Der Amtsleiter steht seit Anfang Oktober in der Kritik.

Berlin In der Debatte um den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, gerät jetzt die Berliner Cybersecurity-Firma Protelion in den Fokus. Das Unternehmen war bis vor Kurzem Mitglied im „Cyber-Sicherheitsrat Deutschland e.V.“, den Schönbohm einst selbst mitgegründet und geleitet hatte.

Für Irritationen sorgt nun, dass die Firma unter ihrem früheren Namen Infotecs GmbH mehrfach im Rahmen des vom Wirtschaftsministerium geförderten Auslandsmesseprogramms aufgetreten ist, obwohl es Warnungen vor möglichen Verbindungen zu russischen Geheimdienstkreisen gegeben hat.

Der innenpolitische Sprecher der FDP-Bundestagsfraktion, Manuel Höferlin, sagte dem Handelsblatt: „Das Bundeswirtschaftsministerium und das Bundesinnenministerium müssen offenlegen, wie es zur Förderung der Protelion GmbH mit Bundesmitteln bei Messeauftritten kam und warum es keinen sofortigen Ausschluss nach den Hinweisen vom Verfassungsschutz und dem Bundesverband IT-Sicherheit TeleTrust gab.“

Deutliche Worte findet auch die Vizechefin der Unions-Bundestagsfraktion, Andrea Lindholz (CSU). „Das Agieren der Bundesregierung rund um die Firma Protelion und den Verein Cyber-Sicherheitsrat Deutschland e.V. muss restlos aufgeklärt werden“, sagte Lindholz dem Handelsblatt. „Alle Fakten müssen auf den Tisch, wer wann was wusste und wie handelte – oder eben nicht handelte.“

Bei der Infotecs GmbH handelt es sich um ein Tochterunternehmen der russischen Cybersecurityfirma O.A.O.Infotecs. Diese Firma wurde nach Informationen des Recherchenetzwerks Policy Network Analytics von einem ehemaligen Mitarbeiter des russischen Nachrichtendienstes KGB gegründet, der von Russlands Präsident Wladimir Putin für sein Wirken mit einer Ehrenmedaille ausgezeichnet wurde.

Hinweise von IT-Bundesverband

Der Bundesverband IT-Sicherheit TeleTrust hatte im März gegenüber dem Wirtschaftsministerium auf den KGB-Bezug des Unternehmens hingewiesen sowie darauf, dass US-Sicherheitsbehörden vor dem Einsatz der Protelion-Software gewarnt hätten. Die „Wirtschaftswoche“ hatte zuerst darüber berichtet.

TeleTrust-Geschäftsführer Holger Mühlbauer sagte dem Handelsblatt, die Mitteilung an das Ministerium und den Messeverband Auma sei am 23. März 2022 erfolgt. Der Messeverband organisiert Gemeinschaftsstände deutscher Aussteller im Ausland, wofür die Bundesregierung pro Jahr über 40 Millionen Euro an Fördergeldern zahlt.

„Wir haben dem Wirtschaftsministerium nahegelegt, das Innenministerium sowie das BSI mit zurate zu ziehen, was bei diesem Thema naheliegend erschien“, sagte Mühlbauer weiter. Anlass war, dass die Infotecs GmbH vom 21. bis 23. März 2022 am offiziellen Gemeinschaftsstand deutscher Unternehmen, dem sogenannten „German Pavillon“, auf der IT-Sicherheitsmesse Gisec in Dubai teilgenommen hatte.

Zuvor war Infotecs (Protelion) schon einmal auf der Gisec präsent – vom 31. Mai 2021 bis 2. Juni 2021. Und wenige Monate später ebenfalls auf einem deutschen Gemeinschaftsmessestand bei der Energiewirtschaftsmesse Adipec in Abu Dhabi (15. November 2021 bis 18. November 2021).

Trotz der Hinweise auf mögliche Russlandverbindungen dauerte es laut „Wirtschaftswoche“ noch rund ein halbes Jahr, bis regierungsseitig im September 2022 entschieden wurde, die dubiose Softwarefirma von einer weiteren Förderung mit Bundesmitteln bei Messeauftritten auszuschließen. Weder vom Wirtschafts- noch vom Innenministerium war zunächst eine Stellungnahme zu erhalten.

Sorge um Cybersicherheit in Deutschland

Dass es auch keine offizielle Warnung vor Protelion-Produkten gegeben hat, könnte weitere Fragen aufwerfen. Denn es hat wohl Hinweise des Bundesamtes für Verfassungsschutz zu zumindest einem problematischen Produkt gegeben.

Wie das ARD-Politikmagazin „Kontraste“ und „Zeit Online“ berichten, hat das BSI das Zertifizierungsverfahren der Protelion-Software „ViPNet Crypto Core 2.0“ erst nach einer Intervention des Bundesinnenministeriums beendet. Eine zuvor erfolgte Warnung des deutschen Inlandsgeheimdienstes soll das BSI nicht zur Ablehnung der Zertifizierung der Software gebracht haben. Der Verfassungsschutz erklärte dazu dem Handelsblatt, man äußere sich nicht „zu etwaigen operativen Maßnahmen“.

Protelion erklärte laut „Zeit Online“, es habe sich beim Stopp des Zertifizierungsverfahrens um eine „politische Entscheidung“ des Innenministeriums gehandelt. Der russische Geheimdienst sei nicht in die Entwicklung der Verschlüsselungsalgorithmen involviert gewesen.

Die bisherige Mitgliedschaft Protelions im „Cyber-Sicherheitsrat Deutschland e.V.“ gehört zu den Gründen, warum in den vergangenen Tagen BSI-Chef Schönbohm in Bedrängnis geraten ist. Bundesinnenministerin Nancy Faeser (SPD) will Schönbohm von seinem Posten abberufen.

Der FDP-Innenpolitiker Höferlin sorgt sich angesichts der Vorgänge um die Cybersicherheit in Deutschland. „Wichtig ist, dass das BSI handlungsfähig bleibt, unabhängig von der Rolle von Herrn Schönbohm“, sagte er. „Es darf nicht zur Lähmung unserer wichtigsten IT-Sicherheitsbehörde kommen, insbesondere vor dem Hintergrund der aktuellen Angriffe auf unsere kritische Infrastruktur und der hohen Bedrohung durch Russland für unsere Cybersicherheit.“

Daher sei es nun auch an der Zeit, den strukturellen Umbau der IT-Sicherheitsarchitektur entschieden voranzutreiben, so wie es im Koalitionsvertrag vereinbart worden sei. „Das BSI muss zu einer Zentralstelle ausgebaut werden, die Ministerien und andere staatliche Stellen nicht nur berät“, erläuterte Höferlin. Vielmehr müssten die Empfehlungen des BSI zur Cybersicherheit „verpflichtend“ umgesetzt werden.

