Informationsfreiheits-AblehnungFähigkeiten und Arbeitsmethoden des BSI müssen geheim bleiben

Das Bundesamt für Sicherheit in der Informationstechnik ist für die IT-Sicherheit in Deutschland zuständig – ihre Fähigkeiten und Arbeitsmethoden sollen aber geheim bleiben. Mit dieser Begründung verweigert die Behörde die Selbstauskunft, ob Vodafone Daten ins Ausland leitet. Laut Medienberichten war das BSI unzufrieden mit der Antwort des Konzerns, da sie „keinen eindeutigen Schluss zulässt“.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Ende November berichteten Süddeutsche und Tagesschau unter dem Titel Der lange Arm des Geheimdienstes? über den Unterseekabel-Betreiber Cable & Wireless, der eng mit den Überwachern zusammen arbeitet – und heute zum Vodafone-Konzern gehört. Neben neu veröffentlichten Snowden-Dokumenten bezog man sich auch auf ein Papier des BSI:

Auch der deutschen Bundesregierung ist die Nähe zwischen Vodafone und dem GCHQ offenbar aufgefallen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach den Snowden-Enthüllungen im vergangenen Jahr die Mobilfunkanbieter in Deutschland untersucht und verlangte von den Netzbetreibern in Deutschland Auskunft, ob womöglich Daten ins Ausland abgeleitet werden.

Alle Betreiber antworteten zur Zufriedenheit des BSI – bis auf einen: Vodafone. In einem als Verschlusssache eingestuften Schreiben aus dem Jahr 2013, das NDR, WDR und „SZ“ einsehen konnte, heißt es: „Die Selbstauskunft von Vodafone Deutschland lässt für mobile Kommunikation innerhalb des deutschen Rechtsraums bislang keinen eindeutigen Schluss zu, ob der Zugriff auf bzw. die Ausleitung von Metadaten (bspw. „Billing Informationen“) oder SMS in ausländische Rechtsräume unterbleibt.“

Dieses Papier wollten wir natürlich haben – und haben es beim BSI angefragt. Jetzt kam die Antwort – eine Ablehnung:

Die Kenntnisnahme der angeforderten Informationen durch Unbefugte könnte für die Interessen der Bundesrepublik Deutschland nachteilig oder schädlich sein, da aus ihrem Bekanntwerden sowohl staatliche als auch nichtstaatliche Akteure unter anderem Rückschlüsse auf die Fähigkeiten und Arbeitsmethoden des Bundesamtes für Sicherheit in der Informationstechnik ziehen könnten.

Wir haben ja schon viele Ablehnungs-Gründe für IFG-Anfragen kennengelernt. Aber dass die „Fähigkeiten und Arbeitsmethoden des BSI“ geheim bleiben müssen, war auch uns neu. Im Leitbild der Behörde heißt es:

Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik. Das sind heute in erster Linie öffentliche Verwaltungen in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender.

Mit dieser Verweigerung trägt das BSI aber nicht zur Sicherheit von Verwaltung, Unternehmen und Privatanwendern bei – sondern zur Unsicherheit.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Da könnte man vielleicht mal eine Klage anstrengen. Auch wenn das BSI nicht „Sicherheitsbehörde“ ist, so ist des doch keine Geheimdienst und muss sich da wie alle anderen normalen Behörden behandeln lassen.

    1. +1 Das würde ich jetzt doch auch gerne sehen, wie sie das begründen wollen, warum ihre Fähigkeiten und Arbeitsmethoden so geheim bleiben müssen…

      Wobei afaik vor der Klage noch die Beschwerde beim Datenschutzbeauftragten kommt – die bei der neuen Frau aber wohl eh zu nix führt.

    2. das bringt nur nichts. Eine Behörde kann Dokumente m.W. nach gutdünken z.B. als VS-NfD belegen. Man müsste erst VS-NfD entfernen, dann würde man es bekommen. Wenn ich aber etwas gelernt habe aus den Anfragen beim BMI, dann die Tatsache, dass keine erneute Prüfungen auf Geheimhaltung statt findet (z.B. Lagebericht innere Sicherheit 2012, als an den Bahnhöfen die Pozilei mit MGs rumstand). Auch eine teilweise Schwärzung ist nicht möglich.
      Hier werden Geheimhaltungsstufen ähnlich wie das Urheberrecht eingesetzt.

  2. Damit ist das BSI endgültig als Sicherheitsprovider aus dem Markt geschieden und nun amtlich im Lager der Bedrohungen für die Bürger. Es war schon obskur dass ein stv. Präsident erst vor kurzem aus dem BND zum BSI gewechselt ist (nachdem das BSI 1990 als Abteilung 6 des BND verselbständigt wurde). Es war obskur, dass der Herr regelmäßig bei der NSA verkehrt. Aber mit diesem Geheimkult der geheimen Operationen des BSI, das auch nicht unabhängig ist, sondern dem BMI wie auch das BKA und das Bundesamt für Verfassungsschutz unterstellt ist, ist nun jedes BSI-Zertifikat als Bedrohungshinweis aufzufassen. Damit wir nebenbei auch das Smart-Metering in Deutschland unmöglich gemacht, deren Geräte von BSI als sicher eingestuft wird, in Spanien aber Hacker eingedrungen sind. Wer ab heute BSI hört, dem sollten alle Alarmglocken klingen: Höchste Gefahrenstufe. Die sind möglicherweise Mitglieder eine kriminellen Vereinigung von staatlichen Cyberterroristen, die Angriffe auf Industrieanlangen durchführen, sich auf dem Markt Software für Exploits kaufen, um rechtswidrig in die Rechner der Bürger einzudringen, wie wir es beim BKA-Trojaner in zahlreichen LKAs auch erleben mussten, und Schaar völlig hilflos nicht mal den Source Code nach Auffliegen (durch den CCC, nicht etwa durch eine amtliche Sicherheitsbehörde, die dem Datenschützer bei Prüfung der Verfahrensregister nach BDSG helfen würde) der Spionage der staatlichen Cyberkriminellen.

    Positiv ist zu beurteilen, dass die Regierung ein klare Ansage gemacht hat, dass das BSI nicht zu den Guten gehört, sondern eine klandestine Gefahr für die Bevölkerung und die Unternehmen ist. Offen bleibt, ob durch Zusammenarbeit mit dem BSI dann immer von Vorsatz bei Rechtsbruch auszugehen ist, da die geheimdienstliche Tätigkeit jedem offenkundig ist, was insbesondere in möglicherweise landesverräterischen Verfahren und unterlassaner Spionageabwehr von Bedeutung werden könnte. Man sollte einfach eine Bogen um das Haus machen, um rechtstreu bleiben zu können.

  3. Ja, es wäre der Redaktion oder der Presselobby zu empfehlen hier mal eine Klage anzustrengen, ob hier die Bundesbehörde BSI den Informationsanspruch gem. Informationsfreiheitsgesetz (IVG) eines Presseorgans (Öffentliche Meinungsbildung) so einfach ablehnen kann!? Immerhin liegt es im öffentlichen Interesse, dass die Leser erfahren, ob bei Vodafone in Deutschland „ Daten ausgespäht werden“ usw. – außerdem sollte es nun selbst im Interesse von Vodafone sein, hier schnellstmöglich „Klarheit“ zu verschaffen, denn Intransparenz ist wegen der vielen davon ableitbaren „Negativ-Übertreibungen“ bei dem Vodafone- Image viel schädlicher als wenn man hier Klarheit verschafft und die Karten offen auf den Tisch legt!
    Ein anderer Weg wäre hier über eine entsprechende Anfrage über den Bundestag an das BMI (zuständig für das BSI). Wo ist der „mutige“ bzw. zuständige Bundestagsabgeordnete (der Opposition?) der eine solche Anfrage nun mal stellt? Nur Mut; es müssen ja nicht immer die „Linken“ sein, die für eine rechtskonforme Demokratie solche peinlichen & außergewöhnlichen Anfragen stellen (und damit „die Kohlen aus dem Feuer holen“!).
    (Vielleicht Gregor Gysi mal einen Link geben!?)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.