Vorwürfe gegen BSI-Präsident Sind Schönbohms Tage gezählt?
Seine Nähe zu einem umstrittenen Lobbyverein und der Vorgang um die Zertifizierung einer dubiosen Software bringen BSI-Chef Schönbohm in Bedrängnis - seine Ablösung wird immer wahrscheinlicher.
Von Georg Heil und Daniel Laufer, rbb
Bundesinnenministerin Nancy Faeser wollte sich am Mittwoch nicht festlegen, als sie gefragt wurde, ob BSI-Präsident Arne Schönbohm abgelöst wird. "Ich prüfe im Moment die Vorgänge, die am Wochenende in der Presse waren. Mehr kann ich dazu heute nicht sagen", so die Ministerin.
Schönbohm steht gleich aus mehreren Gründen unter Druck. Es geht um die Frage, ob seine Behörde eine Warnung des Verfassungsschutzes womöglich nicht ernst genug nahm. Und er steht in der Kritik, weil er nicht genug Abstand zu einem dubiosen Verein gehalten haben soll, dessen Vorsitzender ein persönlicher Freund ist. Nach Informationen von Kontraste und "Zeit" heißt es aus dem Bundesinnenministerium, Schönbohms Tage als BSI-Chef seien gezählt.
Mögliche Verbindungen zu russischem Geheimdienst
Die aktuelle Debatte um Schönbohm nahm Fahrt auf, nachdem das "ZDF Magazin Royale" in Kooperation mit der Rechercheplattform Policy Networks Analytics über die Firma Protelion GmbH aus Berlin berichtet hatte, die eines ihrer Produkte beim BSI zur Zertifizierung eingereicht hatte. Das Unternehmen ist mit dem russischen Softwarekonzern OAO InfoTeCS verflochten, dem wiederum nachgesagt wird, mit russischen Geheimdiensten vernetzt zu sein.
Protelion firmierte bis März 2022 noch unter dem Namen Infotecs Security Software GmbH. Um den Vorgang der Zertifizierung gab es Konflikte, weil das Bundesamt für Verfassungsschutz das BSI vor der Firma warnte, beim BSI aber anscheinend nicht durchdrang. Die Protelion GmbH war außerdem bis zu ihrem Ausschluss am 10. Oktober 2022 Mitglied im "Cybersicherheitsrat Deutschland e.V." (CSRD), einem IT-Lobbyverein, der ursprünglich von Arne Schönbohm selbst und seinem Freund Hans-Wilhelm Dünn gegründet worden war.
Vereinspräsident unterhielt rege Kontakte nach Russland
Bereits 2019 hatten gemeinsame Recherchen des ARD-Politikmagazins Kontraste und der Wochenzeitung "Die Zeit" gezeigt, dass der Präsident des Vereins und langjährige Vertraute Schönbohms Dünn enge Kontakte nach Russland pflegt.
So nahm CSRD-Präsident Dünn 2018 auf Einladung der russischen Staatsduma als "Wahlbeobachter" an der Präsidentschaftswahl in Russland teil. 2019 sprach er sich auf einer Fachkonferenz in Garmisch-Patenkirchen für eine engere deutsch-russische Kooperation im Cyberbereich aus. Die Konferenz wurde von einer russischen Vereinigung für Informationssicherheit veranstaltet und hatte nach Einschätzung deutscher Sicherheitsbehörden einen klaren "nachrichtendienstlichen Hintergrund".
Am Rande der Konferenz unterzeichnete Dünn eine Absichtserklärung für eine Zusammenarbeit mit der russischen Vereinigung. Von russischer Seite wurde das Dokument von Wladislaw Scherstjuk unterzeichnet. Der ehemalige KGB-Mitarbeiter leitete in den neunziger Jahren den damaligen russischen Abhörgeheimdienst FAPSI.
Innenministerium wollte keine Aufwertung des Vereins
Das Bundesinnenministerium (BMI), dem das BSI untergeordnet ist, hatte bereits 2015 schriftlich klargestellt, dass der umstrittene Verein CSRD nicht aufgewertet werden solle. Trotzdem hatte Dünn noch 2019 ein gemeinsames Foto von sich und Schönbohm auf seinem Twitter-Account veröffentlicht, das auf einer Messe entstanden war. Zudem nahm Schönbohm selbst erst kürzlich an einer Jubiläumsveranstaltung des CSRD teil. Dafür hatte er zwar eine Genehmigung des BMI erhalten - diese wird aber in der Bundesregierung mittlerweile als Fehler eingestuft.
Nach Recherchen von "Zeit" und Kontraste geriet Hans-Wilhelm Dünn im Rahmen einer Verfassungsschutzmaßnahme mit dem Codenamen "Operation Steinbeis" zeitweise sogar ins Blickfeld der deutschen Spionageabwehr. Die Verfassungsschützer observierten einen russischen Geschäftsmann aus Berlin, den sie für einen Agenten des russischen Nachrichtendienstes FSB halten. Der Mann unterhielt zeitweise offenbar enge Kontakte zu Dünn, gegen den die Operation aber nicht gerichtet war. Die "Operation Steinbeis" brachte keine verwertbaren Beweise und wurde schließlich aus juristischen Gründen eingestellt.
Auf Anfrage von "Zeit" und Kontraste erklärte Dünn dazu: "Mir ist nicht bekannt, dass gegen eine mir bekannte Person eine Spionageabwehr-Operation durchgeführt wird. Da ich nicht weiß, um welche Person es sich bei dem von Ihnen geäußerten Verdacht handelt, kann ich keine Auskunft zum jetzigen oder zukünftigen Verhältnis geben. Sofern sich der geäußerte Verdacht verifiziert, würde ich den Kontakt zu der betreffenden Person sofort abbrechen." Das BfV wollte sich zu der Operation "Steinbeis" nicht äußern.
Im ehemaligen russischen Abhörgeheimdienst FAPSI arbeitete nach Recherchen von Kontraste und "Zeit" auch Andrey Chapachev, der Anfang der neunziger Jahre in Russland OAO InfoTeCS gründete und seine Karriere 1982 beim KGB begonnen hatte. Chapachev war nach Kontraste- und "Zeit"-Recherchen auch zeitweilig Geschäftsführer der deutschen Firma Infotecs Security Software GmbH.
Sicherheitssoftware mit Hintertür
Chapachev OAO InfoTeCS geriet in den neunziger Jahren in das Visier amerikanischer Geheimdienste. Damals hatte eine Tochter von OAO InfoTeCS in den USA anscheinend versucht, der US-Regierung Software zu verkaufen. Eine Analyse hatte jedoch ergeben, dass diese offenbar über eine sogenannte back door, eine Hintertür, verfügte, die Unbefugten Zugriff auf Daten ermöglichte. Auch als eine irische Tochterfirma von OAO InfoTeCS US-Geheimdiensten Verschlüsselungssoftware verkaufen wollte fanden die Amerikaner offenbar eine solche Hintertür, die sie dem FAPSI zuordneten.
US-Geheimdienst warnt Verfassungsschutz
Nach Recherchen von Kontraste und "Die Zeit" warnte ein US-Geheimdienst 2017 das Bundesamt für Verfassungsschutz (BfV) vor dem Firmengeflecht rund um das russische Mutterunternehmen. 2019 bemerkten die Verfassungsschützer dann eher zufällig auf der Homepage des BSI, dass die deutsche Tochterfirma ihre Software ViPNet Crypto Core 2.0 beim BSI zertifizieren lassen wollte. Das BfV wurde daraufhin beim BSI vorstellig, wies auf die Sicherheitsbedenken hin und versuchte, eine Beendigung des Zertifizierungsverfahrens zu erreichen. Doch das BfV drang damit beim BSI zunächst offenbar nicht durch.
BSI verwies auf eigene Zuständigkeit
Das BSI soll auf seine Prüfzuständigkeit verwiesen haben und darauf, dass es um eine technische Prüfung gehe. Der Zertifizierungsprozess lief jedenfalls weiter - und zwar noch fast zwei Jahre. Die Sicherheitsbedenken der Verfassungsschützer wurde im BSI offenbar nicht in vollem Umfang geteilt. Erst als der Verfassungsschutz das Bundesinnenministerium einschaltete, wurde die Zertifizierung der Software am 13. März 2021 abgelehnt. Gegen die "Versagung der Zertifizierung" legte Protelion Widerspruch ein, jedoch ohne Erfolg.
"Es ist eine reine politische Entscheidung vom BMI gewesen", so Protelion-CEO Waclaw gegenüber "Zeit" und Kontraste. Das BSI habe keinerlei Schwachstellen in der Software gefunden. Das Bundesamt für Verfassungsschutz wollte sich auf Anfrage von "Zeit" und Kontraste nicht zu den Vorgängen äußern. Das BSI verwies auf das Bundesinnenministerium.
Die Vorgänge um Protelion, das BSI und den Cybersicherheitsrat sollen nach Informationen von Kontraste und "Die Zeit" auch gestern Thema im geheim tagenden parlamentarischen Kontrollgremium des Bundestags gewesen sein.
Mitarbeit: Andrea Becker, rbb