Die von Jan Böhmermann im ZDF Magazin Royale am Freitag auf Grundlage der von "Policy Networks Analytics" zusammengetragen Fakten vorgebrachte Kritik an BSI-Präsident Arne Schönbohm und dem von ihm mitgegründeten Cyber-Sicherheitsrat e.V. hat inzwischen hohe Wellen geschlagen. Die in der Sendung als russischer Maulwurf in relevanten Gremien der deutschen Cybersicherheit beschriebene Firma Protelion wurde inzwischen aus dem Cyber-Sicherheitsrat ausgeschlossen.
In einem Interview mit Welt.TV erklärte Vereinspräsident Hans-Wilhelm Dünn am 10. Oktober, dass sei geschehen, "um alle möglichen Eventualitäten auszuschließen". Das heiße aber auch, dass "die Verdächtigungen, die hier im Raum stehen, natürlich dann auch jetzt eiterhin geprüft werden müssen." Auch der Bundesverband zum Schutz kritischer Infrastrukturen e.V. (BKSI) hat bekannt gegeben, dass die dort bestehende Mitgliedschaft der Firma Protelion, die bis April als Infotecs am Markt aufgetreten ist, vorerst ruhe.
Protelion als Trittbrettfahrer oder als Gefahr?
"Protelion … sitzt aktuell im Cyber-Sicherheitsrat Deutschland, Arschbacke an Arschbacke neben den wichtigen Vertretern unserer Kritischen Infrastruktur. Protelion alias Infotecs alias die Kumpels vom russischen Nachrichtendienst hängen ab mit ganz vielen wichtigen Playern aus Wirtschaft und Politik in Deutschland", hatte Böhmermann sein Unverständnis dafür zum Ausdruck gebracht, dass eine mit russischen Nachrichtendiensten zusammenarbeite Firma, Einblick und Einflussmöglichkeiten auf die vertrauliche Aspekte der Cybersicherheit der Bundesrepublik Deutschland habe.
Möglicherweise hat da aber das Eigenmarketing des Cyber-Sicherheitsrat e.V. zu gut funktioniert. Denn in der Praxis scheint der von Schönbohm 2012 mitgegründete Verein nur beim Namen große Ähnlichkeit mit dem Cyber-Sicherheitsrat des Bundesverteidigungsministeriums zu haben. Tatsächlich gingen die allermeisten Kontakte unter den Mitgliedsfirmen nicht über das hinaus, was auch auf jeder Messe üblich ist.
So bezeichneten einige der von ChannelPartner befragten Herstellervertreter ihre Mitgliedschaft als "eher passiv". Das Unternehmen wusste in einigen Fällen gar nicht mehr so genau, wieso es einmal Mitglied wurde, wer zuletzt auf Veranstaltungen des Vereins war - wenn überhaupt jemand von der Firma vor Ort vertreten war. Andere lobten die Veranstaltungen wegen der teilweise interessanten Vorträge und den Möglichkeiten, andere Branchenvertreter kennen zu lernen - hatten jedoch ebenfalls keine Erinnerungen an den Austausch wichtiger Firmengeheimnisse oder vertraulicher, auf anderem Wege nicht erhältlicher Information. Sich anbiedernde Protelion-Spione hat keiner von ihnen je getroffen.
Böse formuliert könnte man den Verein also auch als Schwatzbude und Prestigeprojekt seiner Gründer bezeichnen. Inwiefern einzelne Vorstandsmitglieder die schöne Fassade des Vereins dafür genutzt haben, um sich selbst wichtig zu machen, wie ihnen das in einer ARD-Reportage bereits 2019 vorgeworfen wurde, ist nochmal ein anderes Thema.
Mitglieder prüfen bereits Konsequenzen
Allerdings gibt es durchaus auch Unternehmen, die über ernsthafte Konsequenzen aus der aktuellen Berichterstattung nachdenken. Schließlich hat der Cyber-Sicherheitsrat e.V. durch oft hochrangige Sprecher und Teilnahme von Vertretern aus Behörden und Politik an seinen Veranstaltungen eine Plattform geboten, sich als seriöses Unternehmen zu profilieren - und zumindest den Eindruck zu erwecken, ein maßgeblicher Player der IT-Security-Branche zu sein.
Firmen, die das tatsächlich sind, haben verständlicherweise wenig Lust, durch Trittbrettfahrer jedweder Art in ein schlechtes Licht gerückt zu werden oder sich dem Vorwurf auszusetzen, selbst in undurchsichtige Machenschaften verwickelt zu sein.
"Die Vorwürfe sind beunruhigend und die dynamische Entwicklung der letzten Tage macht eine Überprüfung notwendig", sagt auf Anfrage von ChannelPartner etwa Kai Grunwitz, Geschäftsführer von NTT in Deutschland. "Wir werden intensive Gespräche zur Aufklärung der Sachlage führen. Sollten sich im Rahmen dieser Diskussionen die Vorwürfe erhärten und nicht rasch im Sinne der Sicherheit deutscher Infrastruktur vor Cyber-Angriffen geklärt werden, behalten wir uns die Option zum Austritt vor. NTT steht für Sicherheit, Transparenz, Glaubwürdigkeit und demokratische Werte. Die Mitgliedschaft in einem Verband, der diesen Kriterien nicht gerecht wird, ist damit unvereinbar."
Ähnlich äußert sich ChannelPartner gegenüber auch Dr. Stephan Frohnhoff, Vorstandsvorsitzender der MSG-Gruppe: "Als MSG-Gruppe setzen wir uns mit unseren Expertinnen und Experten dafür ein, dass IT-Sicherheit bei Digitalisierungsprozessen auf der Grundlage demokratischer Prinzipien angemessen berücksichtigt wird. Vor diesem Hintergrund werden wir die Entwicklungen sehr genau prüfen und unsere Mitgliedschaft im Cyber-Sicherheitsrat e.V. überdenken."
Holger Suhl, Country Manager DACH bei Eset Deutschland, sieht ebenfalls Anaylsebedarf: "Die TV-Berichterstattung im ZDF nehmen wir zum Anlass, unsere Mitgliedschaft im Cyber-Sicherheitsrat Deutschland e.V. nach Analyse aller Fakten neu zu bewerten", sagt der Manager auf Anfrage von ChannelPartner. "Als europäischer Hersteller ist Eset Deutschland Mitglied in vielen weiteren deutschen IT-Verbänden, wie beispielsweise im Bitkom, eco oder TeleTrust."
Suhl stellt aber auch klar, dass ein Teil der im ZDF gegen den Verein erhobenen Vorürfe aus seiner Sicht nicht zutrifft: "Für uns war zu jeder Zeit klar, dass es sich beim Cyber-Sicherheitsrat Deutschland e.V. um einen privatwirtschaftlichen Verband handelt, der nicht im Namen der Bundesrepublik Deutschland agiert.“
Auch bei CyberArk ist man verstimmt. Dort hat man sich jedoch bereits zur Abkehr von dem Verein entschlossen: "CyberArk konzentriert sich ausschließlich auf die gemeinsamen Bemühungen mit unseren Kunden und Partnern, bessere und zuverlässigere Cybersicherheits-Tools und -Strategien zu entwickeln. Das gilt sowohl für Deutschland als auch weltweit. Alles, was von diesem Ziel ablenkt, ist für unsere Kunden und Partner nicht hilfreich, daher werden wir Schritte unternehmen, um diese Zusammenarbeit zu beenden."
Update, 11.10.2022, 12 Uhr 40: Das Handelsblatt hat inzwischen bei börsennotierten Unternehmen nachgefragt, wie sie zu einer weiteren Mitgliedschaft stehen. Demnach haben Eon, EnBW, Teamviewer und Vattenfall ihre Mitgliedschaft beendet.
Einige von ChannelPartner befragte Firmenvertreter, die aber nicht genannt werden wollten, verwiesen zudem darauf, dass sie sich selbst als Opfer fühlen. Als international agierende IT-Security-Unternehmen seien sie in zahlreichen Ländern aktiv und in jedem davon in mehreren Verbänden und Gremien vertreten - einfach, weil IT-Security eine Team-Aufgabe sei, die sich nicht im Alleingang, sondern nur gemeinsam lösen lasse. Als Unternehmen sei es ihnen nicht zuzumuten, jeweils alle anderen Mitgliedsunternehmen auf deren Seriosität zu überprüfen. Das müsse schon die jeweilige Organisationsspitze tun.
Andere Verknüpfungen von IT-Security und Geheimdiensten
Daneben sei es gerade in der IT-Security-Branche nicht selten, dass Menschen nach einer Ausbildung in Geheimdiensten in Positionen bei Firmen wechselten oder sogar welche gründeten. Insbesondere in Israel sind Militär und Behörden geradezu eine Keimzelle für Security-Start-ups. Aber auch in den USA sind Verschränkungen von IT-Branche und Geheimdiensten nicht selten.
Mit In-Q-Tel unterhält die CIA sogar eine eigene Wagniskapitalsparte. Auf der offiziellen Liste der Investments von In-Q-Tel und in Veranstaltungsbroschüren des Unternehmens standen unter anderem Firmen wie Cloudera, MongoDB, Pure Storage, Tenable Network Security, Teradici und Veracode. Auch das später von HP gekaufte Arcsight, der Mobile-Security-Spezialist Lookout und der inzwischen mit McAfee zu Trellix fusionierte Sicherheitsspezialist FireEye sowie das 2019 in Blackberry aufgegangene Cylance gehörten dazu.