Welche Software private Betreiber von kritischer Infrastruktur nutzen, ist in Deutschland nicht meldepflichtig.
Bildrechte: Oliver Berg/dpa

Welche Software private Betreiber von kritischer Infrastruktur nutzen, ist in Deutschland nicht meldepflichtig.

    >

    Deutschlands IT-Sicherheit: Haben Geheimdienste leichtes Spiel?

    Deutschlands IT-Sicherheit: Haben Geheimdienste leichtes Spiel?

    Firmen im Dunstkreis des russischen Geheimdienstes FSB dürfen in Deutschland IT-Sicherheit verkaufen. Dabei ist es nicht illegal, wenn deren Produkte in der kritischen Infrastruktur zum Einsatz kommen. Fachleute befürchten große Gefahren.

    Es wäre ein Alptraum: Wenn die eigene IT-Sicherheitsfirma nicht Support und Schutz bietet, sondern andere Interessen verfolgt - etwa die russischer Geheimdienste. In diesen Verdacht ist die Firma Protelion geraten.

    Deutsche "Protelion" ist Tochter von russischer Firma "Infotecs"

    Das Bundesministerium des Innern (BMI) äußerte öffentlich: "Die Protelion, vorher Infotecs GmbH, ist eine deutsche Tochterfirma der russischen Firmengruppe Infotecs OAO. Infotecs Russland wurde unter der Leitung von Andrey Chapchaev gegründet." Nach Erkenntnissen des BMI steuert Andrey Chapchaev zumindest indirekt auch die Geschäfte der Infotecs GmbH in Deutschland.

    "Infotecs" offenbar auch für russischen Geheimdienst aktiv

    Konkret würde laut BMI dem Unternehmen vorgeworfen, die Aktivitäten böswilliger russischer Cyberakteure zu unterstützen: "Es liegen Erkenntnisse vor, dass Infotecs Russland bei der Beschaffung von Cyberangriffstools für den FSB (Russischer Geheimdienst) beteiligt war", so eine Sprecherin des Innenministeriums gegenüber BR24.

    Protelion bietet IT-Sicherheit für sensible Bereiche von Firmen

    Die Protelion Security wirbt auf ihrer Webseite, man biete "inspirierende Sicherheitslösungen für die neu definierten Grenzen und Ränder der digitalen Welt". Sie will nach eigenen Angaben das "digitale Universum" seiner Kunden schützen.

    Dazu gehören Tools wie "VPN" (Virtuelle Private Netzwerke), über die Firmen von außerhalb des Unternehmens durch eine verschlüsselte Software sicher mit dem eigenen Firmen-Netzwerk kommunizieren können. Oder das sogenannte "Remote Access Management", das die Kontrolle und Wartung - etwa von Industrieanlagen - im Grunde von jedem Laptop aus ermöglicht. Außerdem bietet Protelion "Network Monitoring" an, mit dem eine Echtzeitkontrolle des Firmen-Netzwerks der Kunden stattfinden kann, um mögliche Cyber-Angriffe sofort bemerken zu können.

    Experten sehen Protelion-Software als Sicherheitsrisiko

    Jan Lemnitzer, Assistent Professor for Cybersecurity an der Copenhagen Business School, hält das für ein sehr besorgniserregendes Sicherheitsrisiko: "Protelion behauptet, man habe eine komplett eigenständige Software für den Verkauf in Deutschland entwickelt, die absolut nichts mit den Produkten der Mutterfirma Infotecs aus Russland zu tun hat. Das muss man nicht glauben."

    Auch Oliver Rolofs, Mitbegründer des Münchner Cyber-Sicherheitskonferenz MCSC, gibt sich skeptisch: "Mit den bisherigen Enthüllungen über Protelion und den Hintergründen (KGB, etc.) scheint das alles andere als vertrauenswürdig zu sein, sodass durchaus ein Risiko besteht, dass über Protelion-Lösungen eventuelle Back Doors möglich sind, die Zugriff auf etwa Steuerungssysteme haben könnten." Eine Anfrage von BR24 zu den Beziehungen zu russischen Geheimdiensten ließ Protelion unbeantwortet.

    Mögliche Gefahren für deutsche Infrastruktur?

    Protelion-Produkte haben einen tiefen und direkten Zugang zum Netzwerk eines Kunden, da gebe es die Möglichkeit, über klassische Angriffsvektoren Unternehmen anzugreifen, so Jan Lemnitzer: "Ein Hacker mit Zugriff auf diese Software kann beim Kunden nicht nur Daten sehen, stehlen oder manipulieren, sondern auch Schadsoftware installieren, über manipulierte Steuerungsbefehle Industrieanlagen beschädigen oder im Fall von kritischer Infrastruktur zum Beispiel die Trinkwasserversorgung stören oder Windkraftanlagen ausschalten."

    In Anbetracht der Warnungen, so Lemnitzer, dass Russland genau solche Angriffe auf westeuropäische Energieinfrastruktur im Winter erwägen könnte, sei die Frage, wer genau in Deutschland Kunde bei Protelion ist und wer genau das Unternehmen kontrolliert, eine äußerst wichtige Frage.

    BSI zertifiziert Sicherheitsprodukte von Protelion nicht

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die IT-Systeme der Bundesverwaltung schützt, muss bestimmte Produkte für sicherheitsrelevante Bereiche der Bundesnetze zertifizieren.

    Da dem BMI die Verbindung von Protelion/Infotecs zu Russland bekannt gewesen seien, habe das BSI auf Weisung des BMI einen Antrag der Firma Protelion/Infotecs auf Produktzertifizierung mit Bescheid vom 18. März 2021 abgelehnt, erklärt das BMI gegenüber BR24. Aus Sicherheitskreisen heißt es, deutsche Geheimdienste hätten zuvor massive Sicherheitsbedenken geäußert, unter Verweis auf die engen Kontakte der Mutterfirma Infotecs zum russischen Geheimdienst.

    Keine Warnung vor Protelion – Einsatz in kritischen Infrastrukturen nicht verboten

    Zwar hat das BSI öffentlich vor Software der IT-Sicherheitsfirma Kaspersky gewarnt. Man könne ihr nach russischen Drohungen nicht mehr vertrauen, so das BSI im vergangenen März. Doch eine öffentliche Warnung in Sachen Protelion erging nicht. Bei den Produkten des Unternehmens Protelion/Infotecs handele es sich um frei am Markt verfügbare Produkte, über deren Einsatz die Betreiber eigenständig entscheiden könnten, so das BMI.

    Einsatz von Software aus Russland oder China in kritischen Infrastrukturen möglich

    Das Bayerische Innenministerium weiß nicht, "ob private Betreiber Kritischer Infrastrukturen (KRITIS) Produkte der Firmen Protelion (zuvor Infotecs GmbH) einsetzen, noch existiert nach unserem Kenntnisstand eine allgemeine Meldepflicht von eingesetzten Produkten bzw. eine umfassende Verpflichtung zum Einsatz zertifizierter IT-Produkte bei KRITIS-Einrichtungen." Grundsätzlich mache das BSI keine pauschalen Vorgaben zum Einsatz von Hard- und Softwareprodukten aus Russland oder China in Kritischen Infrastrukturen, erfährt BR24 auf Anfrage: "Die Verantwortung für die IT der Kritischen Infrastrukturen liegt bei den Betreibern."

    Für Ben Hodges, Generalleutnant a. D. der US-Streitkräfte, zuletzt Commanding General der US Army Europe, ist die Integrität kritischer Infrastrukturen – auch mit Blick auf die Mobilität des Militärs - unabdingbar: "Es sorgt mich, wenn nicht klar ist, ob Software in kritischen Infrastrukturen, ob im Transport-, Finanz- oder allen anderen Sicherheits- und Verteidigungsbereichen von einer Behörde zertifiziert ist oder nicht. Sie sollte auf jeden Fall durch eine Behörde zertifiziert sein!"

    Wenig Mitarbeiter für digitalen Katastrophenschutz in Deutschland

    IT-Sicherheitsexperte Oliver Rolofs hält es für unglaublich, "dass in staatlichen Stellen und KRITIS-Systemen unterhalb des Bundeslevels ein Einsatz von Protelion-Sicherheitslösungen nicht auszuschließen ist." Das sei zu kritisieren, da weit über 50 Ressorts, Behörden und Organisationen in Deutschland mit Cybersicherheit zu tun haben, aber ein einheitliches Lagebild und auch ein Informationsaustausch, um schnell zu handeln, immer noch eine Fehlanzeige sei, so Rolofs.

    Allein in Deutschland gäbe es fast 2.000 Kritische Infrastrukturen, aber wenig Kapazitäten für einen digitalen Katastrophenschutz. Im Falle eines Cyberangriffes stehen diesen 15 Mitarbeiter eines Mobile Incident Response Team (MIRT) des BSI gegenüber, die im Krisenfall aufgestockt werden könne, moniert der IT-Sicherheitsexperte Roloffs. Im Vergleich setzt Estland mit einer eigenen Cyber-Einheit in den estnischen Streitkräften mehrere hundert IT-Spezialisten als "Digital-Miliz" zum Schutz der Kritischen Infrastrukturen des Landes ein.

    IT-Experten: Freier weltweiter Markt hier ein Sicherheitsrisiko

    Werner Strasser, CEO der österreichischen Firma fragmentiX, die IT-Sicherheit bis in den Quantenbereich anbietet, hält das Prinzip des freien Marktes in diesem Fall ein Sicherheitsrisiko: "Solange bei Ausschreibungen das Bestbieter-Prinzip gilt und außereuropäische und teilweise sogar staatlich subventionierte Anbieter vertrauenswürdige europäische Sicherheitslösungen preislich ausstechen, die dann in IT-Systemen kritischer Infrastrukturen zum Einsatz kommen, werden wir das Problem nicht lösen. Es ist davon auszugehen, dass zum Beispiel in Komponenten chinesischer oder russischer Anbieter immer das Risiko besteht, das eine Back-Door versteckt ist."

    Der Vorstand des Münchner IT-Sicherheitsunternehmens DriveLock SE, Arved von Stackelberg, hält es für fahrlässig, "wenn wir keinen Überblick darüber haben und klar definierte Kriterien fehlen, welche Sicherheitslösungen im Bereich der oftmals privat betriebenen Kritischen Infrastrukturen eingesetzt werden." KRITIS-Betreiber müssten auf Hersteller und Lösungen setzen, die es ihnen erlauben, dass die Daten in Europa bleiben. Ansonsten verlieren wir die Souveränität über unsere Daten und unsere Sicherheit, so von Stackelberg.

    Bundesbehörden förderten Protelion zunächst weiter

    Noch vergangenen März durfte die Firma Protelion im Rahmen des Auslandsmesseprogramms der Bundesregierung auf der Messe GISEC in Dubai (21.-23. März 2022) auftreten. Für teilnehmende Firmen ist es eine gute Werbung, einen Platz auf dem Gemeinschaftsstand der Bundesregierung zu erhalten.

    Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) schreibt auf Anfrage von BR24, Entscheidungen über die Beteiligung am Auslandsmesseprogramm würden mit deutlichem zeitlichen Vorlauf getroffen, da Messeplanungen nicht kurzfristig erfolgen könnten: "In diesem Fall fiel die Entscheidung Ende Oktober 2021, das heißt rund fünf Monate vor Beginn der Messe und damit in der vorherigen Legislatur und unter der Vorgängerregierung." Ende März 2022 habe es Hinweise zu Vorwürfen über das Unternehmen gegeben, so das BMWK: "Seitdem gab und gibt es keine weiteren Beteiligungen des Unternehmens am Auslandsmesseprogramm."

    Pikant: Die Verbindung von Protelion/Infotecs zu Russland sind dem Bundesinnenministerium zuvor bekannt gewesen: "Das BSI hat auf Weisung des BMI einen Antrag der Firma Protelion/Infotecs auf Produktzertifizierung mit Bescheid vom 18. März 2021 abgelehnt", so ein Sprecher gegenüber BR24.

    Digitale Souveränität – Eine Frage des Willens

    Für Ulrike Lechner vom Institut für Schutz und Zuverlässigkeit der Universität der Bundeswehr München macht die aktuelle Situation die Neubewertung von Risiken und eine Antizipation von Risikoentwicklung notwendig.

    Auch die digitale Souveränität müsse neu bewertet werden, so Lechner im Interview mit BR24: "Das Resultat dieser Neubewertung wird sein, dass viel in Technologie investiert werden muss und dass vor allem auch neue Kompetenzen bei Mitarbeitern notwendig sind. Das Resultat wird auch sein, dass es auch in der Gesellschaft eine Diskussion zu Fragen von Autarkie und Zusammenarbeit geben wird und die Gesellschaft ihre Erwartungen an die Kritischen Infrastrukturen formulieren muss."

    Digital souverän bedeute insbesondere, für die Zuverlässigkeit in der Zukunft bereits heute einzustehen und entsprechend zu planen und zu investieren. Digitale Souveränität sei damit eine Frage des Standpunkts und des Willens.

    "Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht's zur Anmeldung!

    Das ist die Europäische Perspektive bei BR24.