Bundesregierung glaubt Zusicherung der Firma CSC Solutions, nicht gegen Geheimschutzauflagen verstoßen zu haben [Update]

Wappen der "Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr", für die CSC die Beratung zu einem "Führungsinformations- system" übernahm
Wappen des “Bundesamts für Informationsmanagement und Informationstechnik der Bundeswehr”, für das CSC die Beratung zu einem “Führungsinformationssystem” übernahm

Im November hatten wir hier beschrieben, wie die US-Firma Computer Science Corporation (CSC) über ihre Ableger in Deutschland in viele große IT-Vorhaben in Deutschland eingebunden ist. Hierzu gehören unter anderem De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte oder das E-Strafregister. Die Süddeutsche Zeitung und der Norddeutsche Rundfunk hatten in ihrem Enthüllungsprojekt „Geheimer Krieg“ darauf aufmerksam gemacht, dass die Beraterfirma mit ihren elf Tochtergesellschaften aber auch für heikle US-Geheimdienstmissionen angeheuert wurde. Es fiel demnach auf, dass CSC-Firmen häufig „in der Nähe von US-Militärstützpunkten“ residieren. Unter anderem sollen Tausende MitarbeiterInnen der NSA zu CSC gewechselt sein. Ein Abhörprogramm der NSA wurde durch ein von CSC geführtes Konsortium durchgeführt. Die Autoren von „Geheimer Krieg“ beschrieben CSC als die „EDV-Abteilung der amerikanischen Geheimdienstwelt“.

Viele der im Buch und dem Film versammelten Fakten gehen auf parlamentarische Anfragen (aka „Spähangriffe“) der Linksfraktion und der Grünen zurück. Nun haben Omid Nouripour, Konstantin von Notz und Hans-Christian Ströbele nachgelegt und von der Bundesregierung eine Antwort zu „Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen“ verlangt. Die Drucksache ist diese Woche in das Informationssystem des Bundestag eingestellt worden.

Bundesregierung wäre gern vorher von NDR und Süddeutscher Zeitung informiert worden

Die Angelegenheit bleibt aber weiter nebulös. Das zuständige Bundesinnenministerium (BMI) will jedenfalls von dem Verdacht („Behauptungen“) nichts gewusst und hiervon erst durch die „jeweiligen Presseveröffentlichungen“ erfahren haben. Moniert wird, dass die Kanzlerin vom Rechercheteam der Zeitung bzw. des Senders nicht vorab informiert wurden. Dies hatte beispielsweise der Spiegel getan, als seine Journalisten zum abgehörten Mobiltelefon der Kanzlerin recherchierten.

Also hat das BMI eine schriftliche Stellungnahme der CSC Deutschland eingefordert. Zudem wurden Gespräche mit dem Vorstandsvorsitzenden geführt und die Antworten „mit eigenen Erkenntnissen zusammengeführt“. Heraus kam:

Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat. Es bestehen insbesondere auch keinerlei Anhaltspunkte dafür, dass die CSC Deutschland als selbstständige Gesellschaft vertrauliche Informationen an die amerikanische CSC weitergegeben hat, die von dort aus in andere Hände gelangt sein können.

Es sei aber „potenziell möglich“, dass ausländische Geheimdienste „Erkenntnisse auch mit Hilfe privater Firmen sammeln“. Deshalb werden mit Firmen, die in sensiblen Bereichen tätig sind, Verabredungen zum Geheimschutz getroffen (die sogenannte „Geheimschutzbetreuung“). Hierzu gehören unter anderem Sicherheitsüberprüfungen, aber auch das Versprechen dass niemand etwas Verbotenes tut. Das hat die CSC brav erfüllt. Denn wenn überhaupt sei der Mutterkonzern in den USA für die Zusammenarbeit mit US-Geheimdiensten zuständig:

Die CSC Deutschland Solutions GmbH hat vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA steht. Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig.

Die CSC Deutschland Solutions GmbH operiere also „organisatorisch und personell völlig getrennt“, man habe gegenseitig „keinerlei Einblick in die Verträge und Tätigkeiten“. Folglich hat Bundesregierung laut eigener Aussage keine Anhaltspunkte dafür, dass die CSC Deutschland „in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat“.

Immerhin: Externe MitarbeiterInnen dürfen keine Unterlagen an private Adressen senden

Das gleiche blinde Vertrauen gilt für die Möglichkeit, dass sich die Firma über die Ansprachen hinwegsetzen könnte, etwa wenn sie von US-Geheimdiensten zur Herausgabe von Informationen gezwungen würde:

Die Bundesregierung hat keinerlei Erkenntnisse, dass durch die CSC Deutschland Solutions GmbH versucht wurde, vertragswidrige Soft- oder Hardware einzubringen, um Informationen zum Nachteil der Bundesrepublik Deutschland abzuschöpfen.

Auch für Wirtschaftsspionage und Konkurrenzausspähung gebe es keine Anhaltspunkte. Allerdings wird erklärt, dass das Bundesamt für Verfassungsschutz zwar für die Bekämpfung der Wirtschaftsspionage (einer „durch staatliche Stellen durchgeführten oder organisierten Ausspähung von internen Betriebsgeheimnissen“) zuständig ist, nicht aber für das Ausspähen unter privaten Wirtschaftsunternehmen.

In der Antwort werden zahlreiche Maßnahmen des Geheimschutzes aufgezählt, die von den Angehörigen betreffender Firmen einzuhalten sind. Unter anderem wird in einigen Arbeitsgruppen „ausschließlich mit Hardware (u. a. Computer)“ gearbeitet, die durch Bundesbehörden zur Verfügung gestellt werden. Externen MitarbeiterInnen ist es untersagt, Unterlagen an ihre geschäftlichen oder privaten Adressen zu senden. Dienstlich relevante Informationen müssen vor dem Versand „mit einem durch den Bund bereitgestellten Verschlüsselungsmechanismus (Chiasmus) verschlüsselt werden“. Wenn „belastbare Erkenntnisse vorliegen, die Zweifel an der Einhaltung von Vereinbarungen zum Geheimschutz begründen“, bestehe die Möglichkeit des Ausschlusses aus der Geheimschutzbetreuung.

Laut dem Bundesinnenministerium gebe es auch keine rechtliche Handhabe für einen Ausschluss aus dem reglementierten Verfahren zur Vergabe öffentlicher Aufträge. Geprüft wird allerdings, ob die Verträge mit CSC öffentlich gemacht werden könnten: Entweder im Rahmen ihres „Open-Government-Konzeptes“ oder wenigstens in der Geheimschutzstelle des Bundestages, wo diese von Abgeordneten eingesehen werden können.

Keine Einsicht in den Quellcode

Zur Auftragsvergabe an CSC bzw. weiteren Firmen enthält die Antwort eine stattliche Tabelle von 109 Seiten. Dort wird auch angegeben, in welchen Fällen die jeweils belieferte Behörde Einsicht in den Quellcode von Software genommen hat: Nämlich niemals. Dies wird teilweise damit begründet, dass die Anwendungen durch das Bundesamt für Sicherheit in der Informationstechnik oder die NATO geliefert wurden. Dort seien sie zuvor zertifiziert worden.

Allerdings handelt es sich durchaus um delikate Anwendungen: CSC war beispielsweise für die Wartung des Maritime Command and Control Information Systems (MCCIS) zuständig, mit dem alle NATO-Staaten ihre Küsten sichern. CSC hat auch am „Führungsinformationssystem der Streitkräfte“ mitgearbeitet. Die ebenfalls beteiligte deutsche Firma ESG Elektroniksystem- und Logistik beschreibt das System als „IT-Plattform, die es ermöglicht, auf dem Rechnerbildschirm am Arbeitsplatz, vom Bundesministerium der Verteidigung bis in das Einsatzland, ein gemeinsames Lagebild abzurufen“.

Update: Behauptet wurde in der Antwort, die Bundesregierung sei vom Rechercheteam nicht vorab informiert worden. Auf unsere Nachfrage hat Christian Fuchs, einer der Autoren von „Geheimer Krieg“, dies nun dementiert: „Die Bundesregierung sagt nicht die Wahrheit. Wir haben das Innenministerium erstmals am 26.7.2013 über CSC informiert und standen bis 8.8. manchmal mehrmals täglich in Kontakt mit drei Sprechern. Zudem haben wir am 20.10. vor der SZ/NDR-Berichterstattung nochmals Fragenkataloge an das BMI gesandt und den Kontakt bis 15.11. mit dem BMI wegen CSC gehalten.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Die Bundesregierung hat auch keine Hinweise, dass ich mit Terroristen in Verbindung stehe oder sonstwie kriminell bin, traut mir aber trotzdem nicht und will per VDS alles speichern. Wieso nicht bei diesen (und ähnlichen) Gestalten?

    1. Weil ZITAT:
      „Abhören von Freunden, das ist inakzeptabel, das geht gar nicht“.

      Mr. Fulton, sehen Sie es ein! Sie haben einfach die „falschen“ Freunde.

  2. Ich kenne mich mit Technik nicht so aus, aber Ich bin bei Facebook und etlichen anderen Diensten aktiv, verwende Windows XP und habe garantiert keinen Virenscanner oder andere Schutzmaßnahmen laufen, bei jeder Seite in Web die ich besuche fülle ich das volle Benutzerprofil aus und lade auch Alles auf meinen Rechner was irgendwo auf einer Website angeboten wird, trotzdem habe ich den Verdacht ich werde von der NSA nicht beachtet, kann nicht die Regierung ein Gesetz erlassen das die das tun müssen?

    1. Keine Angst. Google Analytics und Co. machen das schon für die.

      Cool bleiben und weitertwittern. Und nicht vergessen. Den pösen Adblocker ausschalten sonst verhungern die ganzen tollen kostenlosen Seiten.

      1. gut dass du das ansprichst. auf kostenlosen seiten melde ich mich immer mir vollem namen und adressen an. ich gebe auch immer in den kommentarfeldern meine familienangehörigen mit geburtsdatum, beruf und sexueller neigung an. trotzdem komme ich mir gänzlich unbeachtet vor. die merkel hat doch so viel ahnung von überwachung von leuten, die kommt doch aus so einen staat. die kann doch mal ein gesetz machen.

      2. @ rob – wenn alles nix hilft müsst du halt in deine mails und tweets ein paar Wörter aus dem „Überwachunskatalog“ einfügen, da gibts ja so ne große Auswahl. Ich hab mir „El Paso“ und „Heroin“ ausgesucht, das sollte nicht zusammen in einer email stehen….und wenn du noch „Waffe“ dazu nimmst, bist du auf der sicheren Seite! :-)

  3. Sorry,

    aber die damaligen Aufträge, insbesondere im Rahmen von Marine und BSI erfolgten noch an die Ploenzke AG. Und viele dieser Mitarbeiter sind nach dem Aufkauf auch in dem neuen Konzern tätig. Ich finde es unredlich, einfach mal so draufzuhauhen, ohne die Historie der Aufträge zu verfolgen. Mit diesem Statement müsste z.B. komplett Hessen auf eine Generalverdachtsstufe gestellt werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.