RCS LabHackerbehörde trifft sich mehrmals mit Staatstrojaner-Hersteller

Die deutsche Hackerbehörde ZITiS hatte fünf Termine mit der italienischen Überwachungsfirma RCS Lab. Ob ZITiS auch Technologie bei dem Unternehmen gekauft hat, verrät die Bundesregierung nicht. RCS Lab ist längst nicht der einzige Trojaner-Hersteller, zu dem die Behörde Kontakt hält.

Ein Smartphone, das eine Landkarte darstellt.
Fast alle überall tracken, verspricht eine Werbebroschüre des Überwachungsherstellers (Symbolbild). Gemeinfrei-ähnlich freigegeben durch unsplash.com Mael Balland

ZITiS sieht sich selbst als „zentraler Dienstleister“ für andere Behörden. Haben die ein Telefon, das sie nicht auslesen können, können sie sich an die Behörde in München wenden. Die zentrale Stelle für Informationstechnik im Sicherheitsbereich beschäftigt sich aber nicht nur damit, Verschlüsselung selbst zu knacken. Die Staatshacker beschäftigen sich auch mit den Portfolios kommerzieller Überwachungstechnologie-Unternehmen.

„ZITiS stellt Werkzeuge bereit“ heißt es auf der Website der „Cyber-Behörde 4.0“ im Abschnitt Telekommunikationsüberwachung. Welche Produkte das sind, verrät die Bundesregierung nicht. Doch Informationen über die Treffen der Behörde mit Herstellern geben einen Einblick, wofür sich die Staatshacker:innen zumindest interessiert haben.

Fünf Treffen seit 2019

Mit der Firma RCS Lab etwa trafen sich Vertreter:innen von ZITiS fünf Mal seit 2019. Das geht aus der Antwort auf eine parlamentarische Anfrage der Linken-Abgeordneten Martina Renner hervor. Das italienische Unternehmen geriet gemeinsam mit seiner Tochterfirma Tykelab Mitte des Jahres in die Schlagzeilen. Laut einer Werbebroschüre soll es mit ihrer Überwachungstechnologie möglich sein, „die Bewegungen von fast jedem zu tracken, der ein Mobiltelefon dabei hat – egal ob ein paar Häuserblöcke entfernt oder auf einem anderen Kontinent“ – wohl mit Hilfe des „Signalisierungssystems #7“, einem Protokoll in Telekommunikationsnetzen.

Daneben hat RCS Lab noch weitere klassischere Hacking-Tools in seinem Portfolio. ZITiS stehe „seit 2019 mit Vertretern des Unternehmens ‚RCS Lab SpA‘ in Kontakt, um im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten“, heißt es in der Antwort des Innenministeriums. Zwei Termine gab es 2019, einen 2020 und in diesem Jahr bereits weitere zwei. Worum es dabei ging und ob Deutschland zum Kundenkreis von RCS Lab gehört? Das bleibt geheim, aus Gründen des Staatswohls. Ob deutsche Behörden auch mit Tykelab geredet haben? Auch hierzu schweigt die Regierung gegenüber der Öffentlichkeit.

ZITiS muss sich nicht besonders mit rechtlichen Fragen belasten

Eine wichtige Frage ist bei Software kommerzieller Überwachungssoftware-Hersteller, ob sie überhaupt in Deutschland eingesetzt werden dürfte. Der Staatstrojaner Pegasus von NSO Group etwa kann in seiner eigentlichen Form zu viel, er wurde offenbar abgespeckt, damit das BKA ihn nutzen kann. Doch eine solche Verantwortung für diese Einschätzung sieht die Bundesregierung nicht primär bei ZITiS.

Dort werde zwar bei der Marktsichtung „die grundsätzliche Vereinbarkeit der gesichteten Technologien mit dem deutschen Rechtsrahmen mitbetrachtet“, aber im Detail liege die Verantwortung bei den Behörden, die entsprechende Technologie praktisch nutzen wollen: „Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung (ITÜ) obliegt den Behörden, die die ITÜ-Maßnahmen im Rahmen ihrer gesetzlichen Befugnisse durchführen“, schreibt das Innenministerium.

RCS, Candiru, Quadream, NSO und DSIRF

Neben RCS Lab war ZITiS mit weiteren Überwachungsherstellern im Austausch: etwa seit 2018 mit dem Unternehmen Candiru Limited. Laut der israelischen Tageszeitung Haaretz steht Deutschland auf der Kundenliste des Staatstrojaner-Herstellers. Außerdem waren ZITiS-Vertreter:innen in Kontakt mit den ebenfalls israelischen Firmen Quadream (seit 2019) und NSO Group (seit 2018).

Zur „Weiterentwicklung von Cyberfähigkeiten im Bereich der Informationstechnischen Überwachung“ gab es seit 2020 ebenfalls Kontakte zur Spionagefirma DSIRF, die in Wien sitzt. Gegen den Staatstrojanerhersteller ermittelt mittlerweile die österreichische Staatsanwaltschaft.

„Ständig auf der Suche“

Fragestellerin Renner sagt gegenüber netzpolitik.org: „ZITiS ist ständig auf der Suche nach Software, die wie jene von RCS Lab mit Pegasus oder Candiru mithalten kann.“ Am Ende entscheide die jeweilige Einsatzbehörde, ob sie die Software nutzt. „Selbst dann“, so Renner, „wenn ZITiS Bedenken geäußert hat, können sie sich darüber mit fadenscheinigen Argumenten hinwegsetzen wie im Falle von Pegasus.“

Das konterkariere die Untersuchungen des EU-Parlaments. Das hatte eigens einen Untersuchungsausschuss eingerichtet, nachdem bekannt geworden war, dass auch in EU-Staaten mit Staatstrojanern wie Pegasus unter anderem Oppositionsmitglieder und Journalist:innen ausspioniert wurden. Nach den Enthüllungen zu RCS Lab im Sommer sagte Ausschussmitglied Sophie in ‘t Veld: „Es ist höchste Zeit, dass die gesamte Spähsoftware-Industrie in der EU, die in einer Grauzone der Legalität arbeitet, reguliert und ans Licht gezerrt wird. Es muss Grenzen geben, sonst ist unsere Demokratie kaputt.“


Hier das Dokument aus dem PDF befreit:


Kleine Anfrage der Abgeordneten Martina Renner u. a. und der Fraktion DIE LINKE.

Maßnahmen zur Stärkung der Cybersicherheit versus Einsatz von Produkten zur informationstechnischen Überwachung

BT-Drucksache 20/3544

Vorbemerkung der Fragesteller:

Nach dem in den vergangenen Monaten der extensive Einsatz von Spähsoftware der israelischen Softwarefirma NSO Group welt- und europaweit für Schlagzeilen gesorgt hat, findet inzwischen eine breit angelegte Untersuchung hierzu durch das EU-Parla­ment statt (u. a. https://netzpolitik.org/2022/untersuchungsausschuss-staatstrojaner-pegasus-wird-alle-40-minuten-eingesetzt/). Nach Angaben des israelischen Herstel­lers wird das zum Ausspähen bzw. zur Komplettübernahme von Mobiltelefonen nutz­bare Programm in weltweit ca. 50 Ländern eingesetzt. Zu den Zielen der das Pro­gramm einsetzenden Behörden gehörten u.a. Oppositionspolitiker in Polen und Spa­nien oder Journalisten in Ungarn, Marokko oder Chile (https://netzpoli­tik.org/2021/staatstrojaner-polnische-oppositionelle-mit-pegasus-gehackt/; https://netzpolitik.org/2022/nso-group-zwoelf-eu-laender-nutzen-pegasus-staatstroja­ner/; https://www.zeit.de/politik/ausland/2021-11/ungarn-pegasus-spionagesoftware-nso-group-fidesz-regierung-nutzung). Während die offiziellen Untersuchungen also noch anhalten, sind andere Schwachstellen und Sicherheitslücken lange bekannt, aber es ist unklar, ob und inwiefern deutsche und europäische Behörden insoweit überhaupt tätig werden.

So berichtete der Spiegel, dass die italienische Firma „Tykelab“ beispielsweise Überwachungsangriffe anböte, wobei u.a. eine lange bekannte Sicherheitslücke im SS7-Protokoll der Mobilfunkanbieter und –unternehmen zu Überwachungszwecken aus­genutzt würde (https://www.spiegel.de/netzwelt/web/ss7-angriffe-von-tykelab-wie-eine-italienische-firma-das-globale-telefonnetz-attackiert-a-087b4f50-f167-4b6e-a6ac-fddd40626974). Diese Sicherheitslücke ist auch nach Aussagen der Bundesre­gierung bekannt. Das Bundesamt für die Sicherheit im der Informationstechnik (BSI) arbeite gemeinsam mit anderen Stellen bereits seit längerem an der Beseitigung die­ser Sicherheitslücke auf der Ebene der Global System für Mobile Communications Association (GSMA) und stehe auch im Austausch mit den deutschen Netzbetreibern (Drs. 19/18555, Frage 61).

Allerdings scheint sich die Bundesregierung über die Tragweite dieser Sicherheitslü­cke im Unklaren zu sein und auf geeignete Maßnahmen der in Deutschland tätigen Mobilfunkbetreiber zu verlassen (Plenarprotokoll 19/155, Frage 7). Das Onlinemedium „euobserver“ berichtete, dass die italienischen Softwareunterneh­men „Tykelab“ und RCS Lab SpA, die zur Unternehmensgruppe Cy4gate gehören, nicht nur verschiedene Hacking-Tools innerhalb und außerhalb der EU anböte und einsetze und dabei u.a. durch Untersuchungen seitens Googles Threat Analysis Group enttarnt worden sei (https://euobserver.com/digital/155849; https://indianex­press.com/article/technology/tech-news-technology/rcs-lab-hack-how-android-ios-users-in-italy-and-kazakhstan-were-spied-on-7988039/). Die Firma RCS Lab bietet ihre Überwachungssoftware „Ubique“ mit dem Versprechen an, „die Bewegung von fast jedem, der ein Mobiltelefon bei sich trägt, zu verfolgen“. Die teils mit „Pegasus“ verglichene Überwachungssoftware „Hermit“ ermöglicht eine komplette Übernahme der Zielgeräte inklusive Ferneinschaltung des Mikrofones (https://posteo.de/news/ita­lienische-spionagefirmen-erm%C3%B6glichen-umfassende-handy-%C3%BCberwa­chung).

Der Einsatz dieser Software wurde u.a. aus Kasachstan, Italien und Rumä­nien berichtet. Googles Sicherheitsforscher haben auch herausgefunden, dass RCS Lab auch mit der hochumstrittenen Spähsoftware-Firma „Hacking Team“ zusammen gearbeitet hatten (https://www.heise.de/news/Google-Android-und-Apple-Handys-von-italienischer-Spyware-ausgespaeht-7151984.html). Mitglieder des Pegasus-Un­tersuchungsausschusses des EU-Parlamentes haben bereits erklärt, sich auch mit diesen Überwachungstools beschäftigen zu wollen.

Vorbemerkung der Bundesregierung:

Die Bundesregierung beantwortet die im Rahmen des parlamentarischen Frage­rechts angefragten Sachverhalte gegenüber dem Deutschen Bundestag grundsätz­lich öffentlich, transparent und vollständig, um dem verfassungsrechtlich verbrieften Aufklärungs- und Informationsanspruch des Deutschen Bundestages zu entspre­chen. Soweit erfragte Informationen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann, und gegebenenfalls alter­native Formen der Informationsvermittlung zu suchen, die das Informationsinteresse des Parlaments unter Wahrung der berechtigen Geheimhaltungsinteressen der Re­gierung befriedigen (BVerfGE 124, Seite 161,193).

Wir überwachen die Überwacher.

WE FIGHT FOR YOUR DIGITAL RIGHTS

Jetzt Spenden

Nach sorgfältiger Abwägung des Aufklärungs- und Informationsrechts der Abgeord­neten mit dem Wohl des Bundes (Staatswohl), das durch Bekanntwerden geheimhal­tungsbedürftiger Informationen gefährdet werden könnte, äußert sich die Bundesre­gierung nicht, weil dies die Wirksamkeit sicherheitsbehördlicher Tätigkeit gefährden kann. Evident geheimhaltungsbedürftige Informationen muss die Bundesregierung nach der Rechtsprechung des Bundesverfassungsgerichts nicht offenlegen (BVer­fGE 124, 161, 193 f.).

Soweit die Fragen nicht explizit an das Bundesamt für Sicherheit in der Informations­technik (BSI) und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gerichtet sind, geht die Bunderegierung im Kontext der Fragestellung davon aus, dass sich die Fragen auf die Strafverfolgungs-, Ermittlungs- und Gefahrenab­wehrbehörden des Bundes, sowie der Nachrichtendienste des Bundes beziehen. Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.

Die Bundesregierung ist nach sorgfältiger Prüfung zu der Auffassung gelangt, dass aufgrund der Schutzbedürftigkeit der erfragten Informationen bezüglich der Strafver­folgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes sowie der Nach­richtendienste des Bundes aufgrund entgegenstehender überwiegender Belange des Staatswohls nicht bzw. teilweise nicht erfolgen kann, auch nicht in eingestufter Form.

Im Einzelnen:

Die Antwort zur Frage 16 ist in Teilen als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft. Die erbetenen Auskünfte sind in Teilen geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Die Fragen betreffen zum Teil detaillierte Einzelheiten zu ihren technischen Fähigkeiten und ermittlungs­taktischen Verfahrensweisen. Aus dem Bekanntwerden der Antworten könnten Rückschlüsse auf Vorgehensweise, Fähigkeiten und Methoden der Sicherheitsbehörden gezogen werden, was wiederum nachteilig für die Aufgabenerfüllung der durchfüh­renden Stellen und damit für die Interessen der Bundesrepublik Deutschland sein kann.

Deshalb ist die Antwort zur genannten Frage 16 gemäß § 2 Absatz 2 Nummer 4 der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz (VS-Anweisung – VSA) in Teilen als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und wird als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermit­telt.

Nach sorgfältiger Abwägung ist die Bundesregierung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 7 bis 13, 15 und 16 bezüglich der Strafverfol­gungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes sowie der Nachrich­tendienste des Bundes aufgrund entgegenstehender überwiegender Belange des Staatswohls teilweise nicht oder nicht erfolgen kann, auch nicht in eingestufter Form.

Die insoweit erbetenen Informationen zielen auf die kriminaltaktischen oder nachrichtendienstlichen Ermittlungs- bzw. Informationsgewinnungsinstrumente der betroffe­nen Sicherheitsbehörden ab. Mit der Beantwortung würden mittelbar bestimmte Ar­beitsmethoden und Vorgehensweisen im Bereich der technischen Aufklärung offen­gelegt oder Rückschlüsse darauf ermöglicht. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung und somit die Erfüllung des gesetzlichen Auftrags der be­troffenen Sicherheits- und Strafverfolgungsbehörden sowie Nachrichtendienste er­heblich gefährdet.

Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheim­schutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Bri­sanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabener­füllung der Sicherheitsbehörden des Bundes nicht in Betracht. Das Risiko, dass der­art sensible Informationen bekannt werden, kann unter keinen Umständen hinge­nommen werden. Die angefragten Informationen beschreiben die technischen Fähigkeiten der betroffenen Sicherheitsbehörden bzw. Nachrichtendienste des Bundes aufgrund ihres Bezuges auf bestimmte Produkte bzw. Hersteller in einem derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen würde.

Die einzelnen Kooperationspartner arbeiten mit Sicherheits- und Strafverfolgungsbe­hörden sowie Nachrichtendiensten nur unter der Voraussetzung zusammen, dass die konkrete Kooperation mit ihnen – auch nicht mittelbar – preisgegeben, sondern abso­lut vertraulich behandelt wird. Dies bedeutet, dass die geheimhaltungsbedürftigen In­formationen zu und aus der Kooperation nicht außerhalb der Sicherheits- und Straf­verfolgungsbehörden sowie Nachrichtendienste weitergegeben werden dürfen. Eine Offenlegung der Kooperationspartner würde das Ansehen von deutschen Nachrich­tendiensten und das Vertrauen in diese daher weltweit erheblich schädigen. Dementsprechend bestünde die ernstzunehmende Gefahr eines weitreichenden Wegfalls von Kooperationsmöglichkeiten nicht nur bei zivilen Firmen. Würde die Bundesregie­rung die Informationen freigeben, so wäre zudem zu befürchten, dass Kooperations­partner ihrerseits die Vertraulichkeit nicht oder nur noch eingeschränkt wahren wür­den.

In der Konsequenz könnte es künftig zu einem Rückgang oder zum Wegfall zukünfti­ger Vertragspartner und in der Folge zu einem Wegfall der Erkenntnisgewinnung der deutschen Nachrichtendienste kommen. Dies alles würde dem deutschen Staatswohl zuwiderlaufen. Dies hätte signifikante Informationslücken und negative Folgewirkun­gen für die Abbildung der Sicherheitslage in der Bundesrepublik Deutschland sowie im Hinblick auf den Schutz deutscher Interessen im Ausland zur Folge. Insofern muss ausnahmsweise das Fragerecht der Abgeordneten gegenüber dem Geheim­haltungsinteresse der Bundesregierung zurückstehen.

1. Besteht die beschriebene Sicherheitslücke im Signalisierungssystem SS7, welche durch „Tykelab“ ausgenutzt worden sein soll, nach Kenntnis der Bundesregierung bei Mobilfunkunternehmen fort, die ihre Dienste in Deutschland bzw. der EU anbieten?

2. Wenn ja, welche Unternehmen (Mobilfunkunternehmen, Netzbetreiber) sind davon betroffen?

Zu 1 und 2: Die Fragen werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Belastbare Informationen darüber, ob die beschriebene Sicherheitslücke von den Mobilfunkanbietern, die ihre Dienste in Deutschland und in der EU anbieten, inkl. Mobile virtual network operators (MVNOs), fortbesteht, liegen der Bundesregierung nicht vor.

3. Sind der Bundesregierung Maßnahmen dergestalt bekannt, dass die betreffenden Mobilfunkunternehmen ihre Kunden über die bestehenden Risiken aufklären und in­formieren, bspw. anlässlich von Hacking-Angriffen gegen Netzbetreiber oder ähnli­cher Vorfälle?

Zu 3: Die Bundesnetzagentur (BNetzA) hat vor mehreren Monaten angeordnet, dass eine kostenlose Sprachnachricht abgespielt werden muss, bevor ein teures Telefonat in bestimmte Länder zustande kommt. Dies war eine Gegenmaßnahme zu „WangiriFraud“, also einer Missbrauchsform, die den Teilnehmer animiert, eine teure Num­mer zu wählen, weil er von dieser einen verpassten Anruf bekommen hat.

Darüber hinaus liegen der Bundesregierung keine Erkenntnisse vor, in dem Informa­tionen über SS7- oder andere Signalisierungsangriffe, die in erster Linie eine Schwachstelle in der Infrastruktur des Betreibers betreffen, als allgemeine Informa­tion (präventiv) an die Teilnehmer weitergegeben wurden.

4. Welche Maßnahmen wurden wann seitens des BSI gegenüber in Deutschland täti­gen Mobilfunkunternehmen im Zusammenhang mit der Beseitigung dieser Schwach­stelle ergriffen bzw. vorangetrieben?

5. Welche Maßnahmen wurden wann seitens des BSI gemeinsam mit anderen Part­nern auf der Ebene der Global System für Mobile Communications Association (GSMA) zur Beseitigung dieser Schwachstelle ergriffen bzw. vorangetrieben?

Wir machen's nicht für Klicks

WE FIGHT FOR YOUR DIGITAL RIGHTS

Jetzt Spenden

Zu 4 und 5: Die Fragen werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Das BSI beteiligt sich an den laufenden Aktivitäten zu den Signalisierungsprotokollen für das 5G-Roaming, welche langfristig das SS7-Protokoll ablösen werden. Aller­dings wird das schwachstellenbehaftete SS7-Protokoll auf absehbare Zeit weiter un­terstützt werden. Bekannte Angriffe können mit speziellen SS7-Firewalls erkannt und abgewehrt werden. Hierzu befindet sich das BSI mit Unternehmen im Austausch.

6. Welche Haltung nimmt die Bundesregierung bzw. das BSI bei den Beratungen auf der Ebene der Global System für Mobile Communications Association (GSMA) in die­sem Zusammenhang ein?

Zu 6: Das BSI setzt sich setzt sich im Rahmen seiner Zuständigkeit dafür ein, dass die Ro­aming-Signalisierung Ende-zu-Ende, d.h. zwischen den beiden Roaming-Partnern (MNOs) kryptographisch gesichert wird, so dass Vermittlerinstanzen, die ebenfalls Zugriff auf den Signalisierungsverkehr haben, diesen nicht unerkannt manipulieren können.

7. Haben Vertreter oder Beauftragte des Unternehmens „Tykelab“ welchen Behörden des Bundes bzw. den Vertretern welcher Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechni­scher Systeme und Netzwerke vorgestellt und wenn ja wann?

8. Waren Produkte und Leistungen zur informationstechnischen Überwachung im An­gebot des Unternehmens „Tykelab“ Gegenstand der Marktsichtung durch Zentral­stelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Ge­schäftsbereich der Bundesregierung?

Zu 7 und 8: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

9. Wann und mit welchem Ergebnis hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unterneh­mens „Tykelab“ zur informationstechnischen Überwachung beschäftigt?

Zu 9: Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Pro­dukten und Leistungen im Bereich der informationstechnischen Überwachung (ITÜ) obliegt den Behörden, die die ITÜ-Maßnahmen im Rahmen ihrer gesetzlichen Befug­nisse durchführen. Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

10. Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring Sys­tem (CVSS) haben die beim Einsatz der Produkte von „Tykelab“ genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?

11. Welche Kosten sind jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „Tykelab“ für Behörden des Bundes bislang entstanden bzw. bzw. werden künftig entstehen (bitte aufschlüsseln nach Behörde und Jahr)?

Zu 10 und 11: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

12. Haben Vertreter oder Beauftragte des Unternehmens „RCS Lab SpA“ welchen Be­hörden des Bundes bzw. den Vertretern welcher Behörden die von ihnen entwickel­ten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informati­onstechnischer Systeme und Netzwerke vorgestellt und wenn ja wann?

13. Waren Produkte und Leistungen zur informationstechnischen Überwachung im An­gebot des Unternehmens „RCS Lab SpA“ Gegenstand der Marktsichtung durch Zent­ralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?

Zu 12 und 13: Die Fragen werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Zur Wahrnehmung ihrer Aufgaben hinsichtlich der Weiterentwicklung von Cyberfä­higkeiten im Bereich der Informationstechnischen Überwachung steht die ZITiS seit 2019 mit Vertretern des Unternehmens „RCS Lab SpA“ in Kontakt, um im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten. Hierbei fanden zwei Termine im Jahr 2019, ein Termin im Jahr 2020 und zwei Ter­mine im Jahr 2022 statt. Darüber hinaus wird auf die Vorbemerkung der Bundesre­gierung verwiesen.

14. Wann und mit welchem Ergebnis hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unterneh­mens „RCS Lab SpA“ zur informationstechnischen Überwachung beschäftigt?

Zu 14: Im Rahmen der Marktsichtung durch ZITiS wird die grundsätzliche Vereinbarkeit der gesichteten Technologien mit dem deutschen Rechtsrahmen mitbetrachtet. Im Übri­gen wird auf die Antwort zu Frage 9 verwiesen.

15. Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring Sys­tem (CVSS) haben die beim Einsatz der Produkte von „RCS Lab SpA“ genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?

Zu 15: Auf die Vorbemerkung der Bundesregierung wird verwiesen.

16. Welche Kosten sind jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „RCS Lab SpA“ für Behörden des Bundes bislang entstanden bzw. werden künftig entstehen? (Bitte aufschlüsseln nach Behörde und Jahr.)

Zu 16: Es wird auf den als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften Antwortteil gemäß der Vorbemerkung verwiesen. Darüber hinaus wird auf die Vorbemerkung der Bundesregierung verwiesen.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.