Der hessische Verfassungsschutz hat von möglichen Sicherheitsrisiken durch die IT-Firma Protelion erst aus den Medien erfahren. Dabei war die Firma mit Kontakten zum Geheimdienst in Russland beim Bundesamt schon länger bekannt.

Von Sonja Süß und Volker Siefert

Audiobeitrag

Audio

Bild © picture-alliance/dpa (Archiv)

Ende des Audiobeitrags

Der hessische Verfassungschutz hat nach hr-Informationen erst durch die Veröffentlichungen des "ZDF Magazin Royale" von möglichen Sicherheitsproblemen durch Produkte der IT-Firma Protelion vor wenigen Wochen erfahren. Und das, obwohl der Bundesverfassungsschutz seit Jahren über Risiken durch Verbindungen zu russischen Geheimdiensten informiert war. Die Erkenntnisse wurden offenbar nicht an alle Landesämter weitergegeben.

Firma als "kritisch" eingestuft

"Wo ein konkreter Verdacht bestand, hat die Bundesregierung entsprechend sensibilisiert", teilte das Bundesinnenministerium dem hr mit. Der hessische Verfassungsschutz, der nach eigenen Angaben vor der Medienberichterstattung Anfang Oktober "keine eigenen Erkenntnisse oder Warnmeldungen" zu Protelion hatte, will das nun ändern. Man stimme sich jetzt mit dem Bundesamt für Verfassungsschutz über geeignete Maßnahmen ab, teilte die Behörde dem hr mit.

Protelion hieß bis vor kurzem Infotecs und ist laut Bundesinnenministerium eine deutsche Tochterfirma der russischen Firmengruppe Infotecs OAO. Protelion-Produkte werden vom Bundesinnenministerium (BMI) als "kritisch" eingestuft. Infotecs Russland soll laut BMI bei der Beschaffung von Cyberangrifftools für den russischen Geheimdienst FSB beteiligt gewesen sein. Protelion hatte den Presseberichten Anfang Oktober widersprochen: Protelion sei nicht Infotecs Russland.

Der Gründer von Infotecs in Russland, Andrey Chapchav, soll an der Zusammenarbeit mit dem FSB beteiligt sein und "zumindest indirekt" auch die Geschäfte des deutschen Ablegers gesteuert haben, bestätigte das BMI dem hr. Experten befürchten, dass Russland über bestimmte IT-Programme auf sensible Daten und Infrastrukturen zugreifen könnte.

Hessische Partnerfirmen

Protelion sitzt in Berlin, ihre Produkte wurden aber auch über hessische Firmen verkauft: Bis zur Veröffentlichung des "ZDF Magazin Royale" am 7. Oktober waren zwei IT-Firmen aus Hessen als "Partner" auf der Internetseite von Protelion angeführt. Nach den ersten kritischen Presseberichten verschwanden alle deutschen Partnerfirmen von der Protelion-Webseite.

Eine der beiden Firmen sitzt in Frankfurt und warb noch im Februar für Soft- und Hardware von Protelion mit End-zu-End-Verschlüsselung für Firmennetzwerke. 2016 hatte die Firma ihre Partnerschaft mit Protelion - damals noch unter dem Namen Infotecs - verkündet und Datenspeicher und Cloud-Lösungen angeboten.

Der hr machte das Innenministerium in Wiesbaden darauf aufmerksam, dass die Frankfurter Firma auch mit Logos des Landes Hessen und der Stadt Frankfurt auf ihrer Seite warb. Diese hat die Firma auf Wunsch des Landes mittlerweile von der Seite entfernt.

Bund wusste seit Jahren von Risiken

Dass das Landesamt für Verfassungschutz nicht informiert war über möglich Risiken, ist zumindest erstaunlich, weil man in der Bundesbehörde schon einige Jahre lang Bescheid wusste: Nach Informationen des Nachrichtenmagazins Der Spiegel warnte der Bundesverfassungsschutz deutsche Kunden bereits 2019 vor dem Unternehmen und seinen Produkten. Zumindest in Bayern soll demnach auch das zuständige Landesamt informiert gewesen sein. Eine bayerische Firma bestätigte dem Spiegel, vom Verfassungsschutz gewarnt worden zu sein und daraufhin den Anbieter gewechselt zu haben.

In den USA wurde Infotecs bereits 2018 mit Sanktionen belegt: "Konkret wird dem Unternehmen vorgeworfen, die Aktivitäten böswilliger russischer Cyberakteure zu unterstützen", teilte das Bundesinnenministerium dazu mit. Nach Recherchen des ARD-Magazins "Kontraste" und der Wochenzeitung Die Zeit soll der Bundesverfassungsschutz bereits 2017 von den USA vor Infotecs gewarnt worden sein.

Landes-IT auf dem Prüfstand

Die Affäre um Protelion hat mittlerweile Konsequenzen in der Bundespolitik: Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, wurde am Montag abberufen. Er stand wegen möglicher mangelnder Distanz zu russischen Geheimdienstkreisen und dem umstrittenen Cybersicherheitsrat Deutschland e.v. in der Kritik.

Den Verein Cybersicherheitsrat hatte Schönbohm selbst gegründet. Auch Protelion war dort Mitglied, wurde aber in der vergangenen Woche ausgeschlossen. Andere Vereinsmitglieder wie die Stadt Frankfurt und die Commerzbank kündigten ihren Austritt an.

Beim Land Hessen hat man sich die eigene IT-Infrastruktur zur Sicherheit noch mal angeschaut: Man habe "intensiv geprüft" und keine Geschäftsbeziehungen zu Protelion gefunden, teilte das Innenministerium mit. Auch der Verfassungsschutz versicherte am Montag, keine Protelion-Produkte zu nutzen.