Die Massenüberwachung der digitalen Welt ist nicht allein das Werk von Geheimdiensten, sondern auch von Internet-Unternehmen, deren Infrastruktur staatliche Stellen dankend anzapfen. Im August 2013 enthüllten der Guardian und der Recherche-Verbund von Süddeutscher Zeitung und NDR die „Namen jener Telekomfirmen, die den geheimen Diensten beim Ausspähen helfen oder helfen müssen“. Darunter befanden sich auch fünf Unternehmen, die in Deutschland aktiv sind: Verizon, Vodafone, Level 3, Interoute und Viatel.
Wirtschaftsminister Rösler fordert Aufklärung
Diese Enthüllungen wurden auch im Haus des damaligen Wirtschaftsministers Philipp Rösler aufmerksam verfolgt. Bereits am nächsten Arbeitstag beauftragte das FDP-geführte Ministerium die ihm unterstehende Bundesnetzagentur, zu untersuchen, ob die genannten Internet-Unternehmen ihre gesetzlichen Pflichten zu Fernmeldegeheimnis und Datenschutz einhalten. Im Schreiben der Unterabteilung „Sicherheit“ des Referats „IT- und Kommunikationspolitik“ heißt es:
Die Telekommunikationsunternehmen haben insbesondere Maßnahmen zu treffen, um Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern (§ 109 Abs. 2 Satz 2 TKG). Da sich die Frage nach der Zulässigkeit eines Zugriffs auf Telekommunikationsdaten jeglicher Art auf deutschem Hoheitsgebiet ausschließlich nach deutschen Rechtsvorschriften richtet, wären etwaige außerhalb dieser Vorschriften gestaltete Zugriffsmöglichkeiten grundsätzlich als rechtswidrig einzustufen.
Bundesnetzagentur wird aktiv
Daraufhin entfaltete sich einige Aktivität in der Bundesnetzagentur. Die Bundesbehörde zitierte noch in der selben Woche über ein Dutzend Firmen zu einem „Erörterungstermin“ in ihr Bonner Gebäude – den die Unternehmen eher als „eine Art Vorladung“ verstanden. Dazu haben wir eine Informationsfreiheits-Anfrage gestellt und Dokumente erhalten, die wir an dieser Stelle veröffentlichen. In der Einladung heißt es:
Gegenstand der Erörterung wird der Artikel „Enthüllung der Kronjuwelen“ der Süddeutschen Zeitung vom 02.08.2013 (s. Anlage) sein. Darin wird auch in Deutschland tätigen Telekommunikationsunternehmen unterstellt, bei Ausspähen von Telekommunikation durch ausländische Geheimdienste zu helfen oder helfen zu müssen.
Einen Tag vor dem Treffen verschickte die Bundesnetzagentur einen Katalog mit 22 Fragen (PDF), der auf dem Treffen mündlich und einen Tag später schriftlich beantwortet werden sollte. Eine der Fragen lautet:
Betreibt Ihr Unternehmen Überwachungseinrichtungen nach den §§ 26–29 TKÜV zur Umsetzung sogenannter strategischer Beschränkungen nach den §§ 5 und 8 G10-Gesetz?
Bundeskanzleramt interveniert
Doch das war dem Bundeskanzleramt zu viel der Aufklärung – und stoppte die Bundesnetzagentur. Klaus Landefeld vom Frankfurter Internet-Knoten DE-CIX sagte im Geheimdienst-Untersuchungsausschuss:
Landefeld: […] Die Bundesnetzagentur hatte einen Anruf aus dem Bundeskanzleramt, dass diese Fragen nicht ehrlich zu beantworten sind.
Ströbele: Das Bundeskanzleramt hat angerufen, dass sie das nicht beantworten dürfen?
Landefeld: Das Bundeskanzleramt hat die Bundesnetzagentur angerufen, Frau Henseler-Unger, dass die Unternehmen diese Fragen nicht beantworten sollen.
Staat: „Keine Kommentar, weil NSAUA.“
Iris Henseler-Unger war zu diesem Zeitpunkt Vizepräsidentin der Bundesnetzagentur. Wir haben die Bundesnetzagentur nochmal angefragt und um weitere Informationen gebeten. Dort heißt es:
Die Bundesnetzagentur nimmt zum Gegenstand des NSA-Untersuchungsausschusses des Deutschen Bundestages gegenüber Dritten keine Stellung.
Auch Frau Henseler-Unger selbst, die mittlerweile in der Wirtschaft tätig ist, sagt uns nur:
Ich bitte […] um Ihr Verständnis, dass auch für mich eine Äußerung gegenüber Dritten zu laufenden Ermittlungen des NSA-Untersuchungsausschusses nicht in Frage kommt. Insoweit schließe ich mich der Position der Bundesnetzagentur – als deren ehemalige Vizepräsidentin – an.
Ein Regierungssprecher erklärte auf unsere Anfrage:
Ihre Fragen betreffen einen Sachverhalt, der bereits Gegenstand im laufenden 1. Untersuchungsausschuss der 18. Wahlperiode gewesen ist und es voraussichtlich weiterhin bleiben wird. Aus Respekt vor der Arbeit des Untersuchungsausschusses äußert sich die Bundesregierung deswegen zu diesem Thema nicht öffentlich.
Wirtschaft: „Fragen sollen nicht beantwortet werden“
Auf Nachfrage bestätigte Klaus Landefeld jedoch seine Aussage aus dem Ausschuss erneut:
Auf dem Treffen teilte Frau Henseler-Unger den Unternehmen mit, dass sie eben einen Anruf aus dem Bundeskanzleramt hatte und die Unternehmen die Fragen 15–19 nicht beantworten müssten.
Auch ein weiterer Teilnehmer des Treffens sagte uns:
Ja, sie hat bei der Einführung gesagt, dass wir auf diese Fragen (ja, meine auch es waren 15–19) nicht eingehen müssen.
Aufklärung ergebnislos
Wenn die kritischen Fragen nicht angesprochen werden oder ehrlich beantwortet werden dürfen, ist es kein Wunder, dass bei den Treffen nicht viel heraus kam. Klaus Landefeld sagte gegenüber netzpolitik.org:
Das Ganze ist dann im Sande verlaufen und die Bundesnetzagentur hat das Thema nicht weiter verfolgt.
Auch ein anderer Teilnehmer bestätigte diese Sicht:
Am Ende hat es m.E. für die Bundesnetzagentur auch keine großen neuen Erkenntnisse gegeben.
Offizielles Ergebnis: tadellos
Die Bundesnetzagentur kommunizierte das freilich anders nach außen. Zwar gibt es keine offizielle Pressemitteilung und auch im Jahresbericht werden die Themen „Geheimdienste“ und „Überwachung“ komplett ignoriert. In einem internen Sprechzettel zur Unternehmensbefragung heißt es jedoch:
Die Unternehmen bekräftigen, sich ausschließlich an die in Deutschland geltenden Gesetze zu halten. Sie gewähren ausländischen Diensten keinen Zugriff auf Telekommunikationsdaten. Die Unternehmen weisen die in der Presse erhobenen Vorwürfe entschieden zurück.
„Äußerst Reaktiv“: Zusammenarbeit mit BND
In einem weiteren internen Sprechzettel zu den Kompetenzen der Bundesnetzagentur sind sogar „reaktive“ Sprachregelungen – also Aussagen, die man nur auf konkrete Nachfrage tätigen will. Dort heißt es zur Rolle der Bundesnetzagentur bei Überwachungsmaßnahmen nach § 110 TKG:
Im Rahmen der Umsetzung von Überwachungsmaßnahmen hat die Bundesnetzagentur sicherzustellen, dass die verpflichteten TK-Unternehmen die erforderliche Technik vorhalten. In Bezug auf die tatsächliche Nutzung dieser Einrichtungen ist die BNetzA außen vor. Die BNetzA kann vor Ort bei TK-Unternehmen Einsicht in die Protokolle über die Nutzung dieser Einrichtung nehmen. Dabei haben wir bislang keine Nutzung für ausländische Behörden feststellen können.
Das Einverständnis der Bundesnetzagentur zu BND-Technik bei Telekommunikationsfirmen ist sogar „äußerst reaktiv“:
Nach § 110 Abs. 7 TKG sind TK-Anlagen, die von berechtigten Stellen (wie unter anderem dem BND) betrieben sind, im Einvernehmen mit der BNetzA technisch zu gestalten. Eine Beteiligung der BNetzA bezieht sich hier jedoch ausschließlich auf den generellen Typ der technischen Anlage bzw. deren konzeptionelle Gestaltung, nicht jedoch auf deren tatsächlichen Einsatz. Spezielle technische Details können dabei ebenfalls nicht betrachtet werden und liegen allein in der Verantwortung des Betreibers. Wenn sie so wollen, handelt es sich dabei um eine Art „Typenbetrachtung“.
Kanzleramt beendet Aufklärung
Auch Kanzleramtsminister Ronald Pofalla schloss sich der positiven Interpretation der Ereignisse an. Im internen Sprechzettel hieß es zunächst:
Die von der Bundesnetzagentur befragten TK-Unternehmen haben bekräftigt, dass sie sich an die Vorgaben des Telekommunikationsgesetzes in Deutschland halten. Dies umfasst insbesondere auch die Vorgaben des Datenschutzes. Das Fernmeldegeheimnis wird insofern von den Unternehmen gewahrt.
Tatsächlich sagte Pofalla nach der Sitzung des Parlamentarischen Kontrollgremiums am 12. August 2013
Auch die in Deutschland relevanten Internetknotenpunktbetreiber und Verbindungsnetzbetreiber haben gegenüber der Bundesnetzagentur am vergangenen Freitag erneut bekräftigt, dass sie die Vorgaben des Telekommunikationsgesetzes in Deutschland einhalten. Dies umfasst insbesondere auch die Vorschriften zum Schutz der Daten unserer Bürgerinnen und Bürger. Das Fernmeldegeheimnis wird dementsprechend von den Unternehmen gewahrt.
Man beachte, dass der Datenschutz hier mal wieder nur für Deutsche gilt. Denn der BND schnorchelt ebenfalls internationale Kommunikationswege ab und betrachtet alle Ausländer als „vogelfrei“. Und wie wir im Geheimdienst-Untersuchungsausschuss gelernt haben, hat auch der BND private Überwachungs-Verträge mit Telekom-Firmen und das Kanzleramt „baut Druck auf“ und „betreibt Power-Play“, um Firmen zur Kooperation bei der Überwachung zu zwingen.
Vor diesem Hintergrund ist es kein Wunder, dass man es mit der Aufklärung nicht so genau nahm.
Hier die Original-Dokumente:
Fragenkatalog zur Anhörung der Unternehmen am Fr., 09.08.2013
1. Sind Sie gegenüber einer amerikanischen oder britischen Steile zur Geheimhaltung über eine Zusammenarbeit verpflichtet?
- Worauf bezieht sich diese Pflicht und wem gegenüber besteht sie?
- Sind Sie in der Lage, die Frage nach der Zusammenarbeit wahrheitsgemäß zu beantworten?
2. Welche Form der Zusammenarbeit gibt es?
3. Aussage: „Faktisch habe der GCHQ (UK Government Communications Headquarters) einen Teil seiner Ausspäharbeit an Privatunternehmen delegiert!“
Wie ist hier der Sachstand?
5. Auf welchen Rechtsgrundlagen bzw. Vertragsgrundlagen basiert die Zusammenarbeit nach Punkt 1 – 3?
6. Können Sie mit den öffentlich bekannt gewordenen Bezeichnungen / Decknamen/ Codename etwas anfangen?
- Verizon Business, Codename: „Dacron“,
- British Telecommunicatlons („Remedy“),
- Vodafone Cable („Gerontic“),
- Global Crossing („Pinnage“),
- Level 3 („Little“),
- Viatel („Vitreous“) und
- Interoute („Streetcar“).
7. Was sagt Ihnen die Bezeichnung „Mastering the internet“? (Ein Programm der GCHQ)
8. Stimmt die Aussage „Jede der sieben Firmen ist demnach für das Abhören eines eigenen Teils des weltweiten Glasfasernetzes verantwortlich.“?
9. Verizon (zitiert nach SZ vom 02.08.13): „Die Gesetze eines jeden Landes, auch in Großbritannien und Deutschland, erlauben den Regierungen, ein Unternehmen unter bestimmten Umständen zur Herausgabe von Informationen zu verpflichten.“
Verallgemeinert: Wurden Sie durch Gesetze ihres Landes verpflichtet, „Daten auf deutschem Boden“ abzugreifen? (Welche Gesetze weiches Landes?)
10. Welche Rolle spielt hierbei der Foreign Intelligence Surveillance Court?
(Bereits Anfang Juni war von der SZ behauptet worden, dass Verizon vom amerikanischen Geheimgericht Foreign Intelligence Surveiliance Court gezwungen wurde, dem US- Geheimdienst National Security Agency „eine elektronische Kopie“ sämtlicher Verbindungsdaten zu übergeben)
11. Haben Sie eine Vermutung, warum ausgerechnet ihr Unternehmen in den „Enthüllungen“ genannt wurde?
12. Haben Sie Indizien dafür, dass auch Daten (Bestands‑, Verkehrs- oder Inhaltsdaten) aus ihrem Geschäftsbereich ausgespäht wurden?
13. Liegen Anhaltspunkte dafür vor, dass z.B. Trojanersoftware in Ihren Anlagen installiert wurde?
14. Betreibt Ihr Unternehmen Überwachungseinrichtungen nach § 110 Abs. 1 TKG zur Umsetzung von Überwachungsmaßnahmen der Individualkommunikation und/oder zur Beauskunftung von Bestands- und/oder Verkehrsdaten?
15. Betreibt Ihr Unternehmen Überwachungseinrichtungen nach den §§ 26–29 TKÜV zur Umsetzung sogenannter strategischer Beschränkungen nach den §§ 5 und 8 G10-Gesetz?
16. Wenn derartige Anlagen betrieben werden, werden hierfür auch die Regelungen zur Protokollierung der Nutzungen dieser Einrichtungen sowie der Kontrolle dieser Protokollierungen eingehalten?
17. Gab oder gibt es besondere Vorkommnisse, die im Rahmen der Protokollprüfung oder sonstiger Prüfungen der Überwachungseinrichtungen aufgefallen sind, die über eine vereinzelte Fehlbedienung hinausgeht?
18. Wird die Vorgabe zum beschränkten Zugang zu diesen Systemen eingehalten?
19. Werden darüber hinaus Systeme unterhalten, die eine Erstellung einer Kopie der Telekommunikation ermöglichen und wenn ja, wie wird deren Einsatz kontrolliert?
20. Falls Daten aus Ihrem Geschäftsbereich tangiert waren, haben Sie geprüft, ob die im Zusammenhang mit ihrem Sicherheitskonzept erstellte Gefährdungsanalyse noch den aktuellen Gegebenheiten entspricht?
21. Haben Sie überprüft, ob die von Ihnen getroffenen technischen oder organisatorischen Schutzmaßnahmen gemäß § 109 Abs. 1 und 2 TKG ausreichend sind?
22. Ist die Überarbeitung Ihres Sicherheitskonzeptes (aus gegebenem Anlass) vorgesehen?
Anmerkung: Je nach Ergebnissen der Ermittlungen wird die BNetzA auch den Katalog von Sicherheitsanforderungen aktualisieren.
Sprechzettel zu den Kompetenzen
Was kann die BNetzA im Einzelnen?
Die Bundesnetzagentur verfügt über vor allem technisch ausgerichtete Kontroll- und Durchsetzungsbefugnisse.
Diese dienen dazu, die Einhaltung des Fernmeldegeheimnisses der Datenschutzvorschriften und die Bestimmungen zur öffentlichen Sicherheit in der Telekommunikation sicher zustellen.
Ferner hat die Bundesnetzagentur sicherzustellen, dass die TK-Infrastruktur sicher und zuverlässig betrieben wird.
Unsere Kompetenzen gegenüber den TK-Unternehmen beschränken sich dabei hauptsächlich auf technische Aspekte.
Bezüglich § 109 TKG (Sicherheitskonzept)
So haben die Unternehmen unter anderem ein Sicherheitskonzept zu erstellen.
Dieses Konzept beinhaltet ganz grundlegende Aussagen zu Vorkehrungen und unternehmensinternen Abläufen, die eine Gefährdung oder Verletzung des Fernmeldegeheimnisses, des Datenschutzes und der Infrastruktur verhindern sollen.
Ein solches Konzept sieht im Einzelnen so aus, dass das Unternehmen mögliche Gefahren für diese genannten Rechtsgüter beschreibt.
Sodann werden entsprechende Gegenmaßnahmen vorgestellt.
Die Bundesnetzagentur prüft dieses Konzept und seine Umsetzung ganz grundsätzlich.
Wenn tatsächlich eine Sicherheitsverletzung auftritt, besteht eine Meldepflicht uns gegenüber (§ 109 Abs. 5 TKG) sowie eine damit korrespondierende Prüfpflicht seitens der BNetzA.
Die BNetzA hat dabei auch Kontrollbefugnisse, allerdings beschränken sich diese auf sichtbare technische und organisatorische Vorkehrungen.
Einblick in diese hochkomplexen Systeme und deren technische Ausgestaltung ist dabei nur äußerst begrenzt möglich („Wo gehen diese fünf Kabel hin?“)
Auf Grundlage der am vergangenen Freitag geführten Gespräche sind Verstöße der TK-Unternehmen in dieser Hinsicht nicht ersichtlich und derzeit auch nicht zu anzunehmen.
Reaktiv:
Hins. Durchführung von Überwachungsmaßnahmen § 110 TKG
Im Rahmen der Umsetzung von Überwachungsmaßnahmen hat die Bundesnetzagentur sicherzustellen, dass die verpflichteten TK-Unternehmen die erforderliche Technik vorhalten.
In Bezug auf die tatsächliche Nutzung dieser Einrichtungen ist die BNetzA außen vor.
Die BNetzA kann vor Ort bei TK-Unternehmen Einsicht in die Protokolle über die Nutzung dieser Einrichtung nehmen.
Dabei haben wir bislang keine Nutzung für ausländische Behörden feststellen können.
Äußerst Reaktiv:
Einverständnis bzgl. BND-Anlagen
Nach § 110 Abs. 7 TKG sind TK-Anlagen, die von berechtigten Stellen (wie unter anderem dem BND) betrieben sind, im Einvernehmen mit der BNetzA technisch zu gestalten.
Eine Beteiligung der BNetzA bezieht sich hier jedoch ausschließlich auf den generellen Typ der technischen Anlage bzw. deren konzeptionelle Gestaltung, nicht jedoch auf deren tatsächlichen Einsatz.
Spezielle technische Details können dabei ebenfalls nicht betrachtet werden und liegen allein in der Verantwortung des Betreibers.
Wenn sie so wollen, handelt es sich dabei um eine Art „Typenbetrachtung“.
Umsetzung von Maßnahmen nach §§ 5 und 8 G10-Gesetz
Hier beschränkt sich die Tätigkeit der BNetzA auf die Vorkehrungen der TK-Unternehmen, den Anlagen des BND die zu überwachende Telekommunikation zuzuleiten.
Eine Kontrolle des konkreten Einsatzes bzw. Einstellung der BND-Anlage obliegt nicht der BNetzA, sondern dem parlamentarischen Kontrollausschuss.
Sprechzettel zur Unternehmensbefragung
Die BNetzA hat mit den in der SZ genannten, sowie weiteren Unternehmen am Freitag, den 09.08.2013, ein informelles Gespräch geführt.
Zudem hat die BNetzA diese Unternehmen ausführlich schriftlich, mit Fristsetzung Samstag 10.08.2013, befragt.
Ergebnis der Befragung
Die Unternehmen bekräftigen, sich ausschließlich an die in Deutschland geltenden Gesetze zu halten.
Sie gewähren ausländischen Diensten keinen Zugriff auf Telekommunikationsdaten.
Die Unternehmen weisen die in der Presse erhobenen Vorwürfe entschieden zurück.
Die Unternehmen haben zur Sicherstellung des Datenschutzes und des Fernmeldegeheimnisses umfängliche Sicherheitsvorkehrungen vorgesehen. Die bei der BNetzA registrierten Unternehmen haben hierzu entsprechend § 109 TKG Sicherheitskonzepte vorgelegt, deren Umsetzung von der BNetzA überprüft wird.
Die Unternehmen überprüfen die Sicherheitsvorkehrungen regelmäßig und lassen diese teils durch unabhängige Dritte auditieren und zertifizieren.
Die Unternehmen passen insofern diese Sicherheitsvorkehrungen regelmäßig dem Stand der Technik und neuen Bedrohungen entsprechend an.