IT-Firma im Visier des Verfassungsschutzes BSI wirft Innenministerium mangelnde Rückendeckung vor

Zwischen der Cybersicherheitsbehörde und dem Innenministerium herrscht dicke Luft. In einem Schreiben, das dem SPIEGEL vorliegt, beklagt sich das BSI über Medienberichte und fehlenden Beistand für die Amtsleitung.
Klingelschild der Protelion GmbH in Berlin: Kunden wurden vom Verfassungsschutz gewarnt

Klingelschild der Protelion GmbH in Berlin: Kunden wurden vom Verfassungsschutz gewarnt

Foto:

Patrick Beuth / DER SPIEGEL

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

»Richtigstellung« steht in der Betreffzeile eines Schreibens vom Donnerstag, das der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Gerhard Schabhüser, an den Staatssekretär Markus Richter im Bundesinnenministerium (BMI) geschickt hat. »Weiter wird in der Öffentlichkeit die Vertrauenswürdigkeit des BSI und seiner Leitung in Frage gestellt«, beklagt Schabhüser in dem Brief, der dem SPIEGEL vorliegt.

Was Schabhüser vermisst, ist Rückendeckung für die oberste IT-Sicherheitsbehörde des Landes , die zum Geschäftsbereich des BMI gehört – vor allem wohl für den BSI-Präsidenten Arne Schönbohm, über dessen Zukunft seit dem Wochenende heftig spekuliert wird : »Dem wird, angesichts des bereits jetzt ganz erheblichen Reputationsschadens und Vertrauensverlustes in die Arbeit des ganzen BSI, durch das BMI bislang wenig entgegengetreten.«

Es ist die aktuelle Berichterstattung zu einem bestimmten Zertifizierungsverfahren, die den BSI-Vize stört. Dabei geht es um Software der heutigen Protelion GmbH aus Berlin.

Das BSI verweigerte die Zertifizierung, warnte aber nicht öffentlich

Als der TV-Entertainer Jan Böhmermann vorige Woche die Mitgliedschaft der Firma im Verein »Cyber-Sicherheitsrat Deutschland e.V.« zum Thema seiner Sendung machte, war die Aufregung groß. Denn Protelion hieß bis zum Frühjahr 2022 noch »Infotecs«. Die Wurzeln des Unternehmens und viele seiner Gesellschafter liegen in Moskau. Sein Gründer war lange beim Geheimdienst KGB und bekam unlängst einen Verdienstorden von Wladimir Putin. Zumindest für den Verfassungsschutz war das nichts Neues.

Nach SPIEGEL-Informationen warnte der Inlandsgeheimdienst deutsche Kunden bereits 2019 vor dem Unternehmen und seinen Produkten. Gleich zwei Mitarbeiter des Bundesamtes für Verfassungsschutz (BfV) und des für ihn zuständigen Landesamts hätten ihn besucht und vertraulich über den Hintergrund seines Software-Lieferanten informiert, sagte ein bayerischer Firmenchef dem SPIEGEL. Er habe daraufhin den Anbieter gewechselt.

In ihrer Warnung bezogen sich die Verfassungsschützer unter anderem auf die USA. Die hatten die Moskauer Firmenmutter bereits 2018 auf ihre »Entity List« gesetzt und somit offiziell als Gefahr für die nationale Sicherheit der Vereinigten Staaten eingestuft. Dennoch blieb der Deutschland-Ableger, der die Vorwürfe bestreitet, auch in weiteren deutschen Verbänden aktiv. So trat der hiesige Geschäftsführer bis 2020 als Sprecher bei Veranstaltungen des Branchenverbands Bitkom auf. Die Verbandsmitgliedschaft habe man nach Beginn des Angriffskrieges im April dieses Jahres suspendiert, heißt es vom Bitkom.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wiederum verweigerte der Firma zwar im März 2021 die Zertifizierung ihres Produkts, anders als im Fall des russischen Antivirusanbieters Kaspersky sprach es aber keine öffentliche Warnung aus.

Den Ablauf des Verfahrens bis zur Ablehnung hatten »Die Zeit« und das ARD-Politikmagazin »Kontraste« so dargestellt :

2019 bemerkten die Verfassungsschützer dann eher zufällig auf der Homepage des BSI, dass die deutsche Tochterfirma ihre Software ViPNet Crypto Core 2.0 beim BSI zertifizieren lassen wollte. Das BfV wurde daraufhin beim BSI vorstellig, wies auf die Sicherheitsbedenken hin und versuchte, eine Beendigung des Zertifizierungsverfahrens zu erreichen. Doch das BfV drang damit beim BSI zunächst offenbar nicht durch.

Dieser Darstellung widerspricht Schabhüser in seinem Schreiben entschieden: »Das BSI hat mitnichten den vom BfV geäußerten Bedenken widersprochen oder auf die Fortführung des Verfahrens mit dem Ziel der Zertifizierung beharrt«. Das BSI könne so eine Prüfung gar nicht »›auf Zuruf‹ von Bedenken des BfV« vorzeitig beenden. Und die Zertifizierung einer Software auf der Grundlage sicherheitspolitischer Bedenken zu untersagen, könne es ebenso wenig – das dürfe »ausdrücklich laut Gesetz nur durch das BMI erfolgen«.

»A priori keine Sicherheitsbedenken erkenntlich«

Das BSI habe nur einen Auftrag zur technischen Prüfung. Diese habe im April 2019 begonnen, nachdem das BMI auf explizite Nachfrage des BSI mitgeteilt hatte, dass »a priori keine Sicherheitsbedenken erkenntlich« seien. Als aber im Mai der Verfassungsschutz das BSI »fernmündlich« darüber informierte, »dass Gründe für eine Untersagung vorliegen können und geprüft würden«, sei das Zertifizierungsverfahren beim BSI »nicht weiter vorangetrieben« worden.

Weil Infotecs einige Monate später erneut um die Zertifizierung bat, fragte das BSI nach Angaben von Schabhüser wiederum beim BMI nach, ob aus Sicht des Ministeriums etwas gegen die Erteilung des Zertifikats spreche. Das Bundesamt habe dabei auf Informationen des BfV verwiesen, die das BMI offenbar nicht kannte. Als das BMI diese Informationen dann bekam und in der Folge die Zertifizierung untersagte, habe das BSI die Zertifizierung auch seinerseits abgelehnt. Seit knapp einem Jahr sei die Entscheidung rechtskräftig, denn anders als medial dargestellt, sei auch das Widerspruchsverfahren abgeschlossen.

Verfassungsschutz hat Vereinsvorsitzenden abgehört

Ohnehin ist die Angelegenheit alles andere als abgeschlossen. Was als Satire in der Böhmermann-Sendung begann, entwickelt sich vielmehr zum Krimi. Die Verfassungsschützer warnten nämlich nicht nur Infotecs-Kunden, sie überwachten auch den Vorsitzenden des Cyber-Sicherheitsrats Deutschland e.V., Hans-Wilhelm Dünn. Nach SPIEGEL-Informationen kam es zu einer Telekommunikationsüberwachung. Dabei wurden auch Gespräche mit Schönbohm abgehört.

Die Wiedergabe wurde unterbrochen.