Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Was die Maschine tut, weiß der liebe Gott allein. Und der BND.“

live_blog_banner_bild-schlimmHeute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Diesmal sind sportliche vier Zeugen angekündigt: Martin Golke (BSI, Separator-Prüfer), A. S. (BND, Separator), U. L. (ehem. Telekom) und Dr. B. K. (Telekom). Wir sitzen wie immer drin und bloggen live.

Kernaussagen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss Gerätschaften des BND vor dem Einsatz in Deutschland prüfen, das geschieht aber nur mittels „Typmusterprüfung“ anhand von Dokumenten. Hardware wird nicht aufgeschraubt, Software nicht analysiert. Ein Angriff ausländischer Nachrichtendienste ist dabei kein Szenario. („Was die Maschine letztendlich tut, das weiß der liebe Gott allein. Und der BND.“

Mit dieser Methode prüfte Martin Golke vom BSI ein Gesamtsystem zur Erfassung von Datenströmen, inklusive Separator zur Filterung in G-10 und „Routineverkehr“ und Datenfilter DAFIS zur weiteren Filterung relevanter Telekommunikationsinhalte. Der Prüfbericht wurde am 13. Oktober 2005 verschickt, damit war das System zertifiziert und der BND konnte es im Rahmen von Eikonal bei der Telekom einbauen und in Betrieb nehmen.

Der BND vertritt die Rechtsauffassung, dass die 20-Prozent-Regel aus dem G-10-Gesetz auch eingehalten wird, wenn zwei von zehn Leitungen vollständig abgehört werden. Die „Übertragungskapazität“ wird also auf die Anzahl der Leitungen angewendet, nicht auf die Kapazität der einzelnen Leitungen.

Die nach Grundgesetz Artikel 10 geschützten Kommunikationsdaten deutscher Staatsbürger werden unter anderem anhand von IP-Adressen herausgefiltert. Diese IP-Ranges hat man ursprünglich automatisiert von den Regional Internet Registries genommen. Das wurde wieder abgestellt, damit der BND eigene IP-Ranges ein- und austragen kann.

Der BSI-Prüfbericht enthielt ein Kapitel „Auflagen/Empfehlungen“. Der BND-Mitarbeiter, der für Eikonal bei der Telekom in Frankfurt verantwortlich war, kannte diese Empfehlungen nicht, sah sie gestern zum ersten Mal.

Dr. Bernd Köbele, der für die Deutsche Telekom den Transit-Vertrag zum Projekt Eikonal unterschrieb, hatte ursprünglich rechtliche Bedenken, bis die Telekom einen Brief vom Bundeskanzleramt erhielt. Nach seiner Rechtsauffassung war die Telekom danach „Verwaltungshelfer“ des BND, wie ein Abschlepp-Unternehmen, das im Auftrag einer Polizei handelt. Der ehemalige Bundesdatenschützer Peter Schaar und Bundestagsabgeordnete widersprachen dieser Rechtsauffassung und halten den massenhaften Grundrechtseingriff per privatrechtlichem Vertrag für illegal und strafbar.

Gliederung

Disclaimer

Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Wer uns unterstützen möchte, darf gerne spenden.

Update: Auf WikiLeaks gibt’s auch das offizielle stenografische Protokoll als HTML und PDF.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Einleitung, Vorsitzender (11:00)

$Begrüßung

Dr. Hans-Ulrich Krüger (SPD) scheidet als Mitglied und stellvertretender Vorsitzender des Ausschusses aus gesundheitlichen Gründen aus. Neues Mitglied wird Susanne Mittag. Neuer Stellvertreter wird Dr. Jens Zimmermann. Susanne Mittag ist neue stellvertretende Vorsitzende des Ausschusses.

$Formalitäten

Telekom-Zeugen sind Udo Laux und Bernd Köbele.

Zeuge 1: Martin Golke, Separator-Prüfer beim BSI (11:10)

Rechtsbeistand ist Dr. Johann M. Plöd, war 2000-2002 Mitarbeiter der CDU/CSU im Parteispenden-Untersuchungsausschuss.

Zeuge ist Martin Golke, 53 Jahre alt, Diplom-Ingenieur allgemeine Elektrotechnik, Anschrift ist Godesberger Allee 185, 53175 Bonn.

Eingangsstatement: Arbeite seit 1992 im Bundesamt für Sicherheit in der Informationstechnik (BSI), in verschiedenen Bereichen. Entwicklung/Evaluierung Krypto-Systeme, vernetze Systeme, Prüfungen. Als Prüfer geladen. Will Vorgehen einer Prüfung nach Telekommunikations-Überwachungsverordnung (TKÜV) 2002 vorstellen.

Zertifizierung nach § 9 BSI-Gesetz ist Prüfung von Komponenten. Eigene BSI-Richtlinien/Standards. Eigenes BSI-Prüfverfahren entwickelt. Suche der zu prüfenden Stelle, initiale Besprechung. Technische Dokumentation, Telefonate, Rückfragen, Nachlieferungen, technische Besprechungen. Dann Vor-Ort-Termin: In Augenschein nehmen. Nicht an letzendlichen Einsatzorten. Zertifizierung umfasst nicht Einsatzphase, sondern Ende der Entwicklungsphase. Einsatzorte sind mir nicht bekannt. Geräte befinden sich häufig noch in Entwicklung, entwicklungs-begleitend geprüft, um keine Zeit zu verlieren von Fertigstellung zu Einsatz.

Mein Prüfbericht zur Hand nehmen. [Ist leider nicht öffentlich. Update 04.03.2015: Wir haben den Bericht erhalten und veröffentlicht.] Fünf einzelne Zertifizierungspunkte: Begrenzung der Region, Anteilreduktion des Gesamtverkehrs, Löschung der nicht benötigten Überwachungsdaten, Verhinderung von Fernzugriffen, Zugriffskontrolle. [Stellt Kapitel vor.] 1. Inhaltsverzeichnis, 2. Prüfgrundlage, 3. Bezugsdokumente und erfolgte Prüftermine, 4. Abgrenzung des IT-Systems, 5. Einsatzumgebung, 6. Prüfung, 6.1. Abgrenzung der Komponenten und Zuordnung zu den Anforderungen, 6.2. Erfüllungsgrad der Anforderungen, 7. Prüfergebnis und resultierende Empfehlungen. Laut Dokumentation des BND handelt es sich um ein vernetztes System bis in die Zentrale. Die in Frage stellende Prüfung von 2005 war in mehreren Stufen. Habe fünf Zertifizierungspunkte angewendet. Neun einzelne Prüfpunkte intensiver zu prüfen. Erfüllungsgrad aller Komponenten geprüft und bestätigt. Danach neun Teilergebnisse. Kapitel 7: Abschließendes Prüfergebnis und Auflagen/Empfehlungen. Konnte Empfehlungen nie überprüfen, musste mich auf geprüfte Stelle verlassen. Meine Prüfung ist unabhängige Dienstleistung für geprüfte Stelle, wie sie TKÜV-Konformität erreichen kann. Nicht: ob es TKÜV-konform war oder sich die Stelle daran gehalten hat.

Will öffentlich größtmögliche Transparenz. Habe aber nur beschränkte Aussagegenehmigung und Unterlagen sind eingestuft. Kann dazu gar nicht oder nur nicht-öffentlich aussagen.

Fragerunde 1: Vorsitzender (11:19)

Sensburg: Ausbildung?

Golke: Gymnasium, Hochschule, Elektrotechnik studiert, Hochschulwechsel Aachen Wuppertal, Diplom.

Sensburg: Nach Studium direkt BSI?

Golke: War bei privaten und öffentlichen Arbeitgebern.

Sensburg: Zeitvertrag oder fest?

Golke: Zeitverträge.

Sensburg: Öffentlich war nicht BND, MAD, BfV?

Golke: Nein, kein Dienst.

Sensburg: Wann Studium fertig?

Golke: Mai 1990 Diplom.

Sensburg: 1992 bei BSI begonnen?

Golke: Ja.

Sensburg: Im BSI Krypto?

Golke: Ja, erst Hardware, dann Software entwickelt. Zum Schluss Netzwerktechnik. Evaluierungsprojekte. Dreimal Referat von mir gewechselt, alles andere Umstrukturierung im BSI.

Sensburg: Umstrukturierungen der Zeit geschuldet, mit Entwicklung der Technik?

Golke: Ja.

Sensburg: Fachexpertise in Geräten, Software und Netzwerke?

Golke: Ja, aber Expertenwissen ist Expertenwissen. Man kann nicht alles wissen. Kollegen fragen. Früher kannte man noch jeden, mittlerweile nicht mehr.

Sensburg: In welchem Bereich bezeichnen sie sich als Experte?

Golke: Cyber-Sicherheit. Sicherheit von Netzen. Prüfung IT-Sicherheitsvorschriften, auch international. Internationale Fachgremien.

Sensburg: Darum geht es im Separatoren-Prüfbericht?

Golke: Der ist ja von 2005. Wenn ich da nichts vergessen habe, ging es darum.

Sensburg: Sie sagten, dass sie bei Prüfung die Geräte nicht im Einsatz sehen?

Golke: Ja. Ich schaue schon lange keine blinkenden LEDs mehr an, nur das Innenleben.

Sensburg: Veränderung der Geräte im Einsatz ausgeschlossen? Nicht überprüfbar? Könnte anders aufgebaut sein als von ihnen geprüft? Oder technisch nicht möglich?

Golke: Könnte alles sein. Wir machen Labor-Untersuchungen. Nach der Zertifikation haben wir keine Inspektionsrechte mehr.

Sensburg: Keine Live-Prüfung vor Ort?

Golke: Das sind Inspektionen.

Sensburg: Als Empfehlung im Bericht?

Golke: Ja. Machen wir in anderen Bereichen. Aber hier nicht. Wenn das im Einsatz ist, ist das Ding weg.

Sensburg: So auch im Einsatz?

Golke: Heute befristete Einsätze. IT ist schnelllebig. War vor zehn Jahren kein Anlass für Befristung.

Sensburg: Im Prüfbericht steht was zu Entwicklungsvorhaben Separator/DAFIS [Daten-Filter-System]. Sind das BND-Systeme?

Golke: Das ist vom BND geschickt worden, um unseren Informationsbedarf zu decken.

Sensburg: Wie wird so etwas geschickt? Per Paket?

Golke: Initiale Besprechung. Haben schon einmal ersten Foliensatz.

Sensburg: Powerpoint?

Golke: Ja. Manchmal mitgebracht, manchmal nachgeliefert. Per verschlüsselter E-Mail.

Sensburg: Neben Powerpoint-Folien noch etwas geliefert?

Golke: Steht alles im Prüfbericht. Bezugsdokumente in Kapitel 2. Alles, was ich vor zehn Jahren hatte. Außer Telefonate und Rückfragen natürlich. Obwohl, habe ein Beispiel-Telefonat drin.

Sensburg: Initiale Besprechung, Korrespondenz, technische Dokumentation. Alles Powerpoint?

Golke: Haben sie alles vorliegen. Referenzpunkte: interne Besprechungen, Korrespondenz BND, Laufzeit, technische Dokumentation zum Vorhaben.

Sensburg: Powerpoint?

Golke: Ja. Drei ist Beschreibung.

Sensburg: Handbuch?

Golke: Ja, das ihnen vorliegende Handbuch. Folien, Handbuch. Punkt 4 ist Separator. 5: DAFIS. 6: neuere Version?

Sensburg: Das sind die Dokumente, anhand derer sie Prüfung vornehmen?

Golke: Ja.

Sensburg: Powerpoint, Beschreibungen, Handbuch von BND, weitere Powerpoints und Telefonate. Will verstehen, auf welcher Grundlage sie Prüfung durchführen. 8: Vor-Ort-Prüftermin. Genauer?

Golke: Irgendwann Vor-Ort-Termin. Da schaue ich mir Gerätschaften an. Einmal Labor.

Sensburg: Welches?

Golke: Entwicklungslabors vom BND.

Sensburg: Wie läuft Vor-Ort-Prüfung ab?

Golke: Man fährt hin, Bahnfahrt, Besprechung, Treffen. Später Geräte in Augenschein nehmen.

Sensburg: Ins Labor gehen, die Gerätschaften in Testlandschaft sehen?

Golke: Ist lange her. Habe ich nur die Dokumente zum Erinnern. Was haben sie denn da für Fragen?

Sensburg: Na wie erfolgt die Überprüfung? Wie guckt man sich die Geräte an? Was wollten sie wissen? Sie können mir alles erzählen. Außer Bahnfahrt.

Golke: Das ist zehn Jahre her. Sind drei Verarbeitungsstufen. Die Geräte stehen in einem Rack.

Sensburg: War das aufgebaut? Frontend, Verarbeitungsystem?

Golke: Ja, sollte aufgebaut sein. Fragen sie mich nicht so speziell.

Sensburg: Haben sie vergleichbare Prüfungen vorgenommen? Wie sieht so ein Vor-Ort-Termin aus? Sie zertifizieren das anhand von Powerpoints und einem relativ mageren Dokumentationshandbuch?

Golke: Vielen Dank für ihre Darstellung. Powerpoint. Das ist da beschrieben. Ich müsste mich wiederholen. Das ist zehn Jahre her. Da wird Vertrauen aufgebaut, dass ich das Gefühl habe, die machen das schon so, wie das in den Dokumenten steht. Da lerne ich die Leute kennen. Das ist wichtig, was für ein Gefühl habe ich da. Wir machen auch andere Prüfungen IT-Sicherheit für [Pause].

Sensburg: Dann frage ich mal etwas anderes. Ihre Prüfung erfolgt anhand der Dokumente, der Vor-Ort-Prüfung und Aufgrund ihrer Erfahrung, die die Dokumente bewerten kann? Ich verstehe ja die Dokumenten nicht.

Golke: Das versteht man schon.

Sensburg: Für was war „Erfassungs- und Verarbeitungssystem im Rahmen des novellierten G 10-Gesetzes, Teil III“ (EVN G-10 III) gut?

Golke: § 27 TKÜV (Grundsätze, technische und organisatorische Umsetzung von Anordnungen, Verschwiegenheit). Da werden Daten abgegriffen beim Provider.

Sensburg: Ich bin da Laie.

Golke: Ich finde gut, dass sie fragen.

Sensburg: EVN G-10 III ist Gesamtsystem zur Erfassung und Verarbeitung […]?

Golke: Ja.

Sensburg: Was ist Separator?

Golke: Rohdaten vom Provider werden rückwirkungsfrei übernommen.

Sensburg: Was heißt das?

Golke: Sagte die Regulierungsbehörde für Telekommunikation und Post (RegTP), heute Bundesnetzagentur (BNetzA). Kommen Daten rein, laufen auf und werden übernommen. Dann erste Verarbeitungsstufe zugeführt.

Sensburg: Was macht ein Separator? Zeuge Breitfelder sagte am 18.12.: „Gerät, das einleitenden Datenstrom nach G-10 und Nicht-G-10 (Routine-Verkehre) trennt.“

Golke: Richtig. Gibt Hin- und Rückrichtung. Separator hat einen Eingang und zwei Ausgänge. Der eine Ausgang ist Routine, darf er gesetzliche: Ausland, keine deutschen Staatsbürger. Alles andere geht durch G-10-Zweig. Da wird irgendwas mit Deutschen übertragen. Dann gelten unsere gesetzlichen Anforderungen.

Sensburg: Ausleiten an Separator. Ausleitung per T-Stück von Glasfaser des Providers? Vor Separator?

Golke: Ja, Separator ist nicht T-Stück. Glasfasern werden mit T-Stück [Pause] ausgekoppelt. Licht wird ausgekoppelt, eins zum Provider, eins zum BND.

Sensburg: Nach T-Stück kommt am BND-Teil schon Separator?

Golke: Ja, muss Separator stehen. Erst einmal Datenreduktion, schmeißt unheimlich viel weg.

Sensburg: Splitter sind Standard-Geräte?

Golke: Weiß am Besten RegTP/BNetzA. Bestimmt Standard.

Sensburg: Separator macht Unterscheidung G-10/Routine?

Golke: Vor allem Datenreduktion. Wird viel Müll übertragen, was sie nicht interessiert. Daten kommen Gigabyte-weise Daten an.

Sensburg: Der schmeißt was raus?

Golke: Ja.

Sensburg: Was?

Golke: Müll. Beschränkung auf bestimmte Regionen/IP-Ranges. Manche IP-Ranges werden weggeschmissen.

Sensburg: Laienhaft: Separator ist Kasten/Gerät mit Software auf Chips?

Golke: Kommerzielle Hard- und Firmware mit Software drauf. Software bestimmt Filter.

Sensburg: Software fest auf Chip? Oder kann man die ändern?

Golke: Hardware ist kommerziell. Firmware kommerziell. Können Packages dazukaufen oder etwas eigenes machen, wie der BND.

Sensburg: Kann Separator je nach Lage optimieren, Regionen auswählen, modifizierbar?

Golke: Richtig. Das macht die Software.

Sensburg: Wie steuert man die Software? Online? Per USB-Stick vor Ort?

Golke: Ganz einfach mit Laptop an der Konsole, Passwort und dann neue Software aufspielen.

Sensburg: Mit Laptop hinfahren, nicht von Remote?

Golke: Separator hat auch einen anderen Ort und ist vernetzt. Das habe ich erlaubt. Für passive Zugriffe, z.B. um zu schauen: leben die Geräte noch.

Sensburg: Fehlfunktion?

Golke: Richtig. Will ja auch wissen: Ist er an Kapazitätsgrenze? Oder ist Hochsommer und Lüftung ausgefallen? Gibt ja auch Prüfpunkt Fernzugriff ist ausgeschlossen. Aber State-of-the-Art Management-Kontrolle erlaubt. G-10-relevant ausdrücklich nicht.

Sensburg: Also nicht von woanders auf G-10-Filter zugreifen?

Golke: Ja.

Sensburg: DAFIS-Filter seit 2005 für G-10-Filterung eingesetzt. Das ist nächste Filterstufe. Wie funktioniert das?

Golke: Nächste Stufe. Nur für G-10-Strang. Routine betrachte ich nicht weiter, nicht mein Aufgabenbereich. Erstmal Protokoll zusammen setzen, dann Session (IP-Pakete), DAFIS-Filter, G-10-relevante Filter. Anordnungen übersetzen in Code. Auch handelsübliche Hardware mit Teilbereichen. Einer gucke on-the-fly „was haben wir für G-10-Kriterien, die wir haben dürfen?“ Soweit man das automatisiert machen kann, passiert das da in der letzten Stufe.

Sensburg: Habe nur noch ganz wenig Fragen. Haben sie mit Prüfbericht und mit den Themen Erfassungs- und Verarbeitungssystem danach nochmal zu tun gehabt? Oder war das dann abgeschlossen?

Golke: War danach abgeschlossen.

Sensburg: Also nicht mitbekommen, was aus EVN G-10 III geworden ist, ob es funktioniert hat?

Golke: Nein, Zertifizieren heißt: certify and go home.

Fragerunde 1: Die Linke (12:01)

Martina Renner: Wie oft haben sie derartige Geräte wie Separator geprüft?

Golke: TKÜV oder Netzwerktechnik?

Renner: TKÜV.

Golke: Die eine und weitere.

Renner: Wie häufig?

Golke: Zwei.

Renner: Alle so geprüft?

Golke: Ja.

Renner: Prüfmodus irritiert mich. An drei Stellen. Grundlage Betreiber-Dokumente von BND. Gerätschaften nicht am Einsatzort angeguckt. Und Annahmen zu Einsatzbedingungen treffen, die im Betrieb anders sein können. Und Prüfung nur entwicklungs-begleitend und nicht bei Endzustand. Ich würde vermuten, dass wenigstens eine Prüfung vor Ort dazugehört. Unterlagen vom Geheimdienst sind auch legendiert. Sie haben Annahmen zu Einsatzumgebungen gemacht, z.B. separierte Betriebsräume. Wie haben sie sich das bestätigen lassen?

Golke: Frage wiederholen?

Renner: „Es wird vorausgesetzt, dass die Einsatzumgebung in einem Bereich liegt, der … und entsprechend abgesichert ist.“

Golke: Sind ja geheim. Ist die Gesetzeslage. Da kann ich nichts ändern. Deswegen habe ich rein geschrieben, dass da nicht jeder rein laufen kann. Finde ich ganz okay.

Renner: Haben sie sich vergewissert?

Golke: Nein. Aber so ist das Verfahren.

Renner: Wir hatten auch Mitarbeiter des entsprechenden Unternehmens hier. Die sagten, das war nicht in BND-Räumen, sondern in Räumen der Telekom. Also wurde das so nicht realisiert. Hätte das Einfluss auf den Bericht gehabt?

Golke: Würde ich so nicht sagen. Geräte müssen ja beim Provider stehen, ist okay. Geräte des BND müssen entsprechend meinen Annahmen abgesichert sein. Da gehe ich von aus.

Renner: Welche Richtlinien gibt es für den Einsatz solcher Geräte für Einsatzumgebung? Was heißt „abgesichert“? Leitung, Zugriff, Verbindung zu Netzen des Providers, physisch getrennt usw.?

Golke: [Liest Bericht.] „Es wird vorausgesetzt, dass sie Einsatzumgebung in einem Bereich liegt, der…“ Ich zitiere.

Renner: Ja, was heißt das?

Golke: Da gibt es gesetzliche Vorgaben. Da muss ich auf den BND verweisen. Das liegt nicht in meinem Prüfbereich. Die Daten, die gerade noch vom Provider durch Deutschland gingen, sobald die beim BND sind, sind das Geheimdaten. Da muss die Tür verschlossen sein. Das kann ich nicht alles prüfen. Ich habe nicht den BND geprüft, sondern die Gerätschaft. Aber da gibt es Regeln. Wenn ich die auch noch prüfen soll, muss man mir das Mandat dafür geben. Ich sehe nicht, dass ich das habe.

Renner: Spezielle Räume müssten vom BND sein?

Golke: [Zitiert nochmal aus Empfehlungen im Bericht.] Habe mich da nicht eingemischt.

Renner: Verlassen sich auf Antwort des BND?

Golke: Ja.

Renner: Prüfung unter Laborbedingungen. Nicht danach nochmal überprüft?

Golke: Ja.

Renner: Also an vielen Stellen und Treu und Glauben?

Golke: Das sehe ich nicht. Ist nicht meine Zuständigkeit. Wir zerlegen auch Geräte, aber das ist etwas anderes.

Renner: Wie viele Stunden haben sich sich mit Gerät im Labor befasst? Haben sie das auch auseinander gebaut?

Golke: Nein. Die Dokumentation ist…. Eine Hardwareprüfung ist nur bei wirklich…, also nicht TKÜV. Vor allem, wenn wir keine Möglichkeit haben, das zu verifizieren. Ich hab ja eh keine Möglichkeit, das im Betrieb zu prüfen. Da habe ich kein Prüfmandat.

Renner: Wurde im Labor Datenverarbeitung simuliert?

Golke: Weiß ich nicht mehr.

Fragerunde 1: SPD (12:12)

Christian Flisek: Können sie uns ihr ausformuliertes Eingangsstatement geben?

Golke: [Redet mit Anwalt.] Angesichts der sehr tollen Infrastruktur hier, gehe ich davon aus, dass es nicht nur mitgeschrieben wird, sondern auch mitgeschrieben werden muss. Also gehe ich nicht davon aus, dass ich mein einziges Exemplar geben muss.

Flisek: Wir vervielfältigen das.

Plöd: Da sind handschriftliche Änderungen dran. Es gilt das gesprochene Wort. Wären bereit, das überarbeitet vorzulegen.

Flisek: Hätten das jetzt gern. Im Nachgang kriegen wir das schon. Will da jetzt Fragen ableiten.

Plöd: Unterbrechung?

[12:15: Fünf Minuten Unterbrechung.]

[12:25: Geht weiter.]

Flisek: Danke für’s Zurverfügungsstellen. BSI zertifiziert so einiges. Dinge für Geheimdienste: gibt es da extra Know-How? Oder ist das wie jede andere Zertifizierung?

Golke: Schon spezielles Verfahren, so wie ich TKÜV verstanden und interpretiert habe. Sind umfangreiche Werke und Software-Produkte. Teile und Herrsche ist da vorgeschrieben. Hier hatte ich ja nur fünf Prüfpunkte.

Flisek: Spezielles Know-How?

Golke: Ja.

Flisek: Konformitätserklärung. Wurde da schon einmal was verweigert bei TKÜV-Prüfung?

Golke: Bei denen, die hier in Frage stehen für den Untersuchungsgegenstand: nein.

Flisek: Kritik: Zertifizierung nach Entwicklungsphase. Sieht ja Gesetz so vor, sie halten sich daran. Wir sollen auch neue Vorschläge ausarbeiten. 2. Absatz im Ergebnis: „Maßnahmen sind abhängig von richtiger Konfiguration und damit von Einstellungen, die erst im operativen Einsatz erfolgen.“ Sie prüfen vorher, aber eigentlich entscheidet die Praxis, wie der Hase läuft. Prüfvorgang ist Teil der Verwirklichung von Artikel 10 GG. Halten sie Prüfung nach Entwicklungsphase für sinnvoll? Oder wäre es nicht notwendig, auch Praxisbetrieb zu prüfen?

Golke: Das obliegt dem Gesetzgeber.

Flisek: Das sind wir. Deswegen haben wir diesen Ausschuss, um Gesetzesvorschläge für Änderungen zu machen. Sie sine Zeuge mit Sachverstand. Sie deuten ja so etwas an. Muss man im Wirkbetrieb und routinemäßig prüfen?

Golke: Wäre in der Tat sinnvoll. Mache ich ja auch bei vielen anderen Dingen: Ist die Sicherheit vor Ort angekommen? Ja.

Flisek: Wäre sinnvoll?

Golke: Ja.

Flisek: Prüfprogramm. § 9 BSI-Gesetz (Zertifizierung). Zertifizierung in anderen Bereichen gegenüber TKÜV: Ist das ausreichend? Oder werden externe nicht manchmal strenger kontrolliert als Nachrichtendienste? Ist das Prüfprogramm für TKÜV ausreichend? Oder sollte es ausgedehnt werden?

Golke: [Denkt eine Minute lang nach.] Ich bin da noch nicht so ganz entschlossen. Diese Frage habe ich mir…. Ich könnte es mir vorstellen, dass das sinnvoll wäre, ja.

Flisek: Ich will sie auch nicht überfordern. Fällt ihnen ein Punkt ein, was aufgenommen werden müsste im Prüfungsverfahren?

Golke: G-10-Anordnungen von Bundesinnenministerium (BMI) und Parlamentarischem Kontrollgremium (PKGr) genehmigt, Weg in die Technik rein: Ist das so umgesetzt? Da sollte es einen Rückkanal geben,jemand der berichtet, mit Kompetenzen.

Flisek: Habe ich nicht verstanden.

Golke: Dass sichergestellt wird, dass nur das,was angeordnet wird, gemacht wird, und nichts anderes. Das müsste überprüft und zurück berichtet werden. Das fehlt ja, bei diesen Grundrechtseingriffen. Wenn man so viel Misstrauen hat.

Flisek: Ist kein Misstrauen, sondern parlamentarische Kontrolle und Grundrechtsschutz. Wenn in TKÜV steht, Zugriffskontrollen sind „nach de Stand der Technik“ einzusetzen. Ist ja unbestimmter Rechtsbegriff. Was heißt das?

Golke: Vor zehn Jahren: Normaler Zugriffsschutz, mit Wissen/Zugangscode. Heute Besitz von Wissen: Zertifikate, Eintippen.

Flisek: Das ist ihnen überlassen, diesen Begriff zu füllen? Oder gibt es Standards im Haus, die aktualisiert werden?

Golke: Gibt es mit Sicherheit irgendwas.

Sensburg: Sie haben von „einschlägigen KriterienXX“ gesprochen,.

Golke: Wir verlassen unseren Fokus auf den Untersuchungsgegenstand,

Flisek: Nein, wir sind haarscharf drin. Glauben die es mir.

Golke: Mit Sicherheit gibt es da was.

Flisek: Haben sie bei ihren Zertifizierungen auf Regelwerke zurückgegriffen? Oder das mit ihrer Expertise ausgefüllt?

Golke: Stand der Technik ist Passwortschutz. Das ist ja Grundlage. Kein Zugang ohne Zugriffscodes. Wie Passwortlängen sind: ich weiß nicht, wie das vor zehn Jahren war. Man muss den Nutzer auch mitnehmen, das ist ganz wichtig. Man kann nicht gegen den Nutzer arbeiten.

Flisek: Nutzer ist BND: Bekommen sie bei Gesprächen und Telefonaten irgendwelche entfernten Information über eigentliche Operation dahinter?

Golke: Nein, wird mir nicht gesagt, wo die Geräte eingesetzt werden. Jeder darf nur das wissen, was er wissen muss zur Erfüllung seiner Arbeit.

Flisek: Zwei Stränge: G-10-relevante Daten und Routine-Verkehre Ausland-Ausland. Bezieht sich Überprüfung auch auf Routine-Verkehre?

Golke: Nein, sind ja keine Deutschen betroffen.

Fragerunde 1: Die Grünen (12:44)

Konstantin von Notz: Wozu machen sie die Prüfung? Warum ist das notwendig?

Golke: Es gibt die Verordnung.

Notz: Genau, aber warum gibt es die?

Golke: Weil es irgendwann so beschlossen wurde.

Notz: Weil es Grundrechts-relevant ist und man das nicht dem Geheimdienst überlassen wollte. Sie machen so etwas wie eine Schlüssigkeitsprüfung? „Das Rack steht da,ein monolithischer Block mit LEDs und unten kommen die Kabel raus.“ Fand ich treffend, aber sie gucken ja nicht in die Maschine rein. Sie bekommen eine Anleitung und sie prüfen, ob das schlüssig ist.

Golke: Ja, das stimmt.

Notz: Aber das hat nichts damit zu tun, was diese Maschine praktisch tut. Das können sie nicht beurteilen?

Golke: Genau.

Notz: Was die Maschine letztendlich tut, das weiß der liebe Gott allein?

Golke: Und der BND.

Notz: Wenn das handelsübliche Gerät nicht von Saturn käme, sondern aus Nordkorea. Wäre das relevant?

Golke: [keine Antwort.]

Notz: Prüfen sie eine Maschine aus Wuppertal anders als eine aus Nordkorea?

Golke: Allgemein, ja. Kommt immer auf Einsatzumgebung an.

Notz: In Deutschland, auf deutscher Glasfaser. Spielt Herkunft eine Rolle?

Golke: Normalerweise schon.

Notz: Würden sie sich getäuscht fühlen, wenn die Maschinen nicht handelsüblich wären, sondern ein einem ausländischen Nachrichtendienst [AND] kämen?

Golke: [Keine Antwort.]

Notz: Sie sprachen von Vertrauen und Gefühl, das sie bei der Prüfung haben müssen. Ist eine der Fragen für das Vertrauen auch die Wahrhaftigkeit der erhaltenen Information. Wenn das von einem AND käme, wäre das egal?

Golke: Vielleicht sollte ich ein Szenario in den Raum stellen. Wir befinden uns in BND-Netzwerk, überall hohe Mauern. Es gibt einen Tunnel zur Zentrale. Sonst nur Mauern und Rohdaten. Sie können nur rein und nicht raus. Gucken in das erhaltene Gerät genauer rein, ganz tief ins Herz. Finden wir dort Beispiel Nordkorea oder irgendwelche drei Buchstaben: Macht das einen Unterschied? Bei Nordkorea: ja. Bei Partner-Geheimdiensten: nein. Kapselung ist ein viel-verwendetes Sicherheitsfeature: was kann uns passieren? Bei Datenabfluss nicht viel.

Notz: Interessant, sie sind ja noch beim BSI. Wie können sie ausschließen, dass die von ihnen geprüfte Hardware einen Trojaner hat? Ist doch relevant, ob da ein BND- oder ein NSA-Pferd im Raum ist. Ist ja ein hochsensibler, Grundrechts-relevanter Bereich. BND soll ja unsere Rechte schützen, muss man sich ja vergegenwärtigen. US-Geheimdienst hat einen anderen Fokus.

Golke: Trojaner-Angriff. Trojaner muss Kontakt mit Zentrale aufnehmen können, sonst ist er gekapselt. Sie kommen ja nicht raus,um sie sind Mauern. Sie könnten noch Denial of Service machen, deswegen wäre Nordkorea anders?

Notz: Warum Nordkorea anders?

Golke: Wegen Denial of Service (DoS).

Fragerunde 1: CDU/CSU (12:56)

Roderich Kiesewetter: Sie sind als Prüfer geladen und machen Prüfungen. Im TKÜV steht aber „Zertifizierung“. Was verstehen sie darunter?

Golke: Zertifizierung ist Ergebnis der Prüfung, setzt das voraus.

Kiesewetter: Prüfen Systeme?

Golke: Systeme, Komponenten, ja.

Kiesewetter: Auch Leitungen?

Golke: Ja, Netzwerk-Leitungen gehören dazu.

Kiesewetter: Nach Prüfung Zertifikat. Danach Gerät für Einsatz zugelassen?

Golke: Ja.

Kiesewetter: Prüfen sie jedes einzelne Gerät?

Golke: Nein, wir prüfen ein Muster.

Kiesewetter: Also einmal, danach Typ zertifiziert?

Golke: Ja, siehe Betriebssystem. Zertifizieren wir einmal.

Kiesewetter: NSA wurde angesprochen. TKÜV § 27 (Grundsätze, technische und organisatorische Umsetzung von Anordnungen, Verschwiegenheit): „Der Verpflichtete hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen und die folgende Anforderungen erfüllen […]“ Zertifizierungs-Gegenstand umfasst ausschließlich Geräte des BND?

Golke: Ja.

Kiesewetter: Geräte, die NSA dem BND gibt, sind nicht Gegenstand der Zertifizierung?

Golke: Wie soll ich ihnen das bestätigen. TKÜV macht klare Vorgaben, die prüfe ich. Wie kommen sie dazu, die NSA hinzuzunehmen?

Kiesewetter: Gemäß TKÜV ist Betrieb von Geräten des BND zu dulden, wenn fünf Punkte definiert sind. Sind das nur BND-Geräte oder auch von anderen?

Golke: Das weiß ich ja nicht. Manchmal werden Herstellerfirmen nicht genannt.

Kiesewetter: Laut TKÜV „Geräte des BND“. BSI sollte auch von NSA dem BND zur Verfügung gestellt Geräte prüfen. Sehen sie das auch so?

Golke: Insofern die TKÜV relevant ist, natürlich.

Kiesewetter: Ist ihnen bekannt, dass der BND ihnen Geräte anderen Ursprungs gegeben hat?

Golke: Ich verstehe die Frage nicht richtig. Wir haben kommerzielle Hard- und Software. Firma blenden wir aus,.

Kiesewetter: Aber es gibt ja auch selbst-entwickelte Produkte. Wären die ihm Rahmen der TKÜV auch zu zertifizieren?

Golke: Bei G-10 und TKÜV: ja.

Kiesewetter: Wenn Geräte innerhalb des BND entwickelt wurden oder der BND Geräte von AND bekommt, die bei TKÜV eingesetzt werden, muss BSI die zertifizieren?

Plöd: Rechtlicher Einwand. Text der TKÜV § 27 Abs. 3 sagt: „Der Verpflichtete hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen und die folgende Anforderungen erfüllen […]“ Da steht nur „Geräte des BND“. Es gibt keine Unterscheidung, woher die kommen, ob kommerziell, von anderen oder selbst entwickelt. Nur „Geräte des BND“.

Kiesewetter: Ja, Herr Rechtsanwalt. Da liegt ja der Hase im Pfeffer. Was bedeutet „Gerät des BND“? Ist ein Gerät, dass der BND von AND hat, auch „Gerät des BND“? Davon gehe ich aus. Sie nicken. Also von BSI zertifiziert?

Plöd: Das hat Herr Golke nicht zu prüfen.

Kiesewetter: Habe die Information, die ich in öffentlicher Sitzung erhalten wollte, erhalten. Gehe davon aus, dass alle Geräte, die der BND einsetzt, BSI-zertifiziert sein müssen. Haben sie etwas hinzuzufügen?

Golke: [Denkt wieder lange nach.] Ich weiß gar nicht, worauf sie hinaus wollen. Der BND stellt mir etwas hin und sagt: das muss zertifiziert werden. Punkt. Wo ist das Problem?

Kiesewetter: Prüfbericht vom Oktober 2005: Was war das erfassende System, welche Komponenten?

Golke: Alles schon einmal gelaufen. Rohdatenübernahme, Separator, zwei Ausgänge: G-10 und Routine, G-10-Verkehr nach DAFIS, letzte Stufe G-10-Konformität (Anordnungen), soweit das automatisiert geht. Das geht dann weiter an die Zentrale. Separator und DAFIS sind Hauptkomponenten des G-10-Verkehrs.

Kiesewetter: Prüfungszeitraum Juli bis Oktober 2005. Erste Besprechung am 30. März. Wie lange hat das gedauert: 4 oder 6 Monate?

Golke: [Zählt.] Sechs, sieben Monate.

Kiesewetter: Unterscheidung zwischen Gesamtvorgang und konkreter Zertifizierung.

Golke: Ja, kleine Ungenauigkeit.

Kiesewetter: Ist Prüfungsabschluss das Ende der Zertifizierungs-Vorgangs nach § 27? Oder Zertifizierung erst nach Abschluss der Prüfung?

Golke: Teilt Prüfergebnis mittels Prüfbericht mit. Ist die Zertifizierung.

Kiesewetter: Wie groß war Anteil dieser Prüfung an ihrer Arbeitszeit?

Golke: Nein, 5-10 Prozent meiner Arbeitszeit.

Kiesewetter: Routinevorgang im normalen Arbeitsalltag integriert?

Golke: Gibt natürlich 100 %-Tage. Aber langer Zeitraum, vier Monate.

Kiesewetter: In Chronologie steht auch Korrespondenz mit „Prüfbericht 0.1 zur Abstimmung“.

Golke: Vor Herausgebe darf sich prüfende Stelle äußern. Da könnten sie Einspruch erheben, Stellung nehmen. 23.09.2005 bis 12.10.2005: war wohl nicht so viel mehr.

Kiesewetter: BND hat Stellung genommen. Wie haben die reagiert?

Golke: Kleine Sachen.

Kiesewetter: Routinevorgang?

Golke: Ja. Keine großen Dinge. 13.10., am nächsten Tag, schon die endgültige Version verschickt.

Kiesewetter: Wie oft machen sie solche Prüfungen? Mehrfach im Jahr?

Golke: Früher sehr aktiv. Jetzt später zwischen Null und 50 Prüfungen.

Kiesewetter: Gab es mal – bezogen auf Untersuchungsgegenstand – Einwände oder Nicht-Zertifizierung?

Golke: Habe ich schon beantwortet.

Kiesewetter: Schreiben an BND 09.11.: „Prüfbericht kommt zum Schluss,dass die Anforderungen erfüllt sind und Konformität mit Gesetz dargelegt wurde.“ Was bedeutet „in ausreichendem Maße“?

Golke: Anforderungen sind die fünf Prüfpunkte. Konformität mit gesetzlichen Bestimmungen ist TKÜV.

Kiesewetter: Warum „ausreichend“ statt „hervorragend“?

Golke: Ist ja kein Arbeitszeugnis. „Ausreichend“ heißt für mich, dass ich das Zertifikat erteilen kann.

Kiesewetter: Seit Sommer 2013 intensive Diskussion über Datenschutz. Würden sie heute nochmal als „ausreichend“ einstufen?

Golke: Schwierige Frage. Angesichts der erhobenen Vorwürfe und des entstandenen Misstrauens müssen wir …. Wäre auch Änderungen nicht abgeneigt.

Kiesewetter: Wo können sie sich Verbesserungsvorschläge vorstellen? Öffentlich oder nicht-öffentlich. „Auf die abschließenden Empfehlungen in Kapitel 7 wird hingewiesen“. Was ist Inhalt der Empfehlungen?

Golke: Wie in Eingangsstatement gesagt: Beziehen sich auf Betriebsphase. Begrenzung der Region nach IP-Adressen: ist möglichst aktuell zu halten. Anteil des Gesamtverkehrs: kann nicht allein mit IT-Maßnahmen garantiert werden. 20-Prozent-Regel muss durch andere Maßnahmen sichergestellt werden. Kann man auch im Kabel machen. Löschung der Überwachungsdaten: ist eingehalten, ist ja alles on-the-fly, ohne Festplatte.

Kiesewetter: Meine (Frage)zeit ist fast abgelaufen. Wissen sie, ob die Empfehlungen implementiert wurden?

Golke: Nein, bekomme kein Feedback.

Sensburg: Wie spricht sich ihr Name aus?

Golke: Ich höre mittlerweile auf viele Namen.

Sensburg: Wie spricht sich ihr Name aus?

Golke: Wie Wolke, nur mit „g“.

Sensburg: Sie haben ihr Statement selbst verfasst?

Golke: Ja.

Sensburg: Warum schreiben sie sich dann „Gollke“?

Golke: Damit ich das richtig ausspreche.

Sensburg: Haben sie selbst verfasst, nicht erhalten?

Golke: Ja.

Plöd: Pause?

[13:28: 10 Minuten Pause.]

[13:43: Geht weiter.]

Sensburg: Wie haben den Personalausweis des Zeugen nochmal angeguckt. Er ist es.

Golke: Wenn ich das alles so ernst nehmen würde, wie sie, in meinem Einladungsschreiben haben sie meinen Namen auch falsch geschrieben. Eigentlich hätte ich gar nicht erscheinen müssen. Schön, dass meine handschriftliche Notitz an mich selbst zur Klärung beiträgt.

Fragerunde 2: Die Linke (13:46)

André Hahn: Ich bin einigermaßen erstaunt über die mangelnde Tiefgründigkeit der Prüfung. Sie prüfen anhand von Unterlagen, auch vom BND, wissen aber nicht, was die Maschine wirklich macht, erteilen aber trotzdem die Zertifizierung?

Golke: Das sind nicht meine Worte.

Hahn: Das ist meine Zusammenfassung. Trifft die im Kern zu?

Golke: Haben sie den Prüfbericht vorliegen?

Hahn: Ja, natürlich.

Golke: Da steht drin, was ich gemacht habe. Natürlich kann man mehr Aufwand reinstecken. Aber was hätte das am Ergebnis geändert? Die Schwachstellen habe ich ja benannt. Habe kein Prüfmandat und keine Zutrittsrechts, daran hapert es doch.

Hahn: Sie haben die Software auch im Labor nicht geprüft.

Golke: Stimmt.

Hahn: Was haben sie vor Ort gemacht? Wie prüfen sie die Maschine?

Golke: Die Geräte werden in Augenschein genommen?

Hahn: Von außen?

Golke: Ich werde das nicht Aufschrauben. Tiefenprüfung machen wir nur, wenn ich die Geräte auch wiedersehe. Wenn wir ein Mandat haben.

Hahn: Ich frage deshalb ein bisschen happig, weil es hier um Grundrechte geht. Warum gab es keinen Testlauf mit Daten? Sie haben ja keinen Testlauf gemacht, warum?

Golke: Das ist Aufwand. Der Hersteller prüft das.

Hahn: Aber sie zertifizieren es. Wie können sie das tun, wenn sie nicht prüfen, was das Gerät macht?

Golke: Ich habe die Papiere geprüft. Das ist die Tiefe, die für mich sinnvoll ist. Für Misstrauen habe ich zu wenig Hebel, da fehlt mir das Prüfmandat. Da habe ich andere Arbeit. Ich sehe nicht, was das bringen soll. Man muss sich auf die geprüfte Stelle verlassen. „Wo wie ich die Prüfung verstanden habe, ist meine Prüfung eine unabhängige Dienstleistung für die geprüfte Stelle, um zu Zeigen, wie sie TKÜV-Konformität erreichen kann, aber nicht, ob sie erreicht ist.“ Ich muss hier meinen Prüfauftrag verteidigen.

Hahn: Zu Prüfen ist ja auch die 20-Prozent-Regel. Sie schrieben, dass das seitens des BND nicht mit IT-Maßnahmen umgesetzt wurde. Heißt das, dass sie die Einhaltung der 20-Prozent-Regel durch den BND nicht prüfen konnten?

Golke: Das wurde anders gemacht.

Hahn: Sie sind zuständig für die Einhaltung der Punkte. Wie können sie zertifizieren, ohne sicherzustellen, wie das eingehalten wird?

Golke: Als Prüfer kann ich nicht sagen, wie jemand Konformität erreicht. Nur, ob das ok ist, was er macht. Es spielen immer so viele Dinge eine Rolle, ich könnte ihnen immer seitenweise erklären.

Hahn: Will ihnen ja helfen. Gibt ja verschiedene Wege, das sicherzustellen, hier ist keine.

Golke: Das IP-Protokoll paketiert, zerhackt Sessions in Pakete. Wenn sie 20 % nehmen, also jedes fünfte Paket, bekommen sie Bruchteile von E-Mails. Wir müssen erst das Protokoll zusammensetzen. Sie können die 20 % nicht als ersten Verarbeitungsschritt nehmen.

Hahn: Also muss man alles nehmen?

Sensburg: Zeit vorbei.

Fragerunde 2: CDU/CSU (13:57)

Kiesewetter: Separator ist Router für Grobtrennung: G-10 und Routine-Verkehre. Richtig?

Golke: Ja.

Kiesewetter: Musste die Steuersoftware für den Separator vom BND selbst entwickeln sein?

Golke: War für mich nicht wichtig. Selbst, wenn ein Trojaner eines AND drin ist, das sind ja keine Feinde. Die könnten das kaputt machen, das macht ja keinen Sinn für Freunde. Das ist ja gekapselt. Selbst wenn die NSA im Separator ist, macht das für mich keinen Unterschied, weil der Trojaner nicht nach Hause telefonieren kann. Damit ist der Trojaner für den Angreifer wertlos.

Kiesewetter: Kapitel 7 Empfehlungen: Verhinderung von Kernzugriffen: „Möglichkeit, Separator-Router in band zu steuern, ist zu sperren.“ Was bedeutet das?

Golke: Drei Schnittstellen: Konsole, LAN-Port mit Fernzugriff, In-Band. In dem Traffic, den der Verkehr nimmt, kann man den anpollen und sich mit dem unterhalten.

Kiesewetter: Wo ist das Risiko?

Golke: Damit kann man den manipulieren. Wie bei ihrem Router zu Hause: Schnittstelle nach außen deaktivieren. Nichts anderes hier. Abstellen, dann kann da nichts passieren.

Kiesewetter: Gibt es andere Steuerungsmöglichkeiten?

Golke: Konsole und LAN-Port.

Kiesewetter: Was sind Nachteile?

Golke: In-Band ist ja deaktiviert.

Kiesewetter: Wissen sie, ob ihrer Empfehlung gefolgt wurde?

Golke: Das ist zehn Jahre her. Ich habe nichts weiter gehört.

Kiesewetter: Welche Stelle im BSI beschäftigt sich mit Umsetzung und Verfolgung von Empfehlungen, ob die umgesetzt wurden?

Golke: Alle.

Kiesewetter: Aber sie waren nicht unmittelbar betroffen?

Golke: Nein.

Kiesewetter: Keine Empfehlungsüberprüfung?

Golke: Soweit ich weiß: nein.

Kiesewetter: „Routine-Verkehre nicht weiter betrachtet und nicht weiter behandelt.“ G-10 also anderer Strang? Was ist Routine-Verkehr?

Golke: Routine-Verkehr ist Ausland-Ausland-Verkehr, wo keine deutschen Staatsbürger beteiligt sind. Da hat BND Aufgabe, aufzuklären.

Kiesewetter: Welche rechtliche Grundlage für weitere Verarbeitung des Routine-Verkehr durch BND?

Golke: Geht auf G-10-Anordnungen von BMI/PKGr zurück: wie verifiziere ich das?

Kiesewetter: Hatten sie mal Zweifel an Rechtmäßigkeit?

Golke: Bei Auslandsverkehren habe ich da nichts damit zu tun, nicht meine Zuständigkiet.

Kiesewetter: Gab es Diskussion?

Golke: Nein.

Tankred Schipanski: Umsetzung überprüfen sie nicht, aber andere im BSI?

Golke: Weiß ich nicht.

Schipanski: Zertifizierung ist doch unter der Maßnahme, das ihre Empfehlungen auch umgesetzt werden, oder?

Golke: Ja, das ist das Dilemma.

Fragerunde 2: Die Grünen (14:08)

Hans-Christian Ströbele: Einleitender Verkehr in G-10 und Routine getrennt. Haben sie versucht zu prüfen, ob die Trennung auch 100 % klappt? Konnten sie G-10-Verkehre in Routine-Verkehren ausschließen?

Golke: Ist die Problematik, dass IPs nicht wie Telefon-Ländercodes funktionieren: 49 für Deutschland. Vier Milliarden IPv4-Adressen

Ströbele: Wie viele?

Golke: Vier Milliarden. Die fragmentieren sich, wie Festplatten. Gibt hunderttausende Ranges, die raus gefiltert werden müssen.

Ströbele: Woher wissen sie, dass in Routine-Verkehren keine G-10-Daten mehr drin sind?

Golke: Das sind ja die Listen, die reinkommen: IP-Ranges…

Ströbele: Haben sie aber nicht überprüft? Wurde das sauber getrennt? Oder kann es sein, dass 5 % G-10-Verkehre in Routine-Verkehren waren?

Golke: Danke für die Frage. Habe das geprüft wie beschrieben, nicht darüber hinaus. Greifen bei Prüfung auf Produktvorstellung des Herstellers zurück, der musste das prüfen.

Ströbele: Sie haben nicht geprüft, sondern sich auf Aussage des Herstellers verlassen?

Golke: Ja.

Ströbele: Hatten sie einen Hinweis, dass es nicht nur um Verkehre für BND ging, sondern auch AND, beispielsweise NSA?

Golke: Nein, war kein Thema.

Ströbele: Wussten nicht, dass BND Daten abgreift und dann an die NSA weiterleitet?

Golke: Was die mit den Daten machen, bleibt mir ja verborgen. In die operationelle Phase habe ich keinen Einblick.

Ströbele: Ganze Routine-Verkehre an die NSA gegeben?

Golke: Keine Ahnung.

Ströbele: Hätten sie die Prüfung nicht auch in ihrer Dienststelle machen können? Galt der Besuch nicht eher dem Kennenlernen?

Golke: Selbstverständlich war der Großteil der Prüfungen in meinem Büro, mit den zur Verfügung gestellten Dokumenten. Aber um Vor-Ort-Termin kommen wir nicht drumherum. Kontakt ist wichtig. Auch Präsenz bei der geprüften Stelle zeigen. Da wird auch geputzt und gewienert. [lacht]

Ströbele: Ist ja zum Lachen.

Golke: Es ging nicht um Misstrauen. Das gibt die Prüfung nicht her. Da finden sie ja gar kein Ende. Da geht es ja richtig zur Sache.

Ströbele: Diese Vorstellung ist völlig absurd?

Golke: Dann muss ich einen anderen Auftrag haben. Wer sich TKÜV drauf schreiben will, muss die Empfehlungen einhalten.

Fragerunde 2: SPD (14:17)

Jens Zimmermann: Es gab Vereinbarung mit NSA, Verkehre von US-Bürgern auszufiltern. Konnten die Systeme das? War das eingerichtet? Ist das eine reine Software-Konfiguration, IP-Ranges einzutragen?

Golke: In der Tat. Hängt von Kapazität des Routers ab. Vor zehn Jahren IPv4. Wir sind noch lange nicht bei IPv6. Ich weiß nicht, wie viele IP-Ranges es für Deutschland gab.

Zimmermann: Services in den USA gehostet. Kapazität des Routers. War das möglich mit der verbauten Hardware?

Golke: Kann sein, ist Einstellungssache. Routine-Verkehre wissen sie ja als PKGr gar nicht. Ist technisch möglich, weiß ich aber nicht.

Zimmermann: Hardware, LAN-Port, externer Zugriff, sockel-seitig deaktiviert. Standardhardware verbaut, Firmware nach Aktenlage geprüft, wenn überhaupt. Könnte nicht sei, dass die LAN-Port per Software deaktivieren, aber Firmware aktiviert den wieder?

Golke: Das wäre ein Angriff.

Zimmermann: Ich dachte, darum geht es in diesem Ausschuss. Aber ich bin neu.

Golke: Worum geht es?

Zimmermann: Als AND würde ich da angreifen.

Golke: Da geht nichts ohne Wissen des BND raus.

Zimmermann: LAN-Port ist für Fernwartung. Was heißt „fern-„?

Golke: Nachrichtenzentrale.

Zimmermann: Sichere Tunnel?

Golke: Ist alles verschlüsselt. Tunnel zur Zentrale. Intensive Laborprüfungen. Der Trojaner im Separator macht keinen Sinn, der braucht immer freies Internet.

Fragerunde 3: Die Linke (12:24)

Renner: Schlussfolgerungen für den Ausschuss, Regelungslücke. BSI-Zertifizierungsverordnung § 11 Abs. 2 (Mitwirkungsobliegenheiten): „Zur Zertifizierung von informationstechnischen Systemen obliegt es dem Antragsteller, dem Bundesamt und der sachverständigen Stelle kostenfrei Zugang zum installierten informationstechnischen System und zu den relevanten Standorten zu gewähren und die für die Prüfung notwendigen Rechte sowie die nach § 4 Absatz 1 erforderlichen Unterlagen und Nachweise zur Verfügung zu stellen.“ Entscheidung des BSI, davon nicht Gebrauch zu machen. Hat BSI mal Endversion der Technik an Standorten beim Provider geprüft?

Torsten Akmann, BMI: Das gilt erst seit 2014.

Renner: Hat man so etwas vorher gemacht?

Golke: Nein. Ich hatte fünf Prüfpunkte. Und bei Nachrichtendiensten sehr schwierig. Da brauche ich ein Mandat und kann nicht einfach hingehen.

Renner: Andere verlassen sich auf die BSI-Prüfung. Explizite Löschung gab es nicht, wurden überschrieben. Bericht S. 7: „verworfene Daten werden nicht explizit in eigener Routine gelöscht sondern naturgemäß nach gewisser Zeit von selbst überschrieben. Flüchtige Speichermittel, ausreichende Maßnahme.“ Was heißt „nach gewisser Zeit“?

Golke: Eins durch 10 GBit/s. Habe keinen Rechner dabei, Mikrosekunden.

Renner: Gilt auch für G-10-Verkehre?

Golke: Ja. [Denkt lange angestrengt nach.] Wichtiger sind Festplatten. Aber das ist wieder anders. Hier geht es nur um die Geräte mit ganz schnellem Durchsatz. Ich habe ja nur Gigabyte RAM, das geht schnell.

Renner: Was wird überschrieben? „Müll“? Oder auch G-10-Verkehre?

Golke: Auch das. Bausteine. Wie eine heiße Kartoffel. Geht sofort weiter: zack, zack, zack.

Renner: BNetzA hat sich auch damit befasst. Kennen sie die Zuarbeit?

Golke: Die muss sicherstellen, dass Rohdatenübernahme rückwirkungsfrei passiert. Bei meinem Besuch beim BND war BNetzA nicht dabei, hatten extra Termin.

Renner: Kennen sie die technischen Anregungen der BNetzA?

Golke: Davon höre ich zum ersten Mal, interessant.

Renner: BNetzA hatte auch Vorschläge zur 20-Prozent-Regelung.

Golke: Höre ich zum ersten Mal, interessant.

Renner: In Kommunikation BMI, BND, BNetzA waren sie nicht eingebunden?

Golke: Nein.

Renner: Warum „vermutlich G-10“ und „vermutlich Routine-Verkehre“?

Golke: Erst Pakete zusammen setzen, dann IP-Ranges filtern.

Renner: Für Gesetzgeber reicht „vermutlich“ nicht.

Golke: IP-Adresse ist keine Telefonnummer mit Name drauf. Problematisch. Ich kann nicht von einem 100-Prozent-Ansatz ausgehen. Da muss der Gesetzgeber Konsequenzen ziehen.

Fragerunde 3: CDU/CSU (14:35)

Keine Fragen.

Fragerunde 3: Die Grünen (14:35)

Notz: Können sie ausschließen, das in Routine-Verkehre G-10-Daten sind?

Golke: Nicht zu 100 %.

Notz: Wie viel dann?

Golke: Geht nie 100 %. Auch bei Telefon. Können sich in Frankreich ein französisches Telefon holen.

Notz: Das Problem ist uns bewusst. Wie funktioniert das mit zerstückelten Paketen? Paket für Paket?

Golke: Haben Empfangs- und Sende-Adresse.

Notz: Geht nur über IP-Adresse?

Golke: Nicht nur, ist mehr. Will ja nur die 0,01 % holen, die ich brauche. Dann natürlich auch Applikation. 2005 ging es ja nur um E-Mail. Da filtere ich alles andere heraus und gucke mir nur E-Mail an.

Notz: Vier Datentypen: E-Mail, IP-Telefonie (VoIP), Metadaten, Netzdaten. Laufen die alle über den Filter?

Golke: Ja, alle. Nicht nur aufgrund der IP, auch Applikation auf höheren Schichten. Durchläuft alles die Filter.

Notz: Sie sagen „es muss“. Die Frage ist, ob es das auch war. Es gibt die Vermutung, dass das bei Metadaten nicht so gewollt war.

Golke: Damals war das nur E-Mail.

Notz: Ihr Filter war nur E-Mail?

Golke: Das war damals der Punkt. Mit dem Hinweis, später mehr Protokolle integrieren zu wollen.

Notz: Metadaten?

Golke: Metadaten jetzt von IP?

Notz: Insgesamt. Das was die USA unter „metadata“ verstehen. Wurden die G-10-gefiltert?

Golke: Metadaten?

Notz: Haben sie sich mit Snowden-Unterlagen beschäftigt.

Golke: Kann ich nicht, ich hab da keinen Zugriff drauf. Nur vom Hörensagen, was man so liest im Internet.

Notz: Wir auch. Es gab ein Interesse, weltweit so viele Metadaten wie möglich zu sammeln.

Golke: Aha.

Notz: Und die haben sie nicht gefiltert?

Golke: Ich kann mich an Metadaten, Verkehrsdaten, Signalisierung-Daten nicht erinnern.

Notz: Ich könnte ihnen Akten vorhalten, aber nur nicht-öffentlich. Wir hatten ja Breitfelder vom BND hier. Der hat den BSI sehr gelobt. Wie kritisch sie Anlagen zu Eikonal überprüfen: „Ein BSI-Mann, der Profi ist, der wird jede Maschine so betrachten, als ob es eine feindliche ist. Das ist sein Job.“ Stimmt das, nach ihren Aussagen?

Golke: Er hat in einigen Punkten recht. Wir gucken, wo Nachrichtendienst-Angriffe Sinn machen. Nachrichtendienst-Angriffe im BND-geschützen Netzwerk macht keinen Sinn. Das gucken wir uns an. Aber das spielt keine Rolle für unsere Prüfung.

Fragerunde 3: SPD (14:47)

Keine Fragen.

Fragerunde 4: Die Linke (14:47)

Renner: Mit wem hatten sie im BND Kontakt?

Golke: Mindestens vier Techniker, einmal ein Jurist.

Renner: Sie waren immer alleine?

Golke: Ja.

Renner: BNetzA hat Sachverhalt 2004 bearbeitet. Vorschlag zu 20-Prozent-Regel 28.04.2004: „Aufgrund welcher Stellgrößen die Begrenzung auf 20% realisiert werden kann, war in dem Konzept noch nicht enthalten und ist noch abzustimmen. Aus meiner Sicht wäre ein möglicher Ansatz z.B. die in der Anordnung genannte prozentuale Beschränkung auf der Applikationsebene anzuwenden, indem z.B. die Anzahl der E-Mail, Webseiten, usw. bei der Nachverarbeitung (SELMA) um die erforderliche Anzahl nach einem Zufallsprinzip durch automatisches Löschen reduziert wird.“

Golke: Wäre eine mögliche technische Maßnahme.

Renner: Vorschlag kennen sie nicht?

Golke: Nein.

Renner: Haben sie sich Gedanken gemacht?

Golke: Nein, war nicht Prüfauftrag. Ich darf gar keine Vorschläge machen, wäre Beeinflussung. 20 % sind riesige Mengen im Internet. Mir wurde gesagt, sie können sowieso maximal nur fünf Prozent.

Renner: Fünf Prozent wovon?

Golke: Aller Leitungen.

Renner: Genau. Nicht der konkreten Leitung?

Golke: Nein.

Akmann: Hier kommen wir zunehmend in eingestufte Bereiche.

Renner: Sie sagten „need to know“ von Geheimdiensten. Ist das Politik im BSI?

Golke: Das ist im Verschlussachen-Bereich so, wir haben ja auch eingestufte Dokumente.

[14:54: Pause für namentliche Abstimmung im Plenum.]

[15:26: Geht weiter]

Fragerunde 4: SPD (15:26)

Keine Fragen.

Fragerunde 4: Die Grünen (15:26)

Notz: Sie sagten: „so wie ich die TKÜV auslege und verstehe“. Gab oder gibt es andere Auslegungen?

Golke: Über den Begriff „Zertifizierung“ gab es Diskussionen.

Notz: Wer hat da was vertreten?

Golke: Ich weiß nur, dass es eine Einschwingphase gab.

Notz: Hat der BND gesagt: „Liebes BSI, Zertifizierung heißt nicht Herz- und Nierenprüfung, sondern Schlüssigkeitsprüfung.“?

Golke: Nein, das kam nicht vom BND.

Notz: Wer wollte, dass die Prüfung intensiver sein sollte?

Golke: Wer was wann vertreten hatte, kann ich heute nicht mehr sagen.

Notz: Was haben sie vertreten?

Golke: Ich war pragmatisch. Ich übernehme das und mache das, wie ich das für richtig halte. Dann gucken wir mal.

Notz: Andere Kollegen hätten anders geprüft?

Golke: Das waren Berater, die hätten nicht prüfen können.

Notz: Wer hätte das entscheiden können?

Golke: Meine Hierarchie. Die stehen auf dem Bericht.

Notz: Namen?

Golke: [Drei Namen nicht verstanden].

Notz: Wer von denen hat entschieden, dass das gemacht wird?

Golke: Keine Ahnung, mir hat nur mein Referatsleiter Bescheid gesagt.

Ströbele: Ich bin erschüttert. Ich bin auch im PKGr. Wenn ich in Zukunft bei IT mal misstrauisch bin und mir geantwortet wird „das ist BSI-zertifiziert“, ist das dann wie hier? Eine Plausibilitätsprüfung ohne einen einzigen Test?

Golke: [Pause.]

Ströbele: Verstehen sie mein Problem? Bisher wurde immer gesagt, BSI sind Fachleute, die zertifizieren dass, dann hat das seine Ordnung. Dieser Glaube ist erschüttert.

Golke: Vielen Dank für die Frage. Es ist durchaus üblich, dass der Hersteller…

Ströbele: … nicht der Hersteller. Das BSI.

Golke: Ich stütze mich ja auf die Testumgebung des Herstellers.

Ströbele: Sie haben kein Misstrauen, das ist bei mir anders. Ich will, dass das BSI das auch überprüft. Sonst können wir es gleich lassen. Sie haben ihre Möglichkeiten gar nicht genutzt, sondern sich auf deren Angaben verlassen. Ihre Aufgabe ist, misstrauisch zu sein.

Golke: Teilweise haben sie recht. Aber es führt zu nichts, wenn ich keinen Hebel habe. Ich habe auch keine Möglichkeit, Schwachstellen zu stopfen. Ich habe kein Mandat. Wir prüfen nach Kriterien, nicht aus der hohlen Hand. Wenn die Vorschrift so ist, ist sie so.

Fragerunde 4: CDU/CSU

Keine Fragen.

Fragerunde 5: Die Linke

Keine Fragen.

Fragerunde 5: SPD

Keine Fragen.

Fragerunde 5: Die Grünen

Ströbele: Hätten wir auch lassen können. Sie könnten doch viel mehr prüfen. Ich kann nicht verstehen, dass sie sich auf Angaben des Herstellers verlassen. Wie können sie das tun.

Golke: Auf der Basis, wie ich das erläutert habe. Die Frage ist eigentlich beantwortet.

Fragerunde 6: Die Linke

Renner: Kapitel 6.2. ihres Berichts: 20-Prozent-Regel „wurde nicht mit IT-Maßnahmen umgesetzt. Wurde so begründet, dass Gesamtverbindung aller Ausland. […] Da sich 20-Prozent-Regel sich an Gesamtverkehr und nicht an Leitung orientiert.“ Wer hat diese Rechtsauffassung gesagt?

Golke: Wurde gesagt.

Renner: Von wem?

Golke: In Besprechungen?

Renner: Vom BND?

Golke: Von Juristen. BND.

Renner: Sie sortieren G-10, Routine und Müll. Findet 20 % vorher statt?

Golke: Ja. Sind ja Kabel, ich nehme mir immer eins raus.

Renner: Nicht bei E-Mails?

Golke: Nein.

Formalitäten: Vorsitzender (15:41)

Keine nicht-öffentliche Sitzung notwendig.

$Formalitäten

$Danke

[15:44: Zeugen wechseln.]

[15:48: Geht weiter.]

$Formalitäten

Zeuge 2: A. S., BND, Separator (15:52)

Rechtsbeistand ist Johannes „Johnny“ Eisenberg, Berlin.

Mein Name A. S., ich bin beim BND. Anschrift weiß ich nicht auswendig, in Berlin. Bin 50 Jahre alt.

Ich wünsche keine Eingangsstatement.

Fragerunde 1: Vorsitzender

Sensburg: Studiert?

A.S.: Diplom-Ingenieur Elektrotechnik, 1993 Abschluss.

Sensburg: Danach?

A.S.: Qualitätssicherung in Firma.

Sensburg: Wann BND?

A.S.: Januar 1994.

Sensburg: Firma war nicht vom BND?

A.S.: Nein.

Sensburg: Welche Aufgaben im BND 1994?

A.S.: Untersuchungen, Entwicklungen, Erfassungssysteme entwickelt.

Sensburg: Werdegang im BND?

A.S.: BND hat einen eigenen Entwicklungsbereich. Da war ich 7,5 Jahre. Kleine Geräte, prototypische Erfassungssysteme konzipiert und entworfen. Später Firmenentwicklungen geleitet.

Sensburg: Was heißt das?

A.S.: Haben keine Kapazitäten. Meistens Prototyp, dann an Firmen geben, begleiten das. 2001 habe ich gewechselt: in Kabelerfassung. Dann strategische Fernmeldekontrolle.

Sensburg: Welches Jahr?

A.S.: 2003.

Sensburg: Dann?

A.S.: Bis Oktober 2005 in diesem Bereich. Danach Referent im Bereich Entwicklung.

Sensburg: Bis wann?

A.S.: 2013.

Sensburg: Seitdem?

A.S.: Leiter eines eigenes Bereiches mit verschiedenen Bereichen, im wesentlichen IT-Unterstützung. Gibt Abteilung IT. Alles, was nicht darunter fällt, wird extra betrieben.

Sensburg: Separatoren. In welcher Funktion, in welchem Bereich haben sie damit zu tun gehabt? Entwicklung?

A.S.: Weniger. Bei Auftrag 2004 wollte man Aufsplittung von Traffic in G-10 und Routine.

Sensburg: Was war ihr Auftrag?

A.S.: Im Kabelbereich war ich Bedarfsträger. Haben das in die interne Entwicklungsabteilung gegeben.

Sensburg: Sie haben Bedarf beschrieben?

A.S.: Ja.

Sensburg: Was wollten sie?

A.S.: Haben Auftrag BND-Gesetz und juristische Vorgaben G-10-Gesetz. Wollten das einhalten.

Sensburg: Wie war das vor 2004?

A.S.: Hier Paketverkehre. Bei Telefon war das einfacher. Da konnte man das an den Strecken erkennen, ob Ausland oder Inland. Dann anhand Telefonnummer weiter gucken: 0049 in Deutschland, geschützt.

Sensburg: Wir ging das bei Projektentwicklung weiter?

A.S.: War zäh. Üblicher Weg ist, Firmen zu fragen. Wurde gemacht, aber Angebote waren völlig überteuert und damit für uns nicht realisierbar.

Sensburg: Und dann haben sie es selber gemacht?

A.S.: Der Entwicklungsbereich, ja.

Sensburg: Was macht das technisch?

A.S.: Hauptgrund ist G-10 und Nicht-G-10 zu trennen. Weitere Bearbeitungsschritte waren beschränkt von Datenraten. Üblicherweise Leitungen mit 10 GBit/s. Zu große Datenmengen für handelsübliche Geräte. Aufteilung notwendig.

Sensburg: War gerade ein BSI-Zeuge da. Der redete von viel „Müll“, der aussortiert wurde. Was teilt der Separator alles weg?

A.S.: Haben uns mit Entwicklern geeinigt, vier Kategorien zu entwickeln: Gesichert G-10-Verkehr, gesichert Routine-Verkehr, unklar und E-Mail.

Sensburg: Separator danach auch bei Satelliten oder bei leitungs-gebundener Kommunikation eingesetzt?

A.S.: Soweit ich weiß wurde bei Satelliten nie G-10 gemacht. Leitungs-vermittelt soweit ich weiß zu meiner Zeit nicht.

Sensburg: Nach Zertifizierung und Einsatz: Wie wurde Betrieb organisiert? Wer hat den programmiert?

A.S.: Separator als einzelnes Element wurde nicht zertifiziert, sondern das ganze Erfassungssystem. Verarbeitungskette mit Separator als einem Teil.

Sensburg: Wie ging Prozess des Einsatzes? Ist der programmierbar?

A.S.: Ja.

Sensburg: Wir ging der Prozess?

A.S.: Da wir keine Erfahrung hatten, haben wir die Informationen der Regional Internet Registries verwendet, die Country Codes. Dann gab es Einspruch der weiterverarbeitenden Stelle, das wäre zu ungenau. Sie wollten das selbst einstellen.

Sensburg: Dann neu programmiert?

A.S.: Ist halt Filter, wird mit Parametern eingestellt.

Sensburg: Vor Ort am Gerät oder ferngesteuert?

A.S.: Weiß ich nicht genau, normalerweise vor Ort.

Sensburg: War Filterung zufriedenstellend?

A.S.: Habe nichts gegenteiliges gehört?

Sensburg: Ist Separator ein Feinfilter oder ein Grobfilter?

A.S.: Was sind Fein- und Grobfilter?

Sensburg: Filterkaskade nach Separator. Hauptfilterleistung bei Separator oder in Kaskade danach?

A.S.: War nicht im weiterverarbeitenden Bereich, kann ich nicht genau sagen.

Sensburg: Wo endet ihre Erkenntnis? Am Separator? Sagt ihnen DAFIS was?

A.S.: Natürlich sagt mir das was. DAFIS kommt hinter Separator. Sammelt Pakete, die zusammengehört, decodiert das, danach kommt der Datenfilter.

Sensburg: Automatisiert? Oder wird mit Menschen auf zusammengesetzte Pakete geguckt?

A.S.: Nachrichtentechnisch.

Sensburg: Wird das dafür temporär auf dem Server abgelegt oder ist das ein Datenfluss?

A.S.: Datenfluss.

Sensburg: Wo? Nach Separator auf BND-Gelände geleitet? Oder noch wo anders?

A.S.: Wir wollen in der Zentrale so wenig wie möglich. Also ist das so nah wie möglich am Abgriffpunkt.

Sensburg: Wo ist der?

A.S.: Am Provider?

Sensburg: Wo sitzt der DAFIS-Filter?

A.S.: Weiß ich nicht genau. Sowohl Provider als…. Ist ja linear aufgebaut. Damals vor Ort.

Sensburg: irgendwann nicht mehr vor Ort, sondern in BND-Anlagen?

A.S.: Keine Ahnung.

Sensburg: Filter nach Zusammensetzung auch beim Provider?

A.S.: Ja.

Sensburg: Prozesse wahnsinnig schnell,ohne Zwischenspeicher, Puffer?

A.S.: Ja.

Sensburg: Vor Separator ist T-Stück?

A.S.: Ja.

Sensburg: Also haben sie Raum beim Provider für die Technik?

A.S.: Ja.

Sensburg: Was bedeutet „Kopie einer Strecke“?

A.S.: Physikalisch wird das Signal geteilt. Licht. Einen Teil abschalten (90 zu 10)…

Sensburg: Ist das noch Licht, was im Separator ankommt?

A.S.: Ja.

Sensburg: Und wie kommt es aus Separator?

A.S.: Verschiedene Module. Auch Licht oder elektrisch.

Sensburg: Separator und DAFIS ohne Speicherung und Pufferung?

A.S.: Ja.

Sensburg: Was passiert nach DAFIS?

A.S.: Keine Ahnung, nicht meine Zuständigkeit.

Sensburg: Wie effizient war der G-10-Filter in DAFIS?

A.S.: Habe ja vier Klassen genannt. Eine war nicht-identifiziert. Wir haben uns entschieden, das wie G-10 zu behandeln. Über Genauigkeit am Anfang kann ich nichts genaues sagen. Irgendwann gab es eine Zahl, das bei Ausland/Ausland-Verkehren nur maximal 1 % raus kam.

Sensburg: Selbst bei Ausland-Ausland 99 % G-10?

A.S.: Nein. Vier Klassen, drei relevant: Gesichert G-10, gesichert Routine, nicht-identifiziert. Für Routine (Ausland/Ausland) blieb 1 % übrig.

Sensburg: War das Probe oder Regelbetrieb?

A.S.: Ich war nur bei Probebetrieb dabei.

Sensburg: Wir lange ging der?

A.S.: Im November 2005 hab ich den Bereich verlassen. Probebetrieb war drei Monate nach erster Anordnung.

Sensburg: Probebetrieb irgendwann 2005?

A.S.: Nach G-10-Anordnung haben wir System bei Provider aufgebaut und dann 3 Monate Probebetrieb gemacht.

Sensburg: Regelbetrieb irgendwann 2006?

A.S.: Ja.

Sensburg: Da nicht mehr dabei?

A.S.: Genau.

Fragerunde 1: Die Linke (16:18)

Renner: Wurde kommerzielle Hard- und Software genutzt?

A.S.: Ja.

Renner: Welche Firmen?

A.S.: Nur nicht-öffentlich.

Renner: Bei Aufbau Kooperation mit NSA?

A.S.: Nein.

Renner: Komponenten von NSA oder Five Eyes?

A.S.: Nein.

Renner: Mit Contractors zusammengearbeitet?

A.S.: Nein.

Renner: Kontakt zur NSA oder AND in der Projektierung?

A.S.: Nein.

Renner: Auftrag vom Vorgesetzten?

A.S.: Ja.

Renner: Wer?

A.S.: General Breitfelder.

Renner: Weitergabe von Daten aus diesem Projekt an NSA haben sie nie gehört?

A.S.: Doch.

Renner: Wussten sie.

A.S.: Ja.

Renner: hatte dieses ziel Einfluss auf die Konzeption?

A.S.: Nicht wirklich.

Renner: Hilft mir nicht.

A.S.: Auftrennung G-10 und Nicht-G-10 ist unabhängig von Zusammenarbeit.

Renner: NSA hatte ja besonderes Interesse an bestimmten Datentypen: VoIP

A.S.: War nicht meiner Entscheidung.

Renner: Gab es besondere Anforderungen an das System, dass bestimmte Datenarten erfasst werden sollten?

A.S.: Nein.

Renner: Keine besondere Anforderung an Erfassung von Metadaten?

A.S.: Nein.

Renner: Nach Separator Licht oder Elektronisch. Welche Module, wie?

A.S.: Damals gab es die Module Licht/elektrisch. Wollten das auf handhabbare Massen reduzieren, also überwiegend elektrisch.

Renner: Wo Licht?

A.S.: Nur Eingang.

Renner: Vorhin sagten sie, Licht auch Ausgang?

A.S.: War Option.

Renner: Warum?

A.S.: Weiterentwicklung, Datenraten steigen.

Renner: Wurden auch Netzwerk- und Signaldaten vom Provider erfasst und weitergeleitet?

A.S.: Besonders erfasst für unsere internen Zwecke. Wir müssen wissen, wie viele Daten drin sind, um unsere Systeme zu dimensionieren.

Renner: Woher kamen Netzwerk- und Signaldaten? Aus Routine-Verkehren? Oder allen?

A.S.: Allen.

Renner: Wusste das Telekommunikations-Unternehmen, dass sie Netzwerk- und Signaldaten erfassen und auswerten? Betriebsgeheimnis?

A.S.: Keine Ahnung.

Renner: Dort keine 20-Prozent-Reduktion?

A.S.: Hm?

Renner: Na wurden ja aus allen Daten generiert?

A.S.: Der Leitung.

Renner: Mit diesen Daten kann man viel anfangen.

A.S.: Dann brauchen wir das genauer. Welche Daten meinen sie?

Renner: Welche haben sie denn erfasst?

A.S.: Verarbeitung von E-Mail bedeutet, dass man Pakete sammelt, zusammensetzt, dekodiert, am Ende eine E-Mail, die mit DAFIS gefiltert werden kann. Brauchen Hardware für Gesamtstrom, das müssen sie abschätzen. Das machen wir damit.

Renner: Border Gateway Protocol (BGP) und Label Distribution Protocol (LDP)-Daten. Ist das damit gemeint?

A.S.: Sagt mir nichts.

Renner: Wurden die Signaldaten auch weitergeleitet?

A.S.: Weiß ich nicht.

Renner: An welches Modul wurden die weitergeleitet?

A.S.: Gibt nur einen Steuerungsrechner für den Separator.

Renner: Konnte an die Signaldaten mit einem Viewer sehen?

A.S.: Was verstehen sie darunter?

Renner: Konnte man in die Live-Daten rein schauen?

A.S.: Nein. Kann auf Informationen in der Vergangenheit schauen.

Renner: Auf aktuelle Erfassung nicht?

A.S.: Kann ich nicht-öffentlich erklären.

Renner: Haben sie gehört, dass Netzwerk- und Signaldaten Betriebs- und Geschäftsgeheimnnis des Providers sein könnten?

A.S.: Weiß ich nicht.

[16:29: Unterbrechung für namentliche Abstimmung im Plenum über den Bundeswehr-Einsatz in der Türkei.]

[16:59: Weiter geht’s.]

Fragerunde 1: SPD (17:00)

Flisek: Wurden beim Filter auch Selektoren eingesetzt?

A.S.: Hm?

Flisek: Hatten sie mit der Prüfung von Selektoren zu tun?

A.S.: Nein.

Flisek: Wie wurde die Anlage gesteuert? Gab es Möglichkeit der Fernsteuerung, bsp. aus BND-Zentrale?

A.S.: Kann ich nicht sagen.

Flisek: Weil sie es nicht wissen?

A.S.: Fernsteuerung grundsätzlich unzulässig. Aber BSI hat eingeräumt, dass Fernwartung möglich ist.

Flisek: Welche Funktionen bei Fernwartung?

A.S.: Ob das System funktioniert oder nicht.

Flisek: War die Lampe auch mal rot?

A.S.: Beim Separator weiß ich nicht, bei anderen Systemen schon.

Flisek: Und dann?

A.S.: Per Fernzugriff Steckdose ausgeschaltet und eingeschaltet und hoffen, das System wieder hoch kam. Wenn nicht, musste man hinfahren,.

Flisek: Wie oft?

A.S.: Problem in der Umgebung war Staub. Spätestens alle zwei Monate musste jemand Staub absaugen

Flisek: Insgesamt störanfällig oder runder Betrieb?

A.S.: Rund.

Flisek: Welche Maßnahmen zum Schutz vor Fremdzugriff?

A.S.: Einbruchssichere Tür, Alarmanlage, verschließbare Racks, Passwortschutz auf Systemen.

Flisek: Die, die Zutritt hatten, wurden die vom BND besonders geprüft?

A.S.: Nein, waren nur BND-Mitarbeiter.

Flisek: Besondere Prüfung?

A.S.: Sind alles Ü3-überprüfte Mitarbeiter nach Sicherheitsüberprüfungsgesetz (erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen).

Flisek: Wurden Zutritte protokolliert? Staubsaugen?

A.S.: Nicht jede einzelne Maßnahme. Sicherheitsfirma protokollierte Alarmanlage. Darüber hinaus ganz normale Sicherheitsprotokolle.

Flisek: Nicht protokolliert, wer wie lange drin war?

A.S.: Alarmanlage hat jeden Zugang protokolliert.

Flisek: Identität?

A.S.: Nein. Hatten Ausweise vom Provider für Zugang zum Gebäude. Mussten uns anmelden. Zutritt nur zu Büro-üblichen Zeiten.

Flisek: BND-Mitarbeiter alleine da? Oder mit Netzbetreibern?

A.S.: Ich war verantwortlich, meistens war ich dabei. Manchmal Kryptologie erneuert, Chips getauscht, dann Mitarbeiter alleine da. Da habe ich die Zeit auf Plausibilität geprüft. Andere Mitarbeiter, denen ich von Anfang an vertraut habe.

Flisek: Gab es zu ihrer Zeit irgendwelche sicherheitsrelevanten Auffälligkeiten?

A.S.: Nein, keine.

Flisek: Zeuge G-10-Jurist des BND berichtete uns, dass unter seiner Aufsicht Suchprofile eingespielt worden. Können sie etwas zum Verfahren sagen?

A.S.: War nicht dabei, aber kenne Verfahren.

Flisek: Wie funktioniert das?

A.S.: Technischer Mitarbeiter, der die Anlage kennt, und Jurist, der CD mitbringt, einspielt, und danach mitnimmt oder vor Ort vernichtet.

Flisek: Heute war erster Zeuge vom BSI Prüfverfahren nach TKÜV. Prüfverfahren ist im wesentlichen unmittelbar nach Entwicklung, nicht im Wirkbetrieb. Welche Aussage ist qualitativ mit dieser „TKÜV-geprüft“ Zertifizierung verbunden?

A.S.: War bei der Entwicklung eingebunden, wollten das nicht in die Länge ziehen. Gab mit BSI ein Einvernehmen für eine Art Typprüfung, für die Zertifizierung unschädlich.

Flisek: Im BSI-Prüfbericht steht unter 7.2: „die geprüften und umgesetzten Maßnahmen sind abhängig von richtiger Konfiguration und damit Einstellungen, die erst im operativen Einsatz erfolgen.“ Durch Konfiguration und Einstellung kann man nicht-zertifierbare Zustände herstellen. Wie wurde sichergestellt, dass das im Betrieb nicht passiert ist? Welche Maßnahmen?

A.S.: Juristen im G-10-Bereich gucken auf solche Sachen, ob das so in Ordnung ist.

Flisek: Juristen auch vor Ort? Wie bei Einspielen des Suchprofils. Öfters? Stichproben gemacht?

A.S.: Nein. Letztendlich geht es darum, die Endergebnisse zu prüfen.

Flisek: Wie würde der Jurist das erfahren?

A.S.: Worauf wollen sie hinaus?

Flisek: Bin ja Jurist. Ich muss von dem Sachverhalt ja erst mal wissen.

A.S.: Die Konfiguration wird ja nicht ohne Einverständnis eines Juristen geändert.

Flisek: Wurden zu ihrer Zeit die BSI-Vorgaben eingehalten?

A.S.: Soweit ich das als Nicht-Jurist beurteilen kann, ja.

Flisek: Keine Auffälligkeiten?

A.S.: Nein.

Fragerunde 1: Die Grünen (17:18)

Notz: 14.10.2005

A.S.: Leiter eines Fachgebietes, Verantwortlich für Technik vor Ort, bei diesem einen Provider.

Notz: Der Provider ist kein Geheimnis mehr. Leiter Projekt EVN G-10 III? Oder Leiter Projekt Eikonal?

A.S.: Ich bin für Teilaspekt Eikonal vor Ort für Technik zuständig gewesen.

Notz: Waren nicht Leiter des Projekte Eikonal?

A.S.: Gibt mehrere Bereiche…

Notz: Waren sie für Eikonal verantwortlich?

A.S.: Nein.

Notz: Wer war ihr Vorgesetzter im Projekt Eikonal?

A.S.: Letztendlich der Abteilungsleiter Breitfelder.

Notz: Sie waren vor Ort zuständig. Bei Site B?

A.S.: Weiß Bezeichnung nicht mehr.

Notz: Site A, Site B, Site C sagt ihnen nichts?

A.S.: Habe das gehört, kann es nicht zuordnen.

Notz: Wofür waren sie regional zuständig?

A.S.: Bei Provider vor Ort.

Notz: Also in Frankfurt.

A.S.: Ja.

Notz: Gebäude mit angemieteten Räumen. Warum Sicherung durch Alarmanlage?

A.S.: Vorgabe unserer Sicherheit.

Notz: Genau. Warum?

A.S.: Wir machen einen Eingriff in das Grundrecht. Und wir haben dort Krypto-Geräte stehen. Da ist eine Alarmanlage selbstverständlich.

Notz: Gab es andere Mieter?

A.S.: Weiß ich nicht.

Notz: War das nicht interessant?

A.S.: Ich weiß nicht, ob es andere Mieter gab.

Notz: Es wurde nicht besprochen, ob in dem Gebäude mit ihrem hochsensiblen Grundrechtseingriff weitere Mieter waren?

A.S.: Nein.

Notz: Wer hatte denn Ausweise? Sie? Ihr Mitarbeiter? Sie waren BND vor Ort? Kommen sie aus Pullach oder Bad Aibling?

A.S.: Pullach.

Notz: Hatten Leute aus Bad Aibling Zugang?

A.S.: Es gab damals zwei Mitarbeiter im Bereich technische Unterstützung, die kamen aus Bad Aibling, die haben uns geholfen. Die hatten Ausweise.

Notz: Und Zugangscodes für die Alarmanlage?

A.S.: Ja.

Notz: Waren die da mal eigenständig drin?

A.S.: Nein.

Notz: Sie haben das überprüft?

A.S.: Immer, wenn ich vor Ort war. Nie Unregelmäßigkeiten bis Oktober 2005.

Notz: BSI-Prüfung war Typmuster-Prüfung. BND verständigte sich mit Vorgesetzten des eben angehörten BSI-Zeugen dazu. Wo kamen die Geräte her?

A.S.: Haben wir eingekauft.

Notz: Nicht von Amerikanern?

A.S.: Das System Separator….

Notz: Nee, ich frage nach den Racks.

A.S.: Es gab mehrere Systeme.

Notz: Aber auch welche von den Amerikanern.

A.S.: Ja.

Notz: Das haben sie dem BSI nicht gesagt.

A.S.: Haben wir nicht.

Notz: Wären die USA mit mehr als einer Typmusterprüfung einverstanden gewesen?

A.S.: Nicht so explizit, aber ich hab das auseinander gebaut.

Notz: Statt des BSI haben sie das auseinander gebaut?

A.S.: Ich bin der Techniker.

Notz: Sie haben die Anlage auf Herz und Nieren geprüft?

A.S.: Zumindest stichpunktartig angeschaut.

Notz: Gibt es dazu einen Bericht?

A.S.: Nein.

Fragerunde 1: CDU/CSU (17:27)

Kiesewetter: Welche Rolle spielten sie für BSI-Prüfbericht?

A.S.: Kann mich nicht erinnern. Meine Aufgabe war Unterstützung des Prüfberichts.

Kiesewetter: Auch Erstellen und Auswertung von Dokumentation?

A.S.: Ja.

Kiesewetter: Haben sie den Prüfbericht?

A.S.: Legen sie ihn mir vor.

[Bekommt den Bericht vorgelegt.]

Kiesewetter: Seite 2: Chronologie. Waren sie an den ersten dort genannten Treffen?

A.S.: Nein.

Kiesewetter: Also wissen sie auch nicht, wer?

A.S.: Nein.

Kiesewetter: Anforderungen: TKÜV § 27 Abs 2, heute Absatz 3. Anforderungen an technische Geräte des BND bei G-10-Maßnahmen. Einhaltung prüft BSI. Einsatz erst nach Zertifizierung. Richtig zusammengefasst?

A.S.: Bin kein Jurist.

Kiesewetter: Als Techniker?

A.S.: Würde ich zustimmen.

Kiesewetter: Was ist der Sinn dieser Zertifizierung?

A.S.: Grundrechtsschutz.

Kiesewetter: 9.11.2005 BSI an BND Prüfbericht geschickt. Blatt 7f. „Der Prüfbericht kommt zu dme Schluss, dass die Anfordeungen erfüllt sind und die Konformität nachgewiesen wurde.“ War damit die Zertifizierung abgeschlossen?

A.S.: Richtig.

Kiesewetter: Reicht „Ausreichend“?

A.S.: Juristisch wohl ja.

Kiesewetter: 13.-14.09.2005. Prüftermin vor Ort. Waren sie da?

A.S.: Nein.

Kiesewetter: Wissen sie, was überprüft wurde?

A.S.: Separator, Verarbeitungssystem, DAFIS-Filter.

Kiesewetter: Prüfbericht Seite 2: Telefonat BND K. und BSI Golke über Prüfbericht. Können sie sagen, worum es ging?

A.S.: Kann ich nicht. Hatten eine Entwurfsversion, um Korrekturen vorzuschlagen.

Kiesewetter: Kamm es zu Änderungen?

A.S.: Weiß ich nicht.

Kiesewetter: Am Ende gibt es Empfehlungen. Kennen sie die?

A.S.: Nicht wirklich. Sehe die zum ersten Mal.

Kiesewetter: Können sie was zur Umsetzung sagen?

A.S.: Es ist unsere Philosophie, das Vertrauen des BSI nicht zu missbrauchen, deswegen wird das umgesetzt. Beispiel Festplatten: selbstverständlich werden die entsprechend rückstandsfrei gelöscht und vernichtet.

Kiesewetter: Verhinderung von Fernzugriff: „Möglichkeit, Separator-Router in-band zu steuern, ist zu sperren.“ Was ist und bedeutet das?

A.S.: Router-Konfigurationen werden üblicherweise nicht vor Ort eingespielt, wäre zu aufwändig. Würde auch zu Ausfall kommen, muss ja gleichzeitig passieren. Daher bei Providern Umkonfiguration üblicherweise in-band, also über Verbindung, die ohnehin zwischen Routern besteht.

Kiesewetter: Risiken? Alternativen?

A.S.: Ist ja Erfassungssystem, da ist das ausgeschaltet. Geht auch vor Ort.

Kiesewetter: Wie wurde mit der Empfehlung des BSI umgegangen?

A.S.: Wurde selbstverständlich ausgeschaltet.

Kiesewetter: Routine-Verkehr in anderem Verarbeitungsstrang als G-10. Wusste BSI das?

A.S.: Ja.

Kiesewetter: Konnte das BSI, dass der BND nach § 1 Abs. 2 G-10-Gesetz auch Routine-Verkehre auswerten wollte?

A.S.: Ja.

Kiesewetter: Gab es Bedenken?

A.S.: Schreiben von Breitfelder.

Fragerunde 2: Die Linke (17:41)

Renner: Widerspruch zu anderen BND-Mitarbeitern. Sie sagten, sie bekamen von der Telekom einen Ausweis. Andere sagten, sie waren als Institut für Fernmeldestatistik legendiert?

A.S.: Ist kein Widerspruch.

Renner: Telekom hat also die Ausweise ausgestellt?

A.S.: Richtig.

Renner: War das Krypto-Gerät Sichere Inter-Netzwerk Architektur (SINA)?

A.S.: Ja.

Renner: Last Probebetrieb, Wirkbetrieb?

A.S.: Zu meiner Zeit 10 GBit/s.

Renner: Erfassungssystem: Teil der BND-Technik (und möglicher Separator) nicht in BND-Räumen, sondern im Betriebsraum 3 der Telekom?

A.S.: Nein. Besonders von uns gesicherter Raum.

Renner: Gab es außerhalb der drei vom BND angemieteten Räumen, Technik im Bereich des Erfassungssystems, die in anderen Räumen der Telekom waren?

A.S.: Wir brauchen ja eine Kopie des Verkehrs. Wo der Provider das macht, wissen wir nicht. Diese Kopie wird in unseren Raum geleitet.

Renner: Bei Dopplung keine Technik des BND?

A.S.: Nein.

Renner: BND und vom BND zur Verfügung gestellte Technik nur in den drei von BND angemieteten Räumen?

A.S.: Ja.

Renner: Haben wir anders gehört.

A.S.: Mir ist nicht bekannt, dass wir dem Provider Technik für Dopplung gegeben haben.

Renner: Nicht nur Dopplung, irgendeine Komponente.

A.S.: Ist mir nicht bekannt.

Renner: Hätten sie das wissen müssen?

A.S.: War zuständig, hätte ich wissen müssen, hätte ich gewusst.

Renner: Technische Maßnahmen zur Einhaltung § 5 BND-Gesetz: Berichtigung, Löschung und Sperrung personenbezogener Daten. Was wurde getan?

A.S.: Keine technischen Maßnahmen. Auswahl an Leitungen. Wenn es zehn Leitungen gab, hat man sich auf zwei beschränkt.

Renner: Und zu welchem Prozentsatz diese beiden?

A.S.: Voll.

Renner: Die Interpretation kam von wem?

A.S.: Juristen.

Renner: Wer genau?

A.S.: Kann ich nicht genau sagen. Haben sehr viele Dialoge mir Juristen geführt. Irgendwann gab es Diskussion, nur jedes fünfte Paket zu nehmen. Das ist völlig sinnlos.

Renner: BNetzA machte diverse technische Vorschläge dafür. Kennen sie sie?

A.S.: Kann ich nicht erinnern.

Renner: Sie kannten den BSI-Prüfbericht bis eben nicht?

A.S.: Ja.

Renner: Wie kann das sein?

A.S.: War nicht meine Aufgabe.

Renner: Aber sie waren technisch verantwortlich.

A.S.: Wann erstellt?

Renner: 13.10.2005.

A.S.: Sehr komplexes Projekt. Teilprojekte. Prüfung war nicht meine Aufgabe.

Fragerunde 2: CDU/CSU (17:49)

Schipanski: Zeuge vom BSI sagte, er gab ihnen den Bericht, damit die Empfehlungen umgesetzt werden. Wenn sie den Bericht nicht kennen, wer war zuständig?

A.S.: Der Entwicklungsbereich.

Schipanski: Wer war das im konkreten Fall?

A.S.: Weiß ich nicht.

Fragerunde 2: Die Grünen (17:52)

Ströbele: 20-Prozent-Regel passt nicht auf paketvermittelte Verkehre. Gesetz ist älter. Haben sie erwogen, das Gesetz zu ändern?

A.S.: Dazu bin ich nicht in der richtigen Position. Gibt regelmäßig Besuche der G-10-Kommission und des PKGr. Wäre deren Aufgabe.

Ströbele: Separator separiert Routine-Verkehre und G-10-Verkehre (und Müll). Wurden ihnen Zweifel bekannt, ob das 100-prozentig klappt?

A.S.: Deswegen ist das Filter-System mehrstufig ausgelegt. Nach DAFIS-Filter schauen Mitarbeiter drauf. Was nicht korrekt läuft, kann ich nicht sagen. Ist nicht in meinem Zuständigkeitsbereich.

Ströbele: Also ja, Probleme bekannt?

A.S.: Wenn ein deutscher in Frankreich telefoniert, erkenne ich das nicht an der Telefonnummer, ich brauche andere Kriterien. Separator ist Telefonnummer-Filter.

Ströbele: Wie viele Prozent schafft der Separator nicht?

A.S.: Kann ich nicht sagen, hängt von guter Auswahl der IP-Adressen ab.

Ströbele: Vorhin sagte Herr Golke, er hat sich nicht damit befasst, aber das geht auch gar nicht.

A.S.: Ist abhängig von der Konfiguration.

Ströbele: Nachdem alles gemacht wurde, gab es immer noch Bedenken?

A.S.: Bei Separator war ich nur kurz im Probebetrieb dabei. Was danach kam, kann ich nicht sagen.

Ströbele: Haben sie danach etwas gehört?

A.S.: Nein.

Ströbele: Wäre ihnen das mitgeteilt wurden, wenn sie gefragt hätten?

A.S.: Bin mir nicht sicher. Hatten damals noch Schotten-Prinzip: Kenntnis nur, wenn nötig.

Fragerunde 2: SPD (17:59)

Keine Fragen.

Fragerunde 3: Die Linke (17:59)

Renner: Sie kennen den Prüfbericht nicht, kennen sie Herrn Golke?

A.S.: Habe ihn getroffen.

Renner: Woher? Labor?

A.S.: Haben vorher zwei andere Systeme zertifizieren lassen.

Renner: Hat ja nicht nur Separator zertifizier, sondern das Gesamtsystem. Wer war das?

A.S.: Weiß ich nicht.

Renner: Wenn sie das aufgeschraubt haben, warum hatten sie nicht Kontakt zum BSI?

A.S.: Drei Systeme, nur eins habe ich aufgeschraubt, von den USA.

Renner: Was war das?

A.S.: Mehr oder weniger handelsüblich. Die kochen auch nur mit Wasser.

Renner: Das hilft uns nicht. Wir finden Bezeichnungen der Systeme und Schaltpläne und würden das gerne wissen.

A.S.: Kann ich nicht-öffentlich sagen.

Renner: Sie waren technischer Experte. Warum hatte BSI nicht mit ihnen Kontakt, sondern mit jemand anderes?

A.S.: Auftrag für Separator war im Entwicklungsbereiche. Vorher abgeschirmt, wenig interne Bereiche involviert. Danach ganzes Thema viel zu komplex. Entwickler in Außenstellen. Daher Hoheit im Entwicklungsbereich.

Renner: Die anderen beiden zertifizierten Systeme waren für Einsatz in Deutschland?

A.S.: Ja, sonst bräuchten wir keine Zertifizierung.

Renner: BNetzA muss Einvernehmen erklären. Gab technische Vorschläge für 20-Prozent-Problem: Zufälliges Löschen. Darauf antwortete der BND. E-Mail BND an BNetzA: „Hier im Haus hat es etwas Unruhe gegeben, weil in ihrem Haus von einem Seperator zur G-10-Anordnung die Rede war. […]“ Was ist der G-10-wirksame Teil des Separators?

A.S.: Weiß ich nicht.

Renner: Habe ich auch nicht verstanden. Wollen sie das lesen?

A.S.: Ja, bitte.

[Bekommt und liest Akte.]

Eisenberg: Tagebuchnummer MAT A [A-5/1A?]

Renner: Was ist da mit „G-10-wirksamer Bestandteil“ gemeint?

A.S.: System besteht nicht nur aus Separator, sondern müssen RegTP/BNetzA und BSI gesamte Anlage vorführen. Das ist nicht nur Separator, sondern Eingang, Verabeitungs-Komponenten und Daten[XXX].

Renner: Liefen 100 % der erfassten Daten durch den Separator?

A.S.: Ja.

Renner: Da wurde nicht vorher etwas separiert?

A.S.: Nein.

Fragerunde 3: CDU/CSU

Keine Fragen.

Fragerunde 3: Die Grünen

Notz: Wie viele Daten gehen durch die Filter, Menge? Erstmal leitungs-vermittelt.

A.S.: Welches System? G-10?

Notz: Insgesamt.

A.S.: Über Separator sprechen wir nur bei Paketvermittlung.

Notz: Wie viel landet an bei Leitungsvermittlung?

A.S.: Kann ich nicht mehr exakt sagen.

Notz: Ungefähr reicht.

A.S.: Ungefähr 622 MBit/s.

Notz: Die landen da an und werden gefilert.

A.S.: Ja.

Notz: Werden die vor der Filterung nochmal gedoppelt, gespiegelt, verschickt, gespeichert?

A.S.: Nein.

Notz: Auch keine Meta- oder Verkehrsdaten?

A.S.: Nein.

Notz: Da sind sie absolut sicher.

A.S.: Ja.

Notz: Könnte das erfolgen, ohne dass sie das mitbekommen?

A.S.: Selbst wenn, das hätte keine Auswirkungen. Niemand kommt an die Daten außer der BND.

Notz: Wurde nicht gemacht?

A.S.: 622 MBit/s bedeutet, alle acht Sekunden eine CD brennen. Ging damals nicht. Macht auch keinen Sinn.

Notz: Müssen wir nachher nicht-öffentlich diskutieren. Da muss ich ihnen etwas vorhalten. Sie waren Projektleiter Eikonal für eine bestimmte Zeit, wussten aber nicht alles. Die Fäden liefen woanders zusammen?

A.S.: Ja.

Notz: Ist das Teil des Need-To-Know?

A.S.: Kann ich nicht beurteilen. Wen der Abteilungsleiter das meint, dann ist das so.

Notz: Kam ihnen das damals komisch vor? Wenn ich Projektleiter bin interessiert mch das, ich bin ja verantwortlich.

A.S.: Ist irritierend, ja.

Notz: Erinnern sie sich an einen Streit über die Auslegung der juristischen Auffassung, dass man Routine-Verkehre erfassen kannm, in dem man eine G-10-Anordnungen organsiert?

A.S.: Nein.

Notz: Können sich nicht erinnern, dass es zwei Meinungen gab?

A.S.: Nein.

Notz: Ihre Juristen haben immer gesagt, das geht so?

A.S.: Ich hatte Anweisungen.

Notz: Aber der BND ist ja kein Rack. Dass es juristisch eine steile These ist, wussten sie nicht?

A.S.: Letztendlich war das so.

Notz: Man hat ihnen das vorgesetzt?

A.S.: Ja.

Notz: Wissen sie, was ein Pre-Snapshot ist?

A.S.: Nein.

Notz: Was ist ein Snapshot?

A.S.: Eine kurzfristige Aufzeichnung eines Signals zur Bestimmung von Parametern für die Einstellung der Geräte (Multiplex-Verfahren).

Notz: Wo macht man den Snapshot?

A.S.: Am Kabel direkt.

Notz: Auch zwischendrin mal?

A.S.: Nein.

Notz: Warum? Was ist daran problematisch?

A.S.: Ich verstehe die Frage nicht.

Notz: Ich habe viel über Snapshots gelesen. Nach meinem Kenntnisstand ist das ein durchaus problematischer Eingriff, auch rechtlich.

A.S.: Ja, sehe ich auch so.

Notz: Warum?

A.S.: Sind potentiell auch Daten von Grundrechtsträgern drin.

Notz: Nach Aufschaltung keine Snapshots?

A.S.: Nicht zu meiner Zeit.

Notz: Bei Beginn von Eikonal war ja noch nicht komplett von Leitungs- auf Paket-Vermittlung umgestellt. Hatte der BND das Gefühl, bei der Umstellung des Prozesses rechtlich gut aufgestellt zu sein?

A.S.: Das müssen bei uns die Juristen beurteilen.

Notz: Mit denen saßen sie oft zusammen.

A.S.: Über anderes.

Notz: Sagte jemand, man bräuchte ein neues Gesetz?

A.S.: Wurde angesprochen.

Notz: Kam aber nicht. Also Basteln?

A.S.: Kein Gefrickel.

Notz: Lösung wäre neues Gesetz, hat man nicht bekommen. Passte nicht mehr zu Rechtslage.

A.S.: Ja.

Fragerunde 4: Die Linke (18:22)

Renner: Gab es für Betrachtung von Snapshots eine extra Software?

A.S.: Nein.

Renner: Wie dann?

A.S.: Hinfahren.

Renner: Verfasserin des Schwachstellenberichts war im Kanzleramt. Sie auch dabei?

A.S.: Nein.

Renner: Haben sie sich für heute mit Akten vorbereitet?

A.S.: Selbstverständlich.

Renner: Vom BND bekommen?

A.S.: Ja.

Renner: BSI-Prüfbericht war nicht dabei?

A.S.: Waren sehr viele Ordner, wollte nicht alles auswendig lernen.

Renner: Keine Fragen öffentlich, aber nicht-öffentlich.

Fragerunde 4: CDU/CSU (18:24)

Schipanski: Sie stellen als Techniker gerade fest, dass die Rechtslage nicht ausreicht.

A.S.: Bei paketvermittelten Verkehren kam die Idee auf, jedes fünfte Paket zu verwerfen. Das ist technischer Schwachsinn, dann können sie alles wegwerfen.

Schipanski: Aber das Gesetz schreibt das ja nicht vor.

Notz: 20-Prozent-Regel!

Schipanski: Hat der Zeuge doch erklärt, wie das angewendet wird.

A.S.: Es gibt aus unserer Sicht eine Unschärfe. Gibt ja eine Diskussion. Muss man genauer definieren.

Schipanski: Sie haben es ja richtig ausgelegt.

A.S.: Ja.

Fragerunde 4: Die Grünen (18:27)

Notz: Mit Projekt „Globe“ vertraut?

A.S.: Nein.

Notz: Davon gehört?

A.S.: Ja.

Notz: Wurde das abgestimmt?

A.S.: Nein.

Notz: Haben sie von ähnlichen Projekten gehört? Gab es andere?

A.S.: Nein. Habe von keinen anderen gehört.

Notz: Nur noch nicht-öffentliche Fragen.

Formalitäten 2: Vorsitzender (18:28)

Vorschlag: Ausschuss der Öffentlichkeit. Besondere Grunde des Wohls des Bundes.

Wer ist dafür? Dagegen? [*meld*] Stimmen aus der Tribüne werden nicht gewertet. Beschlossen.

$Danke.

Neuer Zeuge Laux.

[18:30: Unterbrechung für fünf Minuten.]

[18:36: Geht weiter.]

$Formalitäten

Zeuge 3: Udo Laux, ehemals Deutsche Telekom

Rechtsbeistand ist wieder Dr. Gina Greeve.

Mein Name ist Udo Laux, 1949 geboren, Anschrift ist 53913.

Eingangsstatement: Bin seit dem 1.4.2009 Beamter im Vorruhestand und war bei Telekom. Seit Mitte 1998 bis 2003 im Geheimschutz tätig. TKÜV. Durchführung von TKÜV war ich nicht befasst,. War nicht operativ tätig. Wechsel in die Konzernsicherheit, aber keine Aufgaben der IT-Sicherheit oder des Datenschutzes. Antworte gerne, aber nicht alles öffentlich. Habe eine eingeschränkte Aussagegenehmigung, vor allem auf § 14 PUAG: Ausschluss der Öffentlichkeit. Über Verschlusssachen darf ich nicht öffentlich reden. Ladung kurzfristig. Tätigkeit im Geheimschutz ist fast 12 Jahre her, kann mich nicht an alles erinnern.

Kann zum eigentlichen Gegenstand wenig sagen. Habe von einem etwaigen Vertrag erst aus den Medien erfahren. Kenne den nicht, hatte keine Berührungspunkte damit.

Fragerunde 1: Vorsitzender (18:42)

Sensburg: Werdegang?

Laux: Nachrichtentechnik studiert, Diplom-Ingenieur, 1973.

Sensburg: Direkt zur Post?

Laux: Stipendium von der Bundespost, musste mich direkt verpflichten. August 1984 ins Bundespostministerium bis 1991, dann Deutsche Telekom AG. Betriebssicherung.

Sensburg: Vorher auch Datenschutz und Betriebssicherung?

Laux: Datenschutz war was anderes. Hatte Betriebssicherung in ganzer Laufbahn, verschiedenste Art.

Sensburg: Telekom bis 1998?

Laux: Ja, dann in Bereich Geheimschutz. Krisenmanagement.

Sensburg: 1991 bis 198 auch Geheimschutz?

Laux: Nein, Betriebssicherung.

Sensburg: Süddeutsche zu Eikonal, Oktober 2013. Auch Vertrag mit Telekom. Ist ihnen die Beteiligung bekannt?

Laux: Ich habe von dieser Behauptung das erste mal in den Medien gehört. In meiner abonnierten Zeitung oder Newslettern im Internet.

Sensburg: Sagt ihnen Transit etwas in diesem Zusammenhang?

Laux: Nicht in diesem Zusammenhang. Im Fernmeldeverkehr Transit-Verkehr beispielsweise von NL nach AT durch DE.

Sensburg: Wer in Telekom war für Sicherheit zuständig, also Integrität von Strukturen?

Laux: Welcher Zeitraum?

Sensburg: 2003-2008.

Laux: Muss ich nachdenken. Wir wurden alle zwei Jahre organisiert. 2003 war das glaube ich eine Stelle in Darmstadt. Das wurde dann irgendwann 2004 mit der Konzernsicherheit zusammengeführt.

Sensburg: Wenn der BND Daten von Telekom ausleitet, wer ist da bei Telekom zuständig? Vorstandsvorsitzender?

Laux: Daily Business ist das für einen Vorstandsvorsitzenden nicht. Wir haben ja eine Einheit für Telekommunikationsüberwachung: Regionalstelle für staatliche Sonderauflagen (ReSA), ist hier bekannt. Da wenden sich Polizeien von Bund und Ländern hin. Da würden sich auch Dienste melden. ReSA wäre Ansprechpartner.

Sensburg: Hatten sie mit ReSA zu tun?

Laux: Ja, im Rahmen der Protokoll-Kontrolle.

Sensburg: Was bedeutet das?

Laux: TKÜV § 16 (Protokollierung) regelt Telekommunikationsüberwachung (TKÜ) durch system-integrierte Techniken. Dieser Einsatz wird protokolliert. Ist ein ganzer Katalog. Das wird gespeichert. Dann kommt § 17 TKÜV Protokollkontrolle (Prüfung und Löschung der Protokolldaten, Vernichtung von Unterlagen). Da ist in Geheinschutz-betreuten Unternehmen der Sicherheits-Bevollmächtigte zuständig. War von 1998 bis 2003 meine Aufgabe. Wurden ausgelesen, in Bereich Geheimschutz übermittelt. Mussten dann 20 % der Daten prüfen, davon bei ReSA die Anordnungen sehen.

Sensburg: Wer war damals Sicherheits-Bevollmächtigter?

Laux: Dr. Schwarzer.

Sensburg: Nicht Königshof.

Laux: Glaube nicht.

Sensburg: Sagt ihnen Eikonal was?

Laux: Nur aus den Medien.

Sensburg: Wenn so etwas 2004 passiert wäre, hätten sie das mitbekommen in der Protokollkontrolle?

Laux: TKÜ betrifft nur Individual-Verkehre.

Sensburg: Also Polizei und Staatsanwaltschaften.

Laux: § 100a, § 100b Strafprozessordnung (StPO).

Sensburg: Für Dienste nicht zuständig?

Laux: Doch, wenn es Anordnung gibt, wird die genauso protokolliert.

Sensburg: Weg von individuell: hin zu Ausleitung von Datenströmen. Auch ihr Themenbereich?

Laux: Nein.

Fragerunde 1: Die Linke (18:56)

Renner: Untersuchen derzeit Eikonal. Unterlagen sagen, dass sie auch bei Besprechung von BND und Telekom waren.

Laux: Ich?

Renner: Ja.

Laux: Wann?

Renner: 29.08.2002. Dr. Köbele kennen sie?

Laux: Ja. Aber wir sind nur der „Edelpostbote“. Sind inhaltlich nicht zuständig. Nur für Handlung von Geheimschutz. Vielleicht in diesem Zusammenhang.

Renner: Kennen sie Herrn Alster?

Laux: Ja.

Renner: Wie mit ihm gearbeitet?

Laux: Ist ja Leiter der ReSA in Frankfurt. Der war mein Ansprechpartner bei der Protokollkontrolle.

Renner: Im Wesentlichen TKÜ auf konkrete Anschlüsse bezogen. Hatten sie Kenntnis, dass es einen Kabel-gestützten Erfassungsansatz durch den BND in Frankfurt gibt, jenseits der individuellen G-10-Anträge auf Einzel-Anordnungen?

Laux: Kann ich mich nicht erinnern. Wenn es dazu ein geheim eingestuftes Papier gab, kann es sein, dass ich das gehandelt hatte. Aber nicht operativ verantwortlich.

Renner: Konkrete Fragen zu Unterlagen wohl nur in eingestufter Sitzung. Können sie mit Routine-Verkehre etwas anfangen?

Laux: Was ist das?

Renner: Begriffsschöpfung des BND.

Laux: Kenne ich nicht.

Renner: Hatten sie mal was mit einem AND zu tun?

Laux: Nicht, dass ich wüsste.

Fragerunde 1: SPD (19:01)

Mittag: Gab es bei Protokoll-Kontrolle mal Auffälligkeiten?

Laux: Mussten an RegTP/BNetzA berichten. Die waren eingestuft. Bin mir nicht sicher, ob ich dazu etwas sagen darf.

Mittag: Mal allgemein: gab es Fälle, wo etwas nicht so läuft, wie sie sich das vorstellen?

Laux: Kann ich nicht bestätigen.

Mittag: Es lief immer gut?

Laux: Inhalt des Berichts ist eingestuft.

Mittag: Protokolle gingen zur BNetzA, dann erledigt?

Laux: Ja. Dann Prüfung pro Quartal.

Mittag: Gingen Berichte nur an BNetzA?

Laux: Bei Protokoll-Kontrolle. Bei technischen Problemen bei Individual-Maßnahmen ging das zwischen ReSA und Bedarfsträger. Aber das sind interne ReSA-Abläufe, da kann ich wenig sagen.

Mittag: Sie hatten auch unterschiedliche Adressaten?

Laux: Diese Probleme hatte ich nicht, ich war nicht zuständig, sondern ReSA.

Mittag: Sie waren für Geheimschutz zuständig. Haben sie mal eine rechtliche Lücke gesehen?

Laux: Verstehe die Frage nicht.

Mittag: Lücken der Technik?

Laux: Ich war nur für Protokoll-Kontrolle zuständig.

Mittag: Eingeschränkter Arbeitsbereich?

Laux: Sie wissen, was ich meine mit Protokoll-Kontrolle? [Erklärt’s nochmal.] Aber sie fragen ja mehr Technik-bezogen.

Mittag: Haben sie Anordnungen überprüft?

Laux: Ja, das war ja die Aufgabe.

Mittag: Das war immer abgedeckt?

Laux: Im Protokoll stand ja drin, wie lange die Anordnung geht. Das haben wir geprüft.

Mittag: Das war die Bandbreite der Prüfung?

Laux: Ja. Ohne Anordnung keine Aktivierung. Schutz, damit da nichts passiert. Ein Damokles-Schwert über den Leuten, die an der Anlage arbeiten.

Zimmermann: Nochmal erklären, was sie machen? Arbeitsabläufe.

Laux: TKÜV § 16, § 17. In der Technik war die Protokollierung vorgegeben. Die musste eingebaut werden. Technik erzeugt die Datensätze. Die wurden ausgelesen, zu uns transportiert, die haben wir dann sortiert, 20 Prozent ausgewählt und die Anordnungen davon geprüft. Ist nichts Technisches, ganz einfache Sache eigentlich.

Zimmermann: An den Vertrag erinnern sie sich immer noch nicht?

Laux: Wie gesagt: habe aus den Medien erfahren. Tut mir Leid.

Zimmermann: Kein Problem.

Fragerunde 1: Die Grünen (19:11)

Notz: Sagt ihnen die Bundesstelle für Fernmeldestatistik was?

Laux: Weiß ich nicht, ob ich etwas sagen darf.

Notz: Seien sie mutig! Herr Wolff ist ganz ruhig, Herr Ackmann ist weg.

Greeve: Ich bin auch noch da.

Wolff: Die bloße Angabe der Stelle darf er sagen.

Laux: 1977 bis 1984 habe ich davon etwas gehört. Da war das Papier eingestuft.

Notz: Das ist eine gute Erinnerung.

Laux: Nein, das ging durch die Medien. Weil der BND hatte etwas geändert.

Notz: Das ist vor meiner Zeit, muss ich gleich an Ströbele abgeben. Sie sagen, sie waren nicht bei Treffen. Wir würden uns gerne nicht-öffentliche Treffen sparen. Haben sie irgendeine Erinnerung?

Laux: Ich bin Ingenieur und bei rechtlichen Fragen überfordert.

Notz: Als Techniker: Wo kommen die Daten her?

Laux: Weiß ich nicht.

Notz: […]

Laux: Frankfurt hatte ein sehr großes Netz. Ob das heute noch so ist, weiß ich nicht.

Notz: An Prozessen um 2003-2005 zum Abgriff von Glasfasern waren sie nicht beteiligt und kennen das nur aus der Zeitung?

Laux: Ja. Vielleicht habe ich mal einen Vorgang eingestuft, aber ich weiß nichts.

Notz: Dann haben wir keine Fragen, auch nicht nicht-öffentlich.

Fragerunde 1: CDU/CSU (19:17)

Ostermann: Wie lief die Prüfung ab?

Laux: Datei mit TKÜ-Maßnahmen von drei ReSA-Stellen bekommen. Dann 20 Prozent der Vorgänge ausgewählt und mit denen zur ReSA gegangen. Die Vorgabe kam von der Regierungsbehörde. Ich hatte die Aufgabe, das zu implementieren. Vorgehensweise mit entsprechenden Bereichen abgestimmt. Erste Überprüfung selbst vorgenommen. Nach gewisser Zeit diese Prüftätigkeit an Kollegen abgegeben. Ich habe die 20 % ausgewählt. Die kamen zurück, wurden zusammengefasst und die Prüfberichte an die BNetzA geschickt.

Ostermann: War technisch?

Laux: Man braucht technisches Verständnis, aber Einzelfallprüfung ist nicht so komplex.

Schipanski: Haben AND Kommunikation deutscher Bürger überwacht? Haben sie Kenntnis, dass ein AND das bei der Telekom hatte?

Laux: Kann ich mir nicht vorstellen.

Schipanski: Ausgeschlossen?

Laux: Ausgeschlossen ist nichts. Aber wenn die USA mit einem U-Boot Glasfasern abhören können, das hab ich vorher auch nicht für möglich gehalten.

Formalitäten: Vorsitzender (19:23)

Renner: Doch keine nicht-öffentlichen Fragen.

SPD und Grüne: Wir auch nicht.

$Formalitäten

[19:25: Zeugen-Wechsel, Unterbrechung.]

[19:59: Geht weiter.]

$Formalitäten

Zeuge 4: Dr. Bernd Köbele, Deutsche Telekom (20:03)

Dr. Bernd Köbele, Deutsche Telekom.
Dr. Bernd Köbele, Deutsche Telekom.

Rechtsbeistand Dr. Eddo Compart, Mannheim.

Betriebs- und Geschäftsgeheimnisse nur nicht-öffentlich.

Mein Name ist Dr. Bernd Köbele, Alter 56, mittlerweile seit 30.12.2013 im Vorruhestand, Anschrift Christian-Hünseler-Straße 25, 50859 Köln.

Eingangsstatement: Telekom 2003/2004 Vorstand Ricke, dann T-Com (virtuelles Gebilde) ebenfalls mit Vorstand Brauner, Vorstand Controlling Renschler. Abteilungsleiter Ralf Schneier. Ich war ihm zugeordnet.

Fragerunde 1: Vorsitzender (20:05)

Sensburg: Was studiert?

Köbele: Jurist. Nach 2. Staatsexamen Uni Köln, bei Telekom 3 Jahren in neuen Bundesländern, ab 1999 in Personalbereich, dann Konzernsicherheit, dann T-Com.

Sensburg: Letzte Tätigkeit genauer?

Köbele: Staatliche Sonderauflagen. Erst T-Com, dann Deutsche Telekom AG. Eingegangene Anordnungen aufnehmen und umsetzen. StPO, dann auch G-10-Gesetz.

Sensburg: Ist ihnen der Transit-Vertrag bekannt?

Köbele: Ja.

Fragerunde 1: Die Linke (20:07)

Renner: Wann haben sie erfahren, dass BND Zugriff auf Transit-Leitungen will?

Köbele: Spätes Frühjahr 2003.

Renner: Genauer?

Köbele: BND kam auf uns zu. Hatten schon vorher G-10-Anordnungen. Kannten uns so. Später Frühling, Anfang Sommer wollten sie mehr, über Artikel-10-Gesetz hinaus.

Renner: Besprechung?

Köbele: Besprechung in Frankfurt.

Renner: Wer sagte das?

Köbele: Unterabteilungsleiter Dr. Meier, mit Sicherheit Deckname.

Renner: An welcher Stelle wollten die das?

Köbele: In Frankfurt. Gab aber auch andere Überlegungen.

Renner: Wie haben sie das wahrgenommen?

Köbele: Waren rechtlich überrascht. Hatten Bedenken. Gabe Verstoß gegen Fernmeldegeheimnis gesehen. Die namen das und gingen. Besprechung zu Ende.

Renner: Und dann?

Köbele: Ein halbes Jahr später Schreiben aus dem Bundeskanzleramt, das rechtliche Einwände zurückwies. Wollte das beauftragen.

Renner: Damit ihre Bedenken ausgeräumt?

Köbele: Ja, für mich erledigt.

Renner: Vertagsstrafen. Auch andere Provider als Telekom nutzen die Strecken.

Köbele: Spielte keine Rolle.

Renner: Die wissen nichts davon.

Köbele: Spielte keine Rolle.

Renner: Mit Schreiben war das erledigt?

Köbele: Leiter der Rechtsabteilung meinte auch: „meine Bedenken hätten sich ja wohl erledigt“. Waren sie dann auch. Befehl von oben. Vorstand sagte das.

Renner: Wer im Vorstand?

Köbele: Sagte niemand. Wurde so an das Kanzleramt geantwortet.

Renner: Und dann Vertrag?

Köbele: Anfang 2004 Vertragsverhandlungen. War nicht schwierig. Schnell Abschluss.

Renner: Wer machte Entwurf? Telekom oder BND?

Köbele: Weiß mich nicht mehr. Rüber und nüber, wie Verträge so entstehen.

Renner: Wie kommt es, dass sie den unterschrieben haben?

Köbele: Ich war Jurist, war mit Rechtsabteilung abgeklärt. Wirtschaftliches Volumen war nicht so groß. Stufungsgründe könnten eine Rolle gespielt haben. Für Brauner war das Ding zu klein.

Renner: Würden sie es nochmal tun, aus heutiger Sicht?

Köbele: Sage ich nichts dazu, ist keine Zeugen-Frage?

Renner: Fanden sie das nicht seltsam damals, dass sie das unterschreiben sollen?

Köbele: Nein. War entschieden. Rechtlich war die Luft raus.

Renner: Hatten sie Sorgen, sich strafbar zu machen?

Köbele: Nein. Antwort vom Vorstand war Lebensversicherung.

Fragerunde 1: SPD (20:16)

Flisek: Waren sie bei Vorstands-Entscheidung eingebunden?

Köbele: Nein.

Flisek: Wie läuft so eine Entscheidung ab?

Köbele: Keine Ahnung, Absprache mit Rechtsabteilung. War nicht dabei.

Flisek: Ist ihnen Treffen zwischen Ricke und BND-Präsident Hanning Frühjahr 2003 bekannt?

Köbele: Fakt ja, Inhalte nicht. Wir sollten nicht für schlechte Stimmung sorgen.

Flisek: Davor und danach nichts bekannt geworden?

Köbele: Nein.

Flisek: Sie waren in Vertragsverhandlungen?

Köbele: Ja.

Flisek: Was waren aus Telekom-Sicht entscheidende Punkte?

Wolff: Vertrag an sich ist eingestuft. Inhalte nicht-öffentlich. Gleiches gilt auch für Namen der BND-Mitarbeiter.

Köbele: Also nicht-Öffentlich.

Flisek: Irgendwann reichte Vertrag nicht mehr. G-10-Anordnung kam dann. Von wem ging diese Initiative aus?

Köbele: Ca. 2005, zeichnete sich ab bei Paket-vermittelten Verkehren. Alster hatte mich mal angerufen, da kam was. Misch-Merkehre bitte nur mit G-10-Anordnung.

Flisek: Bei paket-vermittelten Diensten wollte Telekom eine G-10-Anordnung?

Köbele: Ungefähr so war es.

Flisek: Wie war die Reaktion?

Köbele: Relativ unwillig. Dann kamen aber die Anordnungen und wir waren zur Umsetzung verpflichtet.

Flisek: „Unwillig“? Man müsste doch erwarten, dass der BND das einsieht?

Köbele: Rechtmäßig war das eine, zweckmäßig war das andere. G-10-Anordnungen sind einiges an Aufwand. Das hatten wir mit Transit-Vertrag nicht.

Flisek: Ging es dann um Ausland-Ausland?

Köbele: G-10-Anordnung war Sache der G-10-Kommission. Wir müssen das umsetzen.

Flisek: Rechtliche Probleme in ihrem Hause erörtert?

Köbele: Eigentlich hatten wir dann keine mehr.

Flisek: Reicht eine G-10-Anordung dann? Auch für weitergehende Verkehre?

Köbele: Das ist ein Thema für BND und G-10-Kommission. Wir sind zum Umsetzung verpflichtet, wenn einen G-10-Anordnung kommt.

Flisek: Position verständlich. Aber man könnte das auch nochmal anders behandeln. Haben ja immerhin auch einen Untersuchungsausschuss, ist also nicht risikofrei.

Köbele: Wir hatten den Vorstandsauftrag, waren organisatorisch zuständig, 2005 konnte niemand sehen, dass das 2015 nochmal ein Problem werden könnte.

Flisek: War Telekom bekannt, dass dabei auch Daten auch an AND gingen?

Köbele: Nein. Uns nicht.

Flisek: Hätte das etwas geändert?

Köbele: Rechtliche Beurteilung nicht. Aber dann hätte ich schon mehr Vorgesetzte reingeholt.

Flisek: Inwiefern?

Köbele: Erstmal den Fakt vortragen. Aber das hätte man wissen müssen. Ob der dann Lösungen hätte, mache ich ein großes Fragezeichen ran.

Flisek: Damals war die Telekom in großen Umstrukturierungen…

Köbele: …nicht nur zu der Zeit.

Flisek: Auch Tätigkeit in den USA. Wenn man das mit NSA gewusst hätte, wären sie sensibler?

Köbele: Ja, aber BND hat uns nicht gesagt, ob und an wen er etwas weiterleitet?

Flisek: Haben sie damit gerechnet?

Köbele: Nein, wir wussten nur, wer die NSA war und dass die irrsinnigen Stromverbrauch in Fort Maede haben, mehr nicht.

Flisek: Wie beurteilen sie, dass es dabei zu einer Massendatenerfassung und Massendatenweiterleitung kam?

Köbele: Steht in der Zeitung.

Fragerunde 1: Die Grünen (20:29)

Notz: Wie würden sie das Schreiben aus dem Bundeskanzleramt juristisch einordnen? Was ist das? Ist das offensichtlich rechtswidrig?

Köbele: Wir wissen nicht, ob das nicht legal ist.

Compart: Offensichtlich schon gar nicht.

Notz: Ich denke, man wollte ein Schreiben aus dem Bundeskanzleramt.

Köbele: Das wollte der BND.

Notz: Was ist das Schreiben?

Köbele: Eine Bitte des Kanzleramts an den Vorstand.

Notz: Aber was soll das sein juristisch?

Köbele: Müssen sie das Kanzleramt fragen.

Notz: Sie haben den Vertrag ja unterschrieben. War ja nur ein Zweizeiler aus dem Bundeskanzleramt?

Köbele: Die sind ja nicht irgend so ein Dorfsheriff. Die sagten, das ist rechtlich zulässig. Ich war erst einmal überrascht. Aber juristisch liegt damit die Verantwortung für die Rechtmäßigkeit beim Bundeskanzleramt.

Notz: Sehe ich nicht so. Bundeskanzleramt ist gar kein Sheriff. Und legt keine Gesetze aus. Ist das üblich, so einen Freibrief zu holen?

Köbele: Der BND wollte etwas von uns.

Notz: Aber die Telekom wollte ein Schreiben des Bundeskanzleramts.

Köbele: Die werden sich schon etwas dabei gedacht haben. Die Rechtsauffassung wird schon einen Hintergrund haben. Das war ausschlaggebend für mich.

Notz: Von Jurist von Jurist: Ich verstehe nicht, wo ihre Juristische Auffassung als hochproblematisch sich ändert mit so einem Freibrief.

Köbele: Nochmal: Das Kanzleramt äußert nicht aus Jux und Tollerei abwegige Rechtsauffassungen. Unsere Vorstände haben sich davon überzeugen lassen.

Notz: Gab es nochmal ein Gespräch über die Entscheidung, dass sie das unterschreiben?

Köbele: War die Antwort vom Vorstand ans Kanzleramt.

Notz: Räume des BND waren in Telekom-Gebäude?

Köbele: Richtig.

Notz: Telekom hat das Gebäude auch an andere vermietet?

Köbele: Weiß ich nicht.

Notz: Kennen das Gebäude nicht?

Köbele: Schon. Aber erst 2010.

Notz: Wer war da drin?

Köbele: Die International Business Machines Corporation (IBM).

Notz: War das auch 2003 so?

Köbele: Keine Ahnung.

Notz: Wen müssten wir fragen, das heraus zu finden?

Köbele: IBM.

Notz: War IBM 2003 drin oder wissen sie es nicht?

Köbele: Ich weiß es nicht genau, denke aber eher ab 2009-2010.

Notz: Auf welches Kabel wurde eigentlich zugegriffen?

Köbele: Weiß ich nicht.

Notz: Wo Dopplung?

Köbele: Oeserstraße 111, 65934 Frankfurt am Main.

Notz: Und weiter im Norden?

Köbele: Seekabel-Endstelle Norden? Hat sich nicht realisiert.

Notz: Aber wollte man?

Köbele: Ja.

Fragerunde 1: CDU/CSU (20:40)

Keine Fragen.

Fragerunde 2: Die Linke (20:40)

Renner: War der Vorgang bei ihnen nur unter Transit bekannt?

Köbele: Ja.

Renner: Eikonal?

Köbele: Nur aus Presse.

Renner: Granat?

Köbele: Nein.

Renner: Haben sie sich nach Vertragsabschluss informieren lassen?

Köbele: Nicht wirklich.

Renner: Berichte?

Köbele: Bestand keine Notwendigkeit.

Renner: Trotz Bedenken?

Köbele: Vertrag war ja abgeschlossen. War ja Ausland-Ausland. Wurde erst ab Paketvermittlung relevant. Dann hat Alster Alarm geschrieben.

Renner: Wissen wie, was in den Räumlichkeiten war?

Köbele: Nein. Technik.

Renner: Alster sagte etwas von Raum 3 Telekom?

Köbele: Weiß ich nicht. Kenne nur die drei Räume im zweiten Keller mit Eisentüren.

Renner: Waren sie da mal?

Köbele: Erst 2012.

Renner: Was war da?

Köbele: Irgendwas unbedeutendes.

Renner: Aber das war nach Ende des Projekts?

Köbele: BND hat ja weiterhin G-10-Anordnungen.

Renner: Warum waren sie da?

Köbele: Irgendeine Reisegruppe, irgendetwas Unrelevantes.

Renner: Juristische Bewertung von Schaar: „Doppeltürmodell. Für beide Seiten jeweils eine Ermächtigung erforderlich. Privatrechtlicher Vertrag kann Brechung des Fernmeldegeheimnisses nicht rechtfertigen. Mitarbeiter könnten sich strafbar gemacht haben.“

Köbele: Sie erwarten von mir eine Auseinandersetzung mit der Argumentation von Herrn Schaar?

Renner: Nein. Sie hatten Bedenken. Hier fehlte die gesetzliche Grundlage. Wie kann der Vertrag das rechtfertigen?

Köbele: Verwaltungshelfer-Konstruktion im öffentlichen Recht. Bei Verwaltungtshilfe ist rechtlich anordnende Stelle allein verantwortlich. Also Kanzleramt.

Renner: Ihre Auffassung oder im Haus diskutiert?

Köbele: Meine Meinung nach Brief von Kanzleramt.

Renner: Kanzleramt hat aber keine Weisungsbefugnis zur Telekom.

Köbele: Abschlepphelfer ist auch Verwaltungshelfer.

Renner: Sie haben ja auch Kundenverträge.

Köbele: Ja, die erwarten die Einhaltung der Gesetze.

Renner: Juristisch?

Köbele: Sind weit weg von Zeugenstellung. Werden andere Juristen diskutieren, auch von der Telekom hier.

Renner: Auffassung von Herrn Schaar halten sie für abwegig?

Köbele: Möchte ich mich nicht dazu äußern.

Renner: Hatte sie Kontakt in der Telekom dazu?

Köbele: Nur mit heutigen Vorgesetzten, aber erst seit 2009.

Renner: Hatten sie Kontakt mit AND?

Köbele: Hat sich keiner als solcher vorgestellt.

Renner: Waren sie auch mit Legendierung befasst?

Sensburg: Vertragsinhalt. Ist eingestuft.

Renner: Mit wem im Kanzleramt hatten sie Kontakt?

Köbele: Hatte keinen.

Fragerunde 2: Die Grünen (20:52)

Ströbele: Rechtliche Bedenken, selbst gesagt. Waren verantwortlicher Jurist der Telekom. Im Brief gab es keine juristischen Inhalte. Nur „haben sie keine Bedenken“. Die rechtlichen Bedenken des verantwortlichen Telekom-Juristen beseitigt man durch „hab keine Bedenken“?

Köbele: Ich antworte mal so: Ober sticht Unter. In doppelter Hinsicht. Die haben das unserem Vorstand geschrieben, der hat gesagt: Ausführen.

Ströbele: Das reicht?

Köbele: Widersprechen sie mal dem Vorstand.

Ströbele: Möglicherweise millionenfache Grundrechtsverletzung von Bürgern. Rechtliche Argumente oder staatliche Autorität?

Köbele: Beides. Wem mein Vorstand mehr glaubt. Politisches Umfeld nach 9/11 beachten.

Ströbele: Das sind die deutschen Beamten.

Köbele: Wenn man in dem Unternehmen nicht arbeitet, kennt man auch die Hierarchien nicht.

Ströbele: Irgendwann Paketvermittlung. Waren sie der Meinung, das ist auch vom Kanzleramt gedeckt?

Köbele: Nein, das war Mischverkehr. Bedenken geäußert. Ich habe mit zweitem Brief von Kanzleramt gerechnet, kam aber nicht.

Ströbele: Vertrag nur leitungs-vermittelt oder nur paket-vermittelt?

Köbele: Darf ist das sagen? [Guckt zu Wolff.]

Ströbele: Ging es auch um Paketvermittlung?

Köbele: Spielte noch keine große Rolle.

Ströbele: Ist nicht lang diskutiert worden?

Köbele: Zu der Zeit noch nicht.

Ströbele: Haben sie sich vorbereitet heute?

Köbele: Nein. Sollte ich?

Ströbele: Ja.

Köbele: Der Vertrag war ja eingestuft, den dürfte ich heute gar nicht mehr lesen.

Ströbele: Dann kam die G-10-Anordnung?

Köbele: Ja.

Ströbele: Was stand da drin?

Köbele: Weiß ich nicht mehr.

Ströbele: Leitungen, Einzelauswahl?

Köbele: Weiß ich nicht mehr.

Ströbele: Haben sie in Erfahren, dass ausgeleiteter Verkehr an einen AND ging?

Köbele: Nein.

Ströbele: Wann gehört?

Köbele: Jetzt, aus der Presse.

Fragerunde 2: SPD (21:01)

Flisek: Verwaltungshelfer-Konstruktion kennen wir Juristen, mit den Abschlepphelfern. Wie ist das vergleichbar mit ihnen?

Köbele: Klassisches Beispiel für Verwaltungshelfer ist Abschlepp-Unternehmen, das Auftrag von Polizei bekommt, Autos abzuschleppen, weil es falsch parkt. Wir haben hier Anordnungen von BND bekommen und die entsprechend umgesetzt, wie ein Abschlepphelfer auch.

Flisek: Verwaltungshelfer zeichnet sich aus, dass das Getane unmittelbar dem Staat zugeordnet wird. Also nur verlängerter Arm des BND.

Köbele: So ist es.

Flisek: Kein Spielraum?

Köbele: Haben auch nichts entschieden über Leitungen o.ä.

Flisek: Was hätte Vorstand stören können?

Köbele: Vor Vertrags-Abschluss die Darstellung der kompletten Rechtslage.

Flisek: Also der kritischen Rechtslage?

Köbele: Ja, möglicherweise.

Flisek: Hat Telekom auch bei anderen Projekten solche Verträge abgeschlossen?

Köbele: Nein, war Einzelfall.

Flisek: Ansonsten nur G-10-Anordnungen?

Köbele: Ja. Dann StPO und so. Und Individualüberwachung.

Flisek: Sensibilisierung, das Informationen über technische Informationen der Telekom abfließen können? Sachdaten?

Köbele: Sachdaten sagt mir nichts.

Flisek: Daten ohne Personenbezug, beispielsweise über technische Kapazitäten, Leitungen und Anlagen der Telekom.

Köbele: Spiegelte bei uns keine Rolle und wurde auch von Netzmanagement nicht an uns herangetragen.

Flisek: Abteilung Konzernsicherheit?

Köbele: Konzernsicherheit T-Com,nicht zu verwechseln mit Konzernsicherheit Telekom. T-Stücke und so haben wir ja nicht selbst eingesteckt. Gehe davon aus, dass die entsprechenden Stellen darauf geachtet haben.

Flisek: Attacken von Nachrichtendiensten auf Telekom?

Köbele: Weiß ich nicht.

Fragerunde 3: Die Linke (21:08)

Renner: Paketvermittlung auch Gegenstand der Vertrags?

Wolff: Vertragsinhalte nicht-öffentlich nicht-öffentlich].

Köbele: Also nicht-öffentlich.

Renner: Für Transit-Verkehre haben sie ja auch Verträge mit anderen Providern. Können sie Kapazitäten weiter vermieten?

Köbele: Müssen sie die für internationale Carrier Zuständige fragen.

Renner: Können sie nichts zu sagen?

Köbele: Nein.

Renner: Vertagshelfer-Theorie: Ist Telekom Werkzeug des BND?

Köbele: In diesem Falle, ja. Kam ja alles vom BND, hatten ja kein Eigeninteresse.

Renner: Entschädigung eher symbolisch?

Köbele: Bei unserem Umsatz, ja.

Fragerunde 3: Die Grünen (21:11)

Notz: Verwaltungshelfer-Funktion. Muss ein Abschleppunternehmer auf Anruf der Polizei abschleppen?

Köbele: Nein.

Notz: Musste die Telekom das? BND-Jurist sagte: „Bei Routine-Verkehren kann man niemanden zwingen. Das kommt auf [XXX] des Betreibers an.“ Rechtsauffassung des BND, dass Telekom das nicht machen musste?

Köbele: Bei Ausland-Ausland rechtlich nicht verpflichtet, ja. Deutschland-Ausland mit Artikel-10-Gesetz schon.

Notz: Ausland-Ausland bei Paket-Vermittlung. Gibt es das?

Köbele: Ja. Also Misch-Verkehre. Reines Ausland-Ausland ziemlich unwahrscheinlich.

Notz: Gibt es das?

Köbele: Bin kein Techniker.

Notz: Knifflige Kiste. Eingriffsnorm passte nicht mehr mit Realität zusammen.

Köbele: Deswegen haben wir bei Mischverkehr eine G-10-Anordnung angefordert?

Notz: Wofür wurde G-10-Anordnung geschaffen?

Köbele: Inland/Ausland.

Notz: Genau, aber es ging ja um Ausland-Ausland. Sie und BND wussten das. Warum?

Köbele: Weil Ausland-Ausland paketvermittelt teils G-10 und teils Mischverkehr ist. Also haben wir gesagt, sie brauchen eine G-10-Anordnung. Die haben sie geholt.

Notz: Staatsrechtler halten das für massiv abwegig. Begriff „Routine-Verkehre“ gibt es gar nicht. Artikel 10 gilt nicht nur für Deutsche. Kam „Ausländer haben kein G 10“ nicht komisch vor?

Köbele: Das war 2003-2004, nach 9/11 und Bombenanschlägen von Madrid. Dass unser Vorstand der Bitte des Kanzleramts nachkommt, halte ich für nachvollziehbar.

Notz: Wunsch gab es schon vor 9/11. Rechtlich?

Köbele: Keine Zeugenfrage. Rechtlich können wir gerne beim Bier diskutieren.,

Notz: Gab es da keine Diskussionen intern

Köbele: Der Vorstand (T-Com) hatte gesprochen.

Notz: Ricke und so haben davon nichts mitbekommen?

Köbele: Mag ich nicht beurteilen.

Notz: Wissen sie?

Köbele: Telekom und Vorstand Telekom war weit weg.

Notz: Kontakt zwischen Telekom und BND: Telekom bekam 2004 neuen Sicherheitschef.

Köbele: Konzernsicherheit, kann sein. Steiniger?

Notz: Ja. Treffen BND und Telekom, die von Telekom ausgehen?

Köbele: Nicht, dass ich wüsste.

Notz: Kann ich ihnen eine Akte zeigen?

Köbele: Ja.

[Notz bringt Akte zu Wolff, dann zu Köbele.]

Notz: Ist das ihr Name?

Köbele: Kann sein, kann ich nicht-öffentlich sagen. Hat mit BND nichts zu tun.

Notz: Können wir gerne vertiefen. Können sie sich an Treffen erinnern, wo sich Telekom und BND auf Betreiben der Telekom getroffen haben, um Schwierigkeiten der modernen paketvermittlung zu diskutieren?

Köbele: Weiß ich nicht.

Notz: Aber sie haben teilgenommen?

Köbele: Nicht im Zusammenhang mit BND.

Fragerunde 3: SPD (21:23)

Zimmermann: Vergleichbare Anweisungen in anderen Staaten: gehen die auch zu ihnen?

Köbele: Verträge in anderen Staaten?

Zimmermann: Ja.

Köbele: War nicht ganz geklärt. Hätte Vorstand oder Konzernsicherheit sein können.

Fragerunde 4: Die Linke

Keine Fragen nicht-öffentlich.

Fragerunde 4: CDU/CSU

Ostermann: War G-10-Anordnung ausreichende rechtliche Grundlage, um das zu liefern, was der BND wollte?

Köbele: Bei Mischverkehr?

Ostermann: Ja.

Köbele: Ja.

Fragerunde 4: Die Grünen

Keine Fragen.

Formalitäten: Vorsitzender (21:25)

Beschlussvorschlag: Ausschluss der Öffentlichkeit. Dafür? Dagegen. Angenommen.

[21:25: Ende des öffentlichen Teils. Jetzt nicht-öffentlich.

[Jetzt zum Schluss waren noch 5 Journalisten/Blogger, 2 Telekom-Mitarbeiter und ein Bundestags-Polizist auf der Tribüne. Danke für’s Lesen.]

19 Ergänzungen

  1. Welchen Wert haben solche „Zertifizierungen“?
    – nicht vorOrt
    – nicht Endzustand
    – Empfehlung ohne Verbindlichkeit
    – nicht vollständig

    1. Das ist keine ernst gemeinte Zertifizierung , das ist ein Durchwinkzettel.
      Trojaner sind bei denen per Definition nicht möglich, geprüft wird auf Basis Doku.

      Die würden so nicht mal einen integrierten handelsüblichen Ethernet Powerline Adapter im Gerät entdecken.

  2. Vielen Dank schon einmal für ihre Mühen Herr Meister,
    das ist mir heute mal eine Spende wert, Krimi E-Books sind ja auch nicht umsonst.

  3. „ErstmalDatenreduktion, schmeißt unheimlich viel weg“ – das muss doch mal einer nachfragen, ist doch unterscheidbar andere Funktion als Suggestion alleiniger Aussonderung von „g-10-Verkehren“

  4. Die Antwort zu den Routineverkehren ruft nach weiteren Nachfragen, da wollte er ja gar nichts von wissen

  5. Bedeutung des Zeugen liegt demnach darin klarzustellen, dass Rede des BND von zum Einsatz kommenden „zertifizierten Geräten“ schlicht unerheblich ist für die Bewertung der IT-Sicherheit am tatsächlichen Einsatzort. Und dass zukünftig ua TKÜV reformiert gehört

  6. 20%-Regel muss durch andere Maßnahmen sichergestellt werden. Kann man auch im Kabel machen.
    ok, wenn er schon Zweifel anmeldet, point taken!

    „Löschung der Überwachungsdaten: ist eingehalten, ist ja alles on-the-fly, ohne Festplatte.“ und ausgeleitete Routineverkehre?

  7. Und Groko spielt auf Zeit, wollen den Dr. Köbele von der Telekom für heute verhindern, zumindest zur Hauptsendezeit…

  8. „In welchem Bereich bezeichnen sie sich als Experte?“ — „Cyber-Sicherheit“

    Da hat er sich aber recht schnell in einen Widerspruch verwickelt …

  9. Ich hoffe Herr Sensburg verprügelt heute mal ein paar Zeugen oder Parteikollegen für ihre frechen Lügen.

  10. Wir sind die Guten?

    Der Mythos läßt sich nur solange aufrecht erhalten, wie die anderen mitspielen und die bösen Informationsverweigerer spielen.

  11. Das ist ja nett und zeigt, dass die Beschränkung auf 20% schon technisch nicht umgesetzt wird. (Von der Ungenauigkeit von Max.Kapazität vs. RealerTraffic ganz zu schweigen.)

    „Golke: Das IP-Protokoll paketiert, zerhackt Sessions in Pakete. Wenn sie 20% nehmen, also jedes fünfte Paket, bekommen sie Bruchteile von Mails. Wir müssen erst das Protokoll zusammensetzen. Sie können die 20 % nicht als ersten Verarbeitungsschritt nehmen.

    Hahn: Also muss man alles nehmen?

    Sensburg: Zeit vorbei.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.