Innenminister Wolfgang Sobotka (ÖVP) ist "nicht sehr glücklich". Denn das Heeresnachrichtenamt soll durch ein Informationsleck dafür gesorgt haben, dass sich ein verdächtiger Hacker "der Verfolgung" durch den Verfassungsschutz "entziehen konnte", wie Sobotka am Donnerstag im Nationalrat erklärte. Heeresnachrichtenamt und Verfassungsschutz ermittelten offenbar parallel gegen einen türkischen Hacker, der Webseiten österreichischer Organisationen lahmlegte. Mit der Veröffentlichung geheimer Ermittlungsergebnisse des Heeres im Kurier wurden die Pläne des Verfassungsschutzes "torpediert", wie Insider dem STANDARD berichteten. Die Gegenseite sieht das naturgemäß anders und widerspricht in Hintergrundgesprächen dieser Darstellung.

"Paranoide Grundhaltung

Die Causa macht für Sicherheitsexperten schon länger bestehende Probleme in der Zusammenarbeit zwischen den verschiedenen Behörden sichtbar. Historiker Siegfried Beer, der das Austrian Center for Intelligence, Propaganda & Security leitet, spricht von einem "Klima des Misstrauens und des Konkurrenzdenkens". "Die Trennung der Zuständigkeiten in zwei Ministerien, die noch dazu üblicherweise politisch unterschiedlich besetzt sind, trägt das ihre dazu bei", sagt Beer dem STANDARD. Soziologe Reinhard Kreissl spricht von einer "paranoiden Grundhaltung" in der Szene.

Prinzipiell sind gleich sechs Stellen aus drei Ministerien im Cyberbereich aktiv. Die Grafik aus der Cyberstrategie des Bundes zeigt, wie komplex die Zuständigkeiten aufgeteilt sind, wobei mit dem Abwehramt des Bundesheeres ein wichtiger Akteur fehlt.

Foto: Screenshot

Mehrere Stellen im Heer

Die einzelnen Stellen sollen sich ergänzen und gegenseitig mit Informationen füttern. Prinzipiell gilt: Geht es um Verbrechen und Terror, übernimmt das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) des Innenministeriums die Verantwortung. Bei einer Gefahr für die Landesverteidigung kann hingegen das Militär die Führungsrolle einnehmen. Dort gibt es mit Heeresnachrichtenamt (HNaA), Milcert und Abwehramt gleich drei Stellen, die sich um Cyberbelange kümmern.

Der Fall des türkischen Hackers macht sichtbar, wie sich die einzelnen Zuständigkeiten überlappen. "Die Unterscheidung zwischen In- und Ausland, die für die Zuständigkeitsbereiche der beiden Dienste von Bedeutung ist, ist nur mehr schwer anzuwenden", erklärt Kreissl. Der Cybersecurity-Experte Herbert Saurugg, der 15 Jahre lang im Bundesheer tätig war, spricht von "zu wenigen Ressourcen, die kontraproduktiv verwendet werden."

Das Heeresnachrichtenamt soll etwa Cyberbedrohungen aus dem Ausland analysieren. Ein in den USA lebender Türke, der österreichische Institutionen virtuell angreift, könnte durchaus in diese Definition fallen. Gleichzeitig ist in der Cyber-Sicherheitsstrategie klar geregelt, dass das Cyber Security Center des Innenministeriums die Führungsrolle übernimmt, wenn Cyberattacken gegen heimische Stellen durchgeführt werden. Eine "rote Linie", wann auf ein Ereignis eine militärische statt eine polizeiliche Antwort erfordere, sei laut Saurugg "schwierig zu definieren."

Definitionsfragen

Die Angriffe des türkischen Verdächtigen waren grundsätzlich relativ simpel: Er versuchte Webseiten, etwa des Flughafens, von Ministerien oder der Nationalbank mit Überlastungsattacken lahmzulegen. Das heißt, dass keine Daten gestohlen und die Seiten nach kurzer Zeit wieder abrufbar waren. Allerdings können auch Überlastungsangriffe, also sogenannte DDoS-Attacken, ein Mittel militärischer Kriegsführung sein, etwa im Rahmen einer "hybriden Kriegsführung". So griff das russische Militär vor seinem Angriff auf Georgien 2008 Medien- und Regierungsseiten mit Überlastungsattacken an. Dadurch wurde die Bevölkerung verunsichert, die keine Informationen abrufen konnte.

Das Heeresnachrichtenamt lauscht auf der Königswarte
Foto: Standard/Bürger

Weil der türkische Hacker auch die Webseite des Verteidigungsministeriums angriff, könnte zusätzlich auch das Abwehramt eine Zuständigkeit reklamieren. Denn der zweite Geheimdienst des Bundesheeres ist für den "Eigenschutz des Bundesheeres" verantwortlich. Zusätzlich sind in der Abteilung C des Abwehramtes aber auch "Angelegenheiten der Elektronischen Abwehr" angesiedelt. Ob das Abwehramt eigene Ermittlungen wegen der Hackerangriffe durchgeführt hat, ist nicht bekannt. Das Verteidigungsministerium kommentiert prinzipiell keine Aktivitäten seiner Geheimdienste. Historiker Beer fragt: "Warum soll im Anlassfall nicht gerade auch das Abwehramt involviert sein, das sich als Spezialist für Cyber-Sicherheit versteht?"

Kooperation mit ausländischen Diensten

Verkompliziert wird die Angelegenheit außerdem dadurch, dass die einzelnen heimischen Behörden auch noch eigenständig mit ausländischen Geheimdiensten und Behörden kooperieren. Traditionell ist etwa die US-Bundespolizei FBI der Ansprechpartner des Verfassungsschutzes, während das Heer mit militärischen Diensten wie etwa der NSA kooperiert. Die US-Dienste sollen dem Verfassungsschutz geholfen haben, den türkischen Hacker zu beobachten. Auch sie sind wegen der frühzeitigen Publikation der Ergebnisse durch Heeresinformationen empört, wie die Nachrichtenorganisation AP berichtete. Nach dem Kurier-Artikel sollen US-Dienste dem Vernehmen nach ihre Kommunikation mit dem Verfassungsschutz temporär auf Eis gelegt haben.

"In dem Fall zeigt sich, dass man nicht über den eigenen Tellerrand hinausschaut – und dann wundert man sich, dass die Kooperation mit den ‚Großen‘ – also Diensten aus den USA, Großbritannien oder Israel – nicht funktioniert", sagt Kreissl. Innenminister Sobotka schlug nun im Nationalrat vor, eine "Stabsstelle" einzurichten, durch die die rivalisierenden Dienste "eng koordiniert" auftreten können und "Vernetzung auf personeller Ebene" stattfindet. Erst am Donnerstag wurde die Sicherheitsdoktrin des Innenministeriums mit einem erhöhten Fokus auf Cybersicherheit präsentiert.

Foto: Faksimilie/BMI

Geld- und Machtfrage

Allerdings dürften sich die Grabenkämpfe nicht so leicht beilegen lassen. Bei dem Wettstreit zwischen den einzelnen Diensten geht es um Geld und Macht: In die Cyberabwehr soll in den nächsten Jahren großflächig investiert werden. Die einzelnen Budgets von Verfassungsschutz, Heeresnachrichtenamt und Abwehramt werden nicht öffentlich ausgewiesen. Aber sowohl Sobotka als auch Hans-Peter Doskozil (SPÖ) sein Pendant als Verteidigungsminister, wollen mit ihren Cyberbereichen ein Stück vom Budgetkuchen abkriegen.

IT-Experten des Militärs im Cyberraum
Foto: Bundesheer/Carina Karlovits

Das Heeresnachrichtenamt betreibt etwa die Abhörstation Königswarte, in der elektronische Spionage stattfindet. Gleichzeitig soll der Dienst diesen Herbst eine neue Zentrale in der Maria-Theresien-Kaserne in Wien-Meidling bekommen. Ein Kryptografie-Rechenzentrum soll rund 40 Millionen Euro kosten. Das Abwehramt erhält dafür Ressourcen, um ein Cyber-Defence-Center des Heeres aufzubauen, das 2018 in die Hütteldorfer Kaserne übersiedeln soll. Kolportiert werden 350 zusätzliche Mitarbeiter und 46 Millionen Euro für den Kauf von Hard- und Software.

Das Innenministerium baute indes in den vergangenen Monaten – begonnen unter Sobotkas Vorgängerin Johanna Mikl-Leitner (ÖVP) – ein Cyber Crime Competence Centre (C4) auf. Auch die Cyberforensik wurde ausgebaut, Verfassungsschutz und Bundeskriminalamt greifen darauf zu.

Trojaner und Software-Lücken

Aber Ressourcen sind nicht der einzige Grund, warum die Dienste miteinander wettstreiten. Es geht auch um Kompetenzen: Verfassungsschutz und Polizei wollen einen sogenannten Staatstrojaner, mit dem sie Rechner von Verdächtigen durchsuchen wollen. Die militärischen Dienste wollen hingegen ihre Angriffsfähigkeiten ausbauen. Das Bundesheer nennt dies eine "offensive Cyberverteidigung" und könnte dabei Sicherheitslücken in Programmen nützen, um Ziele auszuspionieren.

Für Saurugg ist klar, dass die Dienste "gemeinsame Sache" machen müssen. Das sei eine Sache der "Unternehmenskultur". Geheimdienst-Experte Beer denkt jedoch nicht, dass die Zusammenarbeit der unterschiedlichen Dienste unter diesen Bedingungen verbessert werden kann. "Wir wurschteln nachrichtendienstlich weiter, von Panne zu Panne, und tun so als ob nichts wäre. Erst wenn der große Pumperer kommt wird man in Sachen Koordination und Kooperation aufwachen müssen – das könnte aber schon morgen sein", warnt Beer. (Fabian Schmid, 5.3.2017)