Archiv für den Monat: Juli 2026

Angeblicher Skandal beim CISPA – Bullshit?

Überschriften mit Fragezeichen sind ja top zur Clickbait-Generierung. Und zum „sich-einen-schlanken-Fuß-machen“ 🙂

Ich habe am Freitag bei „Forschung aktuell“ über das Thema berichtet. Leider aus meiner Sicht im Ergebnis etwas suboptimal – wir hatten da in der Live-Situation in der Sendung weniger Zeit als eigentlich geplant. Da fiel aus Live-Zeitgründen eine wichtige Information raus – dass nämlich das CISPA kein Geheimnis-produzierendes Institut ist, sondern dass qua Auftrag und eben auch in der Realität alle Forschungen veröffentlicht werden und dass es also insofern grundsätzlich nur ein sehr kleines zeitliches Fenster für einen angeblichen oder vermuteten Geheimnis-Abfluss geben kann.

Bei wirklich sicherheits-kritischen Erkenntnissen (und eben längst nicht alle Forschungs-Themen des CISPA sind im Sinne einer „Gefährdung der Interessen der Bundesrepublik Deutschland“ wirklich sicherheitskritisch…) – also vielleicht eben mal bei Side-Channel-Angriffen gegen Prozessoren und einer etwaigen Gefährdung von Cloud-Diensten – da würde ein Geheimnis-Abfluss eigentlich nur in der Non-Disclosure-Phase möglich bzw. relevant sein – der Phase also, in der betroffene Software- oder Hardware-Hersteller vorab und vertraulich infomiert werden, um die entdeckten Lücken zu fixen.  (Und auch da würde ich mal annehmen, dass auch westliche CERTS und Geheimdienste informiert werden.)

Friede, Freude, Eierkuchen kurz vor der „Affäre“

Noch mal ein paar Anmerkungen zu der angeblichen Enthüllungs-Recherche der Handelsblatt-Kollegen – die Besetzung der Arbeitsgruppen am CISPA war völlig transparent auf der CISPA-Webseite dokumentiert. Die Antwort auf die Handelsblatt- Interview-Frage an den Präsidenten der Helmholtz-Gesellschaft, Martin Keller…

Wir fragen uns, warum bestimmte Vorgänge beim Cispa nicht schon früher aufgefallen sind – zum Beispiel, dass die Forschungsgruppe des Zentrumleiters überwiegend aus Forschern mit chinesischen Wurzeln besteht.

…hätte lauten können: „Na ja, wenn Sie mal einfach auf der Webseite des CISPA nachgeschaut hätten, hätten Sie diese Besetzung seit eh und je völlig transparent dort sehen können, da gab es kein Geheimnis oder nichts, was erst jetzt hätte auffallen müssen.“

Stattdessen hat Herr Keller allen Ernstes gesagt:

Ich möchte ausdrücklich betonen: Nicht alle chinesischen Staatsbürger sind schlechte Menschen.

Dazu möchte ich mal vorsichtigerweise nichts sagen 😡

Die Präsidentin des BSI, die von mir sehr geschätzte Claudia Plattner, hat ja angeblich laut Handelsblatt gesagt (fragt sich nur noch, auf welche Frage genau… 🙂 )

„Die Problematik, wie sie dort vorliegt, ist uns seit Langem bekannt und bewusst“.

Und weiter: „Ihre Behörde habe sich bereits mit dem Thema befasst. Nun müssten die Stellen, die sich aktuell damit beschäftigten, ihre Arbeit machen. „Wir werden alles tun, sie dabei bestmöglich zu unterstützen“, sagte Plattner.“

Das ist recht drollig – das BSI ist im Aufsichtsrat des CISPA vertreten, in Person des stellvertretenden BSI-Präsidenten. Das Forschungsministerium ist auch vertreten, und das Land Saarland. Ich bin selbst Aufsichtsrat. Wenn ein Aufsichtsrats-Mitglied ein schwerwiegendes Problem im Geschäftsablauf des zu beaufsichtigenden Unternehmens erkennt, ist es verpflichtet, dem nachzugehen und das ggf. auch aus dem Aufsichtsrat hinaus zu eskalieren. Das Narrativ, das im Handelsblatt-Artikel erzählt wird…

Im Aufsichtsrat soll es immer wieder Debatten und Streit wegen der China-Problematik gegeben haben. Eine Mehrheit für Veränderungen sei aber nicht zustande gekommen, allein in einem Fall sei nach dem Angriff Russlands auf die Ukraine ein Vorhaben Backes’ vom Aufsichtsrat abgelehnt worden. Zeitweilig habe der Bund sogar den Vorsitz des Kontrollgremiums nicht besetzen können, obwohl ein Vertreter des Bundes im Gremium saß.

…ist meines Erachtens: Bullshit. Der Bund und das Saarland sind die Gesellschafter und Haupt-Finanziers des CISPA. Auch wenn da tatsächlich im AR keine Mehrheits-Entscheidung im Sinne etwaiger angeblicher Bedenken gegen die China-Connection zustandegekommen sein soll (was noch mal völlig unwahrscheinlich ist, und so eine totale Konflikt-Situation im AR wäre auch aufgefallen, was aber offenbar nicht der Fall war…) – dann hätten BSI und Forschungsministerium jederzeit die Möglichkeit gehabt, die Bedenken auch über andere Kanäle, und sei es nur ein kleines Interview, zu signalisieren. Stattdessen gab es: Nix. Und einen schönen Feier-Bahnhof anlässlich der Etat-Aufstockung und des geplanten neuen Campus des CISPA in St. Ingbert.

Um da also noch mal auf die – hoffentlich im richtigen Kontext zitierten Worte der geschätzten BSI-Präsidentin einzugehen: Die Stellen, „die sich aktuell damit beschäftigen, und ihre Arbeit machen müssen“ – das ist/war, sorry – genau der Aufsichtsrat des CISPA selbst und damit u.a. auch das BSI. Ich erinnere in diesem Zusammenhang mal an den Bullshit rund um die Ablösung des früheren BSI-Präsidenten Arne Schönbohm – (mit dem ich keinerlei Vertrag habe, ich hasse nur Bullshit…) in der angeblichen Böhmermann- und angeblichen Russland-Affäre.

Auch in der aktuellen CISPA-Affäre schwingt offenbar heftig Bullshit mit. Das ganze Gemunkel und Geraune in den Handelsblatt-Artikeln – „alle Chinesen sind verpflichtet, mit dem chinesischen Geheimdienst zusammenzuarbeiten“ – ok, dann müssen eben alle raus aus Deutschland. „Verbindungen mit Angehörigen problematischer chinesischer Universitäten“ – ok, wie sehen diese Verbindungen denn genau aus? Es gibt keine Verbote der Zusammenarbeit, US-Embargovorschriften sind aus gutem Grund hierzulande erstmal nicht bindend.

„Einschätzungen von Experten“; klar, nämlich von Leuten mit US-Ticket („Think-Tanks“) und dem schlichten interessens-/wirtschaftspolitischen Narrativ, China rauszukicken. Äußerungen wie von Herrn Kiesewetter nach der Bahnfunk-Panne, jetzt müsse man aber sofort alle China-Technik rausschmeißen, sind da für die Mischung aus Ahnungslosigkeit oder vermutlich eben doch überwiegend klarer Interessens-Agenda symptomatisch. Wobei momentan in Wirklichkeit die Frage ist, wer eigentlich unser/Deutschlands verlässlicher strategischer Tech-Partner ist – der irre US-Präsident ganz gewiss nicht, der auch mal ganz ungerührt eben den Stecker zieht, wie gerade bei Anthropic demonstriert.

Ich habe auch mal selbst die „KI-unterstützte“ Recherche der Handelsblatt-Kollegen so ansatzweise versucht nachzuvollziehen. Bei mir liefert die KI wie üblich völligen Halluzinations-Bullshit: Angeblich überwiegend mit Chinesen besetzte Arbeitsgruppen, in der nach meiner händischen Überprüfung kein einziger Chinese ist. „Oh Entschuldigung, Du hast vollkommen recht, ich habe da wohl etwas verwechselt.“ Es gibt zig Namensverwechselungen auf Basis der transkribierten chinesischen Namen. Da könnte man auch noch mal die Daten-Basis der Vorwürfe checken.

Mit KI-Hilfe findet man auch einfach eine CISPA-Publikation, in der alle Ko-Autoren Chinesen sind, darunter eine Forscherin an einer der „problematischen“ Seven-Sons-of-Defense-Universitäten. Die Studie ist zudem von chinesischen Institutionen finanziert. Ein super-problematischer Super-Treffer im Sinne eines vermeintlichen Skandals also. Des Rätsels Lösung: Der Hauptautor hat die Studie vor seinem CISPA-Engagement durchgeführt und geleitet und nach seinem CISPA-Start einfach nur unter „CISPA“ als seinem aktuellen Standort gelabelt. Das Thema bzw. Forschungsgebiet der Studie ist übrigens sicherheitspolitisch nicht kritisch für Deutschland. 🙂

Ob es tatsächlich irgendwelche problematische Vorgänge gegeben hat am CISPA – das muss natürlich jetzt die Sonderprüfung herausfinden. Und ok – warum eine Arbeitsgruppe an einem deutschen Institut komplett aus chinesischen GastwissenschaftlerInnen bestehen muss, das erschließt sich mir auch nicht. Welcher Mehrwert für das Institut dahinter stecken könnte, ob da nicht im Gegenteil eine einigermaßen ausgeglichene Zusammensetzung per se für bessere Kommunikation, Transparenz, Kontrolle und auch für einen besseren Wissens-Austausch sorgen würde – da scheint mir die Antwort ziemlich klar. Und insofern die Konstellation am CISPA bei der Backes-Arbeitsgruppe suboptimal. Auch wenn der vielleicht in Wirklichkeit federführende chinesische Kollege am Institut meiner Einschätzung nach auch wiederum auf weniger sicherheitskritischen Themenfeldern unterwegs ist und das Geheimnis-Abfluss-Potential mir dort sehr gering scheint.

Ähnlich zusammengesetzte Arbeitsgruppen gibt es allerdings auch an anderen Instituten in Deutschland, auch Exzellenz-Instituten auf dem Gebiet der IT-Security. Von anderen technischen Disziplinen mal ganz zu schweigen. Ein Motiv dafür hat mir eine Koryphäe für IT-Security an einer ausländischen Uni genannt: Chinesische Doktoranden oder Post-Doc-Kandidaten sind im Gegensatz zu deutschen oder europäischen oder amerikanischen extrem fokussiert und leistungsbereit. Insofern gibt es einen immer weiter laufenden Trend zu chinesischer Besetzung – und jetzt nach dieser „Affäre“ laut meinen Hintergrund-Gesprächen gerade in einem großen Teil der Wissenschafts-Community auch: Panik. Wenn das nämlich so easy geht, dass man von heute auf morgen durch eine Artikel-Serie in einer fachfremden Zeitung bei an sich völlig offenliegenden Fakten abserviert werden kann – dann droht das ja potentiell auch noch anderen Instituts-LeiterInnen.

Ich habe keinerlei tiefere Einblicke in die Tätigkeit von Michael Backes am CISPA. Ich höre aus Hintergrund-Gesprächen – und genauso wird das ja auch in der Handelsblatt-Story insinuiert: Er hat sich möglicherweise „Feinde gemacht“, vielleicht ja auch Fehlentscheidungen getroffen. Für mich sieht die ganze Aktion aber momentan nach einer Kampagne aus, in der das Handelsblatt samt entsprechend gestreuter und dann als angebliche Enthüllung verkaufter Informationen den „Königsmörder“ gemacht hat. Der sauberere und fairere Weg wäre gewesen – wenn da doch angeblich klare Hinweise auf problematische Vorgänge bekannt waren, dann hätten Gesellschafter, Aufsichtsrat und ggf. Verfassungsschutz intervenieren können. Mit einem Warnschuss, oder einer eventuellen Nicht-Verlängerung des Vertrages.

Aber doch nicht mit einer offenbar lancierten Kampagne, in der rumgemunkelt und mit klar fehlendem Fachwissen rumgeschwurbelt wird. Ich bin jetzt sehr gespannt auf die etwaigen Entdeckungen des Sonderprüfers Alexander Geschonnek. 🙂