Sarah Zerback: Am Telefon begrüße ich jetzt den CDU-Abgeordneten Patrick Sensburg. Er ist außerdem Vorsitzender des NSA-Untersuchungsausschusses (*). Guten Morgen, Herr Sensburg.

Patrick Sensburg: Schönen guten Morgen! Ich grüße Sie.

Zerback: Kriminelle nutzen eine Sicherheitslücke aus, die der US-Geheimdienst NSA erst geschaffen hat. Das haben wir gerade gehört. Wer ist hier der Böse?

Sensburg: Wir müssen erst mal feststellen, dass wir immer wieder Hackerangriffe haben, dass wir immer wieder Attacken auf einzelne Rechner haben, auf ganze Netzwerke haben, die gekapert werden, und von daher ist es gar nicht aus meiner Sicht entscheidend, wer den ersten Schritt macht, oder im Grunde, ob sich etwas zurückverfolgen lässt. Der Punkt – und das haben wir ja auch eben gehört – ist: Kriegen wir unsere Infrastruktur sicherer? Ganz sicher werden wir sie nie kriegen, aber sicherer. Und da sind verschiedene Schritte notwendig und die werden ja jetzt auch von Fachleuten, von Experten diskutiert, und da müssen im Grunde Experten und Politik sehr eng zusammenarbeiten, weil es wirklich ein Feld ist, was sich unheimlich dynamisch entwickelt.

Zerback: Dann lassen Sie uns doch mal einen wichtigen Punkt herausgreifen, nämlich den Punkt, dass die Geheimdienste ja aktiv diese Sicherheitslücken selber nutzen und diese Informationen auch untereinander austauschen. Ist da eine Meldepflicht für die Unternehmen der richtige Weg, um dieses Risiko einzudämmen?

Sensburg: Ich glaube, ja. Wenn Sicherheitslücken bestehen, dann gibt es ja die Möglichkeit, die sind aktiv eingebaut, diese Backdoors, oder sie sind vielleicht hinterher erst wirklich sichtbar geworden. Ich glaube, dann besteht natürlich eine Meldepflicht, weil wir wollen diese Sicherheitslücken schließen. Und den Unternehmen, die Software nutzen oder auch die Technik nutzen, insbesondere Router, muss man eine Sicherheit geben, und von daher eine Meldepflicht ja. Ich glaube, dass Nachrichtendienste ganz andere Zugänge sich eröffnen. Es kann nicht über Sicherheitslücken und Backdoors passieren, schon gar nicht, dass diese bewusst in entsprechende Software oder gegebenenfalls auch Hardware eingebaut werden.

Zerback: Das sagen Sie jetzt so, Herr Sensburg. Aber ich könnte mir vorstellen, dass die Geheimdienste, die gerade zuhören, dagegen Sturm laufen, denn deren Arbeit wird natürlich dadurch massiv eingeschränkt, dass sie diese Lücken nicht mehr ausnutzen dürfen.

Sensburg: Zum einen kann man das aushalten, wenn Nachrichtendienste Sturm laufen, denn sie haben zu dienen. Sie haben ihren Staaten, ihren Regierungen, aber im Endeffekt damit auch der Bevölkerung einen Dienst zu erweisen. Sie haben keinen Selbstzweck. Sie haben die Regierungen zu informieren. Von daher haben sie nicht Sturm zu laufen, sondern ihren gesetzlichen Auftrag zu erfüllen. Das Zweite ist: Sie haben ganz andere Möglichkeiten, als ausschließlich Sicherheitslücken in Software zu nutzen. Von daher kann man sie auch darauf verweisen, dass es unterschiedliche Wege gibt, an Informationen heranzukommen.

Zerback: Über andere Möglichkeiten können wir noch sprechen. Aber läuft es nicht alles darauf hinaus, dass dort eine Abwägung stattfindet, was wichtiger ist, der Schutz vor Terrorismus oder Schutz vor digitalen Großangriffen? Was ist denn wichtiger, Herr Sensburg?

Sensburg: Ich glaube, wir sind jetzt sehr stark dabei, es auf die Nachrichtendienste zu konzentrieren, die einen minimalen kleinen Teil von Hackerangriffen, von Schadsoftware oder von Blockieren von Seiten ja wirklich vornehmen. Es ist ein minimaler Teil, auf den wir uns natürlich im Rahmen der politischen Kontrolle auch konzentrieren müssen. Aber wenn wir erleben, wieviel unterschiedliche Angriffe in sehr kurzer Zeit auf Netzwerke, auf einzelne Rechner, auf Unternehmen passieren, dann stellen wir fest, das kommt ja alles gar nicht von Nachrichtendiensten. Es kommt von dritter Stelle, es kommt von Konkurrenten, es kommt von Erpressern, wie die Schadsoftware jetzt auch immer. Von daher werden wir mit immer mehr Angriffen konfrontiert werden von unterschiedlichen Stellen, wo die Rückverfolgung im Einzelnen sehr schwer ist. Und das ist ja auch Teil dieses Systems, dass man möglicherweise andere Fährten setzt, dass man vielleicht nachverfolgen kann, es kommt aus einem osteuropäischen Land, obwohl der Hackerangriff im Grunde aus Südamerika gesteuert wurde. Ich würde mich nicht so stark darauf konzentrieren, können wir es verorten. Das ist immer interessant, gerade forensisch auch interessant, wer war es. Aber eigentlich darf es gar nicht erst zu einem Kapern eines Rechners, zu einem Lahmlegen eines Systems kommen. Da müssen wir besser werden.

Zerback: Jetzt hat Deutschland ja bei der jüngsten Attacke noch verhältnismäßig Glück gehabt oder war gut genug gegen diesen speziellen Angriff geschützt. Aber wir haben ja gesehen, was unter anderem in Großbritannien passiert ist, wie fragil kritische Infrastruktur ist. Das haben wir an Kliniken gesehen, die dort zum Ziel geworden sind. Wie gut ist denn unsere kritische Infrastruktur hier in Deutschland geschützt? Das sind ja Horrorszenarien, die man sich ausmalt, wenn man meinetwegen an Atomkraftwerke, an die Stromversorgung denkt. Wie fragil ist das?

Sensburg: Das ist richtig und auch wir in Deutschland hatten ja schon Angriffe auf Krankenhäuser, wo ganze Krankenhäuser im Grunde ihre IT runterfahren mussten und wie gesagt auch erpresst worden sind. Von daher: Das ist nicht nur jetzt in Großbritannien passiert. Wir hatten das auch schon in Deutschland. Von daher ist es ein sensibles Thema, wo wir mit dem IT-Sicherheitsgesetz natürlich einmal einen schnellen Informationsfluss wünschen, wo wir aber auch durch die Stärkung des BSI Akteure haben in Deutschland, die das Netz beobachten und sehr schnell Hinweise geben können. Aber wir sehen, dass viele Akteure notwendig sind. Das ist – und das ist in Ihrem Vorbericht ja angesprochen worden – zum einen eine ganz wichtige Aufgabe der beteiligten Unternehmen und Akteure, die dafür sorgen müssen, dass die Programme, die Software, aber auch gegebenenfalls Hardware – für mich ist das Thema Router ein wesentliches Thema - schnell im Grunde mit Sicherheitsinformationen versorgt werden, also geschützt werden können. Das sind die Updates und so weiter. Aber auch, dass Unternehmen gerade im Mittelstand dies leisten können. Da hilft zum Beispiel das BSI sehr.

Zerback: Das Bundesamt für Sicherheit in der Informationstechnik.

Sensburg: Richtig. Wir dürfen uns nicht nur auf unsere DAX-Unternehmen konzentrieren. Die deutsche Wirtschaft ist sehr stark geprägt durch den Mittelstand, die es sich oft gar nicht leisten können, eigene IT-Experten zu haben.

Zerback: Entschuldigung, wenn ich Sie da unterbreche. Aber wir dürfen uns auch nicht nur auf die Wirtschaft konzentrieren. Die Regierungsnetze sind jetzt zwar verschont geblieben, aber wir wissen ja, dass das Netz des Bundestages täglich attackiert wird. Da kursieren ja Zahlen, das sind bis zu 3.600 Angriffe pro Tag. Es gibt also da auch zahlreiche Sicherheitslücken in der Infrastruktur. Davor warnen zumindest Experten. Wann werden die denn geschlossen?

Sensburg: Die großen Attacken auf den Deutschen Bundestag – die Zahl haben Sie ja gerade genannt – werden abgewehrt. Wir hören immer wieder die Einzelfälle, wo uns das nicht gelungen ist.

Zerback: 2015 zum Beispiel der große Hack des Bundestages.

Sensburg: Ganz genau. Und da muss man ja auch sagen, wenn man das untersucht, ist das wie in diesem Fall ein sehr breit gestreuter Trojaner, wo man ja noch rätselt, haben das wirklich Experten gemacht, oder ist man da mit begrenztem Knowhow herangegangen, weil die Streuung – Sie haben es ja gesagt – zwischen einem Automobilunternehmen, der Deutschen Bahn und Krankenhäusern ist ja sehr groß. Es war also nicht sehr punktgenau. Der Angriff auf den Deutschen Bundestag war angeblich, wenn man den Experten glaubt, relativ punktgenau, also mit einem größeren Know-how. Was will ich damit sagen? Ich will damit sagen, dass wir in vielen Fällen in den Regierungsnetzen mit hohem Know-how Angriffe abwehren können. Das gelingt nie hundertprozentig. Es ist ja auch ein Wettspiel zwischen Hackern und denjenigen, die ihre Infrastruktur schützen. Aber die große Masse an Netzwerken, an Rechnern in der deutschen Wirtschaft, im privaten Bereich schafft natürlich die Möglichkeit, Rechner zu bündeln, Attacken zu fahren. Und die Wirtschaft, gerade die mittelständische Wirtschaft hat natürlich nicht die Möglichkeit, mit großen IT-Abteilungen sich zu schützen. Deswegen braucht es Partner, deswegen müssen wir die Partnerschaft zwischen Wirtschaft und BSI in diesem Falle, aber auch anderen Akteuren, zum Beispiel den Industrie- und Handelskammern, stärken, damit wir nicht einen großen Bereich haben, der angreifbar ist und dann möglicherweise auch zum Beispiel beim Blockieren von Webseiten als sogenanntes Botnetz dienen kann.

Zerback: Herr Sensburg, noch ganz kurz zum Schluss, wo wir Sie gerade als Geheimdienstexperten am Telefon haben. Sie haben verfolgt, wie offen Donald Trump mit streng geheimen Informationen umgeht. Was heißt das für die Geheimdienstarbeit? Ganz kurz zum Schluss: Inwieweit wird die beeinflusst sein?

Sensburg: Ich gebe jetzt keine Ratschläge für andere, aber natürlich ist gerade im nachrichtendienstlichen Bereich, wo es ja wirklich auch um die Bekämpfung zum Beispiel von kriminellen Hackern geht, die auch Attacken gegen Kernkraftwerke vielleicht fahren wollen, da ist die vertrauliche Zusammenarbeit wichtig. Und da würde ich mir schon wünschen, dass man geheime Informationen auch untereinander geheim hält.

(*) In der Audio-Fassung sagt die Moderatorin versehentlich "NSU-Untersuchungsausschuss".