Gert Polli spricht über: Sicherheit
TRUPPENDIENST traf Dr. Gert Polli am 5. Oktober 2017. Der ehemalige Berufsoffizier mit letzter Verwendung im Heeresnachrichtenamt (HNaA), Gründer und erster Leiter des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT), ehemaliger Chef der Konzernsicherheit bei Siemens, Privatunternehmer im Bereich Intelligence/Security und Sicherheitsberater des BMI, spricht über seine Erfahrungen als Sicherheitsfachmann und Experte für Cyber Security.
TD: Herr Dr. Polli, Sie sind ein Sicherheitsfachmann mit weitem Horizont. Man kann bei Ihnen den Bogen vom fachlich versierten Privatmann über den Sicherheitsspezialisten für Großkonzerne, zum selbstständigen Sicherheits-Unternehmer bis hin zum ehemals militärischen, geheimdienstlichen und polizeilichen Sicherheitsspezialisten spannen. Viele Fragen drängen sich in diesem Kontext auf, von denen TD glaubt, dass Ihre Antworten unseren Lesern im alltäglichen Leben als Richtschnur für das eigene Sicherheitshandeln dienen können. Allen voran, stellt sich jedoch die allumfassende Frage: Was verstehen Sie unter „Sicherheit“?
Polli: Einen Sicherheitsfachmann wie Sie ihn ansprechen, gibt es so nicht. Deshalb nicht, weil Sicherheit in den vergangenen 30 Jahren zu einem inflationären Begriff wurde und fast jedem Bereich zugeordnet wird. Das Thema Sicherheit hat heute eine ungeheure Erweiterung erfahren. Im staatlichen Bereich ist das Thema Sicherheit europaweit zu einer ressortübergreifenden Materie aufgestiegen. In den Köpfen der staatlichen Akteure oder der Politik in Österreich ist das jedoch bis heute nur vereinzelt angekommen. Das bedeutet, dass Fachleute eine profunde Vorstellung davon haben müssen, wie sich das Bedrohungsspektrum und die damit zusammenhängenden Herausforderungen laufend verändern und was das für die Sicherheit und Gesellschaft bedeutet. Die Sicherheitsbedürfnisse der Bevölkerung sind dabei genauso zu berücksichtigen wie der enorme gesellschaftliche und industrielle digitale Wandel. Das findet seinen Niederschlag vor allem darin, dass die Zusammenarbeit der Ministerien in der öffentlichen Verwaltung neu zu denken ist. Die Zeiten der ministeriellen und persönlichen „Vorgartenpflege“ sind endgültig vorbei. Wichtiger ist vielmehr die Entwicklung von gemeinsamen Arbeitsweisen und ressortübergreifenden Strategien, um sich den neuen Anforderungen zu stellen. Schon aufgrund meiner Vergangenheit denke ich beim Thema Sicherheit an Synergien zwischen dem Verteidigungsressort und dem Ressort für Inneres; die Grenzen und Themen sind fließend geworden. Das bedeutet jedoch keineswegs, dass das Nebeneinander von innerer Sicherheit und Landesverteidigung zur Disposition stünde. Die Rahmenbedingungen zwischen äußerer und innerer Sicherheit sind neu auszulegen: Sicherheit beginnt nicht in Klosterneuburg und endet auch nicht im 10. Wiener Gemeindebezirk oder an der Staatsgrenze.
Wenn man durch Wien spaziert, sieht man Soldaten vor den diplomatischen Einrichtungen. Das war früher völlig undenkbar. Auch das ist ein Teilaspekt der Sicherheit. Diese endet nicht bei den Schlüsselressorts Verteidigung und Inneres. Sie umfasst Wissenschaft, Forschung, Ausbildung und Schulung und reicht sogar bis hin zu den Kindergärten und unserem Werte- und Bildungssystem. Was wir in Österreich noch nicht kennen, ist eine Institution, die die gesamten Aspekte der Sicherheit zusammenführt und koordiniert und der Politik Handlungsempfehlungen anbietet. Bereits 2001 wurde der Nationale Sicherheitsrat auf parlamentarischer Ebene etabliert. Die bisherige Praxis hat aber gezeigt, dass dieses hochrangige Steuerungsinstrument eher für politische Zwecke instrumentalisiert wird und wenig dazu beiträgt, nationale Sicherheitsprobleme zu lösen. Das ist bedauerlich und hat negative Konsequenzen für das Thema Sicherheit generell. Ich möchte zusammenfassen: Sicherheit ist ein sehr umfassendes Thema. Die einzelnen Aspekte dieses Segmentes sind so wichtig, dass sie zusammengeführt und in eine ressortübergreifende nationale Strategie gegossen werden müssen. Sicherheit ist für mich das zentrale Thema der kommenden Jahre. Es ist genauso für die Weiterentwicklung demokratischer Institutionen sowie für das Sicherheitsbewusstsein der einzelnen Bürger und die Weiterentwicklung der Ressorts essenziell.
TD: Sicherheit versus Freiheit: Geben wir zu viele bürgerliche Freiheiten auf, ohne dafür mehr reale Sicherheit zu bekommen?
Polli: Ich möchte die Frage ganz anders beantworten. Ja, es ist richtig, dass wir im Zuge der islamistischen Bedrohung in Europa eine ad hoc-Reaktion seitens der Politik, aber auch seitens der Bevölkerung erkennen: Das ist die Zunahme von Befugnissen für Sicherheitsbehörden und Nachrichtendienste.
Wenn Sie sich aber anschauen, wie der Zusammenhang zwischen dem Mehr an Befugnissen und der Verhinderung von Terroranschlägen tatsächlich aussieht, so könnte man ein anderes Bild von der Effizienz dieser Befugniserweiterung gewinnen. Von den 14 verheerendsten Terroranschlägen, inklusive jenen aus dem Jahr 2017, waren den Sicherheitsbehörden und Nachrichtendiensten sämtliche Täter bekannt - nicht zuletzt aufgrund der enorm ausgeweiteten Überwachungsbefugnisse und Aufwertung der Dienste europaweit. Dennoch waren die Sicherheitsbehörden, die Polizei und die Nachrichtendienste nicht in der Lage, solche Angriffe zu verhindern. Das bedeutet, dass Nachrichtendienste und Sicherheitsbehörden, die in diesem Segment arbeiten, gar nicht so schlecht aufgestellt sind, wenn es sich im Nachhinein herausstellt, dass alle Attentäter amtsbekannt waren. So muss man das auch einmal sehen, und das spricht für die Arbeit der Behörden und Dienste. Was läuft also falsch? Offenbar fehlen die Mechanismen, die Ressourcen, vor allem das Personal, so genannte „Gefährder“, die ohnehin erfasst sind, in ihrer Bewegungsfreiheit so zu kontrollieren, dass die Öffentlichkeit vor terroristischen Anschlägen geschützt ist.
Genau hier liegt das „Niemandsland“ der Gefährdungsabwehr. Dieser Umstand beschreibt das Manko der Rechtsstaatlichkeit und der Gesellschaft, aber auch der Sicherheitsbehörden. Hier zeigt sich die Schere zwischen der Erweiterung der Befugnisse und der Überforderung der Behörden, Anschläge zu verhindern. Ein Mehr an Befugnissen bedeutet nicht automatisch ein Mehr an Sicherheit. Diese Erkenntnis ist der Schlüssel für die rechtsstaatliche und sicherheitsbehördliche Gefahrenabwehr.
Aus dieser Erkenntnis darf man jedoch keine falschen Schlussfolgerungen ziehen: Wir diskutieren in Österreich beispielsweise die Frage, ob man den Sicherheitsbehörden die Möglichkeit geben soll, Verschlüsselungen durch richterlich genehmigte Installation von Schadsoftware zu umgehen, um die Kommunikation von Gefährdern auch kontrollierbar, nachvollziehbar und für die Behörden abhörbar zu machen. Wenn die Sicherheitsbehörden diese Befugnisse nicht haben, dann werden ihnen, à la longue gesehen, die künftigen Täter nicht bekannt sein. Das heißt, dass wir schon deshalb mit den technischen Standards Schritt halten müssen. Es ist allerdings diskutierbar, wann dieses Instrument einzusetzen ist und von welcher Behörde mit welchen Rechtsschutzmechanismen. Der Zusammenhang zwischen Überwachung und Sicherheit ist eines der größten sicherheitspolitischen Missverständnisse moderner Terrorismusbekämpfung. Und abschließend: Ja, wir geben die bürgerlichen Freiheiten nach und nach auf. Ein Mehr an Sicherheit erhalten wir dafür allerdings nicht.
TD: Wie hängt das mit der gefühlten Sicherheit versus der realen Sicherheit zusammen?
Polli: Das Thema „Terrorismus“ ist in den Medien und in der Politik unglaublich präsent. Begonnen hat dieser mediale Hype nach 9/11 im Jahr 2001 und hält bis heute unvermindert an. Man könnte den Eindruck gewinnen, dass sich die westliche Gesellschaft in einer Art Kriegszustand befindet. Wenn man, und das mache ich öfter, politisch interessierte Leute mit der Frage konfrontiert, was sie denn glauben, wie viele Tote durch islamistische terroristische Aktivitäten alleine in Europa von 2011 bis heute, zu beklagen sind, so bekomme ich regelmäßig Schätzungen von Opferzahlen zwischen 5 000 und 7 000. Die Realität ist jedoch eine ganz andere: Die Opferzahlen von Terroranschlägen in den letzten Jahren in Europa liegen weit unter diesen Schätzungen und sind mit etwa 250 Personen, inklusive Attentäter, zu beziffern. Es ist unfair, wenn man das mit den jährlichen Verkehrstoten in Europa vergleicht, deren Opferbilanz ungleich höher ist, gibt aber einen Eindruch der Dimension. Der Hype rund um die terroristische Bedrohung zeigt allerdings, welchen politischen und gesellschaftlichen Stellenwert dieses Thema vor allem medial hat. Noch ein Punkt dazu: Vor 9/11 in New York gab es das Problem des islamistischen Terrorismus in Europa nur eingeschränkt.
Ich will damit nicht sagen, dass die Probleme durch den islamistischen Extremismus auch hausgemacht sind. Sie wurden aber durch eine teilweise unreflektierte Anlehnung an eine amerikanische expansionsorientiere Außenpolitik nach Europa importiert. Denken Sie beispielsweise an die Politik des Regimewechsels im Irak, die durch zwei Irak-Kriege eine ganze Region nachhaltig destabilisiert hat. Oder denken Sie an die meist verdeckte Intervention der USA oder des NATO-Partners Türkei im Syrienkonflikt, um einen frühzeitigen Regimewechsel in Syrien herbeizuführen. Auch die militärische Intervention in Libyen mit der absehbaren Destabilisierung der südeuropäischen Gegenküste auf dem afrikanischen Kontinent sind heute sicherheitspolitische Glutnester für terroristische Aktivitäten in Europa. Zu diesen Destabilisierungstendenzen zähle ich auch die unkontrollierte Migration aus diesen geografischen Regionen, die kaum zu beherrschen ist. Das sind die eigentlichen Probleme, mit denen wir heute konfrontiert sind. Ich gehe auch nicht davon aus, dass sich die Wahrnehmung der Gefährdung aus Sicht der europäischen Bevölkerung in den kommenden Jahren wesentlich entspannt, im Gegenteil: Im September 2017 ließ der Präsident des deutschen Verfassungsschutzes mit seiner Einschätzung aufhorchen, dass der deutsche Verfassungsschutz mehr als 700 Gefährder am Radarschirm verfolge.
Noch dramatischer ist die feststellbare Tendenz der Zunahme islamisch-extremistischer Gesinnung in Deutschland. Laut deutschem Verfassungsschutz sei die Zahl der extremistischen dschihadistischen Personen innerhalb eines Jahres von 8 000 auf 10 000 gestiegen. Ich gehe davon aus, dass die Situation in Österreich ähnliche Tendenzen aufweist, denn die Gefährdungseinschätzung lautet in Österreich nicht wesentlich anders als in Deutschland. Trotzdem sind die österreichischen Sicherheitsbehörden in ihren Einschätzungen wesentlich zurückhaltender als die deutschen Kollegen. Ich denke, das wird sich in nächster Zeit ändern, und die Gefährdungswahrnehmung wird an Sensibilität noch zunehmen. Die Situation stellt sich insgesamt äußerst angespannt dar.
Einerseits nehmen die Gefährder zahlenmäßig genauso rasant zu wie die Anzahl der Salafisten. Andererseits sind Gewaltausbrüche einer sich aufheizenden Situation statistisch gesehen eher die Ausnahme als die Regel, auch wenn sich der Eindruck verfestigt hat, dass uns der islamistische Terrorismus jeden Tag in unseren Gewohnheiten einengt und beschneidet. Ich denke, dass diese Situation schon deshalb sehr bald kippen wird, da die Sicherheitsbehörden immer weniger in der Lage sind, die Vielzahl potenzieller Attentäter unter Kontrolle zu halten. So gesehen hat die gefühlte Sicherheit sehr wohl etwas mit realer Sicherheit zu tun!
TD: Was kann man für die Cyber Security tun beziehungsweise gegen die Bedrohungen im Netz?
Polli: Das Thema Cyber Security ist hoch brisant. Ihre dynamische Entwicklung hat ihren Ausgangspunkt in den USA genommen und ist nach Europa übergeschwappt. Die Bilanz ist ernüchternd und leider alles andere als ermutigend. Man hat den Eindruck, dass die Masse der privaten Internet- und Social Media-User bereits kapituliert hat. Sicherheit und „Privacy“ im Netz scheinen für private User eine immer geringere Rolle zu spielen.
Die Szenarien, mit denen der Staat, die Wirtschaft oder die Bürger konfrontiert werden, sind vielfältig und bei Weitem nicht nur militärisch. Im Wesentlichen geht es darum, dass das gesamte IT-Netz nicht nur fremdbeherrscht wird, sondern in hohem Grad anfällig gegen Hacker und Missbrauch ist. Zudem ist das Netz zu einem wesentlichen Element der elektronischen Kriegsführung und der politischen Manipulation geworden. Wenn man sich vergegenwärtigt, welche Angriffe auf IT-Systeme und kritische Infrastruktur ganz aktuell laufen, oder wie der Konflikt zwischen Nordkorea und den USA im Cyberbereich derzeit ausgetragen wird, nimmt das geradezu erschreckende Formen an. Das sind Informationen, die die Öffentlichkeit nur spärlich erreichen. Ich würde sogar so weit gehen, zu sagen, dass wir uns bereits mitten in einem Cyber-Krieg befinden. Akteure sind insbesondere die USA, Russland und China, aber auch Schwellenländer, gerade diese können zu einer Sicherheitsbedrohung der kritischen Infrastruktur aber auch für private Nutzer werden.
Die Frage, wie es soweit kommen konnte, dass unsere IT-Systeme so verletzbar sind, ist einfach zu beantworten. Verantwortlich dafür ist die einschlägige IT-Industrie, die über viele Jahre und Jahrzehnte Billigprodukte verbaut hat. Aus Kostengründen wurden IT-Elemente verbaut, die leicht zu penetrieren sind, sowohl von krimineller Seite, aber auch von den Diensten unter dem Deckmantel der Terrorbekämpfung. Das mag bei einem Haushaltsgerät uninteressant sein, ist aber bei Steuerungsmechanismen eines Atomkraftwerkes, in der Flugzeugindustrie bis hin zu privat nutzbaren PC sehr wohl von Bedeutung. Die gesamte kritische Infrastruktur steht plötzlich zur Disposition.
Es gibt weitreichende Bemühungen den Cyberabwehrbereich innerhalb der Streitkräfte zu organisieren. Das kommt in Österreich um Jahre zu spät. Wenn man sich ansieht, wer in Österreich die Cyberabwehr aufbaut, wie dieses Thema koordiniert wird, und welche Ressourcen dafür zur Verfügung stehen, erhält man den Eindruck, dass hier nachgebessert werden muss. Die Kooperation in diesem Sektor zwischen den Ressorts und der Wirtschaft kann man bestenfalls als „bemüht“ bezeichnen.
Aus staatlicher Perspektive geht es primär um das Thema „Schutz der kritischen Infrastruktur“. Ein weiteres Thema wird aber zusehends brisanter: die Cyberkriminalität, die jeden Einzelnen betrifft. Das Potenzial ist enorm mit einem schier unerschöpflichen Pool an Personal, Material und krimineller Energie. Angriffspunkte sind nicht nur Banken und die Wirtschaft generell, sondern vor allem jeder Internet-User.
Seit dem Ausgang der amerikanischen Präsidentschaftswahlen Ende 2016 sprechen wir von Meinungsbeeinflussung der potenziellen Wählerschichten durch gezielte Desinformation. Diese Dimension ist für die Öffentlichkeit neu. Information und Desinformation im Netz als gezielte politische Einflussnahme ist eine klassische nachrichtendienstliche Domäne. Zum ersten Mal in der kurzen Geschichte des cybergestützten Informationsaufkommens hat dieses nachrichtendienstlich gesteuerte Phänomen unsere Wohnzimmer erreicht. Ich denke, dass sich die Gesellschaft insgesamt vor solchen Manipulationen kaum schützen kann, weil sie verdeckt stattfinden und auf das Unterbewusstsein abzielen. Das ist eine Entwicklung, die ich äußerst kritisch betrachte.
Zu dieser Fehlentwicklung zähle ich auch Vorgänge im Umfeld von gesteuerten Kommunikationsstrategien, wie sie im Zuge der Parlamentswahlen in Österreich 2017 bekannt wurden. Fake News, als Instrument der politischen Meinungsmache, sind im weitesten Sinn ein Teil des politischen Cyber-Wars; organisiert von Medienprofis und bezahlt von politischen Parteien. Das sind absolute Fehlentwicklungen, die auf staatlicher Seite und auf privater Seite außer Kontrolle geraten sind. Davor schützen kann sich nicht einmal der kundige Nachrichtenkonsument!
Das Interview ist der Start der Online-Serie "Gert Polli spricht über".