Der Name der neuen Firma der Bundesregierung ist eigentlich ein Euphemismus, ein beschönigender Begriff: Agentur für Innovationen in der Cybersicherheit heißt das Konstrukt, das Innenminister Horst Seehofer und Verteidigungsministerin Ursula von der Leyen Ende August vorstellten. Verteidigungsministerin von der Leyen bemühte sich bei der Vorstellung der Pläne, vor allem die zivile Seite dieser Idee zu betonen. Und auf der Website des Innenministeriums heißt es, mit der kurz Cyberagentur genannten Einrichtung wolle man "Technologien mit Potenzial für Sprunginnovationen in der Cybersicherheit" fördern. Das ist jedoch nur die halbe Wahrheit. Bei der Cyberagentur geht es nicht allein darum, Forschung zu ermöglichen, die der IT-Sicherheit dient. 

Die ADIC – im ursprünglichen Titel hieß sie noch Agentur für disruptive Innovationen in der Cybersicherheit – soll eindeutig auch dabei helfen, Cyberwaffen zu entwickeln. Das belegt eine Antwort des Innenministeriums auf Fragen des Bundestagsabgeordneten der Linksfraktion Victor Perli. "Sowohl eine dem Auftrag der Aufrechterhaltung der Inneren Sicherheit dienende Verwertung im zivilen Bereich als auch die gezielte militärische Verwertung der Ergebnisse durch den Staat ist von Beginn an Teil des Konzeptes", heißt es in dem Papier des Innenministeriums, das ZEIT ONLINE vorliegt. Die ADIC wird also auch Forschung finanzieren, die digitale Waffen für Polizei und Militär hervorbringen soll, Hackerwerkzeuge.

"Digitale Hochrüstung"

Perli, der für die Linksfraktion Mitglied im Haushaltsausschuss ist, sieht darin "ein Programm für die digitale Hochrüstung". Die Bundesregierung wolle Parlament und Öffentlichkeit nicht verraten, was diese Agentur machen soll, sagt er. "Deutlich ist nur: Es geht auch um militärisch nutzbare, offensive Fähigkeiten und Cybergegenangriffe. Diesen Weg in die digitale Eskalationsspirale lehnen wir klar ab." 

Als ebenso nebelig erweist sich der bislang bekannte Finanzrahmen der Firma. Innerhalb der kommenden fünf Jahre erhalte die ADIC 200 Millionen Euro aus den Etats von Innen- und Verteidigungsministerium, hieß es bei der Vorstellung. Aus dem Papier des Innenministeriums geht nun allerdings hervor, dass es sich dabei nur um die Startfinanzierung handeln kann. Mittelfristig wird die ADIC viel mehr Geld bekommen. 

Für das Jahr 2018 sind zwar lediglich 15 Millionen Euro vorgesehen und für 2019 dann 50 Millionen Euro. Letztlich aber soll die ADIC jährlich "etwa 105 Millionen Euro" kosten. Allerdings stelle diese Zahl nur "eine grobe Orientierung" dar, schreibt das Innenministerium.

Vorbild Darpa

Der Wunsch der großen Koalition, dass der deutsche Staat eigene digitale Angriffswerkzeuge entwickeln soll, ist nachvollziehbar. Derzeit müssen Behörden wie das Bundeskriminalamt beispielsweise ihre Staatstrojaner genannten Spähprogramme auf dem freien Markt kaufen, weil sie selbst nicht in der Lage sind, fähige Versionen zu programmieren. Indirekt fördert deutsches Steuergeld damit Firmen, die ihre Werkzeuge auch an Diktaturen verkaufen. Bei einer bundeseigenen Firma würden das Geld und die Forschungsergebnisse zumindest im Land bleiben. 

Der Plan orientiert sich an den USA. Dort untersteht dem Verteidigungsministerium eine Behörde namens Darpa (Defense Advanced Research Projects Agency), die militärische Grundlagenforschung fördert. Die ADIC soll das gleiche tun. Sie werde Forschungsaufträge an Institute, Universitäten, Unternehmen und auch Einzelpersonen vergeben, schreibt das Innenministerium – für Projekte, "deren produktnahe Umsetzung noch nicht ersichtlich ist". 

Cyberwar statt ziviler IT-Sicherheit

Doch das Konstrukt enthält verschiedene Risiken. Die "Agentur" ist als bundeseigene GmbH geplant und wird daher nur von den beteiligten Ministerien kontrolliert, nicht vom Parlament oder anderen Gremien. "Hier wird ein Schattenhaushalt geschaffen, der pro Jahr 100 Millionen Euro und bis zu hundert Stellen der Kontrolle durch den Bundestag entzieht", sagt Perli dazu. Daher lehne die Linke solche Modelle politisch eigenständiger Agenturen in Staatsbesitz ab. 

Ein weiteres Problem ist der große Einfluss, den die Bundeswehr künftig auf das Thema Cybersicherheit haben wird. Innen- und Verteidigungsministerium sollen den Etat der ADIC zwar zu gleichen Teilen finanzieren. Doch ist die Agentur nicht das einzige Projekt dieser Art. Derzeit wird das ZITiS aufgebaut, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich. ZITiS soll für Polizei und Geheimdienste Werkzeuge entwickeln, mit denen diese Rechner und Smartphones auslesen, Verschlüsselungen knacken und Kommunikation überwachen können. 

Offiziell untersteht ZITiS allein dem Innenministerium, die Bundeswehr ist daran nicht beteiligt. Allerdings hat die Behörde Mühe, auf dem Arbeitsmarkt fähige Mitarbeiter zu finden, da sie keine konkurrenzfähigen Gehälter zahlen kann. Laut Innenministerium arbeiten derzeit erst 44 Spezialisten für Kryptoanalyse, digitale Forensik, Big Data und Telekommunikationsüberwachung dort. Geplant sind jedoch bis zu 400 Planstellen. Daher wird ZITiS auf dem Gelände der Bundeswehruniversität in Neubiberg direkt beim Forschungszentrum Cyber Defense angesiedelt werden und soll dort den benötigten Nachwuchs rekrutieren.

Bundeswehr mischt auch bei ZITiS mit

"Diese Dominanz der Bundeswehr lehnen wir ab", sagt der Abgeordnete Perli. Das für die Zukunft zentrale Politikfeld der Cybersicherheit sei zu wichtig, um es dem Militär zu überlassen. "Der Schutz vor digitalen Bedrohungen muss eine zivile Aufgabe sein." 

Der Unterschied zwischen beiden Konzepten ist erheblich. Denn damit verändert sich der Fokus vollständig. Zivile Cybersicherheit beschäftigt sich damit, Angriffe zu erkennen und abzuwehren, sie will in erster Linie digitale Systeme sicherer machen. Die Bundeswehr hingegen versteht unter Cybersicherheit neben dem Eigenschutz vor allem die Fähigkeit zum Gegenangriff auf die Angreifer und damit die Entwicklung eigener Waffen. Deutschland wird damit vielleicht wehrhafter – die digitale Welt aber wird auf jeden Fall unsicherer. 

"Projekte wie ZITiS und ADIC verwässern die Trennung von ziviler und militärischer digitaler Sicherheit", sagt Sven Herpig. Er war Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik sowie im Auswärtigen Amt und ist mittlerweile Experte für Cybersicherheitspolitik beim Thinktank Stiftung Neue Verantwortung. Die Vermischung sei problematisch, sagt er, denn es gehe dabei letztlich um aktives Hacking.

Ethische Kontrolle?

Und noch zwei weitere Probleme gibt es bei der ADIC: Für ihre Projekte ist bislang offenbar weder ein ethischer Rahmen festgeschrieben, noch sind Mechanismen vorgesehen, mit deren Hilfe Sinn und Fortgang der Projekte kontrolliert werden können. Dabei wäre beides dringend nötig, wie ein ähnliches Vorhaben auf EU-Ebene zeigt. Die Europäische Union gibt seit Jahren Milliarden aus, um Sicherheitsforschung voranzutreiben. Das erste Vierjahresprogramm dieser Art hieß FP7, der Nachfolger namens Horizon 2020 läuft noch. Beiden gemein ist, dass sie für die Sicherheit der Bürger und der Gesellschaft als Ganzes kaum etwas bringen, obwohl genau das ihr Ziel ist. Von dem Geld profitieren lediglich Forscher und Firmen, die es bekommen. Doch nur in den seltensten Fällen werden daraus fertige Sicherheitsprodukte. Und eine Evaluation der EU-Kommission ergab, dass diese Sicherheitsstudien sogar weniger wissenschaftliche Veröffentlichungen erbrachten als diejenigen Forschungsvorhaben, die von der normalen EU-Wissenschaftsförderung unterstützt werden.

Bei der Forschungsförderung anderer Ministerien sorgen daher Gutachter dafür, dass die eingereichten Projekte sinnvoll sind. Die Programmmanager der ADIC sollen ebenfalls von einem wissenschaftlichen Beirat beraten werden, antwortet das Innenministerium auf Nachfrage. Allerdings nur "bei Bedarf". "Der wissenschaftliche Beirat kann als beratende Instanz in den Priorisierungsprozess von Programmen und Projekten einbezogen werden", schreibt ein Sprecher des Ministeriums. Zusätzlich sei "eine regelmäßige Bewertung des Projektportfolios durch Einbezug von Gesellschafterin und Programmcontrollern" geplant. Von einer ethischen Kontrolle war nicht die Rede.