Tschechien ist im Bereich Cyberabwehr führend. Zuletzt machten die Behörden in Prag mit einer Warnung vor dem chinesischen Technologiekonzern Huawei von sich reden. Ein Lokalaugenschein in einem Abwehrzentrum.
Prag. Am Ende, sagt Milan Balazik, geht es um das Erlebnis. Darum, dass das Kraftwerk nicht nur in der Simulation ausfällt, sondern auch der Turbinenraum raucht. Dass die Monitore in Echtzeit anzeigen, wie das Image der Bank in den Keller rasselt, wenn die Online-Konten gesperrt sind. Dass die Sirene angeht und die Jalousien nach unten fahren, wenn das Sicherheitsunternehmen attackiert wird. "Der Stress gehört dazu, wie bei einer richtigen Attacke", sagt er. Bricht dann manchmal auch Panik aus? Balazik lacht. "Alles schon vorgekommen."
In einer Villa am südlichen Prager Speckgürtel, wo sanfte, grüne Hügel das Umland formen, liegt das Trainingszentrum von Cyber G. Eine hohe Steinmauer zieht sich um eine Villa aus rotem Backstein und weißer Stuckatur und den perfekt getrimmten Rasen, in der Nachbarschaft stehen die Häuser von Promis wie Karel Gott. Das Schwimmbecken in der großen Lobby, wo die Gäste empfangen werden, wurde mit Parkett überdeckt. Doch hier werden keine Poolpartys gefeiert oder pompöse Empfänge gegeben. Sondern für den Ernstfall, die Cyberattacke, geprobt.
Wenn der "Training Arena Manager" Balazik - grauer Oberlippenbart, Blue Jeans und Poloshirt - durch die Räume führt, ist er ganz in seinem Element. Seine Augen leuchten, wenn er den nachgebauten Turbinenraum im Keller betritt oder beim Transformator warnt: "Bitte nicht anfassen, das ist wirklich unter Strom!" So echt wie möglich sollen seine Kunden hier erleben, wie es ist, im Netz angegriffen zu werden. Hier trainieren nationale und internationale Unternehmen, aber auch staatliche Einrichtungen für den Ernstfall. Fünf Tage lang sind sie das "blaue Team", das von den von Balazik instruierten Hackern, dem "roten Team", angegriffen wird. Kostenpunkt: rund 60.000 Euro. Abgeschottet von ihrer Umgebung, eine halbe Stunde Autofahrt von Prag entfernt. Ein Bootcamp zur Cyberabwehr.
Chefsache Cybersicherheit
Tschechien ist der neue internationale Champion bei der Cyberabwehr. Zumindest dann, wenn man dem Nationalen Cyber-Security-Index (NCSI) glauben darf: Das Ranking, das von der Organisation e-Governance Academy, einer Initiative der Vereinten Nationen, mit Sitz in Tallinn ausgestellt wird, bewertet, wie gut die Staaten für Cyber-Attacken gerüstet sind. In diesem Jahr landete das zehn-Millionen-Einwohner-Land erstmals auf Platz eins, noch vor Estland und Spanien. Deutschland liegt auf Rang sieben, die USA auf Rang 29. Da die Experten bei den Daten auch auf die Mitarbeit der Behörden vor Ort angewiesen sind, fehlt Österreich in diesem Ranking, so eine NCSI-Sprecherin auf Anfrage.
Besonders punktet Tschechien beim Schutz persönlicher Daten und der staatlichen Cybersicherheit, so die Experten. Dass Cybersicherheit in Tschechien inzwischen zur Chefsache erhoben wurde, lässt sich an einem heißen Maitag nahe der Prager Burg beobachten. In einem weiß getünchten Jugendstilsaal des tschechischen Außenministeriums hat Premierminister Andrej Babis zur "Prague 5G Security Conference" geladen. Ausgerechnet in jenem Saal, in dem 28 Jahre zuvor der Warschauer Pakt aufgelöst worden war. Doch heute geht es nicht um Militärbündnisse, sondern um den neuen Netzwerkstandard 5G. Wie in vielen anderen Ländern auch, wird in Tschechien diskutiert, wer den Mobilfunkstandard der fünften Generation, der das mobile Internet schneller, besser und leistungsstärker machen soll, künftig ausstatten wird. "5G wird ganze Industrien und das digitale Ökosystem verändern, bisher einzigartig in der Geschichte", sagt Babis in seiner Rede. "Aber das erhöht auch unsere Abhängigkeiten. Cyber-Sicherheit muss dabei von Anfang an unsere Priorität sein." Eine "geopolitische Bedeutung", die auch der Moderator betont.
Obwohl heute kein Sprecher den Namen in den Mund nimmt, geht es dabei vor allem um ein Unternehmen: den chinesischen Technologiekonzern Huawei. So gab die nationale tschechische Sicherheitsagentur für Cyber und Information (Nukib) im Dezember eine Warnung gegen Huawei heraus. "Die Verwendung technischer Dienste von Huawei stellt eine Gefahr für die Cybersicherheit dar", heißt es im Dokument. Huawei gilt als Weltmarktführer als 5G-Ausrüster, doch da chinesische Unternehmen nach einem so genannten "Anti-Terror-Gesetz" aus dem Jahr 2017 gezwungen werden können, ihre Daten an den chinesischen Staat weiterzugeben, weht Huawei im Westen ein rauer Wind entgegen.
Zwar haben die USA Huawei schon früh als Sicherheitsrisiko eingestuft, in Polen wurde ein Huawei-Mitarbeiter wegen Spionage festgenommen und die Briten haben strenge Auflagen für den 5G-Ausbau beschlossen. Doch kein europäischer Staat hat sich bisher offiziell so klar gegen Huawei positioniert wie Tschechien. So ist es bezeichnend, dass bei der Prager Konferenz neben vielen Experten aus Nato-Ländern auch der Cyber-Sicherheitsberater des US-Präsidenten Donald Trump geladen ist. Er spricht von nichts weniger als der "Souveränität im 21. Jahrhundert." Das Netz, die Geopolitik von heute?
Bier trinken mit Xi
Dabei sah es bis zuletzt so aus, als wäre gerade Tschechien das Einfallstor für China in die EU. Präsident Milos Zeman gilt als sinophil und trank bereits mit seinem chinesischen Amtskollegen Xi Jinping medienwirksam Bier vor den Gemäuern der Prager Burg. Die China-Freundschaft führte dabei bis in das Zentrum der Macht: Sogar die Kommunikation in Zemans Präsidialadministration soll Huawei ausgestattet haben, der Vertrag wird jetzt geprüft. Zwei Ministerien gaben zuletzt bekannt, nun doch keine Server von Huawei anzukaufen, ebenso soll ein neues Steuerportal ohne Huawei aufgebaut werden. "Huawei war in Tschechien hoch im Kurs", schrieb zuletzt die New Yorkes. "Jetzt ist es eine Sicherheitsbedrohung." " Der Tech-Krieg zwischen den USA und China wird in Zentraleuropa ausgetragen", schrieb etwa The Atlantic.
Selbst in der Branche wird den tschechischen Behörden der Rücken gestärkt. Ludek Sefzig leitet das "Zentrum für Cyber-Sicherheit", ein schmuckloses Büro in einem ehemaligen Industrieviertel im Süden Prags. Seine NGO will das Know-How über sichere Online-Kommunikation verbessern. "Es ist klar: kein Gerät ist vollkommen sicher", sagt er. Es liege letztlich am Benutzer, wie sicher er kommuniziert. Aber: "Die chinesischen Gesetze sehen vor, dass Unternehmen mit den Behörden kooperieren müssen", sagt er. "Das ist das kommunistische System, und das bedroht ganz klar unsere Sicherheit."
Gut möglich, dass das ehemals kommunistische Tschechien sensibler auf Cyber-Bedrohungen reagiert. Immerhin sind in Prag auch viele Organisationen angesiedelt, die sich etwa mit dem russischen Einfluss beschäftigen, wie die NGO "European Values" mit dem "Kremlin Watch Programme". Zum anderen können die Tschechen auch aus ihrer technischen Tradition - nicht zuletzt im Kommunismus - schöpfen, meint Balazik, zurück in der Cyberabwehr-Villa. "Außerdem haben wir einen starken Bankensektor, der sehr profitabel ist und schlichtweg Geld für IT-Security auf der Kante hat", sagt er. Immerhin müsse in sensiblen Bereichen wie Online-Banking, Gesundheit und Transport besonders auf IT-Security geachtet werden.
Kunden aus Kraftwerksbereich
Wie ein Heerführer stolziert Balazik durch die Villa, die helle Lobby, die "Schulklassen" mit den Standcomputern und den konspirativen "Hackerraum". Und irgendwann sagt er: "Im Netz herrscht Krieg." Phishing, Malware, Hacker - dass im Netz überall Gefahren lauern, das gehört freilich zu seinem Verkaufsargument. Doch letztlich erhöhe nichts so sehr die Sensibilität, wie wenn wirklich etwas passiert. Wie bei einer Phishing-Attacke vor wenigen Monaten beim größten tschechischen Mailanbieter seznam.cz, 200.000 User waren betroffen. Oder wie 2015, als ein Hackerangriff in der Westukraine zum ersten Mal zu einem Blackout führte und 230.000 Menschen für mehrere Stunden ohne Strom waren.
Das Konzept für Cyber G stammt eigentlich von einem Partner aus Israel ("Cyber Gym" - zu deutsch: Cyber-Fitness), der sich schon früh auf Cyberabwehr spezialisierte. Wer hier in der Prager Vorortvilla trainiert, ist aber streng geheim. Balazik: "Niemand gibt gerne offen zu, dass er ein Sicherheitstraining braucht." Nur so viel: 30 Prozent der Kunden kommen aus dem Kraftwerksbereich. Diskretion ist am Ende die härteste Währung dieser Branche.