Welche Konsequenzen zog der Verfassungsschutz aus den Snowden-Enthüllungen?

Hans-Georg Maaßen, der Präsident des Bundesamts für Verfassungsschutz, hat gestern auf dem 6. Stuttgarter Sicherheitskongress der IHK einen Vortrag über „Wirtschaftsspionage im digitalen Zeitalter und ihre Abwehrmöglichkeiten“ gehalten. Dabei hat er auch die Konsequenzen erwähnt, die er und seine Behörde aus den Enthüllungen von Edward Snowden gezogen haben: Das Bundesamt für Verfassungsschutz habe intern überprüft, wer auf welche Daten Zugriff hat. Keine Rede von strafbarer Spionagetätigkeit von Freunden, kein Hinweis zu intensivierender Spionageabwehr oder ähnlichem, in seinem ganzen Vortrag nicht. Dauernd mussten die Chinesen oder andere asiatischen Mächte als Quelle für Wirtschaftsspionage herhalten. Von den USA war keine Rede, die NSA hat er nicht erwähnt. Ja, hallo? Da deckt ein Whistleblower auf, dass auch die deutsche Bevölkerung und Wirtschaft jahrelang von einer befreundeten Macht überwacht wird, und alles was dem Verfassungsschutz-Chef einfällt ist, wie man sich vor Whistleblowern und Innentätern schützen kann?

Später habe ich ihn dann gefragt, ob die Enthüllungen Snowdens auch eine Veränderung bei der Spionageabwehr mit sich ziehen würden, sprich: ob man nun auch bei befreundeten Nationen genauer hinschauen würde. Er antwortete, dass die NSA in Deutschland primär dazu da sei, die Missionen der USA in Afghanistan etc. nachrichtendienstlich zu flankieren.

„Das wollte jede Bundesregierung und ich denke, das ist in Deutschland nach wie vor noch Konsens.“

Dass eine nachrichtendienstliche Aufklärung in Kriegsgebieten nötig ist, daran habe ich natürlich auch keine Zweifel. Aber die Frage ist, was die Dienste denn sonst noch so treiben und ob sie aus Deutschland ihren Blick wirklich nur gen Afghanistan, Irak und so weiter richten.

Aber dann wurde er dann zwischen den Zeilen deutlicher: in der Vergangenheit habe man sich bei Spionagetätigkeiten befreundeter Nationen nichtöffentlich auch mal mit einem kleinen Gewitter gestritten. Aber es seien Einzelfälle gewesen, die zu den notwenigen Konsequenzen geführt hätten.

Aber wir haben niemals unsere westlichen Partner systematisch beobachtet. 

Das kann man indirekt als Vorwurf verstehen: aber die haben das gemacht. Man kann natürlich nicht erwarten, dass der Verfassungsschutz-Chef nun sagt: die bösen Amis, wir müssen sie alle verjagen. Aber mit der gebotenen freundlichen Diplomatie wurde deutlich: da soll nun auch genauer aufgepasst werden. So verwies er auch darauf, dass die Spionageabwehr nun einen „360-Grad-Blick“ bekommen soll. Sprich: auch wenn sie sich weiterhin primär gegen Osten wendet, soll den westlichen Partnern genauer auf die Finger geschaut werden. Wir werden es sehen.

Eine andere Frage von mir hat Maaßen aber geflissentlich ignoriert: Ob die Enthüllungen Snowdens denn nicht auch dazu geführt haben, dass man sich bei den deutschen Diensten fragt, ob wirklich alle Maßnahmen die man so durchführt auf dem Boden einer freiheitlich-demokratischen Grundordnung stehen …

Aber auch einige andere Aussagen aus Maaßens Vortrag sind interessant: 

Ich glaube, dass wir mit Blick auf die IT-Sicherheit in Deutschland nicht gut aufgestellt sind.

Da stimme ich durchaus zu. Passend dazu sagte er aber auch:

Es wäre zwecklos, jede E-Mail zu kryptieren.

Stattdessen müsste man die „Kronjuwelen“ und wichtige Informationen schützen. Dem möchte ich ausdrücklich und eindringlich widersprechen: Es ist gerade wichtig, Verschlüsselung von E-Mails sowohl auf dem Transportweg als auch Ende-zu-Ende alltäglich werden zu lassen. So dass man sich als Nutzer keine Gedanken mehr darüber macht und auch nicht vergisst, wichtige Informationen zu verschlüsseln! Ich arbeite derzeit als Datenbank-Administrator beim Elster-Projekt. Jeder neue Kollege muss sich als eine der ersten Handlungen einen PGP-Schlüssel zulegen, da wir auch mal nicht-öffentliche Daten herumschicken müssen. Jeder Kollege und externe Mitarbeiter oder Mitarbeiter bei einem Dienstleister hat einen PGP-Key. Und ich habe mein Mailprogramm so eingestellt, dass E-Mails zwangsweise automatisch verschlüsselt werden. Ich kann also gar nicht aus Versehen mal sensible Informationen per Mail verschicken. Im Unternehmens-Umfeld sollte dies Standard sein – und mit entsprechender Software ist es auch komfortabel: Ich muss nur ein mal am Tag ein zusätzliches Passwort eingeben, der Rest geschieht automatisch.

Dass der Verfassungsschutz aber nicht will, dass Verschlüssellung alltäglich genutzt wird, das ist klar: denn dann kann er selbst auch nicht mehr mitlauschen …

Zurück zu Verfassungsschutz-Chef Maaßen. Er sagte dann noch mit Blick auf die Gefahren im Netz:

Es gibt politische Aktivisten, die das Netz zur Sabotage oder Desinformation nutzen.

Es gibt  nichts, was es nicht gibt, aber ich finde es bemerkenswert, dass er dies ausgerechnet bei einem Vortrag zum Thema Wirtschaftsspionage vor Unternehmensvertretern erwähnt. Nur ein zu vernachlässigender Bruchteil der vorhandenen Gäste wird sich jemals mit politischen Aktivisten auseinandersetzen …

Aber immerhin, so sagte er, habe die Debatte um Snowden doch ein positives: Das Thema IT-Sicherheit spiele in Unternehmen nun eine größere Rolle als zuvor, und er appelierte daran, dass die Unternehmensleitung selbst sich damit beschäftigen müsse. Da widerspreche ich ihm nicht.