationswege des Behördennetzes IVBB nicht von ausländischen Diensten angezapft würden. Dazu habe man die Kabelzugänge untersucht. Zudem seien mehr Basisstationen im Regierungsviertel aufgestellt, damit die Mobiltelefone mit möglichst geringer Sendestärke funken können.
Auffälligkeiten gab es demnach auch nicht beim Netz des US-Anbieters Verizon, das die Bundesbehörden damals noch nutzten. Die Entscheidung, zu einem deutschen Anbieter zu wechseln, sei eher eine politische gewesen. Die Deutsche Telekom, Verizon und der Frankfurter Internetknoten hätten versichert, dass keine Daten an ausländische Geheimdienste ausgeleitet würden.
Handys lassen sich sehr genau orten
In einem zentralen Diskussionspunkt der vergangenen Wochen widersprach Könen den Aussagen des Bundesamts für Verfassungsschutz. Seine Behörde habe bei Tests im Jahr 2011 herausgefunden, dass Handys durchaus sehr genau geortet werden könnten. So gebe es Tools, die GPS-Funktion in einem Smartphone zu nutzen und die Daten nach außen zu transportieren. Auf diese Weise sei eine Ortung "auf wenige Meter möglich" , sagte Könen.
Zuletzt hatte Verfassungsschutzpräsident Hans-Georg Maaßen gesagt , eine Handynummer reiche nicht aus, um eine Person zu lokalisieren, selbst wenn die US-Drohnen eine Art Imsi-Catcher einsetzten. Die im April vorgelegte Studie sei vom Verfassungsschutz aber nicht angefragt worden. Das Bundesinnenministerium hatte im Herbst 2010 entschieden, dass die Verfassungsschützer die Handynummern deutscher Terrorverdächtiger an die US-Geheimdienste weiterleiten dürfen, da tödliche Drohnenangriffe alleine mit diesen Daten nicht möglich seien.