CSC in alle großen IT-Vorhaben eingebunden: De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte, E-Strafregister

Am Wochenende hatte die Süddeutsche Zeitung im Enthüllungsprojekt „Geheimer Krieg“ weiter nachgelegt: Demnach sei die US-Beraterfirma CSC mit ihren elf Tochtergesellschaften nicht nur für heikle US-Geheimdienstmissionen unterwegs, sondern arbeite auch für deutsche Ministerien. Naheliegend sei, dass CSC die hierüber erlangten Informationen an US-Behörden weitergebe. Der Zeitung fiel auf, dass CSC-Firmen häufig „in der Nähe von US-Militärstützpunkten“ residieren.

Die Bundesregierung hatte die Verbindungen von CSC zum US-Geheimdienst nicht kommentiert – dies war zu erwarten. Das Bundesinnenministerium richtete aus, ihm genügten entsprechende Klauseln in den Rahmenverträgen mit CSC. Demnach sei es untersagt, „bei der Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten“.

Auch wenn es im Projekt „Geheimer Krieg“ von der Süddeutschen und dem NDR häufig nicht erwähnt wird: Viele der Recherchen gründen auf sogenannten „Parlamentarischen Initiativen“ im Bundestag. Hierzu gehören neben den bekannteren Kleinen Anfragen auch sogenannte Schriftliche oder Mündliche Fragen. Diese müssen innerhalb einer Woche beantwortet werden. Auch die Informationen zu den an CSC oder Booz Hamilton vergebenen Aufträge stammen aus solchen Initiativen.

Eine Durchsicht der Anfragen seit Juni (mithin den ersten Veröffentlichungen der Dokumente von Edward Snowden) ergibt Haarsträubendes: So erhielten CSC Deutschland Services und CSC Deutschland Solutions allein zwischen 2009 und 2013 mehr als 25 Millionen Euro für Studien, die teilweise äußerst delikate Sicherheitsinteressen tangieren. Eine weitere Frage förderte zutage, dass dies nur die Spitze des Eisbergs ist. In den vergangen Legislaturperioden erhielt CSC mit seinen Tochterfirmen ein Vielfaches der Summe für ähnliche Aufträge:

CSC_Booz_1714530

Bekannt wurde CSC durch eine Auftragsvergabe zur Prüfung des Quellcodes des vorübergehenden Staatstrojaners der deutsch-britischen Firma Gamma, den das BKA bis zur Entwicklung einer eigenen Hackersoftware einsetzen will. CSC ist darüberhinaus in alle derzeit laufenden, größeren IT-Vorhaben der Bundesregierung eingebunden. Hierzu gehört die eine „Machbarkeitsstudie zum Thema Identitätsmanagement“ in der Bundesverwaltung oder die Begleitung des Vorhabens „IT-Sicherheitskit“ für die „elektronische Patientenakte“.

CSC wirkte maßgeblich bei der Umsetzung des „Nationalen Waffenregisters“ mit. Bis 2010 wurde der Umzug der Leitstellenumgebung der Bundespolizei vorbereitet. Andere Studien widmeten sich der Nutzung von Geodaten. Für das Justizministerium ist CSC an einer Projektgruppe „Elektronische Akte in Strafsachen“ beteiligt und zeichnet für die Projektbegleitung verantwortlich. Gleiches galt für die „Elektronische Gerichtsakte“ sowie das Projekt „Elektronisches Gerichts- und Verwaltungspostfach“, das unter dem Namen „BundOnline“ firmiert. Für das Bundesverwaltungsamt war CSC sogar für die komplette Durchführung eines „Backup- u. Restore-Konzepts“ zuständig.

CSC Deutschland Solutions ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Bekanntlich hatte die Beraterklitsche „Public Opinions“ hierfür ein Handbuch zur Propaganda und Medienzusammenarbeit erstellt, das unter anderem vor kritischen Blogs gewarnt hatte. Die Zuarbeit von CSC war aber weitaus gewichtiger: Die Firma erstellte beispielsweise eine „Studie zu Fragen der Berechtigungszertifikate“ und unterstützte die MitarbeiterInnen der Ausweisbehörden bei der Umstellung. Hierzu gehörte auch die Versorgung mit nötigen Informationen, also jenen Fakten die zuvor im ominösen „Handbuch“ zusammengetragen worden waren. CSC war danach für die Erstellung von „Handlungsleitfäden“ verantwortlich. Ein weiterer Auftrag erging zur „Begleitung des Wirkbetrieb“, ein anderer lautete „Unterstützung bei der nPa Konzeption Webauftritt“. „nPa“ steht für „Neuer Personalausweis“.

Weitaus delikater ist wohl die Mitarbeit von CSC bei der Einführung von „De-Mail“. Noch bis 2012 war die Firma mit der „Unterstützung bei der Fachkommunikation“ befasst. Wie beim biometrischen Ausweis folgten mehrere Studien zur „Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement“. Ein Vorhaben „Projektunterstützung De-Mail“ läuft noch bis März 2014. Das „Kompetenzzentrum De-Mail“ wird bei der Presse- und Öffentlichkeitsarbeit beraten.

Nach den neuesten Veröffentlichungen der Süddeutschen, aber auch des Stern von vor drei Wochen gerät nun auch das Verteidigungsministerium in Bedrängnis. Denn auch dort wurden etliche Aufträge an CSC vergeben: Studien widmeten sich etwa Informationssystemen für die „Nationale Luftabwehr“, die Marine oder einzelne ihrer Fregatten. CSC beschaffte Software zur Cyberabwehr und reorganisierte die Datenverwaltung des Militärs. Noch andauernd ist die Beteiligung am maritimen Überwachungsprojekt „MARSUR“, das bald in das EU-Grenzüberwachungssystem EUROSUR integriert wird. Für die Marine war CSC sogar für ein IT-Sicherheitskonzept verantwortlich. Zum Auftragsvolumen gehörte unter anderem der Einbau einer Firewall.

Zum Vorab-Stöbern in weiteren Enthüllungen, die von „Geheimer Krieg“ bis zum 28. November (dem entsprechenden Themenabend in der ARD) veröffentlicht werden, sei die Bundestagswebseite empfohlen. Die dortige Suchfunktion ist relativ zuverlässig; Suchbegriffe wie AFRICOM, „Cyber Storm“ oder „DHS Frankfurt“ fördern Antworten zutage, die uns in den nächsten Wochen weiter beschäftigen dürften.

20 Ergänzungen

  1. Und ein weiterer Fall, in dem wir dank der neuen Erkenntnisse allgemeine Paranoia durch spezifische Paranoia ersetzen können. Schön, dass es langsam voran geht!
    Ich hätte allerdings nicht erwartet, dass die Amis so doof sind, alles über die selbe Firma zu machen. Aber offenbar sind auch Geheimdienste oft faul und geizig.

  2. Ich sehe die eGK gar nicht in der Aufzählung. Stecken die da ausnahmsweise wirklich nicht drin, oder wurd das schon zu lang für die Überschrift?

    1. Im Text steht es: „[…] die Begleitung des Vorhabens “IT-Sicherheitskit” für die “elektronische Patientenakte“.
      Aber keine Angst, unsere Daten sind genauso sicher wie unsere Rente :)

  3. Durch die Enthüllungen der letzten Monate und durch diesen Artikel kann man sich die Frage stellen, sind wir eigentlich nur noch die Gehilfen des Bigbrothers?

  4. Was wäre eigentlich, wenn die Auswahl von CSC – und damit der Abfluss der Daten – nicht zufällig, sondern planmäßig erfolgte?

    Was wäre, wenn das Nichtwissen einer Nichteinhaltung von Vertragsinhalten (Weitergabe trotz „Chinese Walls“, *lol*) einen inoffiziellen Rückfluss von Informationen an interessierte deutsche Parteien ermöglichte, die es ohne eine (sicherlich immer abgestrittene) Planmäßigkeit nicht geben könnte?!

    Was wäre, wenn eben solche Kick-Back-Geschäfte den stetigen Informationsvorsprung und dadurch die Macht über Intrigen und damit den Machterhalt der „christlichen Parteien“ sichert?!

    Wissen ist Macht und Politik ist schmutzig & verlogen – es gibt vielleicht weniger Zufälle, als man meinen mag ..

  5. Weniger wichtig als das Abschoepfen der Daten sind Manipulationsmoeglichkeiten um amerikansche Spione hier untertauchen zu lassen oder missliebigen Deutschen Probleme unterschieben zu können. Sie haben eine gesperrte Gesundheitskarte aber Waffen im Haus? Ui ui.

  6. Man sollte den Typen der gegen die Elektronische Gesundheitsüberwachungskarte klagt da mal drauf hinweisen. Vielleicht überzeugt das ein Gericht ja, dass diese Karte momentan nicht das gelbe vom Ei ist.

  7. „Gleiches galt für die “Elektronische Gerichtsakte” sowie das Projekt “Elektronisches Gerichts- und Verwaltungspostfach”, das unter dem Namen “BundOnline” firmiert.“

    Haasrsträubend, wie schlamnpig da recherchiert wird. BundOnline 2005 war ein Programm mit über 400 Projekten von Rot-Grün 2001-2005. Ja, es wird den deutschen Staat in seinen Grundfesten erschüttern, wenn deutsche Töchter von US-Firmen in Projekte wie der eAkte und dem EGVP mitarbeiten. Als nächstes kommt dann wahrscheinlich die Forderung, dass auf deutschen Behörden nur deutsche PC’s eingesetzt werden, mit deutschen LAN-Kabeln und deutschen Routern.

    Die deutsche Isolierung als Flucht vor den Problemen mit den globalen Geheimdiensten. Feine Sache. Gibt Stoff für Jahre und lässt die Geheimdienste ungehindert weiterwursteln.

    1. Das Problem ist nich dass es sich generell um ein unternehmen aus dem Ausland handelt, sondern: “ sei die US-Beraterfirma CSC mit ihren elf Tochtergesellschaften nicht nur für heikle -> US-Geheimdienstmissionen<- unterwegs, sondern arbeite auch für deutsche Ministerien"

      1. Wenn der BND auf Basis der Gesetze des deutschen Bundestages den US-Todesschwadrohnen Handydaten übermittelt, damit die willkürliche Liquidierungen damit machen, ist nicht die T-Systems das Problem, über deren Infrastruktur der BND die Daten an die Mörder liefert. Sondern eher der Deutsche Bundestag, der so was zulässt und so dreist ist, Anträge in nicht existierende Ausschüsse zu überweisen.

        Die deutsche CSC mit Verschwörungstheorien („die teilweise äußerst delikate Sicherheitsinteressen tangieren“, ohne jedes weitere Indiz, ohne zu begründen, was delikat Sicherheitsinteressen sein soll an Gerichtsakten (hört sich an wie O-Ton IM-Friedrichs), wo ich mich eher Frage, warum die nicht (ohne =Personenbezug) Open Data sind) haftbar zu machen, wenn sie 2009 Aufträge bekommen, dafür was 2006 andere Töchter unter US-Gesetzgebung gemacht haben, also die Reinkarnation der überwunden geglaubten Sippenhaft, dann ist das ein Ablenken von den schwierigen Fragen, wie wir Geheimdiesnte reformieren, Massenüberwachung und Wirtschaftsspionage wirksam unterbinden und die Bekämpfung des Terrors wieder an die Polizei umgeht, die da auch lieferfähig ist, siehe RAF.

        Hier wird der Glauben erweckt, wirr hätten nationale Probleme, die nationale Abschottung wird gepredigt und um die Probleme sich gedrückt. Was kommt denn dann als nächstes? „Kauf nicht bei Amis“?

        Die mangelhafte Sachkunde, mit der die Verschwörungstheorie gefahren wird, lässt an journalistischen Grundverständnis zweifeln. (z.B. das EGVP hier uns als BundOnline zu verkaufen).

        Deutsche Firmen machen auch bei deutschen Geheimdiensten heikle Missionen. Das muss im Parlament geklärt werden, nicht am, sachunkundigen Pranger. Da aber kneifen der eine oder andere. Oder wüssten wir jetzt trotz grünen Engagements (Schaar, Weichert) in Berlin und Kiel, was in den BKA-Trojanern steckte? Nein, kein Geld für Sourcecode-Inspektionen war die Schutzbehauptung (bei gleichzeitig 500 Mio € für nicht einsatzfähige Drohnen) und die Erkenntnisse Dritter unter Geheimschutz stellen.

    2. Lieber Wolfgang, deine beiden Kommentare sind grundsätzlich richtig und verweisen auf ein Problem: Was derzeit über NSA & Co ans Licht kommt, kann wohl auf Geheimdienste vieler anderer Staaten übertragen werden – jedenfalls sofern sie sich diese technologie leisten können. auch dass CSC keine standleitung zur NSA haben dürfte, bemerkst du zu recht. dass es sich bei CSC oder einer ihrer ableger aber um eine tarnfirma handeln könnte ist nicht unwahrscheinlich, sowas hat der BND ende der 90er auch gemacht um die vorherrschaft im bereich der sprachtechnologie zu behalten (dann wohl aber gegen US-dienste verloren, interessante texte dazu auf polygon.de). ich habe aus diesem unwohlsein heraus im artikel auch auf die feststellungen der süddeutschen verwiesen, ohne sie mir zu eigen zu machen, denn wie du schreibst: es ist unbewiesen. hier nur aufs parlament zu verweisen finde ich aber falsch. denn im gegenteil bin ich der meinung, dass die firmen adressiert gehören, die überwachungstechnologie nutzen oder herstellen oder auch expertise dafür bereitstellen. auch beim trojaner liegst du falsch: die prüfung erfolgte zunächst nicht, weil die bundesregierung das betriebsgeheimnis der hersteller höher gewichtete als den datenschutz. nur durch druck der öffentlichkeit änderte sich das. aus diesem grund finde ich die initiative „geheimer krieg“ auch richtig, wenn auch die gefahr besteht die aktivitäten eigener dienste aus den augen zu verlieren und sich von nationalen oder schengen clouds einwickeln zu lassen. dass ich nicht wusste dass das „Gerichts- und Verwaltungspostfach” nur eines von vielen projekten von “BundOnline” ist, hast du ja nun 2x aufgeschrieben, danke dafür. ich hatte es aus verlinkter anfrage abgeschrieben.

  8. „dass es sich bei CSC oder einer ihrer ableger aber um eine tarnfirma handeln könnte ist nicht unwahrscheinlich“

    Wie kommst Du darauf. Dafür gibt es von SZ keinerlei Indiz. Das ist blanke Spekulation, dass Du von Kriminellen aus dem BND Verhaltensmuster auf deutsche Töchter von US-Firmen überträgst. Seriöser Journalismus verlangt mindesten zwei unabhängige Quellen. (Wie bei Geheimdiensten auch). Wenn man nicht mal eine Quelle hat, um den Verdacht zu belegen, ist das wilde Spekulation, unseriöser Journalismus und eine Verschwörungstheorie in übelster Weise. Mit purem Abschreiben unbelegter Behauptungen gefährdet man den Ruf von netzpolitik.org.

    „hier nur aufs parlament zu verweisen finde ich aber falsch. “
    Du kannst ja gerne auf Frimen verweisen udn einen morlaischen Feldzug mit Verschwörungstheorien führen. Ich bin halt anders.

    Ich möchte lieber klare Gesetze mit einer durchschlagenden Governance:
    1. )Spionage, ob ein anderer Staat einen überfallen will, muss erlaubt sein.
    2.) Bei der Terrorbekämpfung haben die Geheimdienste versagte, das gehört rückübertragen an die Polizeien.
    3.) Wirtschaftsspionage ist streng verboten.
    4.) Massenüberwachung ohne Verdacht ist streng verboten.

    Dazu brauchen wir für ein globales Medium wie dem Internet eine globale Regelung. UN or equivalent. Wer gegen 2-3 verstößt, dem drohen harte Gefängnisstrafen, die vom Internationalen Strafgerichtshof verhangen werden (wie bei Milosevic). Wer sich der Rechtsstaatlichkeit nicht beugt, wird boykottiert (wie Iran beim Atomwaffensperrvertrag). Beihilfe wir wie die Tat besratft. Damit sind wir dabnn bei unseren normalen Strafrechtsnormen, die sich auch international ewährt haben. Da brauchen wir keine Verschwörungstheorien. Im Gegenteil. Selbst die GroKo-Verhandler haben jetzt die UN in ihr Paket gepackt. Da gehört der Druck hin, und nicht auf Verleumdungen und üble Nachrede von CSC-Mitarbeitern ohne jedes Indiz, ohne jeden Beweis in wilder und wüster Spekulation.

    Beim BKA-Trojaner irrst Du. Peter Schaar hatte sich geweigert für eie Source-Code-Inspektion die Kosten für den Hersteller (1.200 €/d und MA) zu erstatten:
    Kuckst Du Nr. 2 auf Seite 3 von 5
    http://www.ccc.de/system/uploads/122/original/Schaar-Staatstrojaner.pdf

    1. Zum ersten Teil deiner Antwort haben wir glaube ich alles gesagt – außer vielleicht, dass du m.E. von einem Blog wo Menschen unbezahlt schreiben und niemand unsere Texte korrekturliest und lektoriert keinen Qualitätsjournalismus erwarten kannst, wie du ihn von großen Blättern gewohnt bist. Dass du so auf dem Fehler mit BundOnline rumreitest – naja. Dieser vorliegende Text wertet parlamentarische Initiativen aus, um einen SZ Artikel begreiflicher zu machen, so steht es auch zu Beginn. Denn auf jenen fussen die Berichte der Zeitung sowie des NDR zu einem beträchtlichen Teil.

      Zum Staatstrojaner erinnere ich an eine Antwort des BMI von 2011, also vor der Einbindung von Schaar:

      „Hatten die beauftragenden Behörden den Quellcode der jeweils eingesetzten Software vorliegen?
      Wenn nein, warum nicht?

      Nein. Der Quellcode einer vermarkteten Software wird als Vermögenswert eines Unternehmens beurteilt und demzufolge als Geschäfts- und Betriebsgeheimnis geschützt. Die Bereitstellung eines Quellcodes ist im Bereich der Privatwirtschaft daher unüblich. Den beauftragenden Bundesbehörden lag der Quellcode nicht vor. Anstelle einer Quellcodeanalyse führten Bundesbehörden in jedem Einzelfall Anwendungstests durch.“

      Die Einstellung änderte sich bekanntlich später.

      1. Findest Du das OK, dass auf einem Blog, wo manche Autoren nicht bezahlt werden, enthemmt wildfremde Menschen ohne jedes Indiz beschuldigt und verleumdet werden? Ich nicht.

        Es war nicht nur das EGVP. Das Abschreiben fremder Artikel zeigt, dass ohne jede Ahnung von der Materie Grütze geschrieben wird:
        „Eine Durchsicht der Anfragen seit Juni (mithin den ersten Veröffentlichungen der Dokumente von Edward Snowden) ergibt Haarsträubendes: So erhielten CSC Deutschland Services und CSC Deutschland Solutions allein zwischen 2009 und 2013 mehr als 25 Millionen Euro für Studien, die teilweise äußerst delikate Sicherheitsinteressen tangieren. “

        Was ist denn da angeblich Haarsträubendes? Dass eine deutsche Firma mit US-Mutter sich an öffentlichen Ausschreibungen beteiligt und diese gewinnt, weil sie das beste Angebot macht? Was ist denn da delikat? Werde doch konkret. Oder ist das auch nur abgeschrieben unter Verantwortungsverzicht? Mich irritiert diese üble Nachrede, weil ich viele der betroffenen Kollegen kenne und die Projekte, die mitnichten delikat waren und mitnichten mit irgendwelchen Sicherheitsproblemen behaftet.

        Auch beim BMI erzählst Du wieder nur die halbe Wahrheit: nachdem das BMI festgestellt hatte, dass es keinen Zugriff auf den Sourcecode mitgekauft hat, hat der Hersteller Schaar angeboten, dass er wie jeder andere unter Sicherheitsauflagen und gegen Erstattung des Aufwandes in den Sourcecode hätte reingesehen. Aber anstatt sich umn Datenschutz zu kümmern, die paar tausend € zu besorgen, hat er die beleidigte Dramaqueen gespielt und das BMI musste teuer Dritte für den Job besorgen, für das der Datenschützer nicht willens und geeignet war. Hier wird übertüncht dass das Amt des Datenschüttzers vollstädnig versagt hat. Offenbar hat vor der Aufdeckung durch den CCC überhaupt kein Datenschutz stattgefunden. Gut dass solches Versagen durch Beendigung des Vertrages bald aufhört.

        Mit Halbwahrheiten kommt man heute nicht mehr weit.

        Schade, dass du auf den Part mit der Reform der Geheimdienste nicht eingegangen bist. Das scheint bei der Verschwörungstheorie nicht im Zentrum zu stehen.

  9. Untergang der Welt! Ein amerikanisches Unternehmen mit Geheimdienst-Verbindungen macht De-Mail Akzeptanz-Studien und – man fasse es – ist sogar an einem Kompetenz-Center beteiligt. Jetzt ist ja alles klar.

    Liebe Leute, De-Mail wurde von deutschen Firmen konzipiert – Ergebnis sind die technischen Richtlinien. Die Umsetzung erfolgte von Materne und Telekom ohne Beteiligung von CSC. Jeder kann Provider werden in dem er die Richtlinien umsetzt und die Zertifizierung durchläuft.

    Alle Spezifikationen sind öffentlich verfügbar. Kann mir irgend jemand sagen, wo hier die tatsächliche Gefahr liegt?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.