Überwachung
Staatliche Überwachung, Innenpolitik, Cybermilitär und Geheimdienste.
-
: Tibet: Citizenlab deckt wieder Phishing-Attacken gegen Aktivisten auf
Stehen im Fokus von Malware-Angriffen: Tibetische Freiheitsaktivisten - <a href="http://creativecommons.org/licenses/by/2.0">CC BY 2.0</a> via wikimedia/<a href="https://commons.wikimedia.org/wiki/File:Tibet_lliure!!!!.jpg">Rédacteur Tibet</a> : Tibet: Citizenlab deckt wieder Phishing-Attacken gegen Aktivisten auf Nach Recherchen des Citizenlab aus Kanada sind die Google-Konten tibetischer Aktivisten mittels Phishing-Attacken ausspioniert worden. Es handelt sich um den neusten Fall in einer Reihe von Hacker-Angriffen auf politisch unerwünschte Gruppen in Tibet.
Laut dem Bericht „Shifting Tactics“ bekamen Aktivisten und Journalisten E‑Mails mit Links zu Videos und Texten zugeschickt, denen eine gefälschte Login-Seite für Google-Konten vorgeschaltet waren. Technisch nicht wirklich fortgeschritten, aber wohl äußerst effektiv. Die Forscher der Universität Toronto konnten die Angriffe in drei E‑Mails vom November und Dezember 2015 nachweisen, vermuten aber weitere nicht bekannte Versuche. Auch in diesem Fall waren der E‑Mail-Text und der Link inhaltlich auf die Empfänger abgestimmt: Sie bezogen sich auf die Konflikte um die Unabhängigkeit Tibets von China.
The phishing campaigns targeted multiple organizations and individuals in the Tibetan community. Many of these groups act as distributed networks, with staff members and collaborators around the world. The attackers are, therefore, not necessarily targeting compromise of office networks, but rather social networks. Credential phishing is a potentially more efficient means of gaining access to these networks than document-based malware.
Hinter den Angriffen soll die Hackergruppe „Scarlet Mimic“ stecken. Sie wurde bereits mehrmals mit ähnlichen Angriffen auf Aktivisten in Tibet und China in Verbindung gebracht. Scarlet Mimic verschickte in der Vergangenheit mit Malware infizierte Dokumente per E‑Mail an ausgewählte Oppositionelle. Als Reaktion ließen sich diese technisch schulen und informierten die Forscher des Citizenlab im Winter über die E‑Mail mit dem merkwürdigen Link, heißt es in einem Artikel bei Vice Motherboard.
-
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Obama hat sich zu Ramstein geäußert. Das war für mich genug Sicherheit.“
Europasaal vor der Sitzung. : Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Obama hat sich zu Ramstein geäußert. Das war für mich genug Sicherheit.“ Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Geladen ist diesmal nur ein Zeuge – Frank-Walter Steinmeier. Wir sitzen wie immer drin und bloggen live.
Der jetzige Bundesaußenminister hatte dieses Amt bereits von 2005 bis 2009 inne. Außerdem war er 1999 bis 2005 Chef des Bundeskanzleramtes unter Gerhard Schröder und von 2007 bis 2009 Vizekanzler. Er war während seiner Zeit im Kanzleramt stark in die Nachrichtendienstkoordination eingebunden. Er trug wesentlich zum Zustandekommen des Memorandum of Agreement bei, das die Grundlage für die Zusammenarbeit des BND mit der NSA in Bad Aibling darstellt.
Diese Zusammenarbeit war bereits vor den Anschlägen des 11. September geplant, in deren Nachgang sich das Streben nach Zusammenarbeit der deutschen und US-amerikanischen Dienste zusätzlich intensivierte.
In Steinmeiers Zeit im Kanzleramt fällt auch die Operation Eikonal, bei der von 2004 bis 2008 Kommunikationsdaten an einem Internetknoten in Frankfurt am Main abgegriffen und nach Bad Aibling ausgeleitet wurden. Der frühere Leiter der Abteilung für Nachrichtendienstkoordination im Bundeskanzleramt und Ex-BND-Präsident Ernst Uhrlau sagte gegenüber dem Ausschuss aus, dass Steinmeier bei der Operation Eikonal unterrichtet gewesen sei. Wie genau diese Unterrichtung aussah, ob Steinmeier dem Projekt zugestimmt hat oder nicht – daran wollte Uhrlau sich nicht mehr erinnern können.
Als Steinmeier zum ersten Mal Außenminister war, wurde AFRICOM in Stuttgart angesiedelt. Die Kommandozentrale der USA für Militäreinsätze in Afrika stand vor allem in Verbindung mit tödlichen Drohnenschlägen in der öffentlichen Aufmerksamkeit. Es werden sicher auch Fragen dazu aufkommen, wie die Bundesregierung zur Stationierung von AFRICOM in Deutschland und zu der Rolle im US-Drohnenkrieg stand.
Steinmeier hat bereits einige Erfahrung mit Untersuchungsausschüssen. Im vorigen BND-Untersuchungsausschuss zur Rolle des BND im Irak-Krieg musste er insgesamt sechs Mal als Zeuge aussagen.
Gliederung
- Gliederung
- Vorbemerkungen
- Einleitung: Vorsitzender
- Zeuge 1: Frank-Walter Steinmeier, Bundesaußenminister
Vorbemerkungen
Wir berichten aus den öffentlichen Sitzungen, an denen jeder teilnehmen kann. Hier steht, wie man sich anmeldet.
Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.
Abkürzungen: Im Anschluss an die Sitzungen ergänzen wir die verwendeten Abkürzungen um Erklärungen. Während des Live-Bloggens schaffen wir das leider nicht, daher gibt es ein Abkürzungsverzeichnis zum Nachschauen.
Dargestellte: Abgeordnete und Zeugen, gerne korrigieren und vervollständigen wir ihre Aussagen. Kontaktieren sie uns!
Copyright: Die Zeichungen der Zeugen stehen nicht unter einer Freien Lizenz. Wer die Bilder verwenden möchte, kontaktiert bitte Stella Schiffczyk.
Wer uns unterstützen möchte, darf gerne spenden.
Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).
Einleitung: Vorsitzender (12:07)
Sensburg: Heute ungefähr 450. Stunde NSAUA.
$Begrüßung
Zeuge 1: Frank-Walter Steinmeier, Bundesaußenminister
Frank-Walter Steinmeier, 5. Januar 1956, Auswärtiges Amt
Eingangsstatement
Danke für das Wort und Gelegenheit. Seit 1998 StS im Bundeskanzleramt und Beauftragter für ND. Seit 1999 bis 2005 auch Chef-BK. Ereignisse zehn bis 15 Jahre zurück. Zwei-drei Stichworte. War geprägt von Debatte um Staatbürgerschaftsrecht, Atomausstieg, Rentenreform, Agenda 2010. Sicherheitspolitisch 9/11, Irakkrieg und Beteiligung, Entscheidung so oder so mit Mitteln und Kosten, die uns noch heute beschäftigen. Nicht alles gehört in den Ausschuss, aber Umfang des Untersuchungsauftrags immens groß. Weniger Vielzahl der Fragen sondern Untersuchungsauftrag, der über Aufklärung von Einzelaspekten hinausgeht. Grundsätzliches Verhältnis Sicherheit und Freiheit, staatlicher Schutzauftrag vor Sicherheitsbehörden – vor Entwicklung digitaler Kommunikation. Objektiv nicht einfach, darf man sich nicht so einfach machen. Bequeme Antworten selten, lassen sich auch nicht herbeiwünschen. Spannungsfeld Freiheit und Sicherheit ist nicht erfunden, sondern real. Geht um Maximum an Sicherheit für Bürger, man muss dafür sorgen, dass Staat Bürger on- und offline schützen kann und rechtsstaatliche Vorgaben beachten.
Füge hinzu, damit wir Auftrag erfüllen können, brauchen wir NDs, die technisch in der Lage sind, Internet aufzuklären und die kooperieren. Wer das für überflüssig hält, macht es sich meiner Meinung nach zu einfach. Kann man nicht annehmen, wenn man verantwortlich für Sicherheit der Bürger entscheiden muss. Haben darauf hingewirkt, dass BND zukunftsfähig bleibt und wird. Durch Modernisierung und Kooperationen. Möglichkeiten des Rechtsstaats genutzt und darauf geachtet, das dessen Grenzen nicht überschritten werden. Finde, wir haben trotz wachsender Bedrohung und aktueller Gefahren Hysterie vermieden und Zivilität bewahrt. Wenn wir von Attentaten verschont wurden, hat das viele Gründe. Auch Glück. Aber auch Ausstattung und Professionalität der Sicherheitsbehörden.
15 Jahre später wissen wir wesentlich mehr, technische Entwicklung fortgeschritten. Sie müssen sich für Kooperation der deutschen NDs mit Five Eyes, besonders mit USA, beschäftigen. Praxis der NDs in USA, besonders NSA, haben weltweit Empörung auf sich gezogen. Kritische Auseinandersetzung damit notwendig. Haben Sommer 2013 einiges erfahren, was nachdenklich gemacht hat und Vertrauen in Frage gestellt. Verhältnis Deutschland und USA wie alte Ehe. Glaube, das geht nicht, wenn wir über Frage ND-Beziehungen und Frage, ob Beziehungen missbraucht worden sind, dass man das nur durch Argwohn betrachtet. Aufklärung nur im ehrlichen Dialog zwischen Ländern, die in vielem nah sind. Erlebe das in täglicher Arbeit, außenpolitisch vermutlich niemals näher als jetzt. Heißt zweierlei: Probleme offen ansprechen und Beziehungen nicht gefährden. Da gehört auch dazu, sich selbst gegenüber ehrlich zu sein, nicht nur über USA zu Gericht sitzen. Nicht übersehen: Auch in USA gibt es ernste Debatte wie hier auch über Verhältnis Freiheit und Sicherheit. Zeigt sich an Diskussion um Zugang zu Mobiltelefon von Terrorist. Man sollte sich in Diskussion einklinken und Dialog suchen. Wer sich auf Misstrauen zurückzieht, gibt Einflussmöglichkeiten auf.
Wir kennen Berichte über NSA. Legen nahe, dass es zu Ziel der NSA gehört, möglichst viele Daten zu sammeln und zu durchsuchen. In letztem Wahlkampf versucht, Verbindung zwischen Praktiken 2013 und Grundsatzentscheidung 2001 zu ziehen. Entscheidung 2001, enger mit US-NDs zusammenzuarbeiten, hat wenig mit dem zu tun, was NSA heute weltweit zu tun scheint. In Erinnerung rufen, wovon wir reden. Auf welchem technologischen Stand wir 2001 waren, als Entscheidungen über Kooperation fielen. Nach Anschlägen von Paris kommt es bekannt vor, dass Terroristen koordinierten Massenmord begehen. 2001 war das unerwartet und unfassbar. Wenn ich an 9/11 denke, gibt es viele Elemente, die uns heute noch beschäftigen. Eine Welt, die zunehmend aus den Fugen geraten ist.
Damals war die Supermacht USA verwundet, Gefahr internationaler Terrorismus nicht unbekannt, aber Ausmaß hat alle überrascht und besorgt. In USA und hier. Folgten intensive Wochen, in denen wir uns konkret mit Anschlagsgefahr in Deutschland auseinandersetzen mussten. Bedrohungslage hat sich verschärft. Mit 9/11 hat Al-Quaida gezeigt, dass es weltweit kooperieren und koordinieren und Anschläge verüben kann. Deshalb Verkehrsknotenpunkte, Chemieanlagen, Verkehrsmittel mit einem Mal als Anschlagsziele bewerten müssen und Gefährdungslagen in Augenschein nehmen müssen. War nicht weit hergeholt, Madrid und London trauriger Beleg.
Gab Befürchtungen, dass Attentate in USA nur Beginn waren. Spätestens seit wir wussten, dass es Mitglieder der Hamburger Zelle waren, war klar, dass öffentliche Stimmung von Furcht geprägt ist. Bild schrieb: Angst vor Terror. Süddeutsche: Zerstörerische Kraft der Attentate wird auch Europa treffen, neue Dimension des Terrors. Gab Erwartung, größtmögliche Sicherheit zu gewährleisten, unter Nutzung aller erreichbaren Informationen. Galt, kühlen Kopf zu bewahren. Notwendiges tun, nicht über Ziele hinausschießen. Ich meine, wir haben die richtige Balance gewahrt, damit Rechtsstatt nicht von Sicherheitsstaat usurpiert wird. Waren uns einig, dass wir USA zur Seite stehen würden.
Keine Illusionen gemacht, USA werden reagieren, schauen besonders auf Deutschland. Es waren Mitglieder der Hamburger Zelle mit Atta, sie konnten jahrelang in Deutschland unerkannt leben. Hat Vertrauen der USA in uns nicht gestärkt. Haben uns in Bundesregierung entschieden, auch militärischen Beitrag zu leisten – nicht ohne Kontroverse in Bundestag und Koalition. Haben nicht gesehen, dass uns das heute noch beschäftigen wird, aber dass schwieriger Einsatz. Kannten Afghanistan nicht so gut. War nicht nur Solidarität im Bündnis, sondern auch Eigeninteresse, dass Afghanistan nicht mehr Ausbildungsstätte für islamistische Terroristen ist.
Wenn uns heute die Gefahr bewusst ist, die durch Training des IS entsteht, war das damals die Gefahr, dass Attentäter in Afghanistan ausgebildet werden. Mussten besser Gefahren für Soldaten, Deutschland und Europa verstehen. Das war die Gemengelage, aus der wir auf Kooperation mit USA geblickt haben. Enge Zusammenarbeit war wichtig. Alles andere weder klug noch verantwortungsvoll.
Zwischenbefund zeichnete sich ab: Mangelnde Koordinierung zwischen Diensten hat dazu geführt, dass Anschläge nicht vereitelt werden. Daher an besserer Zusammenarbeit deutscher Behörden gearbeitet. Später in GTAZ verstetigt. Angesichts internationalem Handeln von Terroristen, war geboten, mit USA enger zusammen zu arbeiten. Bundestagsprotokolle aus Zeit nach 9/11 angesehen: Starkes Mitgefühl, Fraktionen für internationalen Schulterschluss ausgesprochen. Worte Bundeskanzler bekannt: „uneingeschränkte Solidarität“. Grüne und Union lagen auf der Linie, auch sogar PDS.
Gab Konsens, dass bessere ND-Kooperation erforderlich. Kerstin Müller: „Brauchen enge internationale Kooperation von NDs.“ Friedrich Merz: „NDs brauchen jede erdenkliche Unterstützung.“ Michael Glos: „Bedrohungsgerechte Ausstattung von BND gebraucht.“
Schröder am 16. November: „Die Zusammenarbeit der in- und ausländischen Nachrichtendienste ist schon innerhalb kürzester Zeit verbessert worden.“ Gonzales Gastbeitrag in FAZ: „Das Dramatische ist, dass Informationen vorhanden sind, wenn sie nur einem Dutzend Ländern zugänglich gemacht werden.“
Sage das so ausführlich, weil man Eindruck gewinnen kann, Kooperation sei anstößig und auch Verabredung dazu. Kann ich so nicht teilen. Kooperieren aufs Engste mit USA, wenn es um politische Lösung von Konflikten geht. Syrien, Libyen und Jemen. Müssen kooperieren, weil es ohne gemeinsame ND-Lage gar nicht geht, Waffenstillstände zu verhandeln oder Verifikation zu überprüfen. Pflegen enge Partnerschaft. Haben vitales Interesse, dass das funktioniert.
Nochwas zu historischer Einordnung. Müssen bei Bewertung damaligen Handelns technische Entwicklung in Blick behalten. Terrorismusnetzwerke, die über Grenzen hinweg agierten und kommunizierten. Nicht nur über Handys, sondern zunehmend über Internet. War damals für deutsche NDs im Wesentlichen noch Neuland, unkartiertes Gelände. Gerade wegen Kommunikationsverhalten bei 9/11 musste das Internet nicht nur als neuer Raum für Terroristen wahrgenommen werden, sondern auch für NDs. Habe nicht vorausgesehen, dass Internet heute so wichtig ist. Damals waren drei Viertel der Daten noch analog, heute nur noch ein Prozent. 2007 brachte Apple iPhone auf Markt, erst 2014 war Big Data Leitmotiv der Cebit. Waren damals weit entfernt von heutigen Datenmengen. 90 Prozent aller digitaln Daten stammen aus Zeit nach 2011. Auf geografisch haben wir mit BW-Einsatz in Afghanistan ab Januar 2002 Neuland betreten. War bis dato alles andere als im Vordergrund.
Angesichts Gesamtsituation war nach 9/11 Gebot der Stunde, BND zu ertüchtigen und Kooperationen in der FmA zu verbessern. Dennoch: Bei allem Druck, zu reagieren, Sicherheit für Bürger zu garantieren – eines war klar: Grundpfeiler Rechtsstaat nicht antasten. Grundbedingung für Zusammenarbeit NSA und BND: Volle Beachtung deutschen Rechts. Auch in Unterlagen dokumentiert. Klar war, dass Zusammenarbeit auf Boden deutscher Rechtsordnung erfolgen muss. Bundesregierung hat damals deutlich gemacht, dass nicht Freiheit oder Sicherheit, sondern vernünftige Balance, das war auch unser Maßstab. Ist uns in verantwortlicher Weise gelungen.
Debatte über Kooperation schon vor 9/11 begonnen. Aus ganz anderem Grund: Weil US-NDs vor 9/11 ihre Präsenz eher reduzieren wollten, auch in Deutschland. Frage, wie Nutzung in Bad Aibling in Zukunft aussehen könnte. Relikt aus Besatzungszeit, Echelon, Vorwurf: USA nutzen Stützpunkt für Spionage in Deutschland. Sind dem nachgegangen, hatten keine belastbaren anderen Erkenntnisse in der Bundesregierung. Ziel war, das Überbleibsel der vollen Souveränität zu unterstellen. Hanning hat Gespräche mit USA geführt, Einigung konnte erzielt werden, gemeinsame Nutzung unter deutscher Hoheit. Nach 9/11 mit mehr Nachdruck verfolgt.
In MoA festgeschrieben, deshalb nicht überraschend, was ich sage. Da sie seit Sommer 2013 absurde Vermutungen entwickelten, was 2001 und später verhandelt wurde: Da MoA eingestuft, gewisser Abstraktionsgrad. Festzuhalten, dass bindender Vertrag zwischen beiden NDs. Klare Absprache und Regelung. Nur Kooperation unter festen Parametern zugestimmt.
- Volle Kontrolle durch BND, keine unabhängige US-Operation auf deutschem Boden.
- Transparenz untereinander. Jeder der Partner durfte Einsicht in Erfassung anderen Partners haben.
- Völlige Beachtung deutschen Rechts, auch G‑10.
Damit: Kein Souveränitätsrabatt für USA. MoA kein Freifahrtsschein für NSA, Daten über Deutsche zu erfassen. War ausgeschlossen. Ging um Intensivierung bei Terrorabwehr, Auslandsaufklärung in Herkunftsländern verstärken, Sicherheit BW in Afghanistan erhöhen. War eindeutige Zielrichtung.
So wenig wie BND erlaubt war, Informationen über USA zu sammeln, war es auch USA nicht erlaubt, Daten über Deutsche zu sammeln. Ringtausch war ausgeschlossen. Habe MoA für richtig befunden und tue es auch heute noch. Alle Bundesregierungen seitdem haben es beibehalten. Heutige Entwürfe für BND-Gesetz-Reform: Im Kern auch das, was wir 2002 festgehalten haben. Immer noch Grundlage für Gesetz 2016. Verhandlungen zu MoA haben parallel zu Debatten nach 9/11 und täglichen Runden zu Sicherheitsvorkehrungen in Deutschland stattgefunden.
Keine Erinnerungen an Verhandlungsprozess mehr. Aber nachher waren noch Haushaltsfragen zu klären. Irgendwann Nachricht: Unsere Vorgaben sind akzeptiert. Danach Annexe verhandelt, Ende 2003, Anfang 2004.
Nach 9/11 war zentral, Kooperation mit US-ND zu verstärken, Fähigkeit BND zu erhöhen, neue geografische Schwerpunkte, neue Sicherheitsanforderungen aus digitaler Kommunikation anzupacken und BND auf neue Bedrohungslagen einzustellen. Haben viel Neuland betreten, aber meine Überzeugung: Keine Abstriche bei Einhaltung deutschen Rechts. Deshalb MoA erst nach Klarstellungen gebilligt. Wortlaut ist eindeutig.
Mir ist bekannt, dass sich Ausschuss mit Eikonal beschäftigt hat. Habe weder als Chef-BK noch heute über Detailkenntnisse verfügt. Erst durch Medien 2014 in Gedächtnis gerufen worden. Habe im Bundeskanzleramt davon erfahren, aber nicht im Zentrum meiner Wahrnehmung. Kann nicht beurteilen, wie genauer Ablauf. Soweit ich weiß nie richtig in Schwung gekommen vor Herbst 2005. Kann sagen, welche Erwägungen zu Grunde lagen. Zumindest die mir bekannten. Ging um Ausbau der Fähigkeiten des BND, ertüchtigen. USA waren in puncto Technik weit voraus. Verzicht auf technische Kooperation wäre kein angemessener Umfang gewesen. Ging darum, in erhöhter Gefährdungslage neue Kommunikationswege zu verstehen und zu nutzen. Offensichtlich auch Internetstruktur in Deutschland im Blickfeld. Alles andere auch wenig verständlich. Dass wir trotz Gefährdungslage Internet nicht nutzen. Bild von Abgriff in Frankfurt am Main lässt Eindruck entstehen, dass gezielt Daten deutscher Bürger erfasst werden. Irriger Eindruck, im Gegenteil: MoA galt, Erfassung Deutscher war ausgeschlossen. Bedingungen waren geklärt, BND auf Schutz deutscher Grundrechte sensibilisiert.
Sensibilität war wichtig, weil Datenerhebung auf deutschem Boden. Ziel Eikonal: Kommunikation zwischen ausländischen Partnern erfassen, die durch Deutschland geleitet wurde. War mir bekannt, scheint mir auch heute richtig. Mit Technik auch rechtliche Abgrenzungen anspruchsvoller. Kommunikation zwischen Bundeskanzleramt damals und Telekom 2003. Dazu öffentliche Stellungnahmen zu lesen gewesen, die zu Unrecht skandalisieren. Geht im Kern darum: Darf BND in Deutschland Daten erfassen, die durch Deutschland transportiert werden?
Habe mir besagtes Schreiben angesehen. Bin nicht sicher, ob jemals selbst gesehen oder je Rolle in Besprechung gespielt. Mag sein, dass mich AL 6 informierte. Kann heute nur auf Fakten schauen: Habe keinen Zweifel, dass BND-Gesetz Grundlage bietet, Informationen im Inland über Ausland zu gewinnen. Brief Absicherung der Telekom, dass Bundeskanzleramt einverstanden. Wurde dann auch in Vertrag vereinbart. Ging zum gezielte Erschließung wichtiger Verbindung von Ausland zu anderem Ausland. Daher auch Bezeichnung „Transit-Vertrag“.
Meine, dass Vertrag richtig war. Von Verfassungsbruch zu sprechen, entbehrt meiner Meinung nach jeder Grundlage. Schon damals auf Zeithorizont hingewiesen. Rechtliche Instrumente waren noch in analogem Zeitalter. Internet wird auch von Terroristen genutzt, daher Pflicht des Rechtsstaates zu reagieren. Muss Sicherheit gewährleisten, wenn nichts entgegen steht. Mittel des Rechtsstaat müssen auch online einsetz- und verfügbar sein und deutsches Recht beachten.
Herantasten an digitale Welt heißt nicht, dass das zu Lasten des deutschen Rechts geschieht. Deutsches Recht zentraler Eckpunkt. Frage, wieweit mit G‑10-Anordnung Telekommunikation von Deutschen überwacht wird, hat im Rahmen Eikonal Rolle gespielt. Ob technische Probleme, KA. Meiner Meinung nach stellt sich das so dar: BND hat sich, als klar war, dass deutsche und internationale Verkehre schwer zu trennen sind, an G‑10-Kommission gewandt und Genehmigung erwirkt. Auslandsverkehr wurde damals ebenfalls erfasst. Erscheint mir schlüssig. Eingriff in deutsches Fernmeldegeheimnis nur mit Anordnung.
Auch aktuelle Vorwürfe zu Kenntnis genommen, dass G‑10-Kommission nicht ausführlich informiert. Kann ich im Einzelnen nicht nachvollziehen. Ob es wirklich Rechtspflicht zu Information gab, darüber mag man streiten.
Da es nun rechtspolitische Diksussion gibt, begrüße ich sehr Präzisierung der Rechtsgrundlage. Gibt Überlegungen, im BND-Gesetz Klarstellung für Erfassung im Inland einzufügen. Zeigt, dass bisheriges Rechtsverständnis festgeschrieben werden soll. Kann nicht feststellen, dass Bundeskanzleramt rechtswidriges Verhalten als rechtmäßig erklärt. Hintergehung der G‑10-Kommission kann ich aus heutiger Sicht nicht erkennen. Wurde mit G‑10-Verkehr befasst. Kommunikationsdaten von Ausland auf Grundlage BND-Gesetz erfasst, nicht Aufgabe der G‑10-Kommission.
Dann Suchbegriffe und Selektoren der NSA. Öffentliche Debatte darüber verfolgt. Dennoch: In diesem Punkt geht es mir wie ihnen. Nie Selektor gesehen. Kann daher aus eigener Anschauung keine Auskunft geben, inwieweit NSA Selektoren eingebracht hat, die MoA widersprechen. Im Bundeskanzleramt nie Hinweis zu Problemen bekommen, weil problematische Selektoren. Aus offenem Bericht Graulichs entnehme ich, dass BND 2005 Telefonnummern von EADS/Eurocopter aufgefallen sind. Wurden ausgesondert. Sage deutlich: Auch die konkreten Beispiele waren mit damals nicht bekannt. Dass EADS/Eurocopter erkannt wurden scheint mir schlüssig, weil zunächst Erfassung Telefonverkehre. Bis Ende 2005 Erfassung von Mails und Internetkennungen noch gar nicht begonnen. Muss mich in Bewertung der Vorgänge zurückhalten, weil keine direkte Kenntnis. EADS/Eurocopter konnten durchaus als problematisch angesehen werden. Aber dass sie aufgefallen sind, deutet auf vorhandene Prüfung.
Qualitativer Unterschied zu Internet-TK. Wenn Versuche, sowie in Graulichs Bericht, von NSA vorgenommen wurden, handelt es sich um inakzeptablen Verstoß gegen Vereinbarung. Nicht nur glasklar festgelegt, dass keine deutschen Ziele erfasst werden dürfen. Auch Ziele in Europa nur für schwerwiegende Straftaten.
Nach meiner Zeit Chef-BK kann ich mich nicht äußern. Da geäußert wurde, Kenntnis zu problematischen Selektoren ergebe sich aus meiner Zeit: MoA war keine Vereinbarung zu Überwachung anderer Regierungen. War nicht Nutzung, sondern Missbrauch der Vereinbarung. Im MoA klare Anweisungen, Verstöße zu melden. Ist in meiner Zeit nicht zu mir vorgedrungen. Entweder keine Verstöße oder nicht weitergemeldet.
Weitere Frage: Eigene strategische FmA. Als ich gehört habe, dass BND befreundete Regierungen und internationale Institutionen abhört, war ich gelinde gesagt überrascht. Auftrag des BND zu meiner Zeit umfasste zu keiner Zeit europäische, befreundete Regierungen oder internationale Institutionen. Damals wie heute.
Habe mich gefragt: Gab es Anzeichen dafür, dass europäische Einrichtungen abgehört wurden in Berichten des BND? Nie Informationen erhalten, wo Eindruck, dass etwas außerhalb Auftrag des BND liegt. Nie Dossier über befreundete Staaten erhalten. Etwaiges Abweichen BND von Auftrag war für mich nicht erkennbar. Sonst auch kein Anlass, zu vermuten, dass BND Ziele erfasst, die nicht mit APB zusammen passen. Politischer Schaden einer Spionage gegen Freunde übertrifft Nutzen deutlich. Gibt auch Staaten, die gegen Verbündete mit ND-Mitteln arbeiten. Sollten wir nicht beflügeln. Wenn ich mit europäischen Kollegen zusammensitze, wird intensiv diskutiert. Positionen sowieso bekannt. Dieser Haltung müssen auch NDs folgen.
Weiteres Thema sind Verhandlungen zu No-Spy-Abkommen. Betont, dass erstrebenswert, vertrauensvollen Dialog zwischen Freunden aufzubauen. Bemühungen um No Spy mit Sympathie und Skepsis beobachtet. Verhandlungen haben begonnen, als ich nicht im Regierungsamt war. Im Sommer 2013 Zweifel, dass USA solcher Vereinbarung zustimmen. Hätte Präzendenzfall geschaffen, der sie auch gegenüber anderen verpflichtet und beschränkt hätte. Ab Dezember 2013 gleichzeitig notwendig, breite Debatte zwischen beiden Staaten über Sicherheit und Freiheit anzustoßen.
Ging darum, wie wir darauf achten, dass Eingriffsrechte anderer mit Freiheit im Netz in Einklang stehen. No-Spy-Verhandlungen für mich nicht so sehr entscheidend. Nicht eingebunden, stagnierten. In Presseberichten Hinweise, ich hätte No-Spy beendet, gehen fehl. Erinnere Gespräche mit John Podesta und Feinstein. Habe Gespräche genutzt, um kritische Stimmen in USA zu ermutigen. Haltung „alles, was technisch möglich ist, ist erlaubt“, ist nicht mehr Meinung in US-Kongress. Cyberdialog mit Kerry war weder Ersatz noch Konkurrent von Vereinbarungen, sondern Instrument der Außenpolitik. In nächster Woche Cyberaußenpolitik-Beauftragter in USA, Dialog wird fortgesetzt.
Zum Schluss: Bei MoA handelt es sich um Vereinbarung mit klaren Vorgaben. Heute wie damals halte ich Dokument für einwandfrei und notwendig. Aufgrund von Herausforderungen digitaler Kommunikation, BW-Einsatz in Afghanistan. Uns war klar, Internet verändert Kommunikation. Zu Beginn des Jahrtausends begann Welt, digital zu werden. Rechtsstaat braucht Instrumente für Aufklärung und Prävention online, nicht ohne rechtliche Bindung. Situation damals nicht mit omnipräsenter Onlinekommunikation heute zu vergleichen. Letztens: Angesichts gestiegener Bedrohungslage waren wir bereit, Möglichkeiten des Rechtsstaats zu nutzen, aber nicht zu überschreiten. Ziel war nicht, Informationen über Deutsche zu sammeln, sondern das zu verhindern.
Fragerunde 1: Vorsitzender
Sensburg: Frage heute: Auch Kontrolle möglich? Waren von 1998 bis 2005 StS in Bundeskanzleramt, von 2005 bis 2009 BM im AA. Heute auch wieder. Kenne sie als cleveren Politiker. Können uns unheimlich viele Infos geben – sind wir da einer Meinung?
Steinmeier: Vorbehalt: Vorgänge 15 Jahre zurück, manches in Erinnerung zurückgesunken. Aber will Auskunft geben, soweit ich kann.
Sensburg: Ist das die vergangene Zeit oder auch der Grund, dass sie in Position entsprechende Dokumente nicht gesehen haben. Will von hinten nach vorne anfangen. No-Spy-Abkommen. Zwei Kommunikationsstränge? Den der Dienste und den des AA. Richtig?
Steinmeier: Ja. Habe versucht, darauf hinzuweisen, dass Debatte schon angefangen, als ich noch nicht zurück im AA. Von außen auf Ankündigung geschaut, dass wir vor No Spy stünden. Hatte Zweifel, dass wir den Punkt jemals erreichen. Weil dann auch alle 28 EU-Mitgliedsstaaten das gefordert hätten. Daher in der Tat Skepsis. Aber habe als Fraktionsvorsitzender damit nichts zu tun gehabt und später im AA auch nicht. Daher Versuch von AA deutlich anders. Nicht motiviert von Frage: Wie verbessern wir Verhandlungen zwischen BND und NSA und Bundeskanzleramt und Weißes Haus. Anspruch eher, öffentliche Debatte zu befördern. Spannungsfeld Freiheit und Sicherheit. Dazu unterschiedliche Auffassungen beiderseits, klar. Teilweise darin begründet, dass USA Opfer von 9/11 waren. Daher höhere Erwartungen an Aufklärung. In unserer Sozialpsychologie nicht gleich, wir hatten keine Opfer im eigenen Land. Daher unterschiedliche Annäherungen. Fand, John Podesta war wirklich jemand, der für liberales Amerika steht. War froh, dass Interesse bei ihm und Zusammenkunft mit Kongressmitgliedern.
Sensburg: Prekäre Situation US-NDs 2013: War das Auslöser dafür, dass man überhaupt über No Spy gesprochen hat? Warum sonst diskutiert?
Steinmeier: War nicht in Verhandlungen dabei. In Frage richtiger Verdacht: Erschrecken auf US-Seite so wie Empörung in Deutschland. Kann mich an beide US-Botschafter damals erinnern. Murphy nach Wikileaks-Veröffentlichungen und später hatte Emerson in deutscher Öffentlichkeit eher Mühe, zu erklären, was passiert. Gab auf Seite der USA durchaus gewachsene Bereitschaft, sich mit Deutschen an Tisch zu setzen, zu erklären und über Limitierungen nachzudenken.
Sensburg: Hätte man damals beherzter zugreifen müssen? In Koalitionsvertrag eingeschrieben. Zu viel Zeit verstreichen lassen?
Steinmeier: KA, nicht an Verhandlungsrunden teilgenommen. Wäre Vereinbarung gewesen, zu der zwei gehören. Druck von Deutschland hätte Ergebnis nicht unbedingt zu Besserem befördert.
Sensburg: Politische Ebene USA hätte auch dazukommen müssen. Da war man mit fortschreitender Zeit skeptisch. Auch Hillary Clinton hat gesagt, sie würde das nicht abschließen.
Steinmeier: Meiner Meinung nach erfreulich, dass Diskussion hier in US-Öffentlichkeit genauso vorhanden war. Dass transatlantische Debatte zu kritischerer Beleuchtung von US-NDs geführt hat.
Sensburg: Um was geht es eigentlich bei No Spy? Auf deutschem Boden deutsches Recht einhalten? Nicht selbstverständlich?
Steinmeier: Im MoA darüber ausdrücklich Vereinbarung getroffen. Bei No Spy nicht nur Beachtung deutschen Rechts. Wäre politischer Verzicht der USA gewesen auf jede Art ND-Tätigkeit gegen deutsche Stellen. Selbst mit Hinweisen auf Gefährdung durch Deutschland. Völliger Verzicht, dazu gab es keine Bereitschaft auf US-Seite.
Sensburg: Zweites Thema Selektoren. Ihnen nie einer begegnet, habe ich auch nicht erwartet. Thematik interessant. Wenn eine Seite Kompetenz besitzt, Satelliten- und Kabelkommunikation auszulesen und nach Suchbegriffen zu suchen. Wenn man Kooperation 2005 startet, fragt man sich: Wie bringe ich politisch alles auf den Weg, damit Recht eingehalten wird? Wer war verantwortlich, das zu prüfen? Oder gegenseitiges Vertrauen?
Steinmeier: Nein, habe gesagt: Grundlage für Beachtung deutschen Rechts in MoA. Wurde durch Eikonal nie in Frage gestellt. Musste auch sicherstellen, dass bei gemeinsamen Operationen berücksichtigt. Bei Telefonie relativ einfach, weil anhand Telefonnummer feststellbar, wer aus welchem Land telefonierte. Bei späterer Verwendung in Internet schwieriger, aber nach meiner Zuständigkeit. Wie da kontrolliert wurde: KA.
Sensburg: Gesagt: NSA musste prüfen?
Steinmeier: BND.
Sensburg: Bei Graulich zu Ergebnis gekommen: NSA trägt Verantwortung.
Steinmeier: Dass deutsches Recht beachtet wird. Da wo Risiko, dass deutsches Recht verletzt, hätten Selektoren nicht eingestellt werden dürfen. Wir hatten Pflicht, das zu prüfen. Bei EADS/Eurocopter ist das ja aufgefallen.
Sensburg: Frage mich, ob ausreichend. MoA enthält nichts zu Controlling. Kooperation auch, um Know-How zu SIGINT zu gewinnen. Kleinerer Partner konnte Kompetenz gar nicht besitzen. Hätte man nicht mehr Wert darauf legen müssen, dass Kontrollmechanismen schon frühzeitig da?
Steinmeier: Ja, ist so. Haben Recht, dass Kooperation Effekt haben sollte, dass BND in Bereichen, wo nicht auf Höhe der Zeit, von Entwicklung der NSA profitieren wollte. Was sich später herausgestellt hat: Am Anfang war Filterung von G‑10 leicht leistbar und durch BND machbar. Bei Internet nicht mehr so der Fall. Nachdem man das nicht vollständig hinbekommen hat, war das ein Grund für Einstellung von Eikonal.
Sensburg: Mein Eindruck: BND hat seit Intial Load von Selektoren nie Gesamtprüfung vorgenommen, ob deutsche oder europäische Interessen verletzt, sondern nur Offensichtliches überprüft, zum Beispiel „.de“. Ist das befriedigender Zustand?
Steinmeier: Wenn das befriedigend gewesen wäre, dann wäre Eikonal bestimmt fortgesetzt worden. Weil technische Anforderungen so komplex hat man das dann beendet. Weiß nicht, ob politisch oder durch BND beendet, KA. War nicht mehr dort. Mangelnde Zufriedenheit schon Beleg in Beendigung Zusammenarbeit.
Sensburg: Halte Zusammenarbeit für richtig. Wünsche, dass BND Expertise hat, Dinge zu nutzen, die er erhält und das kontrollieren kann. Scheint, als ob noch Verbesserungsbedarf. Nochmal detaillierter zu Zustandekommen des sogenannten Freibriefs.
Wie ist man damals rangegangen und hat gesagt, wir wollen auf Bestimmtes zugreifen und Telekom will nicht? Erinnerung?
Steinmeier: Kann nicht sagen, ob ich Brief persönlich gesehen habe. In Erinnerung an Zusammenarbeit gehe ich davon aus, dass Uhrlau mich mit Vorgang bekannt gemacht hat und auf Bedürfnis Telekom hingewiesen hat.
Will nicht ausschließen, dass es so ein Gespräch gab.
Sensburg: Schon besondere Situation. Frage: Ging um Ausland-Ausland. Wenn Meinung, dass ist rechtlich einwandfrei – könnte ja sagen „Erdreichtheorie“ – auf welcher Grundlage erfolgt Kooperation, wenn es eines Freibriefs bedurfte?
Steinmeier: Kein Freibrief, sondern Bestätigung des Rechtsverständnisses, dass sich Zugriff auf Nur-Auslandsverkehre auf BND-Gesetz stützt. Warum es Nachfragen in Telekom gab entzieht sich meiner Kenntnis.
Sensburg: Aber in Freibrief keinerlei juristische Argumentation. Gerade das nicht.
Steinmeier: Kann ich nicht mehr sagen, warum Schreiben so abgefasst. Aber anderseits: Ist kein Urteil oder Verwaltungsakt mit Rechtsmittelbelehrung. Schlichtes Schreiben zu Kommunikation AL 6 und Telekom, das Bestätigung enthält. Bestätigung ist drin, mehr aber auch nicht.
Sensburg: Erinnerung, ob Diskussion über Transitverkehre und Grundrechtsrelevanz?
Steinmeier: Frage mich heute: Ist das Gegenstand der Lektüre der letzten Monate? Kann nicht erinnern, ob damals schon Rolle gespielt und ob Diskussionen, dass G‑10-Ausschuss beteiligt werden muss. KA ob Gespräche.
Sensburg: Frage, weil SZ berichtet hat in Codewort Eikonal:
Steinmeier versteht sich sehr gut mit BND-Präsident August Hanning, und beide wollen die Zusammenarbeit mit den US-Geheimdiensten, vor allem mit der mächtigen NSA. Steinmeier ist bereit, auch riskante Operationen abzunicken, Hanning ist bereit, die Verantwortung zu übernehmen, wenn etwas auffliegt.
Woher haben die das?
Steinmeier: Wenn ich Journalist wäre, hätte ich das auch so geschrieben. Wird heute so getan, als hätte es Wochenend-Ruhelage gegeben. Aber Zeiten damals anders. Nicht nur Verständnis, sondern Erwartung, dass man da, wo noch kein enger Austausch zwischen NDs, dass man diese Zusammenarbeit auch sucht.
Nicht nach meinem Verständnis oder dem des Bundeskanzleramt oder BND: Nicht um jeden Preis, sondern in Rahmen der rechtlichen Möglichkeiten. Wurde erwartet, dass wir Informationen, die zwischen befreundeten Staaten ausgetauscht werden, dass die auch zukünftig allen zur Verfügung stehen.
Sensburg: Geht dabei ja um Meldungen. Bei Eikonal ging es um Kabelerfassung und Ausleitung.
Steinmeier: Ja, Möglichkeit war gegeben.
Sensburg: Wurde das auch genutzt oder nur angelegt?
Steinmeier: Bin kein Praktiker beim BND. Wie genutzt und welche Informationen entstanden, kann ich nicht sagen.
Sensburg: Wäre für uns wesentliche Informationen, ob in dem Rahmen viele Daten direkt an Partner weitergeleitet wurden oder ging es um Meldungen? Natürlich werden Meldungen ausgetauscht, aber ist was anderes bei Ausleitung des gesamten Kabels. Problematik der Selektion deutscher Verkehre…
Steinmeier: Muss zwischen verschiedenen technischen Möglichkeiten unterscheiden zu meiner Zeit im Bundeskanzleramt. Denke, dass bis zu Beginn der Interneterfassung Datenmengen relativ gering waren.
Sensburg: Mit Blick auf G‑10-Kommission: Würden sie sagen, Prozedere war richtig? G‑10-Anordnung bei deutschen Verkehren und Rest über § 1 BND-Gesetz und Freibrief dafür Bestätigung?
Steinmeier: Dazu: Sie haben Mitglieder der G‑10-Kommission befragt. KA, was die genau ausgesagt haben. Gibt Pflicht seitens BND, G‑10-Kommission darüber zu informieren und Genehmigungen dazu zu erbitten, die G‑10-geschützte Verkehre betreffen. Ausland-Ausland ist nichts, was G‑10-Kommission in engerem Sinn betrifft.
Was Kommission wusste oder nicht: Kann ich aus eigener Wahrnehmung nicht sagen.
[Unterbrechung für namentliche Abstimmung (13:51)
Geht weiter (13:35)]
Fragerunde 1: Linke
Renner: Untersuchungsausschuss wird sich nicht mit Dingen befassen, die gut gelaufen sind, sondern mit Dingen, die schlecht gelaufen sind. Was ist nach MoA passiert? Wann und wie über Praxis Datenaustausch informiert? Datenerfassung? Was genau bekannt, wo Datenabgriffe, wie technisch umgesetzt? Hinweise aus BND, dass bei Datenerfassung Probleme, z.B. mit G‑10-Schutz? Vollzug Kontrolle im Bundeskanzleramt als Fach- und Dienstaufsicht.
Steinmeier: Mir in meiner Person MoA in Grobem, Gang der Verhandlungen, bekannt. Bekannt, was Gegenstand von Eikonal war. In Annex MoA Vorschriften zu Meldewegen. Probleme sind mir auf diesem Weg über BND oder Abteilung 6 Bundeskanzleramt nicht zu Ohren gekommen.
Renner: Probleme nach MoA nur BND zu melden oder auch Bundeskanzleramt?
Steinmeier: Wenn ich mich richtig erinnere im Annex Meldung gegenüber BND, aber bei gravierenden Problemen sicher auch Abteilung 6 Bundeskanzleramt.
Renner: Bei Grundrechtsverletzung bei Ausleitung TK: Ist das meldepflichtig?
Steinmeier: Denke, gab Gespräche, die geklärt haben, dass Information an G‑10-Ausschuss bei G‑10-Fällen.
Renner: G‑10-Kommission und AL 6 informiert worden. Sie auch?
Steinmeier: Kann ich aus eigener Erinnerung nicht sagen. Will nicht ausschließen, aber keine Erinnerung.
Renner: Hätte Abteilung 6 Vermerk an sie senden müssen, wenn Erfassung Deutscher?
Steinmeier: Wenn informationspflichtige Gegenstände, dann Weg nicht entscheidend. Schriftlichkeit nicht zwingend.
Renner: Aber können sich jetzt nicht erinnern, ob sie informiert waren?
Steinmeier: Ja.
Renner: Eikonal für NSA sehr wichtig. Bekannt?
Steinmeier: Sie unterschätzen damalige Situation. Austausch zwischen NDs war wichtig. Wenn sich Erkenntnisse aus Auslandsverkehr ergeben hätten, dann Vorteile für beide. Aus eigener Wahrnehmung KA, ob relevante Informationen über Terrorismus über Knoten Frankfurt am Main weitergegeben wurden.
Renner: In Verhältnis zu Telekom eine wichtige Frage: Bei Dokumenten zu Eikonal und Zeugenaussagen: Klar, dass BND für NSA Kabelabgriff organisiert hat und Daten über Bad Aibling an NSA geflossen sind. Ausgangspunkt war Interesse der NSA an Datenkabel.
Wenn BND mit Telekom Vertrag schließt: Hätte Telekom nicht bekanntgegeben werden müssen, dass Auftraggeber nicht in Pullach sitzt, sondern in Fort Meade?
Steinmeier: Nein.
Renner: Hätte sie nicht erfahren dürfen?
Steinmeier: Dürfen ja, aber keine Notwendigkeit.
Renner: Telekom davon ausgegangen, dass BND da rechtmäßig Daten erfasst. Nicht davon, dass Daten an US-ND gingen.
Steinmeier: Telekom hat aufgrund des Brief und Vertrages Zugriff in Frankfurt am Main zugelassen und nicht in Irrtum über Grundlagen.
Renner: Doch, komplett im Irrtum, weil nichts über Auftrag gewusst. Dachte, über Vertrag und G‑10-Anordnung gedeckt. In Unterlagen als G‑10-Legende bezeichnet. Kennen sie Begriff?
Steinmeier: Aber deshalb muss ich ihn nicht teilen.
Renner: Kennen sie ihn?
Steinmeier: Das lässt sich durch Berichterstattung nicht vermeiden.
Renner: Nur durch Berichterstattung?
Steinmeier: Ja. Glaube auch, wird damaliger Motivation nicht gerecht.
Renner: Geht nicht um Motivation, sondern um Methoden.
Steinmeier: Hat in Öffentlichkeit Benamung erfahren, keine Ahnung, ob gerechtfertigt.
Fragerunde 1: SPD (14:45)
Flisek: Auf Zäsur 9/11 hingewiesen. Haben festgestellt, dass in Akten Bundeskanzleramt kein Vorgang zu MoA vorhanden, der von ihnen persönlich gezeichnet wurde. Nie an sie herangetragen? Oder auf mündlicher Basis oder tatsächlich nur Grundlagen zu dem Go der Kooperation gegeben?
Steinmeier: Müssen sehen, dass Geheimdienstkoordinator nicht selben Aufgaben hat wie Chef-BK. Für Grundsatzentscheidungen, Sicherung Funktionsfähigkeit, Arbeitsbedingungen beim BND zuständig. In Gestalt von ND-Lage, abgeschlossen durch Präsidentenlage. Versucht, das regelmäßig zu betreuen. Nicht so, als gäbe es Verdopplung der Aufgaben bei Chef-BK und AL 6.
Flisek: Ausführen, gibt nicht nur AL 6 Bundeskanzleramt, gibt dann Chef-BK. Keine Doppelung Zuständigkeit. Dann noch BND-Präsident. Aus ihrer Wahrnehmung darstellen, wie sowas abläuft. Was kommt hoch zu Chef-BK, was bleibt in Abteilung 6, wann wird BND-Präsident mit Weisungen betraut?
Steinmeier: Tagesgeschäft AL 6, damals Uhrlau. In Kooperation mit Präsidenten des BND. Zuständigkeit Chef-BK: Damals leicht zu sagen. Bekam am Nachmittag des 11. September Anruf, war in Süddeutschland unterwegs, mit Hubschrauber zurückgefolgen. Am nächsten Mittag Pressekonferenz mit ersten Informationen zu 9/11 und Erkenntnissen BND. Danach damit befasst, mit Beunruhigung in Öffentlichkeit umzugehen. Zum Teil von Anthrax-Päckchen gemacht. Gerüchte über Pocken-Viren. Vor allem deshalb täglich getagt, um deutsche Infrastruktur nach Angriffspunkten sichern. Haben 9/11 für Anfang von Anschlagsserie gehalten. In London und Madrid stattgefunden, in Deutschland zum Glück nicht. Operatives Geschäft bei AL 6 gut aufgehoben. Habe ich sorgfältig ausgewählt. Einer der profiliertesten Sicherheitsexperten der Republik. Leiter LfV, in Hamburg Polizeipräsident.
Flisek: Uhrlau?
Steinmeier: Ja. Gezielt ausgesuchte Personalie, der ich operatives Geschäft anvertraut habe.
Flisek: Nach welchen Maßstäben hat Uhrlau entschieden, was an sie zu übermitteln ist?
Steinmeier: In Zwei-Tagesabstand oder tägllich miteinander zu tun gehabt. Natürlich Fragen näherer Kooperation zwischen NDs Gegenstand unserer Gespräche. Was genau Maßstab, das ist bei AL 6 so wie bei Chef-Bundeskanzleramt gegenüber Bundeskanzler.
Flisek: Einzelfallentscheidung?
Steinmeier: Tägliches Geschäft Vielzahl von Einzelfallentscheidungen. Wenn man täglich damit arbeitet, entwickelt man Gefühl dafür.
Flisek: Gesagt, grünes Licht für MoA gegeben, wenn drei Bedingungen. Deutschland volle Kontrolle, Transparenz, Geltung deutsches Recht. So vorstellen? Man arbeitet Maßstäbe in strategischer Beratung aus, dann Abteilung 6 in Verbindung mit BND Verantwortung, zu konkretisieren?
Steinmeier: Ja, war in Ordnung. Darüber gesprochen, ob wir Kooperation wollen und welche Vorteile. Und unter welchen Bedingungen. Wie konkret kann ich nach 15 Jahren nicht mehr erinnern.
Flisek: 2001 auch EU-Parlament Bericht vorgestellt zu Echelon. Bad Aibling wurde gewisse Rolle zugesprochen. Bei Maßstäben auch Ergebnisse EU-Parlament berücksichtigt?
Steinmeier: Weiß aus heutiger Berichterstattung, dass es diese Berichte gab. Kann sein, dass auch damals bekannt. Keine eigenen Hinweise gehabt, dass diese Art ND-Ermittlungen zu Lasten deutscher Wirtschaft stattgefunden hat. In Entscheidungsfindung eingegangen, kein Hindernis für Kooperation BND-NSA gesehen.
Flisek: In Hinsicht auf Wirtschaftsspionage: Keinerlei positive Kenntnis damals bei den von ihnen verantworteten Teilen der Bundesregierung, dass Wirtschaftsspionage durch US-NDs?
Steinmeier: Ja.
Flisek: Anhaltspunkte, dass ausgehend von diplomatischen Vertretungen Spionage ausgeübt wird?
Steinmeier: Gab nach Regierungsumzug solche Gerüchte. Darauf keine belastbaren Hinweise gefunden und bekommen. Was Spionage von ausländischen Einrichtungen in Berlin angeht, müssen wir Gewahr sein, dass es Interessen gibt und unsere Einrichtungen schützen.
Flisek: Anbahnungsphase der Kooperation. Zeugen der Dienste haben gesagt, es ginge neben Sicherheit vor allem um ein Geschäft. So nach Motto: Wir geben Informationen und kriegen Technik, Hardware, Software, Know-How. Liegt daran, dass man selbst seine Fähigkeiten bei SIGINT gering geschätzt hat. Erheblicher Abstand in Kompetenz. Ihnen sowas bekannt?
Steinmeier: Habe deutlich gemacht, dass Motivationslage sich verändert hat. Am Anfang davon bestimmt, dass USA sich eher zurückziehen wollten, möglicherweise aus Haushaltsgründen. Im Verlauf der Gespräche dadurch verändert, dass mit 9/11 deutlich wurde, dass gemeinsame Sicherheitsinteressen. Kooperation, die zwischen CIA, ähhh, NSA und BND angelegt war, nicht nur durch schlichtes Geschäft motiviert. Nach 9/11 wusste man, dass man sich gemeinsam gegen neue Form von Terrorismus zur Wehr setzen musste.
Flisek: Eikonal. Sie haben auf Rechtslage hingewiesen. Aufgabenzuweisung für BND in §§ 1 und 2 BND-Gesetz. Reine Ausland-Ausland-Verkehre. Rechtsauffassung in BND und Bundeskanzleramt. Gab es in ihrem Amt jemals Bedenken zu dieser Auffassung? An sie herangetragen worden?
Steinmeier: Schon deutlich gemacht: War weder Teil von Gesprächen innerhalb BND noch in Leitung Bundeskanzleramt sowas mit mir ausgetauscht. Habe Rechtsgrundlagen heute nochmal angesehen und gesagt: Nicht ganz klar, warum das Gegenstand öffentlichen Streits. Für mich ist BND-Gesetz ausreichende Grundlage für Ausland-Ausland.
Fragerunde 1: Grüne (15:05)
Notz: Verhandlungen zu MoA schon vor 9/11. Was war Überschrift der Verhandlung?
Steinmeier: Möglichkeit der Kooperation vor 9/11 angedeutet. BND hatte Signale, dass NSA sich von Bad Aibling zurück ziehen wollte. Ob Angebot für Kooperation von BND oder NSA ausging, KA. Erste Gespräche, ob Anlage unter deutscher Kontrolle weiterbetrieben werden kann, haben schon in wenigen Wochen im Sommer 2001 vor 9/11 angefangen. Abschluss dann erst im nächsten Jahr.
Notz: Geht ja um Erneuerung FmA in digitaler Welt. Einschätzung, wieviel bei FmA Terrorismus betrifft?
Steinmeier: Nein.
Notz: Würde es sie wundern, wenn nur 10 Prozent?
Steinmeier: KA.
Notz: Aber wenn sie das als einziges Argument für MoA bringen! Aber vielleicht auch Geschmacksfrage. Selektoren angesprochen. Wissen sie, ob BND die auch steuert? EADS/Eurocopter?
Steinmeier: Kann ich nicht beurteilen.
Notz: Kennen sie APB?
Steinmeier: Wenn sie darauf hinaus wollen, ob BND auch gegen deutsche oder europäische Regierungen steuern darf, dann liegt das außerhalb APB.
Notz: Ist es dazu gekommen?
Steinmeier: Müssen sie beurteilen, haben Leute gehört. Laut Presse deutet einiges darauf hin.
Notz: Denke, in ihrer Funktion müssen Ergebnisse aus Selektoren manchmal auf ihrem Schreibtisch gelandet sein. Konnten sie jemals Rückschlüsse darauf ziehen, dass BND sowas gesteuert hat?
Steinmeier: Eindeutig nein.
Notz: Auch nicht darauf, dass gegen US-Politiker gesteuert wurde?
Steinmeier: Nein.
Notz: War Gegenstand der Verhandlungen, dass BfV und BND Hamburger Zelle nicht auf dem Schirm hatte? Wie konnte das MoA was daran ändern, wenn nur Ausland-Ausland-Kommunikation?
Steinmeier: Wenn Hamburger Zelle und deutsche Daten: Heißt nur, man hätte G‑10-Anordnung gebraucht. Interesse von deutscher Seite und später US-Seite war, insgesamt internationale Kommunikation so aufzuklären, ob Informationen zu weiteren Attentaten enthalten sind. War nicht Beginn, aber leitendes Motiv für Verhandlungen nach 9/11.
Notz: Heißt das, dass man Ergebnisse von G‑10-Erkenntnissen mit USA geteilt hat?
Steinmeier: KA, keine Einzelheiten in Erinnerung. Nichtmal Befassung von G‑10-Ausschuss.
Notz: Würden sie zustimmen, dass Konsequenz aus Hamburger Zelle und 9/11 war, dass man Erkenntnisse aus G‑10 auch mit USA teilt?
Steinmeier: Wir verkennen, dass Interesse BND nicht mehr auf strafrechtliche Aufklärung begrenzt war, sondern es um Vorsorge von künftigen Attentaten ging. Also Austauch nicht nur USA-Deutschland, sondern befreundete Staaten.
Fragerunde 1: Union (15:14)
Warken: Haben über Vorgaben für MoA gesprochen. Als MoA verhandelt wurde noch nachjustiert. Nochmal ausführen, auf was besonders Wert gelegt?
Steinmeier: War nicht so, dass ständig und mehrfach nachjustieren müssen. War klar, welche Vorgaben von deutscher Seite gestellt werden würden: Transparenz, Kontrolle, deutsches Recht. Nachdem mir Ende 2001, Anfang 2002 signalisiert worden ist, dass alle drei Parameter übernommen wurden, waren wir uns einig, dass Kooperation starten kann.
Warken: Wie Vorgaben entwickelt? Mit anderen Ressorts?
Steinmeier: Kann sein, dass ich auch um Vorschläge bei Abteilung 6 gebeten habe.
Warken: Und direkt vor Unterzeichnung hat ihnen MoA auch vorgelegen? Nochmal gebilligt?
Steinmeier: KA, ob damals Einblick. Jetzt habe ichs nochmal in größeren Teilen gelesen.
Warken: In Folgejahren nochmal Anlass, sich nochmal mit MoA zu beschäftigen?
Steinmeier: Nicht auf meiner Ebene. In Annex klare Vorgaben bei Verletzungen und Störungen. Probleme mir nicht auf Tisch gekommen.
Warken: An Aushandlung der Annexe nicht beteiligt?
Steinmeier: Nein.
Warken: Wie sollte sichergestellt werden, dass nicht doch Daten Deutscher erfasst würden und abfließen würden?
Steinmeier: Nötige technische Mittel. Sogar am Anfang händisch, als technische Mittel noch nicht zur Verfüng. Hat offensichtlich Zeit gebraucht.
Warken: Prozesse vor Ort erläutern lassen?
Steinmeier: Nein.
Warken: Aber überzeugt, dass keine Verletzung von Grundrechten erfolgen kann?
Steinmeier: Kein Anlass, anzunehmen, dass es bei Störungen keine Informationen an uns gibt. Ich hatte sie zumindest nicht auf dem Schreibtisch.
Warken: Also gewisses Restrisiko bewusst?
Steinmeier: Habe ich nicht gesagt. Ich hatte keinen Anlass, mich mit den technischen Fragen zu beschäftigen, solange keine Problemmeldung.
Warken: Im August 2013 gesagt, dass keine Ausweitung der Abschöpfung von Daten ermöglicht. Sondern zum ersten Mal sichergestellt, dass an deutsches Recht gehalten. USA unkontrolliert vorher?
Steinmeier: Gab zumindest keine rechtliche Beschränkung.
Warken: Bezogen auf Bad Aibling oder genereller?
Steinmeier: Mit anderen keine Vereinbarung getroffen. Abkommen hatte zum ersten Mal rechtliche Beschränkung.
Warken: Also Strategie, Partner mit ins Boot zu holen. Auch Einwilligung Spionagetätigkeit erhofft?
Steinmeier: Gab Sicherheitssituation, auf deren Grundlage Kooperation stattgefunden hat. Grundverdächtigung, dass jede Kooperation zu unseren Lasten, gab es damals nicht. Aber trotzdem verlangt, dass deutsches Recht eingehalten wird.
Warken: Vieles in Abkommen niedergeschrieben. Entnehme ihrer Äußerung, dass man zum ersten Mal sichergestellt hat, dass Abhörmaßnahmen nach Recht und Gesetz stattfinden. Zeugt schon ein bisschen von Misstrauen.
Steinmeier: Unterscheidet sich von vorher. War Kooperation auf Augenhöhe. US-Dienst genauso wie unserer an deutsches Recht gebunden. War wichtig, das im Abkommen festzuhalten. Keine Aufarbeitung der Vergangenheit, Absicherung für die Zukunft.
Warken: Finde Aussage von ihnen bemerkenswert. Juli 2013 bei Facebook zu Echelon: „Dieses Netzwerk ist damals, so die offizielle Aussage, beendet worden.“ Auf welche Aussage beziehen sie sich da?
Steinmeier: KA.
Warken: Aber davon ausgegangen, dass Five Eyes Kooperation beendet hatten?
Steinmeier: KA.
Warken: Eikonal. Wann zum ersten Mal bewusst, dass es nicht nur um Erfassung Satellitenverkehr, sondern auch um Kabel ging?
Steinmeier: Noch nicht 2001. KA, wann Vereinbarung über Eikonal konkret war. 2002 möglicherweise. Wissen sie besser als ich. Zu irgendeinem Zeitpunkt über Ziel von Eikonal informiert worden. Wann genau, KA.
Warken: Aus ihrer Sicht zentrales Anliegen beider Partner oder eher Wunsch USA? Hätte BND Satellitenerfassung ausgereicht?
Steinmeier: Man muss ernst nehmen, dass sich Interessenlage um 9/11 verändert hat. Kann sein, dass US-Interesse auf Glasfaserknoten größer geworden ist. Nach 9/11 war Interesse, grenzüberschreitende Kommunikation auf Hinweise auf Attentate auszuwerten, auf beiden Seiten entwickelt.
Warken: 2003 sollte Telekom bewegt werden, BND Zugang zu Ausland-Ausland-Verkehr zu ermöglichen. Haben sie persönlich mit Vertretern von Telekom gesprochen?
Steinmeier: Nein, hat Uhrlau gemacht.
Warken: Wann konkret über diese Pläne informiert worden? Rechtliche Bedenken?
Steinmeier: Bin nichtmal sicher, ob ich Brief an Telekom gesehen habe. Gehe davon aus, dass Umstände des Briefes mit von AL 6 berichtet worden sind.
Warken: Wissen, dass Telekom zunächst Bedenken, dass Gespräch mit Hanning. Dann Schreiben. Transitvertrag: Dazu Einverständnis gegeben? Vorgelegen? Geprüft?
Steinmeier: Sicher nicht geprüft. Schließe nicht aus, dass ich in Zusammenhang mit Brief informiert worden bin.
Warken: Mal danach gesehen?
Steinmeier: Denke nicht.
Warken: Für Unternehmen wie Telekom keine einfache Situation, wenn solche Zusammenarbeit bekannt wird. Provider arbeitet über gesetzliches Maß hinaus mit Regierung zusammen. Wie Öffentlichkeit eingeschätzt?
Steinmeier: Nicht übers rechtliche Maß. Das wurde durch Bundeskanzleramt bestätigt in Gestalt des Briefes von Uhrlau.
Warken: War aus ihrer Sicht ausreichend? Wie in Öffentlichkeit dargestellt, ist doch was anderes?
Steinmeier: Weiß nichtmal, ob Telekom solche ökonomischen Risiken gegenüber BND oder Bundeskanzleramt geltend gemacht hat.
Warken: Wie beurteilen sie, dass Telekom Kooperation mit NSA verschwiegend worden ist? Wurde das diskutiert?
Steinmeier: Mit mir nicht. Haben diskutiert, ob es zu Information Rechtspflicht gab. Aus heutiger Sicht würde ich sagen: Nein.
Warken: Reaktionen aus Unternehmen erhalten?
Steinmeier: Nein, insbesondere keine besorgten.
Warken: Glauben sie, Eikonal hat Bereitschaft von Providern geschmälert, mit Sicherheitsbehörden zusammenzuarbeiten?
Steinmeier: Kann ich nicht beurteilen.
Warken: Transitvertrag. Bedenken nahmen Überhand als auch paketvermittelte Verkehre übermittelt werden sollten. Von Bedenken gehört?
Steinmeier: Soweit ich mich erinnere paketvermittelt erst später bewusst.
Warken: Gehe davon aus, dass Telekom bewusst, dass bei Paketvermittlung schwerer, G‑10 zu filtern. Wie haben sie Risiken beurteilt?
Steinmeier: Nicht sicher, ob damals technisch durchdrungen und Bescheid gewusst. Nach meiner Wahrnehmung war vermutlich komplexere Technik verantwortlich, dass hundertprozentige Filterung nicht hinzukriegen war und Eikonal zu Ende ging.
Warken: Mit Hanning erörtert, wie mit Bedenken umgehen?
Steinmeier: Nicht mit mir.
Warken: Nach Aktenlage Besprechungen 20. Oktober 2004. AL 6, BND auf UAL-Ebene. Haben sie von Besprechungen keine Kenntnis gehabt?
Steinmeier: Nein, bitte auch um Nachsicht. Beauftragung NDs war ein Teil meines Aufgabenbereichs. Daneben Atomausstieg und Agenda 2010, etc. Das, was auf Arbeitsebenen abgearbeitet werden konnte, ist auch da geschehen. Wenn das damals nicht zu mir kam, dann keine Nachlässigkeit, sondern Arbeitsform Bundeskanzleramt.
Warken: Ist mir klar, dass nicht über alles im Einzelnen informiert. Aber hier Kooperation mit AND. Unternehmen besorgt, neuer Schritt in Zusammenarbeit. Frage mich, ob das nicht auch Thema für sie hätte sein müssen? Gab einige Bemühungen, Situation zu lösen und Kooperation fortzuführen. Im Vermerk zu Ableitung Routineverkehr kein Handlungsbedarf. Änderung G‑10-Gesetz war nicht vermittelbar. Über Ergebnisse zu weiterem Vorgehen nicht informiert?
Steinmeier: Ich unterstelle, dass ich über Bitte der Telekom informiert war. Zweifelsfrei stand fest, dass Kommunikation von Deutschen von Zugriff ausgeschlossen werden muss. Mit welchen technischen Mitteln war nicht Gegenstand der Befassung.
Warken: G‑10-Anordnung und dann auch Routineverkehre auswerten – das sagt ihnen gar nichts?
Steinmeier: KA, werden sie ja erfragt oder aus den Akten haben.
Warken: Wollen wissen, wieweit sie damit betraut waren.
Steinmeier: Fürchte, dass Begriff von paketvermittelten Verkehren mir nichtmal bekannt war. Heute kann ich einschätzen, warum aus nicht hundertprozentiger Ausfilterung Eikonal nicht fortgeführt wurde.
Warken: Ihnen wurde auch nicht bekannt, dass im Rahmen von Eikonal eine G‑10-Anordnung beantragt wurde?
Steinmeier: Glaube nicht.
Fragerunde 2: Linke (15:42)
Renner: Ob und wann Hinweise, dass US-NDs Bundesministerien abhören?
Steinmeier: Wann ich Hinweise hatte? In Zeit Chef-BK?
Renner: Allgemein.
Steinmeier: Vermute, im Zuge Berichterstattung seit Sommer 2013.
Renner: Vorher nicht?
Steinmeier: Deutsche Politiker?
Renner: Nein, Bundesministerien.
Steinmeier: Bundesministerien wäre auch Bundesminister. Glaube, Debatte erst seit Sommer 2013 virulent.
Renner: Hinweise, dass befreundete Staaten abgehört?
Steinmeier: Keine Hinweise.
Renner: Hatten andere Hinweise, Gegenstand bei Kabinetterörterungen?
Steinmeier: Kein Gegenstand. Andere vernehmen sie ja.
Renner: Gab es Hinweise von BfV, dass man seine Kommunikation schützen muss?
Steinmeier: Hat nichts mit NSA zu tun. Auch andere NDs sind aktiv. Hat nichts mit früherer Verantwortung zu tun, sondern mit wachsender Bedeutung von Internetkommunikation. Haben uns verändertes Kommunikationsverhalten angewöhnt. Heute unter Ministern suchen wir Festnetz-Verbindungen oder Blackberry-Verbindungen oder gegebenenfalls Krypto-Handys.
Renner: Wir untersuchen ja nur Five Eyes. Spielte das bei den Überwachungsvorwürfen mal eine Rolle?
Steinmeier: Keine konkrete. Bedeutung Smartphone-Telefonie hat dazu geführt, dass allen klar war, dass wir uns selbst auf die veränderten Bedingungen einstellen müssen.
Renner: Im MoA auch US-Bürger geschützt. Wie?
Steinmeier: KA, USA haben ja anderes Kontrollsystem.
Renner: Geht ja um Abgriff durch Deutschland. Wie bei konkreten Projekten realisiert?
Steinmeier: Kann ich aus Erinnerung nicht beantworten. KA, ob Absprachen zwischen Diensten oder Ministerien.
Renner: Bekannt, dass Kooperation, bei der an Datenkabel von US-TK-Anbieter Daten für CIA gewonnen wurden?
Steinmeier: Heute ja, damals nicht.
Renner: Glotaic?
Steinmeier: Namen darf ich ja nicht benutzen.
Renner: Können auch gerne Glo sagen, uns ist das unangenehm.
Steinmeier: Da natürlicher Partner des BND NSA war, hoffe ich, dass mir das damals zu Ohren gekommen wäre.
Renner: An wen anders?
Steinmeier: KA.
Renner: Hätte man sie darüber informieren müssen? Schriftlich oder mündlich?
Steinmeier: Hypothetische Frage. Wenn sie annehmen, dass ich über Kooperation mit NSA wusste, dann bestimmt auch über CIA.
Renner: Ahnung, warum nicht informiert?
Steinmeier: Nein.
Renner: Abgriff bei US-TK-Anbieter rechtlich anders als bei Telekom?
Steinmeier: KA.
Renner: Sie sagen, paketvermittelt damals nicht so Thema. Aber damals G‑10-Gesetz geändert und überall Paketvermittlung erwähnt.
Steinmeier: Habe von mir gesprochen. Ob ich in Lage gewesen wäre, das damals zu beschreiben, weiß ich nicht. Vermutlich nicht auf Höhe der Technik der damaligen Zeit.
Renner: Selbst mal PKGr zu Kooperationen mit NSA informiert?
Steinmeier: Bin häufig im PKGr gewesen. Ob auch zu dem Thema, KA. Müssten sie von den Abgeordneten im PKGr erfahren.
Renner: Können sich nicht erinnern?
Steinmeier: Nein, glaube nicht.
Fragerunde 2: Union (15:51)
Warken: Glo, MCI, sagt ihnen alles nichts?
Steinmeier: Nein, ernsthaft. Denke, ich würde mich erinnern, wenn ich das gewusst hätte. Weil Kooperationspartner eigentlich NSA und BND waren.
Warken: Operation sagenumwoben. Hanning konnte sich nicht erinnern, Uhrlau nicht. Hätten sie darüber nicht definitiv informiert werden müssen?
Steinmeier: Habe gesagt, ich kenne die Hintergründe nicht.
Warken: Ausland-Ausland am Kabel.
Steinmeier: Wenn ich zugrunde lege, dass NSA-BND-Kooperation vorgelegt wird, beträfe das BND-CIA-Kooperation in gleicher Weise.
Warken: Weil Bundeskanzleramt hätte zustimmen müssen?
Steinmeier: Informiert.
Warken: Schließen sie, dass es Operation nicht gab?
Steinmeier: Habe keine eigenen Nachforschungen, aber NSAUA hat das bestimmt untersucht. Gehe davon aus, dass es eine Form der Kooperation gegeben hat. Weiß nichts über Umfang von Informationsaustausch.
Warken: Ging um BND und CIA bei Tochterfirma von MCI. Ausland-Ausland an Kabelstrecken. Deutsche Mitarbeiter sollen nichts mitbekommen haben und durch US-Konzernmutter eingefädelt worden sein. Wenn Berichte stimmen sollen, dass BND nicht mitgewirkt hat und US-ND über Zentrale gingen …
Steinmeier: Ist hypothetisch. Bleibe dabei: Wenn notwenig, Bundeskanzleramt über BND-NSA-Kooperation zu informieren, gilt das für BND und CIA auch.
Warken: Hat ergeben, dass Glo abgeschirmte Operation war. Wissen sie, was abgeschirmt ist?
Steinmeier: Frage ist, vor wem abgeschirmt?
Warken: Frage stellt sich uns auch. Frage, ob das auch für Bundeskanzleramt gilt.
Steinmeier: Wie gesagt, habe darüber nichts erfahren. Ob das mit Begriff zusammenhängt, KA.
Warken: Gab angeblich auch Brief bei Operation, den Hanning damaligem Chef der CIA geschrieben haben soll. Gehe davon aus, dass sie von Schreiben an Tennet keine Kenntnis haben.
Steinmeier: Nein.
Warken: Spiegel schreibt, Hanning versichert Zustimmung von Bundeskanzleramt. Aber dann doch ohne Beteiligung von Bundeskanzleramt und Bundesregierung abgeschickt?
Steinmeier: Kann nicht für jeden im Bundeskanzleramt sprechen. Aber mit mir nicht abgestimmt. Auf wen sich Brief bezieht, KA.
Warken: Wenn Hanning sich auf Bundesregierung bezieht, reicht das, wenn jemand anders gefragt worden wäre? Wäre das nicht anmaßend?
Steinmeier: Formulierung „Bundesregierung ist einverstanden“ ist nicht der übliche Sprachgebrauch.
Warken: Erstaunlich auch, dass Hanning sich nicht an den Brief erinnern konnte und ob Bundeskanzleramt zugestimmt hat. Aus Protokoll: „Wenn es um abgeschirmte Informationen geht, vorsichtig sein, Kreis der Wissenden nicht zu weit zu ziehen.“
Kann das Ausschluss von Chef-BK und ND-Beauftragtem zur Folge haben?
Steinmeier: Kommt drauf an, wenn sich das auf Kooperation bezieht, muss das Bundeskanzleramt das wissen.
Warken: Also müssen sie nicht über jedes Detail informiert sein, aber in Entscheidung über Grundzüge eingebunden?
Steinmeier: Ja, insbesondere wenn in Briefen auf Zustimmung hingewiesen wird. Spätestens dann Information Bundeskanzleramt notwendig.
Warken: Auch keine nachrichtendienstliche Besonderheit, dass BND-Präsident das so behaupten kann?
Steinmeier: KA, wie das alles stattgefunden hat und wie Hanning das Need-to-Know gemeint hat. Aber selbstverständlich, dass Grundsatz in dieser Situation nicht gegenüber Bundeskanzleramt gelten kann.
Operative Details sind im BND zu behandeln und nicht Gegenstand von Besprechungen BND und Bundeskanzleramt.
Fragerunde 2: Grüne (16:03)
Ströbele: Dezember 2013 in Regierung gekommen, wo kurz vorher bekannt wurde, dass Bundeskanzlerin abgehört wurde. Würde ich mal nachfragen: „Ist da was dran?“ und dann in USA nachfragen. Mit Frage nach Kanzlerinnenhandy befasst? Was unternommen?
Steinmeier: Habe darauf hingewiesen, dass nicht nur des Themas angenommen, sondern dass wir das nicht auf Einzelauskunft reduzieren können. Frage ist, was das für Verhältnis beider Staaten für Zukunft bedeutet. Schien mir Sinn zu machen, Debatte zu starten, dass für niemanden Vorteil besteht, in private und Regierungskommunikation so einzugreifen, wie wahrscheinlich in Vergangenheit geschehen. War nicht so, dass in Washigton dazu nur Ablehnung und Verstecken vor Diskussion. Bin im Kongress und bei Beauftragtem für Big Data und Privacy auf Verständnis gestoßen. Zwei unterschiedliche Stränge. Einer, der nicht erfolgreich: Wir schließen Vereinbarung, dass USA sich verpflichten, unter keinen Umständen Aufklärung in Deutschland zu betreiben. Lag nicht an mangelndem Nachdruck, sondern an umfassender Limitierung von US-NDs in dem Fall.
Ströbele: Sie gehen nicht auf meine Fragen ein. Mir gehts um das Handy der Bundeskanzlerin. Internationaler Terrorismus kann da nicht Thema gewesen sein, gehe ich von aus. Hat man gesagt: Wir werden das nie wieder tun?
Steinmeier: War Versuch einer Teilantwort, dass auf US-Seite Verständnis für Deutschland da ist. Zweitens sowohl persönlich als auch auf Arbeitsebene Auskunft gekommen: Wir bedauern, nehmen aber wegen ND-Angelegenheiten keine Stellung. Gab dann keine konkrete Bestätigung, es sei denn, wir nehmen Äußerung von Obama als Beleg.
Ströbele: Was wurde ihnen gesagt, was mit Kooperation in MoA bezweckt wurde? Da gehts ja um Ergebnisse. War ihnen Dimension bekannt, dass es darum ging, dass NSA in Datenströmen, die BND überwacht, nicht nur 30.000 Selektoren, sondern vermutlich Millionen Selektoren eingegeben hat? Was anderes als internationaler Terrorismus oder Proliferation. War ihnen bekannt, dass das was anderes ist?
Steinmeier: Bis zu meinem Verlassen Bundeskanzleramt gab es diese Millionen Selektoren gar nicht. Bis Ende 2005 soweit ich mich erinnere nur Telefonie. Internet erst danach. Exponentielle Steigerung hat erst danach stattgefunden. In diesen Jahren war mir das nicht bewusst.
Ströbele: In ihrer Verantwortung Planungsphase. Muss doch gesagt worden sein, worums letztlich geht?
Steinmeier: Nein. Soweit ich mich erinnere keine Auswertung.
Ströbele: Was wurde ihnen zu Zuverlässigkeit der Filterung von G‑10 gesagt? Dass das sicher ist?
Steinmeier: Soweit würde ich nicht gehen. Klar war, dass rechtliche Vorgabe gilt, dass G‑10 auszufiltern ist. Ob Techniken dafür ausreichen, weiß und wusste ich nicht. Vermutung ist nur, dass zu irgendeinem Zeitpunkt auch zuständige NDs zu Ergebnis gekommen sind, dass das technisch nicht möglich ist.
Fragen mich in meiner Zuständigkeit bis 2005, da gab es das wie im Sommer 2013 noch nicht.
Fragerunde 2: SPD (16:14)
Flisek: Ausspähen unter Freunden, das geht gar nicht – wir rätseln, was der Satz bedeutet. Wir haben den Eindruck, das ist Alltagsgeschäft. Ist diese Äußerung mal besprochen worden? Erkenntnisse, was damit gemeint ist?
Steinmeier: Sie werden Bundeskanzlerin ja noch hier haben und dazu befragen. Habe ähnliche Situationen miterlebt mit französischem Außenminister, als kurz vorher über Ticker ging, dass er abgehört wurde. Daher auch vorhin gesagt, dass Abhören unter Freunden mehr schadet als nutzt. Ob sie das nachvollziehen oder glauben: Unter Europäern ist Kommunikation so offen, dass man weiß, wo man steht. Mit Blick auf EU trifft man sich alle 14 Tage irgendwo. Glaube, dass das, was von BND versucht wurde, sich nicht nur jenseits APB bewegt, sondern dass es nicht nutzt.
Flisek: Wir hatten auch Schindler dazu befragt. Er legte Wert darauf, zu sagen, dass das nicht opportun sei, aber es sei auf gar keinen Fall rechtswidrig. Mag ja stimmen, aber Frage: Was ist im Interesse deutscher (Außen-)Politik? Ich werte ihre Aussage auch so, dass man das so zu verstehen hat, dass nach den Vorgängen diese Regierung sagt, wir wollen auf Spionage engster Verbündeter verzichten. Erstaunlich, dass nach diesem Satz der Kanzlerin eine gewisse Hektik im BND zu verspüren war. Noch ein Punkt zu No Spy: Sensburg hatte in einer Vernehmung von Pofalla vermutet, dass sie als Person die Verhandlungen zu No Spy beendet hätten. In Spiegel-Interview haben sie gesagt: „Die Balance zwischen Freiheit und Sicherheit werde in den USA anders bewertet als in Europa und vor allem in Deutschland […] Ich bezweifle, dass ein No-Spy-Abkommen uns viel weiter bringt.“
Steinmeier: Habe versucht, das am Anfang vorwegzunehmen. Habe auch vorher schon als Fraktionsvorsitzender Zweifel geäußert. Aber war weder vorher noch als Außenminister in die Verhandlungen einbezogen. Konnte nur versuchen, eine breitere Debatte über das Verhältnis von Freiheit und Sicherheit anzustoßen. Es gab Bereitschaft auf US-Seite, diese Debatte deutlicher und ausführlicher zu führen, weil ich festgestellt habe, dass dort ähnliche Besorgnisse herrschen wie bei uns. Gab auch Bereitschaft auf US-Seite, die wir gerne aufgegriffen haben ohne in Disput zu geraten.
Flisek: Zum Abschluss zu No-Spy-Komplex: Spiegel-Interview. Ist ihnen bekannt, dass bereits am 14. Januar 2014 Vermerk der Kanzlerin vorlag? [Dokument MAT A BK 1 7b 9, Blatt 62ff]
USA setzen sich mit klar negativer Aussage in Widerspruch zu Alexander, der BND im Sommer No-Spy-Abkommen in Aussicht gestellt habe. US-Handlung scheint festzustehen: Scheinen nicht bereit zu sein, unilaterales Abkommen zuzugestehen. Würde auch über Vereinbarungen mit Five Eyes hinausgehen.
Steinmeier: Nein.
Flisek: Auch Umstand, dass USA keine unilaterale Bindung wollen und dass das ein Novum gewesen wäre?
Steinmeier: Nein, nicht in Erinnerung. Aber trotzdem interessant.
Flisek: Fanden wir auch. Docper: Ist ihnen bekannt?
Steinmeier: Inzwischen ja. Geht um beauftragte Dienstleister der USA.
Flisek: Ja, um Verfahren, um die quasi zu akkreditieren. Sind Anhaltspunkte bekannt geworden, dass man unter dem Deckmantel Dienstleister NSA-Leute einspielt, die an Massenüberwachung gegen und in Deutschland mitwirken? Also ganz anderes Spiel als Outsourcing.
Steinmeier: KA, in welchem Umfang Belege vorlagen. Hat dazu geführt, dass innerhalb Bundesregierung von Routineverfahren abgegangen wurde und heute neues Verfahren gilt, mit fachlicher Prüfung durch BMI und BMVg. Heute breitere fachliche Absicherung.
Flisek: Auslöser für die Veränderung – Snowden?
Steinmeier: Kann so sein. Wüsste nicht, dass eigene Erkenntnisse jenseits von Snowden auf Ebene der Bundesregierung vorlagen. Kann auch sein, dass das zu Zeiten war, als ich Fraktionsvorsitzender war.
Flisek: Weiß nicht, ob sie als Außenminister weitergehende Kenntnisse haben. Bekannt, dass Contractor jetzt abgelehnt worden sind?
Steinmeier: Darauf nicht vorbereitet, habe ich nicht nachfragen lassen, wie Zulassungen oder Ablehnungen jetzt sind.
Flisek: Geheimer Krieg. Zwei Fragekomplexe: Gibt es irgendeine Mitwirkung von Deutschland und US-Einrichtungen in Deutschland an völkerrechtswidrigen, gezielten Tötungen durch Drohnen? Wurden in irgendeiner Weise Daten deutscher Behörden und Dienste für die Durchführung solcher Angriffe verwendet?
Komplex der Drohnentötungen: Ist ihnen das in ihrer Zeit als Außenminister als Thema begegnet zwischen 2005 und 2009?
Steinmeier: Antwort darauf noch schwieriger. Begonnen hat Debatte um Ansiedelung von AFRICOM.
Flisek: Januar 2007.
Steinmeier: In Mitte meiner Amtszeit. Daran kann ich mich grob erinnern. Aber auch daran, dass wir nicht nur keine Einwände hatten, sondern das sogar begrüßt haben. Erstens weil man Präsenz der Amerikaner in Deutschland verfestigen konnte und zweitens unter Gesichtspunkt, dass unter Ansiedelung von AFRICOM klar geworden ist, dass USA sich stärker um Afrika kümmern wollten. Hat dafür gesprochen, Ansiedelung in Stuttgart zu begrüßen. Was aber auch Wahrheit ist: Gab soweit ich weiß noch keine bewaffnete Drohnenangriffe oder Vorbereitungen dazu. Insofern erstmal Ansiedelung nicht mit Drohnenangriffen zu tun. Für spätere Drohnenangriffe ist von Deutschland aus soweit ich weiß kein Material geliefert worden.
[10 Minuten Pause (16:33 Uhr)]
Fragerunde 3: Linke (16:51)
Hahn: USA haben nie verschwiegen, was sie tun und dass sie es überall tun. In ZDF-Sendung US-ND-Mitarbeiter: „Wir vertrauen in Gott, alle anderen hören wir ab.“
Frage: Was haben sie als Außenminister im Anschluss getan, um Überwachung deutscher Regierungsbehörden aufzuklären und zu unterbinden?
Steinmeier: Was ich tue, darüber ist deutsche Öffentlichkeit hinreichend informiert. Nie so wie heute darum bemüht, in Konfliktherden mit USA für Entschärfung zu sorgen. Versuche, Interesse an Zusammenarbeit nicht zu vermengen mit Ärgernis möglicherweise über Abhören deutscher Politiker. Herausforderungen sind größer. Themen mit Obama und Kerry angesprochen. Auskünfte sind regelmäßig: Dass sie sich nicht in der Lage sehen, über Einzelheiten von US-ND-Aktivitäten Auskunft zu geben. Sie kennen die Versicherungen, die an die Öffentlichkeit gegangen sind, dass Zugriff auf Telefone deutscher Politiker nicht mehr im Sinn. Fürchte, Aufklärungsmöglichkeiten gehen nicht weiter.
Hahn: Also: Angesprochen, das war nicht so richtig schön und das wars dann?
Steinmeier: Nein. Ich sage, was ich meine. Haben herausragendes Interesse an Kooperation zu Beruhigung von Konflikten. Nicht vermengen mit Überwachung. Werden letztgültige Aufklärung wahrscheinlich nicht bekommen, weil sie keine Auskunft zu Einzelaktivitäten der Dienste geben.
Hahn: Gefordert, dass Überwachung sofort beendet wird?
Steinmeier: Nicht nur ich, auch Kanzlerin.
Hahn: Wem gegenüber?
Steinmeier: Kanzlerin sogar gegenüber Medien. Ich selbst gegenüber US-Gesprächspartnern ausgedrückt, dass Praxis nicht fortgesetzt wird.
Hahn: Was nach neuen Wikileaks-Veröffentlichungen gemacht, wo rauskam, dass auch ihr Ministerium betroffen?
Steinmeier: KA, welcher Zeitraum in Veröffentlichungen. Denke, ähnlicher wie bei Kanzlerinnenhandy.
Hahn: Spionage in Deutschland ist ja strafbar. Frage, warum bisher nichts getan worden ist, Verantwortliche zu verfolgen, anzuklagen, etc. Hinter den Kulissen hört man, es gibt Sonderrechte für US-NDs und deren Gebäude.
Steinmeier: Was meinen sie?
Hahn: Dass niemand Zutritt hat, z.B. keine Staatsanwälte etc. Haben sie dafür Erklärung?
Steinmeier: Nein, liegt nicht in meiner Zuständigkeit. Habe für Aufklärung auf politischer Ebene zu sorgen. Und nach Möglichkeiten zu suchen, Politik zur Beruhigung von Konflikten zu machen, die keinen Aufschub dulden.
Hahn: Sie müssen doch Kenntnis zu diesen Sonderrechten haben?
Steinmeier: Haben doch von Snowden geredet.
Hahn: Nein, geht um Verträge, die Bundeskanzleramt mit NSA und BND getroffen hat. Dass in Bad Aibling und Wiesbaden Justizverfolgung ausgeschlossen ist.
Steinmeier: Habe gesagt, gibt Relikte aus Besetzungszeit. Haben in Bundeskanzleramt gern gesehen, dass wir nach Jahrtausendwende Möglichkeit hatten, Anlagen unter deutsche Kontrolle zu bringen. Gut, dass Kooperation auf Basis von Vertrag geregelt. Hauptgegenstand, dass Kooperation nur auf Grundlage deutschen Rechts.
Hahn: Gehört dazu auch Ausschluss von Strafverfolgung?
Steinmeier: Soweit ich weiß nicht Gegenstand des MoA.
Hahn: Wo sonst?
Steinmeier: Sagen sie mir doch, wo.
Hahn: Sonst wären ja die Strafbehörden schon da gewesen.
Fragerunde 3: Union (17:02)
Warken: Ramstein. Relaisstation. Wird gesagt, Zusage USA an Bundesregierung, dass Drohneneinsätze nicht von Deutschland gesteuert, unglaubwürdig. Beurteilung?
Steinmeier: Drei Komplexe: Rolle AFRICOM. Habe gesagt, warum wir begrüßt haben, dass USA AFRICOM in Stuttgart angesiedelt haben. Zweitens Frage der Steuerung, nicht bloße Nutzung von Relaisstation. An dem Punkt einen entscheidenden Schritt weiter, dass von Ramstein keine Drohnen tatsächlich gesteuert werden. Drittens ob Ramstein als Relaisstation genutzt wird und welche Funktion diese hat. Das ist Gegenstand der Ermittlungen, die noch nicht abgeschlossen sind. Zu Steuerung hat sich Obama öffentlich geäußert. Zur Frage der Relaisstation hat Kanzlerin mit Obama gesprochen und ich mit US-Verteidigungsminister. Haben auf diesen Wegen bisher keine abschließende Antwort über Bedeutung Ramsteins erhalten. Aufklärungsversuche gehen weiter.
Warken: Also Vorwurf aus Presse, dass Soldaten Einsätze in Afrika steuern, durch Aussage des Präsidenten widerlegt. Andere Hinweise?
Steinmeier: In meiner Zeit als Chef-BK gab es das noch nicht. Als Außenminister 2005 bis 2009 war Ansiedelung AFRICOM. Danach irgendwann Drohnenangriffe in Somalia mit Vorwurf, das wäre von Ramstein aus gesteuert worden.
Warken: In Bezug auf Presse vor etwa einem Jahr, wo Behauptungen aufgestellt wurden: Da zu Frage der Steuerung keine Gespräche geführt über Schilderungen hinaus?
Steinmeier: Soweit ich mich erinnere letztes Mal 2014 mit US-Verteidigungsminister darüber gesprochen. Danach nicht mehr. Was sollten wir mehr erhalten als die öffentliche Äußerung des US-Präsidenten?
Ströbele: Sie sagen, Somalia war erst später…
Warken: Da komm ich auch noch zu.
Waren sie schon vorher in Zeit als Chef-BK mit Thematik Ramstein befasst oder erst als Außenminister?
Steinmeier: Drohnensteuerungen? In meiner Zeit als Chef-BK nicht.
Warken: Ramstein mal besucht?
Steinmeier: Nein.
Warken: US-Streitkräfte haben gegenüber Bundesregierung versichert, dass Drohneneinsätze nicht gesteuert werden. Kerry hat gesagt, deutsches Recht wird eingehalten, Obama sagt, Deutschland ist kein Ausgangspunkt für Drohneneinsätze. Bundesregierung sagt, kein Anlass zu Zweifeln. Liegen ihnen selbst Informationen vor, die Anlass zu Zweifeln geben?
Steinmeier: Wenn US-Präsident das öffentlich sagt, haben wir keinen vernünftigen Anlass, zu zweifeln.
Warken: Welche Möglichkeiten hätte die Bundesregierung überhaupt, mehr Einzelheiten herauszukriegen?
Steinmeier: Nachfragen, erneut nachfragen, politischen Druck aufbauen. Sagen, wir würden in Erwägung ziehen, Aufenthalt von US-Truppen in Deutschland zu verbieten. Halte das nicht für vernünftig.
Warken: Bryant hat gesagt, ohne Deutschland US-Drohnenkrieg nicht möglich. Also selbst wenn man von hier nicht befehligt oder steuert, Drohnenkrieg ohne Ramstein nicht möglich. Stünde dann Verpflichtung der Bundesregierung, gegen Nutzung von Ramstein vorzugehen?
Steinmeier: Wenn ich sie richtig verstehe, stützen sie sich nur auf Aussage dieses Drohnenpiloten. Kann das nicht bewerten, vor allem technisch nicht. Finde es richtig, das auch das AA sich darum bemüht, Klarheit zu schaffen, welche Funktion Ramstein hat. Sie wissen das ja aus Befragung von Mitarbeitern meines Hauses.
Warken: AFRICOM. Immer wieder in Zusammenhang mit Drohnen im Gespräch. Seit 2007 in Stuttgart. Sie haben Entscheidung grundsätzlich begrüßt. Ursprünglich nur vorübergehend geplant. Obama hat 2013 entschieden, AFRICOM dauerhaft in Stuttgart zu lassen. In Entscheidung eingebunden? Bewertung?
Steinmeier: KA, ob dauerhaft wirklich dauerhaft. Ansonsten sind wir als AA nicht in US-Planungen einbezogen worden. Kann mit Turbulenzen in Nordafrika zu tun haben, dass nicht über Verlegung nachgedacht.
Warken: Auch Stuttgart gewählt, weil mehrere afrikantische Staaten abgelehnt haben. Aber auch sonst Zweifel. Vermerk [Dokument MAT A AA 3 1b 1, Blatt 13–15]: „Gewisse Zweifel in Öffentlichkeit könnten dadurch entstehen, dass AFRICOM auch für Somalia zuständig ist. Haben angeregt, dass Präsident in Rede zur Lage der Nation Gründung Africom ohne Nennung des Standpunktes zu nennen.“
Warum?
Steinmeier: KA.
Warken: Warum sollte Ansiedelung von AFRICOM in Deutschland nicht publik werden?
Steinmeier: KA.
Warken: Aber sie erinnern sich an die Diskussionen?
Steinmeier: Eher andersrum. Zwei Punkte, die Ansiedelung zu begrüßen: Präsenz der USA wird verstärkt und deren Interesse am afrikanischen Kontinent. Langfristig gute Entscheidung.
Warken: Vermerk plädiert für Zustimmung. Zahl von US-Soldaten schrumpft, in Stuttgart Wuchs. Vermerk hatte ihre Billigung. Bitte bestätigen: Sie teilen Standpunkt des Vermerks und dass mehr für den Standort Stuttgart spricht.
Steinmeier: Unabhängig von Vermerk Ansiedelung begrüßt.
Warken: Auch heute noch?
Steinmeier: Ja.
Warken: Welche völkerrechtlichen Verpflichtungen der BRD sehen sie in Zusammenhang mit AFRICOM und dessen Aktivitäten?
Steinmeier: Aufgaben AFRICOM sind vielfältig, nicht nur militärisch.
Warken: Welche rechtlichen Verpflichtungen der BRD in Zusammenhang mit AFRICOM-Aktivitäten in Stuttgart? Völkerrecht? NATO-Truppenstatut?
Steinmeier: Angebunden an alle Fragen, die NATO-Truppenstatut angehen. Ich als Außenminister nicht in konkrete Operationen eingeweiht.
Warken: SZ schreibt in „Drohnentod aus Deutschland“: Sämtliche US-Drohneneinsätze über Afrika von Deutschland aus befehligt.
Bundesregierung hat Schritte unternommen, um Vorwürfe aus Presse aufzuklären.
Steinmeier: Unter anderem dieser Bericht hat politische Debatte angestoßen und am Ende in erschöpfender Äußerung von US-Präsident geendet, dass Steuerung nicht von deutschem Boden stattfindet. Gab keine Zweifel aus unserer Sicht.
Warken: Unterstellt, Bericht wäre zutreffend: Dann automatisch Rechtsverstoß?
Steinmeier: Kommt darauf an, was sie meinen. Nicht alle vorstellbaren Aktivitäten wären völkerrechtlich problematisch. Welche Aktivitäten?
Warken: Dass über jeden Drohneneinsatz in Afrika in Stuttgart entschieden worden wäre.
Steinmeier: Hypothetische Frage.
Warken: Zu No Spy: Sie haben gesagt, es würde nicht stimmen, dass sie Verhandlungen beerdigt hätten. Haben gesagt, es sei versandet. Zeitpunkt?
Steinmeier: Gibt gar keinen festen. Zu irgendeinem Punkt keine weiteren Termine mehr. Wann genau, KA. Irgendwann Frühjahr/Sommer 2014. Im Januar interne Vermerke im Bundeskanzleramt, derzufolge Verhandlungen schwierig. Irgendwann im Verlauf des Jahres einfach nichts mehr darüber gehört.
Warken: Zu der Zeit, als Thema erstmals aufkam, waren sie ja Fraktionsvorsitzender. Dann erneut Außenminister und Antrittsbesuch bei Kerry. Dort Thema ja eines der wichtigen. Haben auch Vortrag dazu gehalten. Also damit auch direkt oder indirekt befasst.
Steinmeier: Ein Satz: So nicht. Weder vorher noch nachher in Verhandlungen einbezogen. Genau wie Kerry. Mit US-Kollegen eher darüber gesprochen, wie wir jenseits von No Spy Fragen zu Sicherheit und Freiheit in öffentlichem Dialogprozess erörtern. Dann später Cyberdialog eröffnet. Dazu gehörten auch Gespräche, die ich vorhin erwähnt habe. Treffen mit Kongressabgeordneten, Podesta und das jetzt in Berlin anstehende nächste Treffen. Alles in einer Zeit, in der auch US-Debatte im Fluss ist.
Warken: Meinte auch weniger Verhandlungen, sondern Thema war Gegenstand von Gesprächen, unabhängig vom Namen No Spy. Haben ja auch in Vortrag von Verhandlungen zu No Spy gesprochen.
Steinmeier: Verhandlungen waren keine Erfindung, haben stattgefunden. Sind nur nicht zu Ergebnis gekommen.
Ströbele: Bevor der nächste drankommt: Am 15. Januar 2007 fand Besprechung zu AFRICOM statt. Da vorgekommen, dass man Probleme sah, wegen Angriffe auf Somalia. Am 7. und 9. Januar fanden tatsächlich US-Angriffe in Somalia mit bis zu 40 Toten statt. Offenbar bezog sich das darauf. War das für sie nicht Anlass, doch an dem zu zweifeln, was ihnen gesagt worden ist zur Funktion von AFRICOM?
Steinmeier: Nein. Bin nicht mal sicher, ob ich zum ersten Mal auf diesen Vermerk aufmerksam gemacht wurde. Unabhängig von Ereignissen war ich und bleibe ich der Überzeugung, dass Ansiedelung von AFRICOM in Deutschland richtig war.
Ströbele: Dass AFRICOM für Kommando für Afrika steht und das in Deutschland angesiedelt ist, angesichts dessen, was durch US-Streitkräfte in Afrika durchgeführt wurde – da hatten sie keine Bedenken?
Steinmeier: Nur weil da Kommando steht, heißt das ja nicht, dass wir die Ansiedelung der Einrichtung abzulehnen haben.
Ströbele: Aber ihnen auch schon vorgehalten: Afrikanische Staaten sollen Ansiedelung von AFRICOM abgelehnt haben, weil sie sonst vorgeworfen bekommen, dass sie US-Kriegsführung in Afrika stützen. Solche Vorwürfe haben sie nicht bekommen?
Steinmeier: USA ist NATO-Partner. NATO-Partner Ansiedelung zu verbieten, das bedarf starker Gründe.
Ströbele: Auch wenn von da Militäraktionen geleitet etc. werden?
Steinmeier: Was soll ich dazu sagen? Wir sitzen hier nicht über USA zu Gericht. Haben auch eigene Operation außerhalb unseres Landes. Ist kein Grund, USA Ansiedelung in Deutschland zu versagen.
Ströbele: Auch nicht, wenn in Deutschland geplant und kommandiert wird?
Steinmeier: Was wollen sie anderes als die Aussage des US-Präsidenten?
Ströbele: Obama gabs damals noch nicht.
Steinmeier: Damals hat aber noch niemand gesagt, dass Drohnensteuerung von deutschem Boden passiert.
Ströbele: Doch, AFRICOM. Kommandiert.
Steinmeier: Aber Einheiten liegen ja nicht in Stuttgart selbst, die militärischen Steuerungseinheiten.
Ströbele: Nun hat das Wort der Kollege von Notz.
Fragerunde 3: Grüne
Notz: Herr Vorsitzender, ich danke ihnen. Hat sie überrascht, dass No Spy nicht zustande gekommen ist?
Steinmeier: Nicht völlig, weil ich schon vor Zeit als Außenminister gewisse Skepsis hatte. Weil No Spy bedeuten würde, dass USA andere Partner nicht anders behandeln dürfte. Man hätte gegenüber mindestens 28 Staaten versichern müssen, niemals dort Auklärung zu betreiben, auch nicht bei Bedrohung. So weit gehende Selbstverpflichtung war nicht zu erwarten.
Notz: Kanzlerin und vielleicht sie selbst überwacht. Ist das Umstand geschuldet, dass man damals falsche Weichenstellung vorgenommen hat?
Steinmeier: Nein, die richtige.
Notz: Wenn Kanzlerin und Außenminister abgehört wurden?
Steinmeier: Die richtige, habe ich gesagt.
Notz: Dann hat man das 2003 und 2004 diskutiert unter Mohammed Atta und dann hat der Bumerang Steinmeier getroffen?
Steinmeier: Kann in die Köpfe derer, die entschieden haben, nicht reingucken. Kann möglichen Zusammenhang nicht leugnen.
Notz: Telekom-Freibrief. Wort haben wir uns nicht ausgedacht. Steht so in den Akten. In ihrer Zeit nochmal ähnlicher Freibrief gegenüber Unternehmen begegnet?
Steinmeier: Nein. Aber wieviele hätten in Betracht kommen können? So viele Netzbetreiber gibts ja nicht.
Notz: Ja, aber parallel Gelagerte, z.B. Deutsche Bahn.
Hat der Freibrief für Telekom eine rechtliche Bedeutung?
Steinmeier: Habe das so verstanden, dass Telekom nach Absicherung gesucht hat, dass Verhalten nicht gegen deutsches Recht verstößt. Diese Absicherung in Brief enthalten. Was die Telekom mit Brief hätte unternehmen können, KA.
Notz: [Dokument MAT A BND 17 3, Auszug offen] Vermerk für AL 6, 27. Oktober 2004. Zusammenfassung Gespräch zwischen Bundeskanzleramt und BND.
Ergebnis: Handlungsbedarf zu Überwachung paketvermittelter Verkehre [geschwärzt] und G‑10-Kommission. Herbeiführung eines förmlichen Beschlusses der G‑10-Kommission ausgeschlossen. Vermittlung einer Änderung des G‑10-Gesetzes ausgeschlossen.
Steinmeier: Kenne Vermerk nicht, denke, hat mir nie vorgelegen. Was ich von Geschichte wusste, war soweit ich mich erinnere nicht Gegenstand von Gespräch.
Notz: Aus Teilnehmerliste: Uhrlau teilgenommen, sie nicht. Daraus geht hervor, dass bewusst kein Beschluss der G‑10-Kommission und bewusst keine Änderung des G‑10-Gesetz, obwohl man das hätte machen sollen.
Steinmeier: Kann ich aus dem Vermerk nicht erkennen. Weiß nicht, in welchem Verhältnis der Vermerk zu anderen steht. Da keine eigene Kenntnis, möchte ich Einzelvermerk nicht kommentieren. Bringt übrige Debatten nicht zum Ausdruck.
Notz: Das wäre genau interessant. Haben sie über Änderung des G‑10-Gesetzes, über diese Diskussion, etwas mitbekommen?
Steinmeier: Nein, kann ich mir auch nicht vorstellen.
Notz: Hätte Chef-BK nicht über diese Grundsatzfrage informiert werden müssen?
Steinmeier: Wenn es auf der Ebene zum Abschluss gekommen ist, gab es keine Notwendigkeit zur Information. Weiß von Brief an Telekom, alles andere muss ich nicht kommentieren.
Ströbele: Letzte Frage!
Notz: Dass G‑10-Kommission nicht informiert worden ist, was tatsächlich gemacht wurde, hat zu Zerwürfnis geführt. G‑10-Kommission will klagen. Damals hatten sie als Chef-BK politische Verantwortung. Zustimmen, dass man sie über diesen relevanten Vorgang hätte informieren müssen?
Steinmeier: Wenn ich das richtig sehe, ist G‑10-Kommission später befasst worden, nicht mit ganzem Umfang. Da kann man über Rechtspflicht streiten. Damals offenbar nicht Rechtsansicht von BND und Bundeskanzleramt. Finde ehrlichgesagt, ist auch Frage der Rechtspolitik für Klarstellung in der Zukunft.
Fragerunde 3: SPD (17:47)
Flisek: G‑10-Kommission klagt um Einsicht in Selektoren. Warum am Anfang so ein Transitvertrag und nach dem, was wir herausgearbeitet haben, hat das auch mit Übergang leitungsvermittelter zu paketvermittelter Kommunikation zu tun. Bei leitungsvermittelt war Telekom selbst in der Lage, G‑10-relevante Verkehre rauszuschneiden. Bei paketvermittelt nicht mehr. Hat das eine Rolle gespielt, warum man dann gesagt hat, man möchte Anordnung nach G‑10 haben? Nach unserer Information kam der Wunsch von Telekom selber, weil Trennung durch Telekom selbst nicht mehr möglich. Wahrnehmungen?
Steinmeier: KA, ob technische Veränderung Bitte der Telekom begründet hat. Was ich weiß: Rechtsfrage war geklärt. Richtet sich nicht so sehr nach privatrechtlichem Vertrag, Rechtsfrage war Gegenstand des MoA. Jegliche Kooperationsform hat sich nach deutschem Recht zu richten, unabhängig von technischem Weg der Kommunikation. Geht bei Telefonie vergleichsweise einfacher. Ob höhere technische Komplexität der Grund für Telekom war, nachzufragen, weiß ich nicht. Aber ist eine der Möglichkeiten.
Flisek: Freibrief war Grundlage für den Vertragsschluss. Scheint, als wäre Telekom so lange einverstanden, wie sie Trennung selbst vornehmen konnte. Paket- und leitungsvermittelt lief zeitweise parallel, deshalb Trennung G‑10-relevanter Verkehre aus Sicht der Telekom nicht so einfach, deshalb Umstieg auf G‑10-Anordnung. Aber Ergebnis: Vertrag allein reicht nicht mehr aus.
Steinmeier: Habe daran keine Erinnerung. Was sie sagen, hat Plausibilität.
Flisek: Erinnerungen in Hinblick auf Erwartungen der USA an das Projekt? Hohe Erwartungen?
Steinmeier: Kann nicht sagen, wie viele vergleichbare Kooperationen die mit anderen haben. Müsste man wissen, um Wichtigkeit einzuschätzen. Von Seiten US-Politik keinen einzigen Hinweis bekommen, dass Kooperation bessere und schnellere Ergebnisse produzieren müsste. Notwendige G‑10-Filterung war klar. Zwischenabschnitt Telekom, anschließend Beschäftigung der G‑10-Kommission. Mehr kann ich aus Erinnerung nicht beitragen.
Flisek: Kann sein, dass Gespräche auf Ebene der Dienste untereinander. In ihrer Zeit als Außenminister: Da ist Eikonal eingestellt worden. Gab es da zwischen Außenministern Erörterungen?
Steinmeier: Nein. Würde ich erinnern. Kann nicht sagen, ob es zu bestimmten Zeitpunkt abgeschaltet wurde oder ob Interesse nachgelassen hat. 2008 war Kooperation zu Ende, auf außenpolitischer Schiene keine anderen Hinweise erhalten.
Flisek: Anderer Sprung. Wir sollen am Ende ja Vorschläge für Änderung und Reform machen. Sie hatten lange Aufsicht über NDs. Problem: Dienste sind verschieden in ihrer Struktur. Z.B. dass BND Hauptsitz in Pullach hat. Der zieht ja jetzt um. Abteilung TA soll in Pullach bleiben. Sehen sie das als Problem, dass eine wesentliche Abteilung dann so ortsverschieden von der Zentrale und Aufsicht ist? Kann das dauerhaft gutgehen?
Steinmeier: Muss in jüngere Hinstorie zurückgehen. Kann man auch zeigen, wo meine Aufgabe als ND-Beauftragter lag. Hatten damals eine Zeit hinter uns, wo es Entfremdung zwischen Politik und NDs gab. Schmidt und Kohl: „Was ich wissen muss, lese ich in den Zeitungen, da frage ich nicht den BND.“ Beide Seiten damit zurecht gekommen, weil die einen in Pullach saßen und die anderen in Bonn.
Ging so bis 1990. In 90ern begann sich das zu verändern, auch mit wachsenden Unruhen auf dem Balkan. Erst recht 2001 rund um 9/11. Wir haben damals Notwendigkeit gesehen, erstens BND zu restrukturieren. Dazu gehörte auch Fragestellung: Entweder man lässt BND in Pullach oder wir nehmen das ernst. Dann Umzug nach Berlin beschlossen. Auch um BND einzuweben und einzubinden in außenpolitische Community. Hatten in Berlin Stiftungen, Parteien, AA und BMVg am Ort. Sozusagen den Dienst in Debatte mit außen- und sicherheitspolitischen Akteuren zu bringen, war ein zweiter Gesichtspunkt. Nach 9/11 kam weiteres hinzu. Wir waren plötzlich konfrontiert mit Situation, dass wir Dienste hatten, die auf Ost-West-Konflikt zugeschnitten waren. Mussten uns nach 9/11 umorientieren.
Das war Umstrukturierung, die wir hinkriegen mussten. Auch in Hinblick auf CSU: Mussten Herrn Stoiber überzeugen, BND von Bayern nach Berlin zu bringen. Kann ihnen Uhl was zu erzählen. Genauso schwer, Umstrukturierung hinsichtlich der Gefährdungslagen weg von Sowjetunion. Ist vorher eher unterschätzt worden. Ob ausreicht, was von Pullach nach Berlin kommt, kann ich überhaupt nicht beurteilen. Was technische Einrichtungen angeht, das müssen andere bewerten.
Flisek: Wichtige Hinweise. Vorsitzender gibt mir ein Zeichen, ich gebe erstmal das Wort weiter.
Fragerunde 4: Linke (18:05)
Hahn: Mal ein Dokument, das britischen ND betrifft. [MAT A BK 6a 3, Blatt 17]
Ist das ihre Paraphe auf dem Dokument?
Steinmeier: Das heißt eindeutig Frank-Walter Steinmeier.
Hahn: Dann will ich kurz vortragen. Schreiben AL 6 an sie. Vom 18. September 2001, wenige Tage nach 9/11. Zusammenarbeit deutscher mit britischen NDs.
Präsident MI6 kam am 17. September zu Gespräch mit AL 6 in Bundeskanzleramt. Informiert über Gespräch mit Blair. Bei Gespräch mit Kanzler soll Verbesserung der Zusammenarbeit besprochen werden. Bisherige Zusammenarbeit soll ganz gut sein, aber nicht so gut wie Großbritannien und USA.
Gebiete: Gesetzgebung. Weitergabeverfahren soll vereinfacht werden und nicht an Gesetzesvorschriften scheitern.
Ist das so zu verstehen, dass man Gesetzesvorschriften nicht mehr einhalten sollte zur Datenweitergabe?
Steinmeier: Geht ja um britische Haltung. Wollten und konnten keine Kooperation mit Großbritannien ohne Einhaltung des deutschen Rechts einleiten. Sehen, dass es keine vergleichbaren Operationen wie zwischen BND und NSA mit Großbritannien gegeben hat.
Hahn: Gibt es vergleichbare Verträge zur allgemeinen Zusammenarbeit mit Großbritannien?
Steinmeier: Kein Vertragspapier wie mit US-Seite.
Hahn: Ein Punkt Umsetzung Truppenstatut. Gilt das im Zweifel auch für NDs? Was Betretungsbefugnisse und Strafverfolgung angeht. Zugang für Polizei und ähnliches. Wie im Truppenstatut geregelt?
Steinmeier: Im Einzelnen nicht erinnerlich.
Hahn: Aber sie waren doch verantwortlich für die Umsetzung!
Steinmeier: Überreizen sie ihre Zuständigkeit nicht so überheblich. Muss das nicht im Einzelnen kennen. Wenn Geheimdienste sich an Örtlichkeit aufhalten, für die das Truppenstatut gilt, dann gilt das auch für ND.
Hahn: Gilt das Truppenstatut in Wiesbaden?
Steinmeier: KA.
Hahn: Haben gesagt, gibt keinen Grund, USA nicht zu glauben. Was ist für sie der Grund, anzunehmen, dass das in Ramstein eventuell anders ist als beim MoA?
Steinmeier: Haben sie ein anderes Beispiel dafür, dass sich ein US-Präsident jemals über eine Frage geäußert hat, die zwischen unseren beiden Ländern so strittig war? Und auch noch öffentlich. Das war für mich genug Sicherheit.
Hahn: Frage der Steuerung nie behauptet worden. Frage ist, inwieweit Ramstein verzichtbar ist für Drohneneinsätze insgesamt? Wenn unverzichtbar, dann müsste Bundesregierung doch einschreiten.
Steinmeier: Haben auf verschiedenen Ebenen Aufklärung gesucht, waren mit USA im Gespräch. Haben keine Aufklärung, welche technische Rolle Ramstein spielt. Bisher nicht ausreichend aufgeklärt. Wenn sie fragen, was gedenken sie zu tun? Kann überlegen: Wenn das nicht aufgeklärt ist, schließen wir die US-Standorte. Wäre nicht meine Haltung und aus Sicht der deutschen Sicherheitsinteressen auch nicht verantwortungsvoll.
Hahn: Frage mich, warum sie nur reden und nicht hingehen, um zu prüfen, was stimmt.
Steinmeier: Sie hatten doch Sicherheitsdirektor aus AA hier. AA hat das da auch angeschaut. Wenn kein Ergebnis, kann ich doch auch nichts dafür.
Hahn: Man könnte doch Nutzung von Ramstein im Drohnenkrieg untersagen, warum macht man das nicht?
Steinmeier: Weil wir derzeit noch im Gespräch sind.
Fragerunde 4: Grüne (18:16)
Ströbele: Protokoll vom 21. Mai 2015:
BND betreibt umfassende Aufklärung vorbehaltlos. Prüfung Selektoren war von Beginn unvollständig. April 2005 erfolgte ausschließlich Prüfung nach G‑10-Kriterien. Weisung oder Dienstvorschrift zur Umsetzung des MoA gab es nicht, nicht von BND oder anderer Stelle […] Dieses von Beginn an unzureichende Verfahren wurde verfestigt. Es drängt sich Frage auf: Wo lagen die Sollbruchstellen? Sehe sie bei Beginn April 2005, unzureichende Prüfung ohne Berücksichtigung MoA.
Steinmeier: Haben uns mit größter Sorgfalt darum bemüht, es auf eine rechtliche Form zu stützen, das MoA, um es in eine Form zu bringen, über Annexe verhandelt, in denen Regularien enthalten waren, die bei der Anwendung Probleme beinhalteten. Sie wissen auch, dass 2005 der Probebetrieb mit erster Liste von Selektoren begann. Soweit ich mich erinnere habe ich in meiner Amtszeit keine Auswertung des Probebetriebs gesehen. Kann nicht aus eigener Anschauung sagen, wie damit verfahren worden ist. Erst aus späterer Anschauung Selektoren, die gegen Rechtslage verstoßen haben. Mehr kann ich nicht sagen, sonst würde ich im Nachhinein etwas hineinprojizieren.
Ströbele: Hatten sie nicht Anlass, zu sagen, wir müssen Selektoren angucken? Nicht nur in Hisicht G‑10. Auch, dass da nicht andere europäische Institutionen betroffen sind?
Steinmeier: BND hat erste Phase als Probebetrieb definiert. Bestand hinreichende Sensibilität. Was hätte für mich für ein Anlass bestanden, da nachzufragen?
Ströbele: Naja. Probebetrieb war ja nicht so zu verstehen, dass wir das mit erfundenen Daten machen. Sondern: Wir gehen da voll zur Sache und leiten das an die NSA weiter.
Steinmeier: Auf Grundlage deutschen Rechts.
Ströbele: Galt offenbar nur für G‑10-Verkehre, für die BND Zustimmung der G‑10-Kommission brauchte. Aber wenn das jetzt keine Deutschen sind, aber emminent gegen deutsche Interessen verstößt. Ausforschung deutschen Ministeriums, das war dann alles möglich.
Steinmeier: Konnte am Anfang nicht ausführlicher sein. Habe deutlich gesagt, bezogen auf US-Dienste und deutsche Dienste, dass Abhören der Telefonnummern des französischen Präsidenten…
Ströbele: Will das nochmal präziser machen. War ja kein Rechtsverstoß. In europäischen Verträgen wird viel von Solidarität geredet. Ist das damit zu vereinbaren? Wenn wir sowas machen gegen Werte aller europäischen Verträge, die wir haben?
Steinmeier: Glaube, alle Beteiligten wissen, dass das Politische ein größeres Problem ist als das Rechtliche. Stand neben französischem Präsident am Mikro als über Agenturen kam, dass er abgehört worden ist. Sind schwierige Situationen. Klärung der Rechtslage hilft da nicht so viel weiter.
Fragerunde 5: Linke
Hahn: Aus ihrer Zeit als ND-Koordinator: Sagt ihnen HBW etwas?
Steinmeier: Ja.
Hahn: Was denn?
Steinmeier: Einrichtung, die unter Dach des BND betrieben worden ist und in den 50er Jahren begonnen hat, Heimkehrer zu befragen über Gefangenenlager im Osten. Wissen wurde genutzt, um Wissen über Sowjetunion zu vervollständigen. HBW auch in 90ern weiter betrieben worden zu Befragungen von Menschen, die sich da entweder freiwillig gemeldet haben oder…
Weißt nicht, ob HBW mittlerweile geschlossen wurde.
Hahn: Keiner der Befragten wusste, dass HBW Nachorganisation des BND. Flüchtlinge hat man nach Telefonnummern, Personen, Straßen, etc. gefragt. Auch US-Befrager haben – teilweise allein – Flüchtlinge befragt. Zu Daten, die für Drohnenkrieg genutzt werden konnten.
Steinmeier: Kann ich nicht bestätigen, weil KA. Wenn USA alleine befragt, dann entspricht das nicht der Vorstellung von Kooperation.
Hahn: Sind auch Geodaten weitergegeben worden und deutsche Staatsbürger getötet worden. Wurde das bei ihnen diskutiert?
Steinmeier: Nein, keine Diskussionen innerhalb Bundesregierung in Erinnerung. Weiß auch nicht genau, was sie meinen.
Hahn: Telefonnummern, Geodaten usw.
Steinmeier: Frage ist, ob das schon Vorbereitung auf Drohnenangriffe war.
Hahn: Ist ihnen bekannt, dass man dann Praxis eingeführt hat, Geodaten verfälscht an USA zu geben, um zu verhindern, dass Daten für Drohnenziele genutzt werden können?
Steinmeier: Wann?
Hahn: Genauen Zeitraum kennen wir auch nicht. Aber ist uns von BND-Präsident bestätigt worden. USA hat man das nicht gesagt. Daten konnten zu falschen Zielen führen. Davon keine Kenntnisse?
Steinmeier: Keine eigene Wahrnehmung, kann ich nicht kommentieren.
Hahn: Zu G‑10-Kommission: Sie sagten, sei Frage der Rechtspolitik, über was informiert werden muss. BND wäre doch nie an ein deutsches Kabel gekommen ohne G‑10-Anordnung. Oder ist ihnen anderer Weg bekannt?
Steinmeier: KA, ob damals Alternativen diskutiert wurden. Frage war ja, über was G‑10-Kommission informiert werden musste. Klar, über G‑10-relevante Verkehre. Strittig, ob auch über Transitverkehre. Notz hat gesagt, G‑10-Kommission war verärgert, dass das nicht passiert ist. Frage für Klarstellung in späterem BND- und G‑10-Gesetz.
Hahn: G‑10-Kommission sagt, sie hätten nie zugestimmt, wenn sie gewusst hätten, dass USA mit an der Leitung sind. Halten sie das für gerechtfertigt, dass man G‑10-Verkehre gar nicht wollte, sondern nur für Routineverkehre brauchte?
Steinmeier: Streiten hier darüber, ob Transit auch Gegenstand der Befassung der G‑10-Kommission hätte sein müssen. Kann man für Vergangenheit nicht korrigieren, aber in Zukunft klarstellen.
Hahn: G‑10-Antrag war Fiktion. Türöffner. Ging nicht anders als mit G‑10-Antrag und G‑10-Kommission nie in Kenntnis gesetzt. Gerechtfertigt?
Steinmeier: Aber G‑10-Antrag hätte doch gestellt werden müssen.
Hahn: Aber es ging nicht um einen konkreten Antrag, sondern „irgendeinen“.
Steinmeier: Kommentiere nicht aufgrund einiger einzelnen Zeugenaussagen.
Wolff: Gibt durchaus unterschiedliche Zeugenaussagen.
Fragerunde 5: Grüne (18:39)
Notz: Haben Aussagen von G‑10-Kommission, die ganz anders lauten.
Wolff: Aber auch andere.
Steinmeier: Wäre fair gewesen, das zu sagen.
Notz: Werde ich später mit Herrn Hahn besprechen.
Von heute aus stellt sich MoA anders dar. Krasse Eingriffe in Grundrechte und deutsche Interessen. Hatten drei Staatsrechtler hier. Die haben gesagt, Prozedere war rechtswidrig. Verlange gar keine Einsicht, dass sie Fehler gemacht haben. Aber sie haben Bezug genommen auf die Zukunft. Sind sie mit mir der Auffassung, dass man nicht auf MoA aufbauen kann und der Rechtsfehlerhaftigkeit? Muss man das nicht auf neue Füße stellen, inlusive G‑10-Gesetz?
Steinmeier: Fiele mir einfacher, wenn ich wüsste, worauf Staatsrechtler sich berufen haben. Werden ja eher Praxis der Kooperation bewertet haben als MoA selbst. Uns war bewusst, dass entscheidender Grundsatz bei Kooperation die Festlegung beider auf deutsches Recht war. Wie das deutsche Recht aussieht ist eine Frage, die das Parlament entscheiden wird. Verweis ist ein dynamischer Verweis…
Notz: Aber Partner hat sich nicht daran gehalten.
Aus Sicht von heute: Würden sie sagen, dass man so eine Frage am Parlament vorbeiziehen kann? Widerspreche dem, dass das MoA rechtmäßig ist, aber können wir öffentlich nicht besprechen…
Steinmeier: Sagen doch: MoA war rechtsmäßig.
Notz: Nein, aber kann nicht drüber reden, weil MoA geheim ist. Mich würde interessieren: Würden sie das heute nochmal mit einem MoA machen? Kann man das an einem Parlament vorbeiziehen?
Steinmeier: Wir sind in anderer Situation. 2001. Damals war Kooperation notwendig. Auch heute. Haben damals MoA für geeignete Grundlage gehalten. Auch Aufgabe des Parlaments, zu beurteilen, ob MoA oder ganz andere Rechtsformen. Diskussionen finden ja schon statt.
Notz: Ja, aber ohne Snowden wüsste man bis heute nichts von der Praxis. Aber nochmal andere Frage. Wahlkampf 2013. Da waren sie in der Opposition. Waren sie persönlich überrascht?
Steinmeier: Ja. Trotz alledem. Umfang der Datenerhebung, das hat mich überrascht. Und erst recht, dass auch Anschlüsse deutscher Ministerien und der Kanzlerin auf der Liste standen.
Notz: Und Ausspruch der Kanzlerin „Ausspähen unter Freunden…“ – Haben sie das geteilt? Oder wie man das Kerry entnehmen konnte, dass das naive Äußerung ist?
Steinmeier: Zu dem Zeitpunkt der Äußerung wusste ich nicht, dass es Abhörmaßnahmen des BND jenseits des APB gab. Insofern ja, auch das war trotz Vorerfahrung eine Überraschung.
Notz: Und als sie bei No Spy verhandelten – haben USA ihnen mal vorgehalten: „Liebe Leute, ihr macht doch genau das gleiche. Ihr hört doch auch Freunde ab“?
Steinmeier: KA, ob US-Außenpolitik damals schon vollständigen Überblick über Praktiken der eigenen Dienste hatte.
Notz: Mag sein, aber hatte unser Außenminister Überblick über Praktiken der eigenen Dienste?
Steinmeier: Nein, habe ich doch gesagt.
Notz: Also nicht angesprochen, dass Kerry und Clinton im Visier standen.
Fragerunde 5: SPD (18:49)
Flisek: Hatten sie jemals Anhaltspunkte, dass Tätigkeit der US-NDs über aktenkundige Kooperation hinausgeht? Gab es Runden, wo man darüber mal gesprochen hat? Vermute, der größere Tätigkeitsbereich findet außerhalb von Kooperation statt.
Steinmeier: Ist das Problem, das wir manchmal haben. Ähnlich wie bei Echelon. Medial mit großer Sicherheit behauptet, dass Wirtschaftsspionage. Aber keine gesicherten Hinweise. Kann nur mit belastbaren Hinweisen Partnern gegenübertreten.
Flisek: Lässt zwei Hinweise zu: Ist gar nicht so oder unserer Spionageabwehr wird das nicht gewahr.
Steinmeier: Ja, und dass es möglicherweise andere NDs gibt, die noch aktiver sind als USA.
Flisek: Wir haben es hier mit Kooperation von Diensten zu tun. Wurde immer wieder gesagt, dass sensibler Bereich, der Staatswohl besonders berührt. Insbesondere wenn Details offenkundig werden könnten, dann würden Dienste das Vertrauen verlieren. Ein Punkt immer aufgetaucht: Third-Party-Klausel. Geregelt, dass Dritten keine Informationen zugänglich gemacht werden dürfen. Dass ein Dritter auch ein Kontrollgremium des Parlaments sein kann. Damit habe ich ein Problem. Amerikanische Kollegen haben leichtes Schmunzeln darüber bekommen, die würden sich das nicht bieten lassen.
Sehen sie, dass man das klarziehen kann, ohne massive Verluste hinnehmen zu müssen? Dass ein Aufsichtsgremium keine dritte Partei im Verhältnis zur Exekutive ist?
Steinmeier: Kann das so sehen, verändert sich auch in den USA gerade. Parlamentarische Kontrolle war in USA in Vergangenheit schwächer als in Deutschland. Auch in USA besteht Ehrgeiz, stärker in Kontrolle einbezogen zu werden. Information gegenüber PKGr sind nicht zwingend als Third Party anzusehen, da könnte sich eine parallele Sichtweise mit US-Gremien ergeben.
Fragerunde 6: Linke
Hahn: Tweet [Anm. d. Red.: Facebook] von Steinmeier:
Ich kenne keinen, den dieses Maß von lückenloser und flächendeckender Aufklärung nicht überrascht hat. […] Ich kann mich gut daran erinnern, dass es vor mehr als zehn Jahren schon mal einen Abhörskandal gab unter dem Titel „Echelon“, wo es ein Netzwerk von britischen, australischen, kanadischen und amerikanischen Geheimdiensten gab. Dieses Netzwerk ist damals, so die offizielle Aussage, beendet worden.
Wie können sie das wissen? Was ist Five Eyes für sie?
Steinmeier: Habe nur gesagt, dass das nicht mehr unter Stichwort Echelon betrieben wird. Dass Five Eyes engere Zusammenarbeit pflegen, ist unbestritten.
Hahn: Haben auf Verantwortung derer verwiesen, als sie nicht im Amt waren. Echelon-Bericht von 2001 fiel in ihre Amtszeit. Was haben sie in ihrer Funktion getan, um Forderungen aus dem Bericht umzusetzen, wenn es um Schutz der Daten von Bürgern geht? Da werden Deutschland und Großbritannien dafür kritisiert, dass sie den USA zu freie Hand gegeben haben. Was danach getan?
Steinmeier: Gab eine Konsequenz: Aktivitäten in Wirtschaftsspionage. Versuche, zu ermitteln, ob belastbare Hinweise bei deutschen Unternehmen für Spionage der USA. Haben sich nicht ergeben. Das zweite ist: Bei allen Formen der Kooperation mit US-Partnern dafür sorgen, dass die auf Grundlage deutschen Rechts stattfindet. Mit MoA sichergestellt.
Hahn: Aber Einhaltung dann nicht überprüft.
Steinmeier: MoA hatte Regelungen, mit denen Einhaltung überprüft worden ist. Meldewege im BND. Je nach Schwere des Verstoßes auch weitergeben, aber nichts an mich herangetragen worden.
Hahn: Und Bewertung, wenn Selektoren nicht lesbar oder verschlüsselt waren und trotzdem eingesteuert wurden? Wie vereinbart sich das mit einer Kontrolle?
Steinmeier: Weiß nicht, ob Vorwürfe sich schon auf meine Zeit im Bundeskanzleramt beziehen. KA, ob damals schon Selektoren eingestellt, die nicht gelesen werden konnten.
Hahn: Frage ist, wie Vertrag umgesetzt worden ist? Wie vereinbart es sich mit Kontrolle, wenn BND solche Dinge gesteuert hat, ohne lesen und verstehen zu können?
Steinmeier: Liegt doch nach meiner Verantwortung, da haben sie doch andere dazu befragt.
Hahn: Ging aber bis 2015 und sie sind ja immer noch Mitglied der Bundesregierung.
Steinmeier: Aber nicht mehr ND-Beauftragter.
Hahn: Aber von ihnen verhandeltes Abkommen. Offensichtlich, dass Mechanismen in MoA nicht ausreichend waren.
Steinmeier: MoA stand am Anfang. Wenn Probleme, dann hätten die nach oben gemeldet werden müssen. Kann mich nicht zu Dingen äußern, die ich nicht wahrgenommen habe. Wenn später etwas gewesen wäre, kann man nicht sagen, man konnte keine Probleme bearbeiten, weil keine Vorsorge getroffen. Könnte doch nur kommentieren, wenn ich dann noch Möglichkeit gehabt hätte, draufzuschauen. Will nicht kommentieren, was Nachfolger hätten tun können oder sollen.
Hahn: Spreche auch von ihrer Verantwortung.
Steinmeier: MoA enthält samt Annexen genau die erforderlichen Vorschriften.
Hahn: Warum gab es in ihrer Zeit keine Weisungen etc., was Meldewege etc. angeht?
Steinmeier: Berufe mich darauf, dass schon MoA ausführlich ist. Noch umfangreicher die Annexe. Enthält sowohl Regeln zu Umgang mit Verstößen und Fehlverhalten und Regelungen, wie BND damit umzugehen hat. Wie Mitarbeiter des BND damit umzugehen haben, wenn Selektoren nicht verständlich sind.
Hahn: Gab aber Mitarbeiter im BND, die mit den Sachen befasst waren, aber MoA gar nicht kannten.
Steinmeier: Aber braucht keine Dienstanweisung, steht alles im MoA.
Hahn: Aber die kannten das gar nicht!
Steinmeier: MoA und Annexe waren von Leitung BND den Mitarbeitern bekanntzumachen. Kann nichts über Kommunikationsformen innerhalb BND sagen.
Fragerunde 6: Grüne (19:08)
Ströbele: Schindler sagt, er vermisst Umsetzung in Dienstanweisung. Der ist ja nicht irgendwer. Habe drei Fragen: Wissen sie was von der Weltraumtheorie des BND?
Steinmeier: Inzwischen ja. Nichts, was in meinen rechtlichen Auffassungen als Chef-BK zur Bewertung herangezogen worden wäre. Halte sie auch nicht für notwendig, um zu legitimieren, was zwischen BND und NSA geplant war.
Ströbele: Gehe ich recht in der Annahme, dass sie nicht besonders viel von Weltraumtheorie halten? Halten sie das für eine einleuchtende Theorie?
Steinmeier: Vielleicht sehe ich das zu schlicht, aber damals so gesehen: Bestehendes Recht und BND-Gesetz für Kooperation ausreichend.
Ströbele: Kennen sie Funktionsträgertheorie?
Steinmeier: Inzwischen auch. Nicht sicher, ob damals schon Gegenstand von Besprechungen. Aber weiß, worum es geht.
Ströbele: Ist Theorie, dass Deutsche, die in ausländischen Einrichtungen tätig sind, dass die einen Teil ihrer Grundrechte verlieren. Auch informationelle Selbstbestimmung. Hatten Beispiel mit deutschem Vertreter an Spitze der EU, dass der keine Rechte mehr hat. Dann müsste man ja jeden mit so einem Amt darauf aufmerksam machen.
Steinmeier: Funktionsträgertheorie kann keine Krücke sein, um Deutsche in internationalen Positionen abzuhören. Eher, um Deutschen in internationaler Waffenschiebergruppe abzuhören. Bin nicht in der Lage, zu sagen, was Funktionsträgertheorie in Zukunft noch taugt. Eventuell in Zukunft klarer fassen.
Wolff: Funktionsträgertheorie sagt, dass sie nicht Grundrechtsträger des Artikel 10 sind. Nicht, dass man sie abhören darf.
Notz: Zum Abschuss freigegeben wurde gesagt.
Wolff: Wurde auch anderes gesagt.
Ströbele: Wichtigste Frage: Drohneneinsätze. Sie berufen sich immer auf Obama. Mal angeguckt, was er gesagt hat?
Steinmeier: Ja.
Ströbele: Können sie das ungefähr wiedergeben? Hat er gesagt, Deutschland hat da nichts mit zu tun oder hat er gesagt, Deutschland ist nicht Ausgangspunkt für Drohneneinsätze? Gehen sie mal nach Ramstein, unterhalten sie sich mit dem führenden General. Die nutzen alle die gleiche Formulierung: Über Deutschland erfolgt keine Leitung der Drohneneinsätze.
Haben eindrucksvolle Vernehmung von Bryant durchgeführt. Hat gesagt, er war bei 1.641 Einsätzen Pilot. Hat das ganz genau geschildert. Hat sich auf seinen Stuhl gesetzt…
Flisek: In den USA.
Ströbele: Und dann auf Knopf gedrückt und gefragt, ob die Leitung steht. Und dann Befehle an Drohne übermittelt.
Steinmeier: Da sind wir doch gar nicht so weit auseinander. Wir haben noch nicht geklärt, welche Rolle Ramstein in der Technik der Drohnensteuerung spielt.
Ströbele: Niemand hat bisher bestritten, dass Bryants Angaben wahr sind. Sie können sich bei ihm mal erkundigen und das mal dem US-Militär vorhalten. Ich habs versucht und leider immer nur die selbe Antwort bekommen. Kann doch nicht mehr sein, dass noch ein einziger Hinweis so über Deutschland befehligt wird.
Steinmeier: Nehme ich so als Hinweis. Aber wir fragen sehr klar, aber nehme Hinweis gerne noch mit.
Fragerunde 7: Linke (19:20)
Hahn: In Akten haben wir ein Schreiben bei NATO-Außenministerrat. Dokument ist eingestuft. Da wird von surrealer Situation berichtet, dass USA und Frankreich sich nicht zu Snowden äußern wollen. Und Bundeskanzleramt dem AA empfiehlt, was im Rahmen der NATO zu tun und zu thematisieren. Frage: Was ist durch sie und AA in Folge getan worden, um das in der NATO zu thematisieren?
Steinmeier: Kann ich nicht sagen. Erinnere mich im Augenblick an keinen NATO-Außenministerrat zu Drohnen.
Hahn: Nein, nicht Drohnen. Überwachung.
Steinmeier: Auf Außenministerebene nichts passiert. Bei anderen Ebenen, KA.
Hahn: Aber in Schreiben aus Bundeskanzleramt steht, dass AA tätig werden wird.
Steinmeier: Kann ich nicht ausschließen. Aber bei Treffen, wo ich war, nicht Thema.
Fragerunde 7: Grüne
Notz: Sie waren mal bereit, vor PKGr auszusagen, weil Pofalla – vereinfacht – gesagt hat: Steinmeier ist Schuld. Warum ist es nicht zu Klarstellung gekommen? Was wollten sie denn sagen?
Steinmeier: Ging um Bewertung Kooperation zwischen NSA und BND und Bewertung MoA. Wenn ich mich richtig erinnere war Kernbehauptung, dass man damals eine Kooperation ohne Berücksichtigung der deutschen Rechtslage begonnen hätte. Wer dabei war, hat in Erinnerung, dass auf meine Anhörung in letzter Minute verzichtet worden ist.
Notz: Wurde von Koalition verhindert. Wäre im Anschluss an dieses Intermezzo eine vertrauensvolle Zusammenarbeit mit Pofalla noch möglich gewesen?
Steinmeier: Inwiefern?
Notz: Dass er nicht zur Bahn gegangen wäre, sondern noch Teil der Bundesregierung geblieben wäre.
Steinmeier: Damit hatte ich nichts zu tun.
Notz: Bei dem Krisenmanagement kann man schon auf den Gedanken kommen, dass die Dinge irgendwie zusammenhängen, auch ohne Verschwörungstheoretiker zu sein.
Steinmeier: Aber kann ich nichts zu sagen.
Notz: Bundeskanzleramt ist Rechts- und Fachaufsicht. Sie seien von den gravierenden Problemen nicht informiert worden. Würden sie sagen, dass das eine funktionierende Aufsicht ist? Ist man manchmal froh, nicht über alles beim BND informiert zu werden?
Steinmeier: Erinnere daran, dass es nie einen Mangel an Themen gegeben hat. Immer bei Wirtschaft und Umwelt lange Nachtsitzungen. Will nicht sagen, dass man auch noch nach den ND-Problemen giert. Weniger anekdotisch: Man kann mir nicht nachsagen, dass ich Bereich nicht die nötige Bedeutung eingeräumt hätte.
Hier spielt MoA eine große Rolle. In meiner damaligen Rolle war das nicht unwichtig. Aber mein Tagesgeschäft war: Wie stellen wir nach 9/11 sicher, dass Ähnliches nicht in Deutschland passiert? Wenn sich hier keine Anschläge ereignet haben, lag das an vielem – auch Glück. Aber ein bisschen darf man auch unterstellen, dass man das Möglichste getan hat, um Aufklärung über Tätergruppen zu haben. Haben nicht Erfahrung machen müssen, dass sich sowas wie Hamburger Zelle in ähnlicher Weise entwickelt hat. War ja nicht mein Verdienst, sondern der von Sicherheitsbehörden, Innenministern, NDs. Gehörige Portion Wachsamkeit in diesen Jahren.
Verstehe, dass Ausschuss sich auf MoA bezieht und Nachfragen hat. In meiner Funktion Fokus eher auf Sicherheit der deutschen Staatsbürger. Nochmal: Habe versucht, Balance zwischen Sicherheit und Freiheit zu halten.
Notz: Verstehe ich und will gar nicht widersprechen, dass das Leistung der Sicherheitsbehörden ist. Trotzdem zu gravierenden Verstößen gekommen. Zum Abfluss von Informationen. Wir versuchen, das auszuleuchten. Aus parlamentarischer Sicht schauen, was wir verbessern können.
Brauchen wir nicht Pflicht der proaktiven Information an Aufsicht, Sanktionen, stärkere parlamentarische Kontrolle? Damit wir nicht nach 15 Jahren hier sitzen, um das aufzuklären?
Steinmeier: An Ausgestaltung parlamentarischer Kontrolle sitzen sie ja. Was Rechts- und Fachaufsicht angeht: Es gab die Möglichkeiten der Kontrolle. Insofern: Wenn man strikt nach MoA verfahren hätte und Fehlentwicklungen nach oben gegeben worden wären, würden wir gar nicht über die Instrumente reden. Wenn wir über Sanktionierung reden, ergeben die sich aus dem Beamtenrecht.
Notz: Aber die sind bis heute nicht gezogen worden. Frage ist, warum? Weil Hausleitung das nicht wissen wollte oder weil Information nicht an Bundeskanzleramt wetiergegeben wurde?
Steinmeier: Haltung „Will ich nicht wissen“ gab es zu meiner Zeit nicht.
Notz: Wikileaks zum 2. Dezember 2005, veröffentlicht am 2. Juli 2015. Ihr erster Besuch in Washington am 29. November 2005. Sagt ihnen das was?
Steinmeier: Im Augenblick nicht. Kann ich mal sehen?
Notz: Ja.
He seemed relieved that he had not received any definitive response from the U.S. Secretary of State regarding press reports of CIA flights through Germany to secret prisons in eastern Europe allegedly used for interrogating terrorism suspects.
Dass sie einen entspannten und gefälligen Eindruck gemacht haben, dass sie keine genauen Informationen über Überflüge der entführten, vernommenen Leute bekommen haben. Da stellt sich die Frage, ob das Need-to-Know, ob das nicht auch bis ins Bundeskanzleramt reicht? Und ob man das nicht ändern kann, indem man ins Gesetz schreibt: „Verpflichtung, proaktiv über diese Dinge zu informieren“?
Steinmeier: Schwierigkeit darin, zu definieren, was „diese Dinge“ sind. Nicht jedes Detail kann Informationspflicht gegenüber PKGr sein. Was grundsätzliche Operationen angeht, da kann ich mir das vorstellen. Was dieses Ding angeht, kann ich nur sagen: Das stimmt in diesem kurzen Hinweis, dass es keine Aufklärung gegeben hat. Alles andere ist amerikanische Information.
Notz: Danke für die ausführliche Beantwortung meiner Fragen.
[Ende der Vernehmung (19:39 Uhr)]
-
: Netzpolitik in Südafrika: Zensur-Infrastruktur, Geheimdienste und Überwachung auf dem Vormarsch
: Netzpolitik in Südafrika: Zensur-Infrastruktur, Geheimdienste und Überwachung auf dem Vormarsch Ein Blick über den Tellerrand hat bekanntlich noch nie geschadet. Die Auslandskorrespondenten des Afrika-Ressorts von netzpolitik.org haben sich in Südafrika umgesehen, die dortigen netzpolitischen Diskussionen verfolgt, etwas von der Netzkultur aufgesaugt und einen Blick auf einige aktuelle Gesetzesvorhaben geworfen.
Südafrika zählt zu den sogenannten BRICS-Staaten, also den wirtschaftlichen Mittelmächten, zusammen mit Brasilien, Russland, Indien und China. Das Land ist seit mehreren Jahrzehnten der mit Abstand reichste Staat Afrikas. Telekommunikationsinfrastruktur konzentriert sich in urbanen Gebieten, ihre Nutzung ist stark einkommensabhängig. Der Schlüssel zum Internet ist oft das Smartphone, das sich jedoch längst nicht jeder leisten kann. In den Städten ist ein Großteil der Bevölkerung online und über Social-Media-Plattformen vernetzt, doch viele Menschen haben gar keinen Zugang zum breitbandigen Internet, besitzen keine Hardware oder sind Analphabeten.
Nach Ende der Apartheid gab sich das Land zwar eine moderne, sehr liberale Verfassung. Es herrscht aber weiterhin ein großes Bildungsgefälle und eine Ungleichheit der Chancen. Von mehr als einer Million Kindern, die vor zwölf Jahren in Südafrika eingeschult wurden, erreichte nicht einmal die Hälfte einen Abschluss der Sekundarschule. Etwa die Hälfte der Bevölkerung ist zudem unterbeschäftigt oder arbeitslos.
Trotzdem ist es eines der afrikanischen Länder, in die vergleichsweise hohe ausländische Investitionen in Wirtschaftsbereiche fließen, die mit Netz und Infrastruktur sowie mit technischer Ausbildung zu tun haben. Ein Beispiel dafür ist die „African Skills Initiative“ des US-Konzerns IBM, der soeben auch das erste Cloud-Data-Center in Südafrika eröffnete.
Internet-Zensur
Es wird bereits seit Monaten darüber gestritten, wie eine Regulierung privater kommerzieller Plattformen gestaltet werden soll. Dabei ist man mit den politischen Vorschlägen nicht zimperlich: In Südafrika droht ein Internet-Zensur-Gesetz, das auf dem afrikanischen Kontinent seinesgleichen sucht.
Jeder Film, jedes Spiel, jede Veröffentlichung auf Social-Media-Plattformen soll vorab klassifiziert werden. Gleichzeitig sollen die Nutzer angehalten werden, sich als Inhalteanbieter zu registrieren. Das betrifft Blogger oder Social-Media-Nutzer, die Inhalte hochladen, unabhängig davon, ob es große wirtschaftliche Unternehmen oder Tagebuch-Schreiber mit Katzenfotos sind.
Zusätzlich soll ein Ausschuss („Film and Publication Board“, FPB) gebildet werden, der sich hochgeladenen Inhalten von nicht registrierten Personen widmet und deren Videos oder Audio-Dateien bewertet und einordnet:
Upon classification, the Board shall dispatch a copy of the classification decision and an invoice payable by the online distributor within 30 days […] In this case, an «online distributor» might be a South African ISP, despite the fact that they might have no connection with any «global digital media platform» who might be hosting the content. And no provision seems to be made for content uploaded via non-local services. In either case, the draft presumes that ISPs have both the capacity and the will to take down the original video, and to upload a new, classified, version containing the FPB’s logo.
Ein südafrikanischer Internet Service Provider (ISP) stünde damit vor der Notwendigkeit, eine Zensur-Infrastruktur einzurichten und darüber Inhalte durch klassifizierte Versionen zu ersetzen. Generell wird der Entwurf aber für die eklatanten Eingriffe in das Recht auf unzensierte freie Rede kritisiert.
Überwachung
Eine ansteigende Zahl von Überwachungsmaßnahmen gegen Journalisten, politische Aktivisten und Menschenrechtler verzeichnet ein im letzten Jahr veröffentlichter Bericht: Big Brother Exposed (auch als pdf). Insbesondere den diversen südafrikanischen Geheimdiensten wird darin vorgeworfen, gegen NGOs und Aktivisten gezielt vorzugehen.
Zudem ist die wichtige Position des „Inspector General of Intelligence“ seit vielen Monaten unbesetzt und damit die Kontrolle der Geheimdienste nicht mehr gewährleistet. Jüngst wurde aber immerhin angekündigt, dass die lange verzögerte Wahl des Geheimdienstkontrolleurs nun endlich stattfinden soll. Allerdings wird der derzeit vorgeschlagene Kandidat, Cecil Burgess, als nicht unabhängig und geheimdienstnah kritisiert. Südafrikanische Behörden nutzen außerdem IMSI-Catcher, die „Grabber“ genannt werden. Ob und in welchem Maße der Einsatz rechtmäßig ist, gilt als ungeklärt.
Gegen NGOs, die Machenschaften der Geheimdienste kritisieren, geht man mit harten Bandagen vor. Man fühlt sich an Meldungen im Zusammenhang mit Russland erinnert, wenn über eine zivilgesellschaftliche Initiative wie Right2Know gar im südafrikanischen Parlament behauptet wird…
…certain NGOs, specifically Right2Know, were known to be agents working for foreign governments.
Kritiker als von ausländischen Mächten gesteuerte Sockenpuppen zu diffamieren, beantwortet allerdings noch nicht die Fragen, die sich nach der Rechtmäßigkeit von gezielten Überwachungsmaßnahmen stellen.
Aber auch jenseits gezielter Überwachung sind die südafrikanischen Pläne zur Vorratsdatenspeicherung drastisch: Der Entwurf des Communication-Related Information Act (RICA) würde Telekommunikationsunternehmen verpflichten, in Zukunft alle Metadaten der Nutzer für bis zu fünf Jahre zu speichern.
Nachdem im Jahr 2008 das sogenannte „National Communications Centre“ von einer Expertenkommission („Matthews Commission“) untersucht worden war und die von dort technisch administrierte Überwachung für ungesetzlich und nicht der Verfassung entsprechend erklärt wurde, blieb die Institution allerdings bestehen. Auch in RICA findet sich keine Regulierung des Überwachungszentrums. Zudem wird noch immer das Inkrafttreten des ersten südafrikanischen Datenschutzgesetzes („Protection of Personal Information Act“) hinausgezögert.
Netzpolitik in der Nische
Es gibt einige Parallelen in der politischen Geschichte von Südafrika und Deutschland, das viele Jahre eine unrühmliche Rolle als Unterstützer des Apartheid-Regimes einnahm. Doch das Ende der Apartheid und der Fall der Mauer liegen zeitlich nah beieinander und waren einschneidende Veränderungen der jeweiligen Gesellschaften, die nun mehr als fünfundzwanzig Jahre zurückliegen.
Das Wahlvolk ist hier wie dort mit den politischen Entwicklungen seitdem nicht durchgehend zufrieden – und drückt das über Social-Media-Kanäle auch ungeschminkt aus. Aufgrund der Tatsache, dass (im Vergleich zu Deutschland) vor allem Twitter von deutlich mehr Politikern, Journalisten und Aktivisten genutzt wird, sind die politischen Diskussionen schnell, weitgreifend und ziemlich heftig – und dann oft landesweite Nachrichten.
Eine nationale Kontroverse um Intoleranz, Rassismus, Xenophobie und Hass entzündete sich im Januar an dem Beispiel eines rassistischen Facebook-Posts von Penny Sparrow, einer Immobilienmaklerin. Ihr Post, in dem sie Schwarze mit Affen verglich, wurde schnell viral und trendete tagelang. Die Debattenkultur, die sich danach entfaltete, ist in ihrer Vehemenz kaum vergleichbar mit deutschen Usancen im Netz.
Argumentativ ähnelte der Streit den Diskussionen über hate speech in anderen Ländern. Er drehte sich auch um rechtliche Fragen der Strafbarkeit von rassistischer, sexistischer oder homophober Sprache und darum, ob nicht die Gefahr bestünde, dass bei einem Verbot auch Wortmeldungen umfasst werden, die etwa Rassismus kritisieren oder exponieren sollen. Wie ein „rechtswidriger Inhalt“, der entfernt werden soll, definiert ist, muss natürlich im Einzelfall betrachtet werden. Aber wo genau die Grenze zur Rechtswidrigkeit überschritten wird, bleibt eine der Kernfragen.
Netzpolitische Themen stehen allerdings inhaltlich nur selten im Fokus nationaler Diskussionen. Grund dafür könnte vor allem die nach dem Aufstieg von Jacob Zuma 2009 nun wieder instabiler werdende politische Lage in Südafrika sein. Derzeit scheinen sich die studentischen Proteste gegen Studiengebühren zu Unruhen auszuweiten.
Viele netzpolitische Fragestellungen, die in anderen Ländern seit Jahren kontrovers diskutiert werden, finden in einer breiteren Öffentlichkeit allerdings bisher kaum Beachtung, etwa die Fragen der Netzneutralität, aber auch die massenhafte Auswertung und Ökonomisierung menschlicher Alltagskommunikation. Eine Ausnahme bilden nur einige Aspekte des verstärkten Sicherheitsstrebens („securitisation“) im Bereich von Polizei und Geheimdiensten, das in vielen Ländern zu beobachten und auch in Südafrika ein Streitthema ist.
Das Fehlen von öffentlichen netzpolitischen Diskursen muss zumindest für einige Bereiche von Technologiepolitik nicht unbedingt ein Nachteil sein. William Bird, Geschäftsführer von Media Monitoring Africa (MMA), drückt das so aus:
The fact that we lag behind the rest of the world has provided us with the opportunity to learn from international best practice.
Wer Südafrika ein bisschen besser kennenlernen möchte, dem sei der Film „Tsotsi“ (Trailer) aus dem Jahr 2005 empfohlen. Es ist einer der erfolgreichsten südafrikanischen Filme, der 2005 den Academy Award als bester fremdsprachiger Film bekam. „Tsotsi“ bedeutet übersetzt soviel wie Rowdy oder Gangster und spielt in einem Township von Johannesburg.
-
: Fachgespräch: Verschlüsselung als Selbstverteidigung im Cyberwar
Foto: Anne Roth : Fachgespräch: Verschlüsselung als Selbstverteidigung im Cyberwar Das Buzzword „Cyberwar“ geistert häufig durch die Berichterstattung. Was darunter zu verstehen ist, haben Regierung und Parlament jedoch bisher kaum definiert. Die Bundestagsfraktion der Partei Die Linke lud am 9. März 2016 zum Fachgespräch „Cyberwar: Militarisierung der Netze – Todesstoß für die Netzfreiheit“.
Als Experten diskutierten Jacob Appelbaum,
InternetaktivistJournalist und IT-Sicherheitsexperte sowie Anna Biselli, Redakteurin und Informatikerin von netzpolitik.org, die Auswirkungen des Cyberwar. Der Obmann der Linken im Verteidigungsausschuss Alexander Neu leitete die Diskussion zunächst mit der Erklärung ein, warum an diesem Abend zum Thema Cyberwar kein Diskussionspartner seitens der Bundeswehr anwesend ist.Das Verteidigungsministerium drückte Bedauern darüber aus,
…dass zum angegebenen Termin leider kein Vertreter mit der der Veranstaltung angemessenen Expertise verfügbar ist. Die wesentlichen Positionen der Bundeswehr wurden im Rahmen der öffentlichen Anhörung zu diesem Themenkomplex am 22. Februar dargelegt und liegen ihnen vor. Im Rahmen des von uns weiterhin angestrebten konstruktiven Umgangs zwischen dem BMVg und dem Parlament bieten wir selbstverständlich gerne an, bei Rückfragen zur Verfügung zu stehen. Darüber hinaus kann ich ihnen mitteilen, dass im BMVg keine Strategie zum Cyberwar vorliegt und eine entsprechende Erstellung auch nicht beabsichtigt ist.
Bisher liegt also keine offizielle Strategie vor. Eine „Strategische Leitlinie Cyberverteidigung im Geschäftsbereich des BMVg“ gibt es zwar, jedoch keine Person dazu, die dazu referieren könnte.
Waffen und Gegner im Cyberwar
Anna Biselli erklärte, wie schwierig es ist, auf Cyberattacken zu reagieren und zu entscheiden, ob der Angriff von einem staatlichen Gegner oder von einzelnen Personen oder Gruppen ausgeht. Einen Krieg im völkerrechtlichen Sinne gebe es bisher nicht, sondern nur einzelne Attacken, bei denen es derzeit Monate dauern kann, bis die Angreifer ermittelt sind.
In der Kritik stehen vor allem die Zero-Day-Exploits, die in großem Stil durch Staaten und Dienste gehandelt werden. Über diese – meist aus dubiosen Quellen eingekauften – Sicherheitslücken wollen sich die Akteure im Cyberwar ihren strategischen Vorteil sichern. Dahinter steckt nur eine kurzsichtige Kalkulation: Niemand kann garantieren, dass das Wissen nicht mehrfach verkauft wird und damit auch für einen Gegenangriff genutzt werden könnten.
Jacob Appelbaum kritisierte, dass derzeit mehr Interesse daran besteht, die Sicherheitslücken zu nutzen als daran, die Schwachstellen zu beseitigen. Skrupellose Firmen, wie HackingTeam gefährden mit ihrer oft von mehreren Staaten finanzierten Arbeit weltweit nicht nur Journalisten und Aktivisten. Ein Hack gefährdet auch die staatlichen Auftraggeber – wie im Jahr 2015, als rund 400 Gigabyte interne Daten veröffentlicht wurden. Davor schützen nach Ansicht des Tor-Entwicklers Appelbaum nur verschlüsselte Kommunikation und anonymes Browsen. Alexander Neu, Obmann der Linken im Verteidigungsausschuss, fasste zusammen, dass die Risiken unkalkulierbar sind, die in der Entwicklung der Cyberwar-Fähigkeit stecken.
Freiheiten, Bürgerrechte und Schutz
Die Geheimhaltungsstrategien der Dienste erschweren eine Aussage darüber, wie sehr die Freiheiten der Bürger bereits unter den Cyberwar-Aktivitäten der Staaten leiden. Die Snowden-Veröffentlichungen geben einen Einblick in den Umfang der Überwachung und das Maß an Gefährdung, das derzeit mit der Nutzung von IT-Geräten verbunden ist.
Jacob Appelbaum hob hervor, dass die Geheimdienste durch ihr Handeln viele Gesetze umgehen oder schlichtweg brechen. Er kritisierte auch die Klage gegen Apple: Das Unternehmen sollte gezwungen werden, das iPhone eines Drogendealers zu entsperren. Bei einer Niederlage wäre über den rechtlichen Weg eine Hintertür auf nahezu jedes Smartphone geöffnet worden, statt die notwendige politische Diskussion darüber zu führen, wie weit der Eingriff in die private Kommunikation aller Menschen technisch ermöglicht werden sollte. Staatliche Maßnahmen wie diese gefährden auch das Vertrauen der Nutzer in die Hard- und Softwarehersteller.
Auf die Publikumsfrage, inwieweit sich IT-Nutzer überhaupt schützen können, entgegnete Anna Biselli, dass es zwar keinen hunderprozentigen technischen Schutz geben kann. Es müsse jedoch eben alles versucht werden, um die Risiken zu minimieren. So könne etwa den Handel mit Sicherheitslücken unterbunden werden.
-
: Tracking durch Drittanbieter auf einer Million Webseiten
Geldmaschine: 78 Prozent der Seiten leiten Informationen an Google weiter. (<a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC BY-NC-ND 2.0</a> by keso/<a href="https://www.flickr.com/photos/keso/161608649/in/photolist-fhhC2-aBE2z-magZR-j6Sae-f5Xrf-4rVGpG-9NDoH-Fqqsi-6zbCcg-fi5dK-aBE1H-6zbC2K-eK3CD-a8iD8-5CVntu-5CVnL1-5CR5ui-eP7rU-jauWX-v9zD8-eP7sg-mDLU6-v9zCy-mDNXn-mDLS4-yZ6tq-FqpKo-FqtFP-Cmnhu-mDLRt-FqpLw-6zfFPE-mDM1v-mDMA9-mDLjA-mDM29-mDLHK-mDSiA-mDM8P-mDRn1-mDSxQ-FqrXh-cgNgE-Fqqv4-mDLkg-mDRkt-mDLj2-FqrpR-mDMpS-fLSwM">flickr</a> : Tracking durch Drittanbieter auf einer Million Webseiten Tim Libert hat auf dem 46. Netzpolitischen Abend seine Forschung zu Drittanbieter-Trackern auf einer Million Webseiten vorgestellt. Er hat untersucht, welche Drittanbieter-Dienste über HTTP-Anfragen („Third-Party HTTP Requests“) angefragt werden. Aus diesen Anfragen lassen sich neben der besuchten Adresse auch die IP-Adresse des Nutzers sowie System- und Browserinformationen gewinnen. Mit den Daten können die Drittanbieter die Nutzer analysieren oder sogar eindeutig identifizieren. Die Informationen sind für Werbetreibende, Geheimdienste und Kriminelle von Interesse. All das stelle eine Gefahr für unsere Privatsphäre dar, kritisiert Libert.
Vorgehen und erste Ergebnisse
Für die Analyse hat Libert die Python-Anwendung webXray geschrieben, das auf dem GUI-losen Browser PhantomJS aufbaut. Hiermit lassen sich auch selbst automatisiert Tracker auf Webseiten nachweisen (Anleitung). Libert hat bei der Untersuchung der Top-1-Million-Alexa-Seiten alle Anfragen an Server von Dritten in einer Datenbank gesammelt. Über Whois-Anfragen und „detektivische Arbeit“ hat er auch die Unternehmen hinter diesen Servern abgefragt und in der Datenbank aus über 35 Millionen Anfragen (600 MB, hier) ergänzt (wissenschaftliche Ausarbeitungen hier).
Google sei auf 78 Prozent der Seiten vertreten, Facebook (32 Prozent), Akamai (23 Prozent) und Twitter (18 Prozent) liegen abgeschlagen dahinter. Er sei nun noch auf der Suche nach Interessierten, die seine Ergebnisse visualisieren können und scherzt, dass die Kosten der Untersuchung selbst bisher gering waren:
The companies who are tracking you have a billion dollar to track you – I have 7.50 euro to track them.
Der PhD Candidate an der UPENN und Fellow am Alexander von Humboldt Institut für Internet und Gesellschaft nennt die Google-Cookies, die viele der Top-1-Million-Alexa-Seiten hinterlassen (wollen), auch „Google/NSA Cookies“ und verweist auf die besondere Partnerschaft dahinter. Zudem merkt Libert kritisch an, dass vor allem Nachrichten-Seiten viele Informationen an Dritte herausgeben:
Access to information is surveilled at about five times the normal websites.
Beim Netzpolitischen Abend wünscht sich Libert eine staatliche Regulierung im Bereich Tracking. Technische Lösungen auf Nutzerseite seien nur temporär. Solange da jedoch nichts kommt und solange die Seitenbetreiber die Drittanbieter nicht aussperren, können wir zur Selbsthilfe nur VPN, Adblocker sowie NoScript empfehlen. Auch gibt es Cliqz, einen script-zähmenden Browser aus München.
Drittanbieter bei Gesundheitsthemen und auf chinesischen Webseiten
Libert hat weiterhin herausgefunden, dass 91 Prozent von den untersuchten 80.000 Gesundheitsseiten Informationen an Dritte ausleiten. Unter diesen Informationen sei bei 70 Prozent der Seiten auch die gesuchte Krankheit, die meist im Klartext in der URL enthalten und damit für Dritte sichtbar ist.
Auch sei er an der Frage interessiert, ob sich staatliche Akteure auf den Top-500 Webseiten in China tummeln. Jedoch finden sich nur auf vier Prozent der Seiten Anfragen, die direkt auf die chinesische Regierung zurückgeführt werden können. Allerdings bestehen dort durchaus staatliche Verträge mit Dienstleistern wie dem „Public-Opinion“-Unternehmen „Webterren“, dessen Tracker auf vielen Seiten lauern. Eigentlich sei es wie im Westen: Hauptsächlich leiten auch die chinesischen Webseiten Informationen an kommerzielle Drittanbieter weiter. Darunter sind dort vor allem Unternehmen wie Alibaba, Baidu, Tencent und Google – Analytics ist in China absichtlich nicht blockiert und unverschlüsselt, welch ein Glück. Es könnte durchaus sein, dass sich die chinesische Regierung Zugriff auf deren Datensammlungen verschafft. Ein solches Verfahren erinnert Libert an die NSA/Google Cookies – für weitere Details hoffe er auf einen „Snowden from China“.
Hier ist die Aufzeichnung des Vortrags vom Netzpolitischen Abend – „Web Scale Analysis of Third-Party Tracking with webXray: Techniques and Findings“.
[Update 18:00 Uhr: Wegen Hinweisen auf einen Tracker von doubleclick haben wir den Urheber, das eingebettete YouTube-Video, von unserer Seite entfernt. Doubleclick hat sich wohl auch nicht durch den „privacy-enhanced mode“ von YouTube beirren lassen.]
-
: Der Bundestagshack – Eine Chronologie der Ereignisse
IT im Bundestag. Noch zu retten? Quelle: anonym : Der Bundestagshack – Eine Chronologie der Ereignisse Die Informationen zum Bundestagshack erschienen nur tröpfchenweise in den Medien. Teilweise widersprachen sich Berichte und wurden zu späteren Zeitpunkten wieder revidiert. Mit Hilfe der von uns veröffentlichten Protokolle der IuK-Kommission und weiterer Dokumente haben wir hier die Ereignisse sortiert und chronologisch aufbereitet.
Zum Hauptartikel mit den Originaldokumenten geht es hier entlang.
Für die Detailansicht zu den verschiedenen Datumspunkten einfach auf die Überschriften klicken.
[ctimeline]
[ctentry date=„13. April 2015“ label=„Ein verdächtiger Server“]
Das Bundesamt für Verfassungsschutz sperrt einen verdächtigen Server im IVBB, dem Informationsverbund des Bundes zur Vernetzung der Obersten Bundesbehörden – genau jenen Server, der später auch im Zusammenhang mit dem Cyberangriff auf den Bundestag auffallen wird.
[/ctentry][ctspace][/ctspace]
[ctentry date=„30. April“ label=„Erstinfektion“]
Das BSI schätzt, dass etwa am 30. April der erste Rechner im Bundestag mit der Schadsoftware infiziert wurde[/ctentry][ctspace][/ctspace]
[ctentry date=„5. Mai“ label=„Freie Bahn für die Angreifer“]
Die Angreifer melden sich auf dem Domänencontroller und einer Admin-Workstation an, sie benutzen „mimikatz“, um an Admin-Passwörter zu gelangen. Das Tool ist als Open Source auf GitHub verfügbar.mimikatz is a tool I’ve made to learn C and make somes experiments with Windows security.
Kurz darauf können sich die Angreifer frei im Netz bewegen.
[/ctentry][ctentry date=„6. Mai“ label=„Angreifer erreichen weitere Server“]
„Mit Hilfe extrahierter Passwörter und diverser Remote Desktop Programme“ sind die Angreifer auf andere Server gelangt.
[/ctentry][ctentry date=„7. Mai“ label=„Erste Datenübertragung scheitert“]
Die Angreifer versuchen, erste Daten aus dem Bundestagsnetz zu übertragen. Die Übertragung scheiterte an der Größe der Datei.
[/ctentry][ctentry date=„8. Mai“ label=„Unübliche Verbindungen festgestellt“]
„Im Rahmen der normalen Betriebsüberwachung“ sind unübliche Kommunikationsverbindungen zwischen Bundestagsverwaltung und einem Abgeordnetenbüro festgestellt worden. Die Rechner wurden ausgetauscht. Es habe sich „zunächst um Untersuchungen im Rahmen des Alltäglichen“ gehandelt. Später wurde festgestellt, dass die betroffenen Rechner auch Verbindung zu einem Server einer Fraktion hatten. Auf diesem Server wurde auch ein unüblicher Zugriff eines fraktionseigenen Rechners festgestellt. Es wurden dafür Accounts von Administratoren benutzt, ohne deren Wissen.
[/ctentry][ctspace][/ctspace]
[ctentry date=„12. Mai“ label=„Der Verfassungsschutz meldet sich“]
Das Bundesamt für Verfassungsschutz setzt sich mit der Geheimschutzstelle des Bundestags in Verbindung. Es hat Infos aus dem Ausland bekommen – von Bundestagsrechnern sollen auffällige Mails geschickt worden seien. Die Geheimschutzstelle informiert das Bundestagsreferat für IT-Sicherheit. Erst jetzt wird der Angriff richtig ernst genommen. Zwei Rechner aus dem Bundestag hatten Kontakt zu einem potentiell gefährlichem Server im Ausland. Auch BSI und Cyberabwehrzentrum wurden vom BfV in Kenntnis gesetzt.
[/ctentry][ctspace][/ctspace]
[ctentry date=„15. Mai“ label=„Voruntersuchungen beginnen“]
Mitarbeiter des BSI sprechen mit dem Bundestag über erste Schritte, BSI und Bundestags-IT beginnen mit den Analysen. Alle Rechner im Bundestag werden mit einer Minute Vorwarnzeit heruntergefahren.[/ctentry][ctentry date=„16. Mai“ label=„Analyse gestartet“]
Drei Mitarbeiter des BSI und zwei externe Mitarbeiter der Firma BFK nehmen die Arbeit auf. Laut eigenen Angaben verfügt das BSI über 15 Personen mit der nötigen Kompetenz, diese sind jedoch gleichzeitig mit dem Schutz der Regierungsnetze beschäftigt.Später werden insgesamt zehn Mitarbeiter des BSI, die IT-Sicherheitsfirma BFK und ein „Spezialist der T‑Systems für das Active Directory“ im Einsatz sein.[/ctentry]
[ctentry date=„18. Mai“ label=„Von Analyse zu ‚Übergangsbetrieb‚“]
Das BSI beginnt den Einsatz seines Schadprogramm-Präventionssystems (SPS). Ex-BSI-Präsident Michael Hange in der Sitzung der IuK-Kommission am 11. Juni:Durch Presseveröffentlichungen […] musste am 18. Mai die erste Phase „Analyse“ direkt in die zweite Phase „Übergangsbetrieb“ übergehen, da davon auszugehen war, dass der Angreifer über die Entdeckung des Angriffs in Kenntnis gesetzt worden sei.
[/ctentry]
[ctentry date=„20. Mai“ label=„Verlängerung der Speicherfrist“]
Die Obleute der IuK-Kommission werden über eine Verlängerung der Speicherfrist von Verbindungsdaten im Bundestag von sieben Tagen auf maximal drei Monate informiert.Der letzte festgestellte Datenabfluss findet statt.
[/ctentry][ctentry date=„21. Mai“ label=„6. Sitzung der IuK-Kommission“]
Die IuK-Kommission tagt zum Thema Bundestagshack.Die IP-Adresse, an die Daten abgeflossen sind, wird gesperrt.
[/ctentry][ctspace][/ctspace]
[ctentry date=„27. Mai“ label=„Letzte bekannte Aktion des Angreifers“]
Die letzte erkannte Aktion des Angreifers ist die Installation eines Schadprogramms. In der 7. Sitzung der IuK-Kommission warnt ein BSI-Mitarbeiter, dass der Angriff dennoch nicht vorbei ist, sondern Maßnahmen zur „Erneuerung und Härtung der IT-Systeme“ nötig sind, „da sonst die Kompromittierung des Gesamtsystems weiter bestehen bleibe.“
[/ctentry][ctspace][/ctspace]
[ctentry date=„5. Juni“ label=„Der Verfassungsschutz bietet sich an“]
Der Präsident des BfV, Hans-Georg Maaßen, bietet die Mithilfe seiner Behörde an. Er bittet darum, dass das BfV Informationen vom BSI erhalten darf.
[/ctentry][ctentry date=„10. Juni“ label=„IuK-Kommission wird über Angebot informiert“]
Die Mitglieder der Kommission erhalten einen Aktenvermerk zu einem Gespräch mit BfV-Präsident Hans-Georg Maaßen.
[/ctentry][ctentry date=„11. Juni“ label=„7. Sitzung der IuK-Kommission“]
Der GBA hat dem Bundestag mitgeteilt, dass er prüft, ob er ein Ermittlungsverfahren einleiten wird und schickt dem Bundestag einen Fragenkatalog. Das BSI informiert die Mitglieder der Kommission, …
[…] dass zwischenzeitlich das BSI gemäß seines gesetzlichen Auftrages das BfV über den Angriff auf den Bundestag in einer als geheim eingestuften Unterlage informiert habe.
[/ctentry]
[ctspace][/ctspace]
[ctentry date=„19. Juni“ label=„Unabhängige Analyse veröffentlicht “]
Auf netzpolitik.org veröffentlichen wir eine Analyse von Claudio Guarnieri, der Rechner der Linksfraktion untersuchte und verdächtige Artefakte fand. „Eines ist ein Open-Source-Tool, mit dem man per Fernzugriff von einem Linux-Rechner aus Befehle auf einem Windows-Recher ausführen kann. Das andere ist ein spezielles Tool, das trotz seiner großen Dateigröße nur sehr begrenzte Funktionalitäten hat.“
[/ctentry][ctspace][/ctspace]
[ctentry date=„2. Juli“ label=„8. Sitzung der IuK-Kommission“]
Es findet eine Diskussion über die geplante Neuaufsetzung der Systeme und die Beschaffung eigener Sicherheitssysteme für den Bundestag statt.
[/ctentry][ctspace][/ctspace]
[ctspace][/ctspace]
[ctentry date=„30. Juli“ label=„Bald wird abgeschaltet und neugemacht“]
Bundestagspräsident Norbert Lammert informiert die Abgeordneten, dass die IT-Systeme des Bundestags voraussichtlich am 13. August abgeschaltet werden sollen, mit einer Einschränkung:Sollte sich aufgrund der weiteren Entwicklung im Zusammenhang mit den Verhandlungen über ein drittes Rettungsprogramm für Griechenland abzeichnen, […] werde ich Sie über einen neuen Termin informieren.
[/ctentry]
[ctspace][/ctspace]
[ctspace][/ctspace]
[ctentry date=„20. August“ label=„Systeme heruntergefahren“]
Vorbereitung für die Neuaufsetzung der Systeme: Die PCs im Bundestag werden heruntergefahren, die Nutzerkonten gesperrt und die Domänencontroller isoliert.
[/ctentry][ctentry date=„21. August“ label=„Umplanen“]
Um 23:00 Uhr wird der Ablaufplan für die Neuaufsetzung umgestellt, weitere Hardware wird aufgebaut.[/ctentry][ctentry date=„23. August“ label=„Tests erfolgreich“]
Erste „einfache Funktionstests“ deuten darauf hin, dass die Neuaufsetzung der Systeme erfolgreich war.[/ctentry][ctentry date=„24. August“ label=„Erste Systemerneuerung abgeschlossen“]
Es erfolgen letzte Tests, die Internetverbindung wird wieder zugeschaltet. Um 11:30 Uhr wird durch eine Lautsprecheransage mitgeteilt, dass wieder eine Internetverbindung besteht.[/ctentry][ctspace][/ctspace]
[ctspace][/ctspace]
[ctentry date=„10. September“ label=„9. Sitzung der IuK-Kommission“]
Die Neuaufsetzung der Server war nur der Anfang. Die Kommission wird über weitere Maßnahmen informiert. Zusammen mit T‑Systems wird ein Plan zur Erneuerung und Absicherung der IT entwickelt.In den vergangenen zwei Monaten hätten nicht alle Maßnahmen abschließend durchgeführt werden können. Es seien die Maßnahmen, die eine Betriebsunterbrechung erforderlich machten, umgesetzt worden.
[/ctentry]
[ctspace][/ctspace]
[ctspace][/ctspace]
[ctentry date=„5. November“ label=„10. Sitzung der IuK-Kommission“]
Zu dieser Sitzung liegt noch kein Protokoll vor. Laut Tagesordnung stellt das BSI seinen Abschlussbericht vor.
[/ctentry][ctentry date=„17. Dezember“ label=„11. Sitzung der IuK-Kommission“]
Kein Protokoll vorhanden.
[/ctentry][ctspace][/ctspace]
[ctentry date=„15. Januar 2016“ label=„Generalbundesanwalt ermittelt.“]
Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.
[/ctentry][/ctimeline]
-
: Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren ließ
CC-BY-SA <a href="https://commons.wikimedia.org/wiki/User:J%C3%BCrgenMatern">Jürgen Matern / Wikipedia</a> : Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren ließ Im Sommer 2015 hat der Bundestagshack immer wieder die Medien dominiert. Gesicherte Tatsachen hat die Öffentlichkeit nur wenige erfahren. Im Bundestag selbst sah das nicht viel besser aus, das zeigen Protokolle der IuK-Kommission des Bundestages, die wir hier in Recherche-Kooperation mit dem Linux-Magazin veröffentlichen. Sie zeigen, wie die IT-Abteilung des Bundestags mit dem Angriff überfordert war, wie problematische Entscheidungen zur Einbeziehung Dritter über die Köpfe von Abgeordneten hinweg getroffen wurden und wie Informationen an die IuK-Kommission, zuständig für den „Einsatz neuer Informations- und Kommunikationstechniken und ‑medien“, und den Rest der Abgeordneten und Mitarbeiter nur unzureichend kommuniziert wurden.
Was im letzten Sommer geschah
Am 15. Mai berichtete zuerst der Spiegel darüber, dass der Deutsche Bundestag Opfer eines Hackingangriffs geworden ist. Zu diesem Zeitpunkt lief die Attacke bereits über zwei Wochen. Wir konnten mittels geleakter Protokolle aus der IuK-Kommission und weiterer Dokumente – alle unten im Volltext – die Ereignisse und Erkenntnisse, über die bereits berichtet wurde, ergänzen und sortieren und haben sie für einen schnellen Überblick zusätzlich in einer Zeitleiste dargestellt.
Am 30. April, so schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat der Angriff auf den Bundestag begonnen, doch schon zuvor war einer der Server aufgefallen, an den später Daten aus dem Parlamentsnetz abflossen. Am 13. April sei die Adresse eines „vom Bundesamt für Verfassungsschutz (BfV) als verdächtig angesehenen Servers im IVBB gesperrt worden“. Der IVBB – der „Informationsverbund Berlin-Bonn“ – ist der Kommunikationsverbund für die obersten Bundesbehörden, darunter Bundesministerien und Kanzleramt. Der Bundestag betreibt seine eigene Infrastruktur und wurde bei Sperrung des Servers im IVBB nicht gewarnt.
Über mögliche Einfallstore berichtet Dirk Häger vom BSI in der Sitzung der IuK-Kommission vom 11. Juni…
[…] dass keine Kenntnisse zum Ersteinstieg in das Netz des Bundestages vorlägen. Als mögliche Ausgangspunkte werden jedoch entweder eine E‑Mail mit einem Link auf ein Schadprogramm oder der Aufruf einer entsprechend manipulierten Webseite vermutet.
Zu diesem Zeitpunkt war bereits klar, dass die Angreifer über einen Abgeordnetenrechner in das Netz eingebrochen waren. Mit dem Open-Source-Tool mimikatz haben sie sich am 5. Mai Zugang zu Passwörtern verschafft, auch von Admins. Am 6. Mai waren sie in der Lage, auf andere Server zuzugreifen, am 7. Mai haben sie zum ersten Mal versucht, eine Datei zu übertragen. Das ist zunächst gescheitert – die Datei war zu groß.
Ein Mitarbeiter des BSI drückt das am 2. Juli beunruhigend aus:
Nach dem darauf folgenden Wochenende [des geschätzten Erstangriffs] seien die Täter bereits in der Lage gewesen, sich frei im Netz zu bewegen. Insgesamt sei es den Angreifern gelungen, 5 der 6 Accounts der Domänenadministratoren der Bundestagsverwaltung zu kompromittieren und zu nutzen.
Erste Hinweise nicht ernstgenommen
Die ersten Hinweise, dass etwas im Bundestag nicht stimmt, kamen am 8. Mai auf. Bundestagsmitarbeiter hatten bei der Bundestags-IT Vermutungen eines Trojanerbefalls geäußert, doch man nahm die Sache nicht so richtig ernst. Es habe sich „zunächst um Untersuchungen im Rahmen des Alltäglichen“ gehandelt.
Erst als der Verfassungsschutz sich am 12. Mai meldete, begann man zu begreifen, dass man es nicht mit einem der tagtäglich stattfindenden Standardangriffe zu tun hat. Das BfV meldete sich bei der Geheimschutzstelle des Bundestags, nach eigenen Angaben habe man Informationen aus dem Ausland zu auffälligen Datenverkehren aus dem Bundestag bekommen. Die Geheimschutzstelle informierte daraufhin das Bundestagsreferat für IT-Sicherheit. Auch das BSI und das Cyberabwehrzentrum wurden vom BfV in Kenntnis gesetzt.
Woher die Informationen aus dem Ausland stammten, verriet das BfV nicht. In einer Sitzung des Verteidigungsausschusses am 22. Februar erwähnte Thomas Rid vom King’s College London überraschenderweise fast nebenbei, dass ein britisches Unternehmen das BfV informiert habe. Ein Kunde des Unternehmens habe sich über die deutschen Daten auf den eigenen Servern gewundert.
Ab dem 15. Mai begann man mit dem Versuch, das Problem zu lösen. Neben Analysetätigkeiten begann man, „möglichst viele“ Internetzugriffe aus dem Bundestag über den IVBB zu leiten. Da dessen Bandbreite von 1 Gb/s nicht ausreichte, betraf das an Werktagen nur einen Teil, an Wochenenden aber den gesamten http- und https-Verkehr.
Die Problembehebung fand ihren Höhepunkt in der viertägigen Netzabschaltung und Server-Erneuerung während der Sommerpause 2015. Doch die Bundestags-IT war zu schwach, um den Angriff allein abzuwehren. BSI, BfV und externe Unternehmen wurden zu Hilfe geholt.
Besonderheiten der Gewaltenteilung
Dass in die Untersuchung des Bundestagshacks BSI, BfV und externe Firmen einbezogen wurden, war in der gegebenen Situation unvermeidlich, ist jedoch nicht unproblematisch. Denn der Bundestag betreibt aufgrund der Gewaltenteilung eine eigene Infrastruktur.
In der 7. Sitzung der IuK-Kommission weist Konstantin von Notz, stellvertretendes Mitglied der Grünen in der IuK-Kommission, darauf hin:
Durch die Rechtstellung des Deutschen Bundestages sei die Einbindung von Behörden der Exekutive – auch zur Abwehr von Cyberangriffen – juristisch grundsätzlich kein triviales Unterfangen. Dies habe nichts mit den als ehrenwert anerkannten guten Fachleuten zu tun. Hier gehe es um die verfassungsmäßig bewusst gewollte Gewaltenteilung. Er weist darauf hin, dass der Bundestag eine eigene Polizei habe, nicht weil der Berliner Polizei misstraut werde sondern als Zeichen seiner besonderen Rechtsstellung.
Abgeordnete der Linksfraktion lehnten besonders eine Beteiligung des Verfassungsschutzes ab. Petra Sitte, Parlamentarische Geschäftsführerin der Linken, sprach sich gegen eine Beteiligung des BfV aus. Sie forderte im Juni 2015 in der FAZ, dass „der Bundestag Herr des Verfahrens zur Aufklärung bleibt“ und das Parlament umfassend darüber informiert wird, „wer wann und wie an der Aufklärung beteiligt ist“.
Da viele Mitglieder der Linken in der Vergangenheit vom Verfassungsschutz beobachtet wurden, ist die Skepsis, den Verfassungsschutz an die eigenen Rechner zu lassen, verständlich. Doch gegen eine Beratung – im Gegensatz zu eigenen Ermittlungen – durch das BfV sprach man sich nie aus.
Vor vollendete Tatsachen gestellt
Viele Missverständnisse diesbezüglich hätten vermieden werden können, wenn die Bundestagsmitglieder besser informiert worden wären. Stattdessen wurde man oft vor vollendete Tatsachen gestellt. So erhielten am 10. Juni die Mitglieder der IuK-Kommission einen Aktenvermerk.
Dieser gehe auf ein Angebot von Herrn Dr. Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV), zurück, den Deutschen Bundestag bei Maßnahmen zur Abwehr des Angriffs auf das IT-System des Deutschen Bundestages zu unterstützen sowie im Rahmen der Zuständigkeit seiner Behörde entsprechende eigene Aktivitäten zu entfalten.
Aus dem Aktenvermerk von einer Besprechung am 5. Juni zwischen Vertretern der Bundestagsverwaltung und dem BfV geht hervor, dass das BfV den Bundestag um Zustimmung bittet, „dass Erkenntnisse […] vom BSI dem BfV zur Verfügung gestellt werden dürfen, um in die Analyse Informationen einfließen zu lassen, die dem BSI aufgrund seiner technischen Ausrichtung nicht zur Verfügung stünden“. Dabei versichert das BfV gleich mit, …
[…] dass es generell keine Werkzeuge nutzt, die im inneren Netz der betroffenen Institution eingesetzt werden können oder sollen. D. h. das BfV will und wird keinen Zugriff auf Rechner des Parlakom-Netzes im Deutschen Bundestag sowie den Netzen der Fraktionen erhalten.
Die Mitglieder der IuK-Kommission bekamen jedoch nicht die Möglichkeit, darüber zu beraten. In der Sitzung am 11. Juni war bereits alles geregelt, das BSI hat das BfV über den Angriff informiert – „in einer als geheim eingestuften Unterlage“.
Die Bundesdatenschutzbeauftragte war nicht einbezogen als es darum ging, dass Dritte beteiligt werden, denn auch sie ist „aufgrund des verfassungsrechtlichen Gewaltenteilungsgrundsatzes“ nicht mit der Kontrolle des Bundestages betraut. Gegenüber netzpolitik.org äußerte sich ihre Behörde dennoch:
Ganz grundsätzlich gilt, dass die Einbeziehung von Dritten in die Analyse des Bundestags-Hacks aus datenschutzrechtlicher Sicht nicht ausgeschlossen ist. Es ist allerdings erforderlich, eine mögliche Kenntnisnahme oder Weiterleitung von personenbezogenen Daten datenschutzkonform auszugestalten. Hierzu können beispielsweise Vereinbarungen zur Auftragsdatendatenverarbeitung und Übereinkünfte zur Vertraulichkeit von Analysen und deren Ergebnissen geschlossen werden.
Unseren Informationen zufolge bekamen Abgeordnete auf Nachfragen nach den genauen Umständen, rechtlichen Grundlagen und Implikationen einer Einbeziehung von BSI, BfV und Dritten nur unbefriedigende Antworten.
Auf fremde Hilfe angewiesen
Es ist sehr deutlich, dass der Bundestag nicht im Stande war, den Angriff ohne fremde Hilfe abzuwehren. Aber auch das BSI schaffte es nicht ohne Unterstützung. Etwa 15 Mitarbeiter mit der entsprechenden Kompetenz seien im BSI beschäftigt, teilte BSI-Präsident Michael Hange den Mitgliedern der IuK-Kommission mit, doch nicht alle konnten mit dem Bundestagsangriff befasst werden, denn der Schutz der Regierungsnetze durfte nicht komplett vernachlässigt werden.
Zu Beginn der Voranalysen am 16. Mai waren drei Mitarbeiter des BSI und zwei Mitarbeiter der IT-Sicherheitsfirma BFK aus Karlsruhe im Einsatz. Später wuchs die Zahl der ingesamt eingesetzten BSI-Mitarbeiter auf zehn und man bezog einen „Spezialist der T‑Systems für das Active Directory“ hinzu.
Der Geschäftsführer von BFK sah den Angriff als nicht besonders schwerwiegend an, zumindest kommentierte er im Juni 2015, es sei „kein allzu großer Fall. Die Aufregung ist nur so groß, weil es um den Bundestag geht. Aber in der Industrie gibt es viel größere Fälle.“
Bedenkliche (Des)Informationspolitik
Abgesehen von der Beteiligung von BfV und Co. wurden auch in weiteren Aspekten Informationen nur unzureichend weitergegeben. In den Sitzungen der IuK-Kommission drücken Abgeordnete immer wieder ihren Unmut darüber aus. Am 15. Mai, als die Analysearbeiten starteten, wurden alle Rechner im Bundestag mit der Vorwarnzeit von einer Minute heruntergefahren. Der CSU-Abgeordnete Reinhard Brandl drückte sich in einer Sitzung hochgradig diplomatisch aus:
Er bemängelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen Fällen, etwa von 5 Minuten, sei wünschenswert.
Lars Klingbeil von der SPD äußerte in der gleichen Sitzung, er habe „im Kollegenkreis ein gewisses Maß an Verunsicherung registriert“. Eine Frage, die die Abgeordneten besonders interessierte, ist die nach dem Ziel der Angreifer. Sind Daten aus dem NSA-Untersuchungsausschuss abgeflossen, sind nur bestimmte Abgeordnete betroffen, wie viele Daten wurden ausgeleitet? Am Anfang war die Rede davon, dass gezielt nach Outlook-Maildateien und Office-Dokumenten gesucht wurde. Im Abschlussbericht des BSI wurden auch Keylogger und Programme zum Erstellen von Screenshots erwähnt. Insgesamt seien etwa 16 GB an Daten abgeflossen.
Presse „weiß“ mehr als Abgeordnete
Viele weisen darauf hin, dass sie ihre Informationen primär aus der Presse beziehen mussten. Für die IuK-Kommission, das federführend mit dem Vorfall befasste Gremium, ist das hochproblematisch. Und so richtete sich der Unmut nicht allein gegen die mangelnde Eigeninformation, sondern auch gegen die besser informierte Presse. Steffi Lemke richtete in der Sitzung am 21. Mai die Frage an Ex-BSI-Präsident Michael Hange inwieweit er „das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe“. Hange dementierte die Vorwürfe, das BSI informiere die Öffentlichkeit nicht von sich aus:
Die Pressemeldungen stimmten zudem in Teilen nicht. So träfen beispielsweise die Nachrichten, dass es sich um einen DDoS-Angriff handele, nicht zu. Er führt ergänzend aus, dass mit Informationen zu Cyberangriffen auf Firmen und Behörden auch deshalb vertraulich umgegangen werde, damit diese nicht durch Presseveröffentlichungen zusätzliche Schäden erleiden würden und zusätzlich der Angreifer gewarnt werde.
In seinem Abschlussbericht kritisierte das BSI nochmals die Informationsweitergabe an die Presse, der Angreifer sei frühzeitig gewarnt worden und habe die Möglichkeit gehabt, seine Aktivitäten zu verschleiern.
Die um sich greifende Desinformation hätte verhindert werden können, findet Petra Sitte, stellvertretendes Mitglied der Linken in der IuK-Kommission:
Der Bundestag hat vergangenen Sommer zwar auf der technischen Ebene Fehler- und Ursachenanalyse betrieben, es aber versäumt, frühzeitig, schnell und transparent über die eigenen Erkenntnisse rund um den Angriff zu informieren. Dadurch erst war es möglich, dass entsprechende Gerüchte, Teilinformationen und Halbwahrheiten entstehen konnten, die die Geschehnisse mehr verschleierten als aufklärten. Die LINKE hat versucht, mit der Veröffentlichung der Analyse der Angriffe auf ihre eigenen Systeme (u.a. auf netzpolitik.org), hier für mehr Klarheit zu sorgen.
Wer war’s denn jetzt?
Seit Bekanntwerden des Angriffs zirkulierten Gerüchte über die Urheberschaft des Angriffs. Die Vermutungen konzentrierten sich auf Russland, wie auch der Spiegel Anfang Juni bekanntgab. Doch in den Protokollen der IuK-Kommission und dem Abschlussbericht des BSI sucht man vergeblich nach Hinweisen auf die Identität der Angreifer. Nur an einer Stelle taucht ein Anhaltspunkt auf. Ex-BSI-Präsident Michael Hange erklärte der IuK-Kommission am 2. Juli:
Das Muster des Angriffes und der Ausleitung von Daten entspräche dem bereits von anderen Stellen bekannten APT 28.
Das fand auch Claudio Guarnieri heraus, der unabhängig Rechner der Linksfraktion untersuchte und auf netzpolitik.org seinen investigativen Bericht veröffentlichte:
Die Zuordnung von Malware-Angriffen ist niemals leicht, aber im Laufe der Untersuchung habe ich Hinweise darauf gefunden, dass der Angreifer mit einer staatlich unterstützen Gruppe namens Sofacy Group zusammenhängt – auch bekannt als APT 28 oder Operation Pawn Storm.
Frühere Untersuchungen haben die Gruppe mit Russland in Verbindung gebracht. Einen gesicherten Beweis stellt das nicht dar. Dennoch hält sich die Zurechnung zu Russland hartnäckig. Mittlerweile geht man stark davon aus, dass die Angreifer einen Geheimdienst-Hintergrund haben. Daher hat im Januar 2016 – acht Monate nach Bekanntwerden des Angriffs – der Generalbundesanwalt Ermittlungen aufgenommen. Gegenüber netzpolitik.org bestätigte die Behörde:
Nach der grundgesetzlichen Kompetenzverteilung zwischen Bund und Ländern ist die Strafverfolgung grundsätzlich Sache der Länder. Nur in ganz besonderen Ausnahmefällen ist der Bundesanwaltschaft als Bundesbehörde die Strafverfolgung auf dem Gebiet des Staatsschutzes nach Maßgabe von Art. 96 Abs. 5 GG und § 120 GVG vorbehalten. […] Daher galt es zunächst zu prüfen, ob Anhaltspunkte für einen nachrichtendienstlichen Hintergrund des elektronischen Angriffs und mithin eine Straftat in der Zuständigkeit der Bundesanwaltschaft vorliegen. Die Bundesanwaltschaft hat deshalb nach Bekanntwerden des elektronischen Spähangriffs auf das IT-Netz des Deutschen Bundestags zunächst Vorermittlungen aufgenommen. Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.
Wie geht es weiter?
Trotz den im Laufe des letzten Jahres ergriffenen Maßnahmen ist die Absicherung der Bundestags-IT noch lange nicht abgeschlossen und wird wohl noch einige Monate andauern. Helge Winterstein, Leiter der Unterabteilung IT im Bundestag, gab in der 9. Sitzung am 10. September der IuK-Kommission bekannt, dass „noch nicht alle kurzfristigen Maßnahmen umgesetzt worden“ seien, außerdem werde es „leider nicht möglich sein, alle langfristigen Maßnahmen bereits in 2016 abzuschließen“. Für das Jahr 2016 habe man fünf zusätzliche Dienstposten und Mittel beantragt, um in Zukunft besser gewappnet zu sein. Aber, wie auch in den IuK-Sitzungen mehrfach betont: Absolute Sicherheit gegen Angriffe kann es nicht geben. Daher ist es wichtig, sie frühzeitig zu erkennen und genügend Kapazitäten vorzuhalten, sie abzuwehren.
Neben organisatorischen und personellen Maßnahmen ist gleichermaßen wichtig, dass auch die Abgeordneten ihr Verhalten anpassen und ein Bewusstsein dafür entwickeln, sich sicherer im Internet zu bewegen. Die IuK-Kommission hat dafür Maßnahmen beschlossen, die auch verdeutlichen, wie lax die IT-Sicherheit bisher gehandhabt wurde. „Sukzessive“ sollen die Passwörter für die Festplattenverschlüsselung auf Wahlkreisgeräten und Laptops auf mindestens acht Zeichen erhöht werden. Eine Empfehlung, die eigentlich bereits seit Jahren vom BSI gegeben wird. Auch, dass systematisch eine sichere Einbindung von Drittgeräten wie Smartphones und Tablets erfolgen soll, wirkt längst überfällig.
Konstantin von Notz ist, auch vor dem Hintergrund der Informationspolitik gegenüber Abgeordneten, skeptisch, ob alles Nötige unternommen wurde und wird. Er fordert, den Schutz der IT-Infrastruktur endlich ernst zu nehmen. In einem Statement gegenüber netzpolitik.org mahnte er an:
Der ganze Vorgang hat noch einmal verdeutlicht, wie schlecht es um den Schutz unserer IT-Infrastrukturen heute bestellt ist. Die Information der Abgeordneten war lange Zeit vollkommen unzureichend. […] Insgesamt wurde deutlich, dass das Verfassungsorgan Bundestag mit der Abwehr des Angriffs maßlos überfordert war und man auf Hilfe Dritter zurückgreifen musste. Diese Erkenntnis muss Folgen haben: Die IT des Bundestages muss grundlegend neu aufgestellt werden. Der Bundestag muss in die Lage versetzt werden, Angriffe eigenständig abzuwehren. […] Gleichzeitig müssen die Bemühungen zum Schutz unserer digitaler Infrastrukturen, nicht nur die des Bundestages, insgesamt dringend intensiviert werden. Auch die Bundesregierung muss endlich erkennen, wie wichtig der Schutz digitaler Infrastrukturen heute ist. Dass von ihr vorgelegte IT-Sicherheitsgesetz geht an den tatsächlichen Problemen völlig vorbei. Hier bedarf es sehr viel mehr Anstrengungen.
Fazit
Ob man durch den Bundestagshack gelernt hat, muss die Zukunft zeigen. Von außen wirkt es, als sei man in den Normalmodus zurückgekehrt, als wäre nichts geschehen. Obwohl – nicht ganz. Da das Bundestagsnetz immer noch zu Teilen über den IVBB geleitet wird, das mit 100.000 gesperrten Seiten etwa 20 Mal mehr Inhalte sperrt als das Bundestagsnetz es tat, stoßen Abgeordnete und Mitarbeiter immer wieder auf gesperrte Webseiten. Nicht alle davon sind gefährlich, auch die Seite der schwedischen, sozialistischen Tageszeitung Flamman ist nicht zugänglich. Will man dennoch darauf zugreifen, muss man zum Telefon greifen und die IT-Hotline informieren.
Wir werden den Vorgang weiter begleiten und sind gespannt auf die Ermittlungsergebnisse des Generalbundesanwalts. Über sonstige sachdienliche Hinweise durch die üblichen Kanäle freuen wir uns, genau wie über Spendenunterstützung, die uns so aufwändige Recherchen erst ermöglicht.
Statements
Hier noch einmal alle Statements, die wir bekommen haben, im Volltext. Auf viele Statements von Mitgliedern der IuK-Kommission warten wir aufgrund von Dienstreisen, Wahlkampf und Co. noch. Wir werden sie nachtragen, sobald sie uns vorliegen. Ein Statement der SPD wurde uns heute noch versprochen.
Bernhard Kaster, Obmann der Union in der IuK-Kommission sieht „keinen Antwortbedarf“, da „zu den von Ihnen aufgeworfenen Fragen insbesondere im vergangenen Sommer von den Fraktionen bereits hinreichend Stellung bezogen wurde.“
Petra Sitte, Parlamentarische Geschäftsführerin der Linken im Bundestag und stellvertretendes Mitglied in der IuK-Kommission
Der Bundestag hat vergangenen Sommer zwar auf der technischen Ebene Fehler- und Ursachenanalyse betrieben, es aber versäumt, frühzeitig, schnell und transparent über die eigenen Erkenntnisse rund um den Angriff zu informieren. Dadurch erst war es möglich, dass entsprechende Gerüchte, Teilinformationen und Halbwahrheiten entstehen konnten, die die Geschehnisse mehr verschleierten als aufklärten. Die LINKE hat versucht, mit der Veröffentlichung der Analyse der Angriffe auf ihre eigenen Systeme (u.a. auf netzpolitik.org), hier für mehr Klarheit zu sorgen.
Konstantin von Notz, netzpolitischer Sprecher der Grünen im Bundestag und stellvertretendes Mitglied der Grünen in der IuK-Kommission
Der ganze Vorgang hat noch einmal verdeutlicht, wie schlecht es um den Schutz unserer IT-Infrastrukturen heute bestellt ist. Die Information der Abgeordneten war lange Zeit vollkommen unzureichend. Gleiches gilt für die Kommunikation gegenüber den zuständigen Gremien des Bundestages. Bezüglich der Dimension des Angriffs auf den Bundestag und dessen Abwehr bestehen daher weiterhin erhebliche, auch verfassungsrechtlich tiefgehende Fragen, die bis heute nicht befriedigend beantwortet wurden. Insgesamt wurde deutlich, dass das Verfassungsorgan Bundestag mit der Abwehr des Angriffs maßlos überfordert war und man auf Hilfe Dritter zurückgreifen musste. Diese Erkenntnis muss Folgen haben: Die IT des Bundestages muss grundlegend neu aufgestellt werden. Der Bundestag muss in die Lage versetzt werden, Angriffe eigenständig abzuwehren. Eine Entkopplung von anderen Netzen ist dringend geboten. Genauso muss sich sehr viel intensiver mit der Frage beschäftigt werden, welcher weiterer Maßnahmen es bedarf, um zu verhindern, dass zukünftig ähnliche Angriffe erneut Erfolg haben. Hierzu gehört auch die Frage, ob es sicherheitstechnisch nicht kontraproduktiv war, allein auf proprietäre Anbieter zu wechseln. Auch wird in Zukunft nicht mehr jede Annehmlichkeit für Abgeordnete bewilligt werden können. Die IT-Sicherheit des Parlaments muss insgesamt eine sehr viel höhere Bedeutung beigemessen werden als dies bislang der Fall war. Hier würde man sich eine gänzlich andere Sensibilität wünschen. Diese hat man in den letzten Monaten leider vermisst. Gleichzeitig müssen die Bemühungen zum Schutz unserer digitaler Infrastrukturen, nicht nur die des Bundestages, insgesamt dringend intensiviert werden. Auch die Bundesregierung muss endlich erkennen, wie wichtig der Schutz digitaler Infrastrukturen heute ist. Dass von ihr vorgelegte IT-Sicherheitsgesetz geht an den tatsächlichen Problemen völlig vorbei. Hier bedarf es sehr viel mehr Anstrengungen.
Saskia Esken, Stellvertretende Sprecherin der AG Digitale Agenda der SPD-Bundestagsfraktion
Zunächst musste es darum gehen, den Angriff abzuwehren und die volle Funktionsfähigkeit der Bundestags-IT wieder herzustellen. Die Mitglieder des Bundestags waren über die IuK-Kommission in den Diskussionsprozess einbezogen. Dabei war die Kommunikation zwischen Verwaltung und Parlament insbesondere nach der Entdeckung des Angriffs nicht immer optimal.
Im Nachgang des Cyber-Angriffes auf den Deutschen Bundestag muss nun eine systematische Gefährdungsanalyse der IT des Deutschen Bundestages erfolgen und es müssen entsprechende Schutzkonzepte entwickelt werden, die ich die mobilen Geräte mit in den Blick nehmen. Gerade die IT des Bundestages muss in ihrer Sicherheitsarchitektur dem Stand der Technik entsprechen, damit die Abgeordneten sich in ihrer Arbeit und ihrer Kommunikation auf die Wahrung von Vertraulichkeit und Unabhängigkeit verlassen können. Dabei ist es selbstverständlich, dass Entscheidungen in den entsprechenden parlamentarischen Gremien getroffen werden müssen.
Generalbundesanwalt
Nach der grundgesetzlichen Kompetenzverteilung zwischen Bund und Ländern ist die Strafverfolgung grundsätzlich Sache der Länder. Nur in ganz besonderen Ausnahmefällen ist der Bundesanwaltschaft als Bundesbehörde die Strafverfolgung auf dem Gebiet des Staatsschutzes nach Maßgabe von Art. 96 Abs. 5 GG und § 120 GVG vorbehalten. Danach besteht eine unmittelbare Verfolgungskompetenz der Bundesanwaltschaft nur für die in § 120 Abs. 1 GVG abschließend aufgezählten Straftaten. Hierzu zählt auch der Tatbestand der geheimdienstlichen Agententätigkeit (§ 99 StGB). Daher galt es zunächst zu prüfen, ob Anhaltspunkte für einen nachrichtendienstlichen Hintergrund des elektronischen Angriffs und mithin eine Straftat in der Zuständigkeit der Bundesanwaltschaft vorliegen. Die Bundesanwaltschaft hat deshalb nach Bekanntwerden des elektronischen Spähangriffs auf das IT-Netz des Deutschen Bundestags zunächst Vorermittlungen aufgenommen. Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Die BfDI ist grundsätzlich nur für die datenschutzrechtliche Beratung und Kontrolle der Bundestagsverwaltung zuständig. Der parlamentarische Bereich des Bundestages untersteht aufgrund des verfassungsrechtlichen Gewaltenteilungsgrundsatzes nicht der datenschutzrechtlichen Kontrolle und Bewertung der BfDI.
Ganz grundsätzlich gilt, dass die Einbeziehung von Dritten in die Analyse des Bundestags-Hacks aus datenschutzrechtlicher Sicht nicht ausgeschlossen ist. Es ist allerdings erforderlich, eine mögliche Kenntnisnahme oder Weiterleitung von personenbezogenen Daten datenschutzkonform auszugestalten. Hierzu können beispielsweise Vereinbarungen zur Auftragsdatendatenverarbeitung und Übereinkünfte zur Vertraulichkeit von Analysen und deren Ergebnissen geschlossen werden.
Dokumente im Volltext
- Kurzprotokoll der 6. Sitzung der IuK-Kommission
- Aktenvermerk – IT-Vorfall im Deutschen Bundestag
- Kurzprotokoll der 7. Sitzung der IuK-Kommission
- Kurzprotokoll der 8. Sitzung der IuK-Kommission
- Kurzprotokoll der 9. Sitzung der IuK-Kommission
- Prüfung der Umsetzung weiterer Maßnahmen zur IT-Sicherheit Vorlage für die IuK-Kommission
- Zeitnahe Maßnahmen zur Verbesserung der IT-Sicherheit – Vorlage für die IuK-Kommission
- Informationen zum Cyberangriff auf den Bundestag – hier: Abschlussbericht BSI
- Tagesordnung der 10. Sitzung der IuK-Kommission
Kurzprotokoll der 6. Sitzung der IuK-Kommission
Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien
Berlin, den 21. Mai 2015, 8:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)Vorsitz: VPn Petra Pau, MdB
Tagesordnung
- Tagesordnungspunkt 1: Bericht des BSI-Präsidenten, Herrn Hange, zum Angriff auf die IT des Deutschen Bundestages
- Tagesordnungspunkt 2: Verschiedenes
Die Vorsitzende begrüßt die Teilnehmer zur außerordentlichen Beratung der IuK-Kommission. Aus persönlichen Gründen sei es nicht möglich gewesen, vor der heutigen Beratung eine Besprechung der Obleute einzuberufen. Die Vorsitzende führt kurz in den Sachverhalt des Angriffes auf die Informationstechnik des Deutschen Bundestages ein und übergibt zur Darstellung der Sicht der Bundestagsverwaltung Herrn Möhlmann (RL IT 5) das Wort.
Tagesordnungspunkt 1
Bericht des BSI-Präsidenten, Herrn Hange, zum Angriff auf die IT des Deutschen Bundestages
Herr Möhlmann (RL IT 5) erläutert, dass am 8.5.2015 im Rahmen der normalen Betriebsüberwachung festgestellt worden sei, dass zwischen Serversystemen nicht übliche Kommunikation stattgefunden habe. Konkret sei ein Server der Bundestagsverwaltung in einem Festplattenbereich mit einer ungewöhnlichen Menge an Daten überlastet worden. In einer darauf folgenden Analyse der Kommunikationsbeziehungen sei festgestellt worden, dass zu diesem Server nicht vorgesehene Verbindungen von einem Abgeordnetenbüro bestanden haben. Herr Möhlmann (RL IT 5) weist darauf hin, dass es sich zunächst um Untersuchungen im Rahmen des Alltäglichen gehandelt habe, da im Haus häufiger Trojaner und Viren gefunden und dann nach festgelegten Regeln beseitigt würden. Daher seien kurzfristig die betroffenen Rechner ausgetauscht und durch neue Rechner ersetzt worden. In der weiteren Analyse sei ermittelt worden, dass von den Rechnern des Abgeordnetenbüros zusätzlich eine Verbindung zu einem Server einer Fraktion bestanden habe. Herr Möhlmann (RL IT 5) führt aus, dass in Zusammenarbeit mit der betroffenen Fraktion weiter festgestellt worden sei, dass auf diesen Server auch von einem Rechner eines Abgeordnetenbüros der eigenen Fraktion ein Zugriff in unüblicher Form stattgefunden habe. Im weiteren Verlauf der Überprüfung sei dann festgestellt worden, dass Accounts von Administratoren – ohne Wissen der Accountinhaber – genutzt worden seien.
Herr Möhlmann (RL IT 5) teilt mit, dass sich am 12.5.2015 das Bundesamt für Verfassungsschutz (BfV) mit der Geheimschutzstelle (ZR 4) der Bundestagsverwaltung in Verbindung gesetzt habe. Das Referat ZR 4 habe daraufhin das Referat für IT-Sicherheit (IT 5) kontaktiert. In einem anschließenden Telefonat sei durch einen Mitarbeiter des BfV mitgeteilt worden, dass zwei Rechner aus dem Bundestag Kontakt zu – als potentiell gefährlich geltenden – Serversystemen im Internet gehabt haben und das BSI darüber in Kenntms gesetzt worden sei. Es sei weiterhin durch die BTV festgestellt worden, dass diese gemeldeten Rechner identisch gewesen seien mit zuvor im Haus auffällig gewordenen PCs. Ob der Dimension des vermuteten Angriffes sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) um Hilfe ersucht worden. Am 15.5.2015 seien zusammen mit dem BSI umfangreiche Analysetätigkeiten begonnen worden. Die Vorsitzende übergibt Herrn Hange (BSI) das Wort.
Herr Hange (BSI) bemerkt, dass aus technischer Sicht Cyberangriffe aktuell keine Besonderheit seien, sich jedoch stark in der Qualität unterschieden.
Er berichtet von ca. 3000 Angriffen auf das Regierungsnetz, von denen ca. 5 bis 10 von einer zum beobachteten Angriff vergleichbaren Qualität seien. Aus Erfahrung des BSI seien auch sehr viele Firmen von regelmäßigen Angriffen in vergleichbarem Ausmaß betroffen. Die Auswertungen haben bislang ergeben, dass es dem Angreifer gelungen sei, Administrationsrechte für die gesamte Infrastruktur zu erhalten. Daher sei von einer breiten Kompromittierung der Netzinfrastruktur mit höchstmöglichen Rechten auszugehen. Hinweisen auf die gezielte Verwendung eines hoch-qualifizierten Anwendungsprogramms werde aktuell noch nachgegangen. Man befände sich im Moment in der ersten Phase der technischen Analyse. Nach Beurteilung der Lage hätten ab Samstag, dem 16.05.2015 insgesamt drei Mitarbeiter des BSI und zwei Mitarbeiter einer externen Firma, mit der das BSI seit Längerem zusammenarbeite, die Analysetätigkeit aufgenommen. Gerade die erste Phase einer Ermittlung sei wichtig, da der Täter meist noch nicht erahne, dass man ihm auf der Spur sei. Ziel dieser Phase sei es, möglichst viele Nachweise zu finden, um das Angriffsmuster zu erkennen. Durch die Besonderheit der Netzinfrastruktur des Bundestages sei eine enge Zusammenarbeit mit den IT-Experten der Verwaltung unabdingbar. Herr Hange (BSI) weist auf fehlerhafte Pressemeldungen hin, nach denen es sich um einen DDoS-Angriff handeln solle. Auch gäbe es keinerlei konkrete Hinweise darauf, dass Daten des NSA-Untersuchungsausschusses abgeflossen seien. Er betont jedoch, dass man dieses zurzeit aber auch nicht ausschließen könne. Durch die Tatsache, dass man am Internet teilhabe, seien Informationsflüsse nach außen nicht grundsätzlich auszuschließen. Zu beobachten sei bislang ein unterbundener Versuch eines Informationsabflusses.
In Zusammenarbeit mit der IT des Bundestages seien nun folgende Maßnahmen ergriffen worden: Zunächst würden möglichst viele Internetzugriffe über den IVBB geleitet, in dem ein Mechanismus greife, welcher ca. 100.000 Server und Netze als potentiell gefährlich kenne und den Zugriff darauf blocke. Die eingangs genannten Zielserver seien in diesem Filter bereits bekannt gewesen. Somit könne in einem ersten Schritt verhindert werden, dass dorthin weitere Daten abflössen. Der Zugriff auf die als kritisch bekannten Seiten werde hierbei blockiert.
Herr Hange (BSI) berichtet, dass im weiteren Schritt Logdaten analysiert und die Protokollierungsdauer in Abstimmung mit dem Bundestag erweitert worden sei. Ein Problem für die Analyse sei es, wenn der Ursprung eines Angriffes aufgrund fehlender Protokolldaten nicht nachvollzogen werden könne. Beispielsweise sei der erste Einbruch auf die französische Senderkette TV5Monde zwei Monate vor Entdeckung des Angriffes erfolgt. Dieses könne nur über eine umfangreiche Protokollierung nachvollzogen werden. Im Einsatz seien vonseiten des BSI nun auch Experten, welche auch den IVBB schützten. Diese Forensiker setzten nun aus beobachteten Phänomenen ein Bild zusammen, um Ursachen und weitere Maßnahmen zu ermitteln. Auch seien bereits Endsysteme neu aufgesetzt worden, die als befallen identifiziert werden konnten.
Der Nachweis und die Analyse seien durch die Beschränkung auf sieben Tage Protokollierung sehr ambitioniert. Angriffe dieser Qualität seien in Pakete aufgeteilt, welche einzeln harmlos aussähen. Erst in einer gesamten Kette betrachtet sei zu erkennen, was wirklich passiere.
Herr Hange (BSI) betont noch einmal, dass man nach den aktuell vorliegenden Erkenntnissen davon ausgehen müsse, dass das Netz großflächig und umfangreich kompromittiert sei. Schutzmaßnahmen griffen z.B. nur noch eingeschränkt. Eine absolute Sicherheit hinsichtlich Informationsabfluss könne daher nicht garantiert werden. Es seien weitere Analysen notwendig, um zu entscheiden, ob durch Neuinstallation einzelner betroffener Systeme, von Teilen der Infrastruktur oder des Gesamtnetzes eine wirksame Bereinigung des Gesamtsystems erreicht werden könne.
Grob könne der Ablauf in drei Phasen aufgeteilt werden: In der ersten Phase werde eine technische Analyse erstellt. Diese brauche erfahrungsgemäß Zeit, da der analytische Aufwand sehr hoch sei. In einer zweiten Phase sei geplant, den Täter in seinen Möglichkeiten zu behindern und einzugrenzen und befallene Systeme zu bereinigen. In der dritten Phase sei dann die Neuinstallation von Teilen des Systems oder des Gesamtsystems geplant.
Die Vorsitzende erteilt dem Abg. Dr. Brandl das Wort für Nachfragen.
Abg. Dr. Brandl zeigt Verständnis für die eingeschränkte Kommunikation in dieser Situation, um den Tätern keine Hinweise zu geben. Er bemängelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen Fällen, etwa von 5 Minuten, sei wünschenswert.
Er bemängelt weiterhin eine nicht ausreichende Information der Mitglieder der IuK-Kommission. Er habe bis zur heutigen Sitzung alle Informationen nur der Presse entnommen. Er verweist darauf, dass der Entschluss zur Reduktion der Protokollierung auf sieben Tage sicher gute Gründe gehabt habe, dass man aber auch darstellen sollte, welche Analysemöglichkeiten im Falle eines solchen Angriffes dadurch verloren gingen.
Die Vorsitzende erteilt der Abg. Dr. Sitte das Wort.
Abg. Dr. Sitte bestätigt, dass auch aus ihrer Sicht die Kommunikation schwierig gewesen sei. Sie regt an, sich in diesem Gremium über die erforderlichen und angemessenen Kommunikationsschritte zu einigen. Eine zeitnahe Information der Mitglieder des Deutschen Bundestages halte sie für dringend geboten, um der Gerüchteküche entgegentreten zu können. Dieses sei auch sinnvoll, um eine einheitliche Informationspolitik gegenüber Vertretern der Medien zu ermöglichen. Sie betont, dass es gerade in dieser ersten Phase der Analyse hilfreich sei, in eine geregelte und regelmäßige interne Kommunikation einzutreten.
Sie führt aus, dass einer der bisher betroffenen Rechner sich in einem Abgeordnetenbüro ihrer Fraktion befände. Es seien bereits vor dem dokumentierten Fund aus dem betreffenden Abgeordnetenbüro Auffälligkeiten vermeldet worden. Diese hätten allerdings nicht auf ein solches Ereignis hingedeutet. Den weiteren Verlauf der Ereignisse könne sie bestätigen. Die Abgeordnete fragt, ob Fremdgeräte eine physische Verbindung zum Bundestagsnetz gehabt hätten. Zusätzlich bittet sie um Erläuterung, ob bereits Erkenntnisse vorlägen, um welche Schadsoftware es sich handele und ob ein Programm oder mehrere verantwortlich seien. Weiter möchte sie wissen, ob es sich bei der Software um eine spezielle Version für den Bundestag handele oder ob diese bereits früher beobachtet worden sei. Sie bittet zudem um Informationen, über welches Schadpotential das Programm verfüge und welchen Funktionsumfang es habe. Des Weiteren fragt Abg. Dr. Sitte, ob der Angriff noch andauere und bittet um Informationen, welche Planungen es bereits für eine Bereinigung des Gesamtsystems gäbe.
Abg. Klingbeil erläutert, dass er im Kollegenkreis ein gewisses Maß an Verunsicherung registriert habe. Er bittet Herrn Hange (BSI) um nähere Erläuterung, ob es im Zusammenhang mit dem NSA-Untersuchungsausschuss Hinweise gäbe, dass ein Datenabfluss stattgefunden habe. Er stellt ebenfalls die Frage, um welche Art von Firma es sich handele und worin deren spezielle Expertise bestehe, die im BSI offensichtlich nicht vorhanden sei. Ferner möchte er wissen, ob es Erkenntnisse über den Zeitpunkt des ersten Zugriffs gäbe. Er bittet um eine detailliertere Erläuterung, wie es zur Entdeckung des Angriffes gekommen sei und wie der von Abg. Dr. Sitte angesprochene Fall zu bewerten sei. Er fragt, ob es theoretisch vorstellbar sei, dass der Angriff seit einem Jahr andauere, ohne entdeckt worden zu sein. Im Weiteren bittet er um Aufklärung, wie der Verfassungsschutz parallel zu den Erkenntnissen gekommen sei und welcher Art diese Hinweise seien. Er bittet um Aufklärung, was unter der Formulierung „Umfassend kompromittiert“ im Bericht von Herrn Hange (BSI) zu verstehen sei. Darüber hinaus bittet er um eine Erläuterung zu der Meldung, dass ein Geheimdienst in den Angriff involviert sei und wie ein Zeitplan zur Bewältigung der Krise aussähe.
Abg. Lemke bestätigt die Einschätzung, dass dieser Angriff als sehr ernst einzustufen sei. Sie lobe ausdrücklich die Kommunikation vonseiten der Bundestagsverwaltung. Sie werde sich nicht an den naheliegenden Spekulationen zu den Quellen der in den Medien kursierenden Gerüchten beteiligen. Allerdings seien in einem Artikel sogenannte Sicherheitskreise zitiert worden. Da diese weder die Bundestagsverwaltung noch der Bundestag sein könne, stelle sich die Frage, inwieweit Herr Hange (BSI) das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe. Sie regt daher an, die Informationen zuerst an die Mitglieder des Deutschen Bundestages zu geben, bevor die Presse informiert werde. Eine andere Vorgehensweise halte sie für nicht akzeptabel. Sie sei zudem sehr daran interessiert, dass das in diesem Vorgang vorhandene Leck aufgedeckt werde. Sie bittet um eine Erläuterung, wie und in welcher Form der Verfassungsschutz am 12.5.2015 bemerkt habe, dass Rechner des Bundestages auffällig geworden seien. Des Weiteren interessiere sie sich dafür, wie die Zusammenarbeit zwischen Bundestagsverwaltung und BSI organisiert sei und für Art, Umfang und Rolle der Unterstützung des BSI durch eine externe Firma. Sie fragt außerdem nach den personellen Ressourcen, die vonseiten des BSI zur Verfügung gestellt würden und wie die Aussage, dass die Sicherheit nicht garantiert werden könne, zu verstehen sei. Weiter regt sie an, die Mitglieder des Deutschen Bundestages entsprechend zu informieren.
Die Vorsitzende erläutert, dass verschiedene Fachausschüsse Interesse bekundet hätten, sich mit dem Thema zu beschäftigen. In Absprache mit den Ausschussvorsitzenden und den Fraktionen sei vereinbart worden, dass die Fachausschüsse die jeweiligen Berichtsanträge zurückstellen und die IuK-Kommission das aktuell erste und einzige Gremium sei, das sich mit dem Angriff befasse. Sie schlägt vor, dass die Fragen zunächst, soweit möglich, von Herrn Möhlmann beantwortet würden und Herr Hange anschließend die Antworten ergänze.
Herr Möhlmann (RL IT 5) stimmt den von Abg. Dr. Brandl festgestellten Einlassungen zu. Er teilt mit, dass es sich beim angesprochenen Herunterfahren der Rechner um eine in der UA IT abgestimmte Maßnahme gehandelt habe und zunächst geprüft worden sei, wann diese möglichst störungsarm durchgeführt werden könnte. Weiterhin führt er aus, dass es schwierig gewesen sei, zu diesem Zeitpunkt noch alle Betroffenen zu erreichen und dass eine E‑Mail-Information als nicht unbedingt zielführend angesehen worden sei. Auf die Frage der Abg. Dr. Sitte nach dem Zusammenhang mit einem Rechner einer Abgeordneten und einem Server ihrer Fraktion teilt Herr Möhlmann (RL IT 5) mit, dass die Bundestagsverwaltung dazu keine Auskunft geben könne und dies mit der betreffenden Fraktion diskutiert worden sei. Abg. Dr. Sitte wirft korrigierend ein, dass sie klären wolle, warum die IT nicht bereits tätig geworden sei, als das Abgeordnetenbüro sich wegen Auffälligkeiten schon zuvor an die IT gewandt habe. Herr Möhlmann (RL IT 5) stellt klar, dass er hiervon keine Kenntnis bekommen habe und der Angriff genauso aufgefallen sei, wie er es dargestellt habe. Auf die Frage bezüglich Fremdgeräten antwortet Herr Möhlmann (RL IT 5), dass sich ausschließlich Parlakom-Geräte und selbstverständlich Fraktionsgeräte im Netz befänden. Fremdgeräte im Sinne von Geräten, die nicht in das Bundestagsnetz gehörten, gäbe es daher nicht.
Abg. Dr. Sitte stellt klar, dass sie dies wisse und es ihr darum ginge, ob aufgrund der Schadsoftware der Zugriff von Fremdgeräten möglich gewesen sei oder ob dies ausgeschlossen werden könne.
Herr Möhlmann (RL IT 5) verweist bzgl. der Fragen zu den speziellen Schadprogrammen auf Herrn Hange (BSI).
Abg. Klingbeil möchte wissen, seit wann der Angriff bekannt sei.
Herr Möhlmann (RL IT 5) informiert, dass am 8.5.2015 die Mitarbeiter der Unterabteilung IT Unregelmäßigkeiten festgestellt haben, die zu diesem Zeitpunkt noch nicht als Angriff gewertet worden seien, sondern als alltäglicher Fall im Zusammenhang mit Viren und Trojanern. Erst das Gespräch mit dem BfV am 12.5.2015 habe verdeutlicht, dass es sich um einen Angriff handele. Das BfV hätte deutlich gemacht, dass der Zugriff von zwei Rechnern aus dem Bundestag festgestellt worden sei.
Diese Rechner seien namentlich benannt worden und hätten somit als Bundestagsrechner identifiziert werden können. In diesem Gespräch sei auch mitgeteilt worden, dass das BSI seitens des Verfassungsschutzes informiert werde, speziell das Cyberabwehrzentrum.
Abg. Lemke erkundigt sich, was genau der Verfassungsschutz festgestellt habe.
Herr Möhlmann (RL IT 5) führt aus, dass ihm telefonisch mitgeteilt worden sei, dass von zwei Rechnern aus dem Bundestagsnetz auf kompromittierte Seiten, die überwacht worden seien, ein Zugriff stattgefunden habe. Er erklärt, dass kompromittierte Seiten z. B. sog. Command-and-Control-Server seien, die im Internet existierten, um Malware zu verteilen und auch „Angriffssoftware“ enthielten.
Herr Häger (BSI) führt ergänzend aus, dass das BfV diese speziellen Informationen von einer Firma bekommen habe, welche von einem anderen Land beauftragt worden und an die Verschwiegenheit gebunden sei. Dieses Land habe jedoch zugestimmt, dass der von der beauftragten Firma ermittelte Hinweis weitergegeben werden dürfe.
Herr Hange (BSI) stellt klar, dass das BSI nur für die technische Analyse zuständig sei und in diesem Zusammenhang auch Server im Internet feststelle, die Schadprogramme verteilen oder für Informationsabfluss genutzt werden. Für das Regierungsnetz seien viele solcher kritischen Server gelistet und so auch der Server, mit dem der Bundestagsrechner in Kontakt stand. Er betont dass es keine Überwachungsmaßnahme des Bundestages gewesen sei, sondern es sich um einen Zufallsfund gehandelt habe. Aufgrund der technischen Zuständigkeit sei dann das BSI vom BfV informiert worden, weil auch die Bundesregierung hätte betroffen sein können. Das BSI übernehme grundsätzlich eine beratende Funktion beim Bundestag. Die Koordination der aktuellen Maßnahmen läge ausschließlich beim Bundestag. Herr Dr. Winterstein habe aufgrund der Schwere des Angriffes alle verfügbaren Experten zur Aufklärung des Sachverhaltes angefordert.
Abg. Lemke erkundigt sich, wer die Erlaubnis erteilt habe.
Herr Hange (BSI) stellt klar, dass das BSI keine nachrichtendienstlichen Beobachtungen durchführe und schlägt vor, beim BfV zuständigkeitshalber nachzufragen, da das BSI auch nur Empfänger der Information gewesen sei.
Er betont, dass es wichtig sei, bei der Analyse schnell zu handeln. Daher sei am Freitag mit der Voruntersuchung begonnen und dann entschieden worden, massiv in die Untersuchung einzusteigen. Er führt aus, dass Spuren schnell verloren gehen könnten, wenn nicht kompakt eingegriffen würde. Es habe bislang festgestellt werden können, dass aktuell nur wenige Endsysteme betroffen seien. Die Angreifer seien jedoch so tief in das Netz eingedrungen, dass sie jederzeit wieder aktiv werden könnten. Momentan würde nun versucht, die Wege nach außen zu blockieren und dem Angreifer das Agieren so schwer wie möglich zu machen. Es handele sich um ein auch an anderer Stelle bereits verwendetes und öffentlich bekanntes Angriffsmuster, sodass noch keine Rückschlüsse auf die Täter gezogen werden könnten. Professionelle Angreifer bedienten sich häufig verschiedener Angriffsmuster, um falsche Fährten zu legen, was einen Rückschluss auf die Täter erschweren solle. Herr Hange (BSI) versichert, dass das BSI nicht von sich aus die Öffentlichkeit informiere. Es sei vielmehr üblich, dass das BSI den jeweils Betroffenen unterrichte und dieser dann entscheiden könne, ob die Öffentlichkeit informiert werde. Er unterstreicht, dass dieses Vertrauensverhältnis Grundvoraussetzung für die Arbeit des BSI sei. Die Pressemeldungen stimmten zudem in Teilen nicht. So träfen beispielsweise die Nachrichten, dass es sich um einen DDoS-Angriff handele, nicht zu. Er führt ergänzend aus, dass mit Informationen zu Cyberangriffen auf Firmen und Behörden auch deshalb vertraulich umgegangen werde, damit diese nicht durch Presseveröffentlichungen zusätzliche Schäden erleiden würden und zusätzlich der Angreifer gewarnt werde.
Bezüglich der Frage nach den vorhandenen Ressourcen teilt er mit, dass es im BSI etwa 15 Personen mit Expertise für solche Analysen gäbe, die für den Schutz des Regierungsnetzes eingesetzt würden. Aus Erfahrung in ähnlich gelagerten Fällen gehe er davon aus, dass die Bearbeitung von Angriffen dieser Qualität über Wochen, wenn nicht Monate andauerten. Deshalb habe das BSI auch eine Fachfirma, die auch unter der Geheimschutzbetreuung stehe, hinzugezogen. Dabei sei darauf geachtet worden, dass diese Firma kompetent und auch vertrauenswürdig sei, um das Thema nationale Sicherheit ausreichend zu berücksichtigen. Es gäbe Firmen im BSI – Umfeld, die sich durch Kompetenz sowie Geheimschutzbetreuung auswiesen, mit denen das BSI insbesondere aus Ressourcengründen aber auch in Bündelung von Fachkompetenz bei Cyberangriffen außerhalb der Bundesverwaltung zusammenarbeite.
Anschließend beantwortet Herr Hange (BSI) die Frage von Abg. Klingbeil und teilt mit, dass nach momentanem Stand der Untersuchungen noch nicht festgestellt werden könne, wann der Ersteinbruch erfolgt sei. Aufgrund der Art der Angriffe könne gesagt werden, dass es sich um einen sogenannten APT-Angriff (advanced persistent threat) handele. Dieser verlaufe mehrstufig. Das BSI gehe davon aus, dass solche Angriffe bis zu 70 Tage in Anspruch nehmen, um ein Netz komplett zu durchdringen und damit schrittweise zu übernehmen. Habe sich der Angreifer im Netz schließlich festgesetzt, könne er sich offen bewegen, weil er dann wisse, dass er hochwahrscheinlich nicht entfernt werden könne.
Zur Frage hinsichtlich der Sicherheit teilt Herr Hange (BSI) mit, dass versucht werde, alle Übergänge, an denen Informationen abfließen könnten, zu kontrollieren und ggf. zu blockieren. Dabei werde jeder Schritt mit der Bundestagsverwaltung abgestimmt. Durch Maßnahmen wie dem Herunterfahren von Systemen würde versucht, für den Angreifer Ansatzpunkte abzubauen. Weiter führt Herr Hange (BSI) aus, dass das BSI alle Maßnahmen und Funde dokumentiere, um die Analyse auch für die IT-Experten des Bundestages nachvollziehbar und transparent zu machen.
Auch an der Täterfeststellung werde im Rahmen der technischen Analyse gearbeitet, was seiner Ansicht nach grundsätzlich schwierig sei, da es selbst in der professionell arbeitenden kriminellen Szene Verschleierungstechniken gäbe. Zunächst gehe es darum zu ermitteln, was genau geschehen sei und in welchen Systemen sich der Angreifer befinde. Wenn Endsysteme mit sensiblen Informationen infiziert seien, würden diese bereinigt, um den Export von Daten zu verhindern.
Herr Hange (BSI) führt weiter aus, dass auch die Übergänge der Bundestagsverwaltung und der Fraktionen in die Untersuchungen einbezogen werden müssten, um das Übergreifen von Schadprogrammen in den Griff zu bekommen. Er teilt weiter mit, dass nach dem Stand der Untersuchungen insbesondere der zentrale Verzeichnisdienst übernommen worden sei. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien.
Zur Frage, wie eine solche Übernahme passieren könne, stellt Herr Hange (BSI) dar, dass für professionelle Angreifer mit tiefgreifenden Kenntnissen der Software-Systeme die Möglichkeit bestünde, noch unbekannte Schwachstellen zu entdecken und zu missbrauchen. Selbst sehr gute Software enthalte immer noch 0,7 Promille Fehler. Das Geschäft mit dem Handeln von Schwachstellen sowie Schadprogrammen verspreche viel Geld, so dass es nicht erstaunlich sei, dass Hackergruppen inzwischen auch ihre Dienste für Cyberangriffe im Internet anbieten würden. Unter Wahrung aller Vertraulichkeitsaspekte sei es sehr wichtig, schnell zu erkennen, was passiere, um die Angriffsmethodik aufzudecken, den Export von Informationen zu unterbinden und dann eine Neuaufsetzung des Systems anzugehen. Jeder dieser Schritte werde selbstverständlich mit der Bundestagsverwaltung abgesprochen.
Die Vorsitzende stellt die Frage, ob die Hinweise zuträfen, dass in den besonders sensiblen Bereichen wie NSA-Ausschuss, Innenausschuss oder der PKGR ein Einbruch stattgefunden habe und welche Maßnahmen dort getroffen worden seien, um Datenabflüsse zu verhindern.
Abg. Lemke stellt eine Frage zu den Ausführungen von Herrn Möhlmann (RL IT 5) zum zeitlichen Ablauf der Information vom Bundesamt für Verfassungsschutz und dem BSI. Hier interessiere insbesondere, wer, wann, wen, worüber informiert habe. Sie fragt Herrn Hange (BSI), ob das BSI vom Verfassungsschutz informiert worden sei, unabhängig von der Information durch die Bundestagsverwaltung.
Abg. Binding fragt, auf welchen Rechnern oder Systemen Administratorrechte erlangt worden seien, um einen Eindruck zu gewinnen, welche Reichweite das Problem habe und welche Möglichkeiten dem Angreifer im System eröffnet würden.
Abg. Lemke stellt die Frage, ob es aus Sicht des BSI sinnvoll sei, die Speicherfristen der Protokolldaten wieder zu verlängern und welcher Zeitraum ggf. hier für sinnvoll erachtet würde. Weiter fragt sie, ob die Speicherung von IP-Adressen, die im Zuge der Vorratsdatenspeicherung auch diskutiert werde, eine Möglichkeit sei, die Täter zu entdecken. Zudem regt sie an, das Bundesamt für Verfassungsschutz in die IuK-Kommission einzuladen.
Abg. Dr. Sitte stellt fest, dass der Bundestag die Federführung bei der Untersuchung des Angriffes haben müsse. Sie stellt weiterhin die Frage, ob aktuell die Lückenschließung oder die Analyse des Angriffes im Vordergrund stünde. In diesem Zusammenhang möchte sie wissen, ob in diesem Fall schon jemand Anzeige erstattet habe. Des Weiteren bittet sie um Erläuterung, mit welcher personellen Ausstattung, insbesondere unter Beteiligung der externen Firma, in Zukunft vorgegangen werden solle, ob die sofortige Abschaltung aller Ressourcen diskutiert worden sei, warum dieses unterlassen worden sei und welche Konsequenzen es für den Neuaufbau habe.
Abg. Kaster merkt an, dass er Verständnis dafür habe, wie anhand des Sachstandes mit der Kommunikation umgegangen worden sei. Er bitte jedoch darum, auch in dieser Phase dem Informationsbedürfnis der Abgeordneten nachzukommen. Die Vorsitzende bittet Herrn Hange (BSI) um Beantwortung der Fragen.
Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei, der gemeinsam mit der genannten Firma bearbeitet werde. Erkennbar seien bereits gewisse Angriffsstrukturen und es sei daher zielführend, versierte Fachkräfte – d. h. IT-Forensiker – damit zu betrauen. Er betont noch einmal, dass es unverzichtbar sei, die hochqualifizierten Experten seitens des BSI zu beteiligen. Dies sei umso schwieriger, als der Analyseprozess durchaus mehrere Wochen andauern könne. Die personelle Ausstattung des BSI in diesem Umfeld betrage etwa 15 Fachleute sowie Ressourcen aus der unterstützenden Firma, die – wenn der Bundestag das wünsche zur Verfügung stünden.
Abg. Lemke möchte wissen, ob die 15 Fachleute zeitgleich arbeiten würden.
Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei und bei Untersuchungen vor Ort Schichtwechsel vorgenommen würden. Die erste Mannschaft habe am letzten Wochenende gearbeitet. Danach seien einige Mitarbeiter aus dem verlängerten Wochenende zurückgeholt worden, die dann in Bonn weiter gearbeitet hätten. Er weist nochmals darauf hin, dass er auch den Schutz des Regierungsnetzes nicht völlig vernachlässigen könne. Er stellt klar, dass in Absprache mit dem Deutschen Bundestag alles getan werde, um seitens des BSI die Personen mit dem größtmöglichen Erfahrungsschatz in diesem Umfeld mit der Aufgabe zu betrauen. Er informiert, dass der externe Partner in diesem Fall die Firma BFK sei und dass bei Bedarf auch Mitarbeiter der Firma Telekom, die ebenfalls über ein Team mit ähnlichen Kenntnissen verfügten, hinzugezogen werden könnten. Im Augenblick sehe er jedoch keine Notwendigkeit hierfür.
Herr Hange (BSI) betont noch einmal, dass es nur durch die Erkenntnisse aus der Analyse möglich sein werde, dem Angreifer den Weg zu verbauen. Die Angreifer hätten sich bereits tief in den Systemen verankert und würden sich inzwischen sogar recht auffällig bewegen, da sie aus Erfahrung nicht mehr fürchten müssten, mit einfachen Mitteln entfernt werden zu können. Grundsätzlich sei ein Angreifer in einer besseren Position als der Verteidiger, da er den Angriffspunkt selbst bestimmen könne. Weiter führt er aus, dass der gesamte Vorgang dokumentiert werde. Im konkreten Fall sei der Bundestag vom Bundesamt für Verfassungsschutz angerufen worden und es sei mitgeteilt worden, dass auch das BSI informiert werde, da prinzipiell nicht auszuschließen sei, dass auch Regierungsstellen betroffen seien. Im weiteren Verlauf zwischen Bundestag und BSI sei entschieden worden, dass zwei Mitarbeiter des BSI am Freitag, dem 15.5.2015 im Bundestag in einem Erstgespräch über die möglichen weiteren Schritte informierten. Kurzfristig sei aufgrund der Besprechung dann beschlossen worden, unverzüglich am Wochenende mit der tiefer gehenden Analyse zu beginnen.
Abg. Lemke fragt weiter nach den vom Verfassungsschutz festgestellten Auffälligkeiten.
Herr Hange (BSI) teilt mit, dass ein Server auffällig geworden sei, welcher auf einer Liste als kritisch eingestufter Server stehe. Die Rückmeldemöglichkeiten dieser bekannten Server würden vom BSI unterbunden. Im technischen Bereich sei dies ein transparentes Verfahren ohne nachrichtendienstliche Hintergründe. Er führt aus, dass es einen weltweiten CERT-Verbund zum Austausch von genau solchen kritischen Hinweisen ohne nachrichtendienstlichen Hintergrund gebe. Ein Informationsaustausch zwischen dem BSI und dem Bundesamt für Verfassungsschutz erfolge nur dann, wenn der Verdacht von Cyberspionage fremder Staaten gegeben sei.
Abg. Dr. Brandl erklärt, dass er zwar Verständnis für die Nachfrage zum Verfassungsschutz habe, es aber genau Aufgabe des Verfassungsschutzes sei, elektronische Angriffe mit möglicherweise nachrichtendienstlichem Hintergrund auf die Bundesrepublik festzustellen und die betroffenen Behörden zu informieren. Er verdeutlicht seine Ansicht, dass der Verfassungsschutz auch nach einem Hinweis eines ausländischen Anbieters – sei es Staat, Firma oder CERT – unverzüglich zu informieren habe, wenn aus dem Bereich eines Regierungsnetzes ein Zugriff auf einen kompromittierten Server festgestellt werde. Er betont, dass er positiv zur Kenntnis nehme, dass diese Meldewege funktionierten.
Abg. Klingbeil fragt nach, ob die Art und Weise der Angriffe dem BSI als Muster bekannt seien und es hierfür bereits bekannte Akteure gäbe. Und ob es sich hierbei um Geheimdienste oder Unternehmen handele, die von Staaten für solche Angriffe beauftragt werden würden.
Herr Hange (BSI) stellt dar, dass es sich bisheriger Kenntnis nach um Gruppierungen handele, die nicht das BSI beobachte. Wenn technische Analysen Rückschlüsse auf Tätergruppen zulassen, sei es Aufgabe des Cyberabwehrzentrums, beim BfV, BKA oder BND nachzufragen, ob mehr zu diesen Gruppierungen bekannt sei. Er erklärt, dass die Einschätzung der Fähigkeiten des Angreifers auch entscheidend dafür sei, um die notwendige Abwehr einzuordnen. Er macht noch einmal deutlich, dass ein Angriff in dieser Form nicht zum ersten Mal erfolge und die Weitergabe von Hinweisen an die betroffenen Firmen oder Behörden in festgelegter Weise erfolge.
Abg. Klingbeil fragt nach, ob das Muster des Angriffes als Mittel von Nachrichtendiensten bekannt sei.
Herr Hange (BSI) bejaht, dass das Muster des Angriffes zwar bekannt sei, es aber dennoch nach jetzigem Untersuchungsstand nicht eindeutig einzuordnen sei, ob es von den vermuteten Akteuren durchgeführt oder einfach kopiert worden sei. Es sei in letzter Zeit auch festgestellt worden, dass einfachere Angriffsmuster, die bislang bestimmten Ländern und Gruppierungen zugeordnet werden konnten, nachgeahmt würden. Das BSI beschäftige sich in seiner Schutzfunktion mit der Bekämpfung des Angriffsmusters, mit der Täterermittlung nur im Rahmen technischer Analysen. Die Täterermittlung sei Aufgabe der dafür zuständigen Sicherheitsbehörden.
Herr Häger (BSI) ergänzt, dass es sich um ein generisches Angriffsmuster handele und damit nach Stand der Untersuchungen einer konkreten Tätergruppe noch nicht zugeordnet werden könne. Er erklärt, dass nach jetzigem Erkenntnisstand der Täter mit seinem Schadprogramm in das Netz gelange, dort seine Rechte ausweite und den Verzeichnisdienst übernommen habe, um dann auf beliebige Systeme Zugriff zu haben. Dieses entspreche einem hochwertigen APT-Angriffsmuster.
Die Vorsitzende erläutert, dass entsprechend der Beschlusslage die Obleute am letzten Mittwoch durch das Sekretariat über ihre Entscheidung zur Verlängerung der Speicherfrist von ursprünglich sieben Tagen auf maximal drei Monate informiert worden seien. Sie merkt weiter an, dass es ihrer Einschätzung nach erst am Ende dieses ganzen Prozesses zu einer erneuten Diskussion über die Speicherfristen kommen könne. Sie bedankt sich im Namen der ganzen Kommission für die erhaltenen Informationen und schlägt eine erneute Sitzung für die kommende Sitzungswoche vor.
Sie merkt an, dass am Nachmittag über den Ältestenrat die Fraktionen in geeigneter Weise über den in der IuK-Kommission vorgetragenen Sachverhalt informiert würden. Gegebenenfalls sei je nach Entscheidung des Ältestenrates noch in dieser Sitzungswoche eine Obleuterunde einzuberufen. Sie gehe davon aus, dass die Obleute der IuK-Kommission auch in den kommenden Nichtsitzungswochen in geeigneter Form vom Sekretariat über aktuelle Entwicklungen informiert würden. Sie werde sich mit dem Präsidenten über eine abgestimmte Information für alle Kolleginnen und Kollegen ins Benehmen setzen.
Die Abg. Lemke stimmt der Vorsitzenden in vollem Umfang zu. Sie bekräftigt, dass gerade in Anbetracht der zwei Nichtsitzungswochen eine allgemeine Information für alle Mitglieder erforderlich scheine.
Die Vorsitzende stellt fest, dass sich die IuK-Kommission über die kurzfristig erforderlichen Kommunikationswege einig sei. Da auch zum Punkt Verschiedenes keine weiteren Wortmeldungen vorliegen, bedankt sich die Vorsitzende bei den Vortragenden und schließt die Sitzung.
Schluss der Sitzung: 9:10 Uhr
Petra Pau, MdB
Vorsitzende
Aktenvermerk – IT-Vorfall im Deutschen Bundestag
Als Ergebnis der Besprechung am 5.6.2015 [zwischen Mitarbeitern der Bundestagsverwaltung und dem BfV] konnte festgestellt werden:
- Das BfV hat die Zielsetzung, angreiferspezifische Schadsoftware-Informationen und zusätzlich Internetadressen mit Bezug zum Angriff zu erhalten. Es wird also nach Schadsoftware und Angriffsinfrastruktur gesucht, um hier tiefergehende Analysen durchführen zu können.
- Das BfV bittet um Zustimmung des Bundestages, dass Erkenntnisse zu der oben genannten Zielsetzung vom BSI dem BfV zur Verfügung gestellt werden dürfen, um in die Analyse Informationen einfließen zu lassen, die dem BSI aufgrund seiner technischen Ausrichtung nicht zur Verfügung stünden, speziell mit dem Ziel die Interessenlage des Angreifers zu ermitteln.
- Das BfV versichert, dass es generell keine Werkzeuge nutzt, die im inneren Netz der betroffenen Institution eingesetzt werden können oder sollen. D. h. das BfV will und wird keinen Zugriff auf Rechner des Parlakom-Netzes im Deutschen Bundestag sowie den Netzen der Fraktionen erhalten.
- Das BfV versichert, dass eine Weitergabe der angriffsspezifischen Informationen und Daten an Dritte nicht erfolgt.
- Das BfV stellt sicher, dass Hintergrundinformationen und technische, für den Bundestag verwertbare Parameter für die Abwehrmaßnahmen, zeitnah dem Bundestag zur Verfügung gestellt werden.
gez.
Dr. Winterstein
Kurzprotokoll der 7. Sitzung der IuK-Kommission
Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien
Berlin, den 11. Juni 2015, 7:30 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)Vorsitz: VPn Petra Pau, MdB
Tagesordnung
- Tagesordnungspunkt 1: Stand zum Angriff auf die IT des Deutschen Bundestages, Bericht Herr Hange, Präsident BSI
- Tagesordnungspunkt 2: Verschiedenes
VP’n Pau begrüßt alle Anwesenden
Vor Eintritt in die Tagesordnung teilt sie mit, dass der Generalbundesanwalt (GBA) dem Deutschen Bundestag mitgeteilt habe, dass er wegen der durch die Presse bekannt gewordenen Vorgänge prüfe, ob er ein Ermittlungsverfahren einleite. Zur Sachstandsermittlung habe er dem Bundestag einen Fragenkatalog zugeleitet. Diese Fragen werde der Bundestag beantworten und, sollte der GBA förmliche Ermittlungen einleiten, selbstverständlich mit dem GBA als auch mit den ihn unterstützenden Behörden kooperieren.
Weiter sei gestern den Mitgliedern der IuK-Kommission ein Gesprächsvermerk zugestellt worden. Dieser gehe auf ein Angebot von Herrn Dr. Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV), zurück, den Deutschen Bundestag bei Maßnahmen zur Abwehr des Angriffs auf das IT-System des Deutschen Bundestages zu unterstützen sowie im Rahmen der Zuständigkeit seiner Behörde entsprechende eigene Aktivitäten zu entfalten. Das BfV bittet den Bundestag darum, ihm bekanntgewordene Fakten zur Art und Weise bzw. zum Charakter des Angriffes mitzuteilen. Die Vorsitzende betont, dass dies keine eigene Ermittlung durch das BfV im Deutschen Bundestag bedeute. Seinem gesetzlichen Auftrag nach sei das BfV für die Spionageabwehr zuständig und benötige diese Informationen im Rahmen seiner Mitarbeit im Cyberabwehrzentrum. Herr Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), habe den Bundestag darüber informiert, dass zwischenzeitlich das BSI gemäß seines gesetzlichen Auftrages das BfV über den Angriff auf den Bundestag in einer als geheim eingestuften Unterlage informiert habe. Im Gegenzug habe das BfV versichert, sollten Erkenntnisse über einen möglicherweise bereits bekannten Angreifer gewonnen werden, entsprechende Hinweise oder Handlungsempfehlungen dem Bundestag mitzuteilen, damit diese bei den Maßnahmen berücksichtigt werden könnten.
Auf die Frage, ob bezüglich dieser Vorgehensweise seitens der Fraktionen Bedenken oder gegenteilige Auffassungen zum Verfahren der Zusammenarbeit mit dem BfV bestehen, merkt Abge. Lemke an, dass sie, wie bereits in der Obleuterunde angesprochen, diesen Aktenvermerk nicht als hinreichende Entscheidungsgrundlage ansehe. Sie sehe die IuK-Kommission nicht als das geeignete Gremium für eine solche Entscheidung an und beantragt deshalb, diese Angelegenheit heute im Ältestenrat zu behandeln.
Die Vors. VPn Pau führt hierzu aus, dass sich das Präsidium des Bundestages gestern darüber verständigt habe, dieses Thema heute in der IuK-Kommission aufzurufen sowie in der heutigen Sitzung des Ältestenrates zu behandeln, um eine entsprechende Festlegung zu treffen.
Tagesordnungspunkt 1
Die Vors. VPn Pau erteilt Herrn Hange, Präsident des BSI, das Wort.
Herr Hange (Präsident des BSI) erläutert den Sachstand der Analyse. Er weist einleitend darauf hin, dass das BSI lediglich ein Beratungsmandat für den Bundestag habe. Zum aktuellen Personaleinsatz des BSI führt er aus, dass insgesamt zehn Mitarbeiter eingesetzt werden, wovon drei Mitarbeiter vor Ort, vier Mitarbeiter in der Analyse und die übrigen im Berichtswesen tätig seien. Weiterhin sei auf Vorschlag des BSI von der Bundestagsverwaltung die BFK edv-consulting GmbH, mit der das BSI bereits im Zusammenhang mit einer Attacke auf eine Großforschungseinrichtung des Bundes zusammengearbeitet habe, sowie, mit Einverständnis des Bundestages, ein Spezialist der T‑Systems für das Active Directory (AD) [Verzeichnisdienst von Microsoft Windows Server] hinzugezogen worden.
Er geht auf das Eingangsszenario beim Bundestag ein. Durch Presseveröffentlichungen zum Angriff auf die IT des Bundestages in der Presse am 16. bzw. 17. Mai 2015 musste am 18. Mai 2015 die erste Phase „Analyse“ direkt in die zweite Phase „Übergangsbetrieb“ übergehen, da davon auszugehen war, dass der Angreifer über die Entdeckung des Angriffs in Kenntnis gesetzt worden sei und somit eine passive Beobachtung evtl. Angriffe nicht mehr sinnvoll sei. Hier seien dann parallel zum „Übergangsbetrieb“ ein intensives Monitoring sowie Maßnahmen gegen einen Datenabfluss aufgebaut worden. Die Bundestagsverwaltung habe sich auch aktuell zum Einsatz des Schadprogramm-Präventions-Systems (SPS) [Programm zur Verhinderung von ungewollten Zugriffen aus den Regierungsnetzen auf infizierte Webseiten] des BSI entschieden, das den Datenverkehr mit über 100.000 dem BSI bekannten, kritischen Servern verhindere.
Zu den ermittelten Sachverhalten berichtet er, dass sich am 5. Mai 2015 die Täter auf dem Domaincontroller und einer Admin-Workstation angemeldet und das Tool „mimikatz“, ein über das Internet erhältliches Programm zur Ermittlung von Passwörtern, eingesetzt haben. Mit Hilfe extrahierter Passwörter und diverser Remote Desktop Programme seien die Angreifer dann am 6. Mai 2015 auf andere Server gelangt.
Ein erster Versuch eines Datenexports sei am 7. Mai 2015 ermittelt worden, der jedoch an der Größe der Datei gescheitert sei.
Eine Besonderheit des Bundestagsnetzes bildeten die jeweiligen getrennten Fraktionsnetze, die jedoch über ihre Vertrauensstellung ihrerseits auf das Bundestagsnetz zugreifen könnten. Bei der Analyse seien Rückmeldewege erkannt worden, aber die infizierten Rechner seien nicht unter Beobachtung gestellt worden, da aufgrund der Position des Bundestages als unabhängiges Verfassungsorgan hierzu keine rechtliche Grundlage bestehe. Dies sei auch ein Grund für die Bitte an die Präsidentin das BfV zur Unterstützung heranziehen zu dürfen.
Herr Hange (Präsident des BSI) übergibt Herrn Dr. Häger (BSI) das Wort zur Darstellung der Ergebnisse der Analyse der letzten drei Wochen.
Dr. Häger (BSI) berichtet, dass der Angreifer auf Arbeitsplatzrechner in insgesamt 16 Bundestagsbüros zugreifen konnte. Es seien insgesamt 25 Systeme im Netz des Bundestages erkannt worden, auf denen Schadprogramme installiert waren und auf weiteren 25 Systemen seien Zugriffe des Angreifers festgestellt worden, ohne dass entsprechende Schadprogramme installiert gewesen seien.
Die Bundestagsverwaltung habe Log-Dateien, beginnend ab dem 7. Mai 2015, bereitstellen können, aus denen Hinweise für Datenabflüsse ermittelt werden konnten. Hieraus ließe sich jedoch nur die Menge, nicht jedoch der Inhalt abgeflossener Daten feststellen.
Insgesamt seien somit nachweislich etwa 16 GB abgeflossen, wobei diese Datenmenge auch festgestellte Mehrfachübertragungen gleicher Dateien beinhalte. Diese Datenmenge sei mit dem http-Protokoll an etwa neun bekannte, weltweit verteilte, verdächtige Server übertragen worden.
Hier merkt er weiter an, dass sich aus diesen Log-Dateien keinerlei Aussagen hinsichtlich evtl. Datenübertragungen durch direkt – also über Username und Passwort- übernommene Rechner in Clouds, z.B. Dropbox oder Amazon, ermitteln ließen.
Bezugnehmend auf diese bekannten verdächtigen Server betont er, dass sich das BSI ausschließlich mit technischen Fragen und Analysen der Rückmeldewege befasse. Weitergehende Abgleiche mit anderen Fällen oder Ermittlungen hinsichtlich des Angreifers fielen in den Bereich des BfV.
Herr Dr. Häger (BSI) führt weiter aus, dass seit etwa 14 Tagen keine Aktivitäten des Angreifers mehr bemerkt würden. Allerdings sei das Netz prinzipiell noch verwundbar, da der Angreifer immer noch intern über Administratorechte verfüge, wobei es fraglich sei, ob er noch unbemerkt ins interne Netz gelangen könne. Allerdings sei denkbar, dass Angriffe über E‑Mails oder VPN-Zugänge gesteuert werden könnten, da diese nicht in den Log-Dateien erfasst werden. Derzeit gebe es hierauf allerdings keine Hinweise, aber diese Möglichkeiten könnten nicht grundsätzlich ausgeschlossen werden.
Als vorläufiges Ergebnis seien etwa 50 Systeme festgestellt worden, auf die ein Angreifer nachweislich zugegriffen habe. Hierbei handele es sich überwiegend um Client- und um 17 zentrale Systeme.
Nach der Darstellung der Ergebnisse der Analyse geht Herr Dr. Häger (BSI) auf die Maßnahmen zur Absicherung des täglichen Betriebes des Bundestages ein. Hierzu gehören:
- der unmittelbare Austausch erkannter infizierter Client-Systeme durch die Verwaltung des Deutschen Bundestages
- regelmäßige Scans aller Clientsysteme des Bundestagsnetzes
- ein netzwerkbasiertes Intrusion Dection System (IDS) für den Netzverkehr durch die Bundestagsverwaltung
- Monitoring der Log-Dateien der Firewalls auf Auffälligkeiten
- Teilweise Umleitung von http- und https-Verbindungen über den IVBB an normalen Arbeitstagen (Mo – Fr)
- Umleitung des http- und https-Verkehrs über den IVBB am Wochenende
Herr Dr. Häger (BSI) spricht an, dass im Zuge der Umleitung der Internetanbindung des Bundestages über die IVBB-Infrastruktur zahlenmäßig sehr viele Vorfälle des „normalen Cbyercrime“ (Banking-Trojaner usw.) ermittelt worden seien, da im IVBB die Zugriffsmöglichkeiten der Nutzer enger gefasst seien.
Hier ergänzt Herr Dr. Häger (BSI) die Analyseergebnisse hinsichtlich der abgeflossenen Daten. Bei Festplattenanalysen sei festgestellt worden, dass gezielt nach lokal abgelegten Outlook-Dateien vom Typ PST [lokale Outlook-Datendatei] sowie nach aktuellen Office-Dokumenten gesucht worden sei. Auf die Frage des Abg. Dr. von Notz, ob Rückschlüsse aus diesem „Suchmuster“ gezogen werden könnten, antwortet Herr Dr. Häger (BSI), dass üblicherweise viele Informationen zur täglichen Arbeit über E‑Mail ausgetauscht werden und somit dies eine sehr ergiebige Quelle zur Gewinnung aktueller Informationen darstellen könne.
Abg. Dr. von Notz, erkundigt sich weiter, ob in Kombination mit den angegriffenen 17 zentralen Servern ein Muster für ein Angriffsziel erkennbar sei.
Herr Dr. Häger (BSI) führt hierzu aus, dass bei der Übernahme von zentralen Servern, unabhängig von deren Funktion, üblicherweise die erweiterten Berechtigungen hinsichtlich der Internetnutzung, z.B. um Dateien an andere Server zu übertragen, im Vordergrund stehe. Bei der Analyse möglicher Angriffe auf zentrale Systeme im Bundestagsnetz sei keine Bewertung der Funktion erfolgt. Diese Bewertung und die Entscheidung darüber, was neu aufgesetzt werden solle, erfolgen in einer dritten Phase.
Abg. Jarzombek möchte wissen, ob Daten aus den Exchange-Servern abgeflossen seien.
Herr Möhlmann (RL IT 5) antwortet, dass die E‑Mail-Systeme des Bundestagsnetzes und der Fraktionen entsprechend untersucht worden seien und derzeit keine Erkenntnisse vorlägen, die auf eine Manipulation dieser Systeme schließen lasse.
Herr Dr. Häger (BSI) berichtet zur Internetanbindung über den IVBB, dass die Bandbreite des IVBB 1 Gb/s betrage. Der Internetverkehr des Deutschen Bundestages beanspruche aktuell jedoch eine Bandbreite von etwa 4 Gb/s – sei also vier Mal so hoch wie alle am IVBB angeschlossenen 50 Behörden zusammen. Das Umschwenken des Bundestages zum IVBB habe deshalb zu Lastproblemen im IVBB geführt. Aus diesem Grund könne unter der Woche auch nur etwa die Hälfte der Internetanbindungen des Bundestages auf den IVBB geschwenkt werden. Er weist daraufhin, dass eine zeitlich längere Umleitung zum IVBB deshalb eine Erweiterung der IVBB-Infrastruktur erforderlich mache. Weiter unterscheide sich die Art und Weise der Internetnutzung des Bundestages deutlich von der, die der IVBB seinen Anwendern erlaube. Schon beim Verdacht auf eine IT-Sicherheitsgefährdung werden nicht-dienstrelevante Angebote geblockt. Für die Internetnutzung seitens des Bundestages werde dies dem jeweiligen Anwender ebenfalls auf dem Browser angezeigt, aber das geblockte Web-Angebot nach Bestätigen der Kenntnisnahme wieder freigegeben. Als Notfallszenario könne diese Betriebssituation hingenommen werden, als Dauerlösung sei sie aber nicht akzeptabel.
Abg. Dr. von Notz möchte wissen, auf welchem Weg das Bundestagsnetz angegriffen werden konnte.
Hierauf antwortet Herr Dr. Häger (BSI), dass keine Kenntnisse zum Ersteinstieg in das Netz des Bundestages vorlägen. Als mögliche Ausgangspunkte werden jedoch entweder eine E‑Mail mit einem Link auf ein Schadprogramm oder der Aufruf einer entsprechend manipulierten Webseite vermutet. Besonders das AD sei wegen seiner komplexen Administration, Rechtevergabe und der damit verbundenen aufwendigen Pflege ein bevorzugtes Angriffsziel solcher Schadprogramme. Der Ursprungseinstieg werde nicht weit vor dem ermittelten Einbruch in den AD am 5. Mai 2015 vermutet. Insoweit haben die Mitarbeiter des Bundestages mit der zeitigen Reaktion auf Unregelmäßigkeiten Schlimmeres verhindert. Alle ermittelten Daten deuten auf den 5. Mai 2015 für die Infizierung eines Client-Systems, den Einbruch in das AD und den vom BfV festgestellten Serverkontakt hin.
Herr Hange (Präsident des BSI) erläutert weiter, dass ab dem 13. April 2015 die Adresse des vom BfV als verdächtig angesehenen Servers im IVBB gesperrt worden sei. Somit also theoretisch Angriffe ab diesem Datum stattgefundenen haben könnten.
Herr Dr. Häger (BSI) ergänzt, dass dies der theoretische Zeitraum sei. Aufgrund der ermittelten Indikatoren werde jedoch nicht angenommen, dass sich der Angreifer wochenlang im Netz aufgehalten habe.
Nach diesen Zwischenfragen geht er auf die weitere Vorgehensweise ein. Aktuell werde der tägliche Betrieb sichergestellt. Wie es weiter gehen
solle, müsse allerdings der Bundestag entscheiden, wobei ihn das BSI beratend unterstützen werde. Grundvoraussetzung sei ein Netz ohne Schadsoftware. Durch die Tatsache, dass der Angreifer Administratorrechte erlangt habe, könne nicht ausgeschlossen werden, dass in weiteren Systemen ein verstecktes Schadprogramm hinterlegt sein könnte. Ein Austausch aller Clients erscheine dennoch nicht notwendig, da in der Regel mit dem Neuaufsetzten des Clients alle softwaremäßigen Schadelemente beseitigt werden. Theoretisch sei zwar auch hier die Installation von Schadelementen direkt in Hardwarekomponenten möglich, hierfür seien jedoch keine Anzeichen entdeckt worden. Der Austausch von zentralen Servern beanspruche in der Regel mehr Zeit und erfordere für das Schwenken der Clients in eine sichere Serverlandschaft den Aufbau einer parallelen Infrastruktur. Die Entscheidung, welche Server im Einzelnen betriebsrelevant sein könnten, liege allein beim Bundestag, dass BSI könne hier nur beraten.Abg. Dr. von Notz stellt die Frage, ob seitens des Bundestages über die aktuellen Maßnahmen hinaus zwingend weitere Maßnahmen getroffen werden müssen, z.B. ein sofortiger Wechsel des Passwortes.
Abg. Jarzombek erkundigt sich, ob der Bundestag zum Angriffszeitpunkt ein IDS verwendet habe und ob es auf einem aktuellen Stand gewesen sei. Weiter fragt er, wie es beurteilt werde, wenn auf einem Arbeitsplatzrechner für Anwender die Möglichkeiten einer Co-Administration eingerichtet würden.
Abge. Lemke möchte wissen, wie sicher die Kommunikation über E‑Mail ist, in welchem Rahmen ein Datenabfluss erfolgte und wie ein weiterer Datenabfluss verhindert werde.
Herr Hange (Präsident des BSI) geht auf die Frage des Datenabflusses ein. Diese Daten seien zu verschiedenen Zeiten und in unterschiedlichen Mengen an im Internet befindliche Server versandt worden. Die Auswertung der verschiedenen Zeiträume habe eine Datenmenge von insgesamt etwa 16 GB ergeben.
Einem weiteren Abfluss soll durch die getroffenen Maßnahmen, also ein IDS beim Deutschen Bundestag und intensives Monitoring entgegengewirkt werden. Zur Bereinigung müsse das Netz bzw. Teile des Netzes parallel neu aufgesetzt werden, die Daten „eingefroren“ und dann auf die gesäuberten Systeme transferiert werden.
Das BSI sei kein Netzgestalter, hierzu müsse deshalb ein geeigneter externer Dienstleister beauftragt werden. Hierbei könne das BSI jedoch beratend tätig werden.
Herr Hange (Präsident des BSI) geht auf durch Nutzer installierte Programme ein. Er empfiehlt hier, speziell keine Teamviewer-Arbeitsplätze mehr einzusetzen, über die von außen auf das interne Netz zugegriffen werden könne.
Abschließend bemerkt er, dass die aktuell getroffenen Maßnahmen nur für einen überschaubaren Zeitraum aufrecht gehalten werden könnten, da das BSI eine solche Daueraufgabe nicht leisten könne.
Er geht auf das Konfliktpotential von Kommunikationssicherheit und damit verbundenen automatisierten Prüfungen von Daten ein. Er betont, dass die besondere rechtliche Stellung des Bundestages innerhalb des IVBB beachtet werde. Auch beim Einsatz von SPS werde lediglich die IP-Adresse der Firewall des Bundestages angezeigt. Das BSI legt Wert darauf, alle Maßnahmen im Rahmen der Beratung in enger Abstimmung mit der Verwaltung des Bundestages durchzuführen. Der Bundestag nutze gegenwärtig die vom IVBB angebotenen Möglichkeiten zur Abwehr. Weitere Mechanismen seien Bestandteil eines Sicherheitskonzeptes. Hierzu müssten jedoch erst die grundsätzlichen Sicherungsanforderungen festgelegt werden. Auf dieser Grundlage könne dann entschieden werden, welches externe Knowhow den Neuaufbau des Netzes unterstützen könnte.
In der gegenwärtigen Situation sei es allerdings schon jetzt sinnvoll gewesen, einem externen Dienstleister zur Schadenanalyse hinzuzuziehen, um schnellstmöglich wieder einen stabilen Betrieb sicher zu stellen.
Zur Frage, ob ein sofortiger Wechsel des lokalen Passwortes unbedingt erforderlich sei antwortet Herr Dr. Häger (BSI), dass es grundsätzlich nicht schade, aber in der gegenwärtigen Ausgangslage, in der ein Angreifer über Administrationsrechte im AD verfüge, hinsichtlich möglicher weiterer Angriffe vorerst nichts bewirke.
Herr Möhlmann (RL IT 5) beantwortet die Frage nach dem Einsatz eines IDS. Der Bundestag setze seit einigen Jahren ein rudimentäres IDS ein. Rudimentär deshalb, weil die Informationen über verdächtige Server den Bundestag nur verspätet oder nie erreichten. So sei dem BSI seit dem 13. April 2015 die Adresse bekannt gewesen, an die die Daten aus dem Bundestag abgeflossen seien. Diese Adresse habe der Bundestag am 21. Mai sperren können, da diese Information erst zu diesem Zeitpunkt dem Bundestag mitgeteilt worden sei. Aktuell erhalte der Bundestag diese Information und könne daher sein IDS entsprechend ertüchtigen.
Auch Systeme zur Überprüfung des E‑Mail-Verkehrs und SPS seien sicher für den Bundestag interessant; mit einem geschätzten Personalaufwand von etwa neun Stellen allerdings personell nur recht aufwendig zu betreiben.
Wenn allerdings die für eine Analyse erforderlichen Informationen nicht übermittelt und somit nicht aktuell gehalten werden können, sei der Einsatz solcher Verfahren sinnlos. Deshalb müssen die bislang dem Deutschen Bundestag nicht zugänglich gemachten notwendigen Grunddaten sowie deren Aktualisierungen für solche Verfahren, zukünftig dem Bundestag zur Ertüchtigung seines IDS vom BfV und dem BSI bereitgestellt werden.
Er geht auf die durch den Schwenk der Internetverbindungen des Bundestages entstandene Belastung der Bandbreite des IVBB ein. Der Bundestag beteilige sich jährlich mit fast 200.000 Euro an den Kosten und nutze den IVBB nur in einem geringen Maße, da er über eigene, leistungsfähigere Internetanbindungen verfüge. Nun, da der Bundestag den IVBB-Zugang nutze, werden Lastprobleme seitens des IVBB angemerkt. Der Argumentation des BSI, hinsichtlich der „nur“ 1Gb/s Bandbreite für den IVBB, kann er deshalb nur bedingt nachvollziehen.
Er spricht weiter die sehr gute Zusammenarbeit mit dem BSI während der letzten beiden Wochen an und hebt auch den starken personellen Einsatz durch das BSI hervor. Er betont ausdrücklich, dass die BFK edv-consulting GmbH von der Verwaltung des Bundestages beauftragt worden sei und der Deutsche Bundestag der Herr des Verfahrens sei und die erforderlichen Scans der Systeme immer durch Mitarbeiter der Verwaltung des Bundestages erfolgten.
Abg. Kaster betont die Bereitschaft seiner Fraktion, an der Schaffung von Grundlagen für erforderliche Maßnahmen konstruktiv mitzuarbeiten. Er bittet das BSI ausdrücklich um konkrete Vorschläge, wie Mitglieder des Bundestages aktuell mit dem Internet umgehen sollen – für eine gewisse Übergangszeit könnten dies auch Verhaltensweisen sein, die im Normalbetrieb sonst nicht akzeptabel seien. Ausdrücklich bedankt er sich für die laufende Information der Fraktionen. Hinsichtlich der weiteren Vorgehensweise zur Neuaufsetzung erwarte er vom BSI Vorschläge zu Mindeststandards bezüglich der Vertrauensstellung zwischen dem Bundestagsnetz und den Fraktionsnetzen. Seine Fraktion sei auch bereit, zukünftig ein höheres Schutzniveau des Netzzuganges aus und ins Fraktionsnetz zu unterstützen.
Zur Information der Abgeordneten und der Öffentlichkeit durch die Bundestagsverwaltung zeigt er Verständnis für deren um Vertraulichkeit bemühtes Kommunikationsverhalten. Allerdings müsse den Abgeordneten auch die aktuelle Sachlage dargestellt werden. Er befürwortet daher entsprechende Informationen durch die IuK-Kommission und den Ältestenrat.
Abge. Dr. Sitte spricht die aktuelle Berichterstattung über den Angriff auf die IT des Bundestages in den Medien an. Diese vermittele den Eindruck, dass die IuK-Kommission die informationstechnische Hoheit über dieses Thema verliere.
Abg. Dr. Brandl spricht ebenfalls die Verteilung von Informationen aus der IuK-Kommission im Hause an. Es seien Protokolle von Sitzungen der IuK-Kommission Ausschüssen zur Kenntnis gegeben worden. In solchen Fällen sollten, aus Gründen der Transparenz, vorher alle Abgeordneten entsprechend informiert werden. Weiter bittet er das BSI, wenn es ihm in Bezug auf die besondere Rechtsstellung des Bundestages notwendig erscheine, proaktiv für ihren gegenwärtigen Auftrag im Bundestag erforderliche parlamentarische Entscheidungen einzufordern. Es sei nicht gewollt, dass das BSI durch seine Arbeiten für den Bundestag in Kritik gerät.
Unter der Prämisse „alles Mögliche gegen den Datenabfluss zu tun“ hält er, bei Vorliegen einer entsprechenden parlamentarischen Beschlusslage, auch den zeitlich begrenzten Einsatz des SPS des BSI im Bundestag für sinnvoll.
Hinsichtlich des Neuaufsetzens des Netzes in der Sommerpause schlägt er eine zusätzliche Sitzung der IuK-Kommission vor. Hier könnten dann Fragestellungen zur Netzanbindung, zum Umgang mit den MdB-Clients und den Anbindungen der Fraktionen behandelt werden. Als letztes stellt er die Frage, ob der Bundestag mit seinen vorhandenen Kapazitäten strukturell ein sicheres Netz, dem IVBB vergleichbar, betreiben könne oder auch Alternativen, wie der IVBB – mit dem bestehenden Konfliktpotential Exekutive versus Legislative – oder ein kommerzieller Anbieter, unter Abwägung der hiermit verbundenen Risiken betrachtet werden sollten.
Abge. Lemke spricht an, dass die Presse sich für ihre Berichterstattung auf Aussagen von Sicherheitskreisen berufe. Sie fordert das BSI auf sicherzustellen, dass keiner seiner Mitarbeiter in die Öffentlichkeit kommuniziere. Zur Diskussion hinsichtlich einer Zusammenarbeit mit dem BfV merkt sie an, dass hierzu ebenfalls unklare Informationen in der Öffentlichkeit verbreitet worden seien.
Zum Ziel der aktuellen Maßnahmen merkt sie an, dass diese die IT-Sicherheit der Kommunikation von Abgeordneten so schnell und umfänglich wie möglich gewährleisten sollten. Die gemachten Ausführungen während der letzten und heutigen Sitzung vermittelten ihr jedoch den Eindruck, dass momentan eine IT-Sicherheit des Bundestagnetzes nicht gewährleistet und auch in absehbarer Zeit nicht wieder hergestellt werden könne. Auch wenn gegenwärtig vom BSI keine Aktivitäten festgestellt werden, könnte doch ein Datenabfluss bzw. eine Kompromittierung über Monate nicht ausgeschlossen werden. Sie erwarte vom BSI zudem Empfehlungen, wie sich die Abgeordneten bezüglich ihrer IT-Sicherheit in den nächsten Monaten, wenn dasSystem nicht abgeschaltet werde, verhalten sollten.
Abg. Jarzombek regt an, das bestehende Problem wieder in den Mittelpunkt zu stellen und zu einer Sachlichkeit zurückzukehren. Eine Diskussion darüber, wer was, wann und wo gesagt oder auch nicht gesagt habe, sei nicht besonders sachdienlich. Er halte es für wichtig, dass die Mitglieder der IuK-Kommission mit gleichem Wissen darüber, was eigentlich geschehen sei, die Sitzung verließen. Er erinnert an seine bereits gestellte Frage, ob die Exchange-Server, die die E‑Mails sowie die sonstigen sensiblen Daten, z.B. zur Terminplanung der Abgeordneten enthalten, kompromittiert worden seien. Hierzu habe Herr Möhlmann erklärt, dass es dafür keinerlei Hinweise gebe. In der vorausgegangenen Diskussion sei es vorrangig darum gegangen, dass aus dem vom BSI festgestellten Abfluss von lokal abgespeicherten Outlookdateien mit alten E‑Mails die Unsicherheit des E‑Mail-Systems des Bundestages konstruiert worden sei.
Er bittet Herrn Möhlmann erneut, dazu Stellung zu nehmen, ob es Hinweise darauf gebe, dass das E‑Mail-System des Bundestages kompromittiert war, ist oder sein könnte sowie dass der Hinweis des BSI zum Datenabfluss sich auf in Dateien archivierte alte E‑Mails von lokalen Rechnern beziehe.Es sei ein gravierender Unterschied, ob alte, archivierte E‑Mails von vielleicht 15 Clients das Haus verlassen haben oder die gesamte E‑Mail kompromittiert sei. Weiter macht er deutlich, dass nicht, wie in der Presse spekuliert werde, die gesamte Hardware des Deutschen Bundestages, sondern nur bestimmte einzelne Komponenten parallel aufgebaut werden sollten. Hier seien Informationen zum Mengengerüst und auch zur zeitlichen Achse sinnvoll.
Auch hat er Bedenken hinsichtlich der durch die zeitweilige Umleitung des Internetverkehrs über den IVBB festgestellten massenhaften Kleinkompromittierungen bei lokalen Rechnern. Dies sei seiner Meinung nach Anlass, über die Rechtesituation bei den lokalen Rechnern nachzudenken. Natürlich muss sichergestellt sein, dass die Daten von Abgeordneten gesichert seien. Anderseits ist der Bundestag ein Verfassungsorgan mit besonderer Rechtsstellung. Deshalb ergebe sich hier der Widerspruch möglichst hoher Freiheitsgrade beim Umgang mit der IT – eine Nutzung aller Möglichkeiten des Internets einschließlich einer intensiven Nutzung von Clouds, die hinsichtlich des Datenabflusses kaum kontrollierbar seien- also alle Tore sicherheitstechnisch weit zu öffnen und dem Wunsch, dabei eine 100%ige Sicherheit zu haben. Ergänzend komme noch die Fragestellung hinzu, in wie weit Dritte Teile des Systems überprüfen sollten, z.B. IDS Systeme der Bundestagsverwaltung. Hieraus lasse sich ein Anforderungsdreieck mit den Seiten „maximale Leistung“, „maximale Sicherheit“ und „kontrollierte Kommunikationsüberwachung“ definieren. Wie diese Forderungen aufgelöst werden könnten, werde unter anderem Gegenstand von zukünftigen Sitzungen der IuK-Kommission sein. Ein erster Ansatz könnte seiner Meinung nach eine Zurücknahme von Berechtigungen bei den lokalen Rechnern sein. Über das Sachleistungskonto könne dann jeder Abgeordnete entsprechende IT-Geräte für von ihm gewünschte IT-Leistungen beschaffen, die dann über das Bundestagsnetz nicht mehr möglich wären.
Die Vors. VPn Pau hält besonders die im letzten Punkt angesprochene Thematik für eine Aufgabe, die nach Auflösung der aktuellen großen Fragen auf die IuK-Kommission zukommen werde. Sie hofft, dass dann alle mit der notwendigen Entschlossenheit nicht nur entsprechende Restriktionen gemeinsam beschließen, sondern auch bereit seien, diese dann in den Fraktionen durchzusetzen.
Abg. Dr. von Notz erinnert daran, dass die Diskussionen zur Sicherheit bereits seit vier Wochen andauerten. Tägliche Angriffe auf lokale Rechner scheinen mittlerweile ein Grundproblem bei der Internetnutzung zu sein. Aktuell sei auch der Tophersteller von Antivirenprogrammen, die Firma Kaspersky erfolgreich angegriffen worden. Wenn jedoch der Deutsche Bundestag betroffen sei, stelle dies ein Politikum dar und die Öffentlichkeit reagiere entsprechend. Durch die Rechtstellung des Deutschen Bundestages sei die Einbindung von Behörden der Exekutive – auch zur Abwehr von Cyberangriffen – juristisch grundsätzlich kein triviales Unterfangen. Dies habe nichts mit den als ehrenwert anerkannten guten Fachleuten zu tun. Hier gehe es um die verfassungsmäßig bewusst gewollte Gewaltenteilung. Er weist darauf hin, dass der Bundestag eine eigene Polizei habe, nicht weil der Berliner Polizei misstraut werde sondern als Zeichen seiner besonderen Rechtsstellung.
Zu den sicherheitsrelevanten Vorgängen führt er aus, dass zu den nachweisbaren Aktivitäten die Verschiebung einer E‑Mail-Datei gehöre. Weiter sei berichtet worden, dass nur bestimmte Kommunikationswege überprüft werden könnten und deshalb keine Aussage für VPN-Zugänge und Internet-Clouds möglich seien. Somit könnte aus seiner Sicht die Frage, ob ein Sicherheitsproblem bestehe, nur bejaht werden.
Er spricht weiter an, dass eine zeitliche und kostenmäßige Einschätzung unter besonderer Berücksichtigung der Ausschreibungsregularien als Planungsgrundlage notwendig sei. Abschließend betont er, dass bei den Beschaffungsdiskussionen auch das Thema Open Source berücksichtigt werden müsse.
Herr Hange (Präsident des BSI) geht auf die Presseveröffentlichungen zum Angriff auf den Bundestag ein. Er betont, dass das BSI hierzu keinerlei öffentliche Stellung genommen habe. Alle Schreiben seien bis auf das letzte, hinsichtlich in Betracht kommender Provider, eingestuft worden. Er weist noch einmal auf die Rolle des BSI hin. Kernaufgaben der beim Bundestag eingesetzten BSI-Mitarbeiter seien normalerweise der Schutz des Regierungsnetzes. Das BSI verfüge auch nicht über die Erfahrungen für das Neuaufsetzen von Netzen, es könne jedoch hinsichtlich sicherheitstechnischer Maßnahmen beraten. Grundsätzlich bestimme jedoch das angesprochene Verhältnis von IT-Freiheiten für Abgeordnete und dem allgemeinen Sicherheitsanspruch letztendlich das Maß der Kommunikationssicherheit. Diese Grundsatzfrage müsse der Bundestag für sich selbst beantworten. Daraus ließen sich dann ein Zeitplan und Aussagen zum materiellen Aufwand entwickeln.
Er geht auf die Frage ein, ob eine Ausschreibung erforderlich sei. Dies hänge letztendlich davon ab, ob der Schutz des Bundestages als Teil der nationalen Sicherheit angesehen werde. Diese Frage müsse juristisch beleuchtet werden. Unter dieser Prämisse könnten freihändige Vergaben möglich sein.
Zu den vom Abg. Dr. Brandl angeführten drei Realisierungsansätzen führt er aus, dass wegen der Notwendigkeit einer zeitnahen Umsetzung nur eine Vergabe nach außen als erfolgversprechend angesehen werden könne. Auch der Vorschlag, Open Source-Produkte auf ihren möglichen Einsatz zu prüfen, sei sinnvoll.
Hinsichtlich des Einsatzes von SPS im Bundestag habe das BMI allerdings verfassungsrechtliche Bedenken. Diesbezüglich sei deshalb seitens des Bundestags eine klare Entscheidung erforderlich.
Herr Dr. Häger (BSI) antwortet auf die Frage nach der aktuellen Sicherheit des Bundestagsnetzes, dass es aufgrund des sehr intensiven Monitorings gegenwärtig sicher sei, da jede Anomalie sofort auffalle. Dieser hohe Personaleinsatz seitens des BSI könnte jedoch nicht auf Dauer aufrecht gehalten werden.
Herr Hange (Präsident des BSI) führt diesen Punkt mit dem Hinweis fort, dass das BSI im Rahmen der Beratung Vorschläge erarbeiten könne. Der Bundestag müsse aber selbst die für ihn akzeptablen Sicherheitsanforderungen festlegen, um zeitnah, evtl. zusammen mit geeigneten externen Beratern, einen Neuaufbau des Netzes zu planen und umzusetzen.
Herr Dr. Häger (BSI) geht auf den Austausch von Servern ein. Diese müssten nicht wegen einer evtl. angriffsbedingten Manipulation der Hardware ausgetauscht werden, sondern könnten, wenn das Netz für einige Tage stillgelegt werde, neu aufgesetzt werden. Damit jedoch keine Unterbrechung des Betriebs stattfinde, solle über einen Parallelbetrieb, unter der Hoheit des Bundestages, die neuen Server aufgebaut werden.
Herr Möhlmann (RL IT 5) bestätigt, dass es sich bei den abgeflossenen Daten nicht um E‑Mails gehandelt habe, die von E‑Mail-Systemen des Bundestages verschickt worden seien, sondern um PST- und OST-Dateien, also lokal gespeicherte E‑Mail-Dateien. Diese seien auch nicht als E‑Mail verschickt, sondern über den http/https-Verkehr als normale Datenpakete im Internet versandt worden. Er bestätigt, dass die Untersuchungen ergeben haben, dass sowohl die E‑Mail-Systeme des Bundestages als auch die der Fraktionen im Moment nicht betroffen seien.
Herr Möhlmann (RL IT 5) antwortet auf die Zwischenfrage des Abg. Helferich, ob dieser Datenabfluss nur bei infizierten Clients festgestellt wurde, dass hiervon insgesamt zwei Clients betroffen gewesen seien.
Die Vors. VPn Pau teilt mit, dass heute im Ältestenrat die Zusammenarbeit mit dem BfV behandelt werde und ein entsprechender förmlicher Beschluss herbeigeführt werden solle. Hier werde auch über die vom GBA eingeleitete Prüfung informiert. Bis zur Sitzung des Ältestenrates werde das Ergebnis dieser Sitzung so zusammengefasst, dass diese als Information für die Öffentlichkeit verwendet werden könnte.
Als nächste Aufgaben der IuK-Kommission kündigt sie Überlegungen zur Einholung von Angeboten, Aufstellung eines Zeitplanes, Vergabe und Realisierung der mit einem Neuaufsetzen der Infrastruktur anstehenden Aktivitäten an.
Die Vors. VPn Pau erteilt Herrn Dr. Risse (Direktor beim Deutschen Bundestag) das Wort.
Herr Dr. Risse (Direktor beim Deutschen Bundestag) geht auf die rechtlichen Bedenken des BMI ein. Der Bundestag leite aktuell einen Teil seines Internetverkehrs über die Infrastruktur des IVBB. Hierdurch werde die dort verfügbare Bandbreite voll ausgeschöpft. In der aktuellen Situation seien ihm seitens der Abgeordneten des Bundestages bisher keine Bedenken gegen diese sicherheitsbedingte Maßnahme bekannt geworden. Diese Information könne das BSI auch an das BMI bezüglich der dortigen Überlegungen übermitteln. Hinsichtlich der Auslastung müsse es, ungeachtet der angesprochenen Kostenfrage, zur Anmietung zusätzlicher Kapazitäten kommen, unter Verwendung des gleichen Sicherheitsstandards, wie er durch den IVBB bereitgestellt werde.
Zur Frage der Außendarstellung der aktuellen Situation und des Bundestagsnetzes spricht er sich dafür aus, diese auf das zuständige Gremium – also die IuK-Kommission – zu beschränken. Dies betreffe nicht nur die heutige Thematik, sondern auch zukünftige Detailvorstellungen im Hinblick auf den zu gewinnenden Dienstleister für die Architektur des neuaufzusetzenden Netzes.
Die Vors. VPn Pau erinnert daran, dass die zeitlich begrenzte Umleitung des Internetverkehrs über den IVBB zur Gewährleistung der größtmöglichen Sicherheit der Internetanbindung diene und nur für einen Übergangszeitraum vorgesehen sei.
Im Zusammenhang mit der Aufnahme eines zukünftigen Normalbetriebes weist sie auch daraufhin, dass bereits heute, durch erkennbare erweiterte Anforderungen hinsichtlich der Sicherheitsmaßnahmen innerhalb des Bundestagsnetzes, entsprechende materielle und personelle Erweiterungen absehbar seien.
Weiter informiert sie die Mitglieder der IuK-Kommission darüber, dass sie anfragenden Journalisten mitgeteilt habe, dass es vor der heutigen Sitzung des Ältestenrates nichts zu berichten gebe und der Deutsche Bundestag nach entsprechenden Beschlussfassungen durch den Ältestenrat die Öffentlichkeit informieren werde. Nachdem keine weiteren Wortbeiträge zu diesem Tagesordnungspunkt und zum Tagesordnungspunkt „Verschiedenes“ mehr vorliegen, bedankt sich die Vors. VPn Pau bei allen Teilnehmern und schließt die Sitzung.
Schluss der Sitzung: 9:35 Uhr
Petra Pau, MdB
Vorsitzende
Kurzprotokoll der 8. Sitzung der IuK-Kommission
Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien
Berlin, den 2. Juli 2015, 7:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)Vorsitz: VPn Petra Pau, MdB
Tagesordnung
- Tagesordnungspunkt 1: Bericht des BSI-Präsidenten, Herrn Hange zum Angriff auf die IT des Deutschen Bundestages
- Tagesordnungspunkt 2: Bericht der Firma T‑Systems, Herr Scholz, zur Erneuerung der zentralen IT-Systeme des Deutschen Bundestages
- Tagesordnungspunkt 3: Erweiterung und Beschaffung einiger Sicherheitssysteme analog zum IVBB, Herr Möhlmann IT 5
- Tagesordnungspunkt 4: Verschiedenes
Die Vorsitzende begrüßt die Teilnehmer zur Beratung der IuK-Kommission. Vor Eintritt in die Tagesordnung schlägt die Vorsitzende den 10. September 2015 als Termin für die nächste Sitzung der IuK-Kommission nach der Sommerpause vor. Die Vorsitzende übergibt das Wort an den Präsidenten des BSI, Herrn Hange zur Darstellung der aktuellen Lage.
Tagesordnungspunkt 1
Bericht des BSI-Präsidenten, Herrn Hange zum Angriff auf die IT des Deutschen Bundestages
Herr Hange (BSI) fasst kurz die Aktivitäten der letzten Wochen zusammen, verweist hierin auf die detaillierten Berichte der nachfolgenden Referenten und übergibt das Wort an Herrn Steffens (BSI) zur Zusammenfassung des aktuellen Status.
Herr Steffens (BSI) berichtet, dass in den letzten 4 Wochen keine Täteraktivität mehr festzustellen gewesen sei. Die Installation eines Schadprogrammes am 27.05.2015 sei die letzte festgestellte Aktion des Täters gewesen. Weitere Bewegungen des Täters im Netz seien seitdem nicht beobachtet worden. Herr Steffens (BSI) führt als Gründe hierfür an, dass zum einen die eingeführten Maßnahmen mit gesperrten Rückmeldekanälen und der Abschaltung/Bereinigung der als kompromittiert geltenden Systeme Wirkung zeigten. Zum anderen könnten die Täter – auch durch die Berichterstattung in den Medien – dazu veranlasst worden sein, sich ruhiger zu verhalten. Herr Steffens (BSI) verdeutlicht, dass dieser Umstand nicht bedeute, dass der Angriff nunmehr vorbei sei. Es sei vielmehr dringend notwendig, weitere Maßnahmen zur Erneuerung und Härtung der IT-Systeme zu ergreifen, da sonst die Kompromittierung des Gesamtsystems weiter bestehen bleibe. Zum Ausmaß der Kompromittierung gibt er an, dass bislang 21 Arbeitsplatzrechner und 4 Server mit sogenannten Backdoors (Schadprogrammen, die sich aus dem Bundestagsnetz nach draußen verbinden, um Angreifern Zugriff auf Daten zu ermöglichen) gefunden worden seien. Ein Ausspähen von Zugangsdaten sei auf 5 Arbeitsplätzen und 20 Servern festgestellt worden. Die Aufteilung auf die Gerätearten sei dadurch zu erklären, dass Arbeitsplatzrechner einen direkten Zugang zum Internet hätten, welcher für den Datenabfluss notwendig sei und auf Servern wiederum Zugangsdaten mit höheren Rechten verfügbar seien, die die Täter zur Bewegung im Netz benötigten. Herr Steffens (BSI) weist darauf hin, dass das Hauptproblem jedoch nicht aus der bislang festgestellten Menge an kompromittierten Systemen bestehe, sondern aus dem Umstand, dass wesentliche Systeme wie das Active-Directory betroffen seien. Er erläutert kurz, dass das Active-Directory ein Dienst sei, auf dem die Zugangsdaten und Passworte sowie die Rechte aller Nutzer verwaltet würden. Durch die Kompromittierung genau dieser Server sei es den Angreifern gelungen, eigene Benutzer mit maximalen Rechten neu anzulegen, die einen weitreichenden Zugriff auf alle wesentlichen Systeme des Netzes gehabt hätten. Herr Steffens (BSI) erläutert weiter, dass der letzte festgestellte Datenabfluss am 20.05.2015 stattgefunden habe. Es seien ca. 16 GB an Daten nach draußen transferiert worden. Auf den bislang untersuchten Systemen seien noch weitere Dateien gefunden worden, die die Täter dort offensichtlich (mit dem Ziel eines späteren Transfers) gesammelt hätten. Bei diesen Dateien habe es sich hauptsächlich um Mailarchive und kleinere Tastaturmitschnitte auf Rechnern von Administratoren gehandelt. Die erste Infektion im Bundestagsnetz könne ungefähr auf den 30.04.2015 zurückverfolgt werden. Die Täter hätten hierbei ein Schadprogramm installiert und sich binnen weniger Stunden zusätzliche Werkzeuge heruntergeladen. Hierbei sei auch ein Werkzeug gewesen, welches Arbeitsspeicher nach Passwörtern untersuchen konnte. Mit diesem Werkzeug sei es dann innerhalb kurzer Zeit gelungen, ein Systemkonto mit erhöhten Rechten, welches zur Softwareverteilung eingesetzt wurde, zu finden und auszuspähen.
Herr Steffens (BSI) erläutert noch einmal die im ersten Schritt eingeführten Maßnahmen zur Eindämmung des Angriffes. Er nennt hier in erster Linie die Abschaltung und Bereinigung infizierter Systeme, die täglichen Scans nach Schadsoftware sowie die Sperrung der sogenannten Steuerungskanäle zu Command & Control-Servern im Internet. Accounts, die von den Angreifern verwendet wurden, seien deaktiviert worden. Zusätzlich seien die Loglevel erhöht worden, um neue Aktivitäten der Täter erkennen zu können. Um den Angreifern weiteren Handlungsspielraum zu entziehen, seien am Wochenende und in Ruhephasen möglichst viele Systeme vorsorglich heruntergefahren worden. Die Vorsitzende erteilt dem Abg. Jarzombek, dem Abg. Dr. Brandl und der Abge. Dr. Sitte das Wort für Nachfragen.
Abg. Jarzombek fragt, ob der Angriff direkt auf Active-Directory Server oder nur auf administrative Systeme erfolgt sei. Zusätzlich möchte er wissen, ob die in der Presse genannten Rechner der Bundeskanzlerin oder des Abgeordnetenbüros der Kanzlerin angegriffen worden seien.
Abg. Dr. Brandl fragt nach, ob durch die forensischen Analysen bestätigt worden sei, dass die Täter den Zugriff auf die Infrastruktur erst Anfang Mai 2015 erlangt hätten und nicht bereits seit mehreren Monaten aktiv gewesen wären.
Abge. Dr. Sitte bittet um eine weitere Konkretisierung zur Art der abgeflossenen Dateien und fragt, wann geplant sei, die Analyse der Daten zu beenden.
Die Vorsitzende stellt vor der Beantwortung der Fragen noch einmal fest, dass den von dem Angriff betroffenen Abgeordneten zugesichert worden sei, dass die Namen ihrer Büros nicht preisgegeben würden. Es sei daher den Abgeordneten selbst überlassen, ob sie einen Angriff veröffentlichten oder nicht.
Herr Steffens (BSI) erläutert, dass die betroffenen Server Active-Directory-Server gewesen seien und dass die Angreifer nach der Kompromittierung der Systeme Standard-Administrationswerkzeuge genutzt hätten, um sich im Netz weiterzubewegen. Die betroffenen Clients seien zum größten Teil Abgeordnetenrechner gewesen und einige Rechner von Administratoren. Wahrscheinlich seien die Abgeordnetenrechner genutzt worden mit dem Ziel, Daten zu stehlen und die Administrationsrechner, um die Zugangsdaten der Administratoren zu erlangen. Die abgeflossenen Daten seien in erster Linie komplette Mailpostfächer gewesen. Zwar seien auch Skripte zum Sammeln von Dokumenten, PDF- und Powerpoint-Dateien gefunden worden, es gebe allerdings bislang keinen Hinweis darauf, dass diese Skripte größere Mengen an Daten eingesammelt hätten. Das erste zurück verfolgbare System sei am 30.04.2015 infiziert worden. Nach dem darauf folgenden Wochenende seien die Täter bereits in der Lage gewesen, sich frei im Netz zu bewegen. Insgesamt sei es den Angreifern gelungen, 5 der 6 Accounts der Domänenadministratoren der Bundestagsverwaltung zu kompromittieren und zu nutzen.
Abge. Dr. Sitte fragt noch einmal, wann die Analyse der Daten beendet sein werde und fügt die Frage hinzu, ob bei der Auswahl der betroffenen Abgeordneten eine Systematik – z.B. an der Tätigkeit des Abgeordneten – erkannt worden sei, die einen Rückschluss auf das Interesse des Angreifers zuließe.
Herr Steffens (BSI) führt aus, dass sich die forensischen Untersuchungen des BSI auf die technischen Aspekte beschränke. Rückschlüsse zu den Inhalten der gesammelten Dateien oder zur Zugehörigkeit der betroffenen Abgeordneten zu bestimmten Ausschüssen könnten von der Seite des BSI nicht gezogen werden. Zur Beendigung der forensischen Analyse bemerkt Herr Steffens (BSI), dass aktuell nur Restarbeiten wie interne Dokumentationen ausstünden. Die Untersuchung weiterer Systeme sei zurzeit nicht geplant.
Herr Hange (BSI) ergänzt, dass die Analyse gezeigt habe, dass aktuell keine weiteren Aktivitäten mehr stattfänden und somit auch keine weiteren Schäden entstünden. Dieses sei das wichtigste Ziel der Bereinigungs- und Blockierungsmaßnahmen der letzten Wochen gewesen. Aus diesem Grund habe sich die Hauptarbeit auf die Vorbereitungen zum Neuaufsetzen des Systems verlagert. Neu auftretende Aktivitäten der Angreifer seien in diesem Stadium nicht auszuschließen und diesen müsse schnell nachgegangen werden.
Abg. Herzog fragt noch einmal, ob eine Systematik bei der Auswahl der betroffenen Abgeordneten zu erkennen gewesen sei und ob hinter dem Angriff eher ein Zufallstreffer oder ein gezieltes Vorgehen gegen bestimmte Abgeordnete zu vermuten sei.
Die Vorsitzende gibt an, dass bislang keine Erkenntnisse vorlägen, die die Zugehörigkeit der betroffenen Abgeordneten zu bestimmten Ausschüssen, Politikfeldern, Parteien oder Gruppen zuließen. Sts Dr. Risse bestätigt diese Einschätzung der Vorsitzenden.
Herr Hange (BSI) erläutert, dass Cyberangriffe in der vorliegenden Form heute bereits immer häufiger auftreten würden. Ziele seien hierbei im ersten Schritt höchstwahrscheinlich nicht gezielt einzelne Abgeordnete sondern eher die Erlangung möglichst hoher Rechte im Netz und das Sammeln von Daten in breiter Fläche gewesen. Die Gegenmaßnahmen mit Scans auf den betroffenen Rechnern und Überprüfung der Rückmeldewege seien daher richtig gewesen. Aus dem momentan relativ stabilen Zustand könne nun durch Neuaufsetzen und Austausch infizierter Systeme der Zustand vor dem Angriff wieder hergestellt werden. Nun müssten weitere Maßnahmen ergriffen werden, die z.B. den Zugang an Administrationsrechnern nachhaltig erschweren.
Abge. Dr. Sitte fragt, ob bereits Schwachstellen ermittelt werden konnten, bei denen aktuell der dringendste Handlungsbedarf bestünde.
Herr Möhlmann (RL IT 5) antwortet, dass schnellstmöglich die betroffenen Systeme Domänen-Controller und Softwareverteilungsserver neu aufgesetzt werden müssten. Auch sei es dringend notwendig, die Schwachstellen im Administrationskonzept, die dazu führten, dass Systeme relativ leicht übernommen werden konnten, zu beseitigen. Er weist darauf hin, dass in der Vergangenheit sehr viel Wert auf eine komfortable Nutzung der PC durch die Anwender gelegt worden sei. Im Rahmen der Überarbeitung der Sicherheitseinstellung werde jedoch auch ein restriktiverer Umgang mit Komfortmerkmalen zu überdenken sein.
Die Vorsitzende erteilt Herrn Scholz (T‑Systems) das Wort zur Erläuterung der Erneuerung der zentralen IT-Systeme.
Tagesordnungspunkt 2
Bericht der Firma T‑Systems, Herr Scholz, zur Erneuerung der zentralen IT-Systeme des Deutschen Bundestages
Herr Scholz (T‑Systems) erläutert, dass die Firma T‑Systems beauftragt worden sei, zunächst zu analysieren, welche Maßnahmen kurzfristig umgesetzt werden müssten, damit dieser oder ein ähnlicher Angriff keine weiteren Schäden mehr verursachen könne. Darauf aufbauend sei dann die Beschreibung weiterführender Maßnahmen zur Härtung der eingesetzten Systeme in einer längeren Zeitperspektive geplant. Die Erledigung der kurzfristigen Maßnahmen sei bis zum Ende der bevorstehenden Sommerpause vorgesehen.
Hierzu sei bereits begonnen worden, konzeptionelle Überlegungen zur langanhaltenden Verbesserung der gesamten Sicherheitsarchitektur durchzuführen. Kurzfristig seien Maßnahmen erforderlich, die es dem Angreifer oder potentiellen Nachahmern erheblich erschwerten, Arbeitsplatzsysteme zu übernehmen. Vorrangig noch in der Sommerpause müsse auch das Active-Directory als zentral kompromittiertes System komplett neu aufgesetzt werden. Weitere Untersuchungen seien dann zu den Themen Monitoring, Alarmierung und Einsatz von Frühwarnsystemen erforderlich. Nicht zu unterschätzen sei auch die Sensibilisierung der Anwender im Umgang mit elektronischen Daten. Die Empfehlung von T‑Systems werde daher auch die Einführung eines Sensibilisierungsprogramms (Awareness) für alle Abgeordneten und Beschäftigten im Umfeld des Deutschen Bundestages enthalten.
Herr Scholz (T‑Systems) erläutert kurz den zeitlichen Ablauf der in den kommenden Wochen geplanten Maßnahmen mit mehreren Meilensteinen, an denen jeweils Entscheidungen zum weiteren Vorgehen zu treffen seien. Er macht deutlich, dass es beim Neuaufsetzen der Systeme in der Sommerpause für einen Zeitraum von 3–5 Tagen zu Beeinträchtigungen bzw. zum Ausfall der Arbeitsfähigkeit kommen werde.
Die Vorsitzende betont, dass es wichtig sei, klar anzusprechen, dass es zum Ausfall der Arbeitsfähigkeit über mehrere Tage kommen könne. Dieses müsse den Fraktionen in der nächsten Ältestenratssitzung mitgeteilt werden. Ebenso sei eine frühzeitige Information der Mitglieder des Bundestages sowie der Mitarbeiterinnen und Mitarbeiter der Verwaltung zu diesem Umstand erforderlich.
Herr Scholz (T‑Systems) erklärt, dass es das primäre Ziel sei, die Arbeitsfähigkeit Anfang September zum Ende der Sommerpause sicherzustellen.
Abg. Kaster stellt die Frage, ob bei den Betrachtungen der Firma T‑Systems zur gesamten IT-Sicherheitsarchitektur auch die Verbindungen zwischen den Fraktionen und der Bundestagsverwaltung berücksichtigt würden. Er erwarte zum Beispiel Vorschläge, ob aus Sicherheitsaspekten größere Komponenten der Fraktionen in zentrale Bundestagssysteme zu integrieren seien oder ob es besser sei, die Systeme noch stärker zu trennen, oder ob bei Beibehaltung der jetzigen Vertrauensstellungen durch die Fraktionen bestimmte Mindestanforderungen zu erfüllen seien. Zu diesen Fragen, aber auch zu den gegebenenfalls notwendigen Einschränkungen in den Komfortmerkmalen, seien jedoch detaillierte Informationen als Grundlage für weitere Entscheidungen nötig.
Abge. Lemke fragt nach, wie der Angreifer in das System gelangt sei und ob die Schließung dieses Einfallstores auch Bestandteil der kurzfristigen Abwehr und der Neukonzeption des Gesamtsystems sei. Sie stellt zudem fest, dass bei allen Einschränkungen im Komfort der Arbeit – aufgrund sonst fehlender Akzeptanz – logische Sachzusammenhänge mit dem vorliegenden Angriff herzustellen seien. Dieses gelte im Übrigen auch für Empfehlungen im Bereich der angekündigten Sensibilisierungsmaßnahmen für die Anwender.
Abge. Lemke weist darauf hin, dass es dringend notwendig sei, Informationen zu bevorstehenden Ausfällen in der Arbeitsfähigkeit noch in der laufenden Woche bereitzustellen, bevor die Abgeordneten in die Sommerpause gingen. Es gäbe eine große Offenheit für Einschränkungen, wenn Informationen geeignet kommuniziert würden.
Abge. Dr. Sitte bekräftigt die Forderung, frühzeitig in die Diskussion der von T‑Systems, dem BSI und der Bundestagsverwaltung gemachten Empfehlungen zur Erhöhung der IT-Sicherheit eingebunden und informiert zu werden. Zudem sei es wichtig, frühzeitig über die geplante Abschaltung des Gesamtsystems informiert zu werden, insbesondere bei Planungen, die die letzten beiden Wochen im August beträfen, welche die Abgeordneten bereits intensiv zur Vorbereitung der Haushaltswoche nutzten.
Abge. Esken äußert die Befürchtung, dass die angekündigten 3–5 Tage Systemausfall schnell zu einer gesamten Woche heranwachsen könnten. Zudem seien Maßnahmen, welche nur die hinteren Enden der Arbeitsplatzrechner beträfen, nicht ausreichend. Vielmehr sei es angebracht, die Systeme in ihrer Tiefe widerstandfähiger gegen Angriffe zu machen. Sie fragt nach, ob die Analyse und Forensik jetzt abgeschlossen sei, ob die Beauftragung der Firma T‑Systems sich auch auf die weitere Konzeptionierung ab September beziehe und ob TSystems in diesem Auftrag Subunternehmer beschäftige.
Abg. Jarzombek möchte ebenfalls wissen, wie TSystems diesen Auftrag bekommen habe. Er beklagt weiterhin, dass die vorgestellte Präsentation keinesfalls ausreiche, um eine Neustrukturierung der IT des Bundestages zu erklären. Er sähe sich daher in hohem Maße uninformiert über die geplante Neukonzeption.
Abg. Helferich äußert die Sorge, dass die Komforteinschränkungen bei den Nutzern keine PlaceboMaßnahmen sein dürften und an anderer Stelle große Lücken im Sicherheitsbereich aufständen. Er fordert daher eine in sich stimmige und ausgewogene Betrachtung aller Risiken. Er weist darauf hin, dass es wichtig sei, zum Termin der geplanten Abschaltung der IT-Systeme in der Sommerpause frühzeitige Informationen zu erhalten.
Abg. Dr. Brandl merkt an, dass für die Themen Anbindung der Fraktionen, Internetanbindung des Bundestages über den IVBB und Komforteinschränkungen für die Abgeordneten ausreichende Informationen und Entscheidungsvorlagen zu erstellen seien. Die Vorsitzende gibt das Wort an Herrn Hange (BSI) zur Beantwortung der Fragen.
Herr Hange (BSI) erläutert zunächst, dass die Frage wann der erste Angriff stattgefunden habe durch die Einschränkung der Verfügbarkeit der Protokolldaten aktuell nicht genau rekonstruiert werden könne. Das Muster des Angriffes und der Ausleitung von Daten entspräche dem bereits von anderen Stellen bekannten APT 28. Er betont zudem, dass Angriffe auf das System des Bundestages immer möglich seien. Dieses könne nicht verhindert werden. Deshalb sei es entscheidend, die Hintergrundsysteme so zu stärken, dass Angriffe frühzeitig detektiert werden könnten, um eine Übernahmen eines Clients und weiterer Systeme mit hohen Rechten zu verhindern. Wichtig sei es, aus dem erfolgten Angriff zu lernen und weitere Maßnahmen zu ergreifen. Als Beispiel hierfür nennt er, dass die Fraktionen gegenüber der Bundestagsverwaltung durch eine Firewall abgesichert seien, der umgekehrte Fall aber nicht vorhanden sei. Er führt hier Erfahrungen aus dem IVBB an, in dem jedes Ministerium hinsichtlich seiner IT eine eigene IT-Sicherheitszone sei, die an Übergängen auf Schadprogramme geprüft werde. Zu weiteren Maßnahmen bemerkt er, dass auch die Clients gehärtet werden müssten. Als wichtigste Maßnahmen nennt er ebenfalls die Verschlüsselung des Datenverkehrs auch innerhalb der Netze und die starke Authentisierung an den Clients (Zugriff auf die Datenbestände nur nach Authentisierung per Karte oder Stick).
Die Vorsitzende stellt dar, dass es Aufgabe der IuKKommission sei, die Dinge, die aktuell in der Verantwortung der Bundestagsverwaltung organisiert werden müssten, zu begleiten. Der Ältestenrat habe, wie in der letzten Sitzung der IuK-Kommission besprochen, der Bundestagsverwaltung das Mandat erteilt, die notwendigen Maßnahmen unter Berücksichtigung der Gefahr im Verzug einzuleiten. Es sei zudem nicht möglich, ohne eingestufte Sitzung weitere Details des zukünftigen Sicherheitskonzeptes zur Härtung der Systeme zu erörtern oder in irgendeiner Art und Weise zu veröffentlichen.
Abg. Jarzombek wiederholt seine Kritik, dass anhand der gehaltenen Präsentation keine ausreichenden Informationen vorlägen, um eine Beurteilung der Maßnahmen vorzunehmen. Er führt aus, dass er zumindest eine kurze Darstellung der seit der letzten Sitzung erfolgten Aktivitäten erwartet habe.
Abge. Esken zeigt Verständnis für die Vergabe des Auftrages zum Neuaufsetzen der kompromittierten Systeme unter der Bedingung der Gefahr im Verzug. Diese sei jedoch für die Neukonzeption der Systeme ab September nicht mehr gegeben. Sie stellt außerdem fest, dass eine Geheimhaltung der IT-Sicherheitsarchitektur keinen Schutz vor einer Kompromittierung biete. Die Sicherheitsarchitektur habe vielmehr so sicher zu sein, dass man auch darüber öffentlich reden können müsse. Zudem wiederholt sie ihre Fragen nach Referenzfällen, auf denen die vorgeschlagenen Maßnahmen beruhten und ob T‑Systems in diesem Auftrag mit Subunternehmern arbeite.
Die Vorsitzende erteilt Sts Dr. Risse das Wort.
Sts Dr. Risse erklärt, dass der Präsident beabsichtige, weitere Informationen und die Ergebnisse aus der IuK-Kommission sowie der später stattfindenden Ältestenratssitzung in einem Rundschreiben an die Abgeordneten zu richten. Er betont, dass auch für die Bundestagsverwaltung von großem Interesse sei, wann die geplante Abschaltung durchgeführt werde. In Vorbereitung auf die Haushaltswoche im September ende der Urlaubszeitraum zumeist schon in der zweiten Augusthälfte und zu diesem Zeitpunkt müsse die Abschaltung wenn möglich durchgeführt worden sein. Der Versuch, hier ein konkretes Datum zu nennen, sei zum jetzigen Zeitpunkt jedoch rein spekulativ. Sts Dr. Risse erläutert, dass die Beauftragung von T‑Systems eine reine Verwaltungsentscheidung gewesen sei, die nach der Aufforderung des Ältestenrates in Abstimmung und Empfehlung mit dem BSI getroffen worden sei. Eine die Firma T‑Systems empfehlende Referenz sei zudem der Betrieb des IVBB als Behördennetzwerk mit sehr hohen Sicherheitsanforderungen. Der Umstand, dass Gefahr im Verzug vorgelegen habe, habe diese Beauftragung auch vergaberechtlich möglich gemacht. Sts Dr. Risse geht kurz auf den zwischenzeitlich durchgeführten, vorbereitenden Workshop ein, an dem neben der Bundestagsverwaltung das BSI und T‑Systems sowie die IT-Referenten der Fraktionen teilgenommen hätten. Hier sei unter anderem die Anbindung der Fraktionen an das Bundestagsnetz erörtert worden. Die Neukonzeption der Sicherheitsarchitektur spiele für die Zukunft eine wesentliche Rolle. Da die Betroffenheit der einzelnen Abgeordneten und Fraktionen sehr hoch sein könne, seien hier Entscheidungen vorzubereiten. Ziel sei es, ein System zu betreiben, das in seinen Grundparametern auf Beschlüssen der Abgeordneten basiere. Hier werde dann auch zu konzipieren sein, ob die Sicherheitsarchitektur zukünftig dezentraler, mit mehr Sicherheitsinseln zu betreiben sein werde, um sicherzustellen, dass ein Angriff auf eine der Inseln nicht auf das gesamte System übergreifen könne.
Abg. Jarzombek fragt nach, ab wann eine Aussage zum konkreten Zeitpunkt der Abschaltung in der Sommerpause gegeben werden könne.
Die Vorsitzende stellt ebenfalls die Frage, mit welchem Vorlauf eine Abschaltung angekündigt werden könne und übergibt das Wort an die Abge. Lemke.
Abge. Lemke äußert Verständnis über die aktuell unpräzisen Aussagen zur Dauer der Abschaltung, bittet jedoch dringend um Informationen zu den Auswirkungen, die die Abgeordneten zu erwarten hätten, ob das Arbeiten offline möglich sei oder ob die E‑Mail in dem Zeitraum funktioniere. Zudem müsse es möglich sein, dass zumindest ein grober Zeitraum festgelegt werde, in dem die Abschaltung stattfinde.
Abge. Esken würde es begrüßen, wenn die Informationen zu diesem Thema nicht vor der Verteilung durch den Präsidenten bereits Teil der Online-Medienberichterstattung wären. Sie fragt noch einmal nach Subunternehmern der Firma T‑Systems bei diesem Auftrag und stellt weiterhin fest, dass der Betrieb des IVBB zwar ein guter Referenzfall für eine Neukonzeption des Systems ab September sei, nicht aber für die Behandlung des aktuellen Angriffes.
Abg. Kaster geht noch einmal auf die Erarbeitung von Entscheidungsgrundlagen für die IuK-Kommission für den Fall ein, dass die Gesamtsicherheitsarchitektur verändert werden müsse. Über mögliche Konsequenzen auf die Arbeitsweise der Abgeordneten müsse – wie bereits in der Obleuterunde besprochen – ggf. auch in der Sommerpause durch die IuK-Kommission entschieden werden. Wichtig sei zudem, diese Entscheidungsvorlagen auch mit Alternativvorschlägen so früh wie möglich zu erhalten.
Die Vorsitzende bekräftigt die Frage, mit welchem Vorlauf eine Abschaltung angekündigt werden könne.
Herr Scholz (T‑Systems) erklärt, dass zum aktuellen Zeitpunkt der Vorbereitungen eine Nennung eines Termins oder Terminzeitraumes für das Neuaufsetzen der Systeme noch nicht erfolgen könne. Er fügt hinzu, dass T‑Systems aktuell nicht beabsichtige, Subunternehmen bei diesem Auftrag zu beschäftigen. Die Einholung externer Expertenmeinungen zu einem späteren Zeitpunkt könne er jedoch nicht ausschließen.
Abg. Helferich fragt noch einmal, mit welchem Vorlauf ab Mitte Juli bis zum geplanten Abschaltzeitraum zu rechnen sei.
Herr Scholz (T‑Systems) antwortet, dass aus technischer Sicht diese Zeit möglichst lang sein solle, um ausreichend Realisierungs- und Testzeiträume im Vorfeld nutzen zu können. Da als spätester Abschalttermin durch andere Vorgaben jedoch bereits Mitte August feststehe, verkürze sich dieser Zeitraum schon auf maximal 3 bis 4 Wochen.
Die Vorsitzende stellt fest, dass spätestens 14 Tage vor der geplanten Abschaltung eine Information an die Abgeordneten und die Mitarbeiter der Verwaltung erfolgen müsse, um sich organisatorisch auf den Zeitraum vorbereiten zu können. Sie bekräftigt weiterhin den geäußerten Wunsch, frühzeitig Entscheidungsvorlagen zu erhalten, um ggf. auch in der Sommerpause Vorschläge, die die Arbeitsfähigkeit der Abgeordneten oder die IT der Fraktionen beträfen, durch die IuK-Kommission entscheiden lassen zu können.
Die Vorsitzende ruft den dritten Tagesordnungspunkt auf und bittet Herrn Möhlmann (RL IT 5) um Erläuterung der hierzu vorliegenden Beschlussempfehlung.
Tagesordnungspunkt 3
Erweiterung und Beschaffung einiger Sicherheitssysteme analog zum IVBB, Herr Möhlmann IT 5
Hierzu wurde verteilt:
1 BeschlussvorlageHerr Möhlmann (RL IT 5) erläutert, dass aktuell der Internetverkehr des Bundestages während der Woche zur Hälfte über den IVBB geleitet würde, um die dort verfügbaren Systeme zur Blockierung von kritischen Internetseiten zu nutzen. Die andere Hälfte würde über die Firewall Systeme des Bundestages geführt und mit den dort zur Verfügung stehenden beschränkten Mitteln gesichert. Die starke Auslastung dieser eigenen Systeme erzwinge jedoch die Beschaffung eines Systems, das an die Leistungsfähigkeit der Systeme des IVBB heranreiche. Dieses System liefe auf Spezialhardware, welche ausschließlich für den IVBB konstruiert worden sei. Mit dem BSI und dem Hersteller sei bereits geklärt worden, dass dieses System eingesetzt werden dürfe und dass es relativ kurzfristig für den Bundestag verfügbar sei. Derzeit würden auf dem System des IVBB ca. 100.000 Seiten gesperrt, das Firewall System des Bundestages schaffe aktuell eine Sperrung von ca. 5000 Seiten, welche originär mit dem Angriffsszenario zu tun hätten. Zusätzlich würden Bankingtrojaner gesperrt, deren massives Auftreten erst durch den Einsatz spezieller Erkennungssoftware erkennbar geworden sei.
Herr Möhlmann (RL IT 5) führt weiter aus, dass der Angriff mit Antivirenprogrammen nicht zu erkennen gewesen sei. Daher habe man jetzt eine spezielle Erkennungssoftware der Firma BFK im Einsatz, die als Ergänzung zum Virenscanner jeden Tag zum Einsatz käme. Diese Tools seien auf den zurückliegenden Angriff spezialisiert, so dass davon ausgegangen werden könne, dass dieses Angriffsszenario aktuell unter Kontrolle sei. Zukünftig müsse das Antivirensystem des Bundestages jedoch um diese Art Erkennungssoftware erweitert werden.
Herr Möhlmann (RL IT 5) erläutert, dass nicht geplant sei, ein Schadsoftware-Erkennungssystem (SES), wie es das BSI zusätzlich betreibt, im Bundestag einzuführen. Dieses SES leite verdächtige Dateien, die im internen Netz entdeckt würden, an Mitarbeiter des BSI zur Auswertung weiter. Diese Art der Kontrolle sei zum einen mit Daten der Abgeordneten nicht durchführbar und zum anderen nur mir sehr vielen Mitarbeitern zu realisieren. Es sei daher nur der Ausbau des bereits im Einsatz befindlichen Intrusion-Detection-Systems geplant, welches Anomalien im Netzverkehr feststelle und melde. Auch für den Betrieb dieses Systems sei zusätzliches Personal notwendig, welches bis zur Schaffung eigener Stellen bei externen Firmen eingekauft werden müsse.
Herr Möhlmann (RL IT 5) fügt hinzu, dass man die Bundesregierung bitten müsse, weiterhin Signaturen zum Betrieb der genannten Systeme zur Verfügung zu stellen. Diese Informationen bekomme der Bundestag aktuell vom BSI, vom BfV und von der Firma BFK. Dieses müsse auch in Zukunft gewährleistet sein, da die genannten Systeme sonst wirkungslos blieben. Ziel sei es, die IuK-Kommission zukünftig fortlaufend über mögliche Sperrungen zu informieren und um Zustimmung zu bitten.
Herr Möhlmann (RL IT 5) erläutert weiterhin, dass am Wochenende fast vollständig die Infrastruktur des IVBB für den Internetverkehr (bis auf den EMailverkehr) des Bundestages genutzt werde. Das BMI habe nun mitgeteilt, dass für eine zukünftige Nutzung Kosten in Höhe von ca. 36.000 EUR monatlich zu zahlen seien. Diese Aufforderung müsse jedoch noch eindeutiger geklärt werden.
Herr Hange (BSI) ergänzt, dass Virenscanner aktuell in der Lage seien, nur noch 40–50% der gesamten Schadprogramme zu erkennen. Angreifer hätten Möglichkeiten gefunden, sich vor den gängigen Virenscannern zu verbergen. Daher sei der Einsatz zusätzlicher Schadprogrammerkennung dringend angeraten.
Abge. Lemke sieht die vorliegende Beschlussvorlage als nicht zustimmungsfähig an, da seit der Obleuterunde zusätzliche Fragen aufgetaucht seien. Diese Fragen ergäben sich zunächst aus dem aktuell bekannt gewordenen Lauschangriff auf das Netz der Bundesregierung. Unklar sei, ob hierbei der IVBB und das Telekommunikationsnetz betroffen seien und ob es sich um kompromittierte Hardware handele. Der geplante Aufbau eines Systems im Bundestag analog zum IVBB-System werfe in diesem Zusammenhang aktuell schwer ausräumbare Bedenken auf.
Abge. Lemke betont, dass die Auswirkungen der eingesetzten Sperrlisten nicht allen Abgeordneten bekannt seien. Zudem sei es wichtig zu klären, inwieweit zukünftig durch die Abgeordneten Einsicht in diese Sperrlisten genommen werden könne. Zum zweiten Punkt der Beschlussempfehlung stellt sie zusätzlich die Frage, warum die Speicherung von Protokolldaten fortgeführt werden soll, obwohl vom BSI erklärt worden sei, dass die Analyse der Daten bereits abgeschlossen sei.
Abg. Dr. Brandl antwortet, dass in der Öffentlichkeit und bei den Abgeordneten sicher kein Verständnis zu erwarten sei, wenn man in der Zukunft neue Abflussziele erkennen würde und nicht nachvollzogen werden könne, dass diese dem Angriff Anfang Mai zuzuordnen wären, weil die Protokollierungsdaten zwischenzeitlich gelöscht worden seien. Daher sei eine Speicherung, zumindest bis zur nächsten IuK-Sitzung, sinnvoll.
Abg. Dr. Brandl stellt fest, dass die Erkennung intelligenter Angriffe durch Mitarbeiter nur möglich sei, wenn diese weitere Erfahrungen bei der Erkennung von Anomalien im Netz sammeln könnten. Da dieses nicht durch den isolierten Blick ausschließlich auf das Bundestagsnetz geschehen könne stellt er die Frage, ob irgendeine Art von Verbund mit externer Kompetenz existiere, an der zukünftige Mitarbeiter teilhaben könnten. Er fragt dann, ob eine Größenordnung genannt werden könne, wie viele Internetseiten zukünftig täglich neu gesperrt würden. Er stellt weiterhin fest, dass nach einem Übergangszeitraum zur Abwendung des aktuellen Angriffs langfristig eine Regelung getroffen werden müsse, wie die Zusammenarbeit mit dem BSI, im Einklang mit dem BSI-Gesetz, erfolgen könne. Weiter regt er die Schaffung eines Krisenreaktionskonzeptes an, da er vermute, dass zukünftig weitere Angriffe erfolgen und die Qualität der Angriffe weiter zunehmen werde. In diesem solle dann auch geklärt werden, wie eine Unterstützung des BSI – auch für den Fall eines gleichzeitigen Angriffes auf die Bundesregierung und somit knapper Ressourcen – in der Zukunft aussehen könne.
Abg. Kaster erklärt, dass die vorliegende Beschlussvorlage zustimmungsfähig sei. Er betont, dass hierin ausdrücklich genannt werde, dass die analog zum IVBB zu beschaffenden Systeme eigenständig unter der Hoheit des Bundestages betrieben würden. Es sei nachvollziehbar, dass Sicherheitskomponenten, die beim IVBB bereits erfolgreich im Einsatz seien, auch im Bundestag eingesetzt würden. In der zurückliegenden Diskussion sei zudem hinreichend dargestellt worden, wozu die weitere Speicherung der Protokolldaten sinnvoll sei.
Abg. Herzog stellt fest, dass der Beschlussvorlage zugestimmt werde. Außer dem IVBB und dem BSI falle ihm keine weitere Institution ein, der man in der aktuellen Situation mehr ver- und zutrauen könne. Er weist zudem darauf hin, dass er bislang noch von niemandem in der Fraktion angesprochen worden sei, dass Internetseiten nicht gesperrt gewesen wären. Er begrüße es, wenn eher mehr Seiten gesperrt würden, um eine höhere Sicherheit zu erreichen.
Abg. Jarzombek bekräftigt, dass es gerade in dieser Phase der Absicherung des Systems, wichtig sei, eher mehr als zu wenig zu sperren. Er weist zudem darauf hin, dass es auch möglich und sinnvoll sei, auf eigenbeschafften Geräten ungefiltert auf das Internet zuzugreifen und das Bundestagsnetz stärker gegen Angriffe abzuschotten. Er regt zudem an, auch den E‑Mail-Verkehr zumindest soweit automatisiert zu analysieren, dass offenkundige Gefahren erkannt und verhindert würden.
Herr Hange (BSI) antwortet, dass die Auswertung der Protokolldaten im Sinne der Gefahrenabwehr, wie eingangs dargestellt, als abgeschlossen betrachtet werde. Die Tatsache, dass der Angreifer aber immer noch aktiv werden könne, wenn auch zurückhaltender als im ersten Angriff, erfordere jedoch ein weiteres Vorhalten der Protokolldaten, um gezielt Anomalien mit den erhobenen Daten vergleichen zu können. Zur Frage nach dem aktuell in der Presse dargestellten Lauschangriff auf die Bundesregierung bemerkt er, dass noch geprüft werden müsse, wie der technische Hintergrund der veröffentlichten Telefonnummern und Gesprächsinhalte von Regierungsvertretern zu bewerten sei. Er betont zum Schluss, dass die Entscheidungskompetenz bei allen Zulieferungen von Sperrungen der Rückmeldewege von Angriffen und allen Beratungen seitens des BSI, immer in den Händen des Bundestages gelegen hätte und auch zukünftig liegen werde.
Herr Möhlmann (RL IT 5) erläutert, dass die erwähnten Sperrlisten keine echten Listen seien, sondern Informationen, die aus elektronisch übermittelten Daten von verschiedenen Quellen auf den Konsolsystemen des Referates zusammengefügt würden. Er bietet an, den Abgeordneten auf dem geplanten SPS-System über diese Konsolsysteme im Referat IT 5 Einblick auf die Sammlung der gesperrten Internetseiten zu ermöglichen. Er bestätigt die Ansicht, dass ein Betrieb der geplanten Sicherheitssysteme nur im engen Kontakt zu weiteren Institutionen möglich sein werde. Das BSI und Firmen wie die BFK würden noch längere Zeit für Beratungen, aber auch für echte personelle Unterstützung benötigt. Der Bundestag erhalte bereits seit Jahren Informationen vom CERT-Bund und anderen CERT-Institutionen, die in die tägliche Arbeit einflössen. Diese Arbeit im Verbund gelte es jetzt noch auszubauen. Die Erarbeitung des angesprochenen Krisenreaktionskonzeptes sei eng an die Möglichkeiten gebunden, zukünftig Spezialisten für diesen Bereich rekrutieren zu können.
Abg. Dr. Brandl fragt, ob es möglich wäre, dass Forensiker vom BSI oder von der BFK garantiert für den Bundestag zur Verfügung stünden, wenn sie kurzfristig gebraucht würden.
Herr Möhlmann (RL IT 5) antwortet, dass hierzu bereits Gespräche mit der Firma BFK geführt worden seien. Er ergänzt, dass das bereits vorhandene Intrusion Detection System noch in diesem Jahr ersetzt werden würde. Die Auswahl des Systems sei in Abstimmung mit dem BSI geplant und werde der IuK-Kommission zu gegebenem Zeitpunkt vorgestellt.
Abge. Esken fragt, ob die Firma BFK im Auftrag der Bundestagsverwaltung weiter beauftragt werde und ob diese Vergabeentscheidung immer noch auf Basis der Gefahr im Verzug erfolge oder sich auch auf die Neukonzeption des Systems beziehe.
Die Vorsitzende betont, dass dieses keine Entscheidung für die nächsten Jahre sei und dass immer wieder überprüft werde, wo weiterer Sachverstand einbezogen werden könne.
Herr Möhlmann (RL IT 5) bekräftigt dieses und führt aus, dass es jetzt sinnvoll erscheine die BFK zu beschäftigen, dass aber im weiteren Verlauf normale Vergaben über die zukünftige Unterstützung entscheiden würden.
Die Vorsitzende fasst zusammen, dass die Fraktion der Grünen die Zustimmung zu der Beschlussvorlage nicht erklärt. Die Fraktionen der CDU/CSU, der SPD und die Linke stimmten der Beschlussvorlage zu. Dieses Ergebnis werde nun dem Ältestenrat übermittelt. Die Zustimmung gelte im Übrigen für beide Beschlusspunkte, die Beschaffung des eigenen Systems und der Speicherung der Protokolldaten.
Die Vorsitzende bedauert, dass die Präsentation des neuen Intranetangebots und die Darstellung auf mobilen Endgeräten im Tagesordnungspunkt 4, Verschiedenes aus Zeitgründen nicht mehr behandelt werden könne und beendet die Sitzung.
Schluss der Sitzung: 9:00 Uhr
Petra Pau, MdB
Vorsitzende
Kurzprotokoll der 9. Sitzung der IuK-Kommission
Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien
Berlin, den 10. September 2015, 8:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)Vorsitz: VPn Petra Pau, MdB
Tagesordnung
- Tagesordnungspunkt 1: Information zur Umsetzung der Erneuerung der zentralen IT-Systeme des Deutschen Bundestages, Herr Wilk IT 1
- Tagesordnungspunkt 2: Information der Firma T‑Systems, Herr Giese, zu weitergehenden Maßnahmen
- Tagesordnungspunkt 3: Herr Möhlmann IT 5
- Tagesordnungspunkt 4: Stellungnahme des BSI, Herr Hange, Präsident BSI
- Tagesordnungspunkt 5: Verschiedenes
VPn Pau begrüßt alle Anwesenden.
Vor Eintritt in die Tagesordnung teilt sie mit, dass einzelne Teilnehmer bereits um 8.30 Uhr in weitere Gremien müssten und die Haushaltsberatungen um 9:00 Uhr fortgesetzt würden, daher schlage sie vor, dass erst die Berichte und Ausführungen hintereinander zur Kenntnis genommen werden und die Debatte im Anschluss im Zusammenhang geführt werde. Sie stellt fest, dass die Tagesordnung fristgerecht zugegangen sei.
Tagesordnungspunkt 1
Die Vorsitzende VPn Pau erteilt Herrn Wilk (RL IT 1) das Wort.
Herr Wilk (RL IT 1) erläutert den Sachstand der Erneuerung. Bei der Konzeption des Neuaufbaus sei die IT davon ausgegangen, dass der Angreifer horizontale und vertikale Bewegungen im IT-System ausgeführt habe. Allem Anschein nach habe er zuerst PCs infiziert, um dann höherwertige Systeme z.B. Domaincontroller anzugreifen. Einige Windowsserver seien ebenfalls kompromittiert worden. Nicht betroffen sei die ATV gewesen. Ein direkter Zugriff auf Fileservices oder Linuxsysteme sei ebenfalls nicht festgestellt worden. Über die Erstmaßnahmen sei bereits mehrfach berichtet worden. Das BSI und Dienstleister seien hier zur Unterstützung der Bundestagsverwaltung tätig. Die Identifikation und Bereinigung sowie das Erkennen neuer oder vorhandener Infektionen habe der IT des Bundestages die Möglichkeit zum Neuaufsatz der kompromittierten Systeme gegeben. Parallel zum Angriff habe die IT mit der Systemanalyse begonnen. So seien Kontenbereinigungen durchgeführt worden und zur permanenten Analyse sei zügig ein zentraler Logserver aufgebaut worden. Dieser ermögliche es schneller, Angriffsbewegungen zu erkennen. Die Analyse habe ergeben, dass die bestehende Domänenarchitektur und die Administrationsumgebung diesem Angriffsvektor nicht gewachsen gewesen sei. Zudem habe die Möglichkeit bestanden, dass der Angreifer unerkannt noch Schadsoftware hinterlassen habe. Daher sei für die Erneuerung der Domäne eine speziell gehärtete bzw. eine härtere Architektur erforderlich. Die Erneuerung der kompromittierten Serversysteme sei erforderlich, da eine einfache Bereinigung als nicht ausreichend angesehen werde. Die Erfolgsquote für eine derartige Erneuerung liege laut Literatur bei 50% bis 80%. Das gesamte Vorgehen müsse neu entwickelt und geplant werden. Es seien ca. 128.000 Objekte im Verzeichnisdienst zu bereinigen bzw. in die neue Umgebung bereinigt zu übernehmen gewesen. Die erneuerten Systeme seien in einer IT-technisch isolierten Umgebung aufgebaut worden, um in einer nicht kompromittierten Umgebung neu starten zu können.
Die neue Umgebung sei nach der sogenannten EAE-Architektur aufgebaut worden. Diese Architektur werde von der Firma Microsoft ab 2016 als Standardarchitektur für Domaincontroller empfohlen. Es handele sich um ein Schichtenmodell, bei dem die hochwertigen Systeme, wie z.B. der zentrale AD, ganz besonders geschützt werden. Diese Systeme seien nur von speziellen, vorher bekannten Arbeitsstationen administrierbar. Die Systeme befänden sich in einem eigenen VLAN. Zeitgleich seien die Serversysteme auf die aktuelle Betriebssystemversion migriert und neue Hardware beschafft worden. Diese neue Umgebung erfordere auch eine Anpassung der bisherigen Administrationswerkzeuge. Die Arbeiten hierzu seien noch nicht abgeschlossen. Im Weiteren seien die Administrationsrechte noch weiter granuliert worden. Das kurzfristige Ziel sei die Erneuerung in der Sommerpause gewesen, da dies das einzige Zeitfenster sei, um derartige Tätigkeiten durchführen zu können. Durch die Griechenland-Sondersitzung hätte der geplante Termin um eine Woche verschoben werden müssen. Die Erneuerung habe dann im ersten Anlauf geklappt. In den vergangenen zwei Monaten hätten nicht alle Maßnahmen abschließend durchgeführt werden können. Es seien die Maßnahmen, die eine Betriebsunterbrechung erforderlich machten, umgesetzt worden.
Zur Vorbereitung der Erneuerung seien die Konzepte einer Qualitätssicherung durch die Firma T‑Systems unterzogen und soweit erforderlich nachgebessert worden. Das Referat IT 1 habe den Aufbau der neuen Systeme, die Umsetzung des Architekturentwurfs und den ersten Entwurf des Migrationsablaufs unter Beteiligung der anderen IT-Referate erarbeitet. Die Firma T‑Systems habe hier eine Qualitätssicherung durchgeführt. Zudem habe die Firma die Datenübernahme in die neue Domäne, die Bereinigungsläufe und die entsprechenden Tests durchgeführt. Die Fortschreibung des Projektplans sei ebenfalls Aufgabe von T‑Systems gewesen. Das Referat IT 2 sei für die Sicherheitseinstellungen auf den Clients über die Group-Policies verantwortlich. Das Referat IT 3 habe für die Abschottung der neuen Umgebung gesorgt. Die Erneuerung sei ein gemeinsames Vorgehen der gesamten Unterabteilung IT gewesen.
In einer Testumgebung seien die Systeme aufgebaut und der Erneuerungsprozess mehrfach durch Testläufe überprüft und optimiert worden. Eine wesentliche Frage dabei sei gewesen, ob der avisierte Zeitraum von fünf Migrationstagen ausreichen würde. Es seien Prüfschablonen entwickelt worden, um die 128.000 AD-Objekte schneller überprüfen zu können. Dieses habe auch die Auswertung während der Migration beschleunigt, um einen Soll-/Ist-Abgleich durchzuführen. Als Ergebnis hätte der Zeitraum von fünf Tagen eingehalten werden können. Ein Restrisiko sei gewesen, dass ab einem gewissen Fortschritt der Erneuerung kein einfacher Fallback auf die alte Umgebung mehr möglich gewesen wäre. Als Konsequenz hätten in diesem Fall alle PCs und Server neu aufgesetzt werden müssen. In der Testumgebung hätten nicht alle Systeme nachgebildet werden können. Es seien dort möglichst repräsentative Systeme implementiert, um über eine Extrapolation Anhaltspunkte für eine erfolgreiche Umstellungsmöglichkeit zu erhalten.
Der Ablauf des Migrationswochenendes, über den der Präsident im Vorfeld informiert habe, habe am Donnerstagabend mit dem Herunterfahren der PCs und der Sperrung aller Anwenderkonten begonnen. Die Domänencontroller seien dann, nach Abschaltung weiterer Systeme, isoliert worden. In den folgenden drei Tagen seien Prüfungsläufe, Migrationsläufe und Bereinigungsläufe durchgeführt worden. Die wesentlichen Zwischenergebnisse seien vom BSI und der BFK nochmals geprüft worden. Es habe während der Umstellungsarbeiten zwei bis drei Punkte gegeben, die zu Verzögerungen geführt hätten. Unter anderem sei eine mehrfache Nachbesserung der Performanceeinstellungen der neuen Hardware erforderlich gewesen. Am Freitag gegen 23:00 Uhr habe daher der Ablaufplan umgestellt werden müssen und weitere Hardware aufgebaut werden. Die letzten Tests seien am Montagvormittag absolviert worden. Nachdem diese Tests erfolgreich verlaufen seien, sei die Internetverbindung wieder zugeschaltet worden. Ab ca. 11:30 Uhr seien die Anwender über Lausprecherdurchsage informiert worden. Die ersten einfachen Funktionstests hätten bereits am Sonntag um 16:00 Uhr gezeigt, dass die Erneuerung prinzipiell erfolgreich sei.
Das Fazit laute, dass eine erneute Domainübernahme mit diesem oder einem ähnlichen Angriffsmuster jetzt erheblich erschwert wäre. Ein potentieller Angreifer müsse ein Zeroday-Exploit, d.h. einen bisher unbekannten Fehler in der Software ausnutzen. Die Seitwärtsbewegung auf den Clients sei ebenfalls erschwert worden. Das Referat IT 5 habe ein Hostblocking-System aufgebaut, zu dem im TOP 3 berichtet werde. Es seien noch Restarbeiten zu erledigen, z.B. müssten die Kontenadministrationsarbeitsplätze noch gehärtet werden. Hier solle unter anderem ein Chipkartensystem implementiert werden. Das Monitoring und das Loging der Systeme müsse noch angepasst werden. Dies gelte ebenso für die Datensicherung der Domaincontroller. Diese Optimierungen könnten ohne Betriebsunterbrechung durchgeführt werden. Die Softwarewerkzeuge der Kontenadministration müssten gleichfalls noch angepasst werden. Es sollten auch noch weitere, kritische Server in die gehärtete Architektur überführt werden. Diese kurzfristigen Maßnahmen seien zwingend erforderlich, um weitere Infektions- und Angriffswege zu unterbinden bzw. Angriffsversuche frühzeitig erkennen zu können. Die Verfügbarkeit der IT-Systeme sei noch nicht wieder auf dem Stand vor der Erneuerung. Derzeit seien keine akuten technischen Probleme aufgetreten. Der weitere Maßnahmenkatalog werde anschließend von T‑Systems vorgestellt.
Tagesordnungspunkt 2
Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Anschließend erteilt sie Herrn Giese (T Systems) das Wort.
Herr Giese (T‑Systems) stellt den Katalog von Maß-nahmen zur Steigerung bzw. Verbesserung der IT-Sicherheit für die Infrastruktur des Deutschen Bundestages vor. Er erläutert, dass der vorliegende Maßnahmenkatalog mit der Verwaltung erarbeitet und abgestimmt worden sei. Neben den von Herrn Wilk erläuterten kurzfristigen Maßnahmen, gebe es noch mittel- und langfristige Maßnahmen, die wesentlich seien, um die IT-Sicherheitsinfrastruktur auch zukünftig auf ein angemessenes Schutz- und Sicherheitsniveau zu ertüchtigen. Als Basis für die Erarbeitung des Maßnahmenkataloges sei das Gefährdungspotenzial abgeschätzt und eine Gefährdungsanalyse durchgeführt worden. Es seien im Rahmen der Analyse das Netz des Bundestages bzw. die IT-Systeme des Bundestages betrachtet und Restrisiken identifiziert worden. Hierbei seien alle bisher bekannten Sicherheitsvorfälle oder Angriffsszenarien mit einbezogen worden. Zur Minderung der identifizierten Risiken seien geeignete Maßnahmen erarbeitet worden. Zu Beginn wolle er Maßnahmen erläutern, die die Infrastruktur, d.h. die Server (z.B. Active Directory, E‑Mail, ATV-Server) und die Netzwerke, beträfen. Eine wesentliche Maßnahme sei die Verhinderung der Infektionsausbreitung. Dies werde durch eine Härtung der Systeme, d.h. unter anderem Entfernung von für die Funktion nicht erforderlichen Softwarekomponenten, erreicht. Eine wichtige Maßnahme sei der erweiterte Zugangsschutz mit einem Chipkartensystem. Die Unterteilung der IT-Infrastruktur in unterschiedliche, kontrollierte Sicherheitszonen sei ebenfalls ein geeignetes Mittel, um die Sicherheit zu erhöhen. Dieses würde bei einem erneuten Angriff das Eindringen in das Netzwerk nicht verhindern, aber eine Ausbreitung effektiv unterbinden. Die Separierung der Netze könne sowohl eine physische als auch eine logische Segmentierung der Netze bedeuten. Eine logische Segmentierung der Netze sei beispielsweise durch die Einrichtung von VLANs möglich. Eine physische Separierung der Netze könne bedeuten, dass beispielsweise neue Netzwerktrassen gelegt werden müssten. Dies bedeute, dass bauliche Maßnahmen notwendig sein könnten, um Netze voneinander abzuschotten. Diese Maßnahmen würden alle der Eindämmung der Infektionsausbreitung dienen.
Eine weitere Maßnahme sei ein effektives Ereignis-Monitoring. Dies erfordere ein Logmanagementsystem aufzubauen, um sicherheitsrelevante Auffälligkeiten sowohl zu identifizieren als auch automatisiert zu alarmieren. Es sollten Korrelationen über die verschiedenen Logs hinweg gebildet werden, um Anomalien im System zu erkennen und zu bewerten. Eine Anomalie könne beispielsweise ein erhöhter Datenverkehr sein. Dies könne sowohl ein normales Systemverhalten als auch ein Angriff sein. Die Identifikation und Bewertung solcher Anomalien sei ein wesentliches Mittel, um einen Angriff zu identifizieren.
Im Angriffsfall könne über dieses Ereignis-Monitoring auch die Schadensauswirkung schneller erfasst werden. Eine umfangreiche Auswertung von Logs sei beim aktuellen Angriff im Rahmen der Forensik erforderlich gewesen, um die Größe des Schadens zu beurteilen.
Die Verhinderung von Datenabflüssen sei ein weiteres Ziel der vorgeschlagenen Maßnahmen. Durch ein starkes Ereignis-Monitoring sei es möglich, das System so zu konzipieren, dass eine automatische Erkennung und Abwehr von nicht autorisierten Datenabflüssen möglich sei. Im folgenden Tagesordnungspunkt werde hierauf näher eingegangen (Intrusion Detektion, IDS und Schadsoftware Prävention System, SPS).
Die Maßnahmen, die auf den Arbeitsplatzsystemen erfolgt seien, hätten das Ziel, das Infektionsrisiko durch Schadsoftware zu minimieren. Im ersten Schritt werde eine besondere Bewertung der vorhandenen Software und Anwendungen vorgenommen. Der sogenannte Warenkorb und weitere Anwendungen müssten sehr genau analysiert und nach Sicherheitskriterien bewertet werden. Das vorhandene Patchmanagement müsse ggfs. verbessert werden, um auch in Zukunft die Sicherheit dieser Software und Anwendungen zu gewährleisten. Die Empfehlung sei eine Minimierung der installierten bzw. installierbaren Software.Eine weitere Maßnahme sei die Verbesserung der Authentifizierung. Die Empfehlung sei, die Zugangsschutzsysteme auf der Basis von Chipkarten zu verstärken. Dieses Verfahren werde bei T‑Systems seit Jahren genutzt.
Durch ein verbessertes Gerätemanagement könne das Risiko der Infektionen minimiert werden. Der Vorschlag sei, dass vorhandene Schnittstellenmanagementsystem, das in der Verwaltung im Einsatz sei, auf alle Parlakom-Geräte zu erweitern. Dies bedeute, dass beispielsweise USB-Sticks und andere Medien nur nach einer Registrierung benutzt werden könnten. Für den Anwender könne dies zu Komforteinschränkungen führen. Dies könne aber mit aktuellen, modernen Mechanismen, die eine Interaktionsmöglichkeit bieten würden, gelöst werden.
Es werde empfohlen, durch eine Schulung der Anwender deren Sensibilisierung im Zusammenhang mit IT-Sicherheitssystemen und dem Umgang mit Sicherheitsvorfällen zu erreichen.
Im Weiteren sollten die vorgeschlagenen Maßnahmen im Hinblick auf die Auswirkungen auf die Anwender geprüft und diesem Gremium vorgestellt werden.
Ebenso werde empfohlen, das vorhandene Sicherheitsmanagement zu erweitern, sodass die IT-Sicherheitsinfrastruktur auch langfristig gesichert bleibe. Dies bedeute, dass die in der Vergangenheit durchgeführten Revisionen auch zukünftig erfolgen sollten. Eventuell in deutlich kürzeren Zyklen und unter Zuhilfenahme von weiteren Penetrationsmöglichkeiten. Für alle im Maßnahmenkatalog aufgeführten Empfehlungen sei es zwingend erforderlich, genügend eigenes Personal mit angemessener Kompetenz vorzuhalten. Dies sei für die Umsetzung der Konzeption als auch den anschließenden Betrieb der Infrastruktur erforderlich.
Der Maßnahmenkatalog sei noch nicht vollständig erarbeitet. Kurzfristig sollten die Maßnahmen konzeptioniert werden, um anschließend eine Priorisierung durchzuführen. In der Priorisierung werde sowohl Umsetzungszeit (mittel- bzw. langfristig) als auch der finanzielle und personelle Aufwand für Umsetzung und Betrieb, sowie die Auswirkung für die Anwender berücksichtigt. Das solle alles in die Priorisierung mit eingehen.
Tagesordnungspunkt 3
Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Sie erteilt Herrn Möhlmann (RL IT 5) das Wort.
Er erläutert, dass es sich bei dem Schadsoftware-Präventions-System (SPS) um eine Erweiterung der vorhandenen Firewall-Systeme handele. Die Funktionalität des Systems erläutert er an einem Beispiel.
Der Angreifer versuche, den Anwender im ersten Schritt über einen Link, den er dem Anwender z.B. per E‑Mail zuschicke, auf eine Seite zu führen, die mit einer Software versehen sei, die z.B. den Browser infiziere. Sei dies erfolgt, werde der Angreifer in einem zweiten Schritt – über den Rechner des Anwenders – einen sogenannten Command- und Control-Server ansprechen. Auf diesem System sei Schadsoftware abgelegt, die dann in weiteren Schritten nachgeladen werde. Das jetzt beschaffte System, das von der Firma Genua in Zusammenarbeit mit dem BSI entwickelt worden sei, verhindere den Angriff auf zwei Arten. Es werde einerseits verhindert, dass man mit einem Browser auf eine bekannte, infizierte Seite komme. Andererseits verhindere dieses System nach der erfolgten Infektion den Zugriff auf bekannte Command- und Control-Server. Aktuell umfasse die Datenbank des BSI ungefähr 160.000 Einträge von kompromittierten Seiten, sogenannten Sperrinformationen. Diese Informationen würden dem Bundestag vollständig, zeitnah und kontinuierlich zur Verfügung gestellt werden.
In der Sommerpause sei dieses System beschafft worden. Da es sich um den gleichen Hersteller wie bei der Firewall des Bundestages handele, stelle dies eine Erweiterung des Firewall-Systems dar. Der Bundestag betreibe derzeit vier sogenannte Firewall-Cluster mit jeweils einer separaten Internetanbindung. In jedem dieser Cluster sei ein solches zusätzliches System integriert worden. Zusätzlich seien noch die dementsprechenden Managementstationen aufgebaut worden. Der Aufbau habe sehr kurzfristig erfolgen können und das System sei auch bereits ausgiebig getestet worden. Die gesamten Sperrinformationen des BSI stünden auf dem System zur Verfügung, sodass eine Inbetriebnahme in der kommenden Woche beabsichtigt sei. Seit Mai dieses Jahres sei an den kompletten Wochenenden der gesamte Datenverkehr (ohne E‑Mail) über den IVBB geleitet worden. Unter der Woche sei aus Performancegründen nur 50% des Datenverkehrs über den IVBB und 50% über die eigenen Internetanbindungen geleitet worden. Nach Inbetriebnahme des SPS könne wieder der komplette Datenverkehr über die Systeme des Bundestages fliessen, d.h. der IVBB werde nur zur Kommunikation mit der Regierung genutzt.
Das erforderliche Betriebspersonal sei noch nicht vorhanden aber für das HH-Jahr 2016 beantragt. Als Übergangslösung sei mit dem Hersteller des Systems ein Vertrag über 18 Monate abgeschlossen worden. Daher stehe für diesen Zeitraum eine Betriebsunterstützung zur Verfügung. Ein offener Punkt sei, dass in der eingerichteten Datenbank noch nicht der Grund für die Sperrung der Seite eingepflegt sei. Diese Informationen lägen momentan ausschließlich beim BSI vor. In der eigenen Datenbank müssten die Information sukzessive eingepflegt werden. Für den Nutzer stelle sich der Einsatz des SPS wie folgt dar:
Rufe der Anwender eine Seite auf, über die eine Information vorhanden sei, so erhalte er eine Meldung, dass diese Seite gesperrt sei. In dieser Meldung werde eine achtstellige Referenznummer angezeigt. Der Anwender werde gebeten, die IT-Hotline (T. 117) anzurufen und die Referenznummer weiterzugeben. Das Referat IT 5 erhalte die Information vom Support und wende sich an das BSI, um den Sachverhalt zu klären. Die Information werde anschließend über den Support an den Anwender gegeben. Um den Prozess zu beschleunigen stehe das Referat IT 5 mit dem BSI in Verhandlungen, um diese Sperrgründe direkt in die eingerichtete Datenbank zu bekommen. Der Abstimmungsprozess laufe noch.
Um dem Wunsch einzelner Abgeordneter entgegen zu kommen, in die Datenbank Einsicht nehmen zu können, stehe im Referat IT 5 eine entsprechende Konsole zur Verfügung.Eine weitere Sicherheitsmaßnahme sei das Intrusion-Detection und Intrusion-Prevention-System. Ein Intrusion-Detection-System betreibe der Bundestag schon seit einigen Jahren. Es handele sich um ein System mit sehr begrenztem Funktionsumfang und es werde ausschließlich der Datenverkehr in Richtung Internet geprüft. Es habe bislang keine kontinuierliche Prüfung durchgeführt werden können. Dies habe sich als Defizit herausgestellt. Wenn ein solches System mit voller Funktionalität bereits vor dem Angriff zur Verfügung gestanden hätte, dann wäre die durch den Angriff verursachte Anomalie im Netzwerk wahrscheinlich deutlich schneller aufgefallen. Das IDS müsse komplett neu beschafft werden, da das vorhandene System nicht ausbaufähig sei. Der Hersteller habe die Pflege eingestellt. Das System könne aber noch bis zum Abschluss der Neubeschaffung weiterbetrieben werden. Zur Sicherstellung des Betriebs des vorhandenen IDS sei ebenfalls die Unterstützung durch eine Firma beauftragt worden. Parallel zur Neubeschaffung werde eine Ausschreibung zur Gewinnung einer Betriebsunterstützung vorbereitet. Der Betrieb solle allerdings auf Dauer mit eigenem Personal gewährleistet werden. Dementsprechende Stellen seien ebenfalls beantragt worden.
Der Angriff habe gezeigt, dass das eingesetzte Antivirenprogramm keinen ausreichenden Schutz gewährleiste. Dessen Schutzwirkung könne von einem Angreifer relativ einfach ausgehebelt werden. Kurzfristig sei auf Empfehlung des BSI eine Firma beauftragt worden, die ein spezielles Software-Tool, das dediziert auf den Rechnern nach speziellen Angriffsmustern suche, zur Verfügung stelle. Dieses Programm werde bereits seit Monaten auf allen Parlakomrechnern eingesetzt. Ebenso werde es von den Fraktionen eingesetzt, um deren Systeme in gleicher Weise zu überprüfen. Auch die Server des Bundestages würden damit überprüft. Die Empfehlung sei, ein solches Programm dauerhaft parallel zum Antivirenprogramm zu verwenden. Ein entsprechender Vertrag sei in Vorbereitung.
Tagesordnungspunkt 4
Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Sie erteilt Herrn Hange (Präsident BSI) das Wort.
Herr Hange (Präsident BSI) berichtet kurz über die aktuelle Sicherheitslage. Seit dem Vorfall im Mai habe es, neben vielen kriminellen Angriffen, drei hochwertige Angriffe mit möglicherweise nachrichtendienstlichem Hintergrund gegeben. In einem Fall habe es sich um die sogenannte Watering-Hole-Methode gehandelt. Hierbei werde über Social Engineering versucht, den Anwender mittels eines Links auf eine infizierte Seite zu locken. Bei den beiden anderen Angriffen habe es sich um sogenannte Spear-Phishing-Attacken gehandelt. Die Angriffe seien durch das SPS in der Wirkung blockiert worden. Die Angriffe selbst seien sehr hochwertig und daher nicht durch Standardantivirenprogramme detektierbar gewesen. Durch den Rückmeldeweg hätten sie sich aber verraten. Dadurch hätten die Auswirkungen des Angriffs verhindert werden können. Es ist festzustellen, dass hochwertige Angriffe grundsätzlich auf interessante Infrastrukturen stattfinden würden.
Die Abge. Ziegler bedankt sich für die informativen Vorträge und insbesondere für die von allen Beteiligten geleistete Arbeit bei der Erneuerung. Sie stellt fest, dass man auf einem guten Wege sei. Sie erkundigt sich, wann die Maßnahmen abgeschlossen sein werden und ob es schon eine Einschätzung zum zusätzlichen Personal- und Mittelbedarf gebe.
Der Abg. Kaster schließt sich dem Dank ausdrücklich an. Er erklärt, dass die Sorge der Obleute, dass die Arbeiten im August mit sehr großen Einschränkungen für die Mitglieder verbunden wären, sich nicht bestätigt hätte. Seiner Einschätzung nach habe die Sensibilisierung durch den Präsidenten bei den Mitgliedern eine positive Wirkung entfaltet.
Er nimmt Bezug auf die von der Firma T‑Systems vorgestellten Maßnahmen. Im Ältestenrat sei bereits die Verabredung getroffen worden, dass man das IT-System sicherer machen wolle. Insbesondere die im Netz der Bundesregierung vorhandenen Sicherheitseinrichtungen seien für den Bundestag von hohem Interesse. Die Einteilung in Maßnahmen mit Auswirkungen für die Anwender und weitere Maßnahmen halte er für sehr zweckdienlich. Er bittet darum, in diesem Gremium genau die Maßnahmen mit Auswirkungen für die Anwender detaillierter erläutert zu bekommen, um in der Kommission darüber entscheiden zu können. Der Bundestag als IT-System sei durchaus deutlich komplexer als einfache Behörden, daher rege er an, in diesem Gremium alle Empfehlungen und Maßnahmen ohne vorauseilenden Gehorsam darzustellen. Der Spannungsbogen das Verfassungsorgan Deutscher Bundestag so sicher wie möglich zu machen und andererseits das freie Mandat des einzelnen Abgeordneten zu wahren, bedürfe einer politischen Entscheidung. Diese könne in diesem Gremium zumindest vorbereitet werden. Die Mitglieder des Deutschen Bundestages seien vor dem Hintergrund des damaligen Angriffs durchaus bereit Komforteinschränkungen hinzunehmen. Die verantwortliche Entscheidung über derartige Einschränkungen läge im politischen Raum und nicht bei der Bundestagsverwaltung. Die Maßnahmen ohne Auswirkungen für die Anwender sollte die Bundestagsverwaltung in eigener Verantwortung treffen.
Der Abg. Kaster begrüßt ausdrücklich die Einführung des SPS. Ebenso befürworte er die Erneuerung des IDS. Er erkundigt sich nach dem allgemein offensichtlichen Schadpotential des E‑Mail-Verkehrs, der bei der Umleitung über den IVBB ausgeklammert geblieben sei. Er fragt, welche Hinweise man allgemein geben könne, um die Kollegen zu sensibilisieren. Es sei selbstverständlich, dass E‑Mails der frei gewählten Abgeordneten nicht inhaltlich überprüft werden könnten.
Die Abge. Lemke schließt sich ebenfalls dem Dank an alle Beteiligten an. Sie bittet ausdrücklich darum, diesen auch unmittelbar an die Mitarbeiter weiterzugeben. Die Erneuerung sei sehr problemlos verlaufen. Sie regt an, dass die mündlichen Berichte noch in schriftlicher Form nachgereicht werden sollten. Sie geht davon aus, dass nunmehr auch die Protokolle der letzten Sitzungen der IuK-Kommission verteilt werden könnten. Sie fragt nach, ob die Forensik abgeschlossen sei, so dass Informationen, die in dieser Sitzung gegeben werden, unbedenklich in die Öffentlichkeit gelangen könnten. Sie erläutert, dass bei entsprechendem Schutzbedarf die Informationen auch eingestuft werden könnten.
Die Abge. Lemke regt an, dass die Abgeordneten vor der Inbetriebnahme des SPS über das Prozedere und die Auswirkungen geeignet informiert werden sollten. Sie erkundigt sich, ob sichergestellt sei, dass in dem beschriebenen Ablauf keine personenbeziehbaren Informationen an das BSI gegeben würden. In diesem Zusammenhang bittet sie weiter um eine Erläuterung, für welchen Zeitraum die Information, dass ein Abgeordneter auf eine gesperrte Seite zugreifen wollte, gespeichert werde. Sie merkt an, dass eine Frist länger als sieben Tage problematisch wäre. Sie erkundigt sich weiterhin, ob eine Verlängerung der Speicherfrist nur für die potentielle Forensik erforderlich sei oder es auch andere Gründe gebe. Daraus entnehme sie, dass es für die Abwehr des Angriffs nicht erforderlich sei, die Verbindungsdaten länger zu speichern.
Die Vorsitzende erteilt der Abge. Esken das Wort.
Die Abge. Esken schließt sich dem allgemeinen Dank an und bestätigt, dass die Erneuerung aus ihrer Sicht ohne Einschränkungen ihrer Arbeit erfolgt sei. Sie bittet um eine Erläuterung der Maßnahme, die sich mit dem Umgang mit mobilen Endgeräten befasse.
Der Abg. von Notz fragt nach, in welcher Reihenfolge die parlamentarischen Gremien über den Angriff informiert worden seien. Er regt an, noch detailliertere Informationen zum Auslöser und Ablauf des Angriffs zu geben. Zu dem Ablauf, wenn der Anwender auf eine gesperrte Seite träfe, möchte er genauer wissen, welche Informationen an das BSI gegeben würden. Zudem hätte er gerne erste Informationen zu den Kosten der Abwehr des Angriffs und Erneuerung des Systems.
Der Abg. Kaster schließt sich der Nachfrage nach den bisher bekannten Kosten und den Kostenschätzungen für die nähere Zukunft an. Zudem erkundigt er sich, ob der Angriff als abgeschlossen betrachtet werden könne und damit eine Verbreitung der vorhandenen Informationen keine unmittelbare Gefahr mehr darstelle.
Der letzten Frage schließt sich die Vorsitzende VPn Pau ausdrücklich an. Sie regt an, dass man in dieser Runde eine einheitliche Sprachregelung vereinbare. Sie erteilt Herrn Wilk (RL IT 1) das Wort.
Herr Wilk (RL IT 1) erläutert, dass das Maßnahmenpaket noch nicht abschließend erarbeitet worden sei und daher noch keine genauen Kosten und Realisierungszeiträume benannt werden könnten. In der jetzigen Konzeptionsphase würden die einzelnen Maßnahmen genauer spezifiziert, sodass in der kommenden Sitzung der IuK-Kommission zu dieser Frage genauere Angaben gemacht werden könnten. Auch im Referat IT 1 werde sich auf Grund der neuen Schichtenarchitektur ein erhöhter Personalbedarf ergeben, der bereits für den kommenden Haushalt angemeldet sei. Für einen besseren Schutz im Bereich der E‑Mail gebe es derzeit nur erste Vorüberlegungen, die noch mit dem IT-Sicherheitsreferat abgestimmt werden müssten. Die Spamabwehr sei auf einem sehr hohen Qualitätsstand, sodass der weitaus größte Anteil an eingehenden Spam-E-Mails abgefangen werde. Es gebe allerdings keine vollständige SPAM-Abwehr. Zu der Frage der Speicherdauer der Protokolldaten erläutert Herr Wilk (RL IT 1), dass laut Aussage des BSI dieser Angriff sehr schnell entdeckt worden sei. Dies sei allerdings nicht der Regelfall. Eine Speicherdauer von drei Monaten hätte den Vorteil, dass mit einer höheren Wahrscheinlichkeit der Angriffszeitpunkt bzw. der ursprüngliche Angriffsweg nachvollzogen werden könnte. Für eine effektive Abwehr eines Angriffs sei laut BSI eine Analyse des Angreiferverhaltens unabdingbar. Die IT-Infrastruktur werde im Rahmen des normalen Betriebes ständig gewartet. Hierzu würden laufend Sicherheitspatche eingepflegt. Die längere Speicherdauer der Protokolldaten könne in diesem Zusammenhang Hinweise auf Anomalien enthalten, sodass Angriff bzw. Angriffsversuche schneller und effektiver erkannt und auch behoben werden könnten.
Die Vorsitzende VPn Pau fasst die bisherigen Äußerungen kurz zusammen. Parallel zu den laufenden Sofortmaßnahmen werde derzeit konzeptionell an den mittel- und langfristigen Maßnahmen gearbeitet. In der Obleute-Runde sei man übereingekommen, dass die nächsten Monate der geeignete Zeitraum seien, um die ersten vorgeschlagenen Maßnahmen, die ggf. auch mit Einschränkungen für die Anwender verbunden seien, in der Kommission zu beraten und zu entscheiden. Sie betont ausdrücklich, dass die mit den Maßnahmen verbundenen Änderungen auch in der Praxis umgesetzt werden müssten. Die Beschlüsse der Kommission müssten anschließend gegenüber den Kolleginnen und Kollegen auch vertreten werden. Eventuell müssten einzelne Festlegungen mit entsprechenden Auswirkungen auch im Ältestenrat behandelt werden. Der Abschluss aller Maßnahmen könne noch nicht konstatiert werden, aber es sollten in den nächsten Sitzungen Schritt für Schritt die erforderlichen Maßnahmen eingeleitet werden. Sie erteilt Herrn Möhlmann (RL IT 5) das Wort.
Er erläutert, dass die Mitglieder des Deutschen Bundestages vor der Inbetriebnahme des SPS informiert werden sollten. Es sei eine entsprechende Information einschließlich einer Anleitung mit sogenannten Screenshots vorbereitet worden. Im Folgenden beschreibt er den Ablauf. Wenn ein Anwender die Meldung erhalte, dass die Seite gesperrt sei, so wird er in dieser Meldung gebeten, die IT-Hotline (T.117) zu informieren und die Referenznummer aus der Meldung zu nennen. Das Referat IT 5 erhalte diese Meldung von der 117 und leitet eine Prüfung ein. Die obligatorische Nachfrage an das BSI enthalte nur die Adresse der fraglichen Seite und keinerlei personenbezogenen Daten.
Der Abg. von Notz stellt die Zwischenfrage, was geschehe, wenn keine Meldung über die 117 erfolge und was dies bedeute.
Herrn Möhlmann (RL IT 5) erwidert, dass sein Referat über das SPS automatisch informiert werde, dass eine Sperre angeschlagen habe. Das BSI erhalte keinerlei Informationen. Wenn es keine Meldung durch einen Anwender gebe, könne dies bedeuten, dass ein Client im Netz des Bundestages ohne Wissen des Anwenders versucht habe, eine gesperrte Seite zu erreichen. Mit dem BSI würde dann abgeklärt, ob es sich um eine gefährliche Seite handele. Sollte dies der Fall sein, müsse er von einem infizierten Client im Netz ausgehen. Dieser Gefahrenquelle müsse er nachgehen, um sie zu beseitigen.
Um die Nachfrage der Abge. Lemke zu beantworten stellt er fest, dass für das SPS eine längere Speicherdauer der Protokolldaten als sieben Tage nicht erforderlich sei.
Die Abge. Lemke erkundigt sich, ob die Speicherdauer schon zur Inbetriebnahme auf sieben Tage begrenzt werde. Herr Möhlmann (RL IT 5) erwidert, dass dies so eingerichtet werde, wenn die Kommission sich in dieser Form einig sei.
Weiter möchte die Abge. Lemke wissen, aus welchem Grund eine Speicherdauer von sieben Tagen überhaupt erforderlich sei.Herr Möhlmann (RL IT 5) führt hierzu aus, dass eine Speicherdauer von sieben Tagen durchaus sinnvoll erscheine, da solche Ereignisse auch am Wochenende erfolgen könnten und die entsprechende Meldung des Anwenders erst am Montag erfolgen könne. Ebenso könne erst ab Montag der Abstimmungs- und Rechercheprozess mit dem BSI beginnen. Daher sei eine Speicherdauer von sieben Tagen aus seiner Sicht durchaus vertretbar.
Der Abg. von Notz weist auf das Spannungsfeld hin, dass eventuell ein solcher Vorgang öffentlich werden könne.
Die Vorsitzende erteilt Herrn Hange (Präsident BSI) das Wort.
Herrn Hange (Präsident BSI) berichtet, dass in der Bundesverwaltung täglich tausende von gesperrten Seiten angesprochen würden. Wenn es wieder eine neue Version eines Banking Trojaners gebe, wären sehr viele Clients gleichzeitig betroffen. Es seien regelrechte Kampagnen, die vielfach zur erfolgreichen Infektion führen würden. Daher sei ein SPS für den erfolgreichen Schutz der gesamten IT-Infrastruktur erforderlich. Die Angriffe mit hochwertigen Trojanern könnten mit herkömmlichen Mitteln nicht erfolgreich unterbunden werden. Die aktuellen Virenscanner hätten nur eine Erkennungsrate von 40 bis 50 Prozent. Daher ließen sich Infektionen von Arbeitsplatzrechnern nicht verhindern, da die Angreifer im weiteren Verlauf auf Rückmeldewege angewiesen seien. Um Informationen nach außen zu geben oder weitere Schadsoftware nachzuladen, sei dies die Achillesferse der Angreifer. Hier sei der Ansatzpunkt für das SPS, das die bekannten Rückmeldewege sperre.
Die Anzahl von 160.000 gesperrten Seiten klinge gewaltig, allerdings müsse man in Betracht ziehen, dass der gesamte IPv4-Raum über vier Milliarden Seiten umfasse. Der IPv6-Raum sei noch deutlich größer. Daher handele es sich einerseits um einen sehr kleinen Anteil der potentiell möglichen Adressen was andererseits die hohe Brisanz der Sperrinformation erkläre. Sollten den Angreifern diese Informationen zur Kenntnis gelangen, würden diese einfach ihre Adressen wechseln und das BSI wäre als Verteidiger im Nachteil. Die Sperrinformationen kämen in der Regel vom BSI und aus dem Cert-Verbund und würden vom BSI laufend eingepflegt. Die Informationen würden dem Bundestag zur Verfügung gestellt.
An die Abge. Lemke gerichtet erläutert Herr Hange (Präsident BSI), dass auch im Regierungsnetz eine Anonymität gewährleistet sei, da im System des BSI nur die Absenderadresse der jeweiligen Behörde erkennbar sei. Im Regierungsnetz gebe es mit dem SES (Schadsoftware-Erkennungs-System) eine weitere hochwertige Maßnahme, um Anomalien im Netz erkennen zu können.
Das BSI sei allen Bitten anderer parlamentarischer Gremien nach Informationen zum Angriff mit dem Hinweis begegnet, dass die IuK-Kommission sich federführend mit dem Angriff befasse und daher ein Erstinformationsrecht habe. Nachdem im Bundestag die Abwehr der unmittelbaren Gefahr und die notwendigen technischen Erstmaßnahmen erfolgt seien, sei es nach seiner Einschätzung geboten, nun in anonymisierter Form technische Konsequenzen zu kommunizieren und zu sensibilisieren. Es gebe keine absolute Sicherheit gegen einen solchen APT-Angriff, daher sei eine Information über den Angriff in geeigneter Form für alle anderen potentiell gefährdeten Nutzer sehr hilfreich. Um dem Angreifer keine Hinweise zu bieten, würden die Gegenmaßnahmen jedoch nicht konkret erläutert.
Die Vorsitzende bittet Herrn Giese (T‑Systems) um eventuelle Ergänzungen.
Herr Giese (T‑Systems) weist ausdrücklich darauf hin, dass aus seiner Sicht eine Erweiterung und Modernisierung des vorhandenen Managementsystems sehr zu empfehlen sei. Aktuelle Lösungen böten die Möglichkeit, eine Trennung zwischen Privat- und Arbeitsleben zu implementieren. Dies werde als wesentliche Maßnahme konzeptionell erarbeitet.
Die Vorsitzende erteilt dem Abg. Kaster das Wort.
Der Abg. Kaster hätte gerne eine kurz präzise Zusammenfassung, um welche Art von Angriff es sich gehandelt habe und wie dieser grob erfolgt sei. Die Vorsitzende schließt sich diesem Wunsch ausdrücklich an.
Der Abg. von Notz bemerkt, dass es seiner Einschätzung nach von Seiten einzelner Behörden durchaus öffentlich über Einzelheiten des Angriffs berichtet worden sei. Er nehme das BSI ausdrücklich von diesem Verdacht aus. Er erkundigt sich nochmals nach den bisherigen Kosten und ob schon Kostenschätzungen für die nähere Zukunft vorlägen. In diesem Zusammenhang weist er ausdrücklich darauf hin, dass die IT des Bundestages mit Sicherheit weitere Stellen benötige.
Die Vorsitzende erteilt Herrn Hange (Präsident BSI) das Wort.
Herr Hange (Präsident BSI) erläutert, dass die intensiven Analysen der vorliegenden Informationen, die noch nicht vollständig abgeschlossen seien, eindeutig ergeben hätten, dass der Angriff Ende April erfolgt sei. Das BSI habe Hinweise, dass sich der Angriff nicht nur gegen den Deutschen Bundestag gerichtet habe. Es seien auch internationale Organisationen betroffen gewesen. Es habe sich offensichtlich um eine Angriffskampagne gehandelt.
Die Dienstleistung des BSI sei für den Bundestag natürlich kostenlos. Das BSI habe für dieses sehr große Projekt, das mit einem großen Engagement seiner Mitarbeiter betrieben worden sei, einen personellen Aufwand von ca. 350 Personentagen zu verzeichnen.
Der Abg. Klingbeil erkundigt sich, wenn die Aussage zuträfe, dass es sich um eine Kampagne gegen weitere Organisationen gehandelt habe, warum dies in der Öffentlichkeit nicht bekannt geworden sei. Ob die anderen betroffenen Organisationen besser geschützt seien oder dies einfach geheim geblieben sei.
Herr Hange (Präsident BSI) bittet um Verständnis, dass detailliertere Informationen erst nach Abschluss der laufenden Analysen möglich seien. Dieser Bericht werde mit Sicherheit eingestuft werden.
Die Protokolldaten seien erst am 8. Mai gesichert worden, sodass auf Grund der Speicherdauer von nur sieben Tagen eine schnelle Analyse der potentiellen Ereignisse im April nicht möglich gewesen sei. Die bereitgestellten Informationen seien allerdings wie ein großes Puzzle gewesen und hätten jetzt doch ein schlüssiges Bild ergeben. Der Zeitpunkt Ende April könne eingekreist werden. Es habe sich um die sogenannte Watering-Hole-Methode gehandelt. Das Ergebnis der technischen Auswertung des BSI hinsichtlich der Erstinfektion müsse noch mit den Erkenntnissen der Dienste abgeglichen werden. Die IuK-Kommission solle die Information allerdings als erstes erhalten.
Es habe sich um eine Standardmethode gehandelt, die allerdings mit einer erheblichen Professionalität ausgeführt worden sei. Das Ziel der Kompromittierung des Gesamtsystems sei auf Grund der fehlenden Sicherheitssegmentierung sehr schnell erreicht worden. Diese Segmentierung soll im Rahmen der Verbesserung der Sicherheitsarchitektur voraussichtlich im Netz des Bundestages implementiert werden. Eine wesentliche Erkenntnis sei, dass sich derartige Angriffe grundsätzlich nicht ausschließen ließen, allerdings könne man die eigene Infrastruktur so verbessern, dass die Auswirkungen stark begrenzt blieben und eine frühe Erkennung der Infektion gewährleistet sei.Die Vorsitzende erteilt Herrn Dr. Winterstein (UAL IT) das Wort.
Herr Dr. Winterstein (UAL IT) gibt zu bedenken, dass eine abschließende Aussage zu den bisherigen Kosten noch nicht getroffen werden könne. Da die zukünftigen Maßnahmen in der Kommission noch nicht verabschiedet seien, könne auch für die zukünftigen Kosten nur eine vorläufige Aussage getroffen werden. Die in der Sommerpause erfolgten kurzfristigen Maßnahmen seien teilweise ohnehin geplant und nur vorgezogen worden, daher könnten diese Kosten nicht der Behebung zugerechnet werden. Dies erleichtere die Berechnung der bisherigen Kosten nicht. Die Empfehlungen der Firma T‑Systems enthielten beispielsweise Maßnahmen zur Netzwerkerneuerung, die je nach Art der Erneuerung erhebliche Kosten durch Baumaßnahmen nach sich ziehen könnten.
Es könne aber davon ausgegangen werden, dass nach bisheriger Kenntnis für die Abwehr und das Wiederaufsetzen Mittel in Höhe von ca. 1 Mio. aufgewandt worden seien. Dies sei noch keine abschließende Aussage. Aktuell seien auch noch nicht alle kurzfristigen Maßnahmen umgesetzt worden, sodass noch weitere Kosten hinzukämen. Für das Jahr 2016 seien insgesamt fünf Dienstposten beantragt worden, um zukünftig einem solchen Cyberangriff besser entgegentreten zu können.
Die Abge. Ziegler erkundigt sich, inwieweit bereits für den Haushalt 2016 Vorsorge getroffen worden sei.
Herr Dr. Winterstein (UAL IT) erwidert, dass es für den Haushalt 2016 bereits erste Ansätze gebe. Die vom Referat IT 5 bereits beschafften bzw. noch zu beschaffenden Systeme könnten sowohl die Investitionsmittel als auch die erforderlichen Mittel für die übergangsweise erforderlichen Betriebsunterstützungen beziffert werden. Diese Mittel seien im Haushalt 2016 berücksichtigt.
Durch den Angriff seien einige Maßnahmen in diesem Jahr nicht durchgeführt worden. Daher gehe er davon aus, dass die frei werdenden Mittel in das kommende Haushaltsjahr übertragen werden könnten und somit im Haushalt 2016 für die erforderlichen Maßnahmen zur Verfügung stünden. Es werde leider nicht möglich sein alle langfristigen Maßnahmen bereits in 2016 abzuschließen, daher sei noch ausreichend Zeit, für den Haushalt 2017 entsprechende Mittel zu beantragen. Er gehe davon aus, dass in der nächsten Sitzung der IuK-Kommission konkretere Kostenschätzungen vorgelegt werden könnten.Die Vorsitzende bekräftigt, dass sie ebenfalls das Anliegen der Abge. Ziegler unterstütze, sowohl die Forderung nach Personalstellen als auch Mitteln, die aus Sicht der IT erforderlich seien, im Haushalt 2016 zu berücksichtigen.
Der Abg. KasterVorsitzende VPN Pau aus, dass der Generalbundesanwalt sich bis zum heutigen Tage noch nicht wieder gemeldet habe. Da sich die Obleuterunde am vergangenen Dienstag verständigt habe, dass man die Speicherdauer der Protokolldaten bis Ende des Jahres bei drei Monaten belassen wolle um anschließend erneut zu entscheiden, habe man sich auch verständigt, dass man die Protokolldaten, die älter als drei Monate sind, löschen wolle. Dies stehe unter dem Vorbehalt, dass der Generalbundesanwalt keine Einwände erhebe. Dieses Vorgehen sei mit der bestehenden Beschlusslage vereinbar.
Der Abg. Kaster regt an, dass zur kommenden Sitzung der IuK-Kommission die vorgestellten Maßnahmen insoweit zur Entscheidung in diesem Gremium vorbereitet und beschrieben werden, als diese für die Anwender relevant seien. Dies solle auch erfolgen, wenn noch nicht alle Maßnahmen entscheidungsrelevant seien, damit die Kommission die Maßnahmen Stück für Stück abarbeiten könne.
Der Abg. von Notz fragt nach, ob heute eine Entscheidung zu den Speicherfristen getroffen werden solle und ob man jetzt davon ausgehen könne, dass das Problem behoben sei bzw. ob der Bundestag wieder die Hoheit über seine Systeme habe.
Herr Wilk (RL IT 1) führt aus, dass es eine absolute Gewissheit nicht gebe. Die aktuelle IT-Infrastruktur sei soweit gehärtet worden, dass eine Übernahme der Domäne nahezu unmöglich sei. Es könnten weiterhin unbekannte Fehler im Betriebssystem oder verwendeter Software vorhanden sein, die es einem potentiellen Angreifer ermöglichen könnten, zum Erfolg zu kommen. Die bekannte Vorgehensweise dieses Angriffs könne mit den vorhandenen Überwachungsmechanismen erfasst werden und anschließend beseitigt werden. Es seien noch einige Maßnahmen, wie z.B. zusätzliche Sicherungsmaßnahmen der Administrations-PC der Domänenadministratoren erforderlich.
Durch die vom Referat IT 5 zu beschaffenden Systeme könnte seines Erachtens eine deutlich höhere Wahrscheinlichkeit erreicht werden, dass Anomalien im Netz frühzeitig erkannt würden. Dies wäre, laut Herrn Wilk (RL IT 1), eine wesentliche Maßnahme, um eine erneute Kompromittierung des Gesamtsystems zu unterbinden.Die Vorsitzende erklärt erneut, dass ein Beschluss über die Speicherfristen heute nicht erforderlich sei. Die Vereinbarung sei, dass bis zum Jahresende eine Dreimonatsfrist gelte. Die Löschung der älteren Daten sei noch von der Rückmeldung des Generalbundesanwaltes abhängig. Sollten hier keine Vorbehalte mehr vorhanden sein, so werde die Verwaltung die Protokolldaten, die zu dem Zeitpunkt älter als drei Monate seien, unmittelbar löschen. Über eine erneute Befassung bzw. einen erneuten Beschluss werde das Gremium zu gegebenen Zeit entscheiden.
Die Vorsitzende VPn Pau bedankt sich nochmals ausdrücklich bei allen Beteiligten. Sie bittet, allen Mitarbeiterinnen und Mitarbeitern der Bundestagsverwaltung, der beteiligten Firmen und des BSI den ausdrücklichen Dank für die erbrachte große Leistung und den ausgewöhnlichen Einsatz auszurichten. Der nächste Sitzungstermin werde kurzfristig kommuniziert. Hierzu bedürfe es noch einer Abstimmung bezüglich der Obleuterunde sowie Art und Umfang der weiteren Maßnahmen, die hier beschlossen werden sollen. Die Vorsitzende fordert ausdrücklich dazu auf, die potentiellen Einschränkungen der Maßnahmen offen dazulegen, um die Entscheidungen der Kommission fundiert treffen zu können. Die Mitglieder der IuK-Kommission müssten dann anschließend eine Abwägung treffen, d.h. ggf. von wohlbegründeten Empfehlungen dennoch Abstand zu nehmen. Dies sei allerdings noch Zukunftsmusik. Mit einem herzlichen Dank und dem Wunsch für viel Erfolg in den nächsten Tagen schließt die Vorsitzende die Sitzung.
Schluss der Sitzung: 9:20 Uhr
Petra Pau, MdB
Vorsitzende
Prüfung der Umsetzung weiterer Maßnahmen zur IT-Sicherheit Vorlage für die IuK-Kommission
Datum: 30. Oktober 2015
I. Beschlussempfehlung
Die Verwaltung wird beauftragt, die Möglichkeit der Umsetzung weiterer Maßnahmen zur Verbesserung der IT-Sicherheit zu prüfen:
- Konsolidierung der aktuell eingesetzten Software mit dem Ziel, nicht mehr aktuelle und nicht zwingend benötigte Produkte zu deinstallieren. Zur Erarbeitung eines Vorschlags (Softwarewarenkorb) soll die Verwaltung die auf den Parlakom-Rechnern installierten Softwarekomponenten, einschließlich der selbst, etwa zur Hardwareintegration, beschafften Produkte, vollständig erfassen.
- Einschränkung bzw. Verhinderung der Ausführung von Software, die nicht Teil des Softwarewarenkorbs ist, auch von portablen Applikationen, durch technische Maßnahmen. Die Verwaltung wird beauftragt, hierzu ein Konzept vorzulegen und darin auch die Aufwände für Einrichtung und Betrieb darzustellen.
- Steuerung der Freigabe aller Schnittstellen eines Parlakom-Gerätes künftig zentral über eine Software. Die Verwaltung wird beauftragt, mögliche Umsetzungsvarianten und ‑aufwände zu erarbeiten.
- Prüfung von Realisierungsansätze zur Verwaltung von Drittgeräten wie Smartphones, Tablets und Laptops (Mobile Device Management, MDM). Die Verwaltung wird beauftragt, mit externer Unterstützung technische Lösungen auf einen wirtschaftlichen Einsatz im parlamentarischen Umfeld zu untersuchen.
- Erarbeitung eines Konzeptes zur sichereren Authentisierung an den Parlakom-Clients. Hierzu soll eine Zwei-Faktor-Authentisierung geprüft werden.
- Ermittlung weiterer Maßnahmen zum Schutz vor unberechtigtem Datenabfluss. Die Verwaltung wird beauftragt, zu prüfen, ggf. mit externer Unterstützung, ob es hierzu weitere Maßnahmen gibt, die im Rahmen der IT-Infrastruktur des Deutschen Bundestages realisiert werden können.
II. Begründung
Zu 1.:
Im Rahmen dieser Maßnahme werden die Software-Produkte, die derzeit auf dem Client installiert sind bzw. aus den unterschiedlichen Teilen des Warenkorbes zur Installation bereitstehen, einer Revision unterzogen. Zur Überprüfung der Dokumentationslage werden softwaregestützt alle Clients auf die eingesetzte Software und deren Versionen untersucht. Aufgrund der Ergebnisse wird ein Vorschlag erarbeitet, wie zukünftig mit der Software umgegangen werden soll und auf welche ggf. verzichtet werden kann. In diesem Vorschlag wird auch auf die selbst beschaffte Zusatzsoftware eingegangen.
Zu 2.:
Auf Grundlage der erarbeiteten Ergebnisse wird eine sogenannte „white list“, d. h. auf dem Client zulässige Anwendungen erstellt. Es werden technische Maßnahmen konzipiert (Konfiguration AppLocker), um die Ausführung anderer Anwendungen, auch portabler Applikationen, zu unterbinden. Derzeit wird geprüft, ob die bei den Remotegeräten eingesetzte lokale Firewall auch auf jedem LAN-Client aktiviert werden kann. Diese Firewall könnte auch zur Beschränkung der Kommunikation der Clientapplikationen verwendet werden.
Zu 3.:
Eine Kontrolle der Schnittstellen und Laufwerke, die bisher nur in einigen Bereichen der Verwaltung realisiert ist, soll auch im Abgeordnetenbereich eingeführt werden. Die Rahmenbedingungen sollen erarbeitet werden. Dies wird u. a. zu Funktionseinschränkungen für die Speichermedien und Geräte mit USB-Anschluss führen.
Zu 4.:
In einem Konzept zur Einführung eines Mobile Device Management (MDM) sollen auch technische Lösungen geprüft werden, die die Bereitstellung einer geschützten Umgebung auf einem Drittgerät ermöglichen. Ein MDM wird in jedem Fall für einen Sicherheitsgewinn im Bereich der Vertraulichkeit und Integrität sorgen. Allerdings könnte dies zu einer Einschränkung in der Verfügbarkeit führen, insbesondere an Wochenenden und in der Nacht. Es soll eine technische Lösung auch für Laptops gefunden werden. Für die Konzeption soll ein externer Dienstleister gewonnen werden. Im Konzept soll insbesondere der zu erwartende Personal- und Mittelbedarf kalkuliert werden.
Zu 5.:
Bei einer Zwei-Faktor-Authentisierung kann eine zusätzliche Hardwarekomponente eingesetzt werden (z.B. Chipkarte, Token, USB-Stick), um einen „Pass-the-Hash“-Angriff zu erschweren.
Zu 6.:
Es soll untersucht werden, ob in Ergänzung zu den vorhandenen Sicherheitsmechanismen weitergehende Maßnahmen zur Erkennung möglicher Datenabflüsse eingerichtet werden können. Die erarbeiteten Maßnahmen sollen einer datenschutzrechtlichen Bewertung unterzogen werden.
Nachbemerkung:
Die erarbeiteten Konzepte, Prüfungsergebnisse und Aufwandsabschätzungen werden der IuK-Kommission jeweils nach dem Abschluss der Arbeiten zur Kenntnis und zur weiteren Entscheidung vorgelegt.
Zeitnahe Maßnahmen zur Verbesserung der IT-Sicherheit – Vorlage für die IuK-Kommission
Datum: 02.11.2015
I. Beschlussempfehlung
Die Verwaltung wird beauftragt, zeitnah folgende Maßnahmen umzusetzen:
- Internetbrowser-Erweiterungen zur Darstellung multimedialer Inhalte sollen deaktiviert werden. Soweit die Deaktivierung zu Einschränkungen in der Mandatsausübung führt, kann sie in Absprache mit den Obleuten ausgesetzt werden. Die Deaktivierung anderer Erweiterungen soll geprüft werden.
- Der IT-Support soll künftig nur im Bedarfsfall auf einzelne Geräte bezogene und zeitlich begrenzte Administrationsrechte erhalten.
- Jede neue PIN für die Festplattenverschlüsselung auf Wahlkreisgeräten und Laptops soll künftig eine Länge von mindestens acht Zeichen haben. Auf Bestandsgeräten soll die Verlängerung sukzessive umgesetzt werden.
II. Begründung
Zu 1.:
Sicherheitslücken in Browsererweiterungen werden zu Angriffen auf IT-Infrastrukturen genutzt. Die Verwendung solcher Produkte im Rahmen der aktuellen Standard-Installation soll daher möglichst rasch beendet werden. Dies betrifft aus dem aktuellen Softwarewarenkorb die Produkte Flash Player, Shockwave Player, QuickTime und Silverlight. Der Verzicht wird zu Einschränkungen bei der Internetnutzung führen, deren Auswirkungen nicht vollständig abgeschätzt werden kann. Auch Fraktionsdienste nutzen zum Teil noch diese Produkte. Um die Nutzung dieser Dienste Mitgliedern der Fraktion auch weiterhin zu ermöglichen, sind nach derzeitigem Kenntnisstand bis zum Frühjahr 2016 Ausnahmeregelungen notwendig. Insgesamt sollten vorerst noch Einsatzmöglichkeiten offen gehalten werden.
Zu 2.:
Die lokalen Administrationsrechte der Supporter sollen nur noch im Bedarfsfall für das einzelne Gerät und zeitlich begrenzt (max. 24 h) erteilt werden. Dies bedeutet, dass der Supporter jeweils über die IT-Hotline beauftragt werden muss. Diese Maßnahme reduziert die Anzahl der potentiell vorhandenen aktiven Administrator-Accounts und separiert die Administrationsrechte.
Zu 3.:
In allgemeinen Hinweisen zur IT-Sicherheit wird für eine PIN bzw. für ein Passwort eine Länge von mindestens acht Zeichen empfohlen. Diese Mindestlänge soll künftig auch für die Entschlüsselung der Festplatten von Laptops und Wahlkreisrechnern verbindlich werden.
Informationen zum Cyberangriff auf den Bundestag – hier: Abschlussbericht BSI
Bezug: Beauftragung des BSI am 15.5.2015
Datum: 03.11.2015
Ausgangslage
Anfang Mai 2015 informierte das Bundesamt für Verfassungsschutz den Deutschen Bundestag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Hinweise, dass mindestens zwei Rechner aus dem Netz des Deutschen Bundestages kompromittiert seien. Das BSI nahm daraufhin mit dem Deutschen Bundestag Kontakt auf, wo man ebenfalls bereits Anomalien im Netz festgestellt hatte. Diese Auffälligkeiten im Netz des Deutschen Bundestags deuteten bereits zu diesem Zeitpunkt darauf hin, dass zentrale Systeme des internen Bundestagsnetzes kompromittiert waren. Gemeinsam mit einem externen Dienstleister untersuchte das BSI daraufhin im Auftrag des Deutschen Bundestags und im Rahmen seines gesetzlichen Beratungsmandats den Vorfall, um das Ausmaß der Kompromittierung festzustellen.
Ergriffene Maßnahmen
Die Bearbeitung des Vorfalls erfolgte in drei Phasen:
- Analyse,
- abgesicherter Übergangsbetrieb und
- Konzeption sicherer Neustart.
In Phase 1 (Analyse) wurden die auffällig gewordenen Systeme forensisch untersucht, um die Methoden und Ziele der Täter abzuleiten. Hierfür wurden alle Arbeitsplatzsysteme und Server mit einem Detektionstool untersucht, das auf derartig hochwertige Angriffe zugeschnitten ist. Infizierte Systeme konnten hierdurch erkannt werden. Zudem wurden die Logdaten der zentralen Internetübergänge daraufhin untersucht, ob sie Verbindungen zu Kontrollservern der Täter aufwiesen.
Eine besondere Herausforderung bei den Analysen war die Tatsache, dass durch die Berichterstattung in der Presse der Angreifer frühzeitig über das Entdecken seines Angriffes informiert war. Der Angreifer konnte so bestimmten Gegenmaßnahmen ausweichen und seine Aktivitäten frühzeitig Verschleiern, indem er beispielsweise Ausweich-Kontrollserver registrierte.In Phase 2 (abgesicherter Übergangsbetrieb) wurden auffällige Rechner unverzüglich abgeschaltet und neu aufgesetzt, kompromittierte Accounts deaktiviert und Rückmeldewege für den Datenabfluss gesperrt, sobald darüber Kenntnis erlangt wurde. Der Bundestags-Webverkehr wurde zeitweise über die Sicherheitskomponenten des Regierungsnetzes IVBB geleitet, um Angreiferverkehr zu detektieren und diesen zu sperren.
Das Ziel dieser Maßnahmen, Datenabfluss zu verhindern, wurde eine Woche nach Beginn der Gegenmaßnahmen erreicht. Darüber hinaus konnten ab Ende Mai 2015 keine Täteraktivitäten mehr beobachtet werden.In Phase 3 (Konzeption sicherer Neustart) wurden die aus der Analyse gewonnenen Erkenntnisse über die Methoden der Angreifer in die Konzeption eines sichereren Netzwerks eingebracht. Zentrale technische Prämisse bei der Konzeption war und ist, dass ein einzelner kompromittierter Arbeitsplatz-PC nicht dazu führen darf, dass das gesamte Netzwerk kompromittiert wird. Beim Neuaufsetzen wurde seitens der Bundestagsverwaltung ein weiterer externer Dienstleister beteiligt. In die Konzeption sind die aus der Analyse gewonnenen Erkenntnisse über die Angreifermethoden eingeflossen. Weitere Maßnahmen sind in der Umsetzung mittelfristig zu ergreifen, um das Netz des Deutschen Bundestages gegenüber künftigen Cyber-Angriffen zu härten.
Bewertung
Die Täter haben beim Cyber-Angriff zunächst einen einzelnen Arbeitsplatzrechner mit einer Schadsoftware infiziert. Diese Erstinfektion erlaubt es typischerweise, Dateien hoch- und herunterzuladen. Die genaue Analyse der Erstinfektion in den Logdateien war durch die kurze Speicherfrist von maximal sieben Tagen nicht möglich. Die Täter nutzten diese Funktionalität, um auf dem infizierten System weitere Tools nachzuladen, darunter auch öffentlich verfügbare und von vielen Tätergruppen genutzte Werkzeuge. Die nachgeladene Software diente unter anderem dazu, die Zugangsdaten eines Systemkontos für die Software-Verteilung herauszufinden und dies für die weitere Ausbreitung im internen Netz zu verwenden. Die Analyse ergab, dass auf einzelnen Systemen ein Backdoor-Schadprogramm installiert worden war, das den Angreifern jederzeit erlaubt, auf das System zuzugreifen. Daneben wurden weitere Angriffstools und Schadprogramme wie Keylogger, die Tastatureingaben mitschneiden und Bildschirmfotos erstellen, sowie selbst geschriebene Skripte zum Sammeln von Dokumenten bestimmter Dateitypen gefunden. Aufgrund der Analyse des Vorfalls war davon auszugehen, dass es die Täter unter anderem auf ausgewählte E‑Mail-Postfächer im politischen Bereich abgesehen hatten.
Hinsichtlich der methodischen Einordnung des Cyber-Angriffs ist folgendes festzustellen: Der Angriff entspricht dem klassischen APT-Muster, das von nahezu allen bekannten Cyber-Spionagegruppen angewandt wird. Bei der Ausbreitung im internen Netz („Lateral Movement“) setzten die Angreifer auf gängige Methoden und öffentlich verfügbare Tools, wie sie auch von weniger professionellen Tätern verwendet werden. Dies kann dadurch begründet sein, dass man eine Zuordnung des Angriffs erschweren wollte. Allerdings führten einige Fehler der Angreifer dazu, dass ihre Aktivitäten im Netz nachzuvollziehen und zu detektieren waren.
Im Rückblick kann aufgrund der Analysen festgestellt werden, dass die Angreifer nur ein relativ kurzes Zeitfenster von drei Wochen hatten, Daten zu exfiltrieren. Die Nutzung von IT-Systemen im Bundestag war ab Ende Mai 2015 wieder abgesichert.
Mit freundlichen Grüßen
Im Auftrag
Dr. Häger
Tagesordnung der 10. Sitzung der IuK-Kommission
Die 10. Sitzung der Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien findet statt am
Donnerstag, dem 5. November 2015, 7:30 Uhr
Sitzungssaal: Ältestenratssaal (2 N014)
Reichstagsgebäude, BerlinTagesordnung
- Tagesordnungspunkt 1: Maßnahmen zur Verbesserung der IT-Sicherheit, Herr Holz IT 2, Herr Wilk IT 1, Herr Möhlmann IT 5
- Tagesordnungspunkt 2: Verbesserung des DDOS-Schutzes für den Internetauftritt des Bundestages, Herr Babiel, Firma Babiel
- Tagesordnungspunkt 3: Abschlussbericht zum IT-Vorfall, Herr Hange, Präsident BSI
- Tagesordnungspunkt 4: Neuerungen beim Internetauftritt des Bundestages, Frau Dr. Jachmann, PuK 4
- Tagesordnungspunkt 5: Verschiedenes
-
: Wir veröffentlichen: Entwurf des Staatsvertrags zum Gemeinsamen Überwachungszentrum von fünf Bundesländern (Update)
: Wir veröffentlichen: Entwurf des Staatsvertrags zum Gemeinsamen Überwachungszentrum von fünf Bundesländern (Update) Der Staatsvertrag zum „Gemeinsamen Kompetenz- und Dienstleistungszentrum auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“ (GKDZ) wird im Geheimen verhandelt, nicht einmal die Abgeordneten der beteiligten Bundesländer bekommen den Entwurf zu Gesicht. Soviel Intransparenz bei der Zentralisierung polizeilicher Überwachungskapazitäten darf nicht sein, deshalb veröffentlichen wir hier den Entwurf des Vertrages vom 31. August 2015.
Im GKDZ sollen Fähigkeiten der Polizeien von Berlin, Sachsen, Sachsen-Anhalt, Brandenburg und Thüringen im Bereich Telekommunikationsüberwachung gebündelt werden:
Die Anstalt ist die zentrale Dienstleisterin der Trägerländer auf dem Gebiet der polizeilichen Telekommunikationsüberwachung. Die Trägerländer benutzen die Anstalt im Wege der Auftragsdatenverarbeitung für Daten aus polizeilichen Telekommunikationsüberwachungen (Kernaufgabe). Sie errichtet und betreibt IT-Systeme zur Verarbeitung von entgegengenommenen Telekommunikationsdaten, ohne selbst polizeiliche Aufgaben wahrzunehmen.
Bei einer so weitreichenden Kompetenzzusammenführung sind datenschutzrechtliche Probleme unvermeidbar, einen ersten Eindruck darüber vermittelte eine Stellungnahme des ehemaligen Berliner Beauftragten für Datenschutz und Informationsfreiheit . Ein Blick in den uns vorliegenden Entwurf bestätigt das.
Unklarer Aufgabenumfang
Der Entwurf definiert nicht genau, welche Aufgaben die „zentrale Dienstleisterin […] auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“ genau erfüllen wird. Genannt sind etwa „technisch-organisatorische Umsetzung der Maßnahmen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“, „technische Analyse und Decodierung von Rohdaten“ und „Erkennung verschlüsselter Kommunikation und ggf. deren Entschlüsselung“.
Im April 2015 habe der sächsische Landpolizeipräsident Jürgen Georgie mitgeteilt, dass das GKDZ auch für das Abfragen von Bestands- und Verkehrsdaten zuständig sein soll, nicht aber für Funkzellenabfragen oder Quellen-Telekommunikationsüberwachung. Aus einer Kleinen Anfrage der Piraten im Berliner Abgeordnetenhaus aus diesem Jahr ging hervor, dass „Stille SMS“ hingegen sehr wohl in den Aufgabenbereich des GKDZ fallen sollen. Die „konkrete technische Umsetzung“ werde aber erst in der Feinplanung festgelegt.
Löschen, Berichtigen, Sperren – Aber wie?
„Die Trägerländer benutzen die Anstalt im Wege der Auftragsdatenverarbeitung“ – das heißt auch, dass die Auftraggeber, also die Länder, für die Kontrolle der Datenschutzregelungen zuständig sind. Konkrete technische und organisatorische Maßnahmen für die Einhaltung des Datenschutzes müssen schriftlich festgelegt werden, doch im vorliegenden Entwurf fehlen davon wesentliche Teile. Es lässt sich nicht erkennen, unter welchen Voraussetzungen Daten gelöscht, berichtigt und gesperrt werden können oder welche Rechte Betroffene haben. Dass die Vorschriften „des Auftrag gebenden Landes“ gelten sollen bleibt unkonkret.
Auch sonst ist gerade beim Thema Auftragsdatenverarbeitung einiges schwammig und soll an anderen Stellen geregelt werden:
Zur Erledigung ihrer Aufträge zur Datenverarbeitung hat sich die Anstalt ihrer eigenen
IT-Systeme zu bedienen. Die Anstalt kann sich im Übrigen Dritter bedienen, insbesondere der Trägerländer, die der Anstalt die Inanspruchnahme von Unterstützungsleistungen gewähren. Näheres wird durch die Satzung der Anstalt oder in separat abzuschließenden Verwaltungsabkommen geregelt.Der Berliner Datenschutzbeauftragte kritsierte das und empfahl, „bereits in der Norm ausdrücklich darauf hinzuweisen, dass die Anstalt sich Dritter zur Erfüllung ihrer Aufgaben nur in Abstimmung mit dem jeweiligen Auftraggeber bedienen darf, um die diesbezüglichen Befugnisse der Anstalt in ihrer Funktion als Auftragnehmerin deutlich zu begrenzen.“
Datenzugriff durch Dritte
Apropos Dritte und Begrenzen: Ein Thema, das bei der Zusammenführung von Datenverarbeitung schnell aufkommt, sind die Zugriffsberechtigungen. § 13 des Staatsvertrags soll regeln, dass sich die Zugriffsbefugnisse der jeweiligen Polizeibehörden nicht erweitern dürfen. Es ist jedoch nur unzureichend definiert, wie sich das bezüglich Dritter verhält, die beispielsweise Wartungsarbeiten ausführen. Zwar sollen in der Regel ausschließlich eigene IT-Systeme genutzt werden, doch zu „Verwaltungshilfsdienstleistungen“ dürfen auch solche hinzugezogen werden.
Einbeziehung der Datenschutzbeauftragten der Länder
Von den Kritikpunkten des ehemaligen Berliner Datenschutzbeauftragten haben wir durch die Stellungnahme erfahren, der sich seine Nachfolgerin anschließt, wie von der Behörde gegenüber netzpolitik.org bestätigt wurde. Wir haben bei den Datenschutzbeauftragten der anderen beteiligten Bundesländer nachgefragt, wieweit sie bisher in die Planungen des GKDZ eingebunden waren. Spätestens im April 2015 müssen alle Bescheid gewusst haben, denn da fand im Sächsischen Innenministerium ein Informationstreffen für alle statt.
Da Sachsen federführendes Bundesland bei der Einrichtung des GKDZ ist, wusste auch der Sächsische Datenschutzbeauftragte schon früh – im November 2013 – Bescheid. Andreas Schneider aus der Sächsischen Datenschutzbehörde kommentierte gegenüber netzpolitik.org:
Der Sächsische Datenschutzbeauftragte pflegt turnusgemäß Gespräche mit der Polizeiverwaltung des Freistaates. Meiner Behörde gegenüber ist im November 2013 erstmals das Ansinnen eröffnet worden, ein gemeinsames Zentrum einzurichten. Konkretisiert und inhaltlich verdichtet wurden die Vorstellungen erst im letzten Jahr. Ein Staatsvertragsentwurf liegt hier mit Stand vom 31. August 2015 vor (Ein neuerer Entwurf ist mir nicht bekannt.). Zweck des Vorhabens ist ein ressourcenschonender gemeinsamer Betrieb einer ansonsten kostenintensiven Technikanschaffung. Grundlegende Bedenken wurden seitens meiner Behörde nicht erhoben, da Eingriffe ausschließlich auf der – unveränderten – Grundlage bestehenden Rechts erfolgen sollen. D. h. aber auch, dass sicherzustellen sein wird, dass eine Kooperation auf Staatsvertragsgrundlage nicht rechtlich oder faktisch dazu führt, dass über die geltende Rechtslage und Befugnisse der Behörden und Bediensteten hinaus die Datenverarbeitung erweitert werden kann. Entscheidend wird unter anderem sein, dass verfahrenstechnisch und personell-organisatorisch abgesichert eine strenge Trennung der Informationen zu Strafverfolgungs- gegenüber Gefahrenabwehrvorgängen und nach Ländern und Zuständigkeiten erfolgt.
In Brandenburg sei man im Februar 2015 zum ersten Mal über das Projekt informiert worden, bis man einen schriftlichen Entwurf zu Gesicht bekam, dauerte es aber noch ein bisschen:
Nachdem die Landesbeauftragte, Frau Hartge, dies im Rahmen der öffentlichen Sitzung des Ausschusses für Inneres und Kommunales des Landtags Brandenburg am 12. November 2015 angemahnt hatte, übersandte das Ministerium uns einen Entwurf des Staatsvertrages sowie weitere Projektunterlagen. Hierzu gaben wir Ende Februar 2016 eine Stellungnahme ab, die sowohl datenschutzrechtliche als auch technisch-organisatorische Anforderungen an einen datenschutzgerechten Betrieb des Gemeinsamen Kompetenz- und Dienstleistungszentrums berücksichtigt.
Was in dieser Stellungnahme geschrieben steht, erfahren wir nicht. Die Landesdatenschutzbeauftragte von Brandenburg bittet „um Verständnis, dass wir uns zu Einzelheiten bis zur öffentlichen parlamentarische Befassung mit der Angelegenheit noch nicht äußern.“ Eine eigene Stellungnahme gibt es auch beim Sächsischen Datenschutzbeauftragten. Da ist man sich noch nicht sicher, ob sie herausgegeben werden darf. „Nach erfolgter entsprechender interner Freigabe“ würde man uns die Stellungnahme übersenden. Wir sind gespannt auf das Ergebnis.
Aus Thüringen
und Sachsen-Anhalterhielten wir bisher leider gar keine Auskunft über die Einbeziehung der Behörden oder eventuell vorhandene Stellungnahmen.Update: Die Landesbehörde für den Datenschutz Sachsen-Anhalt hat mittlerweile geantwortet. Sie habe an der Informationsveranstaltung im Sächsischen Staatsministerium [im April 2015] teilgenommen und Gelegenheit zur Stellungnahme gehabt:
Der Landesbeauftragte hat sich zum o.g. Entwurf eines Staatsvertrages sowohl gegenüber dem Ministerium für Inneres und Sport des Landes Sachsen-Anhalt als auch gegenüber dem Sächsischen Datenschutzbeauftragten geäußert. Hierbei wurden mögliche ergänzende Regelungen zur Trennung der Daten aus den einzelnen Ländern und eine konkretere Formulierung des Aufgabenumfangs angeregt.
Planungsstand unklar
So unklar wie einige Datenschutzfragen ist auch der Planungsstand des Staatsvertrages. Laut einer aktuellen Antwort auf eine Anfrage der Berliner Piraten sei man noch in der ressortweiten Abstimmung des Vertrages in den jeweiligen Ländern. Erst danach sollen die Abgeordneten der Landesparlamente einbezogen werden. Im April 2015 klang es so, als sei man schon dabei, die Parlamente mit dem Vertragsentwurf zu befassen.
Damals lautete der Zeitplan, bis zum August 2017 einen Probebetrieb zu starten, um im April 2018 in den Wirkbetrieb überzugehen. Das wirkt unwahrscheinlich, da es bisher nichteinmal eine Ausschreibung für das GKDZ gab, wie der Berliner Innenstaatssekretär Bernd Krömer verkündete:
Zunächst müssen der Willensbildungsprozess der Regierungen der beteiligten fünf Länder sowie die erforderlichen Gesetzgebungsverfahren in den Parlamenten abgeschlossen sein. Erst dann kann mit der Ausschreibung für das GKDZ begonnen werden.
So wenig wie über den Vertragstext erfahren die Abgeordneten auch über die vermuteten Kosten des GKDZ. Eine „Grobschätzung der künftigen Betriebskosten“ läge vor, werde den Abgeordneten aber erst im Zuge des Gesetzgebungsverfahrens zur Kenntnis gebracht. Immerhin erfahren wir ein paar erste Zahlen aus dem Vertragsentwurf für die „Anschubfinanzierung“. Circa 5,7 Millionen Euro im ersten Jahr und 9,9 Millionen Euro im zweiten Jahr sollen die Länder insgesamt teilen, dabei war geplant, dass Sachsen mit 1.550.986 Euro im ersten und 2.669.529 Euro im zweiten Jahr den größten Anteil trägt. Berlin würde mit 4.174.922 Euro in den ersten beiden Jahren lediglich 45.593 Euro weniger in das Projekt investieren.
Christopher Lauer von den Piraten im Berliner Abgeordnetenhaus und seine Fraktion lehnen das GKDZ ab:
Das Abhörzentrum ist von Berlin aus kaum parlamentarisch oder durch einen Datenschutzbeauftragten wirksam zu kontrollieren. Im Gegenteil: Die Konzentrierung von Telekommunikationsüberwachung in einem 5‑Länderzentrum schränkt die Zugriffs- und Kontrollmöglichkeiten der Parlamente und der kritischen Öffentlichkeit noch weiter ein. Noch immer liegt kein schlüssiges Konzept für das Abhörzentrum und seine Möglichkeiten vor. In der Planungsphase wurden die Landesparlamente außen vor gelassen, die Ausgestaltung verläuft völlig intransparent. So gibt es beispielsweise kaum Informationen darüber, was mit den vom Zentrum verschickten “Stillen SMS“ passiert oder worin denn der tatsächliche Mehrwert eines solchen Zentrums bestehen soll. Auf Nachfragen vertröstet mich der Berliner Senat in den Antworten auf meine Schriftlichen Anfragen mit der „Befassung der Parlamente“ auf eine ferne Zukunft. Hier wird eine uneinsehbare Black Box geschaffen, deren Zweck für die Kriminalitätsbekämpfung der Senat nicht plausibel begründen kann oder will.
Valentin Lippmann, Sprecher für Datenschutz der Grünen im Sächsischen Landtag forderte Anfang Februar in einer Pressemitteilung:
Ich fordere [den Sächsischen] Innenminister Markus Ulbig (CDU) auf, endlich alle wichtigen Unterlagen zu diesem Vorhaben auf den Tisch zu legen. Die Informationen, die wir GRÜNEN auf unseren Antrag hin aus dem [Sächsischen] Innenministerium bekommen haben, sind ein Witz. So wird uns sowohl das juristische Gutachten und der Entwurf des Staatsvertrages als auch die Wirtschaftlichkeitsuntersuchungen für die Errichtung dieses länderübergreifenden Abhörzentrums vorenthalten. Wieder einmal erhalten Parlamentarier mehr Informationen aus öffentlichen Quellen, als vom Ministerium, das mit den vom Landtag bewilligten Mitteln arbeitet.
Der Entwurf des Staatsvertrages liegt mit unserer Veröffentlichung nun vor. Für alles weitere hoffen wir, dass Ministerien und Senat der Länder endlich die Karten auf den Tisch legen. Ansonsten nehmen wir sachdienliche Hinweise über die üblichen Kanäle gern entgegen.
Entwurf im Volltext
Entwurf zur Vorlage bei den Innen-StS mit Stand vom 31. August 2015 zum
Staatsvertrag über die Errichtung eines Gemeinsamen Kompetenz- und Dienstleistungszentrums der Polizeien der Länder Berlin, Brandenburg, Sachsen, Sachsen-Anhalt und Thüringen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung als rechtsfähige Anstalt öffentlichen Rechts (GKDZ-StV)
Vom
Das Land Berlin, vertreten durch den Regierenden Bürgermeister, vertreten durch den Senator für Inneres und Sport,
das Land Brandenburg, vertreten durch den Ministerpräsidenten, vertreten durch den Minister des Innern und für Kommunales,
der Freistaat Sachsen, vertreten durch den Ministerpräsidenten, vertreten durch den Staatsminister des Innern,
das Land Sachsen-Anhalt, vertreten durch den Ministerpräsidenten, vertreten durch den Minister für Inneres und Sport,
der Freistaat Thüringen, vertreten durch den Ministerpräsidenten, vertreten durch den Minister für Inneres und Kommunales,
- im Folgenden „Trägerländer“ -
schließen vorbehaltlich der Zustimmung ihrer verfassungsmäßig berufenen Organe folgenden
Staatsvertrag
über die Errichtung eines Gemeinsamen Kompetenz- und Dienstleistungszentrums auf dem Gebiet der polizeilichen Telekommunikationsüberwachung als rechtsfähige Anstalt öffentlichen Rechts
- im Folgenden „Anstalt öffentlichen Rechts“ -
Präambel
I.
Eine leistungsfähige Informationstechnik ist Voraussetzung für eine moderne Verwaltung. Sie ist technisch-organisatorisch, wissens- und kostenseitig eine erhebliche Herausforderung, die langfristig nur noch im Rahmen länderübergreifender Zusammenarbeit zu bewältigen ist. Dies hat der Verfassungsgeber erkannt. Er hat mit Art. 91c Grundgesetz (GG) die Grundlage für eine Länderzusammenarbeit auf dem Gebiet der Informationstechnologien geschaffen. Vor diesem Hintergrund wollen die Trägerländer die Zusammenarbeit auf dem Gebiet der polizeilichen Telekommunikationsüberwachung intensivieren.
In den Trägerländern verfügt bislang jeder Polizeibereich über eigene, auf die Bedürfnisse des jeweiligen Geschäftsbereichs zugeschnittene IT-Unterstützungsleistungen für die Telekommunikationsüberwachung. Diese dezentralen Unterstützungsprozesse sollen in einer separaten, länderübergreifenden Organisations- bzw. Wirtschaftseinheit mit entsprechender Rechtsform, einem kooperationsgebundenen Dienstleister auf dem Gebiet der polizeilichen Telekommunikationsüberwachung, weitestgehend gebündelt, konsolidiert, modernisiert und damit zukunftsfähig werden.
Grundlegende polizeifachliche Entscheidungen zur Telekommunikationsüberwachung verbleiben in den Polizeibereichen der Trägerländer. Ziele sind die Steigerung der Effizienz und die Sicherstellung einer bedarfsgerechten sowie an der technischen und rechtlichen Entwicklung ausgerichteten Telekommunikationsüberwachungspraxis. Aus der Länderkooperation werden zudem Synergieeffekte erwachsen.
Die Anstalt dient dem Zweck, die Trägerländer länderübergreifend, insbesondere im Wege der Auftragsdatenverarbeitung mit für die Telekommunikationsüberwachung spezifischen IT-Leistungen, zu unterstützen. Es besteht eine Kooperationsnotwendigkeit, weil die Aufgaben der Länder auf dem Gebiet der polizeilichen Telekommunikationsüberwachung angesichts sich rapide entwickelnder Technologien nicht mehr zielführend alleine bewältigt werden können.
II.
Die Organisation und Einrichtung der Anstalt sollen den verfassungsrechtlichen Anforderungen und den Bedürfnissen der Praxis hinsichtlich einer effizienten und effektiven Telekommunikationsüberwachung unter Berücksichtigung der Anforderungen an den Datenschutz und der zu gewährleistenden Datensicherheit gerecht werden. Dabei soll die Anstalt vor dem Hintergrund der zu gewährleistenden ständigen Funktions- und Handlungsfähigkeit einen Haupt- und einen Nebensitz aufweisen. Diese sind hochverfügbar und ausfallsicher miteinander zu verbinden. Ziel ist es, dass an beiden Anlagenstandorten polizeilichen die geschalteten Maßnahmen auf dem Gebiet der Telekommunikationsüberwachung und die in diesem Zusammenhang anfallenden Daten nahezu zeitgleich spiegelbildlich vorhanden sind. Die Informationsstände sind hierbei fortlaufend zu aktualisieren.
III.
In personeller Hinsicht sollen in der Anstalt der Sach- und Fachverstand, der zur Entgegennahme und Aufbereitung der Daten, die im Rahmen der polizeilichen Telekommunikationsüberwachung anfallen, erforderlich ist, vereint werden. Gewährleistet werden sollen insbesondere die Bereitstellung der Überwachungskopien in polizeifachlich interpretierbarer und auswertbarer Form, der technische Betrieb der Anlagen und der elektronischen Schnittstellen, die Administration der Maßnahmen sowie die Koordination der Providerbeziehungen. Neben Aufgaben im Bereich IT-gestützter Leistungserbringung und Beratung für die polizeiliche Telekommunikationsüberwachung und der für die Abwicklung der Geschäftsprozesse und das Personal der Anstalt erforderlichen Verwaltungsaufgaben soll die Anstalt als Querschnittsaufgaben für die Auftragsdatenverarbeitung bspw. den Datenschutz, die IT-Sicherheit, die IT-Planung und ‑Beschaffung, das zentrale Kundenmanagement, das Störungsmanagement und die Bereitschaftsdienste abbilden. Die Ausgestaltung und Einrichtung der Anstalt sollen dabei innovationsoffen und somit zukunftsfähig erfolgen.
Die Länderpolizeien bleiben weiterhin für die polizeiliche Fallbearbeitung zur Gefahrenabwehr und Strafverfolgung zuständig. In ihnen werden künftig zentrale Ansprechstellen für das Gemeinsame Kompetenz- und Dienstleistungszentrum geführt.
§1 Errichtung, Rechtsform, Name, Sitz, anzuwendendes Recht, Dienstsiegel
(1) Die Trägerländer errichten zum Zwecke der Entgegennahme und Aufbereitung der Daten aus der polizeilichen Telekommunikationsüberwachung der Trägerländer eine rechtsfähige Anstalt öffentlichen Rechts.
(2) Die Anstalt trägt den Namen Gemeinsames Kompetenz- und Dienstleistungszentrum (GKDZ) der Polizeien der Länder Berlin, Brandenburg, Sachsen, Sachsen-Anhalt und Thüringen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung.
(3) Die Anstalt hat ihren Sitz in Leipzig. Sie unterhält einen zweiten Standort in Dresden.
(4) Für die Errichtung und den Betrieb findet das sächsische Landesrecht Anwendung, soweit sich nicht aus den nachfolgenden Bestimmungen etwas anderes ergibt.
(5) Die Anstalt führt ein Dienstsiegel.§2 Trägerschaft, Finanzierung und Wirtschaftsführung
(1) Träger der Anstalt sind die vertragsschließenden Länder (Trägerländer). Diese sind gleichzeitig Benutzer der Anstalt.
(2) Die Anstalt erhält zu Beginn des ersten und zu Beginn des zweiten Geschäftsjahres von den Trägerländern folgende Finanzierungsbeiträge als Anschubfinanzierung:
a) Zu Beginn des ersten Geschäftsjahres, jedoch frühestens zum [Datum
einsetzen: wird im Rahmen der Vertragsverhandlung noch bestimmt]:vom Land Berlin: 1.534.231 €
vom Land Brandenburg: 936.830 €
vom Freistaat Sachsen: 1.550.986 €
vom Land Sachsen-Anhalt: 868.958 €
vom Freistaat Thüringen: 835.704 €b)Zu Beginn des zweiten Geschäftsjahres:
vom Land Berlin: 2.640.691 €
vom Land Brandenburg: 1.612.456 €
vom Freistaat Sachsen: 2.669.529 €
vom Land Sachsen-Anhalt: 1.495.635 €
vom Freistaat Thüringen: 1.438.399 €(3) Die Trägerländer stellen in jedem Geschäftsjahr der Anstalt die nach dem bestätigten Wirtschaftsplan vorgesehenen finanziellen Mittel anteilig, entsprechend dem für die Anstalt modifizierten Königsteiner Schlüssel, bereit (Finanzierungsbeiträge). Der für die Anstalt modifizierte Königsteiner Schlüssel ist der im Bundesanzeiger veröffentlichte, auf die Trägerländer umgerechnete und auf fünf Nachkommastellen gerundete Königsteiner Schlüssel. Dabei wird der im Bundesanzeiger für jedes Trägerland ausgewiesene prozentuale Anteil durch die Summe der prozentualen Anteile aller Trägerländer dividiert und anschließend mit 100 Prozent multipliziert. Für alle Zahlungen gilt jeweils der aktuelle für die Anstalt modifizierte Königsteiner Schlüssel.
(4) Die Anstalt wird nach kaufmännischen Grundsätzen und wirtschaftlichen Gesichtspunkten geführt. Die Anstalt erzielt keine Gewinne. Sie arbeitet kostendeckend. Das Rechnungswesen der Anstalt ist nach den Grundsätzen der doppelten Buchführung (staatliche Doppik) ausgerichtet. Geschäftsjahr ist das Kalenderjahr. Das Nähere zur Haushalts- und Wirtschaftsführung regelt die Satzung.
(5) Die näheren Einzelheiten der Finanzierung werden in einem Verwaltungsabkommen geregelt. Dieses kann nach der Evaluierung gemäß § 19 auch vorsehen, dass die Anstalt Aufwandsabrechnungen für die Erfüllung von Aufgaben einführt.
§3 Haftung
Die Trägerländer haften für Verbindlichkeiten der Anstalt subsidiär unbeschränkt. Im Außenverhältnis gegenüber Dritten haften die Trägerländer als Gesamtschuldner, wenn und soweit sich deren Ansprüche nicht aus dem Anstaltsvermögen befriedigen lassen. Im Innenverhältnis haften die Trägerländer im Verhältnis ihrer Anteile entsprechend dem für die Anstalt modifizierten Königsteiner Schlüssel.
§4 Aufgaben, Benutzungsverhältnis
(1) Die Anstalt ist die zentrale Dienstleisterin der Trägerländer auf dem Gebiet der polizeilichen Telekommunikationsüberwachung. Die Trägerländer benutzen die Anstalt im Wege der Auftragsdatenverarbeitung für Daten aus polizeilichen Telekommunikationsüberwachungen (Kernaufgabe). Sie errichtet und betreibt IT-Systeme zur Verarbeitung von entgegengenommenen Telekommunikationsdaten, ohne selbst polizeiliche Aufgaben wahrzunehmen. Dazu gehören insbesondere folgende Aufgaben:
- Hard- und Softwarekontrollen (Prozesscontrolling) und
- Wartungsarbeiten sowie die Beseitigung von Störungen an den betriebenen IT- Systemen,
- die technisch-organisatorische Umsetzung der Maßnahmen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung,
- Gewährleistung der Schnittstellen zu den Datenverarbeitungssystemen der Polizei,
- die technische Analyse und Decodierung von Rohdaten,
- die Erkennung verschlüsselter Kommunikation und ggf. deren Entschlüsselung,
- die Auftragsverwaltung, einschließlich Dokumentation der Auslagen, die der Polizei bei der Strafverfolgung oder Gefahrenabwehr im Rahmen der jeweils beauftragten Telekommunikationsüberwachung entstanden sind,
- Statistiken und Berichte zur Auftragsabwicklung und unterstützende Maßnahmen der Verwaltungshilfe für das Fertigen von Statistiken und Berichten durch die Trägerländer,
- die Wahrnehmung von Unterstützungsaufgaben im Bereich der Aus- und Fortbildung auf dem Gebiet der polizeilichen Telekommunikationsüberwachung.
Die Anstalt unterstützt und berät die Polizeien der Trägerländer als fachkundige Stelle nach Maßgabe des Verwaltungsrates auf dem Gebiet der technisch-organisatorischen Realisierung polizeilicher Telekommunikationsüberwachung und kann hierzu weitere Unterstützungsfunktionen wahrnehmen, soweit die Kernaufgabe nicht beeinträchtigt wird.
(2) Wurde die Anstalt mit der Datenverarbeitung auf dem Gebiet der polizeilichen Telekommunikationsüberwachung beauftragt, ist sie berechtigt, die am Übergabepunkt gemäß § 5 Abs. 2 Satz 1 der Telekommunikations-Übeiwachungsverordnung (TKÜV) bereitgestellten Daten entgegenzunehmen. Sie ist insoweit dann zugleich für die Vertragsparteien zentrale Kontaktstalle im Sinne der Nr. 2 der Allgemeinen Vorbemerkung der Anlage 3 zu § 23 Abs. 1 Justizvergütungs und ‑entschädigungsgesetz (JVEG) zur Anforderung und Abrechnung für Leistungen zur Telekommunikationsüberwachung.
(3) Zur Erledigung ihrer Aufträge zur Datenverarbeitung hat sich die Anstalt ihrer eigenen IT-Systeme zu bedienen. Die Anstalt kann sich im Übrigen Dritter bedienen, insbesondere der Trägerländer, die der Anstalt die Inanspruchnahme von Unterstützungsleistungen gewähren. Näheres wird durch die Satzung der Anstalt oder in separat abzuschließenden Verwaltungsabkommen geregelt. Die zulässige Inanspruchnahme Dritter durch die Polizeien der Länder wird durch die Regelung nicht beschränkt.
(4) Das Nähere zur Ausgestaltung des Nutzungsverhältnisses regelt die Benutzerordnung.
§5 Organe
Organe der Anstalt sind der Verwaltungsrat und der Vorstand.
§6 Verwaltungsrat
(1) Jedes Trägerland entsendet eine Vertreterin oder einen Vertreter in den Verwaltungsrat.
(2) Die Mitglieder des Verwaltungsrates und jeweils eine Vertreterin oder ein Vertreter werden durch die für Öffentliche Sicherheit und Ordnung zuständigen obersten Landesbehörden jeweils für die Dauer von vier Jahren bestellt. Wiederholte Bestellungen sind möglich. Der Erste Vorsitz im Verwaltungsrat wechselt nach Ländern alle zwei Jahre in der Reihenfolge Sachsen, Berlin, Brandenburg, Sachsen-Anhalt und Thüringen. Den Zweiten Vorsitz übernimmt die Vertreterin oder der Vertreter des Landes, das als nächstes die Erste Vorsitzende oder den Ersten Vorsitzenden stellen wird.
(3) Der Verwaltungsrat beschließt über die grundsätzlichen Angelegenheiten der Anstalt, insbesondere über
- die Geschäftsordnung des Verwaltungsrates und ihre Änderung,
- die Satzung der Anstalt und ihre Änderung,
- die Benutzungsordnung und ihre Änderungen,
- bis zum 31. Oktober über den Wirtschaftsplan der Anstalt des Folgejahres,
- die Bestellung in das und Abberufung aus dem Vorstandsamt sowie die Einstellung und Entlassung der Vorstandsmitglieder,
- die Bestellung der Abschlussprüferin oder des Abschlussprüfers, die Feststellung des Jahresabschlusses und die Genehmigung des Lageberichts sowie die Verwendung des Jahresergebnisses,
- allgemeine Vereinbarungen und Maßnahmen zur Regelung der arbeits‑, dienst- und versorgungsrechtlichen Verhältnisse der Beschäftigten und überwacht die Geschäftsführung des Vorstandes.
(4) Der Verwaltungsrat fasst die Beschlüsse über seine Geschäftsordnung, die Satzung und den Wirtschaftsplan einstimmig. Im Übrigen werden die erforderlichen Mehrheiten bei den Beschlüssen des Verwaltungsrats in der Geschäftsordnung geregelt.
(5) Der Verwaltungsrat ist oberste Dienstbehörde und Dienstvorgesetzter verbeamteter Vorstandsmitglieder. Er ernennt die Vorstandsmitglieder.
(6) Näheres zum Verwaltungsrat regelt die Satzung.
§7 Vorstand
(1) Der Vorstand besteht aus mindestens zwei Mitgliedern. Er leitet die Anstalt und ist deren gesetzlicher Vertreter. Der Vorstand ist oberste Dienstbehörde und Dienstvorgesetzter der in der Anstalt tätigen Beamtinnen und Beamten. Er ernennt und entlässt die Beamtinnen und Beamten.
(2) Der Vorstand wird vom Verwaltungsrat für die Dauer von höchstens fünf Jahren bestellt. Erneute Bestellungen sind möglich. Eine vorzeitige Abberufung ist aus dienstlichen Gründen zulässig. Landesrechtliche Vorschriften über die Gewährung einer Zulage für die Ausübung herausgehobener Tätigkeiten, hilfsweise § 54 Sächsisches Besoldungsgesetz (SächsBesG), gelten mit der Maßgabe, dass die Zulage für die gesamte Dauer der Vorstandstätigkeit gezahlt wird.
(3) Der Vorstand ist berechtigt, mit beratender Stimme an den Sitzungen des Verwaltungsrates teilzunehmen, soweit der Verwaltungsrat nichts anderes beschließt. Er ist verpflichtet, an den Verwaltungsratssitzungen teilzunehmen, wenn der Verwaltungsrat dies zuvor bestimmt.
(4) Näheres über den Vorstand regelt die Satzung.
§8 Dienstherrnfähigkeit, Personalgewinnung
(1) Die Anstalt kann Beschäftigte einstellen und Beamtinnen und Beamte haben. Die Trägerländer können an die Anstalt Beschäftigte abordnen sowie Beamtinnen und Beamte abordnen oder versetzen.
(2) Die Trägerländer sind erforderlichenfalls verpflichtet, befähigtes eigenes Personal an die Anstalt abzuordnen, sofern diese selbst nachweislich nicht in ausreichendem Umfang Personal gewinnen konnte. Eine solche Inanspruchnahme der Trägerländer bedarf eines Beschlusses des Verwaltungsrates, der die Belastung der Trägerländer unter besonderer Berücksichtigung der bisherigen Personalzuführungen und des modifizierten Königsteiner Schlüssels (§ 2 Absatz 3) bemisst.
(3) Die Versorgungslastenteilung zwischen dem versetzenden Trägerland und der Anstalt richtet sich nach dem Versorgungslastenteilungs-Staatsvertrag in der jeweils geltenden Fassung.
(4) Für die Beschäftigten der Anstalt und die Auszubildenden gilt der Tarifvertrag für den öffentlichen Dienst der Länder (TV‑L) einschließlich der ihn ergänzenden, ändernden und ersetzenden Tarifverträge in der in Sachsen jeweils geltenden Fassung.
§9 Übertragung von Befugnissen und Zuständigkeiten
Die Anstalt kann mit Zustimmung des Verwaltungsrates ihre Befugnisse und Zuständigkeiten einschließlich der Entscheidung über Rechtsbehelfe auf den Gebieten der Bezüge, Besoldung, Sozialversicherung, Beihilfe, Versorgung, Reise- und Umzugskosten, Trennungsgeld sowie die damit verbundene automatisierte Verarbeitung personenbezogener Daten ganz oder teilweise gegen Erstattung der Verwaltungskosten auf Behörden im Freistaat Sachsen übertragen. Für die Zustimmung des Verwaltungsrates ist in diesem Fall die Zustimmung des Vertreters des Freistaates Sachsen im Verwaltungsrat erforderlich. Die Befugnisübertragung kann jederzeit durch die Anstalt widerrufen werden. Die Übertragung und der Widerruf werden mit Veröffentlichung im Sächsischen Amtsblatt mit Amtlichem Anzeiger wirksam.
§ 10 Rechtsaufsicht über die Anstalt
Die Rechtsaufsicht über die Anstalt obliegt den Trägerländern zusammen. Aufsichtsbehörde ist das Sächsische Staatsministerium des Innern. Es führt die Aufsicht im Benehmen mit den für Sicherheit und Ordnung zuständigen obersten Landesbehörden der übrigen Trägerländer, soweit die Eilbedürftigkeit nicht ein unverzügliches Einschreiten gebietet. In diesem Fall sind die zuständigen obersten Landesbehörden der übrigen Trägerländer unverzüglich zu unterrichten.
§ 11 Finanzkontrolle
Der Sächsische Rechnungshof prüft gemäß § 111 Sächsische Haushaltsordnung (SäHO) die Haushalts- und Wirtschaftsführung der Anstalt. Aufgrund der länderübergreifenden Struktur ist eine gemeinsame Prüfung der Rechnungshöfe der Trägerländer gemäß § 93 SäHO anzustreben.
§ 12 Anwendbares Datenschutzrecht, Auftragsdatenverarbeitung
(1) Für die Verarbeitung personenbezogener Daten durch die Anstalt, die nicht als Auftragsdatenverarbeitung erfolgt, gelten die Vorschriften des Sächsischen Datenschutzgesetzes (SächsDSG). Zuständige Stelle für den Landesdatenschutz ist in diesem Fall die oder der Sächsische Datenschutzbeauftragte.
(2) Verarbeitet die Anstalt personenbezogene Daten im Auftrag, gelten die Vorschriften über den Datenschutz des Auftrag gebenden Landes. Die oder der Landesdatenschutzbeauftragte dieses Landes überwacht die Einhaltung dieser Vorschriften, berät die Anstalt insoweit in Fragen des Datenschutzes und nimmt das Kontrollrecht gegenüber der Anstalt wahr. Die Unterrichtung über eine gegenüber dem Vorstand der Anstalt erklärte Beanstandung erfolgt gegenüber der für die Polizei zuständigen obersten Landesbehörde des Landes, welches den Auftrag erteilt hat und gegenüber dem Staatsministerium des Innern als Rechtsaufsichtsbehörde.
(3) Die in den Trägerländern für den Landesdatenschutz zuständigen Landesdatenschutzbeauftragten können sich gegenseitig einvernehmlich mit der Durchführung der Kontrolle der Anstalt beauftragen. Die jeweiligen Landesdatenschutzbeauftragten sind in diesen Fällen zur Kontrolle der Anstalt berechtigt.
(4) Die Anstalt bestellt eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten im Sinne des § 11 SächsDSG. Diese oder dieser hat insbesondere die Aufgabe für die im Wege der Auftragsdatenverarbeitung erfolgende Datenverarbeitung durch die Anstalt die Einhaltung der jeweiligen landesrechtlichen Datenschutzvorschriften, vor allem der Vorschriften der jeweiligen Landesdatenschutzgesetze, der Landespolizeigesetze und der sich aus diesem Staatsvertrag und den hierauf beruhenden Abkommen und Verträgen ergebenden Anforderungen zu überwachen. Ihr oder ihm obliegt ferner die Aufgabe der Überwachung der Verarbeitung eigener personenbezogener Daten durch die Anstalt nach § 19 Abs. 1 dieses Vertrages nach Maßgabe der Vorschriften des Sächsischen Datenschutzgesetzes.
§ 13 Schutz personenbezogener Daten aus der Telekommunikationsüberwachung
Durch den Betrieb der Anstalt darf der gesetzlich bestimmte Zugriff der jeweiligen Polizeibehörden der Trägerländer auf die Datensätze der polizeilichen Telekommunikationsüberwachung nicht erweitert werden. Die Polizeibehörden der Trägerländer dürfen auch bei der zentralen Datenvorhaltung in der Anstalt ausschließlich auf die in ihrem Zuständigkeitsbereich und auf ihre Veranlassung hin erhobenen Daten zugreifen. Insoweit sind logisch getrennte Speicherbereiche für jedes Trägerland anzulegen. Soweit das jeweilige Landesrecht neben repressiver auch präventive Telekommunikationsüberwachung zulässt, sind die Speicherbereiche entsprechend zu untergliedern; die Datensätze sind zwingend zu trennen. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Kenntnisnahme durch Nichtberechtigte ausgeschlossen ist. Die Wirksamkeit der ergriffenen Maßnahmen ist vor der Inbetriebnahme der Anstalt und anschließend in regelmäßigen Abständen nachzuweisen.
§ 14 Informationssicherheit
(1) Die Anstalt hat alle angemessenen personellen, technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Bestimmungen dieses Staatsvertrages und den nach § 12 Absatz 2 des Vertrages geltenden Bestimmungen des Landesdatenschutzrechts entsprechende Datenverarbeitung zu gewährleisten.
Hierbei ist einheitlich derjenige Schutzbedarf für die Aufbewahrung und Übermittlung von Daten zugrunde zu legen, der gemessen an der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik im Vergleich der Trägerländer als der höchste anzusehen ist. Die Maßnahmen richten sich nach den im Einzelfall zu betrachtenden Risiken und dem jeweiligen Stand der Technik. Die Grundsätze der Datenvermeidung und der Datensparsamkeit sind zu beachten.
(2) Die nach dem jeweiligen Stand der Technik zu treffenden personellen, technischen und organisatorischen Maßnahmen sind auf der Grundlage eines Sicherheitskonzepts (Absatz 3) zu ermitteln und haben zu gewährleisten, dass
- nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
- personenbezogene Daten während der Erhebung, Verarbeitung und Nutzung unversehrt, vollständig und aktuell bleiben (Integrität),
- personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
- jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
- festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
- die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).
Die Wirksamkeit der Maßnahmen ist unter Berücksichtigung sich verändernder Rahmenbedingungen und der Entwicklung der Technik zu überprüfen. Die sich daraus ergebenden notwendigen Anpassungen sind zeitnah umzusetzen.
(3) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung der Datenverarbeitung sind von der Anstalt die zu treffenden personellen, technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse und eines Sicherheitskonzepts zu ermitteln. Dazu gehört eine Vorabkontrolle hinsichtlich möglicher Gefahren für das Recht auf informationelle Selbstbestimmung. Entsprechend der technischen Entwicklung ist die Ermittlung in angemessenen Abständen zu wiederholen. Soweit trotz der realisierbaren Sicherheitsmaßnahmen untragbare Risiken verbleiben, die nicht durch Maßnahmen nach den Absätzen 1 und 2 oder eine Modifizierung der Datenverarbeitung verhindert werden können, darf ein Verfahren nicht eingesetzt werden. Die Trägerländer bestimmen die Rahmenbedingungen der Risikoanalyse und des Sicherheitskonzepts in der Satzung der Anstalt näher.
(4) Die Datenverarbeitung muss so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist.
(5) Die Anstalt bestellt eine behördliche IT-Sicherheitsbeauftragte oder einen behördlichen IT-Sicherheitsbeauftragten.
(6) Zuständige Landesdatenschutzbeauftragte oder zuständiger Landesdatenschutzbeauftragter für die Anstalt hinsichtlich der Informationssicherheit ist die oder der Sächsische Datenschutzbeauftragte. Diese oder dieser überwacht die Einhaltung der sich aus diesem Staatsvertrag und aus der Satzung der Anstalt ergebenden Anforderungen zur Informationssicherheit.
§ 15 Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten und in sonstigen Fällen nicht unerheblicher Beeinträchtigungen der Informationssicherheit
(1) Stellt die Anstalt tatsächliche Anhaltspunkte dafür fest, dass bei ihr gespeicherte personenbezogene oder personenbeziehbare Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, ist dies unverzüglich der betroffenen Auftrag gebenden Stelle zur Gewährleistung der Erfüllung etwaiger weitergehender gesetzlicher Pflichten mitzuteilen. Bei Fällen tatsächlicher Anhaltspunkte sonstiger nicht unerheblicher Beeinträchtigungen der Informationssicherheit erfolgt eine Mitteilung an das Sächsische Staatsministerium des Innern.
(2) Die Mitteilung muss Angaben zu der Art der unrechtmäßigen Kenntniserlangung, zu möglichen nachteiligen Folgen der unrechtmäßigen Kenntniserlangung und zu den daraufhin ergriffenen Maßnahmen enthalten.
(3) Die Mitteilung muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind.
§ 16 Sicherheitsüberprüfungen
Für die Voraussetzungen und das Verfahren zur Überprüfung von Personen, die von der Anstalt mit einer sicherheitsempfindlichen Tätigkeit betraut werden sollen, gilt das Sächsische Sicherheitsüberprüfungsgesetz (SächsSÜG) in der jeweils geltenden Fassung.
§ 17 Geltungsdauer, Kündigung
(1) Der Staatsvertrag wird auf unbestimmte Zeit geschlossen.
(2) Er kann von jedem Trägerland durch schriftliche Erklärung gegenüber den übrigen Trägerländern jeweils zum Jahresende mit Frist von fünf Jahren gekündigt werden. Die Kündigung gilt auch für die auf der Grundlage dieses Staatsvertrages geschlossenen Verwaltungsabkommen. Eine isolierte Kündigung der Verwaltungsabkommen gemäß § 2 dieses Vertrages ist nicht möglich.
(3) Durch das Ausscheiden eines Trägerlandes wird die Wirksamkeit des Staatsvertrages zwischen den übrigen Trägerländern nicht berührt. Dies gilt nicht im Fall einer Kündigung durch den Freistaat Sachsen.
(4) Im Falle der Kündigung durch den Freistaat Sachsen wird die Anstalt mit dem Ziel der Auflösung abgewickelt. Die Trägerländer verpflichten sich zum Abschluss einer Auseinandersetzungsvereinbarung bis zum 31. Dezember des auf die Kündigungserklärung folgenden Jahres. Eine Kündigung wird erst wirksam, wenn die Auseinandersetzungsvereinbarung vorliegt. Die Auseinandersetzungsvereinbarung umfasst insbesondere Regelungen über den angemessenen Zeitraum bis zur Beendigung der Auftragserledigung durch die Anstalt an den Standorten in Leipzig und Dresden, die Verteilung des Anstaltsvermögens und die Übernahme der bestehenden Verbindlichkeiten sowie die Kündigung oder die Übernahme des Personals. Der vom Gesamtpersonal zu übernehmende Anteil der einzelnen Trägerländer entspricht, sofern keine anderslautende Einigung erfolgt, ihrem Anteil nach dem modifizierten Königsteiner Schlüssel. Erklärt sich ein Land zur Aufnahme eines höheren Anteils bereit, reduziert sich der Anteil der übrigen Trägerländer entsprechend. Für das Übergehen der Beamtinnen und Beamten gelten die im 3. Abschnitt des Beamtenstatusgesetzes und des SächsBG für den Fall des vollständigen Übergangs der Aufgaben einer Körperschaft auf mehrere andere getroffene Regelungen entsprechend.
(5) Im Falle der Kündigung durch ein anderes Trägerland besteht die Anstalt unter Trägerschaft der übrigen Länder weiter. Absatz 4 Satz 2 und 3 gilt entsprechend. Die Auseinandersetzungsvereinbarung zwischen den verbleibenden Trägerländern und dem kündigenden Land umfasst insbesondere eine Feststellung darüber, welcher Teil der Beschäftigten der Anstalt von der Kündigung des Landes betroffen ist. Abs. 4 Satz 5 gilt entsprechend. Die Auseinandersetzungsvereinbarung trifft weiter Regelungen zur anteiligen Übernahme der Beamtinnen und Beamten durch das kündigende Land sowie über die Kündigung oder Übernahme der weiteren betroffenen Beschäftigungsverhältnisse.
(6) Absatz 4 ist im Falle einer einvernehmlichen Auflösung der Anstalt entsprechend anzuwenden.
§ 18 Beitritt weiterer Länder
Diesem Staatsvertrag können weitere Länder beitreten. Der Beitritt ist schriftlich gegenüber dem Sächsischen Staatsministerium des Innern zu beantragen. Dieses hat die übrigen Trägerländer über den Eingang eines Beitrittsantrages unverzüglich zu unterrichten. Der Beitritt bedarf der Zustimmung der Parlamente aller Trägerländer.
§ 19 Evaluierung
(1) Drei Jahre nachdem die Anstalt ihren vollständigen Wirkbetrieb aufgenommen hat, werden der Umfang der zugewiesenen Aufgaben und genutzten Prozessabläufe durch die für Öffentliche Sicherheit und Ordnung zuständigen obersten Landesbehörden der Trägerländer unter Mitwirkung mindestens einer oder eines unabhängigen Sachverständigen im Einklang mit wissenschaftlichen Methoden und Kenntnissen geprüft.
(2) Die für Öffentliche Sicherheit und Ordnung zuständigen obersten Landesbehörden unterrichten ihre Landesregierungen über das Ergebnis der Evaluierung, insbesondere über einen sich hieraus ergebenden Änderungsbedarf. Die Landesregierungen berichten den Landtagen über das Ergebnis der Evaluierung.
§ 20 Inkrafttreten, Ratifikation
(1) Dieser Staatsvertrag bedarf der Ratifikation. Er tritt mit Hinterlegung der letzten Ratifikationsurkunde in Kraft. Die Ratifikationsurkunden sind bei der Sächsischen Staatskanzlei zu hinterlegen. Der Freistaat Sachsen teilt den übrigen Trägerländern den Zeitpunkt der Hinterlegung der letzten Ratifikationsurkunde mit.
(2) Dieser Staatsvertrag wird unwirksam, wenn bis spätestens zum [Datum einsetzen: wird im Rahmen der Vertragsverhandlung noch bestimmt] nicht mindestens vier Trägerländer, darunter der Freistaat Sachsen, ihre Ratifikationsurkunden gemäß Absatz 1 Satz 3 bei der Sächsischen Staatskanzlei hinterlegt haben.
(3) Der Zeitpunkt des Inkrafttretens des Staatsvertrages ist von den jeweiligen für die Polizei zuständigen obersten Landesbehörden im Gesetz- und Verordnungsblatt bekanntzumachen.
Für das Land Berlin der Senator für Inneres und Sport Frank Henkel
Für das Land Brandenburg, der Minister des Innern und für Kommunales Karl-Heinz Schröter
Für den Freistaat Sachsen, der Staatsminister des Innern Markus Ulbig
Für das Land Sachsen-Anhalt, der Minister für Inneres und Sport Holger Stahlknecht
Für den Freistaat Thüringen, der Minister für Inneres und Kommunales Dr. Holger Poppenhäger
Begründung:
Zu § 1 (Errichtung, Rechtsform, Name, Sitz, anzuwendendes Recht, Dienstsiegel)
Absatz 1
Das Gemeinsame Kompetenz- und Dienstleistungszentrum wird in der Rechtsform einer rechtsfähigen Anstalt des öffentlichen Rechts errichtet. Die Errichtung einer Anstalt kommt dann in Betracht, wenn ein sachlich zusammenhängender öffentlicher Zweck erfüllt werden soll, bestimmte Aufgaben der öffentlichen Verwaltung eine besondere Ausstattung mit speziell ausgebildetem Fachpersonal erfordern und es sinnvoll erscheint, diese Aufgabe von einer Landesstelle auf eine Verwaltungseinheit zu verlagern.
Zur Entgegennahme und Aufbereitung der Daten aus der polizeilichen Telekommunikationsüberwachung betreibt die Anstalt ein Rechenzentrum, welches aus Gründen der Sicherheit und Verfügbarkeit an zwei geografisch getrennten Standorten eingerichtet wird.
Die Aufbereitung der Daten aus der polizeilichen Telekommunikationsüberwachung betrifft insbesondere die Verfügbarmachung der Daten für die vollzugspolizeiliche Sachbearbeitung, die Speicherung und gegebenenfalls Löschung sowie die Gewährleistung erforderlicher Maßnahmen zur Informationssicherheit und zum Datenschutz. Im § 4 werden nähere Aufgaben bestimmt.
Der erste Absatz umschreibt das Tätigkeitsgebiet der Anstalt: Sie unterstützt die Vollzugspolizei bei deren Maßnahmen der Telekommunikationsüberwachung, unabhängig davon, ob dies im Rahmen der Strafverfolgung unter der Sachleitungsbefugnis der Staatsanwaltschaft oder als eigenständige polizeiliche Maßnahme erfolgt, soweit es landesrechtlich zugelassen ist.
Absatz 2
Absatz 2 bestimmt die Anstalt als „dienstherrnfähig“; sie kann also als Personal Beamtinnen und Beamte führen.
Absatz 3
Die Anstalt wird einen Haupt- und einen Nebensitz aufweisen. Die Errichtung zweier, technisch redundanter Standorte ist ein wesentlicher Sicherheitsfaktor.
Absatz 4
Grundsätzlich werden sich die Errichtung und der Betrieb der Anstalt nach den Vorgaben des sächsischen Landesrechts richten. Ausnahmen von dieser Regel werden im vorliegenden Staatsvertrag ausdrücklich beschrieben.
Absatz 5
Nach § 1 Abs. 4 findet das sächsische Landesrecht Anwendung, soweit sich aus dem Staatsvertrag nicht etwas anderes ergibt.
§ 3 Satz 1 Nr. 3 Wappengesetz (SächsWappG) legt fest, dass das Nähere zu Dienstsiegeln durch Rechtsverordnung bestimmt wird. § 6 Satz 1 Wappenverordnung (WappenVO) bestimmt die Stellen, die ein Dienstsiegel führen. Mit § 6 Satz 2 WappenVO wird festgestellt, dass das Recht zum Führen von Dienstsiegeln auch durch andere Vorschriften verliehen werden kann.
Absatz 5 legt in diesem Sinne fest, dass die Anstalt ein Dienstsiegel führt.
Dienstsiegel verleihen Schriftstücken und Urkunden amtlichen Charakter, erhöhen die Beweiskraft und geben ihnen größeren Schutz gegen Fälschungen. Welche Urkunden zu diesem Zweck zu siegeln sind, bestimmt die Leitung der Anstalt. Die Konkretisierung der Ausgestaltung des Dienstsiegels ergibt sich aus der Satzung der Anstalt.
Zu § 2 (Trägerschaft, Finanzierung und Wirtschaftsführung)
Die Trägerländer sind Träger und Teilhaber der Anstalt. Sie sind zugleich Benutzer der Anstalt.
Absatz 1
Aus Gründen einer gleichberechtigten Partnerschaft und der nicht zuletzt unterschiedlichen datenschutzrechtlichen Bestimmungen in den Trägerländern ist ein Organisationsmodell gewählt worden, das alle teilnehmenden Länder trägerschaftlich beteiligt. Die Kooperation in Form einer trägerschaftlichen Beteiligung verlangt für die Errichtung der Anstalt einen Staatsvertrag.
Absatz 2 folgende
Die Regelungen zur Bezuschussung der Anstalt orientieren sich im Grundsatz an einem auf die Trägerländer zugeschnittenen Königsteiner Schlüssel. Die Einzelheiten in Bezug auf die Finanzierung werden in einem Verwaltungsabkommen geregelt, welches insbesondere im lichte der zukünftigen Evaluierungsergebnisse fortgeschrieben werden kann. Dies schließt ein, dass die Anstalt Aufwandsabrechnungen für die Erfüllung von Aufgaben einführt, die als Einnahmen Einfluss auf den zu ermittelnden Bedarf haben.
Das Rechnungswesen der Anstalt orientiert sich an den Grundsätzen der doppelten Buchführung.
Absatz 5
Der Absatz regelt, dass die Finanzierung der Anstalt in einem Verwaltungsabkommen geregelt wird, welches entsprechend der Evaluierungsergebnisse fortgeschrieben wird. Dies schließt ein, dass die Anstalt Aufwandsabrechnungen für die Erfüllung von Aufgaben einführen könnte, die als Einnahmen Einfluss auf den über den Königsteiner Schlüssel festgelegten Bedarf haben.
Zu § 3 (Haftung)
Die Träger der Anstalten öffentlichen Rechts sind dazu verpflichtet, ihre Anstalten mit den finanziellen Mitteln zu versorgen, die eine reibungslose Erfüllung der jeweiligen Aufgaben gewährleistet. Diese Verpflichtung wird als „Anstaltslast“ bezeichnet. Die Gewährträgerhaftung dient dem Gläubigerschutz. Da es sich um eine öffentlich-rechtliche Anstalt handelt, die keiner Haftungsbeschränkung wie beispielsweise bei einer GmbH unterliegt, muss der jeweilige Gläubiger geschützt werden. Aufgrund der Gewährträgerhaftung haftet der Träger für die Verbindlichkeiten der Anstalt grundsätzlich subsidiär unbegrenzt.
Zu § 4 (Aufgaben, Benutzungsverhältnis)
Absatz 1
In Absatz 1 Satz 1 erfolgt die Kernaufgabenbeschreibung der Anstalt. Diese liegt in der Unterstützung der Polizeien der Trägerländer für polizeiliche Telekommunikationsüberwachung durch technische Hilfstätigkeiten mittels des Einsatzes von fortschrittlichen IuK-Technologien. Die Verantwortlichkeit und Durchführung der originär hoheitlichen Tätigkeiten verbleiben bei den Polizeien der Länder. Vollzugspolizeiliche Aufgaben nimmt die Anstalt nicht wahr.
In § 4 findet der Begriff „IT-Systeme“ Verwendung. Er bestimmt sich inhaltlich nach der Definition des Bundesamtes für Informationssicherheit (BSI) und ist deshalb auch als „Informationsverbund“ zu verstehen, also als Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
Als zweites Aufgabenfeld wird in Absatz 1 Satz 5 die Rolle der Anstalt als Kompetenzzentrum beschrieben. Die in ihr gebündelte und anwachsende Fachkompetenz soll auch länderübergreifend zur Verfügung stehen. Dies schließt beispielsweise die Einbeziehung der Anstalt in geeignete Gremien ein.
Absatz 2
Die Anstalt tritt gegenüber den Telekommunikationsdienstleistern als Empfänger der anordnungsgemäß ausgeleiteten Kopien der Telekommunikation auf. Über sie werden zugleich Erstattungsansprüche der Telekommunikationsdienstleister, dle die Anordnungen zur Überwachung umsetzen oder damit im Zusammenhang stehende Auskünfte erteilen, abgewickelt.
Absatz 3
Die Anstalt ist verpflichtet, die Auftragsdatenverarbeitung ausschließlich über die eigenen IT-Systeme abzuarbeiten. Es ist ihr deshalb insbesondere verwehrt, hierzu Unterauftragsverhältnisse zu begründen. Für Wartungsaufgaben u. ä. wird die Einbindung Dritter (z. B. der Herstellerfirma von Anlagen) in Teilen unumgänglich sein. Um einen möglichst geringen Personalbestand zur Erledigung von Aufgaben der Anstalt vorzuhalten, und den fiskalischen Aufwand für Aufgaben zu minimieren, welche nicht den Kernaufgaben zuzurechnen sind, wird die Anstalt dort gegenüber in die Lage versetzt, Dritte, insbesondere jedoch ihre Trägerländer, in Anspruch zu nehmen.
Zulässig ist es für die Anstalt so, sich bei Verwaltungshilfsdienstleistungen, welche den Betrieb und die Funktionsfähigkeit der Anstalt selbst sicherstellen, Dritter zu bedienen. Dies gilt etwa für Unterstützungsleistungen bei Vorbereitung und Durchführung von Vergabeverfahren, der Abwicklung der Festsetzung, Anordnung und Abrechnung der Bezüge und sonstiger Geldleistungen, der Stellen- und Personalbewirtschaftung, der Abwicklung des Zahlungsverkehrs und der Buchungsgeschäfte. Auch die Inanspruchnahme der Bildungseinrichtungen der Trägerländer und die Kooperation bei der Öffentlichkeitsarbeit bleiben zulässig. Die bestehende Rechtslage auf dem Gebiet der Amtshilfe wird durch die staatsvertraglichen Regelungen nicht verändert.
Zu § 6 (Verwaltungsrat)
Absatz 1 und 2
Der Verwaltungsrat ist das Entscheidungs- und Kontrollorgan der Anstalt. Seine Zusammensetzung stellt Absatz 2 dar. Die Innenorganisation wird durch eine Geschäftsordnung geregelt. Er überprüft und genehmigt das Handeln des Vorstands und überwacht damit die Geschäftsführung. Einzelheiten hierzu regelt die Satzung. Er beschließt über grundsätzliche Angelegenheiten.
Absatz 3
In Absatz 3 werden Aufgaben von substanzieller Bedeutung aufgeführt, die dem Verwaltungsrat zur Entscheidung vorgelegt werden müssen. Eine detailliertere Aufstellung der Aufgaben des Verwaltungsrates findet sich in der Satzung.
Absatz 5
Für nichtverbeamtete Vorstandsmitglieder übt der Verwaltungsrat die Rechte und Pflichten der Anstalt als Arbeitgeberin aus.
Zu § 7 (Vorstand)
Absatz 1
Der Vorstand übernimmt als zentrales Leitungsorgan die Geschäftsführung der Anstalt in Abstimmung mit dem Verwaltungsrat. Er hat vergleichbare Funktionen wie eine Geschäftsführung einer privatrechtlichen Kapitalgesellschaft und ist damit für den Geschäftsbetrieb insgesamt und insbesondere für strategische Entscheidungen des Unternehmens verantwortlich. Ein Mitglied des Vorstands sollte die Befähigung zum Richteramt aufweisen. Der Vorstand besteht aus mindestens zwei Mitgliedern. Satz 2 trifft Regelungen zur Vertretung der Anstalt. Der Vorstand ist ihr gesetzlicher Vertreter und vertritt sie gerichtlich und außergerichtlich. Einzelheiten zu den Aufgaben des Vorstands werden in der Satzung geregelt.
Absatz 2, Satz 1
Die Formulierung „höchstens fünf Jahre“ orientiert sich an der Bestellung eines Vorstands einer Aktiengesellschaft (§ 84 Aktiengesetz). Eine Verlängerung über fünf Jahre hinaus ist damit nicht ausgeschlossen – Satz 2 dient insoweit nur der Klarstellung -, sie verlangt lediglich einen erneuten Beschluss des Verwaltungsrates. Gleichzeitig ermöglicht dieser Wortlaut Bestellungen „auf Probe“, indem eine Bestellung zunächst für z. B. zwei Jahre erklärt wird und sich bei Bewährung (ggf. auch ohne erneute Beschlussfassung durch den Verwaltungsrat) auf fünf Jahre verlängert.
Ein anderer Anwendungsfall ist die Bestellung eines Beamten, der in weniger als fünf Jahren aufgrund des Erreichens der gesetzlichen Altersgrenze in den Ruhestand tritt. Mit dem Eintritt in den Ruhestand ist nicht zwingend die Abberufung als Vorstand verknüpft, weil es sich um zwei unterschiedliche Rechtsverhältnisse handelt. So wäre z. B. eine Weiterbeschäftigung nach Eintritt in den Ruhestand über einen Anstellungsvertrag möglich.
Außerdem ermöglicht diese Formulierung, bei Bedarf die Amtszeiten der beiden Vorstände aufeinander abzustimmen bzw. bewusst voneinander zu entkoppeln.
Absatz 2, Satz 3
Mit der Bestellung wird ein Vertrauenstatbestand geschaffen. Daher sollte auch die grundsätzliche Möglichkeit einer Abberufung bereits auf der Ebene des StV‑E erwähnt werden, die konkrete Ausgestaltung kann der Satzung überlassen bleiben. Die vorzeitige Beendigung der Abordnung führt nicht automatisch zur Abberufung aus dem Vorstand, weil es sich hier um Maßnahmen zweier unterschiedlicher Dienstherrn handelt.
Absatz 2, Satz 4
Bei einer Abordnung gelten vorbehaltlich abweichender Vereinbarungen nach § 14 Absatz 4 Satz 2 BeamtStG die Besoldungsregeln des abgebenden Dienstherrn fort. Soweit es dort keine anwendbare Regelung für die Gewährung einer Zulage gibt, soll die sächsische Vorschrift gelten. Die zeitliche Begrenzung auf sechs Jahre (§ 54 Abs. 1 Satz 3 sächsBesG) würde bei einer erneuten Bestellung als Vorstand zum Tragen kommen und wäre daher kontraproduktiv. Sie muss als gesetzliche Regelung auf der Ebene des StV‑E ausdrücklich ausgeschlossen werden.
Absatz 4
Konkrete Regelungen sind an dieser Stelle überflüssig. Für Abordnungen gilt § 14 BeamtStG, für Ernennungen (falls in bestimmten Fällen doch ein Beamtenverhältnis neu begründet werden soll) das SächsBG, für Arbeits- bzw. Anstellungsverträge das Direktionsrecht des Arbeitgebers.
Zu § 8 (Dienstherrnfähigkeit, Personalgewinnung)
Absatz 1
Die Personalgewinnung erfolgt durch Stellenausschreibungen und auf der Grundlage des beamten- und tarifrechtlichen Instrumentariums. Sachlich handelt es sich nicht um eine Körperschaftszusammenführung, da die Verlagerung rein tatsächlicher Tätigkeiten [nicht von Aufgaben im Rechtssinne] nicht ausreicht. Deshalb steht das Instrumentarium des 3. Abschnitts des BeamtStG nicht unmittelbar zur Verfügung. Bei Polizeivollzugsbeamten können aus einer Versetzung umfangreiche Folgeprobleme entstehen, so dass vorrangig auf Abordnungen zurückgegriffen werden soll. Eine Geltung des sächsischen Rechts insbesondere in Bezug auf die Besoldung kann gemäß § 14 Absatz 4 BeamtStG zwischen den Dienstherrn (also mit der Anstalt nach ihrer
Errichtung) gesondert vereinbart werden.Absatz 2
Führen die Stellenausschreibungen der Anstalt nicht zu deren Besetzungen, regelt sich die Beteiligung der Trägerländer an der ausreichenden Personalversorgung nach dem modifizierten Königsteiner Schlüssel. Die Anstalt darf jedoch nicht in Erwartung der Personalversorgung durch die Trägerländer eigene ernsthafte Bemühungen zur ausreichenden personellen Sicherstellung des Anstaltsbetriebes zurückstellen.
Es handelt sich um einen „unfreiwilligen“ Personalübergang. In diesem Fall ist die Abordnung das mildere Mittel. Bis zu einer Dauer von fünf Jahren könnte diese auch ohne Zustimmung des betroffenen Beamten verfügt werden.
Absatz 3
Die Regelung ist für den Fall relevant, dass Verwaltungsbeamte (mit ihrem Einverständnis) zur Anstalt versetzt werden.
Zu § 9 Übertragung von Befugnissen und Zuständigkeiten)
Die Anstalt soll sich weitestgehend von administrativen Aufgaben entlasten können.
Zu § 10 (Rechtsaufsicht über die Anstalt)
Anstalten öffentlichen Rechts unterliegen regelmäßig nur der Rechtsaufsicht. Sie dient der Kontrolle der Rechtmäßigkeit ihrer Handlungen, ermöglicht aber keine Einmischung in Fragen der Zweckmäßigkeit. Instrumente der Rechtsaufsicht sind insbesondere das Informationsrecht, Beanstandungen, Anweisungen und die Ersatzvornahme.
Zur Schaffung klarer und kontinuierlicher Aufsichtsstrukturen wird das Sächsische Staatsministerium des Innern zur Aufsichtsbehörde bestimmt.
Die fachliche Aufsicht obliegt dem Verwaltungsrat.
Zu § 11 (Finanzkontrolle)
Die Regelung folgt dem Aufsichtsgrundsatz, nach dem – soweit die Anstalt als Ganzes betroffen ist – sächsisches Recht gilt.
Zu § 12 (Anwendbares Datenschutzrecht, Auftragsdatenverarbeitung)
Zu den Vorschriften des § 12 des Vertrages wird von folgenden Überlegungen ausgegangen:
Träger der rechtsfähigen Anstalt des öffentlichen Rechts sind nach § 2 Abs. 1 des Staatsvertrages die Trägerländer, welchen auch dementsprechend (nach § 10 des Staatsvertrages gemeinsam) die staatliche Aufsicht über diese juristische Person des öffentlichen Rechts obliegt. Aus diesem Grund sind nach den einschlägigen Vorschriften über den Anwendungsbereich der jeweiligen Datenschutzgesetze in der Gesamtschau die Datenschutzgesetze aller Trägerländer für die Anstalt und deren Tätigwerden grundsätzlich einschlägig. Dies stellt eine von den Landesdatenschutzgesetzen nicht erfasste, spezielle Situation dar, die eine zuständigkeitsdefinierende Ausgestaltung durch den Staatsvertrag erlaubt und aus Praktikabilitätsgründen auch erfordert.
Vor diesem Hintergrund ist es sinnvoll und konsequent, mit einer kumulativen Geltung aller Landesdatenschutzgesetze verbundene Probleme zu minimieren. Vorrang soll durch den Staatsvertrag und die diesen umsetzenden Ratifizierungsgesetze konstitutiv das Datenschutzrecht des jeweils Auftrag gebenden Landes erhalten.
Absatz 1
Für die Datenverarbeitung außerhalb der Auftragsverarbeitung gilt der Grundsatz gemäß § 1 Absatz 4, wonach das für die Errichtung und den Betrieb der Anstalt sächsis,che Landesrecht Anwendung findet.
Absatz 2
Verarbeitet die Anstalt personenbezogene Daten aus der polizeilichen Telekommunikationsüberwachung im Auftrag eines Trägerlandes, gelten deshalb die datenschutzrechtlichen Vorschriften des Trägerlandes. Außerdem ist insoweit für die datenschutzrechtliche Kontrolle die Zuständigkeit des jeweiligen Landesdatenschutzbeauftragten begründet.Die nach jeweiligem Landesrecht des Auftraggebers erfolgende Kontrolle der Auftragsabwicklung wird von den Landesdatenschutzbeauftragten gegenüber der Anstalt wahrgenommen und diese auftragsbezogen beraten. Eine Unterrichtung über eine gegenüber dem Vorstand der Anstalt erklärte Beanstandung erfolgt gegenüber der für öffentliche Sicherheit und Ordnung zuständigen obersten Landesbehörde als zuständiger Aufsicht und gegenüber der Rechtsaufsichtsbehörde der Anstalt an sich.
Absatz 3
Nach Absatz 3 können sich die Landesdatenschutzbeauftragten der Trägerländer mit Wirkung gegenüber der Anstalt wechselseitig mit der Durchführung der Überwachung beauftragen. Die Anstalt lässt in diesem Fall eine Kontrolle durch die jeweils beauftragte oder den jeweils beauftragten Landesdatenschutzbeauftragten zu.
Absatz 4
§ 11 SächsDSG (diese Vorschrift ist gem. Abs. 1 bereits anwendbar) normiert eine „kann“-Regelung hinsichtlich der Bestellung eines oder einer behördlichen Datenschutzbeauftragten. Da die Anstalt eine Auftragsdatenverarbeitung von sehr sensiblen Daten durchführt und deshalb besonders hohe Anforderungen an den Datenschutz und die Datensicherheit zu stellen sind, wird die Bestellung eines oder einer behördlichen Datenschutzbeauftragten als verpflichtend postuliert. Die inhaltliche Ausgestaltung soll sich weiterhin nach den Vorgaben des § 11 SächsDSG richten. Satz 2 dient der Klarstellung.
Zu § 13 (Schutz personenbezogener Daten aus der Telekommunikationsüberwachung)
Den zuständigen Stellen eines Landes ist als Auftraggeber ausschließlich der Zugriff auf Telekommunikationsüberwachungsdaten aus ihrem Herrschaftsbereich eröffnet, ein Zugriff auf Telekommunikationsüberwachungsdaten anderer Bundesländer muss wirksam ausgeschlossen sein. Eine zentrale Datenhaltung erfolgt nicht, vielmehr sind logisch getrennte Speicherbereiche einzurichten. Die Trennung hat auch für repressive und soweit nach jeweiligem Landesrecht zulässig präventive Maßnahmedaten, zu gelten. Für Maßnahmedaten aus der repressiven Telekommunikationsüberwachung gelten die Vorschriften der §§ 483 ff. StPO, während für solche aus präventiven Telekommunikationsüberwachungen die jeweiligen landesrechtlichen Vorschriften anwendbar sind. Eine etwaige Zweckänderung der Daten richtet sich nach den einschlägigen gesetzlichen Vorschriften. Der Zugriff auf diese Daten ist für jedes Land gesondert zu administrieren, d. h. es sind Zugriffsregelungen zu schaffen (Rollen- und Rechtesystem), die ausschließlich den jeweils zuständigen Landesbeamtinnen und ‑beamten einen Zugriff zur Maßnahmensachbearbeitung im Einzelfall und nicht darüber hinaus eröffnen.
Zu § 14 (Informationssicherheit)
Sicherheitsmaßnahmen sind individueller Natur und hängen von dem Schutzbedarf der zu verarbeitenden Daten, der konkreten Bedrohungslage, dem Stand der Technik, der Architektur der zu betrachtenden Datenverarbeitungssysteme und den Verfahren, die auf diesen Systemen zum Ablauf gebracht werden sollen, ab. Die Maßnahmen, die zur Sicherung eines konkreten Systems erforderlich sind, sind erst das Ergebnis einer individuellen Risiko- und Sicherheitsanalyse, aufgrund derer ein Sicherheitskonzept erstellt wird. Sie lassen sich nicht in einer gesetzlichen Regelung abschließend definieren. Daher erfolgt eine sorgfältige Schutzbedarfsfeststellung entsprechend den Schutzzielen der jeweiligen Landesdatenschutzgesetze und der Systematik des BSI-Grundschutzes.
Zu § 15 (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten)
Da durch die Anstalt sehr sensible Daten verarbeitet werden, muss neben der Sicherstellung eines hohen Datenschutzniveaus auch gewährleistet werden, dass der Auftraggeber als verantwortliche Stelle in die Lage versetzt wird, seinen jeweiligen gesetzlichen Pflichten nachzukommen. Die Übermittlung der dazu notwendigen Informationen gewährleistet § 15.
Zu § 16 (Sicherheitsüberprüfungen)
Die Einbettung in das sächsische Landesrecht gilt auch in Fragen
der Sicherheitsüberprüfungen.Zu § 17 (Kündigung)
Durch die Kündigung kann ein Trägerland sein Ausscheiden aus der Anstalt betreiben. Eine Kündigung des Freistaates Sachsen bewirkt die Auflösung der Anstalt.
Die Auseinandersetzung erfolgt über eine entsprechende Vereinbarung der Trägerländer, deren zentrales Regelungsfeld § 17 Abs. 4 und 5 beschreibt. Die Auseinandersetzungsvereinbarung regelt insbesondere Fragen der Personalübernahme. Für den Umfang der Personalübernahme gilt – vorbehaltlich einer anderslautenden Einigung – der für die Anstalt modifizierte Königsteiner Schlüssel.
Zu § 18 (Beitritt weiterer Länder)
Anders als bei der Kündigung des Staatsvertrags, bei der die jeweiligen Landesparlamente nach der Rechtsprechung des Bundesverfassungsgerichts nicht zustimmen müssen (BVerfGE 68, 1, 85), bedarf die Änderung eines Staatsvertrags der Zustimmung des Parlaments. So ist im Titel der Änderung auch explizit darauf hinzuweisen, dass kein neuer, sondern ein Staatsvertrag zur Änderung eines bestehenden Staatsvertrags geschlossen wird. Der Beitritt weiterer Länder ist eine Änderung des bestehenden Staatsvertrags, da der Vertragsgegenstand geändert bzw. erweitert werden muss.
Zu § 19 (Evaluierungsklausel)
Von verfassungswegen besteht ein Erfordernis zur Evaluierung immer dann, wenn ein Gesetz auf Prognosen aufbaut, die sich bestätigen können oder auch nicht. Mit der länderübergreifenden Wahrnehmung von Unterstützungsaufgaben auf dem Gebiet der Telekommunikationsüberwachung wird sowohl in rechtlicher als auch tatsächlicher Hinsicht Neuland betreten. Angesichts der sich hieraus ergebenden Unwägbarkeiten erscheint eine Evaluierung als geboten.
-
: Visualisierung der Überwachungsmaßnahmen in der Schweiz 2010–2015
Grafik: CC-BY-SA 4.0 Digitale Gesellschaft Schweiz : Visualisierung der Überwachungsmaßnahmen in der Schweiz 2010–2015 Die Digitale Gesellschaft Schweiz hat ihren jährlichen „Swiss Lawful Interception Report“ veröffentlicht. Der Report, der als PDF und als interaktive Visualisierung vorliegt, gibt einen Überblick zu den Überwachungsmaßnahmen des Landes in den Jahren 2010 bis 2015.
Der Report listet die Anzahl und Arten der Überwachung auf sowie Delikte wegen derer überwacht wird. In der gut gemachten interaktiven Visualisierung lässt sich das auch noch nach Kantonen (Bundesländer) und Jahren filtern.
Für das Jahr 2015 stellt der Report fest:
- Der Rückblick über die letzten Jahre zeigt den steten Anstieg der Überwachungsmaßnahmen.
- Die Statistik 2015 beleuchtet die Überwachungsmaßnahmen nach Delikten und zeigt signifikante kantonale Unterschiede auf.
- Schwere Straften, mit welchen immer wieder für Überwachung argumentiert wird, machen nur einen geringen Teil an der Gesamtmenge an Überwachungen aus. Am häufigsten wurden Überwachungsmaßnahmen wegen Betäubungsmitteldelikten (32,4 Prozent) und Vermögensdelikten (21,1 Prozent) eingesetzt. Die schweren Straftaten wie Terrorismus (2,2 Prozent), Kriminelle Organisation (1,6 Prozent) und Pädokriminalität (0,7 Prozent) machten insgesamt nur 4,5 Prozent aus.
Vielleicht hat ja jemand Lust eine solche Visualisierung auch für Deutschland zu machen. Die Zahlen werden vom Bundesamt für Justiz jährlich im Juli veröffentlicht und sind auf der Seite des Amtes bis einschließlich des Jahres 2014 verfügbar. Der Code für die Visualisierung steht auf Github.
-
: Aktiv, passiv, responsiv: Cyberangriffe durch die Bundeswehr? Definitionssache.
Verteidigungsministerin von der Leyen beim Kommando Strategische Aufklärung. Bild: <a href="http://www.bmvg.de/portal/poc/bmvg?uri=ci%3Abw.bmvg.x.mediabild&de.conet.contentintegrator.portlet.current.id=3135382e33322e3135332e36313030303030303069633367386f387a2020202020">Roland Alpers, Bundeswehr</a>. : Aktiv, passiv, responsiv: Cyberangriffe durch die Bundeswehr? Definitionssache. Im Januar wurde berichtet, dass die Bundeswehr auch Cyberattacken vorbereitet. Das geht aus einem Sachstandsbericht des Verteidigungsministeriums an den Verteidigungsausschuss des Bundestages hervor, den wir hier veröffentlichen (OCR-Volltext unten).
In dem vierseitigen Papier geht es im Wesentlichen darum, wie die Bundeswehr ihre IT-Systeme schützt. Die Bestrebungen, nicht mehr nur rein passive Konzepte zu nutzen, wird in diesem Zusammenhang fast beiläufig erwähnt [Hervorhebungen von uns]:
Neue Abwehrkonzepte, die über den rein passiven, technischen Schutz und die reaktiven Maßnahmen zur Minimierung der Auswirkungen eines Angriffes sowie die Wiederherstellung von IT-Systemen hinausgehen, wurden durch das NATO Cooperative Cyber Defence Center of Excellence (CCD CoE) […] untersucht. Die Ergebnisse zu „Responsive Cyber Defence“ werden derzeit in der NATO diskutiert und weiter untersucht. Ziel ist es, Möglichkeiten zur Unterbindung oder Beendigung eines Angriffes unter Berücksichtigung der rechtlichen Rahmenbedingungen zu identifizieren und, wenn im Einzelfall möglich, anzuwenden. Sobald für solche Abwehrkonzepte für den Einsatz in der Bundeswehr ein justiziabler Rahmen gefunden werden kann, ist vorgesehen, diese in der Bundeswehr auszuplanen und umzusetzen.
Was genau mit Konzepten, „die über den rein passiven, technischen Schutz“ hinausgehen gemeint ist, verschweigt der Bericht. Eine Ahnung gibt ein Artikel aus der NATO Legal Gazette „Legal Issues Related to Cyber“ mit dem Titel „From Active Cyber Defence to Responsive Cyber Defence“. Responsiv ist hier das Stichwort für „mehr als rein passiv“. Responsive Verteidigung, so der Artikel, sei eine Untergruppe von „Active Cyber Defense“:
RCD [Responsive Cyber Defense] can be seen as a subset of ACD [Active Cyber Defense], but the crucial difference is that RCD activities are only conducted in response to an actual and ongoing cyberattack […]
Und genau da liegt das Problem. Denn die Maßnahmen sind die gleichen wie bei einem aktiven Angriff, es werden Denial-of-Service-Angriffe, „Responsive Honeypots“ und „Hack Backs“ genannt.
Responsiv werden die Angriffe nur durch den Umstand der Ausführung. Doch eindeutige Regelungen fehlen, gerade im „Cyberwar“. Wann ist ein Cyberangriff eine kriegerische Handlung, wie kann zweifelsfrei zugeordnet werden, ob ein Angriff von einem staatlichen Akteur stammt und welche schwere muss ein Angriff haben, dass „responsive“ Cyberangriffe genutzt werden dürfen?
Der Sachstandsbericht erkennt selbst, dass erst ein „justiziabler Rahmen“ gefunden werden muss, bevor derlei Techniken eingesetzt werden. Doch der Wille, die Techniken so schnell wie möglich einzusetzen, ist klar erkennbar. Im letzten Jahr haben wir die Leitlinie zur „Cyber-Verteidigung“ von Verteidigungsministerin Ursula von der Leyen veröffentlicht, aus der deutlich hevorging, dass die Bundeswehr bereits eifrig zum Cyberwar aufrüstet, auch wenn die gesetzlichen Grundlagen noch fehlen. In den Leitlinien wurden auch die Pläne ausgeführt, „offensive Cyber-Fähigkeiten der Bundeswehr“ als „unterstützendes, komplementäres oder substituierendes Wirkmittel [im normalen Sprachgebrauch: Waffe]“ einzusetzen.
Derzeit erarbeitet der Aufbaustab „Cyber- und Informationsraum“ im Verteidigungsministerium einen Bericht zum Aufbau eines „eigenständigen Organisationselementes ‚Cyber/IT’ “ im Verteidigungsministerium und einem unterstellten Bereich „Cyber- und Informationsraum“. Laut Sachstandsbericht soll die Arbeit bis Frühjahr 2016 abgeschlossen sein. Darin wird auch aufgeführt sein, welche personellen und technischen Mittel das Kommando „Cyber- und Informationsraum“ haben wird. Wir sind gespannt und freuen uns wie immer über sachdienliche Informationen mittels der üblichen Kanäle.
Sachstandsbericht der Bundeswehr, Volltext aus dem PDF befreit
Deutscher Bundestag
Verteidigungsausschuss
Berlin, 6. Januar 2016
Ausschussdrucksache 18(12)603
Sehr geehrter Herr Vorsitzender,
in der 48. Sitzung des Verteidigungsausschusses des Deutschen Bundestages am 14. Oktober 2015 haben die Fraktionen das Bundesministerium der Verteidigung gebeten, eine Bestandaufnahme [sic!] möglicher Angriffsmöglichkeiten, Gefährdungen und Kompromittierungen der Informations- und Kommunikationsinfrastruktur der Bundeswehr und mögliche Abwehrkonzepte in geeigneter Art und Weise vorzulegen. Des Weiteren wurde gebeten, darzulegen
- wie viele IT-Spezialisten das sogenannte „Kommando für den Cyberinforaum“ insgesamt umfassen soll und wie viele IT-Spezialisten der Bundeswehr fehlen, um das neue Kommando aufzubauen,
- welche finanziellen Mittel für einen entsprechenden Personalaufwuchs im Haushalt bereit zu stellen seien und wie besondere Anreize für die Gewinnung von hochqualifizierten IT-Spezialisten ausgestaltet sein könnten
- welche Kosten für die technische Ausstattung des „Kommandos für den Cyberraum“ zu erwarten sind.
Die Bundeswehr richtet seit 2013 den Schutz ihrer IT-Systeme an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus. Dieser Standard wird „IT-Grundschutz“ genannt. Das BSI hat in seiner für Cybersicherheit in der Bundesverwaltung federführenden Rolle mit dem „IT-Grundschutz“ ein international anerkanntes und genutztes Kompendium für den gesamten IT-Sicherheitsmanagementprozess geschaffen. Der IT-Grundschutz beschreibt im Einzelnen und in allgemein gültiger Form mögliche Gefährdungen und diesen zugeordnete Abwehrmaßnahmen. Daher wendet die Bundeswehr den IT-Grundschutz auch für das IT-System der Bundeswehr an.
Bei hohem und sehr hohem Schutzbedarf für die Vertraulichkeit (Geheimschutz) und für die Verfügbarkeit und Integrität von Informationen bzw. von IT werden in der Bundeswehr Bedrohungen und Abwehrmaßnahmen berücksichtigt, die über den IT-Grundschutz hinausgehen. Diese sind in der zentralen Dienstvorschrift „IT-Sicherheit in der Bundeswehr“ beschrieben. Auch in diesem Fall richten sich die Gefährdungsanalyse und der gesamte IT-Sicherheitsmanagementprozess an der IT-Grundschutzmethodik aus. Der IT-Grundschutz des BSI befindet sich im Übrigen derzeit in der Endphase eines umfangreichen Reformprozesses. Das Verteidigungsressort, konkret das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw), begleitet diesen Reformprozess eng.
Eine besondere Bedrohung stellen in zunehmender Weise zielgerichtete Angriffe und insbesondere hoch spezialisierte Angriffe, sogenannte „Advanced Persistant Threats“ (APT) dar. Diese zielen unter anderem darauf ab, dass der Angegriffene den Angriff und den erzeugten Schaden möglichst lange nicht erkennt. Es muss davon ausgegangen werden, dass nachrichtendienstliche Erkenntnisse in die Entwicklung eines APT einfließen. Es kann nicht ausgeschlossen werden, dass Hersteller von IT-Produkten an der Entwicklung von APTs mitwirken oder diese zumindest dulden. Dies bedeutet jedoch auch, dass die Entwicklung oder Beschaffung eines APT mit hohen (Erkennungs-)Risiken verbunden ist. Ein vollständiger Schutz gegen APTs ist grundsätzlich nicht möglich.
Für das IT-System der Bundeswehr bestehen Abwehrkonzepte, die weitestgehend aus den Vorgaben des IT-Grundschutzes abgeleitet sind. Abwehrkonzepte gegen Bedrohungen im Cyberraum müssen über den gesamten Lebenszyklus eines IT-Systems bzw. eines IT-Services wirken und sind daher unmittelbar bei deren Entwicklung zu berücksichtigen. Ein wichtiges Abwehrkonzept ist das sogenannte „Patchmanagement“, da nur sehr wenige schwachstellenfreie IT-Systeme existieren und im Lebenszyklus eines IT-Systems erkannte Schwachstellen zeitnah und in geeigneter Weise beseitigt bzw. abgesichert werden müssen.
Allerdings eröffnet das Patchmanagement Möglichkeiten für potenzielle Manipulationen und Angriffe bis hin zu APTs. Darüber hinaus sind Abwehrkonzepte stets mehrstufig aufgebaut (Prinzip der „Verteidigung in der Tiefe“), so dass bei erfolgreichem Umgehen eines technischen „Hindernisses“ weitere Maßnahmen wirksam und eine angemessene Sicherheit des Systems oder Services bzw. der dort verarbeiteten Informationen gewährleistet werden kann. Hierzu gehören insbesondere auch Maßnahmen einer möglichst umfassenden und lückenlosen Überwachung eines IT-Systems nach innen (anhand des definierten Normverhaltens eines Systems) sowie an den Schnittstellen nach außen (durch technische Schutzmaßnahmen wie Firewalls, Gateways, Proxiserver [sic!], Intrusion Prevention, etc.). Die Abwehrkonzepte und die daraus resultierenden Maßnahmen müssen kontinuierlich mit der schnell fortschreitenden Entwicklung der Informationstechnologie auf ihre Wirksamkeit hin überprüft und angepasst werden.
Neue Abwehrkonzepte, die über den rein passiven, technischen Schutz und die reaktiven Maßnahmen zur Minimierung der Auswirkungen eines Angriffes sowie die Wiederherstellung von IT-Systemen hinausgehen, wurden durch das NATO Cooperative Cyber Defence Center of Excellence (CCD CoE) in Tallinn/Estland im Rahmen der Studie „Responsive Cyber Defence – technical and legal analysis“, „Insider Threat Detection“ und „Anti Forensic Measures“ untersucht. Die Ergebnisse zu „Responsive Cyber Defence“ werden derzeit in der NATO diskutiert und weiter untersucht. Ziel ist es, Möglichkeiten zur Unterbindung oder Beendigung eines Angriffes unter Berücksichtigung der rechtlichen Rahmenbedingungen zu identifizieren und, wenn im Einzelfall möglich, anzuwenden. Sobald für solche Abwehrkonzepte für den Einsatz in der Bundeswehr ein justiziabler Rahmen gefunden werden kann, ist vorgesehen, diese in der Bundeswehr auszuplanen und umzusetzen. Der Bedarf an fortgeschrittenen Abwehrkonzepten für die Bundeswehr, unter anderem unter Berücksichtigung von Security Analytics, Advanced Defence sowie der Nutzung und Verarbeitung von Big-DATA wurde identifiziert und wird in der derzeit in Erarbeitung befindlichen Umsetzung der „Strategischen Leitlinie Cyber-Verteidigung im Geschäftsbereich BMVg“ ausgeplant. Zum Teil sind solche Methoden bereits heute Bestandteil der in der Bundeswehr verwendeten Sicherheitsprodukte (Firewalls, Virenschutz, etc.) und damit Bestandteil des Gesamtabwehrkonzepts.
Um besondere Anreize für die Gewinnung von hochqualifiziertem IT-Personal auszugestalten, werden derzeit verschiedene Möglichkeiten für neue Wege der Personalgewinnung, ‑entwicklung und ‑bindung geprüft. Dabei sollen unter anderem sowohl monetäre als auch nicht-monetäre Ansatzpunkte aus dem Gesetz zur Steigerung der Attraktivität des Dienstes in der Bundeswehr (BwAttraktStG) in die Überlegungen einbezogen werden. Eine endgültige Entscheidung über die Realisierung dieser Personalgewinnungsmaßnahmen steht derzeit allerdings noch aus.
Die durch Frau Bundesministerin angekündigten, organisatorischen Veränderungen im Geschäftsbereich des Bundesministeriums der Verteidigung werden derzeit durch einen Aufbaustab „Cyber- und Informationsraum“ erarbeitet, der im November 2015 in der Verantwortung von Frau Staatssekretärin Dr. Suder eingerichtet wurde. Der Aufbaustab soll seine Arbeit bis Frühjahr 2016 abschließen und Frau Bundesministerin einen Bericht zum Aufbau eines eigenständigen Organisationselementes „Cyber/IT“ im Ministerium und eines neuen Organisationsbereiches unter einem Kommando „Cyber- und Informationsraum“ in unmittelbarer Unterstellung zum Ministerium vorlegen. Einzelheiten zu Strukturen und folglich auch zu Personalumfängen werden Gegenstand der Untersuchungen sein. Dasselbe gilt für Angaben zu Finanzmitteln, die ggf. für einen Personalaufwuchs oder die technische Ausstattung des Kommandos „Cyber- und lnformationsraum“ benötigt werden.
Mit freundlichen Grüßen
Markus Grübel
[Parlamentarischer Staatssekretär bei der Bundesministerin der Verteidigung] -
: iPhone-Entsperrung: New Yorker Gericht stärkt Apple den Rücken
Diesmal geht es einem iPhone 5s an den kragen. Oder doch nicht?. <a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC BY-NC-ND 2.0</a>, via flickr/<a href="https://www.flickr.com/photos/nomacnolife/10156741383/">Piro</a> : iPhone-Entsperrung: New Yorker Gericht stärkt Apple den Rücken Ein US-Bundesgericht in Brooklyn hat sich gestern auf die Seite von Apple geschlagen und das Bestreben der US-Regierung zurückgewiesen, den Konzern zum Entsperren eines iPhones zu zwingen. Der aus dem Jahr 1789 stammende All Writs Act, mit dem Bundesrichter beinahe beliebige Anordnungen gegen Personen oder Unternehmen erlassen können, könne nicht als Rechtsgrundlage dienen, schrieb der Richter James Orenstein in seiner Urteilsbegründung.
Im vorliegenden Fall geht es um das iPhone 5S eines New Yorker Drogendealers, der sich bereits im Vorjahr für schuldig bekannt hat. Auf dem Gerät läuft iOS 7, das im Unterschied zu den Folgeversionen noch nicht alle Daten standardmäßig verschlüsselt und die deshalb von Apple (und mit den richtigen Werkzeugen auch von Ermittlungsbehörden) ausgelesen werden könnten, ohne Sicherheitsmaßnahmen auszuhebeln.
All Writs Act soll Türen öffnen
Wie in dem vergangene Woche bekannt gewordenen Fall beruft sich die Regierung auf besagten All Writs Act, der dabei helfen soll, einen Präzedenzfall zu schaffen, um Ermittlungsbehörden ungehinderten Zugang zu verschlüsselten Informationen zu ermöglichen. Apple hat gegen das Urteil des kalifornischen Bundesgerichts Einspruch eingelegt, während ein offener Brief des Firmen-Chefs Tim Cook eine lebhafte öffentliche Debatte über den Sinn und Unsinn von staatlich verordneten Hintertüren in IT-Produkten entfacht hat. Insgesamt sind mindestens zehn laufende Gerichtsverfahren bekannt, die Apple dazu zwingen sollen, in die Geräte ihrer Kunden einzubrechen.
Doch der All Writs Act könne nicht zur Anwendung kommen, urteilte der New Yorker Richter, schon allein deshalb, weil der US-Kongress in der Vergangenheit darauf verzichtet habe, ein entsprechendes Gesetz zu erlassen:
In short, whatever else the AWA’s „usages and principles“ clause may be intended to accomplish, it cannot be a means for the executive branch to achieve a legislative goal that Congress has considered and rejected. But because such rejection can take many forms, only one of which (and arguably the least likely in most circumstances) is outright prohibition, the government’s argument here is manifestly irreconcilable with the statute.
Die US-Regierung setze am falschen Punkt an, so der Richter, und lieferte einen Vorgeschmack auf einen vermutlich noch lange andauernden Rechtsstreit, der in Folge vor dem US-Höchstgericht landen dürfte:
Ultimately, the question to be answered in this matter, and in others like it across the country, is not whether the government should be able to force Apple to help it unlock a specific device; it is instead whether the All Writs Act resolves that issue and many others like it yet to come. For the reasons set forth above, I conclude that it does not. The government’s motion is denied.
-
: NSA soll Rohdaten an FBI und CIA weitergeben dürfen
Auch die CIA soll ungefilterte Daten der NSA-Überwachung bekommen. <a href="https://creativecommons.org/licenses/by-sa/2.0/legalcode">CC BY-SA 2.0</a> via Flickr/<a href="https://www.flickr.com/photos/121483302@N02/14127655320/">Global Panorama</a> : NSA soll Rohdaten an FBI und CIA weitergeben dürfen Die New York Times berichtet über Pläne der US-Regierung, die der NSA die Weitergabe ungefilterter Daten aus ihrer Überwachung an andere US-Behörden und Geheimdienste erlauben soll. Dabei geht es vor allem um die Daten aus der Telefon- und Email-Überwachung.
Bisher gab die NSA Überwachungsdaten nur an US-Behörden weiter, wenn diese die Informationen ausdrücklich angefragt haben und führte in den meisten Fällen vorher eine sogenannte „minimization“ durch. Im Zuge der „minimization“ werden etwa in den Daten auftauchende US-Amerikaner anonymisiert, zumindest, wenn diese für die Ermittlungen der anfragenden Behörde nicht relevant erscheinen. Mit der geplanten Neuregelung sollen US-Behörden nun Zugang zu den ungefilterten Daten der NSA bekommen.
US-Amerikaner tauchen offenbar öfter mal „versehentlich“ in der Überwachung der NSA auf. Die Kritik an den Plänen zur Weitergabe basiert vor allem auf dem Schutz unschuldiger US-Amerikaner. Bürgerrechtsaktivisten forderten die Bekanntgabe des Umfangs, in dem auch US-Amerikaner in der Überwachung auftauchen. Mit den Plänen der Regierung wird der Schutz von US-Bürgern nun weiter aufgeweicht.
Die Pläne der Regierung würden bei ihrer Einführung nur in Teilen veröffentlicht, um die nationale Sicherheit nicht zu gefährden. Damit bliebe unklar, ob es in den neuen Plänen Einschränkungen gebe, wie die Behörden die Informationen über US-Amerikaner nutzen – und ob sie die Daten auch gezielt nach ihnen durchsuchen dürften.
Die Pläne zur Neuregelung der Weitergabe von Daten aus der NSA-Überwachung stammen noch aus der Bush-Regierung und wurden 2009 von der Regierung unter Obama weiter ausgearbeitet.
Die Massenüberwachung der NSA wird zum einen vom Foreign Intelligence Surveillance Act (FISA) und zum anderen von einer Anordnung namens „Executive Order 12333″ geregelt. FISA regelt dabei nur die Überwachung von Internet- und Telefonkabeln auf US-amerikanischem Boden. Der größere Teil der NSA-Überwachung, etwa die Überwachung von Satellitenkommunikation und Internet- und Telefonkabeln im Ausland, wird somit von der „Executive Order 12333“ reguliert. Ars Technica schreibt, Daten aus der FISA-Überwachung dürfe die NSA bereits an viele Behörden ungefiltert weitergeben, mit der neuen Regelung solle das nun auch mit den restlichen Überwachungsdaten der NSA möglich sein.
Die Regierung kann die geplante Neuregelung ohne Zustimmung des Kongresses oder eines Richters einführen, da es dabei nicht um FISA-Überwachung geht.
-
: BKA: “Den Hacker gibt es nicht. Wir sollten ihn erfinden.”
So sinnvoll wie der Hackerparagraf: Symbolbild eines "Hackers". Bild: <a href="https://www.flickr.com/photos/brianklug/">Brian Klug</a>. Lizenz: Creative Commons <a href="https://creativecommons.org/licenses/by-nc/2.0/deed.en">BY-NC 2.0</a>. : BKA: “Den Hacker gibt es nicht. Wir sollten ihn erfinden.” 
Seit 2014 widmet sich das Bundeskriminalamt (BKA) mit einer Reihe von Studien der Erforschung von Hackern und Hacktivisten um, wie sie selbst schreiben, ihre Wissens- und Erkenntnisbasis über beide Phänomene zu erweitern. Die zweite Studie, die diesem Anliegen Folge leistet, postuliert das kühne Ziel, Täter des Bereichs Cybercrime zu typologisieren. Doch dadurch begibt sich das BKA mit seinen Prämissen auf wissenschaftliches Glatteis, denn für diese Beschäftigung wählt das BKA einen schillernden Begriff, in der Annahme, dass er alle Cyberkriminellen verbindet: den des Hackers. Das grundlegende Problem, welches sich das BKA selbst einbrockt, ist, dass es sich mit einem Phänomen beschäftigt, das gesellschaftlich quer zur Frage der Kriminalität steht: Hacker wie Hacktivisten sind soziale Kategorien, sie können strafrechtlich relevante Aktionsformen berühren – sie tun dies jedoch nicht kategorisch. Das BKA trägt mit seinen Studien nicht zur Klärung dieser Kategorien bei und genau so wenig zum besseren Verständnis von Cyberkriminalität, sondern lediglich zur Kriminalisierung von Hackern und Hacktivisten. Das ist die Fortführung einer Replik zur Forschung des BKA zu Hackern und Hacktivisten von Theresa Züger, Adrian Haase und Theresa Behrendt.
Vielsagend ist dabei nicht nur der kriminalisierende Bias, der sich durch sämtliche der Studien zieht, sondern vor allem auch, was in diesen Studien keine Erwähnung findet: Einerseits finden weder die Hacker des CCC, der in Deutschland durch sein Engagement und seine Expertise seit den 80er Jahren eine gesellschaftlich anerkannte und wertgeschätzte Position erfüllt, einen sichtbaren Platz im Hacker-Weltbild des BKA. Andererseits erhält die existierende Sozialforschung zur Figur des Hackers nicht mehr Raum als eine Randnotiz. Diese kam übrigens bereits vor Jahren zu dem Ergebnis, dass der Hacker aufgrund der “grundlegenden Ambivalenz der Figur zwischen einer subversiven und einer staatstragenden Variante” und “der Diversität seiner Aktionen und Zielsetzungen unfaßbar geworden” sei (Pias 2002: 248).
Als Definition bemüht das BKA eine Formulierung von Schell und Dodge, die unter Hackern „Personen mit einem Interesse für Technologie [verstehen], die ihr Wissen nutzen, um sich mit oder ohne [sic] Genehmigung Zugang zu Computern und anderen Geräten [zu] verschaffen“ (S. 6). Eine Erklärung, weshalb auch mit Genehmigung handelnde Hacker zu kriminalisieren und vom BKA zu beobachten/verfolgen seien, bleibt die Studie schuldig. Eine Rechtsgutsgefährdung (als Grundlage jedes verfassungsgemäßen Strafens) ist bei solchen Sachverhalten jedenfalls nicht erkenntlich.
Aufbau und Niedergang der Studie
Die Studie teilt sich in zwei Teile. Zunächst erfolgt eine phänomenologische und tätertypologische Betrachtung bevor in einem zweiten Teil kriminologische Erklärungen und Handlungsmöglichkeiten beleuchtet werden.
Ziel der Studie war es, „zielgruppenorientierte Interventions- und Präventionsstrategien für unterschiedliche Tätergruppen zu entwickeln“ (S. 3). Tatsächlich gibt die Studie lediglich Ergebnisse der analysierten deutsch- und englischsprachigen Literatur zum Thema Cybercrime im engeren Sinne, bezogen auf täterspezifische Erkenntnisse, seit dem Jahr 2000, wieder. Unter Cybercrime im engeren Sinne versteht das BKA solche Straftaten, „die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten“ (BKA, 2014, S.3), ergo §§ 263a, 269, 270, 303a, 202a, 202b und 202c StGB.
Der argumentative Untergang der Studie konzentriert sich unter dem Kapitel der sogenannten “Hackerphänomenologie”. Mehrfach wird darauf hingewiesen, dass bislang kaum nach hohen wissenschaftlichen Standards durchgeführte kriminologische Untersuchungen zu Cybercrime-Tätern vorlägen (S. 5). Erstaunlicherweise werden dennoch gerade jene existierenden und als wissenschaftlich unverlässlich gesehenen Studien zur Herleitung der Hackerphänomenologie herangezogen.
Das BKA, das selbst in seiner Literaturrecherche feststellt, dass es “den Hacker nicht gibt” (S. 8), lässt es sich nämlich nicht nehmen, den typischen Hacker als Täter zu beschreiben. Er wird (grob zusammengefasst) als junger, männlicher Schüler, Student oder Auszubildender klassifiziert, der seine Freizeit vor dem Computer verbringt. Das BKA kommt zum überraschenden Schluss, dass sich Hacker im Kern nicht vom Rest der Bevölkerung unterscheiden ließen (S. 15). Ungeachtet dessen und obwohl es oftmals kaum zu erkennen sei, welcher Akteur für einen Cybersicherheitsvorfall verantwortlich ist (S. 3), soll eine Klassifizierung von Tätertypen aufgrund der Hackerphänomenologie dennoch hilfreich sein. Historisch stellt das BKA dabei auf Franz von Liszt ab, der bereits Anfang des 20. Jahrhunderts Tätertypen im Hinblick auf ihre Rückfallgefährdung klassifiziert und passend dazu Reaktionsmodi mit dem Ziel der Rückfallverhinderung aufgezeigt habe (S. 1). Dass Franz von Liszt und die Pervertierung seiner Forschungen durch die Nationalsozialisten mit dem Gewohnheitsverbrechergesetz von 1933 zusammenhängen, lässt das BKA unerwähnt. Erfreulicherweise relativiert das BKA immerhin dergestalt, dass die Gefahren der Typologisierung bekannt seien und somit Kategorien von Tätertypen allenfalls als Orientierung genutzt würden, um Menschen nicht irgendwelchen Kategorien zuzuordnen (S. 1).
Teil dieser Typologisierung sind auch Erkenntnisse bezüglich der möglichen Motivationen von Hackern. Hacker würden regelmäßig durch Motivbündel zur Tat bewegt: Entertainment, Nervenkitzel, Zugehörigkeit zu einer Gruppe, Ruhm und Status, Macht und Kontrolle, wirtschaftliche Gründe, politische Gründe, Schadensabsicht und Rache und Sucht (S. 17) spielen als Motivationen scheinbar eine Rolle. Dieser Motivationsvielfalt folgend, präsentiert das BKA eine wirre Zusammenfassung von unzähligen (wir glauben es sind 13) unterhaltsamen bis absurden bisherigen Versuchen Hacker zu klassifizieren. Besondere Beachtung finden dabei die Klassifizierungen von Rogers (2000) und die darauf aufbauenden Ansichten von Chiesa et al. (2009), die beispielsweise den “quite, paranoid and skilled”-Hackertyp entdeckt haben. Dieses scheue Tier ist der “[gefährlichste] der nicht Geld-orientierten Hacker. Mit Kompetenz ausgestattet, erforscht er – möglichst ohne entdeckt zu werden – Systeme. Hat keine Interesse daran, anderen zu imponieren und wird im seltenen Fall, dass seine Präsenz in einem System bekannt wird, sofort verschwinden” (S.33).
Durch die angestrebte und gleichzeitig als gefährlich erkannte Typologisierung von potentiellen Tätern haben sich die Urheber der Studie by design in ein Dilemma manövriert. Das Erfordernis zielgruppenorientierte Interventions- und Präventionsstrategien zu entwickelt wird, wie für jedes Kriminalitätsfeld, kaum zu bezweifeln sein. Allerdings erscheint dieses Ansinnen umso erstaunlicher, wenn man bedenkt, dass sich das BKA, wie auch bereits in der ersten Studie im Bereich “Hacktivisten” renitent weigert, zwischen Hackern, Hacktivisten und Cyberkriminellen zu differenzieren.
Im zweiten Teil der Studie erfolgen zunächst kriminologische Erklärungen für das Cybercrime-Phänomen nach Maßgabe einschlägiger Theorien. Angeführt werden die Bindungstheorie und die Theorie der Selbstkontrolle, Lerntheorien, Neutralisationstheorie, die Theorie des rationalen Wahlhandelns, die Routine-Aktivitätstheorie, Kriminalität als „verbotene Frucht“, der Flow-Theorie und der Space Transition Theory. Eine spezifische Bedeutung dieser kriminologischen Theorien für den Untersuchungsgegenstand wird nicht detailliert herausgearbeitet, stattdessen wird banaler Weise festgestellt, dass “Cybercrime im engeren Sinne kein an sich neues menschliches Verhalten beschreibt, sondern dieselben menschlichen Antriebskräfte wirken, die Menschen auch in anderen Bereichen antreiben” (S.68).
Die täterorientierten Handlungsmöglichkeiten, die zuletzt angeführt werden, bleiben allgemein, wenn nicht sogar nichtssagend. Vorgeschlagen werden die Durchführung von sozialen Netzwerkanalysen, der Einsatz der Kriminalitätsskriptanalyse, eine wirksamere Strafverfolgung, Störung illegaler Märkte, Verringerung von Tatgelegenheiten und eine intensivierte Forschung zum Themenbereich. Auf das „wie“ der Umsetzung der Handlungsmöglichkeiten wartet der Leser leider vergeblich.
Fazit
Die Frage, die wir uns nach der Reflexion über diese BKA-Studie ernsthaft stellen, ist: Mit welchem Ziel ist die Rede von Hackern im Allgemeinen?
Zur Verdeutlichung folgendes Beispiel aus der analogen Welt: Wenn im Rahmen von Unfallursachen-Analysen im Straßenverkehr eine erhöhte Anzahl an manipulierten Fahrzeugen festgestellt werden könnte, sind kriminologische Studien zur Kfz-Tüftler-Szene und deren Kriminalisierungsgrad durchaus sinnvoll und auch rechtstaatlich unbedenklich. Wenig zielführend wäre hingegen die Kriminalisierung sämtlicher Kfz-Mechaniker, Oldtimer-Schrauber, Unfall-Gutachter etc. und die ausschließliche kriminologische Beschäftigung mit deren Handlungsmotiven. So aber geht das BKA bezüglich seiner Hacker-Studie vor.
An sich ist die Kategorie des Hackers für das BKA nicht relevant, allein Cyberkriminelle sind das eigentliche Untersuchungsinteresse des BKA. Diese grobe Gleichsetzung von Verallgemeinerung, die nahelegt, dass jeder Hacker bereits mit einem Bein im Sumpf der Kriminalität steckt, erscheint nur dann sinnvoll, wenn es eigentlich darum geht, die einflussreiche, unbequeme und für den Staat herausfordernde Praxis des Hackens allgemein zu sanktionieren und unter Beobachtung zu stellen.
-
: „Keine Erkenntnisse“ – Bundesregierung verwehrt klare Aussagen bei Nachfragen zu Selektorenlisten
Die NSA spioniert nicht gegen deutsche und europäische Ziele? Leider falsch. <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a> via flickr/<a href="https://www.flickr.com/photos/kalleboo/2240834096">kalleboo</a> : „Keine Erkenntnisse“ – Bundesregierung verwehrt klare Aussagen bei Nachfragen zu Selektorenlisten Vor etwa einem Monat haben wir darüber berichtet, dass die Bundesregierung auf eine Schriftliche Frage von Martina Renner hin eingestand, einige Fragen im Rahmen der BND- und NSA-Überwachung falsch beantwortet zu haben – aus Erkenntnismangel zum Zeitpunkt der Fragen, aber immer „nach bestem Wissen und Gewissen“. Da stetig weiterhin neue Erkenntnisse ans Licht kommen, hat der Linkenabgeordnete André Hahn nochmals nachgefragt (Fragen und Antworten unten im Volltext). Im Großen und Ganzen lassen sich die Antworten mit „keine weiteren Erkenntnisse“ zusammenfassen, Fragesteller Hahn äußert sich gegenüber netzpolitik.org enttäuscht:
Die Bundesregierung hat in den letzten Jahren diverse parlamentarische Anfragen zu Aktivitäten von Geheimdiensten unvollständig und zum Teil falsch beantwortet.
Das müsste Staatssekretär Fritsche aus dem Bundeskanzleramt kürzlich kleinlaut zugeben. Konkrete Nachfragen dazu bleiben auch jetzt weitgehend unbeantwortet.Die Bundesregierung gesteht ein, dass aus dem Abschlussbericht des Selektorensonderbeauftragten Kurt Graulich hervorgehe, dass einige der von der NSA an den BND übermittelten Selektoren gegen deutsche und europäische staatliche Institutionen und diplomatische Vertretungen gerichtet waren. Laut Graulichs Zählung seien 32 Telefonie- und Internetselektoren sowie Telekommunikationsmerkmale gegen deutsche Auslandsvertretungen in der Ablehnungsliste gefunden worden. Dabei ist zu beachten, dass es in den Kategorien Überschneidungen geben kann, weil Telekommunikationsmerkmale auch Teile von Selektoren sein können. Zu europäischen Regierungseinrichtungen fand man 26.146 Selektoren und Telekommunikationsmerkmale, gegen EU-Institutionen 1.949.
Die Bundesregierung bestreitet jedoch, Anhaltspunkte für die Spionage gegen die Bundesregierung oder den Deutschen Bundestag zu haben. Dass durch geleakte Dokumente einige Anhaltspunkte bestehen, wird nicht anerkannt. „Die Authentizität dieser der NSA zugeschriebenen Berichte“ könne grundsätzlich nicht beurteilt werden. Keine Erkenntnisse gebe es auch zur Zusammenarbeit deutscher Unternehmen mit der NSA zum Brechen von Verschlüsselung.
Hahn traut dieser Aussage nicht:
In der Antwort wird lediglich auf den Graulich-Bericht verwiesen, dass es unter den NSA-Selektoren keine Funde zu Mitgliedern der Bundesregierung oder des Bundestages gegeben habe. Daraus darf getrost geschlussfolgert werden, dass es im Bereich des EU-Parlaments und der EU-Kommission sehr wohl Ausspähungen gegeben hat, was die Bundesregierung schlichtweg verschweigt.
Interessant ist, dass die Bundesregierung keine direkte Stellung dazu bezieht, ob sie weiterhin glaubt, dass NSA und GCHQ sich an das berühmte „deutsche Recht auf deutschem Boden“ hielten. Statt eine eigene Meinung zu äußern wird wieder auf Graulichs Bericht verwiesen. Dieser drückt zwar aus, dass die NSA Abmachungen verletzt hätte. Aber ob es im Moment glaubwürdig ist, dass sich an deutsches Recht gehalten wird, dazu sagt Graulichs Bericht nichts. Indirekt hat die Bundesregierung die Antwort jedoch längst gegeben. Im Januar berichteten SZ, NDR und WDR, dass die Kooperation von BND und NSA in Bad Aibling fortgesetzt wurde. Das Vertrauen scheint wieder hergestellt, „[n]ach Angaben aus Regierungskreisen halten sich die Amerikaner nun an die geschlossene Vereinbarung“.
Hahn fragte noch, ob man nach der Anfrage Renners weitere Antworten geprüft habe und wo Korrekturen notwendig seien. „Bei der Antwort auf Frage 15 der Kleinen Anfrage 18/2474 der Fraktion Die Linke“ lautet die Antwort. Damals wurde gefragt, ob bekannt sein, „dass durch den BND Kommunikationsdaten des US-Außenministers John Kerry und dessen Vorgängerin Hillary Clinton erhoben und verarbeitet wurden“. Man habe „im Rahmen eines Ermittlungsverfahrens wegen Spionageverdachts“ Kenntnis erlangt. Damit dürfte das Verfahren gegen Markus R. gemeint sein, dem vorgeworfen wird, Doppelagent für die CIA beim BND gewesen zu sein. Dieser sei dafür zuständig gewesen sein, den Mitschnitt dieses brisanten „Beifangs“ zu löschen.
Dass die Bundesregierung nun ankündigt, es seien Korrekturen bei ihrer früheren Aussage notwendig ist zwar interessant – es wäre jedoch hilfreich gewesen, gleich dazu zu sagen, in welche Richtung man die Aussage korrigieren muss. Die Bundesregierung beweist hier wieder einmal ihre Fähigkeit zur Wortklauberei und die Bestrebung, nur so wenig wie möglich preiszugeben – wenn überhaupt.
Aufklärung durch Fragen an die Bundesregierung im Themenkomplex der Überwachung ist beinahe unmöglich, solange diese mauert und sich der Aufklärung verweigert. Man benötigt einen direkteren Weg für Abgeordnete, an Informationen gelangen, ohne auf das Wohlwollen der Regierung angewiesen zu sein. Hahn kommentiert, was nun wichtig wäre:
Umso wichtiger ist, dass er NSA-Untersuchungsausschuss endlich uneingeschränkte Einsicht in die Selektoren, die Suchbegriffe der NSA erhält. Wir hoffen, dass das Bundesverfassungsgericht dazu bald eine Entscheidung trifft.
Wir sind gespannt. Eine Entscheidung in diesem Jahr ist angekündigt.
Antwort auf die Kleine Anfrage aus dem PDF befreit
Kleine Anfrage
der Abgeordneten Dr. André Hahn, Martina Renner, Frank Tempel, Kersten Steinke, Halina Wawzyniak und der Fraktion DIE LINKE.
Nachfragen zu den Selektorenlisten von NSA und BND
Vorbemerkung der Fragesteller:
In einer Pressemitteilung zur „Fernmeldeaufklärung des Bundesnachrichtendienstes“ vom 23. April 2015 teilt die Bundesregierung u.a. mit, dass das Bundeskanzleramt prüft, ob die Antworten der Bundesregierung zu den zu diesem Sachverhalt gestellten Fragen weiterhin uneingeschränkt Bestand haben.
In der Antwort des Bundeskanzleramtes auf eine schriftliche Anfrage der Abgeordneten Martina Renner (DIE LINKE) teilt der Staatssekretär und Beauftragte für die Nachrichtendienste des Bundes. Klaus-Dieter Fritsche, am 5. Dezember 2015 mit, dass elf parlamentarische Anfragen zur sogenannten NSA-Selektorenliste geprüft worden sind. Die im Abschlussbericht der von der Bundesregierung eingesetzten Sachverständigen Vertrauensperson Dr. Kurt Graulich dargestellten Prüfungsergebnisse hätten bei sechs dieser Anfragen Auswirkungen. Diese Antwort wurde auf Nachfrage der Abgeordneten Martina Renner in einem Brief von Staatssekretär Fritsche bestätigt und präzisiert.
Mit der Kleinen Anfrage wird der Bundesregierung nunmehr die Möglichkeit gegeben, ihre Antworten auf parlamentarische Anfragen unter Einbeziehung neuer Erkenntnisse gegenüber dem Parlament und der Offentlichkeit zu korrigieren.
Antworten der Bundesregierung:
I. Kleine Anfrage der Fraktion der SPD, Bundestagsdrucksache 17/14456 vom 26.07.2013
1. Welche Hinweise hat die Bundesregierung darauf, ob und inwieweit deutsche oder europäische staatliche Institutionen oder diplomatische Vertretungen Ziel von US-Spähmaßnahmen oder Ähnlichem waren?
Antwort zu Frage l:
Die Bundesregierung hat die Veröffentlichungen u.a. von Wikileaks zur Kenntnis genommen. Die Authentizität dieser der NSA zugeschriebenen Berichte kann grundsätzlich nicht beurteilt werden.
Im Juli 2014 wurde ein Mitarbeiter des Bundesnachrichtendienstes (BND) wegen mutmaßlicher Spionageaktivitäten für einen US-amerikanischen Nachrichtendienst verhaftet und wegen Landesverrats u.a. angeklagt. Das Strafverfahren wird derzeit vor dem OLG München verhandelt. Ein Urteil wird für März 2016 erwartet.
Die Tätigkeit der NSA unter anderem auch in der Bundesrepublik Deutschland ist Gegenstand des 1. Untersuchungsausschusses der 18. Wahlperiode des Deutschen Bundestages. Im offenen Abschlussbericht der vom 1. UA der 18. WP benannten und von der Bundesregierung eingesetzten Sachverständigen Vertrauensperson, Dr. Kurt Graulich, wurden die vom BND für eine Steuerung und Erfassung in Bad Aibling abgelehnten US-Selektorenlisten geprüft. Der Abschlussbericht führt auf S. 154ff. die Anzahl der Selektoren auf, die deutschen oder europäischen staatlichen Institutionen und diplomatischen Vertretungen zuzuordnen waren. Eine Übersicht findet sich auf Seite 205.
Aus der Kenntnis über einzelne Steuerungsanfragen der NSA lassen sich jedoch weder Schlüsse auf Ziele der Strategischen Fernmeldeaufklärung im Sinne eines vollständigen Interessensprofils der Nachrichtendienste der USA noch Rückschlüsse auf die Gründe ziehen.
2. Inwieweit wurde die deutsche und europäische Regierungskommunikation sowie die Parlamentskommunikation überwacht?
Antwort zu Frage 2:
Der Abschlussbericht der Sachverständigen Vertrauensperson, Dr. Kurt Graulich, führt keine Funde auf, die Mitgliedern der Bundesregierung oder des Deutschen Bundestages zuzuordnen waren (Abschlussbericht S. 205). Im Übrigen wird auf die Antwort zu Frage 1 verwiesen.
3. Konnten die Ergebnisse der Gespräche der Bundesregierung dieses ausschließen?
Antwort zu Frage 3:
Auf die Vorbemerkung der Bundesregierung zur Antwort auf die Kleine Anfrage 17/14456 der Fraktion SPD wird verwiesen.
II. Kleine Anfrage der Fraktion DIE LINKE. Bundestagsdrucksache 17/14512 vom 02.08.2013
4. Werden Daten von Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen erhoben oder verarbeitet?
Antwort zu Frage 4:
Aus dem Abschlussbericht der Sachverständigen Vertrauensperson, Dr. Kurt Graulich, lassen sich Hinweise auf entsprechende Erhebungsabsichten herleiten.
Zur Frage, ob Daten von Unternehmen mit Sitz in Deutschland für PRISM oder von vergleichbaren Programmen durch die NSA erhoben oder verarbeitet werden, liegen der Bundesregierung keine Erkenntnisse vor.
III. Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN, Bundestagsdrucksache 17/14302 vom 27.08.2013
5. Hat die Bundesregierung Anhaltspunkte, dass Geheimdienste der USA oder Großbritanniens die Kommunikation in deutschen diplomatischen Vertretungen ebenso wie in EU-Botschaften überwachen (vgl. SPIEGEL ONLINE, 29. Juni 2013), und wenn ja, welche?
Antwort zu Frage 5:
Es wird aufdie Antworten zu Frage 1 und zu Frage 4 verwiesen. Im Übrigen liegen der Bundesregierung keine Erkenntnisse vor.
6. Welche Erkenntnisse hat die Bundesregierung über eine etwaige Überwachung der Kommunikation der EU-Einrichtungen oder diplomatischen Vertretungen in Brüssel durch die NSA, die angeblich von einem besonders gesicherten Teil des NATO-Hauptquartiers im Brüsseler Vorort Evere aus durchgeführt wird (vgl. SPIEGEL ONLINE, 29. Juni 2013)?
Antwort zu Frage 6:
Es wird auf die Antworten zu Frage 1 und zu Frage 4 verwiesen.
IV. Schriftliche Anfrage des Abgeordneten Hans-Christian Ströbele. Bundestagsdrucksache 17/14803, Frage 23
7. Kann die Bundesregierung ausschließen, dass der US-Geheimdienst NSA ebenso wie andere befreundete Staaten auch Deutschland heimlich ausspäht, insbesondere wie französische (vgl. SPIEGEL ONLINE, 1. September 2013/8:13) auch deutsche Ministerien, Botschaften, Vertretungen bei den VN und der EU überwacht, seine weltweit etwa 85.000 Trojaner (vgl. a. a. O.) auch in Computern deutscher Behörden sowie Bürger platzierte, wie mexikanische und brasilianische Staatschefs (vgl. SPIEGEL ONLINE. 3. September 2013/6:32) auch die Kommunikation der Bundeskanzlerin überwacht und systematisch entschlüsselt (vgl. SPIEGEL ONLINE, 6. September 2013/0:41), und haben sich nach Erkenntnissen der Bundesregierung – angesichts des öffentlichen Eingeständnisses der Bundeskanzlerin (im TV-Kanzlerduell. 1. September 2013. 1:13:11: „das kann sein“) – auch aus Deutschland stammende oder hier tätige Unternehmen an den geheimen Entschlüsselungs-„Partnerschaften“ mit angloamerikanischen Geheimdiensten beteiligt (vgl. DIE WELT online, 6. September 2013/15:09), insbesondere von den 92 am 5. September 2013 durch Wikileaks veröffentlichten Spionage-Software-Produzenten (vgl. heise.de. 5. September 2013) wie die Münchener Trovicor GmbH, ELAMAN GmbH oder Gamma Group International GmbH, die Aachener Utimaco Safeware AG oder die Homburger (Uher-)ATIS Systems GmbH?
Antwort zu Frage 7:
Der Bundesregierung liegen keine Erkenntnisse vor, dass die NSA Deutschland, deutsche Ministerien oder Botschaften bzw. Vertretungen bei den Vereinten Nationen oder der Europäischen Union überwacht. Ebenso wenig liegen der Bundesregierung Erkenntnisse über eine Zusammenarbeit deutscher Unternehmen bzw. in Deutschland tätiger Unternehmen mit anglo-amerikanischen Nachrichtendiensten im Rahmen von Entschlüsselungs-„Partnerschaften“ vor.
Im Übrigen wird auf die Antworten zu Frage 1 und zu Frage 4 verwiesen.
V. Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN. Bundestagsdrucksache 18/38 vom 06.11.2013
8. Welche bisherigen deutschen Bundeskanzler außer Bundeskanzlerin Dr. Angela Merkel, Regierungsmitglieder, Vertreterinnen oder Vertreter nachgeordneter Behörden und diplomatischer Vertretungen wurden durch die NSA und andere Geheimdienste nach Kenntnis der Bundesregierung überwacht (bitte nach betroffenen Regierungsmitgliedern bzw. nachgeordneten Behörden oder Vertretungen, nach Zeiträumen und Urhebern aufschlüsseln)?
Antwort zu Frage 8:
Der Bundesregierung liegen hierzu keine Erkenntnisse vor. Im Übrigen wird auf die Antworten zu Frage 1 und zu Frage 4 verwiesen.
9. Welche weiteren Regierungschefs und Staatsoberhäupter welcher anderen Staaten wurden oder werden nach Kenntnis der Bundesregierung durch die NSA vergleichbar überwacht?
Antwort zu Frage 9:
Es wird auf die Antwort zu Frage 4 verwiesen.
10. Bewertet die Bundesregierung die Versicherungen der NSA und des britischen Geheimdienstes GCHQ, auf deutschem Boden gelte deutsches Recht und die USA unternähmen nichts entgegen deutschen Interessen, immer noch als glaubwürdig (so Pressestatement von Kanzleramtsminister Ronald Pofalla vom 12. August 2013)?
Antwort zu Frage 10:
Es wird auf die „Gesamtbewertung der Kooperation von BND und NSA in Bad Aibling“ im Abschlussbericht der Sachverständigen Vertrauensperson, Dr. Kurt Graulich, verwiesen (S. 203ff.).
VI. Schriftliche Frage des Abgeordneten Hans-Christian Ströbele, Bundestagsdrucksache 18/268‚ Frage 28
11. Welche Erkenntnisse hat die Bundesregierung dazu, dass der britische Geheimdienst Government Communications Headquarters (GCHQ) sowie die US-amerikanische National Security Agency (NSA) – dem Nachrichtenmagazin „DER SPIEGEL“ vom 20. Dezember 2013 zufolge – zwischen 2008 bis 2011 die Telekommunikation von Hunderten prominenten Zielen in 60 Staaten überwacht haben (Bundesministerien, deutsche Botschaft in Ruanda, EU-Wettbewerbskommissar Joaquin Almunia, der UN-Landwirtschaftsorganisation FAO, von UNICEF – United Nations International Children’s Emergency Fund – Kinderhilfswerk der Vereinten Nationen -‚ der Nichtregierungsorganisation „Ärzte der Welt“, der Unternehmen Thales Deutschland GmbH sowie TOTAL Deutschland GmbH), und welche Maßnahmen zu weiterer Aufklärung und Unterbindung dessen wird die Bundesregierung ergreifen, etwa durch Veranlassung eines EU-Vertragsverletzungsverfahrens gemäß den Artikeln 258 bis 260 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) gegen Großbritannien?
Antwort zu Frage 11:
Es wird auf die Antwort zu Frage 1 verwiesen. Im Übrigen liegen der Bundesregierung keine Erkenntnisse vor.
VII. Weitere Fragen
12. Bei welche weiteren parlamentarischen Anfragen zur Thematik Selektoren der NSA sowie des BND aus der 18. Wahlperiode sind nach dem aktuellen Kenntnisstand der Bundesregierung, u.a. auch im Ergebnis der Prüfungen des Parlamentarischen Kontrollgremiums (siehe Öffentliche Erklärung des Parlamentarischen Kontrollgremiums zum vorläufigen Ergebnis aus der Untersuchung der „BND-eigenen Fernmeldeaufklärung“ vom 16.12.2015) Korrekturen bei Antworten der Bundesregierung erforderlich?
Antwort zu Frage 12:
Bei der Antwort auf Frage 15 der Kleinen Anfrage 18/2474 der Fraktion Die Linke.
13. Welche Gründe waren dafür ursächlich, dass die in den Schreiben des Staatssekretärs und Beauftragten für die Nachrichtendienste Klaus-Dieter Fritsche vom 5.und 6. Dezember 2015 unter Ziffern 1.–3. und 6.–8. aufgeführten Kleine Anfragen und Schriftlichen Fragen nicht vollständig, umfassend bzw. sachlich richtig beantwortet wurde?
Welche dieser Fragen wurden wissentlich falsch beantwortet?
Antwort zu Frage 13:
Die Antworten erfolgten jeweils nach bestem Wissen und Gewissen.
14. Wer trägt für diese o.g. unzutreffenden Antworten die Verantwortung und welche Schlussfolgerungen / Konsequenzen wurden diesbezüglich in der Bundesregierung sowie den betroffenen obersten Bundesbehörden und Nachrichtendiensten gezogen?
Antwort zu Frage 14:
Es wird auf die Antwort zu Frage 13 verwiesen.
-
: Bundesdatenschutzbeauftragte: Staatstrojaner ist ohne ausdrückliche Rechtsgrundlage illegal
Wird durch Ignorieren der Rechtswidrigkeit auch nicht besser: Der Bundestrojaner. : Bundesdatenschutzbeauftragte: Staatstrojaner ist ohne ausdrückliche Rechtsgrundlage illegal Gestern haben wir geschrieben, dass das Innenministerium den Staatstrojaners zur Quellen-TKÜ verfassungswidrig einsetzen will. Zu dieser Analyse kamen wir, nachdem uns das Innenministerium einen Teil unserer Fragen zur Thematik beantwortet hatte. Heute schloss sich die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff unserer Analyse und Kritik an und äußerte gegenüber unserer Redaktion ähnliche Bedenken:
Unabhängig von der Frage der technischen Ausgestaltung der Software halte ich weiterhin an meinen erheblichen Bedenken fest, die Quellen-TKÜ ohne ausdrückliche Rechtsgrundlage durchzuführen. Insbesondere ist § 100a der Strafprozessordnung insoweit unzulänglich. Das gilt nach meiner Auffassung ebenso für die Überwachung nach dem Artikel 10-Gesetz (G10). Das Bundesverfassungsgericht hat ausdrücklich nicht nur technische, sondern auch rechtliche Vorgaben gefordert. Diese fehlen bei den Vorschriften der Strafprozessordnung und dem G10. Der Gesetzgeber hat die Durchführung einer Quellen-TKÜ bislang ausschließlich in § 20l Abs. 2 i.V.m. § 20k Abs. 2 u. 3 des Bundeskriminalamtsgesetzes grundsätzlich ermöglicht. Die entsprechenden Vorschriften werden gegenwärtig vom Bundesverfassungsgericht überprüft.
Die Bundesdatenschutzbeauftragte und wir stehen mit dieser Meinung nicht allein – im Gegenteil: In einer Diskussion gestern im Deutschlandfunk vertraten Gerold Reichenbach (SPD), Konstantin von Notz (Grüne) und unser Mit-Blogger Ulf Buermeyer ebenfalls die Ansicht, dass die Strafprozessordnung bisher keine ausreichende Grundlage für einen Trojaner-Einsatz enthalte. Selbst Michael Böhl, Vizevorsitzender des Bundes Deutscher Kriminalbeamter (BDK), forderte die Politik auf, klare rechtliche Grundlagen in der StPO zu schaffen – was ja nur Sinn macht, weil es die eben bisher nicht gibt. Vielleicht hört das BMI ja wenigstens auf einen erfahrenen Kriminalisten, wenn schon das Urteil des Bundesverfassungsgerichts und die Argumente der Politiker, Verfassungsrechtler und Datenschützer offenbar nicht zählen.
-
: BND-Theorien brechen zusammen
Die BND-Abhörstation in Bad Aibling - <a href="https://creativecommons.org/licenses/by-nc/2.0/">CC BY-NC 2.0</a> via <a href="https://www.flickr.com/photos/novofotoo/12416463195/">novofotoo</a> : BND-Theorien brechen zusammen Ein schlechter Tag für die juristischen Theorien des BND: In Bad Aibling wurde wohl doch die Datenerfassung dokumentiert und nur zur Tarnung die Weltraumtheorie erfunden und die Bundesdatenschutzbeauftragte rügt die Funktionsträgertheorie als „nicht verfassungskonform“.
Für Zeit Online hat sich Kai Biermann mit der Entstehungsgeschichte der Weltraumtheorie befasst. Zur Erinnerung: Die Weltraumtheorie besagt, dass per Satellit durch den BND in Bad Aibling erfasste Daten nicht unter die Anwendung des BND-Gesetzes fallen. Schließlich sei die Erfassung im rechtsfreien Weltraum geschehen, in dem deutsches Recht nicht gelte.
Die Mär von der Weltraumtheorie
Kreiert wurde diese juristisch sehr umstrittene These allerdings erst, nachdem durch die Snowden-Enthüllungen bekannt geworden war, dass der BND jahrelang die in Bad Aibling abgehörten Daten an den US-amerikanischen Geheimdienst NSA weitergeben hat. Doch warum hat sich der BND plötzlich auf solch ein juristisch wenig haltbares Konstrukt wie die Weltraum-Theorie berufen und nicht auf andere bestehende Gesetze? Weil er sonst eine Dokumentation hätte vorzeigen müssen, die genaue Informationen über die Art, Menge, Zeit und Weitergabe der abgehörten Daten beinhaltet, schreibt Biermann.
Dass es eine Dokumentation der Ergebnisse gibt, bestreiten Nachrichtendienst und Bundesregierung rundweg. Der NSA-Ausschuss hat keine entsprechenden Akten bekommen, auch auf Nachfrage nicht. Die Weltraumtheorie diente offensichtlich genau diesem Zweck: abstreiten zu können, dass das Abhören dokumentiert wurde. Denn nach der Weltraumtheorie gelten deutsche Gesetze nicht und damit auch keine Dokumentationspflichten.
Datenschutzbeauftragte rügt Abhörpraxis
Neben der Weltraumtheorie geht es aber auch einer weiteren BND-Theorie an den Kragen: der Funktionsträgertheorie. Sie besagt, dass deutsche Staatsbürger überwacht werden dürfen, wenn sie für eine ausländische Firma oder Organisation arbeiten. Die Bundesdatenschutzbeauftragte Andrea Voßhoff sieht das nicht so unproblematisch, wie es Bundeskanzleramt und BND selbst tun und bezeichnet die Abhörpraxis in einer aktuellen Stellungnahme als „nicht verfassungskonform“. Schon seit längerem gibt es über die Funktionsträgertheorie Streit, nun hat sich auch endlich Voßhof auf Bitten der G‑10-Kommission des Bundestags geäußert, berichtet der Rechercheverbund von WDR, NDR und Süddeutscher Zeitung.
Die Aussage des Zeugen lasse „vermuten“, so die Datenschutz-Beauftragte Voßhoff, dass der BND bei dieser Theorie einer „überkommenen Vorstellung“ anhänge. Eigentlich müsste auch für den Nachrichtendienst die Maxime gelten: „Im Zweifel für den Grundrechtsschutz“. Der BND meine aber offenbar: „Im Zweifel für die Erfassung“. Der für den Schutz des Fernmeldegeheimnisses wichtige Grundgesetzartikel 10 mache aber „keinen Unterschied“ zwischen privater, geschäftlicher oder politischer Kommunikation.
Über die Zusendung der in den Artikeln erwähnten Dokumente über die üblichen sicheren Wege würden wir uns sehr freuen.
-
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Wenn ich gewusst hätte, dass BND der Kurier ist, hätte ich das nicht genehmigt.“
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Wenn ich gewusst hätte, dass BND der Kurier ist, hätte ich das nicht genehmigt.“ Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Geladen sind diesmal der ehemalige Beauftragte der Bundesregierung für Völkerrecht Dr. Martin Ney, Christina Polzin (zum zweiten Mal), eine ehemalige Mitarbeiterin des Kanzleramts und Monika Genkova, die Leiterin des IT-Sicherheitsmanagements im Bundesamt für Verfassungsschutz. Wir sitzen wie immer drin und bloggen live.
Die Zeugenauswahl lässt drei unterschiedliche Themenkomplexe erwarten. Martin Ney, der mittlerweile Botschafter in Indien ist, war ab August 2010 Beauftragter der Bundesregierung für das Völkerrecht, zwischen Juli 2012 und Juli 2015 leitete er die Rechtsabteilung des Auswärtigen Amtes. Bei seiner Befragung wird es vermutlich um den Geheimen Krieg gehen, denn zu seiner Zeit als Beauftragter für Völkerrecht starb der Deutsche Bünyamin Erdoğan durch einen US-Drohnenangriff. Bei der völkerrechtlichen Bewertung von Drohneneinsätzen drückten sich bisher alle Zeugen um klare Aussagen. Wenn es um die Rolle des US-Stützpunktes Ramsteins im Drohnenkrieg und die rechtliche Bedeutung dieses Standortes in Deutschland ging, versteckte man sich hinter Unwissen und dem Vertrauen, dass die USA sich auf „deutschem Boden an deutsches Recht“ hielten.
Christina Polzin leite von Juli 2011 bis Dezember 2014 das Referat 601 im Bundeskanzleramt. Es gehört zu Abteilung 6, die für die Koordinierung der Bundesnachrichtendienste zuständig ist. Polzins ehemaliges Referat beschäftigt sich mit Datenschutz, G‑10-Angelegenheiten, Recht der Nachrichtendienste, Organisation und Personal. Heute ist Polzin im Bundesinnenministerium tätig.
Sie hat sich als Skeptikerin der Weltraumtheorie erwiesen, was zu Differenzen mit Geheimdienstkoordinator Günther Heiß führte. Polzin konnte sich nicht durchsetzen. In ihrer letzten Vernehmung spekulierte sie, dass man befürchtete, man könne ohne die Weltraumtheorie den dann obligatorischen Dokumentationspflichten nicht nachkommen. Ob erfasste Strecken und weitergeleitete Daten dokumentiert wurden und in welcher Form, konnten die Mitglieder des Ausschusses bisher nicht aufklären. Akten dazu lägen ihnen nicht vor.
Mit Monika Genkova wird die Reihe der Zuegen aus dem BfV fortgesetzt, die mit der Überwachungssoftware XKeyscore befasst waren. In der letzten Sitzung erfuhren wir, dass es beim Einsatz von XKeyscore Sicherheitsbedenken im BfV gibt, weshalb man immer noch einen Testbetrieb durchführe. Als Leiterin des IT-Sicherheitsmanagement ist zu hoffen, dass Genkova konkreter ausführen kann, worin die Skepsis gegenüber XKeyscore beim BfV begründet ist.
Gliederung
- Gliederung
- Vorbemerkungen
- Einleitung: Vorsitzender
- Zeuge 1: Martin Ney, Botschafter in Neu Delhi
- Zeugin 2: Christina Polzin, ehemalige Leiterin des Referats 601 im Bundeskanzleramt
- Zeugin 3: Monika Genkova, Leiterin IT-Sicherheitsmanagement, BfV
Vorbemerkungen
Wir berichten aus den öffentlichen Sitzungen, an denen jeder teilnehmen kann. Hier steht, wie man sich anmeldet.
Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.
Abkürzungen: Im Anschluss an die Sitzungen ergänzen wir die verwendeten Abkürzungen um Erklärungen. Während des Live-Bloggens schaffen wir das leider nicht, daher gibt es ein Abkürzungsverzeichnis zum Nachschauen.
Dargestellte: Abgeordnete und Zeugen, gerne korrigieren und vervollständigen wir ihre Aussagen. Kontaktieren sie uns!
Copyright: Die Zeichungen der Zeugen stehen nicht unter einer Freien Lizenz. Wer die Bilder verwenden möchte, kontaktiert bitte Stella Schiffczyk.
Unsere Live-Blogs kosten viel Zeit und Aufwand. Wer uns unterstützen möchte, darf gerne spenden.
Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).
Einleitung: Vorsitzender (14:54)
$Begrüßung
Zeuge 1: Martin Ney, Botschafter in Neu Delhi, Auswärtiges Amt
Martin Ney, AA, 59, Anschrift Deutsche Botschaft Indien.
Ladung hat kein Beweisthema genannt, daher kein Eingangsstatement.
Fragerunde 1: Vorsitzender
Sensburg: Ausbildung?
Ney: Jura in Würzburg und Genf studiert. In Oxford VWL und Politologie. In Würzburg promoviert. Lehrstuhlassistent Würzburg, dann AA vor 30 Jahren. Grundsatzreferat Völkerrecht. Zurück für Verhandlungen zur Deutschen Einigung. Anschließend Referent von Kastrup, dann vier Jahre Washington. Dann stellvertretender Leiter Wirtschaft, dann Botschaft Tokio. Europäischer Korrespondent AA. Dann entsandt als stellvertretender Repräsentant Bosnien-Herzegowina. Dann Abteilung VN Berlin, dann zweiter Botschafter in New York bei VN bis 2010. Dann stellvertretender Leiter Rechtsabteilung Allgemeine Fragen Völkerrecht. 2012 bis 2015 Juni Leiter Rechtsabteilung AA. Seit 20. Juli 2015 deutscher Botschafter in Indien.
Sensburg: Capture-and-Kill-Mission, schon mal begegnet?
Ney: Nein, der Begriff nicht.
Sensburg: Aber dann?
Ney: Gezielte Tötungen, Targeted Killing.
Sensburg: Wo?
Ney: Als europäischer Korrespondent als EU-Sprache entwickelt zu Sprache in Israel. Einsatz von Drohnen.
Sensburg: Vor Hintergrund Untersuchungsgegenstand ganz konkret?
Ney: Konkretisieren.
Sensburg: Gespräche mit US-Seite? US-Außenministerium, Botschaft? Bezüglich solcher Aktionen in Jahren 2012/2013.
Ney: Nicht mit mir.
Sensburg: Mit anderen? Referate 503, 200?
Ney: Hatte Gespräch mit US-Botschafter Ende Januar 2014 zu Docper-Verfahren. Über Gespräche Abteilung 2 war Abteilung 5 nur informiert, wenn rechtliche Fragen betroffen.
Sensburg: Docper-Verfahren?
Ney: Geht um Privilegierung von US-Unternehmen, die USA ins Land holen, um Streitkräfte zu unterstützen.
Sensburg: Contractors?
Ney: Ja. Wo es um Einzelaufträge geht. Handel- und gewerberechtliche Vorschriften. Müssen deutsches Recht einhalten. Privilegierung wird geprüft und in Verbalnoten geregelt. Werden in Bundesgesetzblatt veröffentlicht. Angestellte der Firmen haben Aufenthaltsrecht in Deutschland. Unterliegen Kontrolle der Bundesländer, aber auch die Unternehmen.
Sensburg: Warum Sommer 2013 neues Verfahren entwickelt?
Ney: War Einschnitt. Bis 2013 war Prüfung Plausibilitätsprüfung. Tätigkeitsbeschreibung der Unternehmen. Geschaut, ob die mit Auftrag der Truppen plausibel ist. Zwei unterschiedliche Zielgruppen: Troop Care und Analytical Services. In beiden Bereichen rechtliche Verpflichtung, deutsches Recht einzuhalten. Artikel 2 NATO-Truppenstatut. Haben dem vertraut, waren für Verbündete tätig.
Sensburg: Wie Verfahren geprüft? Vertraut? Prüfverfahren angelegt?
Ney: Plausibilität bis 2013, ob Unternehmen das machen, was beschrieben war. Ob das Sinn gemacht hat im Zusammehang Auftrag US-Truppen. Weitere Prüfung seitens Bund nicht stattgefunden.
Sensburg: Also: Wenn nicht gesagt, wir zapfen Glasfaster an, dann ok?
Ney: Ja. Dann fünf Änderungen, weil Vertrauen erschüttert. Haben noch von Melville Zusicherung bekommen, aber Vertrauen war erschüttert.
- Von USA verlangt: Klausel zur Einhaltung des deutschen Rechts in jeder Verbalnote.
- Klausel so formuliert, dass sie über Artikel 2 NATO-Truppenstatut hinausgeht. US-Seite muss alle erforderlichen Maßnahmen ergreifen, um zu sichern, dass deutsches Recht eingehalten.
- Prüfung auf breitere Beine gestellt. Haben erkannt, dass wir keine Grundlage haben, zu prüfen, was die wirklich tun. Daher in Prüfung das BMI, BMVg, Bundeskanzleramt einbezogen – ob sie Erkenntnisse haben, die Privilegierung ausschließen würden.
- Beratende Kommission, die aufgrund Rahmenabkommen Grundlage bilden, revitalisiert und zu Institution zur Klärung verbleibender Fragen gemacht.
- Zügel angezogen. Safeguard Language in Tätigkeitsbeschreibung aufgenommen. Verpflichtend. Soll darlegen, was Unternehmen tun müssen, um sicherzustellen, dass sie deutsches Recht einhalten.
Damit im Lauf des Herbstes 2013 und Beginn 2014 Zügel gegenüber USA angezogen.
Sensburg: Danke. Haben sie dann kontrollieren können?
Ney: Im AA keine Erkenntnisse.
Sensburg: Irgendeine Bundesbehörde, die kontrolliert?
Ney: Wir fragen BMI, Bundeskanzleramt, BMVg, ob Erkenntnisse bestehen, die Privilegierung ausschließen. Nehme an, dass die Prüfungen durchführen. Darauf muss ich verweisen. Sonst Länderangelegenheit, zu prüfen. Können Personen überprüfen und Einzelpersonen ablehnen. Können Außenprüfungen durchführen.
Sensburg: Man hat also erkannt, ist schwieriger Bereich und was verändert. Aber trotzdem keine richtige Kontrolle. In Unterlagen Vermerk aus AA [MAT A AA 5, Blatt 324, speziell 326]. Da steht, man hat Vorbehalte bezüglich „nicht kontrollierbarer Unternehmen“. Vom 4. März 2014.
Hat man erkannt, das nicht kontrollierbar? Versucht? Vertrauen weiterhin? Erkennt man, man kann nicht richtig kontrollieren?
Ney: Kontrollmöglichkeiten über das hinaus, was wir gemacht haben, haben wir nicht. Ist Sache von BMI und Co. Wir können lediglich die einbeziehen und Kontrolle vor Ort ist Ländersache.
Sensburg: Mal Unternehmensnamen von Contractors begegnet?
Ney: Ja.
Sensburg: Allen-Hamilton?
Ney: Ja.
Sensburg: Wie viele Mitarbeiter?
Ney: KA.
Sensburg: Wie wurden Anträge verlängert? Jährlich oder Einmalgenehmigung?
Ney: Unterschiedliche Laufzeiten vor Sommer 2013. Danach Laufzeiten angeguckt und dazu entschlossen, dass keine rückwirkenden Privilegierungen. Nach 2013 nicht mehr gemacht.
Sensburg: Thema Relaisstation Ramstein bekannt?
Ney: Ja.
Sensburg: Was ist Relaisstation?
Ney: Frage, ob Ramstein Relaisstation ist, ist, soweit ich aus Presse erfahren haben, von Zeugen behauptet worden. Kann das weder dementieren noch behaupten. VG Köln hat die Frage offen gelassen und keinen Beweis erhoben.
Sensburg: Haben sie sich das gefragt, was in Ramstein passiert? Oder nur geguckt: Was verhandeln die Gerichte? Hat sie Thematik in ihrer Funktion beschäftigt?
Ney: Natürlich im AA damit beschäftigt mit Rolle Ramsteins bei Drohneneinsätzen.
Sensburg: Warum?
Ney: Sehr prominent öffentlich durch Klage vor VG Köln.
Sensburg: Da zum ersten Mal?
Ney: Soweit ich mich erinnere ja.
Sensburg: Vorher nie?
Ney: Kann ich nicht ausschließen, aber KA.
Sensburg: Eigenes Gutachten dazu im AA?
Ney: Haben uns gefragt: Wenn Ramstein in Drohnenkrieg eine Rolle spielt – müssen wir da was machen? Hängt von völkerrechtlicher Bewertung der Drohneneinsätze ab. Wenn Drohnen von Ramstein geführt und gestartet und Einsatz völkerrechtswidrig, dann hätte das dazu geführt, dass wir anderen Ton anschlagen.
Aber Einsatz von Drohnen nicht per se völkerrechtswidrig. Zweitens Zusicherung der USA bekommen, dass aus Ramstein keine Drohnen geführt oder gestartet werden.
Sensburg: Erinnerung an Prüfungen, Ortstermine in Ramstein?
Ney: War nie da, aber Abteilung 2.
Sensburg: Wann?
Ney: KA.
Sensburg: Vor 2013, bei gerichtlicher Prüfung?
Ney: KA. Hat Herr Schulz bestimmt gesagt.
Sensburg: Dann wüsste ich das ja.
Ney: Ich kann das aber nicht sagen.
Fragerunde 1: Linke (15:23)
Hahn: Wie auf Sitzung vorbereitet?
Ney: Dienstag und Mittwoch mit Akten vorbereitet. Zu Drohnen und Docper vergewissert, weil neue Tätigkeit hat nichts mit alter zu tun.
Hahn: Welche Akten?
Ney: Akten, die damals in Rechtsabteilung waren.
Hahn: Hinweise vom AA zu Vernehmung hier?
Ney: War Völkerrechtsberater der Bundesregierung. Brauche keine Hinweise von Kollegen, was ich aussagen soll.
Hahn: Aussagegenehmigung eingeschränkt?
Ney: Die liegt ihnen vor, ist umfangreich. Hat mich selber erstaunt.
Hahn: Haben gesagt, dass 2013 Klausel zu Einhaltung deutschen Rechts eingeführt wurde. Stimmen sie zu, dass die nicht vor NSA und Co. schützt?
Ney: Nein, sehe ich nicht so. USA nehmen Klauseln sehr ernst. Aus zwei Gründen ersichtlich: Im Herbst 2013 lange mit uns um Formulierung gerungen. Waren aufgeschlossen, Safeguard-Klauseln aufzunehmen. Haben Verpflichtung übernommen, alles zu tun, damit Unternehmen Recht einhalten. Im zweiten Punkt haben sie Washington befasst. Haben gesagt, müssen Klauseln ändern. Wir haben gesagt, wir gehen nicht dahinter zurück. War intensiver Dialog. Wir haben gedroht, Angestellte ohne Privilegierung des Landes zu verweisen. USA nehmen ernst, die Zusicherungen seit Herbst 2013 einzuhalten.
Hahn: Deutsches Recht einhalten gilt auch für deutsche Behörden?
Ney: Ja, sowieso.
Hahn: Aber Beihilfe zur gezielten Tötung strafbar in Deutschland?
Ney: Welche meinen sie?
Hahn: Datenweitergabe von deutschen Stellen, wo Personen umgebracht wurden oder werden sollten.
Ney: Muss Zusammenhang klären. Gibt gezielte Tötungen, die mit Völkerrecht vereinbar sind. Sind nicht per se völkerrechtswidrig. Gezielte Tötungen, sie sprechen von Drohnen?
Hahn: Auch. Gibt auch Kampfeinsätze.
Ney: Dann sprechen wir von bewaffnetem Konflikt. Da gilt humanitäres Völkerrecht. Da sind gezielte Tötungen zulässig. Notwendigkeit, Proportionalität einzuhalten. Außerhalb humanitärem Völkerrecht nur in wenigen Ausnahmen möglich. Kommt auf genaue Umstände an. Nur danach entscheidbar ob Beihilfe rechtmäßig.
Hahn: In Somalia, Pakistan?
Ney: Fragen sie mich als Zeugen oder Sachverständigen?
Hahn: Als derjenige, der jetzt hier sitzt. In Somalia, Pakistan, wo möglicherweise keine kriegerischen Handlungen stattfinden.
Ney: In Afghanistan hatten wir internationalen bewaffneten Konflikt, der in Teilen von Pakistan übergeschwappt ist. Gehe davon aus, dass das humanitäre Völkerrecht gilt. Im Jemen mehrere bewaffnete Konflikte nebeneinander, da auch bewaffneter Konflikt. Somalia geht über Zeitraum NSA-Untersuchungsausschuss hinaus. Kann man vermutlich auch bewaffneten Konflikt annehmen zwischen USA und Al-Shabaab.
Hahn: Haben gesagt „da kann man annehmen“. Aber nicht, wer entscheidet, ob das so ist. Bewertung, wenn deutsche Behörden Daten weitergeben, aber Disclaimer drantun, dass man Daten nicht für Tötungen benutzen darf?
Ney: Kenne den Vermerk nicht.
Hahn: Frage, ob man, wenn nur in Ausnahmefällen getötet werden darf, sowas draufschreibt.
Ney: Bei Informationsübermittlungen…
Hahn: Geht es da nicht um Tötungen?
Ney: Doch. Bei Doppelbeschlussabkommen schreiben wir rein, dass Austauschdaten nicht in Verfahren verwendet werden dürfen, die zu Todesstrafe führen können.
Fragerunde 1: SPD (15:34)
Flisek: Docper: Sie haben gesagt, dass 2013 durch Snowden Vertrauen in US-Seite erschüttert. Was waren substantielle Punkte, warum Erschütterung? Konkrete Inhalte aus den Dokumenten? Welche?
Ney: Hatten letzten Verbalnotenaustausch soweit ich mich erinnere im Juni 2013. Dann kam Snowden. Haben natürlich rundum erfahren, dass möglicherweise in Deutschland in großem Stil abgehört wird. Haben im Herbst 2013 neue Anträge der USA bekommen. Da haben wir gesagt: Können wir so weitermachen wie bisher? Dann am 2. August Zusicherung, dass deutsches Recht eingehalten wird. Haben dann trotzdem beschlossen, Zügel anzuziehen. Daher die fünf Änderungen.
Flisek: Also keine konkreten Erkenntnisse zu Erschütterung geführt?
Ney: Genau. Meine, mich zu erinnern, dass es Antrag zu Privilegierung von Bruce Allen-Hamilton gab. Da sind wir aufmerksam geworden.
Flisek: Macht auf mich Eindruck, man hat materielle Geschäftsgrundlage. Im Raum steht aber, ob man prüfen kann und ob es Sanktionsmöglichkeiten bei Verstößen gibt. Was ist da Spielraum zum Zügelanziehen?
Ney: Verfahren, die wir Februar 2014 konzipiert haben – die vier Schritte – zeigen, wie wir mit Docper-verfahren umgehen. Sind ausführlicher. Vier Schritte drin. Gehen dann an BMI, Bundeskanzleramt, BMVg. Die prüfen jeweils ihre Möglichkeiten, sind mehr als im AA. Wenn keine Kenntnisse vorlegen, dann „nihil obstat“ – „dem steht nichts entgegen.“ Wenn Bedenken, dann Kommission mit USA bilden und drüber reden. Wenn Gespräch nicht weiterführt, dann werden wir ablehnen und Unternehmen nicht privilegieren. Auch nicht rückwirkend.
In Verbalnotenaustausch Klausel zu deutschem Recht aufgenommen. Kontrollmögllichkeiten der Resorts.
Flisek: Welche?
Ney: BfV und BND für andere Ressorts. Länder können Angestellte prüfen, können ablehnen. Können Außenprüfungen auf Landesebene vornehmen.
Flisek: Bekannt, dass es kritische Stellungnahmen gab?
Ney: Mitte/Ende März 2014 vor nächster Privilegierung gab es Sitzung beratender Kommission. Wie das ausging, KA.
Flisek: Also gab es kritische Stellungnahmen?
Ney: Kann nicht sagen, ob Bauchschmerzen wegen Tätigkeitsbeschreibung oder von anderer Stelle. Gab Anweisung zu Genehmigung. In einem Fall Vorschlag, abzulehnen.
Flisek: Bei Nichtprivilegierung kein Verbot der Tätigkeit. Heißt nur. dass Privilegierung fehlt.
Ney: Sprechen ja mit Verbündeten der NATO. Gehen im Prinzip freundschaftlich miteinander um. Legen im Prinzip keine Steine in den Weg. USA sollen Truppen aufrecht erhalten können.
Soweit ich mich erinnere, gab es einmal den Fall der Umgehung mit Einstellung auf technische Umgehung. Da haben wir gesagt, das geht nicht.
Flisek: Also versucht zu umgehen, dass jedes Unternehmen durch Docper muss?
Ney: Ja.
Flisek: Gab es mal Hinweis, dass zu privilegierende Personen ausschließlich für NDs arbeiten?
Ney: Bei Analytical Services wurde nicht sagt, dass sowas nicht nicht gegen ausländische.
Flisek: Also nicht problematisch, wenn Deutsche ins Visier geraten?
Ney: Die arbeiten für Streitkräfte. Bedienstete prüfen Sicherheit der US-Truppen. Kann nicht ausschließen, dass Verwendung für amerikanishe Stellen. Kann nicht sagen, wo Analytical Services missbraucht werden.
Flisek: Haben Akten mit Hinweis, dass es Besprechungen mit US-Botschaft und Mitarbeitern des BMI gab. Da steht, dass Erfassung deutscher Bürger nicht ausgeschlossen werden kann.
[MAT A BK 1 4t, Blatt 139, Ney bekommt Tablet gebracht.]
Ney: Hups, jetzt ist das Dokument verschwunden.
Sie beziehen sich auf Satz, dass nicht ausgeschlossen ist, dass Daten…
Wollte nur Runterscrollen und dann ist das Ding verschwunden.
Flisek: Digitalisierung hat Vor- und Nachteile. Wenns länger dauert, dann haben wir von Sekretariat Angebot, das analog vorzulegen. Aber ja, beziehe mich auf den Satz.
Ney: Was fangen wir damit an? Wenn das nicht ausgeschlossen werden kann, dann müssen wir USA bitten, das auszuschließen. Wenn die das nicht ausschließen können, dann kann es keine Privilegierung geben.
Flisek: Also keinerlei Ausnahmen?
Ney: Nein, deutsches Recht und Datenschutz muss gewährleistet sein. Ergibt sich auch aus Klauseln zur Grundlage der Tätigkeit.
Flisek: Würde Satz auch darüber hinaus interpretieren. Wenn USA sagen: Wir haben Maßnahmen, die nicht gezielt gegen Deutsche sind, aber wir haben Beifang – dann ist das nicht nur punktuell auf Unternehmen bezogen, sondern Problemlage, die sich darüber hinaus stellen könnte.
Ney: Das wäre Frage, die wir in beratendem Ausschuss aufgreifen können.
Flisek: Ist das passiert?
Ney: In konkretem Fall KA.
Flisek: In Ausschuss mit Selektoren beschäftigt. Ein Prüfungsmaßstab ist deutsches Recht. Anderer sind deutsche Interessen. Deutsche Stellen sollten nicht ausländischen Stellen helfen, Daten zu erheben, die gegen deutsche Interessen sind. Hat sowas eine Rolle bei Docper gespielt?
Ney: Zu Selektoren herzlich wenig Ahnung. Haben 2013 gesagt, ist unser Interesse, Zügel bei Docper anzuziehen. Deshalb die fünf, sechs Schritte ergriffen, um deutschen Interessen zu dienen.
Flisek: Wie würden sie konkret beurteilen, wenn Mitarbeiter eines zugelassenen Unternehmens beispielsweise in Stuttgart bei AFRICOM dabei mitwirken, Daten auszuwerten, die zu Zielerfassung in Somalia genutzt werden?
Ney: Dann muss ich wieder auf Völkerrecht-Frage verweisen.
Flisek: Gehen wir davon aus, Einsatz wäre völkerrechtswidrig. Drohneneinsatz, Mitarbeiter eines Unternehmens, beispielsweise AFRICOM, wirken an Datenauswertung mit, die dafür notwendig sind.
Ney: Sind zu viele Hypothesen.
Flisek: Nur eine.
Ney: Kann nicht von den Prämissen ausgehen.
Fragerunde 1: Grüne (15:58)
Ströbele: Bis 2013 nur Plausibilität geprüft. Dann bei Booz-Hamilton gingen die Lampen an. Wieso?
Ney: Glaube, Snowden war Angestellter da.
Ströbele: Das war einziger Grund?
Ney: Haben vorher schon Unternehmen geprüft. Zum Beispiel im Internet. Ansonsten in der Tat darauf vertraut, dass sie deutsches Recht einhalten. Wenn Firmen in Öffentlichkeit problematisiert wurden, dann schauen wir konkreter. Booz-Hamilton bei Neubeantragung genauer prüfen. War ja Sinn und Zweck im Sommer 2013.
Ströbele: Was hat bei Hamilton die Lampen angemacht? Gab ja Hunderte Firmen. Was war denn da?
Ney: Meine Leute – hatte 180 Mitarbeiter in Abteilung – haben der Öffentlichkeit entnommen, dass die in NSA-Affäre erwähnt wurden.
Ströbele: Dann Zügel angezogen – so vorhin gesagt. Da waren dann die Punkte. Letzter Punkt war Zügel anziehen. Da dann gesagt, wir müssen Unternehmen überprüfen. Wie?
Ney: Prüfmöglichkeiten AA sehr eingeschränkt. Habe gesagt, dass Prüfung breiter aufgestellt und BMI, BMVg, Bundeskanzleramt einbezogen.
Ströbele: Ging dann an deutsche NDs?
Ney: Ging an die drei Ressorts.
Ströbele: Aber da geht dann nicht die Kanzlerin hin, die haben da Behörden.
Ney: Ist deren Angelegenheit.
Ströbele: Haben gesagt, USA halten sich an Recht und nehmen das ernst. Als neue Formulierungen versucht wurde, hätten das USA ernst genommen. Sie auch?
Ney: Welchen Grund, das nicht ernst zu nehmen?
Ströbele: Gabs keinen Grund nach Snowden?
Ney: Wenn USA gesagt haben, dass Maßnahmen ergriffen werden, um deutsches Recht einhalten – wenn sie das erweitern und Safeguard Language integrieren: Dann muss ich davon ausgehen, dass die das ernst meinen.
Noch zweiter Punkt: Washington wurde befasst und da wurden Bedenken erhoben, ob das so übernommen werden soll. Haben dann ein Team geschickt, um Tragweite der Klausel in Frage zu stellen. Bedurfte dann erheblichen Widerstands, das gegen USA durchzusetzen. Dann musste ich davon ausgehen, dass USA das unglaublich ernst nehmen. Die haben gesagt, das wurde in keinem anderen Land gemacht.
Ströbele: Glauben sie das immer noch, dass die das ernst nehmen?
Ney: Ja.
Ströbele: Haben USA sich an deutsche Gesetze gehalten, als sie Kanzlerinnenhandy abgehört haben?
Ney: Das würde ein deutsches Gesetz verletzen.
Ströbele: Und sie glauben immer noch daran?
Ney: Wenn sie Aussage wollen, dass ich naiv bin… Glaube, USA nehmen Pflichten im Docper-Verfahren ernst.
Ströbele: Haben hier Mailwechsel von ihnen. Was auf Bundespressekonferenz gesagt wurde zu Drohneneinsätzen. 30. Juni 2013. Waren sie damit von Amtswegen befasst?
Ney: Müsste Vermerk einsehen.
Ströbele: Vom 20. Juni sogar, 2013.
[Dokument wird vorgelegt. MAT A AA 3 1d, Blatt 244ff]
Ney: Habe nur eine einzige Mail vorliegen. Bezug der Mail zu Aussagen vorher sehe ich nicht.
Ströbele: Sie antworten: Das ist dünn, keine Aussage zu Steuerung.
Ney: Dann „Leider nein, dann …“
Ströbele: Warum damals damit befasst? Sollten sie das prüfen? Tätig werden? Bundesregierung hat damals Fragenkatalog an US-Regierung geschickt. Bekannt?
Ney: Ja.
Ströbele: Damit befasst?
Ney: Glaube ja, aber weiß nicht mehr im Detail. Mich hat interessiert, welche Rolle Truppenteile in Deutschland an Drohneneinsätzen hatten. Divergenz zwischen Bericht der DPA – nehme an, da war was zu Drohnen.
We do not use Germany as a launching point for unmanned drones … as part of our counterterrorism activities.
Ströbele: Was dann gemacht?
Ney: Kann ich nach zwei Jahren nicht beantworten.
Fragerunde 1: Union (16:11)
von Marschall: Grundlage von Docper vor 2013?
Ney: Vor meiner Zeit. Aufgaben outsourcen. War für USA wichtig, US-Unternehmen zu beschäftigen, erste Vereinbarungen über Troop Care. Verfahren dann erweitert durch Rahmenvereinbarung 2001, zweite Vereinbarung für Unternehmen im Bereich Analytical Services.
von Marschall: Das auch Grundlage vor den Änderungen 2013. Wie hat mans vor 2013 hinsichtlich Prüfung gehandhabt?
Ney: Unternehmen waren Unterstützer von Truppen engster Verbündeter. Haben sie wohlwollend und zügig privilegiert. War auch in Interesse der Bundesländer. Haben großzügig unterstützt, dazu haben wir uns verpflichtet. Haben deswegen bei den Unternehmen, die privilegiert werden sollten, da haben wir nur gesagt, ob das Sinn macht, was USA sagen. Plausibilitätsprüfung. Wir waren großzügig. Haben zum Teil auch gesagt, wir machen das rückwirkend. War Vertrauensverhältnis.
von Marschall: Also auf Treu und Glauben basiert? Keine weiteren Anstrengungen unternommen, Glaubwürdigkeit tiefer zu prüfen?
Ney: Kann man so sagen.
von Marschall: Unterschied der Tätigkeitsbereiche. Truppenbetreuung und Analytik. Haben sie sich nicht gefragt, was mit Analytik gemeint ist?
Ney: Waren Routineaufgaben, die weit unter meiner Ebene liefen. Lief in Referat 503. Wurde erst damit befasst, als wir Vertrauen ein stückweit verloren haben. Hatten keinen Anlass, näher zu prüfen. Haben vertraut, dass Verpflichtung zu Einhaltung deutschen Rechts auch eingehalten wird.
von Marschall: Genauer beschreiben: War einem damals klar, was die Privilegierung bedeutet oder warum die sinnvollerweise den Unternehmen eingeräumt wurde? Was sollte erleichtert werden?
Ney: Wurde erst im Sommer 2013 damit konfrontiert. War ein Lernprozess, zu sehen, was vorher lief. Als ich damit befasst war, habe ich von mir aus die Zügel angezogen. Wir haben versucht, Balance zu finden – enge Verbündete, großes Interesse der Bundesländer, die Truppen nicht zu reduzieren und auf anderer Seite Zügel anzuziehen, dass deutsches Recht eingehalten wird. Wollen wir durch die fünf Schritte sicherstellen.
von Marschall: Selbst, wenn sie skizziert haben, dass Fragen der Prüfung im Detail gar nicht möglich waren. Daher Einbindung der anderen wie BMI.
Ney: Wir sind AA, wir sind keine Innenbehörde und haben keine nachgeordneten Dienste. Möglichkeiten sind begrenzt, andere haben andere Möglichkeiten. Haben uns Januar 2014 nochmal mit Ländern hingesetzt. Wollten wissen, was auf sie zukommt. Länder haben gesagt, wir brauchen Klarheit zu Aufenthaltsrecht von nicht-privilegierten Firmen.
von Marschall: Heißt, Überprüfung auf breitere Schultern verteilt. Aber Verantwortung für Freigabe liegt bei ihnen?
Ney: Wir sind durchführendes Organ. Wir handeln für BRD nach außen. Ob wir das intern so machen, das ist Entscheidungsprozess innerhalb Bundesregierung. Deshalb andere einbezogen, um Verantwortung gemeinsam zu schultern.
von Marschall: Haben „Nihil Obstat“ genannt. Also wenn Auskunft der anderen Unbedenklichkeit signalisierte, dann Freigabe erteilt?
Ney: Haben wir vereinbart. Ressorts wollten nicht übliche Mitteilung eines StS machen. Könnten nur sagen, dass keine Erkenntnisse dagegen vorliegen. Entscheidungsprozess nicht von AA alleine, andere Behörden übernehmen Mitverantwortung.
von Marschall: Also Zeichnung bei AA nach Rückversicherung. Vorhin noch Länder-Zusammenarbeit angesprochen. In irgendeiner Weise vergewissert, ob Länder ihre Aufgaben sorgfältig durchgeführt haben?
Ney: Sitzung nach Mitte Januar 2014, Hintergrund: Vier Bundesländer Bayern, Baden-Württemberg, Hessen und Rheinland-Pfalz, die US-Truppen beherbergen, haben Kontrollbefugnisse gegenüber Angestellten der Firmen. Die Verbalnoten bilden aufenthaltsrechtliche Grundlage. Nachdem klar war, dass wir bis Anfang 2014 keine Privilegierungen mehr ausgesprochen haben, stieg die Anzahl Bediensteter, die keinen Aufenthaltungsstatus hatten. Bundesländer mussten tätig werden, haben Interesse, US-Mitarbeiter und Streitkräfte zu beherbergen. Haben sie dann informiert, wie es mit weiteren Privilegierungen vor sich geht.
von Marschall: Nochmal zu Analytik. Was für ein Spektrum damit gemeint?
Ney: Müsste ich in Akten Beispiele suchen. Oft Auswerter, Regionalexperten für Länder zum Beispiel in Afrika, Manager, Computerspezialisten, IT-Leute, Trainer, großes Spektrum.
von Marschall: Jedenfalls ihnen diesbezüglich kritische Tätigkeiten bekannt geworden?
Ney: Als wir nach langer Zeit wieder Privilegierungen aussprechen wollten (Dezember/Januar 2013/2014), da sehen sie, dass wir in einem Punkt vorgeschlagen haben, eine Privilegierung zu verweigern. Diese Vorlage wollte StS Braun von Fritsche mitgezeichnet haben. War schwierig zu erreichen. Dann haben wir gesagt, wir wollen Mitzeichner anderer Ressorts. An BMI, BMJ usw. geschrieben und um Mitzeichnung gebeten. BMJ hat gesagt, Zuständigkeit BMJ nicht betroffen. BMVg war bereit, BMI und Bundeskanzleramt waren nicht bereit.
Nach Weihnachten wieder aufgenommen. Zurückhaltung der anderen war Gegenstand weiterer Ressortbesprechungen. Aufgrund dessen weiteres Vorgehen in vier Schritten zusammengefasst. Wurden ab März 2014 eingeführt.
von Marschall: Aber abschließende Verantwortung bei ihnen?
Ney: Ja, sind das federführende Ressort.
von Marschall: Ist es so wichtig für Unternehmen, die Privilegierung zu haben? Geht ja nur um handelsrechtliche Aspekte. Kann man sich vorstellen, dass andere da ohne Privilegierung tätig sind. Unbenommen, andere US-Unternehmen sind in der BRD tätig.
Ney: Truppen haben Interesse daran. Zum einen wegen Privilegien. Zum Beispiel Zulassung einfacher. Ansonsten ist, hier ein Unternehmen aufzubauen, wahrscheinlich kompliziert. Das andere Wichtige ist das Aufenthaltsrecht. Das ist sonst komplizierter. Anreiz ist sehr, sehr groß.
von Marschall: Insofern kann man vielleicht sagen, dass Beschränkungen durch Prüfung auch ein Messgrad sind, dass Unternehmen sich nicht einen anderen Ausweg suchen.
Ney: Sind unsere engsten Verbündeten, die outsourcen wollen. Wir haben gesagt: „Wir unterstützen euch dabei.“ Wir wollen US-Truppen in Deutschland. Docper war nicht gegen USA gerichtet. Nicht darauf angelegt, USA Steine in den Weg zu legen. Umgekehrt. Erst nach 2013 gesagt, schauen wir mal genauer hin.
Warken: Rahmenvereinbarungen. Eine aus 2001. Erneuert 2013. Vorhin gesagt, dass man 2013 eine beratende Kommission revitalisiert habe. Hat man zwischen 2001 und 2013 die Kommission gar nicht hinzugezogen?
Ney: Als ich mit Verfahren zuerst befasst wurde im Sommer 2013 habe ich Notwendigkeit gesehen, sich mit USA an einen Tisch zu setzen und zu reden. Zum ersten Mal Grundlagen Docper angeschaut. Habe gesagt, Kommission ist der ideale Rahmen, sich zu Tisch zu setzen. Kann nicht aus eigener Kenntnis sagen, wie oft die vorher getagt hat. Mitarbeiter haben gesagt, sie hatte nur Randexistenz. Keine regelmäßigen treffen. Am 24. Januar 2014 hat mich US-Botschafter eingeladen. Habe ihm gedankt, habe vorgeschlagen, die Kommission zu nutzen. Er war aufgeschlossen.
Warken: Nochmal ausführen: Entschieden, ab 2013 andere Ressorts mit einzubinden. Sagten, es war notwenig, deren Expertise mit einzubeziehen. Was genau konnten die anderen mehr prüfen? Und was haben sie dann auch nochmal überprüft?
Ney: Völlig üblich, dass Abkommen unter Federführung des AA von anderen mitgetragen werden. Referat 501 prüft jeden Vertrag, den die Bundesregierung abschließt. Völlige Normalität. Zweiter Punkt: Einbeziehung der anderen Ressorts und Bundeskanzleramt war so, dass wir bei den vier Schritten – die sagen ganz deutlich, wie die einbezogen werden. Kann Erkenntnisse des BMI nicht einfach prüfen.
Warken: Habe hier Sprechzettel, wo festgehalten wird, dass man mit Fritsche besprechen soll, wie wichtig Einbeziehung der anderen ist. Da steht, bei Entscheidung eines Notenwechsels müssen AA alle Kenntnisse vorliegen. Wie war das vor 2013?
Ney: Schon ausgeführt. Bis 2013 Plausibilitätsprüfung. Haben vertraut auf Einhaltung deutschen Rechts. Haben US-Truppen unterstützen wollen. Wechsel kam mit der NSA-Affäre. Daraufhin gesagt: Wenn Unternehmen Privilegien haben wollen, schauen wir das ab jetzt anders an.
Fragerunde 2: Linke (16:41)
Renner: Bewertung: Ist es zulässig, VN auszuspähen?
Ney: Ist das Untersuchungsgegenstand?
Renner: Sie sind ja Jurist.
Ney: Aber nicht für alle Rechtsfragen auf der Welt. Konkretisieren!
Renner: Seit kurzem haben wir Wissen, dass BND der NSA in nichts nachsteht. Jetzt gehen da schon die Arme hoch.
Berkemeier: Zeuge ist nicht als Sachverständiger hier. Abstrakte Rechtsfragen müssen sie nicht beantworten.
Renner: Herrn Koch haben wir hier lange und ausführlich hören dürfen. Zu Fragen der CDU. Nehme ich zur Kenntnis, ist hier das Spiel. Ich dachte, für jemand, der bei VN gearbeitet hat, ist das vielleicht eine interessante Frage, ob der eigene ND die abgehört hat.
Ney: Wenn ich an Aussagegenehmigung erinnert werde, dann bitte respektieren.
War bei VN von 2007 bis 2010. Nicht Zeitraum, der zu Debatte steht.
Renner: Doch!
Ney: In meinem Zeitraum kam das Thema Überwachung nicht auf.
Berkemeier: Zeuge war nicht direkt bei den VN, sondern für Deutschland da.
Renner: Einsatz von bewaffneten Drohnen: Sie haben immer wieder auf Einzelfall abgestellt. Das ist sicherlich richtig. Was die Situation war, wer betroffen etc. Haben sie in ihrer Funktion mal Einzelfälle angesehen?
Ney: Auf welchen Fall spielen sie an?
Renner: Kann ich ja jetzt nicht wissen, mit was sie sich befasst haben.
Ney: Mit völkerrechtlicher Einordnung von Drohneneinsätzen abstrakt.
Renner: Haben wir ja schon gehört.
Ney: Aber nicht von mir.
Renner: Ich habe nur acht Minuten.
Ney: Mit spezifischen Einsätzen soweit ich mich erinnere nicht befasst.
Renner: Bünyamin E.?
Ney: War Gegenstand in Rechtsabteilung.
Renner: Ja, prima, da haben wir einen Fall.
Ney: Ist lange her, kann Einzelheiten nicht erinnern. Hatte 180 Mitarbeiter und zwölf Referate…
Renner: Kenne den Text bereits. Den Textbaustein können wir weglassen.
Ney: Ich verwahre mich dagegen, dass ich Textbausteine benutze. Ich kann mich an die einzelne Prüfung nicht erinnern.
Renner: Mich hätte interessiert, wie die Einzelfallbewertung aussieht. Können wir nicht, weil zu lange zurück.
[Dokument MAT A AA 3 2, Blatt 37] Nachang Jour Fixe 10. Juni 2013 „Angebliche von US-Streitkräfte geplante Einsätze. Haber wirkt auf Probleme mit Glaubwürdigkeit hin. … Bundeskanzleramt und BMVg plädieren dafür, Druck aus Parlament und Öffentlichkeit auszusitzen. Gibt zwei Lösungen: Indem man sich von USA Testat besorgt, dass Deutschland nichts damit zu tun hat oder das auszusitzen“
Kennen sie das auch aus dem AA?
Ney: Höre von Jour Fixe zum ersten Mal. Ist nicht meine Zuständigkeit.
Renner: Ist aus dem AA.
Ney: Habe mit politischen Entscheidungen in Rechtsabteilung nur sekundär etwas zu tun.
Renner: Habe sie gefragt, ob die Überlegungen auch im AA bekannt sind?
Ney: Mir nicht.
Renner: Die von ihnen eingangs vorgetragene Einschätzung, dass über Ramstein keine Drohneneinsätze gestartet und geführt wurden: Ist das auf Grundlage konkreter Untersuchungen zustande gekommen? Hat man sich das vor Ort angeguckt? Oder ist die Aussage aufgrund einer Zusicherung, wie man sie auch von den USA damals wollte? So als Leitsatz, nicht auf Grundlage einer Vor-Ort-Überprüfung? Wie kommen sie dazu?
Ney: Frau Renner, ich habe mit diesem Satz die Zusicherung der USA zitieren wollen. Müsste deren genauen Wortlaut prüfen. Ihre Frage verstehe ich nicht.
Renner: Sie machen sich den Satz zu eigen.
Ney: Habe nur gesagt, das war Zusage der USA. Wo ist die Frage?
Renner: Wie werden diese Zusagen überprüft?
Ney: Frage ist erstmal: Muss ich das überhaupt prüfen? Ihre Prämisse ist: USA machen etwas in Ramstein, dass per se völkerrechtswidrig ist. Dann muss man sich fragen, hat Bundesregierung Pflicht zu untersuchen, was da passiert.
Renner: Meiner Meinung nach hat das die Runde der StS gut zusammengefasst.
Ney: Nur wenn ich zu Ergebnis komme, alles, was in Ramstein passiert, ist völkerrechtswidrig, dann muss ich prüfen. In Abteilung 2 ist man nach Ramstein gefahren. Aber das ist nicht mein Dossier.
Renner: Aber bei einem einzelnen Fall mit Anfangsverdacht?
Ney: Muss erst genau wissen, worum es geht, um zu entscheiden, ob ich Prüfungspflicht habe.
Fragerunde 2: Union (16:56)
Warken: Inwiefern Aussagen der USA, dass sich an deutsches Recht gehalten wird, anzuzweifeln?
Ney: Erstmal schauen, ob Einsatz in Ramstein per se völkerrechtswidrig.
Erstens: Drohnen sind Trägersysteme und keine Waffen. Wie Flugzeuge, daher kein spezifisches Verbot. Was entscheidend ist, ist der Gebrauch.
Zweitens: Gebrauch von bewaffneten Drohnen kommt drauf an, ob in bewaffnetem Konflikt oder unter Friedensvölkerrecht. In bewaffnetem Konflikt gezieltes Töten zulässig, wenn Voraussetzungen erfüllt. Wenn kein bewaffneter Konflikt, dann gezielte Tötung nur in extremsten Ausnahmen möglich.
Drittens: Einsatz bewaffneter Drohne nur dann unzulässig, wenn vollständig automatisiert.
Heißt zweierlei: Per se völkerrechtswidrigen Einsatz von Drohnen gibt es nicht. Kommt auf die Umstände an.
Selbst wenn unterstellt, dass Ramstein eine Rolle bei Einsatz bewaffneter Drohnen spielt, ist nicht davon auszugehen, dass per se in Ramstein völkerrechtswidriges Tun vonstatten geht. Nur dann hätte die Bundesregierung eine Pflicht, herauszufinden, was in Ramstein passiert. Haben untersucht, ob Drohnen in Jemen völkerrechtsmäßig sein könnten. Haben gesagt, dass ja. Deshalb keine Pflicht, das zu untersuchen.
Warken: Auch keine Anhaltspunkte gehabt, dass in Ramstein etwas passiert, dass Prüfpflichten ausgelöst hätte? Fälle, wo es am Ende nicht zulässig gewesen wäre, sind nicht bekannt?
Ney: Nein, verweise auf VG Köln. Selbst wenn wir verpflichtet gewesen wären, hätte Bundesregierung durch Konsultationen das Nötige getan.
Warken: AFRICOM: Haben sie beziehungsweise ihre Abteilung Kontakt zu AFRICOM gehabt?
Ney: Soweit ich weiß nein. Durch Abteilung 2 und BMVg gepflegt.
Warken: Können sie auch nichts zu Hintergründen der Entscheidung 2007 sagen, für die Stationierung AFRICOM in Deutschland?
Ney: Nein, war damals auch in New York tätig.
Warken: Nach Presseberichten zentrale Rolle. SZ mit „Drohnentod aus Deutschland“. Zentrale Rolle, über jede Tötung wird in Stuttgart entschieden.
Wie bewerten sie diese Aussage? Schritte unternommen, das aufzuklären?
Ney: Gilt das gleiche wie für Ramstein. Per se ist völkerrechtswidriges Tun bei AFRICOM nicht zu belegen. Welche Kontakte es aus Abteilung 2 zu AFRICOM gab, kann ich nicht sagen.
Warken: Also selbst, wenn Berichterstattung zutreffend, dann nicht per se völkerrechtswidrig?
Ney: Was-wäre-wenn-Fragen kann ich hier nicht beantworten.
[Unterbrechung wegen namentlicher Abstimmung (17:04)
Geht weiter (17:47)]
Fragerunde 2: Grüne
Ströbele: Überlegungen zu Rechtslage, wir haben die tatsächlich Getöteten noch nicht genannt, zum Beispiel, ob da deutsche Staatsbürger dabei sind. Mal damit befasst? Was heißt das, wenn ein Deutscher dabei ist, wenn verdächtig oder nicht verdächtig? Damit befasst, insbesondere bei Bünyamin E.?
Ney: Bei bewaffneten Drohneneinsätzen?
Ströbele: Genau.
Ney: Wenn Deutsche betroffen, dann besondere Aufklärungsinteressen. Läuft in politischer Abteilung. Kommt bei Rechtsfrage wieder auf völkerrechtswidrig oder nicht an. Maßnahme kann völkerrechtsmäßig sein. Wenn kein bewaffneter Konflikt, dann nur in extremen Ausnahmen völkerrechtsmäßig. Wenn Deutscher betroffen, wird sich AA besonders dafür interessieren.
Ströbele: War ihre Abteilung konkret damit befasst?
Ney: Ja, Abteilung war befasst.
Ströbele: Und? Was konkret gemacht? Gutachten, Stellungnahme?
Ney: Konkreter Zeitpunkt?
Ströbele: Zum Beispiel 2010.
Ney: Kann ich jetzt nicht sagen.
Ströbele: Das ist ja nicht so häufig vorgekommen. Wenn Deutsche betroffen waren, …
Ney: … wurde das auch geprüft.
Ströbele: Mit welchem Ergebnis?
Ney: Kann ich jetzt nicht sagen.
Ströbele: So häufig wird das ja nicht vorgekommen sein. Zwei bis drei Mal nach meiner Kenntnis.
Ney: Sage ja, Prüfungen haben stattgefunden. Aber zu Ergebnissen und einzelnen Untersuchungen kann ich jetzt nach sechs Jahren nichts mehr sagen.
Ströbele: Wissen sie, ob aus Bundestag Anfragen gekommen sind? Und wenn sie das wissen, waren sie selbst damit befasst? Mit Beantwortung, rechtlicher Einschätzung? Zum Beispiel Anfragen von mir?
Ney: Möchte das nicht ausschließen und nehme das als wahrscheinlich an. Billigung der Endfassung wird auf UAL-Ebene gefällt. Billige Antwort nur dann, wenn StS darauf besteht oder Mitarbeiter auf meiner Entscheidung besteht.
Ströbele: Sie erzählen immer nur abstrakte Dinge.
Ney: Ich kann mich nach sechs Jahren nicht mehr erinnern.
Ströbele: Wissen sie, wie US-Regierung dazu Stellung genommen hat? Zu Frage, ob das mit Deutschland was zu tun hat, diese Drohneneinsätze? Drohnen können ja nicht festnehmen. Wenn die mit Waffen losziehen, können die ja nur töten.
Hat Präsident ihrer Kenntnis nach sich dazu geäußert?
Ney: Wir haben regelmäßige Kontakte unter Rechtsberatern. Bei Europaratsbefassungen und EU-US-Treffen regelmäßige Kontakte. Tauschen uns aus zu Fragen wie Drohnenpolitik.
Ströbele: Habe nach _ihnen_ gefragt. Waren sie selber damit befasst?
Ney: Mit US-Kollegen darüber selbst keine Gespräche geführt.
Fragerunde 3: Linke (17:57)
Renner: Mit wem aus USA ausgetauscht?
Ney: Amtierender oder Rechtsberater. Natürlich über Drohneneinsätze ausgetauscht.
Renner: Mit wem zu konkreten Fällen auseinandergesetz?
Ney: Welche?
Renner: Bünyamin E.
Ney: Damals noch nicht Rechtsberater.
Renner: Zu Drohneneinsätzen gegen Deutsche gesprochen?
Ney: Welche?
Renner: Ja, das frage ich sie.
Ney: Nicht über sowas gesprochen.
Renner: Tatsachenerhebung zu Drohnenfällen findet wie statt? Wer arbeitet AA zu? BND?
Ney: Länderreferatssache.
Renner: Der holt wie Erkundigung ein?
Ney: War da nicht tätig.
Renner: Aber sie brauchen Tatsachen, um zu beurteilen, ob Einsatz zum Beispiel in Wasiristan völkerrechtsmäßig war. Braucht man doch?
Ney: Ja.
Renner: Wie finden sie das raus?
Ney: Wir fragen Länderreferat.
Renner: An Prüfungen nicht beteiligt?
Ney: Machen Rechtspolitik. Werde befasst, wenns um politische Entscheidungen geht. Einzelfallprüfungen in den einzelnen Referaten.
Renner: Manchmal kommen da rechtspolitische Erwägungen zustande.
Ney: Kommt vor.
Frau Renner, müssen sich Rechtsabteilung als riesigen Laden vorstellen. Ist eine Management-Frage, wie ich das steuere. Wenn ich das einzeln prüfe, dann geht das nicht.
Renner: Hatten sie Kontakt mit BND in ihren Positionen?
Ney: Ja.
Renner: In welcher Form?
Ney: Als Leiter Rechtsabteilung Vertreter StS in ND-Lage, wenn beide StS nicht da. War immer wieder mal in ND-Lage.
Renner: Dann waren ja die Fragen vorhin gar nicht so hypothetisch. Wie oft passiert?
Ney: Zwischen zehn und zwanzig Mal.
Renner: Waren die hier genannten Komplexe auch Gegenstand der ND-Lage?
Ney: Sind inhaltliche Besprechungen der ND-Lage der Öffentlichkeit entzogen, Herr Vorsitzender?
Sensburg: Wenn über Nichtfunktionieren von XKeyscore gesprochen würde, dann wäre das Untersuchungsgegenstand.
Renner: Ich meine zu Drohnen und Docper.
Wolff: Inhalte ND-Lage definitiv eingestuft. Wenn überhaupt, dann nur NÖ.
Ney: Teilaspekt kann ich beantworten. Docper, vier Schritte, war Gegenstand am Rande der ND-Lage, glaube Ende Februar 2014.
Renner: Trifft sich mit Aktenlage.
Akten zu Docper diplomatisch abgefasst. Schimmert trotzdem Streit zwischen AA, BMI und Bundeskanzleramt durch. Ist mal thematisiert worden, ob Vorwürfe gegen Contractors, dass da kompromittierte Technik zum Einsatz kommt – Ist jemals von BMI Expertise beigetragen worden, welche Möglichkeiten die Firmen wirklich haben? Mal technisch Gefahren aufzeigen lassen? Wenn man die Firmen mit Datenverarbeitung tätig werden lässt?
Ney: Zu Streit: Würde ich verneinen. Mussten neues Verfahren konzipieren, wie nach Sommer 2013 innerhalb Ressorts damit umgehen. Dass andere Ressorts das nicht mit fliegenden Fahnen übernehmen, ist normal. Hat zwei Ressortbesprechungen bedurft, sich auf Verfahren zu einigen. Dann musste man das festklopfen.
Zu zweiter Frage: War im Verhältnis AA und BMI kein Diskussionsgegenstand, inwieweit BMI BfV mit Prüfungen beauftragt hat.
Fragerunde 3: Grüne (18:08)
Ströbele: Haben Snowden-Enthüllungen in Besprechung in ND-Lage eine Rolle gespielt?
Ney: Muss fragen, ob ich dazu was sagen darf.
Wolff: Inhalte ND-Lage nur NÖ.
Sensburg: In NÖ-Sitzung gegebenenfalls Antworten geben.
Ney: War nur sporadisch eingespannt. Kein Attraktiver zu Befragender zu ND-Lage.
Ströbele: Überhaupt mal in ihrer Gegenwart dazu gesprochen?
[Wolff rennt zu Zeuge.]
Ney: Nein. Und mir wurde erlaubt, das zu sagen. Ich will die Maßgabe der Aussagegenehmigung einhalten, ich will noch länger bei der BRD beschäftigt sein.
Ströbele: Fragenkatalog der Bundesregierung: In irgendeiner Weise damit befasst? Im Juli oder Juni 2013 an USA gerichtet.
Ney: Soweit ich mich erinnere nicht befasst.
Ströbele: Aber sie wissen von Katalog?
Ney: War Gegenstand von Unterhaltungen im AA.
Ströbele: Also, ob AA befasst war, wissen sie nicht – aber sie nicht?
Ney: Ob AA befasst war oder nicht übersteigt meine Fähigkeiten.
Ströbele: Mit welchen Fragen waren sie zu Snowden befasst beziehungsweise ihre Abteilung?
Ney: [guckt zu Wolff] Fragen einer möglichen Verhaftung, wenn Snowden eintreffen würde in Berlin. Fragen der Zusammenarbeit zwischen den Ressorts.
Ströbele: Ganz interessante Frage für Ausschuss: Was ist dazu besprochen worden, was passiert, wenn Snowden nach Deutschland kommt?
Sensburg: AA überlegt, ob es sich meldet…
Berkemeier: Fragen ausführlich in Rechtsgutachten thematisiert. Bitte Zeugen, inhaltliche Überlegungen hier nicht auszuführen. Ist eine uns allen bekannte Verfahrensfrage, die oft diskutiert wurde. Haben als Bundesregierung auch ausführlich Stellung genommen.
Ströbele: Ist ihnen bekannt, was Snowden vorgeworfen wurde?
Ney: Damit näher nicht befasst.
Ströbele: Ihre Rechtsabteilung?
Ney: Ging um Klärung von Zuständigkeiten innerhalb der Ressorts. BMI und BMJ damit befasst. Hatte keine Veranlassung, mich mit Details zu befassen.
Ströbele: Haben sie eine Strafrechtsabteilung?
Ney: Referat.
Sensburg: Bin nicht sicher, ob das Untersuchungsgegenstand ist.
Ströbele: Aber sie waren da eingebunden oder zumindest mental involviert.
Sensburg: Untersuchungsauftrag ist klar definiert. War auch nur ein Hinweis.
Ströbele: Möchte wissen, warum Bundesregierung immer noch nicht weiß, was Snowden vorgeworfen wird?
Sensburg: Aber das ist Teil einer Beratungssitzung, da hilft uns Dr. Ney nicht bei.
Ströbele: Vielleicht ja doch.
Akmann: Haben ihnen in Amtshilfe Rechtsgutachten vorgelegt, deshalb, weil nicht Untersuchungsgegenstand. Deshalb kann Zeuge hier nichts sagen.
Ströbele: Aber ist eminent wichtige Frage für Fortgang des NSA-Untersuchungsausschuss.
Sensburg: Da sind wir fast einer Meinung, aber ist nicht Untersuchungsgegenstand.
Ströbele: Aber ich stelle jetzt die Frage.
Ney: Wenn nicht Untersuchungsgegenstand, dann lässt meine Aussagegenehmigung eine Antwort nicht zu. Meine Antwort wäre auch nicht sehr ergiebig.
Ströbele: Können sie was dazu sagen?
Ney: Meine Antwort wäre nicht ergiebig. Ich will noch länger für die BRD arbeiten.
Notz: Die Bundesregierung schüchtert den Zeugen ein.
Sensburg: Fürs Protokoll: Die Bundesregierung schüchtert den Zeugen natürlich nicht ein. Der Ausschuss auch nicht.
Notz: Nach Snowden auch besonderer Blick auf Anzahl Mitarbeiter in US-Behörden geworfen worden. Erinnern sie das?
Ney: Ja.
Notz: Daran können sie sich erinnern?
Ney: Von anderen Teilen des AA. Nicht von meiner Rechtsabteilung.
Notz: Das war Thema?
Ney: Nicht in meiner Rechtsabteilung.
Notz: Das habe ich verstanden. Woher?
Ney: Man redet in der Kantine mit Kollegen über viele Dinge.
Notz: Ah, in der Kantine.
Ney: Ach… [gestikuliert]
Notz: Haben sie doch gesagt. Ist man da zu neuer Sichtweise zu Zulässigkeit von US-Botschaftsangehörigen gekommen?
Ney: Wurde nicht in meiner Abteilung besprochen und hat mich auch nicht weiter interessiert.
Notz: Sie haben daran vorbeigesteuert, ob sie was mitbekommen haben.
Ney: Nein, ich habe nicht vorbeigesteuert und ich nehme das sehr ernst. Ich habe gesagt, war Thema im AA. Aber weiter nicht in meiner Rechtsabteilung befasst.
Notz: Wissen sie, was das Problem bei der Frage war? Sagen sie nicht, das das nicht Thema in ihrer Abteilung war.
Ney: In nucleus: Nein.
Fragerunde 4: Linke
Renner: Akten zu Prüfung Drohnentote angelegt?
Ney: KA.
Renner: Wie wahrscheinlich?
Ney: Wenn Parlamentarische Fragen, bestimmt Akte angelegt.
Renner: In welchen Fällen legt man Akte an, wenn man völkerrechtswidrigen Einsatz prüft?
Ney: Kommt drauf an, ob Mail-Verkehr, mündlich, Akte.
Renner: Erinnerung, ob zum Thema Drohneneinsätze Schriftliches vorliegt?
Ney: Kann ich nicht beantworten.
Renner: Kann ich mir nicht vorstellen.
Ney: Sie unterschätzen, was es heißt, eine 180-Mann-Abteilung zu leiten. Ich weiß nicht, ob sie schonmal eine Abteilung der Größe zu leiten hatten.
Renner: Nein. Aber ich habe gesehen, was Veröffentlichungen über Drohnen für Betriebsamkeit in der Bundesregierung auslösen. Ich denke auch, dass das im AA dazu geführt hat, dass ein Blatt Papier vollgeschrieben wird. Da wird das Wording abgestimmt, was wissen wir, usw. Da wird doch auch die Rechtsabteilung beteiligt. Wenn man in Mode ist, in der SZ, im Spiegel, da wird man das doch gemerkt haben im AA. Können sie sich an Entwürfe von Sprechzetteln, Antworten auf Kleine Anfragen erinnern?
Ney: Wenn in Parlamentarische Anfrage gemündet, dann ist das in den Akten. Aus meiner Erinnerung kann ich das nicht bestätigen.
Fragerunde 4: Grüne
Ströbele: Was wissen sie über AFRICOM? Dass Kommandozentrale?
Ney: Ja. Das ist richtig.
Ströbele: Wissen sie, was für eine Aufgabe die hat? Bei Militärischem kommt man ja gleich auf sowas Schreckliches wie Krieg. Ist ihnen bekannt, dass von da aus Krieg geführt wird?
Ney: Bekannt, dass da Truppen sind, die Einsätze in Afrika machen. Als Leiter Rechtsabteilung keine Fragen zu lösen, die AFRICOM betroffen haben.
Ströbele: Nie mit rechtlichen Grundlagen für AFRICOM beschäftigt?
Ney: Weiß, welches Referat zuständig. Aber ob beschäftigt, KA.
Ströbele: Wissen sie, warum AFRICOM in Deutschland ist?
Ney: Nein.
Ströbele: Mal gehört, dass das zuerst in Afrika geplant war und afrikanische Staaten das abgelehnt haben?
Ney: Entzieht sich meiner Kenntnis.
Ströbele: Dass das Ausweichstelle war, weil man in Afrika keine gefunden hat?
Ney: Kann ich nicht kommentieren.
Ströbele: Jemals erfahren, bei welchen Einsätzen AFRICOM Rolle gespielt hat?
Ney: Entzieht sich meiner Kenntnis.
Ströbele: Wird das AA da überhaupt in Kenntnis gesetzt?
Ney: Ich bin nicht das AA.
Ströbele: Wer im AA dann, vielleicht können sie ja Kollegen benennen.
Ney: Sicherheitspolitische Abteilung.
Ströbele: Waren sie mal dort?
Ney: Nein.
Ströbele: Wenn sie von Commander gefragt würden, an wen er sich wenden soll: Wüssten sie nicht?
Ney: Ich würde sagen: Sicherheitspolitik.
Ströbele: In Zeitung stand, dass über AFRICOM Drohneneinsatz in irgendeiner Weise gesteuert werden soll. Bekannt?
Ney: Nein. Wenn sie eine solche Bandbreite an Themen zu beackern haben, dann sind sie froh, wenn Themen mal nicht bei ihnen landen.
Ströbele: Aber haben ja gesagt, dass Sommer 2013 Veränderung Verhältnis zu US-Unternehmen in Deutschland herbeigeführt hat. Ist ja nicht irgendwas, lag ihnen ja nicht ganz fern.
[Ende Befragung Ney (18:35)]
Zeugin 2: Christina Polzin, ehemalige Leiterin des Referats 601 im Bundeskanzleramt (18:44)
Christina Polzin, 43 inzwischen, Juristin, BMI.
Fragerunde 1: Union
Warken: Dokumentationspflichten. Haben beim ersten Mal gesagt, dass Dokupflichten bestehen. Wollen sie da nochmal was zu sagen, welche Anforderungen BVerfSchG stellt?
Polzin: Habe gesagt, dass BND Dokupflichten § 19 Abs. 3 BVerfSchG erfüllt. Weil Dokumentation vorhanden. Weniger Anforderungen als in Abs. 4 für Übermittlung an nicht-öffentliche ausländische Stellung. Dokumentationspflicht nach § 19 Abs. 3 stellt nicht so hohe Hürden auf, dass sie nicht durch pauschale Darstellung erfüllt werden könnte.
Reden nicht über Doku bei einzelnen Fällen. Erfordert § 19 Abs. 3 auch nicht.
Warken: Kenntnisse über Form der Doku des BND?
Polzin: Gehe davon aus, dass BND weiß, was er dort tut. Warum er welche Daten übermittelt. Das ist soweit ich weiß dokumentiert in Papieren. Sprechzettel, interne Papiere.
Warken: Also auch Protokolle gesammelt?
Polzin: Ob Protokolle, da habe ich keine genauen Kenntnisse.
Warken: Wissen sie, ob ins Bundeskanzleramt weitergemeldet wird?
Polzin: Weiß ich nicht genau. Denke, es bekommt Infos. Weiß aber nicht genau, was. Habe selbst sowas nicht bekommen und verlangt. Wusste, dass in Bad Aibling Kooperation mit USA stattfindet, daher persönlich Aufzeichnungen nicht in Erinnerung. Aber KA, ob an andere gegangen.
Warken: Ahnung, wie detailliert Aktenlage in BND ist?
Polzin: KA. Weiß nicht, ob detaillierter oder weniger. Stelle mir vor, dass man dargestellt hat, was Zweck der Kooperation ist, welche Daten übermittelt wurden.
Warken: Sie sagten: „Metadaten fallen bei Einzelgespräch schon sehr viele an. … Glaube, man kann §19 Abs. 3 trotzdem umsetzen.“
Welche Maßnahmen erforderlich, um § 19 Abs. 3 optimal zu erfüllen?
Polzin: Muss man diskutieren, wie hoch die rechtlichen Anforderungen wirklich sind. Meiner Meinung nach nicht so hoch, aber könnte man auch andere Ansichten vertreten. Ist hypothetische Diskussion. Wenn man sich vorhandene Fragen anguckt, kann man da für die Zukunft auch noch anders vorgehen. BND geht von Nicht-Dokumentationspflicht aus, weil Weltraumtheorie.
Warken: In § 19 Abs. 3 nicht an große Datenübermittlung gedacht. Gesetzgeberischer Handlungsbedarf?
Polzin: Auf jeden Fall. Diskussion hier zeigt das ja. Technischer Fortschritt ist so – ja, man sollte darüber nachdenken, solche Datenübertragungen zu ermöglichen. Nicht unterbinden.
Warken: Einzelfallprüfung für Metadatenweitergabe. Sie sagten: „Kann mir nicht vorstellen, dass Datenmengen Gültigkeit von §19 Abs. 3 einschränken…“
Näher erläutern. Was meint Dokumentation für Gruppen und Abschnitte?
Polzin: Pauschalere Darstellungen über Umfang, Art, Herkunft von Daten, die in Bad Aibling übermittelt werden. Zum Beispiel Strecken in Afghanistan, in Pakistan, in Somalia zum Zweck Terrorismusbekämpfung übermittelt. Solche allgemeinen Dokumentationen gemeint.
Ist immer möglich, dass man vor Ort zufälligen Einzelfall nimmt und guckt, ob datenschutzrechtliche Bestimmungen eingehalten werden. Sehe Pflicht zu Einzelfallprüfung nicht aufgrund §19 Abs. 3.
Warken: Auf Homepage Bundestag findet sich Aussage von ihnen, die ich nicht in Protokoll finde. „Gegenüber Geheimdienstkoordinator Heiß … das virtuelles Ausland nicht geht … Dokumentationspflicht gescheut.“
In Protokoll: „Warum Heiß Dokumentation nicht gewollt? Glaube nicht, dass er das nicht gewollt hat, sondern dass er keine Diksussion wollte.“
Polzin: Aussage auf Homepage so nicht zutreffend. Habe gesagt, dass Heiß Dokumentation nicht nicht wollte. Ging nicht darum, dass man Weltraumtheorie deshalb favorisiert hätte. Meiner Vermutung nach ging es darum, dass man rechtliche Diskussion um Hürden der Dokumentationspflicht nicht unbedingt auch noch führen wollte. Dokumentation an sich war nichts, was überhaupt Thema war oder Problem. Halte es für abwegig, dass Heiß oder Schindler Dokumentation nicht wollten. Dokumentation ist sowieso unabdingbar dafür, dass man es tut. Sonst kann man nichts tun, wenn man nicht weiß, was man tut. Unstreitig, dass es Darstellungen sowieso gibt.
Diskussion muss man nicht führen, wenn Weltraumtheorie. Heißt nicht, dass man was gegen Dokumentation hat.
Fragerunde 1: Linke (19:02)
Renner: Dokumentationspflicht auch erfüllt, wenn die Daten geschätzt werden?
Polzin: Was heißt geschätzt?
Renner: Wenn man Daten nicht zählt, sondern schätzt.
Polzin: Kann mir nur vorstellen, dass man da technische Vorgänge hat. Kann mir nicht vorstellen, dass geschätzt wird.
Renner: Was gehört zu Dokumentationspflicht? Art, Zeit, Menge?
Polzin: Herkunft der Daten, also Region und Strecke, Umfang. Kann auch in Blöcken von Zeiträumen geschehen, mit gewisser Pauschalität. Auch größere Mengen unter selber Zweckbestimmung ermittelbar.
Renner: Stiller Vorhalt von zwei Akten. Denken sie jeweils, dass Dokumentationspflicht erfüllt ist?
[MAT A BND 1 14, Ordner 311, Seite 189, Tagebuchnummer 110 15 und ???]
Können sie gerne erstmal angucken.
Haben sie Unterlagen schonmal gesehen?
Polzin: Diese zwei Seiten?
Renner: Kann der Kollege sagen.
Polzin: Wenn ich nach kurzem Draufschauen ohne Verstoß sagen soll: Das ist ungefähr, was ich mir vorgestellt habe. Stelle mir vor, dass man aufgrund der Darstellung verstehen kann und weiß, was passiert.
Renner: Für Vorlage an Rechts- und Fachaufsicht ausreichend?
Polzin: Schwer zu beurteilen. Müsste man noch schauen, ob noch Dinge fehlen würden für § 19 Abs. 3. Papiere gehen in Richtung, die ich mir vorgestellt habe.
Renner: Letztes Mal viel über Dokumentationspflicht zu Metadaten gesprochen. Wie ist ihre Antwort zu Rohdaten? Auch Dokumentationspflicht nach § 19 Abs. 3?
Polzin: Weiß nicht ganz genau, auf welchen Unterschied sie hinauswollen? Rohdaten versus Metadaten?
Renner: Rohdaten inklusive Metadaten. Ob Anforderung für Metadaten auch für Rohdaten gilt?
Polzin: Gilt für Metadaten, die in Bad Aibling übermittelt werden.
Renner: Darf man denn Rohdaten übermitteln?
Polzin: Kann ich hier nicht beantworten. Kann nur sagen, dass Metadaten in Bad Aibling bestimmte Anforderungen erfüllen müssen.
Fragerunde 1: SPD (19:10)
Flisek: Hörte sich so an, als hätte man wegen Weltraumtheorie keine Diskussionen geführt. Finde Weltraumtheorie kühne Auslegungsleistung. Kommt man nur drauf, wenn man gewisse Motivation hat. Unterstelle Mitarbeitern, dass sie erstmal in Gesetz reinschauen. Er wenn sie dann nicht klarkommen, dann erfindet man sowas wie eine Weltraumtheorie. Könnte Problem bei § 19 Abs. 3 darin liegen, dass „Übermittlung unterbleibt, wenn überwiegende schützwürdige Interessen dagegenstehen“?
Kann man bei Metadaten diese Würdigung überhaupt vornehmen? Wenn nicht, dann deshalb Weltraumtheorie?
Polzin: Kann Belange durch Filterung berücksichtigen. Muss man draufschauen, wo die Hürden sind. Mit Weltraumtheorie musste man sich zunächst nicht juristischen Diskussionen stellen. Bedeutet, dass man in einer politisch aufgeheizten Situation diese Diskussion nicht führen musste.
Flisek: Alle Metadaten personenbezogen?
Polzin: Nein, auf keinen Fall.
Flisek: Würdigung kann ich dann nur vornehmen, wenn Metadaten personenbeziehbar?
Polzin: Ja.
Flisek: Wenn ich Würdigung nicht anstellen kann, dann scheidet § 19 Abs. 3 aus.
Polzin: Wenn keine personenbeziehbaren Daten, dann auch keine Verletzung der Belange Betroffener.
Flisek: Wenn es Metadaten mit Personenbezug gibt, aber der Übermittelnde den Bezug nicht herstellen kann: Ist das dann kein Problem? Wo sie als Übermittlungsstelle Bezug nicht herstellen können?
Polzin: Wenn Personenbeziehbarkeit nur in Zusammenhang mit anderen Daten ermittlelt werden könnte.
Flisek: Sie sehen Weltraumtheorie als Abkürzung, damit man sich nervigen Diskussionen nicht stellen musste?
Polzin: So in etwa.
Flisek: Ist da mal drüber diskutiert worden, dass Weltraumtheorie auch erhebliches politisches Risiko ist?
Polzin: Ja, trotzdem ist Entscheidung gewesen, wie sie war.
Flisek: Nochmal allgemein: Außer Eikonal, Bad Aibling und dem berühmten Glo: Weitere Projekt mit Five Eyes, wo viele Daten übermittelt wurden?
Polzin: Nicht bekannt.
Flisek: Zusammenarbeit mit G‑10-Kommission. Sie haben mitgeteilt, dass sie das Verhältnis als gut und vertrauensvoll bezeichnet haben.
Polzin: Ja.
Flisek: Wenn G‑10-Anträge gestellt wurden: War es Kommission klar, dass BND auch Routineverkehre nutzt?
Polzin: Kann nicht sagen, was klar war und nicht.
Flisek: Hat Kommission mal Fragen dazu gestellt?
Wolff: Grundsätzlich Inhalte G‑10-Kommission geheim. Wenn konkret: NÖ.
Flisek: Vorwurf steht im Raum, dass „hinter die Fichte geführt“ wurde.
Im Rahmen Zusammenarbeit mal gesagt worden: „G‑10-Anordnung. Da fallen Routineverkehre an. Was macht ihr damit?“
Polzin: Gemeint mit vertrauensvoller Zusammenarbeit ist gutes Verhältnis zwischen zuständigen Kollegen im Bundeskanzleramt, BND, G‑10-Kommission, Sekretariat. Fußte darauf, dass BND in G‑10-Kommission immer gut vorbereitet war. Kommission sagte, sie fühlte sich gut informiert.
Flisek: Das war jetzt der Werbeblock. Aber nochmal zu Routineverkehr. Frage: Wurde das Thema Routineverkehre überhaupt mal thematisiert?
Polzin: Es war auch Thema, dass außer G‑10 auch Aufklärung passiert.
Flisek: Hat man gesagt, ein paar Routineverkehre: Abfallprodukte. Auch mal diskutiert, dass sich das Verhältnis auch mal umdrehen kann?
G‑10-Kommission klagt jetzt. Ist das eher eine beleidigte Leberwurst oder denken sie, die haben Recht, wenn sie klagen?
Polzin: Hat natürlich Klärungsbedarf. Wird sicher auch geklärt werden.
Flisek: In Rückschau: Würden sie sagen, dass die jetzt so entrüstet sind, das ist nachvollziehbar? Das hätten die gar nicht wissen können? Oder sagen sie: Selber Schuld, dass die nicht gefragt haben?
Polzin: Weder noch. Kommission hat sich entschlossen, zu klagen. Steht mir nicht zu, zu sagen, ob ich das gut oder schlecht finde.
Flisek: Geht darum, dass ich sie bitte, das zu beurteilen. Ist nicht die Frage, ob ihnen das zusteht. Ich frage sie. Können sagen, ich habe dazu keine Wahrnehmung gemacht oder kann das nachvollziehen.
Polzin: Kann nicht jetzt Urteil fällen, ob ich das verstehe oder nicht. Für Kommission so, dass es in Rückschau nicht gereicht hat. Wenn geklagt wird, weil man fühlt, dass man in Rechten verletzt wird, dann muss man das tun.
Flisek: Zitat Uhrlau: „Haben bei den Anordnungen an G‑10-Kommission … Das, was nicht gefiltert wird, ist Routineverkehr und wird auch genutzt…War G‑10-Kommission immer gegenwärtig.“
Urteil?
Polzin: Möglich, kann ich nicht abschließend beurteilen. Müssen Mitglieder G‑10-Kommission sagen.
Flisek: Eigene Wahrnehmung?
Polzin: War klar, dass es Erfasssungen außerhalb von G‑10 gibt. Aber wie konkret, KA.
Flisek: Welche Vorkehrungen in Bundeskanzleramt wurden getroffen für Vorgänge besonderer Bedeutung, dass die unverzüglich gemeldet werden?
Polzin: Mein Referat nicht dafür zuständig.
Flisek: Nicht zuständig lasse ich nicht ganz durchgehen. Heißt nicht, dass sie dazu nix sagen können. Haben sie Eindrücke außerhalb ihrer Rolle als Zeugin?
Fragerunde 1: Grüne
Ströbele: Glauben sie mit § 19 Abs. 3 sind Millionen Metadaten gemeint? Um zu entscheiden, muss man doch alle Daten zur Kenntnis nehmen. Hier steht auch, man muss das aktenkundig machen. Ist das gemeint, wenn es um Millionen geht?
Polzin: Gestehe gern zu, dass auch meiner Meinung nach Gesetzgeber bei § 19 Abs. 3 nicht an so viele Daten gedacht hat. Daraus folgt aber nicht, dass Norm nicht anwendbar. Glaube, Voraussetzungen können auch bei großen Mengen angewendet werden kann. So wie sie sagen, wäre das nur für Einzelübertragungen möglich.
Glaube, dass bei Übermittlung großer Datenmengen Schutzzwecke erfüllbar.
Ströbele: Sie wissen doch gar nicht, was sie übermitteln! Können bei Millionen nichtmal wissen, wie viel personenbezogene Daten drin sind. Macht das dann Sinn, die aktenkundig zu machen? Haben am Anfang gesagt, sie haben die nie gesehen, wie haben sie sich die Akte vorgestellt?
Polzin: So, dass es entweder textliche Darstellung gibt, was gemacht wird. Dann, dass bezeichnet wird, wo Daten herkommen. Und dass aufgeschrieben wird, in welchem Unmfang Daten übermittelt werden. Deshalb auch Probleme mit der Schätzfrage.
Ströbele: Aber nie eine einzige Dokumentation angeguckt?
Polzin: Habe vorhin ja Unterlagen gesehen. Sind nah an dem, was ich mir vorgestellt habe.
Ströbele: Ist doch mehr Statistik.
Polzin: Kann ja auch eine Statistik sein. Kann daraus schließen, welche Regionen interessant sind zum Beispiel.
Ströbele: Dann sind davon, von der Million, mindestens 500.000 betroffen. Man kann ja noch nach .de gucken, ob deutscher Staatsbürger. Das ist ein Witz.
Stimmts vielleicht doch, dass man das gar nicht gemacht hat?
Polzin: Was?
Ströbele: Aktenkundig gemacht. Mal nachgeguckt, wie häufig aktenkundig gemacht?
Polzin: Nein, bin davon ausgegangen, dass das dargestellt wird. Unterlagen haben viel damit zu tun, was ich mir vorgestellt habe.
Ströbele: Hat doch mit Sinn der Dokumentation nichts zu tun.
Polzin: Weiß ich nicht. Es steht in Absatz 4, es ist ein Nachweis zu führen, zu sichern, zu löschen und zu informieren. Absatz 3 hat nicht so hohe Anforderungen. Hier können pauschalere Prüfungen zulässig sein.
Ströbele: Mal mit Datenschutzbeauftragter Kontakt aufgenommen?
Polzin: Nein, weil Weltraumtheorie. Gab keinen Anlass, meine Theorie weiter zu diskutieren.
Ströbele: Wissen sie, ob BfDI sich mal damit befasst hat?
Polzin: KA.
Ströbele: Ob der das ähnlich sieht?
Polzin: KA, kann mir vieles vorstellen. Kann über vieles diskutieren und streiten.
Fragerunde 2: Linke (19:40)
Renner: Bei Dokumentation Ausweispflicht, wenn Daten von deutschen Bürgern betroffen?
Polzin: Die werden ausgefiltert. Und wenn weitergeleitet an AND, dann andere Voraussetzungen.
Renner: Das ist die Theorie.
Polzin: Das ist die Rechtslage.
Renner: Aber Filter haben nicht zu hundert Prozent funktioniert, .com-Adresse, türkische SIM-Karte,…
Polzin: BND hat immer versucht, Filter zu verbessern. G‑10-Daten werden auf Grundlage G‑10 übermittelt. Andere Daten außerhalb G‑10.
Renner: Wenn bei Übermittlung G‑10-Daten auffallen würden, müsste das dokumentiert werden und an wen würde Dokumentation gehen?
Polzin: Kann ich mir nicht richtig vorstellen. Also: Nehmen sie an, Filter hätte nicht funktioniert?
Renner: Ja, stellen sie sich vor, die Daten wären übermittelt worden. Wen müsste man dann informieren, dass G‑10-Daten vorhanden sind? Auf welcher Ebene muss die Information innerhalb Behörde gesteuert werden und man auch G‑10-Kommission informieren?
Polzin: Muss im BND geprüft werden, mit Rechtsreferat. Diskutieren, wie Verfahren in Zukunft besser regeln. Ob G‑10-Kommission informiert werden muss wäre abhängig vom Einzelfall.
Renner: Von was abhängig? Wann G‑10-Kommission?
Polzin: Wenn sie gewisse Relevanz haben. Fälle, wo etwas passiert ist, was den Bereich der G‑10-Kommission im Kern betrifft. Kenne keine Fälle, ist für mich abstraktes Feld.
Renner: Für uns nicht. Im Zeitalter des Internets war es nicht möglich, Daten ausreichend zu filtern. Ist unabhängig davon, ob Person Bäcker, Abgeordneter oder Journalist ist: Bleibt ein Grundrechtseingriff. Muss G‑10-Kommission nicht immer informiert werden?
Polzin: Schwer zu sagen. Müsste man schaun, welche Auswirkung die Fälle haben könnten. Schwer einzuschätzen, ob geprüft werden muss.
Renner: Wenn man zum Beispiel Mailadresse ohne eindeutigen Deutschlandbezug hat, mit Telefon im Ausland telefoniert, Messenger ohne Länderbezug. Man merkt das immer, wenn Inhaltsdaten auftauchen, die zeigen, dass Bundesbürger betroffen. Muss man da nicht G‑10-Kommission und Betroffene informieren?
Polzin: Mir sind solche Fälle nicht bekannt, kann mir da spontan keine Meinung zu bilden.
Renner: Würden sie sagen, die Unterlagen vorhin müssten für alle Jahre vorliegen?
Polzin: Müssen sicher nicht ewig aufgehoben werden.
Renner: Welcher Zeitraum?
Polzin: KA, vielleicht reicht auch ein Jahr. Für gewisse Zeit Rückschau nachvollziehen. Ergibt sich meiner Meinung nach keine Frist aus § 19 Abs. 3. § 19 Abs. 4 sagt am Ende des Kalenderjahres, könnte Anhaltspunkt sein.
Renner: Wenn man sowas zuerst 2013 anlegt, wie ist das zu bewerten?
Polzin: Sind dann wahrscheinlich nicht mehr vorhanden.
Renner: Und wenn man das erst seit 2013 macht?
Polzin: Kann mir nicht vorstellen, dass man nicht weiß, was man tut. Muss doch wissen, was wo hin geht etc.
Renner: Wenn man es wissen will, ja. Und wenn man erst seit 2013 dokumentiert, was würde das für Rechts- und Fachaufsicht bedeuten?
Polzin: Kommt drauf an, was man unter Dokumentationspflicht versteht.
Renner: Nein, wenn die Listen erst seit 2013 bestehen.
Polzin: Bin keine Technikerin, aber kann mir nicht vorstellen, dass man eine Anlage betreibt, ohne zu wissen, was da passiert.
Fragerunde 2: Grüne
Notz: Was war in Metadatenausleitungen drin?
Polzin: IP-Adressen, Zeiten, …
Notz: Können sie Strecken nennen?
Polzin: Kann ich nicht.
Notz: Anzahl Minderjähriger?
Polzin: Würde sie doch überraschen, wenn ich das könnte.
Notz: Ja. Müssten sie aber prüfen.
Können sie mir sagen, wie viele Betroffene Opfer von Drohnentötungen wurden?
Polzin: Nein.
Notz: Warum?
Polzin: Da gibts viele Gründe für.
Notz: Entweder sie dokumentieren oder nicht. Wo sind diese Dokumentationen?
Polzin: In § 19 Abs. 3 steht nichts von Drohnenopfern oder Minderjährigen.
Notz: Aber sie müssen das prüfen. Was haben sie G‑10-Kommission explizit gesagt?
Polzin: Hat Kontrollbesuche in Bad Aibling durchgeführt.
Notz: Was gesagt?
Polzin: Dass solche Erfassungen stattfinden.
Notz: Solche Erfassungen? Dass sie Routineverkehre an NSA ausleiten?
Polzin: Was da passiert.
Notz: Wusste G‑10-Kommission, dass sie milliardenfach Routineverkehre an NSA gegeben haben?
Polzin: KA. Ich habe denen gar nichts erzählt.
Notz: Das Bundeskanzleramt?
Polzin: Kann mich erinnern, dass G‑10-Kommission erklärt wurde, was passiert. In welcher Zuspitzung KA.
Notz: Gab es einen Grund, die G‑10-Kommission nicht umfassend zu informieren?
Polzin: Weiß gar nicht, ob man das nicht gemacht hat.
Notz: Wann zum ersten Mal von Weltraumtheorie gehört?
Polzin: Als wir Kurzgutachten von BND bekommen haben. August 2013 wenn ich mich richtig erinnere.
Notz: Nach Snowden?
Polzin: Ja.
Notz: Da hat man Weltraumtheorie hervorgebracht?
Polzin: Zumindest habe ich zum ersten Mal davon erfahren.
Notz: Wer hat sich das ausgedacht?
Polzin: In Kurzgutachten gelesen. Wer das war, KA.
Notz: Vor welchem Hintergrund? Nach Snowden kommt BND und erzählt völlig neue Rechtsgrundlage. Können sie den Hintergrund dieser peinlichen Rechtsauffassung erklären? Was ist Logik dahinter? Da haben sie doch bestimmt oft drüber nachgedacht?
Polzin: Ja, denke, man wollte all die Diskussionen umschiffen. Diesen juristischen Austausch. Braucht man mit Weltraumtheorie nicht.
Notz: G‑10-Kommission über XKeyscore in Bad Aibling informiert?
Polzin: Keine Erinnerung.
Notz: Warum nicht erzählt?
Polzin: Weiß nicht, ob ja oder nein.
Notz: Gab MoA, alles ist so geheim, dass wir mit Akten nicht umgehen können. So verrückt geheim ist das. Wenn sie sowas auf die Schiene setzen, dann informieren sie nicht G‑10-Kommission. Wie kommt Bundeskanzleramt dazu, nicht zu informieren?
Polzin: Mein Referat war nicht zuständig.
Notz: Ich sage nicht, sie sind verantwortlich. Nur: Wie es dazu kommen konnte.
Polzin: Nein, lag nicht in meiner Zuständigkeit.
Notz: Aber die rechtlichen Hintergründe.
Polzin: Ja, aber…
Wolff: Wichtig, über welchen Zeitpunkt wir reden. Reden vielleicht aneinander vorbei.
Notz: Nein, die Sünden der Vergangenheit sind nach Snowden im Bundeskanzleramt aufgeschlagen. Wird doch Gegenstand der Diskussion gewesen sein. Wirklich keine Erinnerung?
Polzin: Ja.
Notz: Aber über Weltraumtheorie geredet?
Polzin: Ja.
Notz: Mit wem?
Polzin: Heiß, Schindler. Hat sich ja durchgesetzt.
Notz: Weil Schindler und Heiß die so vertreten haben?
Polzin: Ja.
Notz: Kann es sein, dass sie angesichts der Praxis zu Ergebnis gekommen sind, dass Vorgesetzte gesagt haben: „Das können wir auf keinen Fall vertreten.“
Polzin: Glaube, nicht so tief diskutiert. Weltraumtheorie genommen, weil vertretbar erschienen.
Notz: Aussage von ihnen, die ich schwer nachvollziehen kann. Wenn sie sagen, Dokumentation wäre erfolgt: Warum haben wir nur Dokus von weitergeleiteten Daten nach Snowden? Wie geht das zusammen?
Polzin: Kann ich nicht abschließend beurteilen. Meiner Meinung nach muss man Dinge nicht jahrelang aufbewahren.
Notz: Aber zufällig beginnt das ab August 2013. Wo finde ich die Dokumentation im Bundeskanzleramt? Es sind Milliarden Metadaten monatlich weitergeleitet worden. Das wüsste ich gern. Solange das nicht in Akten ist, glaube ich, dass man sich zu Zeitpunkt Snowden Dinge ausgedacht hat.
Mai 2013: Wie viele Metadaten über welche Strecken? Wo finde ich das?
Polzin: Kann ich nicht sagen. Aber Akten haben vorhin dargestellt, was passiert ist.
Notz: Nach Snowden.
Polzin: Müssen sich ja vielleicht nicht mehr finden.
Notz: In Hinblick auf Datenweiterleitung: Muss Dokumentation nach dem Gesetz erforderlich sein?
Polzin: Nein, § 19 Abs. 3 sagt: nach gesetzlichen Voraussetzungen.
Notz: „BfV darf an ausländische Stellen übermitteln, wenn zur Aufgabenerfüllung erforderlich.“
Bei den Milliarden Metadaten: Warum war das erforderlich?
Polzin: Weil BND Kooperation mit NSA hat. Weil Partner im ND-Kontext. Weil NSA Daten benötigte für ihre Aufgaben im ND-Bereich.
Notz: Sie argumentieren Erforderlichkeit in Hinblick auf Kooperationsinteressen. Könnte argumentieren, dass, wenn BND per MoA verabredet hätte, Merkeldaten auszuleiten, dann wäre das auch erforderlich. Aber glaube, Gesetz meint, dass jedes einzelne Datum erforderlich sein muss. Sonst könnte man alle möglichen Erforderlichkeiten konstruieren. Wie kann man bei pauschaler Ausleitung von Metadaten konstruieren, dass da Erforderlichkeit ist?
Polzin: MoA kann nicht alleinige Grundlage sein, sondern § 19 Abs. 3. Dass so viele Daten übermittelt werden – Norm war nicht für Masse gemacht. Einzelfallprüfung ergibt sich aber nicht aus Wortlaut. Daher kann man Norm auch durch pauschalere Prüfungen erfüllen.
Notz: Also in diesem grundrechtssensiblem Bereich – vor Hintergrund deutscher Geschichte – da sagen sie: Passt nicht, wir machen es passend? Wenn man das heranzieht, muss man doch zumindest PKGr informieren. Denn Gesetzgeber hat das anders gemeint. Nicht, dass man Milliarden Daten von Unverdächtigen ausleitet. Bei solcher Rechtsfortentwicklung von BND und Bundeskanzleramt, da beteiligen sie nichtmal Kontrollgremium. Frage mich: Warum eigentlich?
Polzin: Habe keine Antwort. War nicht zuständig.
Notz: Aus Akten geht hervor, dass man dachte, G‑10-Kommission würde nein sagen.
Polzin: Jetzt reden sie wieder von G‑10-Kommission.
Notz: Oder dem PKGr, haben sies denen gesagt?
Polzin: Ich war nicht zuständig.
Notz: Man kommt zu Ergebnis, – na, mal andersrum: Würden sie das heute wieder so machen?
Polzin: Hatte doch andere Rechtsauffassung.
Notz: Aber haben das doch abgesegnet?
Polzin: Was, Weltraumtheorie?
Notz: Nein. Die haben sie auch irgendwann akzeptiert.
Polzin: Ja, sicher.
Notz: Aber sie haben das Prozedere vorher begleitet.
Polzin: Datenübermittlung in Bad Aibling?
Notz: Ja.
Polzin: Hatte vor Snowden keinen Anlass, Datenübermittlung in Bad Aibling zu prüfen und zu hinterfragen.
Notz: Sie waren Rechts- und Fachaufsicht. Was machen sie, wenn sie die Verfahren nicht prüfen?
Polzin: Wir hatten keinen Anlass.
Notz: Wussten sie, was in Bad Aibling passiert?
Polzin: In allgemeiner Form.
Notz: Und Problem erst durch Snowden aufgeschlagen?
Polzin: Richtig.
Notz: In Rückschau: Würden sie sagen, alles ist korrekt gelaufen?
Polzin: Wenn wir vor Snowden was gewusst hätten, hätten wir uns auch früher damit beschäftigt.
Notz: Ohne Snowden würde das immer weiterlaufen?
Polzin: Hätten wir vielleicht andere Aufhänger gehabt.
Notz: Das ist hypothetisch.
Polzin: Das ist alles hypothetisch
Fragerunde 3: Linke (20:16)
Renner: Weltraumtheorie: Warum wird das zum Schluss von Bundeskanzleramt durchgedrückt? Hätte erwartet, das wird vom BND durchgedrückt. Warum aber Rechts- und Fachaufsicht?
Polzin: Zu konkreten Motiven kann ich nur anregen, mit Heiß selbst zu reden.Vermute weiterhin, dass man es für unnötig hielt, sich juristischen Diskussionen zu stellen. Aber müssen sie die Personen fragen.
Renner: Über Motive nie gesprochen?
Polzin: Nein.
Renner: Abstrakte Diskussion?
Polzin: Nein, nur rechtliche Argumente ausgetauscht. Gibt ja auch Argumente für Weltraumtheorie, auch wenn ich die nicht teile.
Renner: Wirklich rein abstrakt? Nicht über politische Notwendigkeit gesprochen?
Polzin: Gab keine politische Notwendigkeit. Habe gesagt, hätte es für klüger gehalten, Weltraumtheorie nicht anzuwenden. Vielleicht wäre es auch nicht klüger gewesen.
Renner:
Polzin:
Fragerunde 3: Grüne
Notz: Was vor Snowden über Bad Aibling gewusst?
Polzin: Strecken im Ausland, Terrorismus, etc.
Notz: Wussten sie von Menge?
Polzin: Nein, nicht konkret.
Notz: Wussten sie, dass konkrete Streckenausleitung?
Polzin: Kann nicht auseinanderhalten, was vor und nach Snowden.
Notz: Selektoren vor Snowden gehört?
Polzin: Nein.
Notz: Wann dann?
Polzin: Glaube, erst nach Presseberichten.
Notz: Wann?
Polzin: KA, wann genau.
Notz: Wussten sie, dass BND NSA-Selektoren nutzt?
Polzin: Aus Presse.
Notz: Finden sie das in Nachschau problematisch?
Polzin: Würde mir sicher wünschen, dass man mit mehr Personal mehr Kenntnisse haben könnte. Details ansehen, sicher. Habe schon gesagt, dass nur weniger Mitarbeiter in Abteilung 6. Mussten uns auf bestimmte Dinge konzentrieren. Konnten nicht gesamtes Handeln prüfen.
Notz: Leuchtet mir ein. Aber kann ja sehen, dass Selektoren eine der relevanten Fragen sind.
Polzin: Soweit ich mich erinnere war das kein aktives Wissen, das ich hatte.
Notz: Zu Weltraumtheorie: Haben gesagt, primär mit Heiß und Schindler diskutiert. Auch mit Pofalla?
Polzin: Durch mich nicht. Rest: KA.
Notz: „Durch sie“ heißt was?
Polzin: Keine persönlichen Besprechungen mit Pofalla in der Zeit.
Notz: Wenn nicht anwesend bei Treffen: Gibt es Weisungen, wie Pofalla sich zu Weltraumtheorie verhalten hat?
Polzin: An Konkretes kann ich mich nicht erinnern. Nach Besprechung mit Heiß und Schindler nicht über weitere Gespräche informiert.
Notz: Können auch Heiß und Schindler ohne Pofalla Weltraumtheorie etablieren? Ohne Zustimmung Chef-BK?
Polzin: Läge nahe, dass Pofalla eingebunden. Aber ob: KA.
Notz: [Dokument MAT A BK 1 6b, Blatt 433] Besprechung vor Kontrollbesuch BfDI in Bad Aibling, waren viele anwesend.
Ergebnisse: „Dr. F. führt aus: BND wird bei Besuch Standpunkt vertreten, dass bei Satellitenerfassung BND-Gesetz keine Anwendung findet (Weltraumtheorie). Linie wird auch von Bundeskanzleramt Abteilung 6 und Hausleitung vertreten.“
Hausleitung wäre Pofalla?
Polzin: Hätte Pofalla dazugehört. Vermutung, dass Weltraumtheorie für diesen Kontrollbesuch da war, kann ich nicht teilen. Zielte nicht auf den Besuch.
Notz: Aber Ergebnisprotokoll hält vor allem diesen Punkt fest.
Polzin: Wundert mich nicht. BND-Datenschutzbeauftragter fand Weltraumtheorie auch nicht gut. Deshalb Thema, über das geredet wurde. Nachdem Bundeskanzleramt sich positioniert hat, war klar, dass das BfDI gegenüber vertreten wird.
Notz: Heißt das, dass Hausleitung das wusste, dass auch Bundeskanzlerin das wusste?
Polzin: Nicht klar abzuleiten.
Notz: Aber könnte sein.
Polzin: Reine Spekulation.
Notz: Naja. Ich les nochmal ganz kurz: „Für den Fall, dass BfDI Linie nicht trägt, soll deutlich gemacht werden, dass trotzdem datenschutzrechtliche Vorgaben bei Übermittlung an USA getroffen werden.“
Das ist mehr so ihre Linie.
Polzin: Finde da nichts verwunderlich.
Notz: Was könnten das für Maßnahmen gewesen sein?
Polzin: Zum Beispiel Filterung. G‑10-Filter helfen bei der Frage, ob Grundrechtsträger darunter sind.
Notz: Aber spielt für Datenweiterleitung nach BND-Gesetz keine Rolle. Da steht nicht, dass das nur um Grundrechtsträger geht.
Polzin: Verstehe Frage nicht.
Notz: Gehe davon aus, dass man wusste, dass man schwachen rechtlichen Punkt hatte.
Fragerunde 3: Union (20:31)
Sensburg: Wie von Weltraumtheorie in Kurzgutachten erfahren?
Polzin: KA, Mail.
Sensburg: Waren sie in BND-Mailverteiler?
Polzin: KA.
Sensburg: Kann es sein, dass sie nur in Cc waren und dass die an jemanden in Abteilung 1 ging?
Polzin: Weiß ich nicht mehr. Ist ja aus Akten bestimmt leicht erkennbar.
Sensburg: Auch an Referat 601. Interessant. Frage mich: Haben sie gesagt, das guck ich mir an? Wie Information bewertet?
Polzin: Wichtig und dringlich. Nach Snowden war Frage der rechtlichen Bewertung wichtig und virulent. Habe Frage als prioritär bewertet.
Sensburg: Wer hat Rechtsmeinung erstellt? Wer besitzt die klasse juristische Expertise?
Polzin: Soweit ich mich erinnere damaliger Leiter Leitungsstab. KA, wer noch mitgewirkt. Kenne interne Abläufe nicht.
Sensburg: Was nach Mail veranlasst?
Polzin: Soweit ich mich erinnere mit Kollegen in Referat abgesprochen. Drübergebeugt und am nächsten Tag – glaube, es kam abends – zusammengesetzt und Meinung gebildet.
Sensburg: Ok.
Polzin: Dann Meinung gebildet, entsprach nicht der von AL.
Sensburg: Und dann?
Polzin: Soweit ich mich erinnere hat es ein oder zwei Tage gedauert, bis entschieden wurde, dass man Weltraumtheorie vertreten will.
Sensburg: Wo? Auf Tagungen?
Polzin: Gegenüber dem BND.
Sensburg: Der BND gibt was vor, dass sie gegenüber BND vertreten?
Polzin: Nein.
Sensburg: Gab montags Kurzgutachten von BND, wo Weltraumtheorie zuerst erwähnt ist. Und Abteilung 6 hat das dann in der Dienstaufsicht gegenüber vertreten?
Polzin: Ja.
Sensburg: Welches Verb würden sie benutzen?
Polzin: BND hat das übermittelt.
Sensburg: War da noch andere Rechtsanwaltskanzlei beteiligt?
Polzin: Nein.
Sensburg: Was für ein Verb ist besser? Gemailt?
Polzin: Ja, haben das gemailt.
Sensburg: War BND auch geistiger Urheber?
Polzin: Denke, Menschen im BND, die das erstellt haben, werden sich geistig damit beschäftigt haben.
Sensburg: Und das haben sie dann dem BND gegenüber vertreten?
Polzin: Ja, aber ich sehe da nichts Skandalöses.
Sensburg: Nein, nein. Ich verstehe das.
Frage mich nur: Wofür das Ganze? Hätte man sich das nicht sparen können, wenn es Konsens gab? Wollte man das machen, um ihren Widerstand zu brechen? Hätte man sie da nicht einfach versetzen müssen?
Polzin: Kann ich nicht sagen. BND wurde aufgefordert, zu sagen, wie er Rechtssituation in Bad Aibling sieht.
Sensburg: Durch wen?
Polzin: Durch uns. Wer genau, KA. Kurzgutachten wurde gemacht, um uns Rechtsauffassung mitzuteilen, die dort erdacht wurde. Dann haben wir uns die zu eigen gemacht – also die Abteilung.
Sensburg: Ich frage, wie das Ding zustande kommt? Wer kann den BND damit beauftragen?
Polzin: Könnte ich gewesen sein. Habe BND ja häufig nach rechtlicher Darstellung gefragt. Manchmal haben wir uns da angeschlossen und manchmal nicht.
Sensburg: Welche Fragen gestellt?
Polzin: Weiß nicht genau, ob ich das war. Aber Frage: Was ist rechtliche Grundlage für Datenübermittlung in Bad Aibling?
Alte Weisung von Heiß, ob die noch gilt.
Sensburg: Hätten sie da nicht einfach besser Herrn Heiß gefragt, der die gemacht hat?
Polzin: Vielleicht, vielleicht wär dann alles anders.
Sensburg: Aber haben sie gefragt?
Polzin: KA.
Sensburg: Aber die haben geantwortet?
Polzin: Ja.
Sensburg: Schön. Und dann haben sie Klärung herbeigeführt. Hat das irgendwelche praktischen Konsequenzen?
Polzin: Keine praktische Relevanz. Aber Konsequenzen, wie man Sachen darstellt, vor BfDI, bei Vorlagen, etc.
Sehr theoretische Diskussion, hatte meiner Meinung nach keine Auswirkungen auf Praxis in Bad Aibling.
Fragerunde 3: Grüne (20:43)
Notz: War Herr Scheper beteiligt?
[MAT A BK 1 6a 6b 6c‑g, MAT A BK 6 1 6b, Blatt 82] Handschriftlicher Vermerk von ihnen an Herrn Scheper.
Polzin: Habe Herrn Scheper meine Bedenken vorgetragen. Kann mich nich an Diskussionen mit ihm erinnern.
Notz: Er hat keine aktive Rolle eingenommen?
Polzin: Nein.
Sensburg: Danke, das wars für heute. Bleiben sie bei ihren Rechtsauffassungen, wenn sie davon überzeugt sind.
[Ende der Anhörung von Polzin (20:45)]
Zeugin 3: Monika Genkova, Leiterin IT-Sicherheitsmanagement, BfV
Rechtsbeistand: Dr. Teubner, Berlin
Monika Genkova, 56, BfV Köln
Fragerunde 1: Union
Warken: Ausbildung, Werdegang?
Genkova: Diplommathematiker, Köln.
Warken: Nach Studium?
Genkova: Direkt zu BfV.
Warken: Wann?
Genkova: 1987.
Warken: Verwendungen im Untersuchungszeitraum?
Genkova: IT-Sicherheitsbeauftragte. Zu Beginn Referentin IT-Geheimschutz. 2010 wurde Referat IT-Sicherheitsmanagement gegründet, dann da verwendet.
Warken: Womit betraut?
Genkova: Fragen zu Geheimschutz in IT-Systemen. Vertraulichkeit. Nach Bildung IT-Sicherheitsmanagement Vertraulichkeit, Verfügbarkeit, Integrität.
Warken: Heute noch immer?
Genkova: Nach Ende Untersuchungszeitraum in andere Abteilung gewechselt.
Warken: Gehörten AG Poseidon an?
Genkova: Nein, in Kontakt mit Fachbereich, war aber nicht Teil der AG.
Warken: Aber mit Einsatz XKeyscore zu tun?
Genkova: Im Rahmen unserer Aufgaben.
Warken: Beratend?
Genkova: Nein, so nicht nennen. Aufgabe ist, Sicherheitsmaßnahmen vorzugeben und zu prüfen. Deshalb nicht beraten, Vorgaben sind bindend. Beratend zu schwach.
Warken: Veto-Recht gegenüber Dehmdahl?
Genkova: Frage hat sich in Untersuchungszeitraum nicht gestellt.
Warken: Grundsätzlich?
Genkova: Hätte sich nicht über Vorgaben hinwegsetzen können, aber Leitung.
Warken: Aufbaustab Technische Aufklärung?
Genkova: Keine Kenntnis, nicht dabei.
Warken: Entwicklung Aufbaustab zu AG?
Genkova: Aufbaustab ist mir so nicht bekannt. Alles weitere, das ich weiß, ist außerhalb Untersuchungszeitraum.
Warken: Wann erstes Mal Berührung mit XKeyscore? In welcher Funktion?
Genkova: 2012, IT-Sicherheitsbeauftragte. Als Frage konkreter wurde, ob XKeyscore eingesetzt/getestet werden soll.
Warken: Längerer Zeitraum des Begleitens?
Genkova: Ja.
Warken: Dehmdahl hat gesagt, Art von XKeyscore-Einsatz ist anders als bei NSA. Kein Teil von weltumspannendem Netzwerk zu Datentausch. Nur abgespeckte Version von XKeyscore? Variante ohne Erfassungsmodul?
Genkova: KA, kenne XKeyscore im Detail nicht. Randbedingungen im BfV ermöglicht nicht Einsatz für Erfassung. Keine Außenverbindung. Uns wurde gesagt, dass nur für Analyse eingesetzt. Ob abgespeckt, KA. Ob Erfassung theoretisch möglich, weiß ich nicht.
Warken: A.S. sagte, dass BfV-Version von XKeyscore genau die BND-Version war.
Genkova: Keine näheren Infos dazu.
Warken: Proof of Concept. Semptember 2013 bis April 2014. Sollte „grob geprüft werden, welche Funktionalität XKeyscore besitzt und ob auf Hardware installierbar.“ War das BfV nicht grob bekannt?
Genkova: Sicher. Sinn von PoC ist, tatsächliche Nutzbarkeit zu prüfen. Man kauft dann eben Hardware, auf der es sich installieren lässt. Prüfen, ob Funktionalitäten dem erwarteten und geforderten Umfang entsprechen.
Warken: Muss man testen?
Genkova: Ja, anhand konkreter Daten. Ob das so auswertbar, dass Nutzen der, den man erwartet.
Warken: Was hat sechsmonatiger Test ergeben? Nützlich? Was man sich wünscht?
Genkova: Schwierig zu beantworten. Ergebnisbericht PoC außerhalb Untersuchungszeitraum. Aussagegenehmigung endet vorher.
Warken: Während der Phase hat man erste Erkenntnisse.
Genkova: Sehr zuversichtlich, dass gewinnbringend.
Warken: Dehmdahl: „Kennen Quellcode nicht, daher müssen wir besonders vorsichtig sein.“
Vorsicht ist gut, daher immer noch Testbetrieb. So langer Test gerechtfertigt?
Genkova: Aus Sicht Sicherheitsmanagement Software nicht anders behandelt. Muss Maßnahmen treffen und Sicherheit prüfen. Sicherheitslücken?
Warken: Immer noch Bedenken? Warum nicht ausgeräumt?
Genkova: Liegt nach PoC und außerhalb Untersuchungszeitraum.
Warken: So große Formalitäten. Dehmdahl sprach über Prüfung nach VSA.
Genkova: Standardmaßnahmen. IT-Sicherheitskonzept nach üblichen Standards. BSI macht Penetrationstest, gibt Bewertung. Gibt Abstufung von kleinen bis starken Mängeln. BSI gibt dann Votum ab, ob einsetzbar. Prüft nochmal, ob Mängel abgestellt. Wenn positiv, dann Empfehlung an Amtsleitung, System für VS einzusetzen.
Warken: Woran haperts bei XKeyscore? PoC war ja ein Prozess? Da schon Probleme herausgestellt? Woran genau gelegen?
Genkova: Parallel zu PoC Sicherheitskonzept begonnen. Daran hätten sich BSI-Tests anschließen müssen, aber außerhalb Untersuchungszeitraum.
Warken: Dehmdahl sagt, dass Ausnahmegenehmigung von Amtsleitung für Einsatz. Befasst?
Genkova: Ja, habe das selbst beantragt, mit VS-Echtdaten zu testen. Unter engen Grenzen, mit tragbarem Sicherheitsrisiko.
Warken: Welche Voraussetzungen waren das?
Genkova: Größe des System, Anzahl Clients, Mitarbeiter. Infrastruktur, Unterbringung des Systems.
Warken: Lag da bereits Sicherheitskonzept vor?
Genkova: Nein, nur Sicherheitsabschätzung. Zu Ergebnis gekommen, dass Risiko tragbar.
Warken: Wie weit ist man mit Sicherheitskonzept?
Genkova: Bis Ende PoC relativ weit, dann außerhalb Untersuchungszeitraum.
Warken: Aber PoC im Untersuchungszeitraum. Wo stand man am Ende des Untersuchungszeitraums, wo sah man noch Probleme?
Genkova: Sicherheitskonzept nach BSI-Standards. Infrastruktur erheben. Weitgehend geprüft worden, welche Maßnhamen nach Grundschutzkatalog umgesetzt wurden. Man war Ende Untersuchungszeitraum relativ weit. Teilweise schwierig, weil Zuarbeit des betreuenden Bereichs erforderlich. Frage, ob Mitarbeiter dort Fragen beantworten können oder nochmal prüfen mussten. Waren noch etliche Maßnahmen, die geprüft werden mussten.
Warken: Weil länger gedauert?
Genkova: Kollegen waren zum Teil nicht so tief im System drin. Waren nicht so auskunftsbereit. In der Regel stellt sich bei Sicherheitskonzept auch raus, dass manches fehlt. Das muss dann nachgebessert werden.
Warken: Längerer Prozess. KA, wie lange das sonst dauert. Ist das ungewöhliche Länge oder normal? Liegt das daran, ob man das besonders gründlich machen will?
Genkova: Dauer einer Testphase oder Erstellung Sicherheitskonzept abhängig von Komplexität des Systems. Zu Testphase kann ich nichts sagen, weil ich Komplexität nicht kenne. Für Erstellung Sicherheitskonzept wäre halbes Jahr realistisch. Hätte man Mitarbeiter gebraucht, die Fragen aus Grundschutz-Katalog beantworten hätten können.
Warken: Also nicht rechtzeitig Feedback der Mitarbeiter bekommen?
Genkova: Meiner Meinung nach.
Warken: Meinen sie, man kann Voraussetzungen noch erfüllen, dauert das noch?
Genkova: Bin nicht mehr in der Funktion tätig.
Warken: Gehört, dass entscheidend, welche Daten auf welchem Weg wieder aus System rausgehen. Das ist doch sichergestellt?
Genkova: Gab noch nie System, wo bei Einführung Quellcode analysiert wurde. Kann man bei komplexen Systemen in der Regel nicht beurteilen. Im Fall XKeyscore ist eine der wesentlichen Maßnahmen, dass keine Verbindung nach außen.
Warken: Ist der entscheidende Punkt?
Genkova: Einer, aber nicht der einzige.
Wenn Daten abfließen sollen, müsste jemand Datenträger nehmen und umfassenden Zugriff auf System haben. Gibt auch Nutzerrollen, Rechte der Nutzer auf Minimum reduziert.
Warken: So verstanden: Systeme ohne Netzwerkanbindung und sonst auch keine Möglichkeit, irgendwelche Daten…
Genkova: Nie möglich, das bei IT-System auszuschließen. Gibt immer Administratoren…
Warken: Wenn System so weiterbetrieben würde, dann noch Sicherheitsbedenken?
Genkova: Gegen Zugriff von Außen, zum Beispiel Hacking, hinreichend sicher. Aber noch andere Risiken, auch immer potentiellen Innentäter betrachten. Bei XKeyscore nicht anders als bei anderen Systemen.
Warken: Eines der Bedenken, dass XKeyscore im Netzwerk im BfV sicher genutzt werden kann?
Genkova: Im Moment nicht in Netzwerk eingebunden heißt, keine Verbindung nach außen. Verbindung in Netz BfV stand im Untersuchungszeitraum nie zur Debatte.
Warken: Stand-Alone?
Genkova: In sich geschlossenes, kleines Netzwerk.
Warken: Also nicht Debatte, zu prüfen, ob sicher genug, um in BfV-Netz zu hängen?
Genkova: Nein.
Warken: Frage, warum BfV XKeyscore überhaupt will. A.S. und Dehmdahls Antworten schienen schon einleuchtend. Protokolle analysieren und dekodieren. Fähigkeiten von Perseus ergänzen.
Genkova: Kann das selbst fachlich nicht beurteilen.
Warken: Worin aus ihrer Perspektive Vorteil?
Genkova: Kann ich nicht beurteilen.
Warken: Dehmdahl sagt, einzelne Dekoder können selbst geschrieben werden. Das sei Vorteil. Bekannt?
Genkova: Soweit ich weiß ist das möglich und korrekt.
Warken: Wäre Mehrwert?
Genkova: Kann ich nicht beurteilen, fehlen Kenntnisse, TKÜ-Bearbeitung.
Fragerunde 1: Linke (21:26)
Renner: Dehmdahl sagt, Daten früher per Festplatte gebracht. Daten nur rein und nicht raus?
Genkova: Bezog sich nicht auf XKeyscore, sondern andere Anlage. Gibt immer Möglichkeit der Umkonfiguration durch Administratoren. Gibt immer Admins, die so tiefe Veränderungen vornehmen können.
Renner: Gab es unterschiedliche Clients?
Genkova: Ja, Admin und Nutzer.
Renner: Andere Sicherheitsvorkehrungen?
Genkova: In der Regel.
Renner: Hatte Admin Zugriff auf andere Rechner?
Genkova: Nein, nein.
Akmann: Details NÖ.
Renner: A.Sch., war der beim BfV?
Genkova: Ja, kam vom BND.
Renner: War der Admin?
Genkova: Zeitweise ja, weiß nicht genau, ob immer.
Renner: Muss nicht BSI an Prüfung beteiligt werden?
Genkova: BSI kommt nach Sicherheitskonzept. Sollte idealerweise ganz fertig sein, weil BSI auf Sicherheitskonzept festgelegt.
Renner: Aber BSI nie gekommen?
Genkova: Im Untersuchungszeitraum nicht.
Renner: Drei Jahre getestet ohne BSI?
Akmann: Können sie schon klarstellen.
Genkova: PoC auf ein halbes Jahr angelegt. Stimmt so nicht, waren zweieinhalb Jahre.
Renner: Haben sie mal geprüft, ob PoC nicht im Untersuchungszeitraum schon erarbeitet wurde, Herr Akmann?
Akmann: Fragen sie mal die Zeugin.
Genkova: Abschlussbericht 9. Juli 2014.
Renner: Zwischenberichte?
Genkova: Soweit ich weiß.
Renner: Gab es Fragen?
Genkova: Soweit ich weiß ja.
Renner: Schriftlich?
Genkova: Ja, muss ja. Standardtool, das BSI-Standards umsetzt. Können defizitäre Maßnahmen erkennen und Sicherheitskonzept fortführen.
Renner: Noch andere Gründe für Dauertest außer Sicherheit?
Genkova: Mir nicht bekannt.
Renner: Was wäre, wenn man XKeyscore an Perseus angeschlossen hätte?
Genkova: Nie davon gehört.
Renner: Daten aus Testphase waren Echtdaten?
Genkova: Im PoC, war durch Amtsleitung genehmigt.
Renner: Warum Echtdaten?
Genkova: Fachabteilung hat gesagt, mit Testdaten nicht hinreichend aussagekräftig.
Renner: Bekannt, woher Daten stammen?
Genkova: Ja, Perseus.
Renner: Umfang der Daten?
Genkova: KA.
Renner: Zu was ist Anlage in der Lage?
Genkova: KA. Ziel war, Eignung zu beurteilen. In eingeschränktem Umfang.
Renner: Zu Sicherheitskonzept gehörte auch, wie Daten transportiert wurden. Wurde über Exportschnittstelle von Perseus in Berlin geredet. Vorgabe war, dass Datenträger gemäß VSA transportiert werden müssen, also mit VS-Kurieren.
Fragerunde 1: SPD (21:36)
Flisek: Aus meiner Sicht System zu groß für BfV.
Genkova: Kann ich nicht beurteilen.
Flisek: Wieso?
Genkova: Fehlen fachliche Kenntnisse.
Flisek: Auf welches Ziel hin getestet?
Genkova: Lieber von PoC sprechen. Eignung System für vorgesehenen Einsatzzweck prüfen.
Flisek: Was war Zweck?
Genkova: Analyse von G‑10-Daten, für die Perseus nicht reicht.
Flisek: Reine Analyse?
Genkova: Ja.
Flisek: Nur Daten, die vorher schon erfasst waren?
Genkova: Ja, die wurden ordnungsgemäß über Perseus erfasst.
Flisek: Welche Probleme mit Perseus?
Genkova: Nicht alle Protokolle analysierbar.
Flisek: Bei Perseus Analyse direkt an Erfassung dran?
Genkova: Ja, möglich. Aber nur am Rand Untersuchungsgegenstand.
Flisek: Muss ja wissen, was ist Hintergrund.
Genkova: Durch erweiterte Nutzung Internet neue Protokolle.
Flisek: Nie geplant, das an Perseus zu hängen?
Genkova: Soweit ich weiß nein. Wäre meiner Meinung nach auch kein Mehrwert.
Flisek: Warum?
Genkova: Weil es über Luftschnittstelle genauso geht.
Flisek: Luftschnittstelle?
Genkova: Datenträger über Luft transportiert.
Flisek: Habe ich das auch im Auto?
Genkova: Nein. Bluetooth ist keine Luftschnittstelle. Funk. Nur: Datenträger in ein System, Daten rauf, laufen, Datenträger rein. Früher auch Turnschuhschnittstelle oder Drehstuhlschnittstelle. Nimmt man, um Sicherheitsprobleme zu vermeiden.
Flisek: Kennen sie Terms of Reference?
Genkova: Nein.
Flisek: Nie gesehen?
Genkova: Nein.
Flisek: Nie gehört?
Genkova: Gibt eine Fragestellung, die da relevant hätte sein können, aber nicht Untersuchungszeitraum.
Flisek: Jetzt machen sie mich aber neugierig. Mal gehört, dass da was von Deal mit NSA drin steht?
Genkova: Nein.
Flisek: Bei ihrer Arbeit mal mitgekriegt?
Genkova: Nie gehört. Nur Spekulation, dass NSA solche Erwartungen haben könnte. Ganz am Anfang, danach nicht mehr.
Flisek: Gibt Vertrag in Zeit Online: „To the maximum extent possible, share data relevant for the NSA’s mission.“
Genkova: Kann dazu nichts sagen.
Flisek: Nie mitgekriegt, dass NSA was übermittelt wurde?
Genkova: Nein.
Flisek: Kontakt zu NSA-Mitarbeitern?
Genkova: Nein.
Flisek: Nie? Kontakt zu BND-Mitarbeitern?
Genkova: Nur der, der abgeordnet war.
Flisek: Nie drüber unterhalten, dass das von NSA kommt?
Genkova: Nein, nur sehr selten mit ihm unterhalten. Eher Kollegen, die Sicherheitskonzept erstellt haben.
Flisek: War bewusst, dass Software von NSA?
Genkova: Ja.
Flisek: Schonmal Situation, dass Software oder Hardware von anderen Diensten eingesetzt wurde?
Genkova: Das ist aber nicht Untersuchungsgegenstand.
Flisek: Doch. Wenn Software oder Hardware von Five Eyes.
Genkova: Dann müsste ich mich beraten.
[Beratung] Beratung hat ergeben, dass ich keine Auskunft geben kann.
Flisek: Würde ich wissen wollen, warum? Verdacht liegt nahe, dass es was gab.
Akmann: Das, was Zeugin in Gedanken hatte, ist nicht Untersuchungsgegenstand.
Flisek: Aha.
Sensburg: Mir fällt es schwer, die Frage und die nicht gegebene Antwort zusammenzubringen.
Flisek: Ich habe gefragt, ob in der Zeit ihrer Tätigkeit ähnlich wie XKeyscore Software oder Hardware von anderen Diensten eingesetzt wurde? Zu Untersuchungsgegenstand: Solche von Five Eyes innerhalb Untersuchungszeitraum.
Genkova: Bleibt dabei, dass nicht Teil Untersuchungsgegenstand.
Flisek: Zeugin denkt an was und kommt nach Beratung mit Akmann zu Ergebnis, dass nicht.
Akmann: Können jede Ziffer Untersuchungsauftrag fragen, ob Zeugin was dazu bekannt ist.
Flisek: Quälen sie uns doch nicht so.
Genkova: Das ist, was ich sagen wollte. Zum Untersuchungsgegenstand.
Flisek: Was wollten sie jetzt sagen?
Genkova: Zum Untersuchungsgegenstand in dem Zusammenhang nichts bekannt.
Flisek: Hat sich Aufwand für XKeyscore gelohnt?
Genkova: KA. Fachlich kann ich das nicht beurteilen.
Flisek: Frage nach ihrer Wahrnehmung. Waren doch in der AG?
Genkova: Nein. Gibt ein Protokoll der AG, wo mein Name draufsteht. Ist missverständlich.
Flisek: Nur IT-Sicherheit?
Genkova: Ja.
Flisek: Wie aufwändig war dann ihre Aufgabe bei XKeyscore?
Genkova: Nicht besonders aufwändig im Untersuchungszeitraum. Vorlage für Genehmigung des Tests etc. – Tatsächliche Arbeit zu Sicherheitskonzept haben Kollegen gemacht.
Flisek: Also Consulting?
Genkova: Nein.
Flisek: Beratung?
Genkova: Nein, haben Forderungen aufgestellt.
Flisek: Wurde irgendetwas an Forderungen nicht umgesetzt?
Genkova: Innerhalb Untersuchungszeitraum nicht.
Flisek: Aber kurz nach Untersuchungszeitraum?
Genkova: Fürchte, ich darf das nicht beantworten.
Flisek: PoC hat ja ne ganze Zeit gedauert, warum nicht Übergang zu Routine-Einsatz?
Genkova: Hat ein halbes Jahr gedauert.
Flisek: Warum nicht schneller?
Genkova: Ende PoC war außerhalb Untersuchungszeitraum.
Flisek: Aber schneller ist innerhalb Untersuchungszeitraum.
Genkova: Kann das nicht beurteilen. PoC beinhaltet nicht Sicherheitsfragen, prüft nur fachliche Eignung. Weiß nicht, wie aufwändig.
Flisek: Wer hätte am Ende routinemäßigen Einsatz entschieden?
Genkova: Amtsleitung.
Flisek: Drunter?
Genkova: Auf Raten IT-Sicherheitsmanagement. IT-Sicherheitsmanagement nur mit Prüfung BSI.
Flisek: Prüfungen alle außerhalb Untersuchungszeitraum?
Genkova: Ja.
Fragerunde 1: Grüne (21:54)
Notz: Mit welcher Zielrichtung arbeiten sie?
Genkova: IT-Sicherheit sicherstellen.
Notz: Nie mit ihnen geredet, mit welcher Zielrichtung XKeyscore geprüft wird?
Genkova: Analyse.
Notz: Nicht Erfassung?
Genkova: Nein.
Notz: Wann mit Daten?
Genkova: 30. September 2013 bis Ende PoC.
Notz: Also PoC mit Echtdaten.
Genkova: Ja.
Notz: Wie nennt man erste Prüfung?
Genkova: Sicherheitseinschätzung.
Notz: Haben sie getroffen?
Genkova: Ja.
Notz: Wonach beurteilt?
Genkova: Randbedingungen PoC.
Notz: Mit Echtdaten?
Genkova: Solange das mit Testdaten nicht möglich.
Notz: Wozu dient PoC?
Genkova: Ob System fachlich geeignet ist.
Notz: Aber geht doch nur um Bearbeitung?
Genkova: Ja.
Notz: Aber zur Analyse eingesetzt?
Genkova: Ja.
Notz: Ohne PoC?
Genkova: Nein, ohne Sicherheitskonzept.
Notz: Ja.
Genkova: Dann mit Echtdaten geprüft. Fachbereich hat gesagt, sonst nicht aussagekräftig. Dann geprüft, wie System einschränken, dass man sicher mit System arbeiten kann. Klein, wenige Mitarbeiter, unterschiedliche Rollen und Rechte. Zu Ergebnis gekommen, dass Restrisiko tragbar, hinreichend gering.
Notz: Wussten sie, dass man NSA zugesagt hat, ihnen im weitesten Umfang Ergebnisse zukommen zu lassen?
Genkova: Nein.
Notz: Hätten sie dann trotzdem System mit Echtdaten gefüttert? Wenn ein BND-Mitarbeiter dabei sitzt? Sie sprachen ja von Innnetäter.
Sagt ihnen SAW-TAD was?
Genkova: Ja.
Notz: Die haben sich mal XKeyscore und Nachfolger angesehen?
Genkova: KA.
Notz: Was wissen sie über SAW?
Genkova: Ist das Untersuchungsgegenstand?
Notz: Ja.
Genkova: Soweit ich weiß Sonderauswertung, die Infos zusammengestellt hat, die Grundlage für Untersuchungsausschuss sind.
Notz: Waren sie Teil davon?
Genkova: Nein.
Notz: Kürzel PB_SER_ITSIM_PERS ist ihr Kürzel. Akte aus Geheim, selbst nur NfD eingestuft. 17. Juli 2013.
„Mitwirkung: PB_SER_ITSIM_, dann geschwärzt“ – Könnte sich dahinter ihr Kürzel verbergen?
Für gewohnten Gebläutleser steht da PERS. Vielleicht kann Bundesregierung mal gucken, dann hätten sie nämlich an dem Bericht mitgewirkt.
Genkova: Aber Mitwirken und Teil der Gruppe ist nicht dasselbe.
Notz: Das wird mit aber zu kleinteilig. Sie dürfen nichts weglassen. Haben sie an dem Projekt mitgewirkt?
Genkova: Ja, wir haben Informationen zugeliefert, zu Fragestellungen der SAW.
Notz: Sie schrammen hier haarscharf an Lügen vorbei.
Sensburg: Wir wollen die Zeugin hier nicht einschüchtern.
Fragerunde 2: Union (22:05)
Sensburg: PoC feststehender Begriff in IT-Sicherheit?
Genkova: Nein.
Sensburg: Wie das vonstatten geht festgelegt? Feste Regeln?
Genkova: Kann ich nicht sagen, weil in Fachbereich.
Sensburg: Und was haben sie gemacht?
Genkova: IT-Sicherheitskonzept erstellen.
Sensburg: Dann zuerst IT-Sicherheitskonzept. War bei ihnen?
Genkova: Ja.
Sensburg: Warum mussten sie das machen? Weils für diese Version von XKeyscore keins gab?
Genkova: Soweit ich weiß gab es beim BND kein Sicherheitskonzept. BND hat nach ner Weile einen Entwurf zur Verfügung gestellt. Basierte auch auf Grundschutz. Haben den nicht genutzt, weil einfacher, von vorne anzufangen. Hätte prüfen müssen, ob Entwurf für System einschlägig.
Sensburg: Dehmdahl so verstanden, dass es für Version XKeyscore für BfV kein Sicherheitskonzept gab. BND hatte eine andere Fassung. Sie sagen, BND hatte gar kein Sicherheitskonzept.
Genkova: Soweit ich weiß.
Sensburg: Auch nicht für eigene Version?
Genkova: Soweit ich weiß nein.
Sensburg: Wie lange nutzte BND XKeyscore?
Genkova: KA.
Sensburg: Also man braucht einen PoC und ein zugehöriges Sicherheitskonzept?
Genkova: Nein, PoC separat.
Sensburg: Wenn Sicherheitskonzept gesagt hätte, geht nicht, dann nie über diesen Einsatz hinausgegangen?
Genkova: Nein, dann hätte Entscheidung bei Amtsleitung gelegen.
Sensburg: Deshalb bis kurz vor Fertigstellung PoC nur genutzt in beschränktem Umfeld mit Außenkontakt?
Genkova: Um denkbare Sicherheitsrisiken von vornherein auszuschließen.
Sensburg: Wenn ich die letzten 1,5 Jahre richtig verstanden habe, ist XKeyscore nicht in vergleichbar überschaubarem Maß genutzt worden.
Genkova: KA.
Sensburg: Wenn sie das ans Netz genommen hätten, hätten sie ein Sicherheitskonzept haben wollen?
Genkova: Ja, jegliche Erweiterung des Systems ohne Sicherheitskonzept hätte nicht meine Zustimmung bekommen.
Sensburg: Warum hatte BND dann kein Sicherheitskonzept?
Genkova: KA, vielleicht andere Voraussetzungen.
Fragerunde 2: Linke
Renner: Löschung in Sicherheitskonzept?
Genkova: Ja, auch darüber nachgedacht.
Renner: Ahnung, warum Löschung bei uns geschwärzt ist?
Genkova: Nein.
Renner: [Aktenvorlage MAT A BFV 10 1, Tagebuchnummer 40–14, Seite 349] Geht um Darstellung. Zwei Komponenten von Cisco, im mittleren und rechten Fach. Was technisch bewerkstelligt?
Genkova: Nicht wirklich, denke Router.
Renner: Ja, Router. Linker Router versorgt Clients. Was ist der rechte Router? Kennen sie die Darstellung?
Genkova: Müsste ich, erinnere mich nicht. Hat im Detail anderer Kollege bearbeitet.
Renner: Da ist oben ne Bezeichnung drauf.
Genkova: MK10.
Renner: Was ist das?
Genkova: Raumnummer.
Renner: Aha, das steht in einem anderen Raum. Was bedeutet das?
Genkova: KA.
Renner: Aber sie haben sich da länger mit beschäftigt?
Genkova: Das hat ein Kollege gemacht.
Renner: Aber sie haben das doch gesehen?
Genkova: Nein. Dafür hatte ich doch Kollegen. Ich war doch Referatsleiterin.
Nachdem genauer angeguckt: Gerät in MK10 hat keine Verbindung mit XKeyscore. Ist SVI-Client.
Renner: Hat aber Verbindung zu…
Genkova: Keine Verbindung XKeyscore mit diesem Teil.
Renner: Aber im MK10 Client mit Netzwerkanschluss?
Genkova: Ja, in dem Raum.
Renner: Komme nicht drüber weg, dass sie das nicht angeguckt haben.
Genkova: Wenn die Kollegen das machen, reicht das.
Renner: Sie haben doch gesagt, das sah so-und-so aus. Das hätte man danach ändern können.
Genkova: Deshalb auch Aussage: Hundertprozentige Sicherheit gibt es nicht.
Renner: Aber die saßen in Berlin, warum?
Genkova: Fachliche Gründe.
Renner: Und die Kollegen, die Sicherheitskonzept machen sollen, sitzen in Köln? Praktisch.
Genkova: Sehe kein Problem darin.
Renner: Sie schreiben irgendwann mal, dass sie Kontakt zu BND-Mitarbeiter in Köln brauchen.
Genkova: Da war noch Frage, wie BND hilfreich bei Sicherheitskonzept sein kann. Aussage dann: Wenn Unterstützung, dann müsste BND-Mitarbeiter in Köln sein.
Renner: Und das ging nicht?
Genkova: Frage dann nicht mehr gestellt. Viele Anforderungen beziehen sich nicht direkt auf XKeyscore, sondern das, was drumrum ist.
Renner: Wissen, dass BND XKeyscore zu Erfassung nutzt?
Genkova: Hörensagen.
Renner: Funktionsweise von XKeyscore angesehen?
Genkova: Nein, auch die Kollegen.
Renner: Welcher Kollege besonders?
Genkova: Referent und ein Sachbearbeiter des IT-Sicherheitsmanagements.
Renner: Gegenüber uns benannt?
Akmann: Nein, noch nicht.
Renner: Dann bitten wir um Benennung.
Was hatten sie für Unterlagen zu XKeyscore? Was wussten sie überhaupt?
Genkova: Funktionsweise dargestellt worden, sonst keine große Rolle für Sicherheitskonzept. Macht Infrastrukturanalyse. Prüft, ob weitere Konzepte eine Rolle spielen – ergänzend. Konkrete Funktionsweise nicht Thema.
Renner: Was hatten sie an Unterlagen?
Genkova: Zu XKeyscore selber?
Renner: Ja.
Genkova: Keine.
Renner: Was wusste man denn, was das ist? Was man da beim BfV aufspielt?
Genkova: Damals gar nichts. Ich heute auch nichts.
Renner: Wenn das was macht, was Interessen BfV entgegenwirkt, weiß man das auch nicht?
Genkova: Ich nicht, spielt bei IT-Sicherheit keine Rolle.
Renner: Hatte jemand mehr Wissen über XKeyscore im BfV? Abteilung 6 für Islamismus.
Genkova: Dann Abteilung 3.
Renner: Da erwarte ich ja nicht die Kompetenz.
Genkova: Das ist spekulativ.
Renner: Ich habe mittlerweile einiges über BfV-Mitarbeiter gelernt.
Genkova: In den Fachabteilungen sind Leute mit Ahnung, braucht man ja für PoC?
Renner: Warum Poseidon Namen Goldelse gegeben?
Genkova: Mir nicht bekannt.
Fragerunde 2: Grüne
Ströbele: Waren sie mal in Berlin?
Genkova: Ja.
Ströbele: Wann waren Vorbesprechungen?
Genkova: Wenn ich mich richtig erinnere 2012, dann August 2013 Videokonferenz zu PoC. Daran auch ich teilgenommen. Dann Vorlage an Amtsleitung zu Freigabe PoC mit Echtdaten. Entscheidung, dann Kollegen Arbeit am IT-Sicherheitskonzept aufgenommen.
Ströbele: Sie dann gar nicht mehr da?
Genkova: Habe das aus Köln begleitet.
Ströbele: Bis Einsetzung Untersuchungsausschuss nicht mehr in Berlin?
Genkova: KA.
Ströbele: Vor August 2013 war letzte Vorbesprechung. Da System schon da.
Genkova: Software KA. Aber nicht installiert, weil noch keine Hardware da. Hardware erst zur Verfügung gestellt als Zustimmung PoC mit Echtdaten.
Ströbele: Danach? Von BND-Mitarbeiter erzählt. Woher wissen sie das?
Genkova: An Vorbesprechung teilgenommen und war dann Ansprechpartner für Kollegen, die Sicherheitskonzept gemacht haben.
Ströbele: Da waren sie in Berlin?
Genkova: Ja, da im August.
Ströbele: Von anderem BND-Mitarbeiter gehört?
Genkova: Nein.
Ströbele: Von NSA-Mitarbeiter?
Genkova: Ja, mal gehört.
Ströbele: Im Zusammenhang XKeyscore?
Genkova: Nein.
Ströbele: Sondern?
Genkova: KA.
Ströbele: Wie davon erfahren?
Genkova: KA.
Ströbele: Kennen sie Örtlichkeit, wo XKeyscore?
Genkova: Ja, Sondersicherheitsbereich.
Ströbele: Kennen sie von vorher?
Genkova: Ja, von Sicherheitsbegehung.
Ströbele: Ist in Zwischenzeit von August 2013 bis Ende mal was veranlasst worden, das mit Sicherheit zu tun hat?
Genkova: Kollegen haben festgestellt, dass Maßnahmen nicht getroffen wurden. Nachbesserungen gefordert.
Ströbele: Was war das?
Genkova: Im Detail KA.
Ströbele: Wie häufig war das?
Genkova: Nicht häufig. Im Rahmen Interview-Technik defizitäre Maßnahme gesammelt. Dann Schreiben mit Bitte, das zu beheben. Waren aber immer mal Fragen offen.
Ströbele: Maßnahmen: Fünf, zwanzig, mehr?
Genkova: Wäre spekuliert. Meine, ich könnte mich an circa zwanzig erinnern.
Ströbele: Danach immer sicherer?
Genkova: Ja.
Ströbele: Und davor weniger sicher.
Genkova: Liegt in Natur der Sache.
Ströbele: Haben ja Sicherheitseinschätzung gegeben.
Genkova: Ja, vor PoC für Echtdatenbetrieb. August 2013.
Ströbele: Maßnahmen erforderlich, von denen sie nichts mehr wissen. Offenbar Sicherheit doch nicht so gut.
Genkova: Nein, weil System nicht immer in so isolierter Weise betrieben werden sollte. Wenn man produktiv wechseln will, müssen Voraussetzungen Sicherheitskonzept und technische Prüfung erfüllt sein.
Ströbele: Haben von August 2013 bis Juli 2014 Sicherheit geprüft und 2014 dann – als Untersuchungsausschuss in ersten Zügen – Bericht abgegeben.
Genkova: Ich hab keinen Bericht abgegeben. Ergebnisbericht PoC von Fachbereich abgegeben worden.
Ströbele: Aber dann auch das Ok gegeben?
Genkova: Welches?
Ströbele: Dass das jetzt sicher ist. Abschlussbericht.
Genkova: Der betrifft nur PoC.
Ströbele: Danach wurde weiter Sicherheit überprüft?
Genkova: Außerhalb Untersuchungszeitraum.
Fragerunde 3: Linke (22:35)
Renner: Haben gesagt, System soll nicht mehr isoliert betrieben werden. Woran anschließen?
Genkova: Habe ich nicht gesagt. Soll ausgedehnt werden.
Renner: Doch, haben sie.
Genkova: Dann Missverständnis, aber mehr Mitarbeiter.
Renner: Protokoll Frau Dehmdahl: „Wir wollen es irgendwann in anderer Art und Weise anwenden. Vernetzt. Mehr Speicherkapazität. Wird tatsächlich auch halt dieses andere Referat ranbringen können.“
Mit was denn vernetzt?
Genkova: Darf ich mich erstmal mit Herrn Akmann beraten?
Renner: Gerne.
Genkova: Beratung hat ergeben, dass ich – obwohl außerhalb Untersuchungszeitraum – Aussage bestätigen kann. Darüber hinaus keine Aussagen.
Renner: Ist das vernetzte System dann das gleiche System, das sie prüfen? Oder braucht das dann ein neues Sicherheitskonzept?
Genkova: Bei jeder Änderung muss man prüfen.
Renner: Wenn man damit was anderes machen will: Sinnvoll, so lange an Konzept für Vorstufe zu arbeiten?
Genkova: Ja, weil Sicherheitskonzept fortgeschrieben werden kann.
Renner: Wenn das mal an Netz angeschlossen werden soll…
Genkova: Dann muss man Sicherheitskonzept des anderen Netzes auch prüfen.
Renner: Das dauert dann 30 Jahre und nicht drei?
Genkova: Spekulativ. Und liegt außerhalb Untersuchungszeitraum.
Renner: Warum nicht früher Übergang zu eigentlichem Ziel geprüft?
Genkova: Weiß nicht, ob nicht früher geprüft. Aber Übergang außerhalb Untersuchungszeitraum.
Renner: Dehmdahl hat auch von Innentätern gesprochen, sie auch. Sind das theoretische Überlegungen?
Genkova: Statistiken sagen, dass das in Firmen nicht unwahrscheinlich ist. Aber wir haben nochmal andere Voraussetzung, auch Teil von Sicherheitskonzept.
Renner: Dehmdahl sagt, im BfV geht man ja immer vom Innentäter aus…
Genkova: IT-Sicherheit geht immer von Innentäter aus.
Renner: Dritte Zutritt zu Testsetup?
Genkova: Nein.
Renner: BfV-Mitarbeiter außerhalb Arbeitszeiten?
Genkova: Nein.
Renner: Wenn Update nötig?
Genkova: Macht Administrator.
Renner: A.Sch.?
Genkova: Denke, es gibt noch nen zweiten.
Renner: A.Sch. kommt von BND, hatte Abordnung zu BfV. Dienste sind nicht immer Partner. BfV hat mal Markus R. im BND enttarnt. Kümmert sich um Innentäter im anderem Bereich. Wenn jemand Abordnung zu BfV hat: Sind Weisungsbefugte ausschließlich im BfV?
Genkova: Ja.
Renner: Auch nicht mehr nach Pullach etc. zurückgefahren?
Genkova: Er ist zu betrachten, wie BfV-Mitarbeiter. Soweit ich weiß noch Kontakt zu BND, um technische Fähigkeiten auszubauen.
Renner: Welche Rolle spielte Bad Aibling?
Genkova: KA.
Renner: ???
Genkova: KA.
Fragerunde 3: Grüne
Notz: Könnte sich hinter Kürzel von vorhin auch Referent ihrer Abteilung verbergen?
Genkova: KA.
Notz: Ja, das könnte. Auf jeden Fall von SAW gehört und mitgewirkt.
Genkova: Zugeliefert.
Notz: In welchem Zeitraum SAW?
Genkova: KA.
Notz: Sagten ja zur Vorbereitung Untersuchungsausschuss. Aber gabs schon im Juli 2013.
Genkova: Dann geirrt.
Notz: Damals schon mit XKeyscore zu tun?
Genkova: Mit Thematik befasst, aber System existierte noch nicht.
Notz: SAW TAD hat sich mit Auswirkungen Snowden beschäftigt.
Genkova: KA im Detail.
Notz: Weil sie nicht erinnern?
Genkova: Ja.
Notz: Aber ihr Referat hat an Bewertung mitgearbeitet?
Genkova: Ja, sind gefragt worden nach Meinungen.
Notz: Aber keine Erinnerung?
Genkova: Ja, sind einmal gefragt worden: Kann das bei uns auch passieren?
Notz: Ja. Und?
Genkova: Natürlich, aber weiter will ich keine Auskunft geben. Nicht Untersuchungsgegenstand.
Notz: Doch.
Wie kamen Daten von Köln nach Berlin?
Genkova: Per Datenträger.
Notz: Wie genau?
Genkova: VS-Kurier.
Notz: Was heißt das?
Genkova: Zwei Kuriere sind mit zwei Fahrzeugen unterwegs, um Datenträger zu transportieren.
Notz: Aber nur eine Festplatte? Sägt man die durch?
Genkova: Das ist für Sicherheit gut. Aber ein Auto sichert das andere ab, falls Unfall.
Notz: Interessant, wenn man prüft, unter welchen Voraussetzungen BND Metadaten ausleitet.
Wer sind die VS-Kuriere?
Genkova: Kenne ich nicht. Mitarbeiter des BfV.
Notz: Sicher?
Genkova: Ja.
Notz: Das dachten wir auch.
Genkova: Ich weiß davon nichts.
Notz: Hätte sie das beunruhigt, wenn sie gewusst hätten, dass das ein Mitarbeiter eines anderen ND gemacht hat?
Genkova: Dann hätte ich das nicht genehmigt.
Notz: Warum?
Genkova: Weil Need to Know verletzt.
Notz: Wie lange dauert Transport?
Genkova: Sollte nicht mehr als sechs Stunden dauern.
Notz: Hat aber teilweise drei bis vier Wochen gebraucht.
Genkova: Wurden bestimmt im BfV gelagert.
Notz: Ok, VS-Kurier transportiert in G‑10-Tasche…
Genkova: VS-Tasche.
Notz: In zwei Autos…
Genkova: Ja, übliche Forderung.
Notz: Würden sie empfehlen im Sinne parlamentarischer Aufklärung den Untersuchungsauftrag zu erweitern zeitraummäßig?
Genkova: Wäre meine persönliche Meinung, die hier keine Rolle spielt.
Notz: Wollen wissen, ob es lohnt, den Bericht zu lesen.
Genkova: Wenn sie den im Juli 2013 ansprechen, das ist PoC-Bericht.
Notz: An dem sie mitgewirkt haben?
Genkova: Nein, nur Fachabteilung.
Fragerunde 4: Linke
Renner: Aufträge aus Projekt an Externe vergeben worden?
Genkova: Soweit ich weiß nicht.
Renner: Warum dauert das alles so ewig?
Genkova: Kann ich auch nicht erklären.
Renner: Haben sie da ne Idee?
Genkova: Darf ich nicht äußern, weil außerhalb Untersuchungszeitraum.
Renner: Haben sie die jetzt erst bekommen?
Genkova: Nein, früher.
Renner: Dann in Untersuchungszeitraum.
Genkova: Nein, später.
Renner: Hatte das materielle Gründe?
Genkova: Was?
Renner: Steckdose nicht gefunden oder so.
Genkova: Nein.
[Ende der Vernehmung Genkova (22:57)]
-
: Peter Altmaier möchte informationelle Selbstbestimmung überdenken
Kanzleramtsminister Peter Altmaier <a href="https://creativecommons.org/licenses/by/2.0/legalcode">CC BY 2.0</a> via Flickr/<a href="https://www.flickr.com/photos/germanembassylondon/16183403793/">German Embassy London</a> : Peter Altmaier möchte informationelle Selbstbestimmung überdenken Peter Altmaier hat auf dem europäischen Polizeikongress bekanntgegeben, dass das Konzept der informationellen Selbstbestimmung überdacht werden muss und die Datensparsamkeit an ihre Grenzen stößt. Dafür spreche unser Lieblingsargument – die Terror-Bedrohung. Außerdem fielen die Daten ja ohnehin an, deshalb können sie den Geheimdiensten auch zur Verfügung gestellt werden.
Die informationelle Selbstbestimmung ist das Recht jedes Menschen, frei darüber zu entscheiden, welche personenbezogenen Daten weitergegeben und wozu sie verwendet werden.
Genau wie im vergangenen Jahr wurde uns eine Presse-Akkreditierung für den Kongress verweigert. Wir hätten gerne direkt von dem Kongress berichtet, nun sind wir auf die Berichte von Kollegen angewiesen. Auf heise.de heißt es:
Kanzleramtsminister Peter Altmaier (CDU) hat sich dafür ausgesprochen, neu über die Nutzung von Bürgerdaten durch Nachrichtendienste und Sicherheitsbehörden zu diskutieren. Wo Metadaten und persönliche Daten massenhaft anfallen, stoße der Ansatz der „Datensparsamkeit“ an seine Grenzen, sagte er auf dem europäischen Polizeikongress in Berlin.
Die Diskussion über die Nutzung von „Bürgerdaten“ durch Geheimdienste führen wir schon länger, Herr Altmaier ist aber herzlich eingeladen, mitzudiskutieren. Wir würden uns daher freuen, wenn er sich mit unseren Argumenten zu Datenschutz und Überwachung auseinandersetzen würde, wenn er das nicht schon getan hat.
Laut Peter Altmaier müssen die Geheimdienste alle Daten zur Verfügung gestellt bekommen, damit sie Terrornetzwerke frühzeitig erkennen können. Wir plädieren stattdessen dafür, die Ursachen des Terrorismus zu bekämpfen; ein Ende der Rüstungsexporte wäre beispielsweise ein guter Anfang. Altmaier erörterte außerdem die Frage, ob auch die Mautdaten für polizeiliche Zwecke genutzt werden können. Bei heise.de hieß es, er fordere die Nutzung der Mautdaten für die Strafverfolgung, auf Twitter stellte er seine Aussage richtig:
@netzpolitik zu Mautdaten habe ich keine konkrete Forderung erhoben, sondern Frage erörtert, ob man solche u andere Daten 1/2— Peter Altmaier (@peteraltmaier) 24. Februar 2016
@netzpolitik 2/2 für polizeiliche Zwecke nutzen könnte ohne berechtigte Schutzanliegen Betroffener zu gefährden.— Peter Altmaier (@peteraltmaier) 24. Februar 2016
-
: „Legal, illegal, …“ – Innenministerium will Staatstrojaner verfassungswidrig einsetzen lassen
Wird durch Ignorieren der Rechtswidrigkeit auch nicht besser: Der Bundestrojaner. : „Legal, illegal, …“ – Innenministerium will Staatstrojaner verfassungswidrig einsetzen lassen Das Bundesministerium des Innern (BMI) – ironischerweise auch als Verfassung-Ministerium bezeichnet – will den neuen „Bundestrojaner“ offenbar auch dann einsetzen lassen, wenn es keine ausreichende gesetzliche Grundlage dafür gibt. Das geht aus einer Antwort des Ministeriums auf eine Anfrage unserer Redaktion hervor. Damit begibt sich das BMI auf Crash-Kurs mit Grundgesetz und Verfassungsgericht – gerade so als lautete das Motto in Moabit „legal, illegal, … uns doch egal“.
Nach der Meldung, dass das Bundesinnenministerium (BMI) am Montag die Genehmigung für die Quellen-Telekommunikationsüberwachung (TKÜ) mit dem Staatstrojaner erteilt hat, blieben einige Fragen offen. Wir haben uns deshalb ans BMI gewendet und um Klärung gebeten.
Beispielsweise gibt es nach wie vor keine Rechtsgrundlage für den Einsatz des Staatstrojaners zur Strafverfolgung. Auch der Generalbundesanwalt sieht das so und verzichtet deswegen darauf, Trojaner einzusetzen. Das ist auch die einzige rechtsstaatlich vertretbare Lösung: Wenn der Gesetzgeber Trojaner einsetzen will, dann muss er ein Gesetz dafür erlassen. Die Exekutive darf ohne Rechtsgrundlage nicht in Rechte der Bürgerinnen und Bürger eingreifen.
Das BMI schreckt das aber nicht – dort gilt die Parole „Trojaner marsch“ offenbar auch im Strafverfahren und für die „Verfassungsschutz“-Behörden. So antwortet man uns auf die Frage nach den Rechtsgrundlagen des Trojaner-Einsatzes:
Die Quellen-TKÜ ist eine technische Gestaltung der Telekommunikationsüberwachung. Sie kann im Geschäftsbereich des Bundesministeriums des Innern im Fall der Strafverfolgung (repressiv) gem. §§ 100a, b StPO, im Fall der polizeilichen Gefahrenabwehr (präventiv) nach §§ 4a, 20 l Abs. 1 i.V.m. Abs. 2 BKAG sowie zur nachrichtendienstlichen Aufklärung durch das Bundesamt für Verfassungsschutz auf der Grundlage von § 3 des Gesetzes zur Beschränkung des Brief‑, Post- und Fernmeldegeheimnisses (G10) erfolgen.
Laut BMI ist der Einsatz von Quellen-TKÜ bei Ermittlungsverfahren „grundsätzlich möglich und geplant, wenn eine richterliche Anordnung vorliegt“. Damit zieht man sich aus der Verantwortung: Die Vergangenheit hat gezeigt, dass es keine ernsthafte Hürde darstellt, eine solche richterliche Anordnung zu bekommen. Offenbar setzt das BMI darauf, dass es schon Ermittlungsrichter geben wird, die sich nicht so genau auskennen und die Maßnahme einfach anordnen – fehlende Rechtsgrundlage hin oder her. So war es bereits beim Einsatz des verfassungswidrigen DigiTask-Trojaners: Trotz krassester Gesetzesverstöße gelang es dem bayerischen LKA, Ermittlungsrichtern die passenden Beschlüsse abzuluchsen, indem man so tat, als gehe es nur um eine normale Telefonüberwachung.
Darauf deutet auch die BMI-Formulierung, die „Quellen-TKÜ ist eine technische Gestaltung der Telekommunikationsüberwachung“: Offensichtlich will man das enorme Risiko des Trojaner-Einsatzes verschleiern, indem man einfach so tut, als gehe es um eine ganz normale Telefon-Überwachung und nicht um den Einsatz einer kaum kontrollierbaren staatlichen Überwachungs-Software.
Neben den Ermittlungsrichtern versteckt sich das BMI auch hinter den jeweils zuständigen Staatsanwaltschaften:
Ermittlungsverfahren obliegen der Sachleitungsbefugnis der jeweils zuständigen Staatsanwaltschaft. Diese entscheidet nach Prüfung der tatbestandsmäßigen Voraussetzungen über die Beantragung von im Einzelfall erforderlichen Maßnahmen wie der Quellen-TKÜ beim zuständigen Gericht.
Doch die Strafprozessordnung gibt den Einsatz von Quellen-TKÜ nicht her. Die §§ 100a und 100b der StPO sind für die Durchführung von Telekommunikation bei Einschaltung des Providers gedacht. Der Einsatz des Staatstrojaners erfordert jedoch eine Installation auf dem System der Zielperson, was einen wesentlich weitreichenderen Eingriff darstellt als die „normale“ Überwachung der laufenden Kommunikation beim Provider. Das als vernachlässigende Begleitmaßnahme abzutun wird der Eingriffstiefe und den Gefahren einer Trojaner-Infektion nicht gerecht.
Dasselbe rechtliche Problem stellt sich für die sogenannten Verfassungsschützer: Auch sie haben nur gesetzliche Grundlagen für „normale“ Telefon-Überwachungen, aber nicht für den Trojaner-Einsatz. Auch dies ist dem BMI offenbar gleichgültig – jedenfalls soll nach der Antwort an unsere Redaktion auch hier der Bundestrojaner eingesetzt werden.
Das Bundesverfassungsgericht hat außerdem eine zwingende Beschränkung der Quellen-TKÜ auf die Erfassung laufender Kommunikation vorgegeben, die durch „technische Vorkehrungen und rechtliche Vorgaben“ gewährleistet sein muss. Technisch ist eine solche Beschränkung kaum möglich. Und es überrascht wenig, dass das BMI nicht beantworten kann, wie technisch und rechtlich sichergestellt werden soll, dass der Staatstrojaner die Voraussetzungen erfüllt, die das Bundesverfassungsgericht 2008 formuliert hat. Ebensowenig, wer diese Voraussetzungen überprüfen wird, ob die Prüfenden Zugriff auf den Quellcode haben werden. Das Bundeskriminalamt werde uns die Fragen beantworten. Wir sind gespannt, wann das passiert.
Generell: Es ist fragwürdig, die Entscheidung über die Zulässigkeit des Staatstrojaner-Einsatzes allein einem Richter zu überlassen. Denn für diesen ist es unmöglich, die technischen Kapazitäten des Staatstrojaners vollständig zu erfassen. Er kann nicht kontrollieren, was die Software in ihrem Inneren tut – welcher Richter kann schon Trojaner-Quelltexte verstehen? Und so haben die zuständigen Richter auch beim Einsatz des verfassungswidrigen DigiTask-Trojaners nicht gemerkt, was eigentlich gespielt wurde, obwohl der weitaus mehr konnte als erlaubt gewesen wäre. Umso mehr gilt dies für den Bereich des Verfassungsschutzes, wo nicht einmal mehr ein Richter genehmigen muss: Hier erlaubt sich das Innenministerium praktischerweise die Quellen-TKÜ gleich selbst (§ 10 Abs. 1 G 10).
Es wirkt so, als ignoriere man all diese rechtlichen Hürden, um das langersehnte Instrument Quellen-TKÜ endlich auf breiter Front einsetzen zu dürfen, in das man mittlerweile massenweise Zeit und Geld versenkt hat. Sogar der Generalbundesanwalt, der die leitende Staatsanwaltschaft für das BKA ist und mangels Rechtsgrundlage keine Trojaner im Strafverfahren einsetzt, wird abgebügelt. Frei nach dem Motto: Es wird schon andere geben, die so doof oder so skrupellos sind, rechtswidrige Maßnahmen zu genehmigen.
Die Auffassung des GBA entfaltet keine Bindungswirkung für andere Staatsanwaltschaften oder Gerichte.
Das BMI verschließt auf ganzer Linie die Augen vor der Verfassungswidrigkeit des Staatstrojaners-Einsatzes ohne klare gesetzliche Grundlage. Und wenn es nach dem BMI ginge, gäbe es den Trojaner gar nicht:
Mit „Trojaner“ werden in der Regel Schadprogramme bezeichnet, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden. Von den Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern werden deshalb keine Trojaner eingesetzt.
Wir halten es mit der Wikipedia:
Trojanische Pferde sind Programme, die gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen.
Durch Schönreden und Ignorieren wird der Trojaner auch nicht weniger rechtswidrig.
Fragen und Antworten im Volltext
1. Auf welchen rechtlichen Grundlagen (bitte jeweils konkrete Paragraphen benennen) soll der sog. „Bundestrojaner“ eingesetzt werden, dessen Genehmigung das BMI heute bekanntgegeben hat?
Mit „Trojaner“ werden in der Regel Schadprogramme bezeichnet, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden. Von den Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern werden deshalb keine Trojaner eingesetzt.
Bei der am 22. Februar 2016 freigegeben Software handelt es sich um ein im BKA entwickeltes System zur Durchführung von Quellen-TKÜ, die nachfolgenden Aussagen beziehen sich daher darauf. Die für Quellen-TKÜ genutzte Software ist ausschließlich auf die Überwachung laufender Kommunikation, also z. B. Internet-Telefongespräche oder Chatverkehr beschränkt. Eine Online-Durchsuchung des Zielsystems ist damit nicht möglich.
Die Quellen-TKÜ ist eine technische Gestaltung der Telekommunikationsüberwachung. Sie kann im Geschäftsbereich des Bundesministeriums des Innern im Fall der Strafverfolgung (repressiv) gem. §§ 100a, b StPO, im Fall der polizeilichen Gefahrenabwehr (präventiv) nach §§ 4a, 20 l Abs. 1 i.V.m. Abs. 2 BKAG sowie zur nachrichtendienstlichen Aufklärung durch das Bundesamt für Verfassungsschutz auf der Grundlage von § 3 des Gesetzes zur Beschränkung des Brief‑, Post- und Fernmeldegeheimnisses (G10) erfolgen.
2. Soll der „Bundestrojaner“ auch zu repressiven Zwecken – also im Strafverfahren – eingesetzt werden?
Der Einsatz der Quellen-TKÜ-Software ist auch im Ermittlungsverfahren grundsätzlich möglich und geplant, wenn eine richterliche Anordnung vorliegt.
Falls ja:
2a) auf welcher rechtlichen Grundlage (bitte konkrete Paragraphen benennen)?
vgl. Antwort zu Frage 1.
2b) wie verträgt sich dies mit dem Rechtsgutachten des Generalbundesanwalts, wonach die Strafprozessordnung KEINE Rechtsgrundlage für den Einsatz von Trojanern bietet, auch nicht zur Quellen-TKÜ? vgl. http://www.heise.de/newsticker/meldung/Staatstrojaner-Bundesanwaltschaft-sieht-keine-Grundlage-fuer-Quellen-TKUe-1790187.html
Ermittlungsverfahren obliegen der Sachleitungsbefugnis der jeweils zuständigen Staatsanwaltschaft. Diese entscheidet nach Prüfung der tatbestandsmäßigen Voraussetzungen über die Beantragung von im Einzelfall erforderlichen Maßnahmen wie der Quellen-TKÜ beim zuständigen Gericht. Die Auffassung des GBA entfaltet keine Bindungswirkung für andere Staatsanwaltschaften oder Gerichte.
3. Welche „technische Vorkehrungen und rechtliche Vorgaben“ im Sinne der Entscheidung des BVerfG vom 27.2.2008 (Rn. 190) sollen eingesetzt werden, um sicherzustellen, dass ausschließlich laufende Kommunikation erhoben wird? Vgl. http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html
4. Auf welche Weise und durch wen (Firma / Personen) wird ggf. sichergestellt, dass der „Bundestrojaner“ technisch ausschließlich laufende Kommunikation überwachen kann? Haben die Prüfenden ggf. Zugriff auf den Quellcode des „Trojaners“? Werden geeignete Signaturverfahren verwendet, um sicherzustellen, dass der geprüfte Quellcode auch tatsächlich unmodifiziert zum Einsatz kommt? ggf. welche, und signieren die Personen, die den Quellcode prüfen, oder wer signiert sonst?
Hinsichtlich Ihrer Frage 3 und 4 wird das Bundeskriminalamt direkt auf Sie zu kommen. Eine Beantwortung erfolgt durch die Pressestelle des Bundeskriminalamtes.
5. Wird der Bundestrojaner ausschließlich auf der Grundlage richterlicher Anordnungen eingesetzt oder wer ordnet seinen Einsatz sonst jeweils an?
Die Durchführung von Quellen-TKÜ-Maßnahmen erfolgt nach Maßgabe der §§ 100a, b StPO sowie § 20 l Abs. 2 BKAG sowie § 3, 15 G10 (vgl. auch Antwort zu Frage 1).
-
: Bundesdatenschutzbeauftragte dementiert Aussage des Innenministeriums, sie habe Staatstrojaner schon geprüft
Wird durch Ignorieren der Rechtswidrigkeit auch nicht besser: Der Bundestrojaner. : Bundesdatenschutzbeauftragte dementiert Aussage des Innenministeriums, sie habe Staatstrojaner schon geprüft 
Am Montag erteilte das Bundesinnenministerium die Genehmigung für den Staatstrojaner zur Quellen-TKÜ. In der Bundespressekonferenz suggerierte der Sprecher des Innenministeriums, dass die Bundesdatenschutzbeauftragte in das Genehmigungsverfahren eingebunden worden sei:
Plate: Zu Ihrer ersten Frage. Die technischen Tests sind abgeschlossen ebenso wie das, was an rechtlichem Vorlauf erforderlich war, insbesondere die erfolgreiche Beteiligung der Datenschutzbeauftragten. Potenziell kann das Instrument also jederzeit zum Einsatz kommen, wenn es ein entsprechendes Verfahren gibt. Das geschieht nach den Voraussetzungen, die das Gesetz vorsieht. Logischerweise kann es nur dann zum Einsatz kommen, wenn und sobald die Voraussetzungen vorliegen.
Einige Medien berichteten daraufhin, dass die Bundesdatenschutzbeauftragte Andrea Voßhoff den Bundestrojaner geprüft hat (Bsp. Spiegel-Online). Das stimmt aber nicht. Christian Rath schrieb es heute in einem Kommentar in der TAZ und die Pressestelle bestätigte uns die Information, dass es noch keine Prüfung der freigegebenen Software gegeben hat. Die Datenschutzbehörde sei lediglich in die Prüfung der Standardisierenden Leistungsbeschreibung eingebunden gewesen.
Apropos Genehmigung: Interessant ist auch noch diese Antwort auf die Frage, ob die Genehmigung nur für diese eine aktuelle Version erteilt wurde bzw. was geschieht, wenn es ein Update gibt:
Zu der Frage der Fortentwicklung: Mir ist keine konkrete Fortentwicklungsplanung bekannt. Ganz sicher ist aber, dass sich eine Genehmigung logischerweise immer nur auf das beziehen kann, was Gegenstand der Genehmigung war.
Wir haben am Montag dem Bundesinnenministerium Fragen zur rechtlichen Grundlage des Staatstrojaners geschickt. Die Fragen waren offensichtlich so schwierig zu beantworten, dass man dafür 48 Stunden brauchte und die Antwort gerade parallel eingetroffen ist. Wir analysieren die Antworten gerade und berichten gleich mehr.