Weapons of Mass Mobilization

Überwachung

Staatliche Überwachung, Innenpolitik, Cybermilitär und Geheimdienste.

Strategische Initiative Technik: Wir enthüllen, wie der BND für 300 Millionen Euro seine Technik aufrüsten will

Massenüberwachung soll den Cyberraum sicher machen. Symbolbild: <a href="https://www.bnd.bund.de/DE/Themen/Lagebeitraege/Cyber-Sicherheit/Cyber-Sicherheit_node.html">BND</a>.

Strategische Initiative Technik: Wir enthüllen, wie der BND für 300 Millionen Euro seine Technik aufrüsten will

Glasfasern abschnorcheln, Verschlüsselung knacken, Computer hacken: Der BND baut seine Internet-Überwachung massiv aus. Das geht aus dem 300 Millionen Euro teuren geheimen Programm „Strategische Initiative Technik“ hervor, das wir veröffentlichen. Abgeordnete und Zivilgesellschaft kritisieren die neuen Befugnisse und fordern einen Stopp des Aufrüstungsprogramms.

von Andre Meister 21. September 2015 73
: EU-Militärmission im Mittelmeer: Zivile und militärische Sicherheitsbehörden sollen Personendaten austauschen

: EU-Militärmission im Mittelmeer: Zivile und militärische Sicherheitsbehörden sollen Personendaten austauschen

Ende Juni hatten die Regierungen der 28 EU-Mitgliedstaaten den Start der militärischen Mission EUNAVFOR MED im Mittelmeer beschlossen. Ziel ist das Aufspüren der Netzwerke von kommerziellen Fluchthelfern, die in entsprechenden Dokumenten gewöhnlich als „Schlepper“ und „Schleuser“ bezeichnet werden. EUNAVFOR MED untersteht dem Auswärtigen Dienst in Brüssel, der für die Sicherheits- und Verteidigungspolitik zuständig ist.

Die Mission wird als Teil einer „Gesamtinitiative der EU zur Unterbindung des Geschäftsmodells der Menschenschmuggel- und Menschenhandelsnetzwerke im südlichen und zentralen Mittelmeer EU“ bezeichnet. Bislang befand sich EUNAVFOR MED in „Phase 1“, Ziel war die Erstellung eines Lagebildes mithilfe fliegender Seeaufklärer und mit Kriegsschiffen aus Frankreich, Spanien, Deutschland und Luxemburg. Seit Ende Juni beteiligt sich die deutsche Marine mit der Fregatte „Schleswig-Holstein“ und dem Tender „Werra“. Angeführt wird die Mission vom italienischen Flugzeugträger „Cavour“ mit zwei eingeschifften Hubschraubern.

Die italienische Luftwaffe setzt nach Medienberichten zur Aufklärung ihre in den USA gekauften, unbewaffneten Drohnen vom Typ „Predator“ ein. Ein französisches Flugzeug ist vor libyschen Küsten unterwegs, um mit Radartechnologie verdächtige Aktivitäten aufzuklären. Großbritannien beteiligt sich mit einem „Mehrzweckschiff“ HMS Enterprise und einem auf Malta stationierten Hubschrauber, Luxemburg entsendet einen Seefernaufklärer. Die italienische Regierung hat außerdem die Entsendung eines U‑Bootes zugesagt, ein weiteres soll aus Griechenland in See stechen.

Bundeskabinett beschließt Übergang zur „Phase 2/1“

Gestern hat das Bundeskabinett den Übergang zur „Phase 2/1“ beschlossen. Nun sollen auf hoher See Schiffe angehalten, durchsucht und gegebenenfalls beschlagnahmt werden. Dies wäre nach dem Seerechtsübereinkommen zulässig, wenn ein Schiff keine Staatszugehörigkeit besitzt. Führt das Schiff aber eine Flagge, muss vor jeder militärischen Zwangsmaßnahme eigentlich die Zustimmung des Flaggenstaats eingeholt werden. Vermutlich geht es aber vielmehr um Zwangsmaßnahmen gegen kleine Schiffe und Schlauchboote, die flaggenlos unterwegs sind.

Zum Einsatzgebiet von „Phase 2/1“ gehören das „mittlere und südliche Mittelmeer“ sowie der entsprechende Luftraum. Gemeint sind die Meeresgebiete südlich Siziliens sowie vor der Küste Libyens und Tunesiens. Während zu Tunesien keine Angaben zu Operationen in Hoheitsgewässern gemacht werden, soll die Mission nur bis 25 nautische Meilen vor den Territorialgewässern Libyens erlaubt sein.

Anvisiert ist in einer späteren „Phase 2/2“, in den Hoheits- und Küstengewässern Libyens oder anderer Staaten zu operieren. Hierfür wäre die Zustimmung der jeweiligen Regierung oder des UN-Sicherheitsrates erforderlich. „Phase 3“ könnte schließlich den Einsatz von Bodentruppen in Libyen ermöglichen, in einer derzeit utopischen „Phase 4“ würde die komplette Mission schließlich an libysche Militärs abgegeben.

Bundestag soll 42,3 Millionen Euro beschließen

Der Übergang zur „Phase 2/1“ soll nun vom Deutschen Bundestag beschlossen werden. Bis zu 950 SoldatInnen und Soldaten könnten eingesetzt werden, was eine deutliche Zunahme der bislang rund 350 Militärs zur Folge hätte. In nicht näher erläuterten „Notsituationen“ soll eine weitere Steigerung möglich sein. Die Mission ist zunächst bis zum 31. Oktober 2016 befristet. Die Kosten für die deutsche Beteiligung an EUNAVFOR MED werden bis dahin mit rund 42,3 Millionen Euro angegeben.

Das militärische Personal soll aber nicht nur Schiffe beobachten und gegebenenfalls entern und durchsuchen. Geplant ist auch, die Daten aller an Bord genommenen Personen zu erheben und zu speichern. Dabei handelt es sich um Geflüchtete und deren mutmaßliche HelferInnen gleichermaßen.

Ziel ist die „Identifizierung besagter Personen“. Außer den Fingerabdrücken und Angaben zur Person und Staatsangehörigkeit werden Beruf, Führerscheine sowie alle Daten mitgeführter Identitätsdokumente und Reisepässe gespeichert.

„Feldnachrichtentruppe“ und „Unterstützungselement Militärisches Nachrichtenwesen“

Erst kürzlich hatte die Bundesregierung mitgeteilt, dass schon jetzt alle an Bord genommenen Geflüchteten zu Transitrouten und HelferInnen ausgefragt werden. Die Befragungen können zwar verweigert werden, doch dürften viele der Befragten wegen vermuteter Nachteile im späteren Asylverfahren davon keinen Gebrauch machen. Vor jeder Befragung müssten die Betroffenen eigentlich belehrt werden, dass sie sich nicht selbst belasten müssen. Denn Behörden leiten Ermittlungsverfahren ein, wenn Geflüchtete Boote gesteuert haben und dafür weniger Geld für die Überfahrt bezahlen mussten.

Die Bundeswehr hat mit den Befragungen eine „Feldnachrichtentruppe“ beauftragt. Auch der Bundesnachrichtendienst beteiligt sich mit einem „Unterstützungselement Militärisches Nachrichtenwesen“. Inwiefern dort Personendaten erhoben und verarbeitet werden, war aber unklar. Auch war unbekannt, welche Nachrichtendienste und Polizeien gemeinsame Dateien führen. In Medienberichten ist hierzu von einem „gemeinsamen Informationspool“ die Rede.

Konkreter wird die Bundesregierung nun zu den Modalitäten für die „Phase 2“. Demnach sollen die erhobenen Daten zu Personen und von ihnen benutzten „Schiffen und Ausrüstungen“ an die einschlägigen Strafverfolgungsbehörden der EU-Mitgliedstaaten weitergeleitet werden. Auch „die zuständigen Stellen der Union“ würden beliefert. Zwar wird diese nicht direkt benannt, doch dürfte es sich dabei um die Polizeiagentur Europol handeln, die selbst mit zwei maritimen Lagezentren in Den Haag und Catania/Sizilien Netzwerke von „Schleusern“ ermitteln will. Unter Mitarbeit des Bundeskriminalamtes nutzt Europol hierfür vor allem Finanzermittlungen.

von Matthias Monroy 17. September 2015 3
: Grüne und Linke verklagen Bundesregierung wegen vorenthaltener Selektorenliste

Auszug aus der Klageschrift der Opposition zur Herausgabe der 38.000 abgelehnten NSA-Selektoren.

: Grüne und Linke verklagen Bundesregierung wegen vorenthaltener Selektorenliste

Linke und Grüne im Bundestag erheben vor dem Bundesverfassungsgericht Klage gegen die Bundesregierung. Dabei geht es um die Weigerung der Regierung, dem NSA-Untersuchungsausschuss die Selektorenliste vorzulegen, mittels derer der Bundesnachrichtendienst Telekommunikationsdaten durchsucht und an die NSA weiterleitet. Das ist laut Linken und Grünen eine Missachtung des Rechts zur Aktenvorlage des Ausschusses.

Die Bundesregierung behauptete, die US-Regierung stimme der Übergabe nicht zu, was von dieser bestritten wird. Stattdessen wurde unter Einigung von Union und SPD ein Sonderbeauftragter eingesetzt, der ehemalige Bundesverwaltungsrichter Kurt Graulich. Er soll sich mit den Selektoren beschäftigen und danach dem Ausschuss Bericht erstatten. Dieser Vorschlag war von Beginn an unbefriedigend, da Graulich nicht erlaubt ist, den Abgeordneten „im Detail“ über seine Erkenntnisse zu berichten und zudem bekannt gab, sich vor allem „loyal gegenüber dem Auftraggeber“, der Bundesregierung, verhalten zu wollen, doch gerade diese steht mittlerweile für die größtmögliche Behinderung der Aufklärung. Desweiteren ist fraglich, ob Graulich die notwendige technische Expertise für eine derartige Aufgabe besitzt – dass ihm BND-Mitarbeiter dabei unterstützen sollen, macht das Vertrauen nicht größer.

USA haben nicht das Recht, die Herausgabe der Selektoren an den Bundestag zu verbieten

In der Klageschrift wird ausgeführt, dass es keinen Anspruch der Five-Eyes darauf gibt, dass Tatsachenfeststellungen über das Verhalten oder politische oder rechtliche Kritik unterlassen werden, auch eine Vereinbarung mit den USA in Form eines Notenwechsels würde das Aktenvorlagerecht nicht aufheben können, schon gar nicht, wenn die Vereinbarungen der Öffentlichkeit nicht zugänglich gemacht werden.

Generell liege der Umgang mit Verschlusssachen in den Händen des Staates, der sie empfängt und nicht im Entscheidungsrecht der USA.

Argument „Gefährdung des Staatswohles von USA und Deutschland“ nicht plausibel

Auch das Argument, das „Staatswohl“ der USA sei gefährdet, erkennt die Opposition für den vorliegenden Fall nicht an. Zwar sei das Zurückhalten von Dokumenten ein geeignetes und legitimes – eventuell sogar erforderliches – Mittel zu diesem Schutzzweck, angemessen sei es hier jedoch nicht. Das liege daran, dass eine endgültige Ablehnung der vollständigen Aktenvorlage vorliege, die von der Bundesregierung zusätzlich verzögert worden sei. Sie habe wohl nie vorgehabt, die Akten vorzulegen, unabhängig von einer Genehmigung durch die USA. Es sei der Regierung nicht um eine vorübergehende Lösung gegangen, bis vollständige Aktenvorlage gewährt werden kann.

Öffentliches Bekanntwerden der Selektoren durch Übergabe an den Bundestag unwahrscheinlich

Zusätzlich hält die Opposition es für sehr unwahrscheinlich, dass das Staatswohl sowohl der USA als auch Deutschlands durch die Herausgabe der Liste an die Abgeordneten gefährdet sei, da ausreichende Geheimschutzvorkehrungen bestünden. So besagt auch ein früheres Urteil des Bundesverfassungsgerichtes:

Das Parlament und seine Organe können nicht als Außenstehende behandelt werden, die zum Kreis derer gehören, vor denen Informationen zum Schutz des Staatswohls geheim zu halten sind.

Außerdem sei der Kreis der Mitglieder des Ausschusses mit acht Abgeordneten und acht Stellvertretern sehr klein:

Vor diesem Hintergrund ist es in keiner Weise erkennbar, dass es infolge einer Aktenvorlage an den 1. Untersuchungsausschuss zu einer Indiskretion kommen könnte. Erst recht ist nicht erkennbar, dass ein solches Risiko in einem größeren Umfang besteht, als es bei der von der Regierung der Vereinigten Staaten von Amerika unzweifelhaft gewollten Kenntnisnahme von den Verschlusssachen im Bereich der deutschen Exekutive (des Bundesnachrichtendienstes und des vorgesetzten Bundeskanzleramts) der Fall wäre.

Angst vor Peinlichkeit ist kein Grund zur Geheimhaltung

Vielmehr sei zu befürchten, dass sich durch die Veröffentlichung von Information offene Kritik ergeben würde, die unangenehm und peinlich werden könne. Doch: Dieses Kind ist bereits durch vorige Erkenntnisse zur Arbeit von BND und NSA in den Brunnen gefallen. Es ist doch die Aufgabe des Parlaments, politisch unangenehme und peinliche Vorgänge aufzuklären.

Gefährdung der Zusammenarbeit von NSA und BND nicht ausreichend begründet

Ein weiteres Problem ist, dass die deutsche Regierung seit Beginn der NSA-Affäre immer wieder betont, dass durch Bekanntwerden von Informationen die „vertrauensvolle Zusammenarbeit“ mit den USA beeinträchtigt und die Zusammenarbeit der NSA mit dem BND eventuell eingestellt werden könnten. Um das als Grund zu nutzen, muss dieser aber plausibel ausgeführt werden – das Sprechen in Konjunktiven und der ständige Gebrauch von Formulierungen wie „unter Umständen“ zeigt, dass die Regierung dazu nicht in der Lage ist. Presseberichte, die Informationen enthalten, dass die USA sich eben nicht eine Genehmigungspflicht vorbehalten hätte, scheinen da wesentlich konkreter und glaubwürdiger. Weiterhin:

In diesem Zusammenhang ist es auch von Bedeutung, dass die Zusammenarbeit von Nachrichtendiensten niemals einen Informationsfluss nur von der einen – hier etwa der amerikanischen – zu der anderen – hier der deutschen – Seite beinhaltet. Reduzierte die amerikanische Seite also die Zusammenarbeit mit den deutschen Diensten, so wäre dies nicht zuletzt ihr eigener Schaden.

Bundesregierung hält wichtige Beweismittel zurück und blockiert Arbeit des Untersuchungsausschusses

Die Opposition hat schon früh angekündigt, auf Herausgabe der Selektorenliste klagen zu wollen. Auch der Wissenschaftliche Dienst des Bundestages kam zu dem Ergebnis, dass „der Zugang zu Material, das [einem] Ermittlungsbeauftragten zugänglich ist, nicht verweigert werden“ darf.

Durch die Verweigerung der Selektorenliste wird den Abgeordneten ein wichtiges Beweismittel vorenthalten, das sie zur Erfüllung ihres Untersuchungsauftrages benötigen. Die Beweismittel waren im Februar 2015 in den Beweismittelanträgen BND-26 und BK-14 beschlossen worden. Bis zum 15. April 2015 sollten unter anderem alle Akten, Dokumente und Daten an den Ausschuss übermittelt werden, die …

[…] Auskunft darüber geben, welche Erkenntnisse beim Bundesnachrichtendienst darüber vorlagen oder vorliegen, inwiefern die National Security Agency im Rahmen der Zusammenarbeit in der Joint SIGINT Activity Aufklärung gegen deutsche Ziele oder deutsche Interessen […] versucht oder tatsächlich betrieben hat und wie deutsche Behörden darauf reagierten

Wir sind gespannt, was sich aus der Klage ergeben wird. Zunächst ist zu hoffen, dass das Bundesverfassungsgericht sich des Falles schnell annimmt, da die Arbeit des Untersuchungsausschusses weitergehen muss und die Informationen maßgeblich für die Abgeordneten und damit für die Aufklärung sind.

Auszüge aus den Statements der Abgeordneten

In der heutigen Pressekonferenz von Linken und Grünen äußerten sich Abgeordnete und der Verfahrensbevollmächtigte über ihre Motivationen und Erwartungen:

Martina Renner, Obfrau der Linken im Untersuchungsausschuss:

Ich entschuldige mich für die Schwärzungen in der Antragsschrift, wir müssen Geheimschutzbestimmungen einhalten. […] Warum reichen wir die Klage ein? Es geht darum, dass die Kontrollrechte des gesamten Parlamentes verletzt wurden. Diese Verletzung soll durch Klage gerügt und behoben werden. Wir hoffen, dass am Ende die Selektorenliste als Beweismittel vorgelegt wird. Es kann keinen Bereich geben, der sich der Parlamentarischen Kontrolle entzieht. Dieses Recht lassen wir uns nicht nehmen. […]

Es ist unsere Aufgabe, Vorgänge, die der Bundesregierung unangenehm und vielleicht sogar peinlich sind, aufzuklären […]

Wir haben das Bundesverfassungsgericht gebeten, die Klage mit Dringlichkeit zu behandeln. Wir brauchen die Selektorenliste jetzt. Wenn die Beweisaufnahme erfolgreich sein soll, brauchen wir dieses Beweismittel ganz dringend für eine stringente Beweisaufnahme.

Konstantin von Notz, Obmann der Grünen:

Im Kern geht es um die Frage, wer wen kontrolliert. Kontrolliert das Parlament die Bundesregierung oder die Geheimdienste, kontrolliert sich die Bundesregierung selbst, kontrollieren sich die Geheimdienst selbst?

Man hat bewusst Dinge verschwiegen und falsche Tatsachen behauptet. Das Vorenthalten der Beweismittel ist eine Fortsetzung dessen. Das steht in harter Diskrepanz zu dem, was am Mikrofon gesagt wird – dass man an Aufklärung interessiert ist. […] Man ist auch bereit, verfassungsrechtliche Normen zu umschiffen […]

Wir haben kuriose Arbeitsbedingungen im Untersuchungsausschuss. Geschwärzte Listen, es gibt Akten, da fehlt der Großteil der Dokumente, wir haben Schwärzungswiesen. Die Einstufung auf GEHEIM und STRENG GEHEIM ist absurd und behindert unsere Arbeit. […] Die Geheimschutzstelle hat die Öffnungszeiten einer öffentlichen Bibliothek […] es ist schwer, der umfangreichen Arbeit während der normalen Arbeitszeiten nachzukommen.

Es geht hier um parlamentarische Rechte und das Selbstverständnis des deutschen Bundestages.

Petra Sitte, Parlamentarische Geschäftsführerin der Linken:

Man könnte fragen, warum ist uns das mit der Selektorenliste so wichtig? Weil dort der Kern des Untersuchungsgegenstandes berührt wird […] Es wird zu diskutieren sein, inwieweit das Geheimschutzabkommen mit den USA überhaupt verletzt worden wäre. Die Bundesregierung hat betont, dass sie eine eigene Entscheidung treffen wird […], hat das aber nicht gegenüber den USA getan. […]

Wenn die Regierung hier von Staatswohl gesprochen hatte, geht es wohl hier eher Regierungswohl.

Britta Haßelmann, Parlamentarische Geschäftsführerin der Grünen:

Wir werden daran gehindert, diesem Untersuchungsauftrag, der verfassungsrechtlich verbrieft ist, nachzukommen. […] In der Verfassung ist vorgesehen, dass der Untersuchungsausschuss selbstverständlich Beweismittel bekommt, um seinem Auftrag nachkommen zu können. […] Ich bin mir nicht sicher, ob die Abgeordeten von SPD und Union wissen, was sie da tun. […] Ich finde es eine Hybris, wie die Große Koalition hier agiert. Daher haben wir uns entschlossen, vor das Verfassungsgericht zu gehen.

Prof. Dr. Wolfgang Ewer, Verfahrensbevollmächtigter:

Heute morgen war meine Laune nicht so gut wie vor anderen Pressekoferenzen. Mir war klar, dass ich heute hier hinkommen würde und ihre Erwartungen enttäuschen muss […] Das Problem des Geheimschutzes zieht sich bis in die heutige Pressekonferenz. Die entscheidenden Begründungen der Bundesregierung als auch die angeblich entscheidenen völkerrechtlichen Abkommen unterliegen dem Geheimschutz […]

Der Umfańg des Geheimschutzes erschweren die Darstellung des Antrags gegenüber der Öffentlichkeit und die Erstellung des Antrags […]

[erzählt Anekdoten aus der Arbeit:] Wir haben gefragt, ob wir gering eingestufte Schriftstücke in die Kanzlei bekommen dürfen. Dafür sei ein Tresor erforderlich,den haben wir. Dann wurde gesagt, der genügt nicht den Anforderung des BSI, da er nicht doppelt verschließbar sei […] Wir haben erwogen, einen den Anforderungen genügenden Tresor zu erwerben. Doch auch das reichte nicht, es sei auch eine 24h-Überwachung des Büros erforderlich. Das war nicht zu leisten […]

Es gibt ein Kryptofax bei BfV Schleswig-Holstein. Dort durfte ich unter Aufsicht Schriftstücke in Augenschein nehmen […] Es war wie in 60er Jahren, ein Gang ohne Namen an den Türen, ein diffuses Zimmer mit Hanteln, wo vielleicht mal ein Special Agent war. Dort durften wir die Schriftstücke angucken […]

Die Geschichte ging weiter, nach gewisser Zeit ist man zu Ergebnis gekommen, gering eingestufte Schriftstücke doch zur Verfügung zu stellen, wenn ich sie nicht aus den Augen lasse […] Wenn ich zur Toilette musste, musste ich die Schriftstücke mitnehmen […] Normalerweise arbeiten zusätzliche Kollegen zur Unterstützung mit, hier muss man alles allein machen, weil nur sicherheitsüberprüfte Personen das tun durften.

Es liegt auf der Hand, dass diese Schwierigkeiten nicht nur mich treffen. Auch das Bundesverfassungsgericht ist betroffen, denn nicht jeder ist dort sicherheitsüberprüft […] Die Richter am BVerfG sind „geborene Geheimnisträger“, da sie Mitglieder eines obersten Verfassungsgerichtes sind […]

Für alle Beteiligten bedeutet das eine deutliche Erschwerung […] Natürlich besteht ein Interesse daran, dass dieses Verfahren möglichst rasch entschieden werden muss. Das BVerfG wird mehrere Mitarbeiter sicherheitsüberprüfen müssen []

Man muss sich fragen, ist das eine unausweichliche Erschwerung oder ist sie auch durch die Bundesregierung politisch motiviert. Ich will das ihrer Einschätzung überlassen […]

Die Akten spielen eine wichtige Rolle, um sie Zeugen vorzuhalten. Es geht nicht um isolierte Erkenntnisse, sondern darum, effektiv den Auftrag wahrnehmen zu können […]

Die Bundesregierung meint, es gibt einen Notenwechsel, aufgrund dessen die USA der Aktenübergabe zustimmen müssten. Verschlussachen dürften nur von Regierung zu Regierung weitergegeben werden […] Aber das hat nichts mit der Frage zu tun, wer davon Kenntnis haben darf oder nicht […]

Solche Vereinbarungen sind immer zweisprachig. Im Englischen hat Regierung – government – eine Doppelbedeutung. Wenn wir voḿ Regierungssystem sprechen, meinen wir das gesamte Staatssystem […]

Welchen Rechtscharakter kann etwas haben, das nicht öffentlich zugänglich ist? Es hat seinen Grund, warum eines der Kernelemente ist, dass erlassene Gesetze verkündet werden. Eine nicht zugängliche Rechtsnorm würde unserem Staatsverständnis deutlich widersprechen […]

Es geht um die Frage, ob Europa und Deutschland im Internet quasi Freiwild sind.

von Anna Biselli 17. September 2015 13
: Funkzellenabfrage in Berlin: Vielleicht werden Sie gerade überwacht

"Überwachung ist Homöopathie für Strafverfolger." <a href="https://creativecommons.org/licenses/by-sa/2.0/">CC BY-SA 2.0</a>, via flickr/<a href="https://www.flickr.com/photos/greenoid/17321473103/">Frerk Meyer</a>

: Funkzellenabfrage in Berlin: Vielleicht werden Sie gerade überwacht

Nicht nur die NSA, auch Behörden haben Möglichkeiten, auf unsere Telekommunikation zuzugreifen. Die massenhafte Erfassung von Handydaten bringt wenig – und die parlamentarische Kontrolle wird verwehrt.

von Gastbeitrag 14. September 2015 20
: Bundesregierung so: Voraussetzungen und Kosten für Vorratsdatenspeicherung? Kümmern sich andere drum.
: Bundesregierung so: Voraussetzungen und Kosten für Vorratsdatenspeicherung? Kümmern sich andere drum.

Der Gesetzentwurf der Bundesregierung zur Vorratsdatenspeicherung ist in mehrerlei Hinsicht fragwürdig. Sowohl das übereilte Enstehen des Gesetzesentwurfs als auch der offensichtlich grundrechtsverletzende Inhalt lassen an einer sorgfältigen Arbeit zweifeln – nun fielen auch der EU-Kommission in wirtschaftlicher Hinsicht rechtliche Bedenken auf. Dass die Bundesregierung ihre Vorratsdatenspeicherungspläne nicht gut begründen kann, zeigen zusätzlich ihre Antworten auf eine Kleine Anfrage (OCR-Volltext) von Jan Korte, dem stellvertretenden Fraktionsvorsitzenden der Linken im Bundestag.

Die Anfrage bezieht sich vor allem darauf, wie der Gesetzesentwurf zustande kam, wer die Kosten für eine Einführung zu tragen hat und wie die Daten vor Missbrauch und unberechtigtem Zugriff gesichert werden sollen.

Wie der Gesetzesentwurf zustande kam

Die Bundesregierung gibt an, sie halte grundsätzlich „engen Gesprächskontakt“ zur EU-Kommission, so auch im Nachgang des Urteils des Europäischen Gerichtshofs (EuGH) im April 2014, der die EU-Vorratsdatenspeicherungsrichtlinie für nichtig erklärte. Federführend sei dabei das Bundesjustizministerium (BMJV), ein erster Geprächstermin in Sachen Vorratsdaten sei am 27. Oktober 2014 erfolgt. Leider wird trotz der Frage danach nicht auf den Inhalt der Gespräche eingegangen. 2014 positionierte sich Justizminister Maas nämlich noch als vehementer VDS-Gegner. Ob er das nur der Öffentlichkeit gegenüber behauptete, lässt sich leider so nicht nachvollziehen.

Auch wie die Koordination zwischen Justiz- und Innenministerium ablief und welche Erwägungen es gab, wird verschwiegen, es werden lediglich drei Gesprächstermine „zur Erstellung der Leitlinien“ zwischen BMJV und BMI genannt, die zwischen dem 31. März und dem 13. April 2015 liegen. Nicht gerade viel für die Erarbeitung eines Grundrechtseingriffes.

Genauso absurd scheint es, dass man sich keine Meinungen Dritter eingeholt hat. Sogar die Bundesdatenschutzbeauftragte wurde nur im Nachgang um Stellungnahme gebeten, ebenso wie „Verbände und Fachkreise“ – bei denen fraglich ist, unter welchen Kriterien sie ausgewählt wurden. Der Arbeitskreis Vorratsdatenspeicherung etwa, der maßgeblich zur Abschaffung der letzten deutschen Vorratsdatenspeicherung beigetragen hatte, befindet sich nicht auf der Liste, dafür aber die Diakonie. An einem ernsthaften Interesse daran, was die konsultierten Stellen zu sagen haben, klingt das nicht. Die „Eilbedürftigkeit des Vorhabens“, die als Ausrede dafür benutzt wird, dass nicht vor Fertigstellung des Entwurfs Meinungen eingeholt wurden, kann nicht belegt werden, denn – Erinnerung: Eine Schutzlücke durch die Abwesenheit der Vorratsdatenspeicherung ist nicht nachweisbar.

Ignoranz gegenüber Umsetzungskosten

Nicht nur die Meinungen der Bundesdatenschutzbeauftragten und zivilgesellschaftlicher Verbände wischt die Bundesregierung weg, auch Branchenverbände werden nicht ernst genommen. So schätzte eco, der Verband der deutschen Internetwirtschaft, dass 2.500 Unternehmen von der Umsetzung gesetzlicher Vorgaben zur Vorratsdatenspeicherung betroffen seien. Der Nationale Normenkontrollrat sprach von insgesamt 600 Millionen Euro Kosten. Die Regierung glaubt an andere Zahlen. Nur 1.000 betroffene Unternehmen und 260 Millionen Euro sollen es sein. Gleichzeitig sagt sie auch:

Die Bundesnetzagentur hat für einen vom nationalen Normenkontrollrat durchgeführten Expertenworkshop eine Kostenschätzung vorgenommen, die zu dem Ergebnis kommt, dass eine fundierte Erhebung derzeit nicht möglich sei.

Die weitere Verantwortung wird auf die Bundesnetzagentur abgeschoben, die einen Anforderungskatalog erstellen werde, von dem die Kosten letztlich abhingen. Korte kritisiert dieses Verhalten:

Die Bundesregierung nimmt offensichtlich die zahlreichen Stellungnahmen der Branchenverbände nicht zur Kenntnis, um lieber weiter von einer viel zu geringen Zahl von betroffenen Unternehmen und entsprechend geringeren Kosten ausgehen zu können. Mit seriöser Politik hat das wenig zu tun.

Eine weitere Frage ist, wer diese Kosten zu tragen hat. Für viele kleinere Unternehmen sind diese nicht eigenständig tragbar, diese bekommen daher im Fall „unbilliger Härten“ Aufwandsentschädigungen. Ob eine solche Härte vorliegt, bleibt der Beurteilung der Bundesnetzagentur überlassen, aber selbst wenn ein Unternehmen den Erfüllungsaufwand erstattet bekommt: In Vorleistung muss es dennoch treten, was mitunter eine ernstzunehmende wirtschaftliche Belastung darstellen kann. Der Bundesregierung ist das egal, so sagte bereits eco-Vorstand Klaus Landefeld:

Dem Gesetzgeber scheint nicht bewusst zu sein, welcher Arbeitsaufwand tatsächlich hinter der Implementierung der nötigen Technik und der Bearbeitung konkreter Anfragen stecken kann.

Genauso egal ist ihr, wo das Geld für die Erstattungen herkommt, das soll „im Rahmen künftiger Haushaltsverfahren“ entschieden werden.

Und die größeren Unternehmen wie die Deutsche Telekom, für die keine unbillige Härte zutrifft? Die sollen die Zusatzkosten „bei ihrer Preisgestaltung einkalkulieren und an ihre Kunden weitergeben“. Komisch, entstehen doch laut den Angaben zum Erfüllungsaufwand im Gesetzesentwurf genau keine Kosten für Bürgerinnen und Bürger. Etwas polemisch zusammengefasst: Wenn nach der Einführung der Vorratsdatenspeicherung unsere Telefonrechnung ansteigt, wissen wir, dass wir in unsere Überwachung investieren. Korte formuliert das so:

Auch wenn die Bundesregierung bei ihrer dreisten Behauptung bleibt, die Bürgerinnen und Bürger hätten keinen zusätzlichen Aufwand, sieht es in der Realität ganz anders aus: Die Verbraucherinnen und Verbraucher müssen entweder über ihre Steuern oder über die Telekommunikationsgebühren für die Vorratsdatenspeicherung und ihre eigene Überwachung bezahlen – Kunden der großen Unternehmen also gleich doppelt.

Datensicherheitsmaßnahmen? Werden sich schon finden.

In den obigen Absätzen wird klar, dass die Bundesregierung in Punkto Finanzierung der Vorratsdatenspeicherung nicht weit gedacht hat. Dasselbe erleben wir, wenn es um Datensicherheit geht. Einer der Hauptkritikpunkte sowohl bei Bundesverfassungsgericht als auch beim Europäischen Gerichtshof war, dass nicht genügend wirksame Vorgaben für die Garantie eines ausreichenden Schutzniveaus existierten. Mit ihren Antworten setzt die Bundesregierung diese Tradition fort. Sie schiebt sämtliche Verantwortung an die Bundesnetzagentur ab.

Die Bundesregierung geht davon aus, dass Anforderungen definiert werden können, die den Anforderungen des § 113f TKG‑E [bzgl. Datensicherheit] gerecht werden.

Diese Annahme wird auf die Sachverständigen bei dem Verfahren des Bundesverfassungsgerichts 2009 gestützt, selbst nachgeforscht wurde nicht mehr, Antworten auf Fragen nach konkret aufgetretenen Sicherheitsproblemen, der Authentifizierung der Daten oder der Sicherung vor dem Zugriff fremder Nachrichtendienste werden schlicht ausgelassen. Man verschließt stur die Augen vor der Realität, dass es keine hundertprozentige Sicherheit geben kann und überlässt die Verantwortung anderen ohne Prüfung der Tatsachen. Korte findet, „wer im Gesetzgebungsverfahren noch keine substantiierte Idee hat, wie die Ausgestaltung aussehen könnte, sollte lieber die Finger davon lassen“.

Ignoranz finden wir auch in der Antwort auf die Frage nach der Überwachungsgesamtrechnung, also der Analyse des Zusammenwirkens all der einzelnen Überwachungsmaßnahmen wie Vorratsdatenspeicherung, Fluggastdatenspeicherung, Geheimdienstüberwachung und Co. und den damit verbundenen Grundrechtsverletzungen. Die Bundesregierung geht nicht einmal auf die Frage ein, sie gibt lediglich zu Protokoll, sie sei den verfassungsrechtlichen Vorgaben verpflichtet. Was diese implizieren und wie das mit der Vorratsdatenspeicherung vereinbar sein soll, wird nicht ausgeführt. Denn, da dürfte es der Bundesregierung gehen wie uns: Gerade in Hinblick auf die Überwachungsgesamtrechnung ist die Vorratsdatenspeicherung gar nicht mit geltenden Grundrechten vereinbar.

Dann beginnt die Bundesregierung, offen falsche Tatsachen zu behaupten: Es ließen sich mit der Vorratsdatenspeicherung keine Bewegungs- und Persönlichkeitsprofile erstellen. Diese Behauptung ist nicht zu halten, wir haben bereits vor Monaten gezeigt, warum.

Schutz vor Missbrauch?

Immer wieder wurde auch debattiert, wie etwa Berufsgeheimnisträger geschützt werden können. Deren Daten dürfen nicht in Einzelverbindungsnachweisen aufgeführt werden, dafür exisitiert eine Liste bei der Bundesnetzagentur, auf der etwa die Nummern der Telefonseelsorge und diejenigen von Abgeordneten stehen. Laut Bundesregierung befinden sich derzeit 5.200 Anschlüsse auf dieser Liste.

Dass diese Liste wenig wirksam ist, wird allein dadurch deutlich, dass nicht klar ist, wer auf dieser Liste steht. Hotlines der Telefonseelsorge, die ständig unter der gleichen Rufnummer erreichbar sind, lassen sich vielleicht noch von vornherein filtern, alle anderen müssten sich zunächst auf die Liste setzen lassen, für Anwälte und andere mit mehreren und eventuell wechselnden Nummern ist das nicht durchführbar. Doch ganz absurd wird es für Investigativjournalisten, die ihre Identität nicht offenbaren können und dementsprechend auch nicht ihr Anonymitätsbedürfnis bei der Bundesnetzagentur anmelden werden. Und keine Sorge: Für die Bundesregierung sind nur diejenigen Journalisten, die „berufsmäßig“ publizieren. Unsere freiwilligen Autorinnen und Autoren hätten damit leider Pech gehabt, auch wenn sie journalistische Arbeit leisten.

Aber Moment: Anonymität, gibt es das überhaupt? Wenn es nach der Bundesregierung geht, in Deutschland zumindest nicht:

„Anonyme Dienste“ im engeren Sinne gibt es in Deutschland nicht.

Fazit: Schade, dass in den Antworten wieder der Reflex nach totaler Kontrolle und mangelnde Beachtung von Grundrechten zusammenfallen. Mehr und mehr komplettiert sich das Bild eines übereilt und schlampig ausformulierten Gesetzes, das in vielen Punkten, so sagt auch Korte, „dem kritischen Blick der Karlsruher Richter nicht standhalten“ dürfte.

Volltext der Antwort auf dem PDF befreit

Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan Korte, Dr. André Hahn, Ulla Jelpke u. a. und der Fraktion DIE LINKE.
„Pläne zur Umsetzung der Vorratsdatenspeicherung“
– Bundestagsdrucksache 18/5851 -

[Vorbemerkung der Fragesteller:]

Der vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) vorgelegte „Entwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (18/5088) wurde am 27. Mai 2015 vom Bundeskabinett beschlossen. Das heftig umstrittene Gesetz soll nach dem Willen der Koalition in zweiter und dritter Lesung im September 2015 beschlossen werden. Ursprünglich sollte das Gesetz noch im Juli 2015 den Bundestag passieren. Als Grund für die Verschiebung nannte der SPD-Fraktionsvorsitzende Thomas Oppermann das sogenannte EU-Notifizierungsverfahren. Gemäß der Richtlinie 98/34/EG müssen die Mitgliedstaaten die Kommission über jeden Entwurf einer technischen Vorschrift vor deren Erlass unterrichten. Ab dem Datum der Notifizierung des Entwurfs ermöglicht eine dreimonatige Stillhaltefrist der Kommission und den anderen Mitgliedstaaten, den notifizierten Wortlaut zu prüfen und angemessen zu reagieren. In dieser Zeit kann der notifizierende Mitgliedstaat die fragliche technische Vorschrift nicht annehmen.

Der Gesetzentwurf von CDU/CSU und SPD sieht neben Änderungen in der Strafprozessordnung (StPO) sowie dem Telekommunikationsgesetz (TKG) auch Anpassungen im Strafgesetzbuch (StGB) sowie dem Einführungsgesetz zur StPO (EStPO) vor. Der Gesetzentwurf sieht weitreichende Maßnahmen zu Sicherung der erhobenen und gespeicherten Verkehrsdaten vor.

Die neu geschaffenen Sicherheitsanforderungen erfordern außerdem insbesondere durch das 4‑Augen Prinzip und durch die erforderliche Datensicherung auf vom Internet getrennten Systemen erhebliche finanzielle Aufwendungen bei den betroffenen Telekommunikationsunternehmen (Telekommunikation-TK). Für die Speicherpflichten und die entsprechenden Sicherungsmaßnahmen sieht der Gesetzentwurf eine Umsetzungsfrist von 18 Monaten vor.

Wir fragen die Bundesregierung:

1. Wann haben im Zeitraum Januar 2014 bis Juni 2015 Gespräche, Treffen, Konsultationen und sonstige vorbereitende Maßnahmen zwischen Vertreterinnen und Vertretern des BMJV sowie des Bundesministeriums des Innern (BMI) zum Thema Vorratsdatenspeicherung (z. B. im Rahmen der Entstehung und Erarbeitung der „Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfristen für Verkehrsdaten“ und des entsprechenden Gesetzentwurfs der Bundesregierung) stattgefunden, und was waren jeweils die genauen Gesprächsthemen und Gesprächsinhalte (bitte nach Datum, Ort, teilnehmenden Personen – gegebenenfalls anonymisiert – und Gesprächsthemen bzw. Gesprächsinhalten auflisten)?

Der Bundesminister der Justiz und für Verbraucherschutz hat am 15. April 2015 Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vorgestellt (abrufbar über www.bmjv.de).

An den nachfolgend genannten Tagen haben jeweils ein Mitglied der Hausleitung des BMJV und des BMI sowie jeweils ein/e Mitarbeiter/in Gespräche in Berlin zur Erstellung der Leitlinien geführt:

31. März 2015

8. April 2015

13. April 2015.

2. Zu welchem Zeitpunkt wurden welche Verbände von der Bundesregierung oder den federführenden Ministerien über den Gesetzentwurf informiert und in welcher Form an der Ausgestaltung beteiligt (bitte nach Datum, Verband. und Beteiligungsform auflisten)?

Der Referentenentwurf ist am 15. Mai 2015 einem breiten Kreis von Verbänden und sonstigen Fachkreisen zur Kenntnis gebracht worden. Eine Auflistung der angeschriebenen Stellen ist als Anlage beigefügt.

3. Zu welchem Zeitpunkt wurde die Bundesdatenschutzbeauftragte von der Bundesregierung oder den federführenden Bundesministerien über den Gesetzentwurf informiert und in welcher Form an der Ausgestaltung beteiligt?

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mit Schreiben vom 15. Mai 2015 Gelegenheit zur Stellungnahme zum Referentenentwurf und am 21. Mai 2015 Gelegenheit zur Stellungnahme zum Regierungsentwurf gegeben worden.

4. Wer trägt für die Auswahl und Beteiligung der Verbände die Verantwortung, und welche Fristen hält die Bundesregierung bei Gesetzesvorhaben von großer Tragweite, wie im Fall der anlasslosen Speicherung der Kommunikationsdaten der ganzen Bevölkerung, in Beteiligungsverfahren für sinnvoll?

Nach § 47 Absatz 3 Satz 2 der Gemeinsamen Geschäftsordnung der Bundesministerien bleiben Zeitpunkt, Umfang und Auswahl bei der Beteiligung von Verbänden und Fachkreisen zu Gesetzgebungsvorhaben grundsätzlich dem Ermessen des federführenden Bundesministeriums überlassen. Im Hinblick auf die Eilbedürftigkeit des Vorhabens wurden die Verbände und Fachkreise über den Referentenentwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten nur unterrichtet. Ihnen bleibt die Möglichkeit, im, Rahmen des Gesetzgebungsverfahrens zu dem Gesetzentwurf der Bundesregierung Stellung zu nehmen.

5. Wieso hat das BMJV im Rahmen der Erstellung des Entwurfs keine Branchen- und Verbändeanhörung durchgeführt?

Die beteiligten Ressorts waren sich einig, dass ein zeitnaher Abschluss des Vorhabens wichtig ist. Daher wurde keine Anhörung von Verbänden und sonstigen Fachkreisen vor der Erstellung eines Regierungsentwurfs durchgeführt. Der Referentenentwurf ist jedoch einem breiten Kreis von Verbänden und sonstigen Fachkreisen zur Kenntnis gebracht worden. Eine Anhörung wird zudem im Ausschuss für Recht und Verbraucherschutz des Deutschen Bundestages stattfinden.

6. Wie ist die Bundesregierung zu dem Ergebnis gekommen, der Erfüllungsaufwand für die Wirtschaft sei nicht bezifferbar (Bundestagsdrucksache 18/5088, S. 3), und welche Verbände, Stellen, Sachverständige etc. wurden zur Frage des Erfüllungsaufwandes wann mit jeweils welchem Ergebnis konsultiert?

Die Bundesregierung ist der Ansicht, dass der Erfüllungsaufwand für die Wirtschaft derzeit nicht beziffert werden kann. Anhaltspunkte für Kosten, die auf Angaben der betroffenen Branchenverbände zu den Auswirkungen der 2007 eingeführten Speicherpflicht beruhen, nennt der Gesetzentwurf bereits. Allerdings weichen die im Gesetzentwurf genannten Angaben der Verbände stark voneinander ab. Die Bundesregierung ist daher der Auffassung, dass auf dieser Grundlage der Erfüllungsaufwand nicht beziffert werden kann. Zudem hängen die tatsächlichen Kosten, die für die Wirtschaft durch die Speicherpflicht entstehen, maßgeblich von der Ausgestaltung des detaillierten Anforderungskatalogs ab, den die Bundesnetzagentur auf der Grundlage der gesetzlichen Regelungen zur Datensicherheit zu erstellen hat. Erst wenn dieser Anforderungskatalog vorliegt, ist für die Unternehmen ersichtlich, welche Änderungen erforderlich sind, um den Vorgaben zu entsprechen. Erst dann ist auch der erforderliche finanzielle Aufwand bezifferbar.

Vor diesem Hintergrund ist von einer Konsultation abgesehen worden.

7. Welche Gründe führten dazu, dass der ursprüngliche Zeitplan zur Verabschiedung des Gesetzentwurfes aufgegeben und die zweite bzw. dritte Lesung nun erst nach der parlamentarischen Sommerpause erfolgen soll?

Die Terminierung von Lesungen des Deutschen Bundestages obliegt nicht der Bundesregierung.

8. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus den Angaben des Branchenverbandes eco – Verband der deutschen Internetwirtschaft e.V., von dem Gesetzentwurf seien bei Verabschiedung 2.500 Unternehmen betroffen?

Der Bundesregierung ist die Berechnungsgrundlage für die in der Fragestellung als Angabe des Branchenverbandes eco bezeichnete Zahl von 2.500 betroffenen .Unternehmen nicht bekannt. Die Bundesregierung geht von einer Zahl von ca. 1.000 betroffenen TK-Unternehmen aus, wie im Gesetzentwurf (Bundestagsdrucksache 18/5088) unter „E2. Erfüllungsaufwand für die Wirtschaft“ dargelegt wurde.

9. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus der Angabe des Deutschen Industrie- und Handelskammertages, die Umsetzung der sogenannten Speicherpflicht verursache Kosten von 600 Millionen Euro (vgl. DIHK-Stellungnahme vom 18. Juni 2015)?

Der DIHK bezieht sich in seiner Stellungnahme vom 18. Juni 2015 auf Angaben des Nationalen Normenkontrollrates, die dieser in seiner Stellungnahme vom 22. Mai 2015 zum Gesetzentwurf gemacht hat. Diese Angabe basiert dabei auf stark voneinander abweichenden Einschätzungen der verschiedenen Verbände. Die Bundesregierung hält an ihrer Auffassung fest, die sie in ihrer Stellungnahme zu der Stellungnahme des Nationalen Normenkontrollrates zum Entwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (NKR-Nr. 3341) dargelegt hat (vgl. Bundesratsdrucksache 249/15 vom 28. Mai 2015, Anlage 2). Die Bundesnetzagentur hat für einen vom nationalen Normenkontrollrat durchgeführten Expertenworkshop eine Kostenschätzung vorgenommen, die zu dem Ergebnis kommt, dass eine fundierte Erhebung derzeit nicht möglich sei. Nach einer groben Schätzung geht sie für die Wirtschaft von ersten Investitionskosten (in die Technik) von ca. 260 Millionen Euro aus. .

10. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus den von Unternehmensseite geäußerten Befürchtungen, die umfassenden Investitionen in den Aufbau der Infrastruktur zur Umsetzung der Speicherpflicht könnten bei einem erneuten Scheitern der Regelung vor dem Bundesverfassungsgericht (BVerfG) oder dem Europäischen Gerichtshof (EuGH) umsonst gewesen sein?

Die Bundesregierung ist der Auffassung, dass der vorgelegte Gesetzentwurf den Vorgaben sowohl des Bundesverfassungsgerichts als auch des Gerichtshofs der Europäischen Union entspricht.

11. Kann die Bundesregierung die Aussage des Nationalen Normenkontrollrates (NKR), wonach das BMJV annehme, dass sich Kosten an die „Kunden weitergeben“ lassen (vgl. Bundesratsdrucksache 249/15, S. 66, II.2 Erfüllungsaufwand Wirtschaft) bestätigen, und wenn ja, mit welchen Kosten für die Kunden in Folge der Wiedereinführung der Vorratsdatenspeicherung rechnet die Bundesregierung konkret?
Wenn nein, wie erklärt sich die Bundesregierung die Feststellung des NKR?

Die Begründung des Gesetzentwurfs (Bundestagsdrucksache 18/5088) enthält auf Seite 29 folgende Ausführungen:

„Weil es sich bei den meisten der ca. 1.000 betroffenen Unternehmen um kleine bis mittlere Erbringer öffentlich zugänglicher Telekommunikationsdienste handelt, für welche die voraussichtlichen Kosten bei der Umstellung eine erhebliche Härte darstellen werden voraussichtlich viele von ihnen eine Entschädigung geltend wachen. Es ist davon auszugehen, dass die übrigen betroffenen Unternehmen diese Kosten bei ihrer Preisgestaltung einkalkulieren und an ihre Kunden weitergeben werden.“

Im Übrigen wird auf die Antwort zu Frage 6 verwiesen.

12. Wenn die Bundesregierung davon ausgeht, dass die Kosten für die Speicherpflicht an die Kunden weitergegeben werden, warum ist unter Erfüllungsaufwand für Bürgerinnen und Bürger „Keiner“ angegeben?

Nach dem Leitfaden zur Ermittlung und Darstellung des Erfüllungsaufwands in Regelungsvorhaben der Bundesregierung in der Fassung von Oktober 2012 umfasst der Erfüllungsaufwand gemäß § 2 Absatz 1 NKRG den „gesamten messbaren Zeitaufwand und die Kosten, die durch die Befolgung einer bundesrechtlichen Vorschrift bei Bürgerinnen und Bürgern, der Wirtschaft sowie der öffentlichen Verwaltung entstehen“. Unter Vorschriften sind Vorgaben zu verstehen, „die bei den Normadressaten unmittelbar zur Änderung von Kosten, Zeitaufwand oder beidem führen“.

Unmittelbare Normadressaten des Gesetzentwurfs zur Höchstspeicherfrist sind nur Erbringer von Telekommunikationsdiensten und Teile der Verwaltung.

13. Warum sieht der Gesetzentwurf eine Entschädigungsregelung für erforderliche Investitionen und gegebenenfalls gesteigerte Betriebskosten nur für solche Unternehmen vor, für die die Durchführung der Speicherverpflichtung eine „erdrosselnde Wirkung“ haben könnte, und zu welchem Zeitpunkt und durch welche Einrichtungen soll das Vorliegen einer solchen „erdrosselnden Wirkung“ geprüft werden?

Das Bundesverfassungsgericht hat klargestellt, dass es verfassungsrechtlich unbedenklich ist, wenn die Unternehmen die für die Speicherung anfallenden Kosten grundsätzlich selbst tragen müssen (BVerfGE 125, 260, 361). Etwas anderes gilt nur, wenn .die Regelung bei einer größeren Betroffenengruppe das Übermaßverbot verletzt, und die Kostenlasten erdrosselnde Wirkung hätten. Vor diesem verfassungsrechtlichen Hintergrund sieht § 113a Absatz 2 TKG‑E die Zahlung einer angemessenen Entschädigung für die Aufwendungen vor, die den Unternehmen durch die Umsetzung der Speicherpflicht entstehen, wenn dies zur Abwendung oder zum Ausgleich unbilliger Härten geboten erscheint.

Die Prüfung der Voraussetzungen des § 113a Absatz 2 TKG‑E erfolgt auf Antrag durch die Bundesnetzagentur.

a) Was bedeutet „erdrosselnde Wirkung“ im Detail, und was versteht die Bundesregierung konkret unter „unbillige Härten“?

Die Anwendung dieser Vorschrift im Einzelfall obliegt der Bundesnetzagentur.

b) Aus welchem Etat des Bundeshaushalts soll das Geld für die anstehenden Entschädigungen der TK-Diensteanbieter kommen?

Über die Finanzierung der mit dem Gesetzesvorhaben verbundenen Haushaltsbelastungen wird im Rahmen künftiger Haushaltsverfahren entschieden.

14. Wie soll verhindert werden, dass der Entschädigungsanspruch nicht wahrgenommen werden kann, da gerade bei kleineren Unternehmen der Nachweis der erdrosselnden Wirkung im Einzelfall zu kompliziert und aufwändig sein könnte?

Erwägungen zur Wirtschaftlichkeit der Geltendmachung von Entschädigungsansprüchen fallen in den Verantwortungsbereich der anspruchsberechtigten Unternehmen.

15. Sieht die Bundesregierung durch das Verbot, die Daten auch im EU-Ausland zu speichern, EU-rechtliche Probleme sowie Restriktionen bei der Konzeptionierung von pan-Europäischen Diensten und erwägt sie deshalb den TK-Anbietern die Speicherung der Daten auch EU-weit zu gestatten?
Falls ja, welche Stellung bezieht die Bundesregierung in diesem Fall zu den Vorwürfen, dass die in anderen Mitgliedsstaaten der Europäischen Union (z. B. Großbritannien, Frankreich, Schweden) gelagerten VDS-Daten keinem ausreichenden Schutz vor dem Abgriff nationaler Geheimdienste unterlägen oder dass die dortigen aktuellen Datenschutzbedingungen deutschen Ansprüchen nicht genügen würden?

Wie in der Gesetzesbegründung auf Seite 43 f. ausgeführt wird, verstößt das Verbot nach Ansicht der Bundesregierung nicht gegen EU-Recht, insbesondere nicht gegen die Dienstleistungsfreiheit, da es mit zwingenden Erfordernissen des Allgemeinwohls begründet werden kann.

16. Aus welchen Gründen hält die Bundesregierung die im Gesetzentwurf vorgesehene Umsetzungsfrist von 18 Monaten für die Speicherpflichten und die entsprechenden Sicherungsmaßnahmen für realistisch, und welche Folgen hätte eine nicht fristgerechte Umsetzung für die jeweiligen TK-Anbieter, und welche Stellung bezieht die Bundesregierung zu der vom Wirtschaftsausschuss des Bundesrates vorgeschlagenen Verlängerung der Frist zur Umsetzung der Speicherpflicht von 18 auf 24 Monate (siehe Bundesrats-DS 249/1/15)?

Die Bundesregierung hat sich bei den vorgesehenen Fristen an bisherigen Erfahrungen bei der Umsetzung ähnlicher technischer Vorgaben im Telekommunikationsbereich orientiert. Eine nicht fristgerechte Umsetzung würde eine Ordnungswidrigkeit nach Artikel 2 Nummer 4 Buchstabe a Doppelbuchstabe bb des Gesetzentwurfs darstellen und könnte mit einer Geldbuße gemäß Artikel 2 Nummer 4 Buchstabe b Nummer 1 bis 3 des Gesetzentwurfs geahndet werden. Voraussetzung hierfür ist jedoch, dass der Verpflichtete vorsätzlich oder fahrlässig handelt.

17. An welchen Einsatz eines als besonders sicher geltenden Verschlüsselungsverfahrens im Rahmen der nach § 113d Satz 2 TKG‑E erforderlichen technischen und organisatorischen Maßnahmen zum Schutze der nach § 113b Abs. 1 TKG‑E zu speichernden Daten denkt die Bundesregierung dabei konkret, und um welches Verschlüsselungsverfahren handelt es sich dabei?

Das Verschlüsselungsverfahren sowie die Umsetzung der Anforderungen der §§ 113b bis 113e TKG‑E wird die Bundesnetzagentur im Benehmen mit Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Anforderungskatalog nach § 113f TKG‑E unter Berücksichtigung des Standes der Technik sowie der Fachdiskussion festlegen. Die Bundesregierung geht davon aus, dass Anforderungen definiert werden können, die den Anforderungen des § 113f TKG‑E gerecht werden. So haben beispielsweise auch die vom Bundesverfassungsgericht im Jahr 2009 angehörten Sachverständigen nicht vorgetragen, eine technische Umsetzung wäre unmöglich, sondern im Gegenteil technisch machbare Lösungsansätze dargestellt.

18. Wie kann nach Auffassung der Bundesregierung ein hinreichender Schutz der erhobenen Vorratsdaten vor unberechtigtem Zugang und unberechtigter Nutzung, insbesondere gegen entsprechende Bestrebungen von in- und ausländischen Geheimdiensten, gewährleistet und mögliche Manipulationen vollständig ausgeschlossen werden?

Siehe Antwort zu Frage 17.

a) Wie stellt sich die Bundesregierung in diesem Zusammenhang beispielsweise zu einer im April 2014 im „Strong Swan“ Code aufgetauchten signifikanten Sicherheitslücke (https://www.strongswan.org/blog/2014/04/14/strongswan-authentication-bypass-vulnerability-%28cvc-2014–2338%29.html), die u. a. Grundlage der für die Übermittlung von VDS-Daten installierten SINA-Boxen war und ist (siehe z. B. hier: http://www.strongswan.org/tcg/icg__munich_2011.pdf)?

Siehe Antwort zu Frage 17.

b) Kann die Authentizität von derart übermittelten VDS-Daten aus Sicht der Bundesregierung zweifelsfrei garantiert werden? (Bitte begründen)

Siehe Antwort zu Frage 17.

19. Sieht die Bundesregierung beim § 100j StPO, der für die Bestandsdatenauskunft gerade keinen Richtervorbehalt vorsieht, Regelungsbedarf, wenn künftig auf die Vorratsdaten unbegrenzt zugegriffen werden kann, da der Provider intern Vorratsdaten nutzen muss, um die zu einer IP-Adresse passenden Bestandsdaten herauszufinden und zu beauskunften?

Der Gesetzentwurf sieht eine Änderung des § 100j StPO dahingehend vor, dass für Bestandsdatenauskünfte zu Internetprotokoll-Adressen auf nach §113b TKG gespeicherte Verkehrsdaten zurückgegriffen werden darf. Weitergehenden Änderungsbedarf sieht die Bundesregierung nicht.

20. Wie will die Bundesregierung technisch und normenklar ausschließen, dass nicht nur die Daten derer erfasst werden, die kommunizieren, sondern auch die Daten der Personen, die die technische Infrastruktur vorhalten?

Die zu erfassenden Verkehrsdaten werden, wie auch die sogenannten Billingdaten, dergestalt erhoben, dass keine weiteren Daten enthalten sein können. Zudem wird eine Filterstufe vor der Speicherung notwendig werden, die unter anderem der Umsetzung des § 113b Absatz 6 TKG‑E dient.

21. Wie definiert die Bundesregierung den Begriff „elektronische Post“?

Der Begriff „elektronische Post“ bezeichnet die allgemein als „E‑Mail“ bekannte Art der Versendung und des Empfangs von briefähnlichen Nachrichten auf elektronischem Weg über Telekommunikationsnetze.

22. Wie soll technisch und normenklar verhindert werden, dass aufgrund der Zuordnung der von der Vorratsdatenspeicherung erfassten IP-Adresse zu einem Anschlussinhaber bei Ermittlungen in einem zweiten Schritt durch Zugriff auf die Daten auf dem Rechner des Empfängers oder die Daten beim Provider der Weg einer E‑Mail deanonymisiert werden kann?

Ein Zugriff auf Daten durch die Strafverfolgungsbehörden ist nur unter den Voraussetzungen der jeweils einschlägigen Ermächtigungsgrundlage der Strafprozessordnung möglich.

23. Wie soll im Fall einer IP-Vorratsdatenspeicherung technisch und normenklar verhindert werden, dass die Sicherheitsbehörden, nach der Identifizierung eines anonymen Nutzers über die IP-Adresse, mithilfe von der von den Diensteanbietern gelieferten Daten über Referer, Cookies, Identifier oder Benutzerkonten des Betroffenen, ermitteln können, auf welchen Seiten der Betroffene im Internet gesurft oder was er sonst noch im Internet getan hat?

Ein Zugriff auf Daten durch die Sicherheitsbehörden ist nur unter den Voraussetzungen der jeweils einschlägigen Ermächtigungsgrundlage möglich. Referer, Cookies, Identifier oder Benutzerkonten unterfallen nicht der Speicherpflicht.

24. Wie und in welchem Umfang wäre durch den vorgeschlagenen Gesetzentwurf die Erfassung von SMS und MMS betroffen?

Betroffen sind die Erbringer von öffentlich zugänglichen Telefondiensten in dem durch den Entwurf definierten Umfang. Dies betrifft grundsätzlich auch die Speicherung von Verkehrsdaten für die Übermittlung einer Kurz‑, Multimedia- oder einer ähnlichen Nachricht.

25. Wird die Bundesregierung noch vor dem weiteren Gesetzgebungsverfahren zur Einführung einer Vorratsdatenspeicherung die vom Bundesverfassungsgericht schon vor einigen Jahren geforderte „Überwachungsgesamtrechnung“ (1 BvR 256/08 Rn, 218) erstellen?

26. Wie will die Bundesregierung den Risiken einer viele Ebenen des menschlichen Umfeldes erfassenden Überwachung (BVerfGE 112, 304 (316–321)) und „additiven Grundrechtseingriffen“ begegnen und hat sie im Falle der Wiedereinführung der Vorratsdatenspeicherung insbesondere die seit den Enthüllungen von Edward Snowden bekannt gewordenen zahlreichen legalen und illegalen Überwachungsmaßnahmen in- und ausländischer Geheimdienste dabei mitbedacht, um eine „Rundumüberwachung“ zu verhindern (Bitte erläutern)?

27. Inwiefern tragen nach Ansicht der Bundesregierung die zwischenzeitlich ausgeweiteten oder bevorstehenden EU-Regelungen zur Fluggastdatenspeicherung zu einer Überwachungsgesamtrechnung bei und inwiefern spielt die zunehmende Vernetzung und Digitalisierung des Alltags der Menschen (Stichwort: „internet of things“) hierbei eine weitere Rolle?

Die Fragen 25 bis 27 werden wegen ihres Sachzusammenhangs gemeinsam beantwortet.

Eine Gesetzgebung, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielte, ist mit der Verfassung-unvereinbar. Eine vorsorgliche Speicherung der Telekommunikationsverkehrsdaten darf auch nicht im Zusammenspiel mit anderen vorhandenen Dateien zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen. Dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf, gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland (BVerfGE 125, 260, 323 f.).

Diesen verfassungsrechtlichen Vorgaben ist die Bundesregierung verpflichtet.

28. Wie soll die Erstellung von Persönlichkeits- oder Bewegungsprofilen verhindert werden, wenn das Gesetz kein ausdrückliches Verbot der Nutzung der gespeicherten Standort- und Verkehrsdaten vorsieht?

Durch Nutzung der gespeicherten Standort- und Verkehrsdaten lassen sich keine Persönlichkeitsprofile erstellen. Im Übrigen wird die Erstellung von umfassenden Bewegungsprofilen anhand der zu speichernden Daten durch die verkürzte Speicherfrist und hohe Hürden für den Abruf von Standortdaten verhindert. Aus geschäftlichen Gründen gespeicherte Standortdaten dürfen nicht mehr abgerufen werden. Für Standortdaten gilt eine kürzere Speicherpflicht von vier Wochen. Verpflichtend gespeicherte Standortdaten und Verbindungsdaten dürfen nur unter den engen Voraussetzungen des § 100g Absatz 2 StPO‑E abgerufen werden.

29. Wie ist nach Auffassung der Bundesregierung der Beginn einer Internetverbindung, vor allem bei der mobilen Nutzung, genau definiert?

a) Ist damit das Anschalten des WLANs oder ein Internetverbindungsaufbau am Punkt des Aufrufens einer Webseite, des Abrufs einer Datei oder des Sendens und Empfangens einer E‑Mail gemeint?

Der Beginn wird allgemein durch die Zuteilung einer IP-Adresse nach dem Anmeldeprozess bestimmt, der zum Beispiel durch das Anschalten des heimischen Routers ausgelöst wird.

b) Inwieweit fallen die bei Smartphones regelmäßig selbstständig aufgebauten Internetverbindungen, wie zum Beispiel E‑Mail-Push-Notications oder Facebook-Benachrichtigungen, die ohne aktives Zutun des Nutzers erfolgen, darunter?

Soweit hierbei eine neue Verbindung nach § 113b Absatz 3 TKG‑E aufgebaut wird, müssen die genannten Verkehrsdaten gespeichert werden.

c) Wie soll bei öffentlich zugänglichen Internetzugangsdiensten nach der in § 113b Absatz 4 TKG‑E geregelten Speicherung der Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle und der Daten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben, verhindert werden, dass die Erstellung eines Bewegungsprofils anhand dieser Standortdaten nicht möglich ist?

Bei aktiver Verbindung werden keine Standortwechsel des Nutzers gespeichert; im sogenannten idle-Mode, also wenn sich das Gerät zwar im eingeschalteten Zustand befindet, jedoch keine Internet-/Telefonverbindung aktiv genutzt wird, werden überhaupt keine Verkehrsdaten erhoben oder gespeichert.

30. Wie soll die auf Seite 33 der Gesetzesbegründung beschriebene Bewusstseinsschärfung im Hinblick auf die Verhältnismäßigkeitsprüfung bei der Funkzellenabfrage insbesondere unter Berücksichtigung der Rechte Dritter erfolgen? Soll der Hinweis auf Rechte Dritter noch ausdrücklich in den Gesetzestext aufgenommen werden? Sind entsprechende Schulungen geplant?

Nach § 100g Absatz 3 Nummer 2 StPO‑E ist eine Funkzellenabfrage nur zulässig, soweit die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Durch die ausdrückliche Aufnahme dieser Voraussetzung in den Gesetzestext wird die besondere Bedeutung der Verhältnismäßigkeitsprüfung bei Funkzellenabfragen unterstrichen und das Bewusstsein für die Tatsache geschärft, dass von der Maßnahme unvermeidbar auch Dritte betroffen sind.

31. Inwiefern meint die Bundesregierung, mit den geplanten Gesetzesänderungen der gesetzlich festgeschriebenen Vorgabe der Datensparsamkeit (entsprechend § 3a des Bundesdatenschutzgesetzes) gerecht werden zu können?

Der Gesetzentwurf sieht in Bezug auf die Speicherpflicht ein deutlich reduziertes Datenvolumen. und eine sehr kurze Speicherfrist vor. Die Nutzung der Daten durch staatliche Stellen wird nur unter sehr engen Voraussetzungen ermöglicht.

32. Wie hat sich nach dem Urteil des EuGH zur Vorratsdatenspeicherung die Gesetzeslage in den Mitgliedstaaten geändert und welche Länder haben bislang aufgrund der EuGH-Entscheidung oder einer verfassungsgerichtlichen Entscheidung im jeweiligen Mitgliedstaat ihre entsprechenden Gesetze aufgehoben? (Bitte auflisten)

Der vom Cybercrime Convention Committee (T‑CY) zum Übereinkommen des Europarates zur Computerkriminalität am 15./16. Juni 2015 angenommene Bewertungsbericht enthält auf den Seiten 27 ff. eine auf Grundlage von Informationen der Vertragsstaaten erstellte Übersicht über die Gesetzeslage in den Vertragsstaaten. Erfasst sind bis auf Griechenland, Irland und Schweden, die das Übereinkommen nicht ratifiziert haben, alle EU-Mitgliedstaaten. Der Bericht ist abrufbar unter: .

Am 17. Juli 2015 hat der britische High Court of Justice die nationale Gesetzgebung des Vereinigten Königreichs für unanwendbar erklärt.

33. Hat die Europäische Kommission als Hüterin der Verträge nach Kenntnis der Bundesregierung überprüft, ob noch bestehende nationale Gesetze zur Vorratsdatenspeicherung in den Mitgliedsstaaten (z. B. in Kroatien, Dänemark, Finnland, Italien, Polen und Großbritannien) gegen EU-Recht verstoßen?
Wenn ja, mit welchem Ergebnis? Wenn nein, warum nicht, und ist nach Kenntnis der Bundesregierung eine entsprechende Überprüfung geplant?

Die Europäische Kommission hat als Hüterin der Verträge unter anderem die Aufgabe, die Anwendung des Unionsrechts unter der Kontrolle des Gerichtshofs der Europäischen Union zu überwachen (Artikel 17 Absatz 1 Satz 3 EUV). Über die Überprüfung bestehender nationaler Gesetze zur Vorratsdatenspeicherung durch die Kommission ist der Bundesregierung nichts bekannt.

34. Wurden nach Kenntnis der Bundesregierung bereits Vertragsverletzungsverfahren gegen Mitgliedsstaaten mit bestehenden Gesetzen zur Vorratsdatenspeicherung, die dem EuGH-Urteil zuwiderlaufen, eingeleitet?
Wenn ja, um welche Vertragsverletzungsverfahren handelt es sich?
Wenn nein, warum nicht?

Nach Kenntnis der Bundesregierung sieht die Europäische Kommission derzeit keinen Handlungsbedarf.

35. In welchem Umfang stehen Bundesregierung, BMI und/oder BMJV mit der EU-Kommission bezüglich nationaler und EU-weiter Regelungen zur VDS in Kontakt (Bitte auflisten nach Anzahl und Inhalten von Treffen seit dem EuGH-Urteil zur VDS am 08. April 2014)?

Die Bundesregierung hat den Gesetzentwurf zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten nach der Richtlinie 98/34/EG notifiziert.
Die Bundesregierung hält grundsätzlich engen Gesprächskontakt zur Europäischen Kommission und ihren Dienststellen. Sie hat daher auch seit dem EuGH-Urteil zur Vorratsdatenspeicherung vielfältige Gespräche zum Bereich Justiz und inneres geführt, in denen es unter anderem auch um das Thema Vorratsdatenspeicherung ging. Hervorzuheben sind folgende hochrangige Gespräche des Federführers BMJV:

27. Oktober 2014: Gespräch von Frau Staatssekretärin Dr. Hubig mit dem Generaldirektor Inneres der Europäischen Kommission Ruete,

15. Januar 2015: Gespräch von Frau Staatssekretärin Dr. Hubig mit dem Generaldirektor Inneres der Europäischen Kommission Ruete,

29. Januar 2015: Gespräch von Herrn Minister Maas mit dem EU-Kommissar Avramopolous für Migration, Inneres und Bürgerschaft,

24. Februar 2015: Gespräch von Herrn Minister Maas mit dem Ersten Vizepräsidenten der EU-Kommission Timmermans.

36. In welcher Art – vertreten durch wen und in welcher Häufigkeit – ist die Bundesregierung oder sind andere Teile des Bundes oder von Bundesbehörden Teil der von der Europäischen Kommission durchgeführten oder geplanten (nicht-öffentlichen) .Konsultationen zur Vorratsdatenspeicherung in der EU (siehe https://wiki.freiheitsfoo.de/uploads/Main/20150611antwort-aus-bruessel-verspaetete-anon.jpg)?

Die Bundesregierung liegen keine Informationen zu einer Konsultation zur Vorratsdatenspeicherung vor.

37. In wie vielen Fällen wurden nach Kenntnis der Bundesregierung in den Jahren von 2010 bis 2015 Bestandsdatenauskünfte über das automatisierte Verfahren beider Bundesnetzagentur eingeholt, und

Über das in § 112 TKG geregelte automatisierte Verfahren können die in §§ 111 Absatz 1 Satz 1, 3 und 4 und Abs. 2 TKG genannten Bestandsdaten abgerufen werden.

Die Bundesnetzagentur hat in den Jahren 2010 bis 2014 über das automatisierte Auskunftsverfahren nach § 112 TKG folgende Anzahl an Auskunftsersuchen der berechtigten Stellen beantwortet:

Jahr beantwortete Ersuchen
2010 6,00 Millionen
2011 6,00 Millionen
2012 7,00 Millionen
2013 6,95 Millionen
2014 6,92 Millionen

Die Zahlen für das Jahr 2015 werden erst am Anfang des Jahres 2016 ermittelt.

a) wie viele Bestandsdatenauskünfte wurden welchen anfordernden Stellen und Behörden erteilt,

Informationen über die Zahl der Abfragen durch Landesbehörden liegen der Bundesregierung nicht vor. Im Zeitraum August 2013 bis August 2015 wurden durch den Bundesnachrichtendienst 1.318 Bestandsdatenanfragen im Rahmen des automatisierten Auskunftsverfahrens an die Bundesnetzagentur gerichtet. Im Übrigen wird über die Anzahl der Auskunftsersuchen der jeweiligen berechtigten Stellen des Bundes keine Statistik geführt.

b) wie viele Abfragen betrafen Telekommunikationsanschlüsse, wie viele IP-Adressen?

Alle Abfragen betrafen Telekommunikationsanschlüsse.

c) welche Rechtsgrundlage hatte die Bestandsdatenauskunft,

Die Bestandsdatenauskünfte werden im automatisierten Verfahren von der Bundesnetzagentur auf Grundlage des § 112 Absatz 4 TKG erteilt.

d) in wie vielen Fällen ist eine Benachrichtigung erfolgt,

Die Vorschrift über das automatisierte Auskunftsverfahren nach § 112 TKG sieht keine Benachrichtigung vor.

e) welche Stellen und Behörden wurden neu in die Liste derjenigen aufgenommen, die im automatisierten Verfahren Bestandsdaten abrufen können (bitte jeweils nach Jahren auflisten)?

Seit dem Jahr 2010 wurden.20 Notrufabfragestellen und 3 Abfragestellen der Polizei im Rahmen des Kreises der berechtigten Stellen nach § 112 Absatz 2 TKG neu in das Verfahren aufgenommen.

38. Wie viele Telekommunikationsanbieter sind verpflichtet, der Bundesnetzagentur im automatisierten Verfahren Daten zur Verfügung zu stellen?

Zurzeit sind 119 Telekommunikationsanbieter verpflichtet, der Bundesnetzagentur den Abruf von Daten nach § 111 Absatz 1 und 2 TKG im automatisierten Auskunftsverfahren nach § 112 TKG zu ermöglichen.

39. Hat die Bundesregierung durch Konsultation der Berufsverbände, der Bundesnetzagentur, der Telekommunikationsanbieter und von Technikexperten oder auf andere Weise, geprüft, ob die Herausnahme der Daten von Berufsgeheimnisträgerinnen bzw. Berufsgeheimnisträger aus der Speicherpflicht anhand einer Liste entsprechend § 99 Absatz 2 TKG möglich ist (bitte auflisten, mit wem Konsultationen diesbezüglich durchgeführt wurden und wie die genauen Prüfungsschritte waren)?
Warum hat sie diese Option verworfen, obwohl viele betroffene Berufsverbände ein entsprechendes Verfahren gegenüber einer Speicherung bevorzugen würden?

Die Gründe, die dazu geführt haben, keine Ausnahme von der Speicherpflicht für die von § 53 StPO erfassten Berufsgeheimnisträger vorzusehen, sind auf Seite 33 der Gesetzesbegründung (Bundesratsdrucksache 249/15) ausführlich dargelegt. Eine Konsultation zu dieser speziellen Frage hat nicht stattgefunden.

40. Wie will die Bundesregierung im Hinblick darauf, dass in Deutschland eine grundsätzliche Fernwirkung von Beweisverwertungsverboten nicht vorgesehen ist verhindern, dass über als Zufallsfund erhobene Daten von Berufsgeheimnisträgerinnen bzw. Berufsgeheimnisträger nicht neue Ermittlungsansätze erschlossen werden, die zu einer § 100g Absatz 4 StPO‑E widersprechenden mittelbaren ‚Verwendung der Daten von Berufsgeheimnisträgerinnen bzw. Berufsgeheimnisträger führen?

§ 100g Absatz 4 StPO‑E sieht ein Verwertungsverbot für Zufallsfunde vor. Die Bestimmung der Reichweite dieses Verbotes erfolgt durch die Rechtsprechung im Einzelfall.

41. Wie viele Anträge auf Aufnahme der in § 99 Absatz 2 TKG beschriebenen Liste bei der Bundesnetzagentur wurden seit Einführung der Vorschrift gestellt (bitte nach Jahren auflisten)?
Wie viele Anschlüsse befinden sich auf der Liste?
Sind der Bundesregierung Schwierigkeiten im Hinblick auf die Umsetzung der Ausnahme von der Speicherung der auf der Liste aufgeführten Anschlussinhaber bei den Telekommunikationsunternehmen bekannt, und wenn ja, was sind die Ursachen?

Seit Einführung der Vorschrift des § 99 Absatz 2 TKG wurden 1.429 Anträge gestellt. Die überwiegende Anzahl der Anträge wurde in den Jahren 2001 (829 Rufnummern) und 2002 (552 Rufnummern) gestellt. Die manuelle Auswertung der Anträge nach jährlicher Reihung war in der Kürze der Zeit nicht möglich.

Derzeit sind 5.200 Anschlüsse in der Liste enthalten.

Der Bundesregierung sind im Hinblick auf die Umsetzung der Ausnahme von der Speicherung der auf der Liste aufgeführten Anschlussinhaber keine Schwierigkeiten bekannt.

42. Fallen die von § 53 StPO nicht aufgelisteten Mitarbeiter von Abgeordneten nicht in die Gruppe derjenigen Personen, von denen keine Verkehrsdaten abgerufen werden dürfen?

Sofern Mitarbeiter von Abgeordneten den Abgeordneten unmittelbar bei seiner Mandatsausübung unterstützen, fallen sie als sogenannte Berufshelfer in den Anwendungsbereich des § 53a StPO. Über § 100g Absatz 4 Satz 6 StPO‑E und § 160a Absatz 3 StPO wird der in § 100g Absatz 4 StPO‑E geregelte Schutz der Berufsgeheimnisträger auch auf die von § 53a StPO erfassten Personengruppen erstreckt.

43. Wie definiert die Bundesregierung in diesem Zusammenhang die Berufsbezeichnung des „Journalisten“ und fallen professionelle, semiprofessionelle oder andere nach den Pressekodex arbeitende und publizierende Personen (wie z. B. Blogger) nicht darunter (Bitte begründen)?

§ 53 Absatz 1 Satz 1 Nummer 5 StPO, auf den § 100g Absatz 4 Satz 1 StPO‑E verweist, gewährt allen „Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Komnunikationsdiensten berufsmäßig mitwirken oder mitgewirkt haben“ ein Zeugnisverweigerurgsrecht in dem in § 53 Absatz 1 Satz 2 und 3 StPO näher geregelten Umfang. Seit der Aufnahme des Begriffs der „Informations- und Kommunikationsdienste“ in § 53 Absatz 1 Satz 1 Nummer 5 StPO durch das Gesetz zur Änderung der Strafprozessordnung vom 15. Februar 2002 (BGBl.- I, S. 682) ist klargestellt, dass auch Personen umfasst sind, die über elektronische Medien publizieren (Bundestagsdrucksache 14/5166, Seite 8). Voraussetzung hierfür ist, dass dies berufsmäßig erfolgt. Hiervon ist auch eine nebenberufliche Tätigkeit umfasst, wenn sie in der Absicht geschieht, sie durch wiederholte Ausübung zu einer dauernden oder doch wiederkehrenden Beschäftigung zu machen. Weitere Voraussetzung des Zeugnisverweigerungsrechts und damit der Anwendung des § 100g Absatz 4 StPO‑E ist das Erfordernis der redaktionellen Bearbeitung (§ 53 Absatz 2 Satz 3 StPO). Ob diese Voraussetzungen vorliegen, ist im konkreten Einzelfall zu prüfen.

44. Teilt die Bundesregierung die Auffassung der Bundesnetzagentur (Mitteilung Nr. 149/2015 vom 04.03.2015; https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/Meldepflicht/Amtsblattmitteilung_Nr149_2015.pdf?__blob=publicationFile&v=1), wonach Betreiber von WLAN-Hotspots (in der Regel) keinen TK-Dienst erbringen und insofern auch andere WLAN-Anbieter (wie z. B. die der Freifunk-Idee verbundenen Gruppen und Initiativen, deren Arbeit ehrenamtlich und nicht geschäftsmäßig betrieben wird) nicht von der geplanten Änderung des § 113a Abs. 1 TKG‑E betroffen sind?

Die Bundesregierung hält die zitierte Mitteilung der Bundesnetzagentur, die für die Ausführung des Gesetzes zuständig ist, für schlüssig. Danach gelten die Nutzer der Freifunk-Idee nicht als Erbringer von TK-Dienstleistungen. Inwieweit der Freifunker e. V. als Erbringer einzustufen ist, ist von der Bundesnetzagentur allerdings noch zu untersuchen.

45. Wie begründet die Bundesregierung die geplanten Änderungen des § 113b Abs. 2 Nr. 4c TKG, wonach die Erbringer öffentlich zugänglicher Telefondienste (anders als aktuell in Nr. 4d geregelt) zukünftig auch Datum und Uhrzeit der ersten Aktivierung aller im Voraus bezahlten Dienste erfassen müssen, während dieses derzeit „nur“ für anonyme Dienste vorgeschrieben ist?

Die Regelung war in der alten Fassung missverständlich formuliert. „Anonyme Dienste“ im engeren Sinne gibt es in Deutschland nicht.

Anlage zu Frage 2

Aufstellung der Verbände, an die der Referentenentwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten zur Kenntnisnahme versandt worden ist

BITKOM

Bundesverband Breitbandkommunikation e.V. BREKO

Bundesverband der Deutschen Industrie e.V. BDI

Deutsche Gesellschaft für Recht und Informatik e.V.

Deutscher Industrie und Handelskammertag (DIHK)

eco – Verband der deutschen Internetwirtschaft e. V.

VATM

Bundesverband Deutscher Unternehmensberater BDU e.V.

Deutscher Verband für Telekommunikation und Medien

Deutscher Kabelverband e. V.

Verband privater Kabelnetzbetreiber e. V. – ANGA

Bundesverband der digitalen Wirtschaft – BVDW

Arbeitskreis Kommunikationsanwendungen /-technologie (AKKT)

Europäische Akademie für Informationsfreiheit und Datenschutz (EAID)

Aktion für geistige und psychische Freiheit (AGPF)

Arbeitskreis der Opferhilfen in Deutschland e.V.

Berliner Initiative gegen Gewalt an Frauen – BIG e.V.

Chaos Computer Club

Katholische Universität Eichstätt

Bundessteuerberaterkammer

CARITAS

Evangelische Kirche in Deutschland

Deutsche Bischofskonferenz

Diakonie Deutschland

SKM – Katholischer Verband für soziale Dienste in Deutschland – Bundesverband e.V.

Digitalcourage e.V.

Digitale Gesellschaft

ver.di

VDK

Sozialverband Deutschland

Patentanwaltsverbände

Konrad-Adenauer-Stiftung

Friedrich-Ebert-Stiftung

Heinrich-Böll-Stiftung

Friedrich-Naumann-Stiftung

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)

Burdesverband Deutscher Zeitungsverleger e.V. BDZV

Bund Deutscher Finanzrichterinnen und Finanzrichter (BDFR)

Bund Deutscher Rechtspfleger e.V. (BDR)

Bund Deutscher Verwaltungsrichter (BDVR)

Bundesnotarkammer (BNotK)

Bundesrechtsanwaltskammer (BRAK)

Bundesverband der Wirtschaftsjuristen e.V.

Bundesverband Deutscher Rechtsbeistände e.V.

Deutscher EDV-Gerichtstag e.V.

Deutscher Juristen-Fakultätentag

Deutscher Juristentag e.V. (DJT)

Deutscher Juristinnenbund e.V.

Deutscher Richterbund (DRB)

Deutscher Sozialgerichtstag e.V.

Deutscher Notarverein

Neue Richtervereinigung e.V. (NRV)

Rechtsanwaltskammer bei dem Bundesgerichtshof

Republikanischer Anwältinnen- und Anwälteverein e.V. (RAV)

Vereinigung der Europäischen Verwaltungsrichter (VEV)

Verband zur Förderung der Rechtspflege und Unabhängigkeit von Richtern am Amtsgericht e.V. – Amtsrichterverband -

Verein der Rechtspfleger im Bundesdienst e.V. (VRB)

Vereinigung der Zivilprozessrechtslehrer

Bundesverband ehrenamtlicher Richterinnen und Richter (DVS); Deutsche Vereinigung der Schöffinnen und Schöffen

Bund Deutscher Kriminalbeamter (BDK)

Deutsche Polizeigewerkschaft im DBB (DPolG)

Gewerkschaft der Polizei (GdP)

Deutsche Strafverteidiger e.V.

Deutscher Amtsanwaltsverein e.V.

Deutscher Anwaltverein (DAV)

Neue Kriminologische Gesellschaft

Strafverteidigervereinigungen

Strafrechtslehrerinnen und Strafrechtslehrer

Stiftung Deutsches Forum für Kriminalprävention (DFK)

von Anna Biselli 14. September 2015 4
: Vorratsdatenspeicherung braucht nun doch länger: EU-Kommission kritisiert Inland-Datenspeicherungsgebot

Sitz der EU-Kommission in Brüssel - CC BY-SA 2.0 via flickr/Amio Cajander

: Vorratsdatenspeicherung braucht nun doch länger: EU-Kommission kritisiert Inland-Datenspeicherungsgebot

Mit der Neueinführung der Vorratsdatenspeicherung könnte es nun doch ein wenig länger dauern. Die dritte Lesung des Gesetzesentwurfs kann nicht sofort gestartet werden, denn die EU-Kommission hat Beanstandungen an dem ihr zur Notifizierung vorgelegten Gesetz festgestellt. Diese Informationen sollen RP-Online in Form eines Dokumentes des Justizministeriums vorliegen (mittlerweile gibt es auch eine IFG-Anfrage dazu, die ihr beobachten könnt). Interessanterweise gehe es in dieser Beanstandung nicht um die offensichtlichen rechtlichen Probleme wie die Unverhältnismäßigkeit des Grundrechtsangriffes, sondern um etwas anderes: die Dienstleistungsfreiheit.

In dem deutschen Gesetzesvorschlag findet sich das Gebot, dass die auf Vorrat gespeicherten Daten „im Inland“ bleiben müssen, um sie besser gegen den Zugriff fremder Geheimdienste schützen zu können. Außerdem wäre außerhalb der BRD die Bundesdatenschutzbeauftragte Andrea Voßhoff nicht berechtigt, bei Datenschutzproblemen aktiv zu werden, sondern könnte nur die jeweils nationalen Behörden um Hilfe ersuchen. Die Exklusivität der Speicherung in Deutschland widerspricht jedoch der Dienstleistungsfreiheit und impliziert, dass nicht in allen EU-Staaten ein adäquates Datenschutzniveau vorliege.

Verhindern können wird die Kritik der EU-Kommission eine Einführung der Vorratsdatenspeicherung nicht, doch der Zeitplan wird sich nach hinten verschieben müssen. Es läuft eine verlängerte „Stillhalte“-Frist von einem weiteren Monat, die am 6. Oktober zu Ende geht und innerhalb derer die Bundesregierung Stellung zu den Bedenken nehmen muss. Ändern muss sie zunächst nichts, könnte aber im Nachgang ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof bekommen.

Gegen eine Änderung spricht sich Johannes Fechner, der rechtspolitische Sprecher der SPD, aus, der diese nur in Betracht ziehen will, wenn das „rechtliche Risiko eines gerichtlichen Scheiterns zu groß“ wäre. Die Stellungnahme werde gerade geprüft.

Tatsächlich dürfte es nicht leicht sein, eine Änderung dieser Inlandsbeschränkung durchzuführen, denn damit wäre es schwer, eine Gewährleistung für Datensicherheit zu geben – ein Punkt, den auch das Bundesverfassungsgericht 2010 betont hatte. Liegen die Daten nicht in Deutschland, kann die Einhaltung der Datenschutzvorkehrungen nicht vollständig kontrolliert und somit auch nicht – wie notwendig – garantiert werden. Dürfen sie nicht exklusiv in Deutschland gehalten werden, ist die Dienstleistungsfreiheit verletzt. Ein inhärenter Widerspruch.

Es zeichnet sich ab: Neben der anlasslosen Grundrechtsverletzung, wegen derer das Gesetz wohl sowieso vor dem Europäischen Gerichtshof verhandelt werden wird, gibt es noch weitere rechtliche Schwächen, die eine Einführung der Vorratsdatenspeicherung fraglich machen. Überzeugender wird sie dadurch nicht.

von Anna Biselli 14. September 2015 6
: Staatsschutzgesetz in Österreich soll zwischen 13. und 15. Oktober beschlossen werden

CC-by: redplanetAT

: Staatsschutzgesetz in Österreich soll zwischen 13. und 15. Oktober beschlossen werden

Das umstrittene Staatsschutzgesetz in Österreich soll dem Vernehmen nach zwischen dem 13. und 15. Oktober im Plenum des Parlaments beschlossen werden. Am 11. Oktober sind in Wien Landtagswahlen. Mit diesem Termin verhindert die Bundesregierung jede Diskussion rund um das Gesetz, trotz der massiven Kritik von allen Seiten in der Begutachtung. Inzwischen wird die Einführung von 10 neuen Inlandsgeheimdiensten ohne die notwendigen Kontrollgremien und ‑mechanismen auch international mit Sorge beobachtet.

Federführend ist der Arbeitskreis Vorratsdaten Österreich im Protest gegen die Einführung der neuen Inlandsgeheimdienste. Er kündigte heute eine Reihe weiterer Protestaktionen an und ruft weiterhin zur Unterstützung der Online-Petition www.staatsschutz.at auf.

von Thomas Lohninger 11. September 2015 1
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Illegale Migration ist ein Kernthema des BND.“
Günter Heiß vor seiner Anhörung.
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Illegale Migration ist ein Kernthema des BND.“

Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Der Zeuge diesmal ist Ministerialdirektor Günter Heiß, Geheimdienst-Koordinator im Bundeskanzleramt und bereits zum zweiten Mal da. Wir sitzen wie immer drin und bloggen live.

Gliederung

Gliederung

Vorbemerkungen

Einleitung: Vorsitzender

Zeuge 1: Günter Heiß, Bundeskanzleramt, Ministerialdirektor

Fragerunde 1: Vorsitzender, Linke, SPD, Grüne, Union

Fragerunde 2: Linke, Union, Grüne, SPD

Fragerunde 3: Grüne

Presse-Statements

Vorbemerkungen

Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Dargestellte: Abgeordnete und Zeugen, gerne korrigieren und vervollständigen wir ihre Aussagen. Kontaktieren sie uns!

Wer uns unterstützen möchte, darf gerne spenden.

To-Do: Zusammenfassung. Bis dahin einfach nach „(!)“ suchen.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Einleitung: Vorsitzender (09:06)

$Begrüßung

$Formalitäten

Zeuge 1: Günter Heiß, Bundeskanzleramt, Ministerialdirektor (09:11)

Kein Zeugenbeistand.

Name ist Günter Heiß, bin Ministerialdirektor im Bundeskanzleramt, geboren 30.03.1952. Anschrift Lange Reihe 15, 30938 Burgwedel.

Fragerunde 1: Vorsitzender (09:11)

Sensburg: Seit wann kennen sie Thema Selektoren? Begriff?

Heiß: März 2015, als BND einen Bericht zum NSAUA ans Bundeskanzleramt schickte.

Sensburg: Vorher Begriff Selektor nicht geläufig?

Heiß: Nicht im technischen Sinn.

Sensburg: Wie ging Recherche zur Überwachung von statten, ohne Begriff Selektor? Andere Begriffe verwendet? Suchbegriff? Rechercheprofil?

Heiß: BND trug im PKGr vor, verwendete Begriff „Suchbegriff“.

Sensburg: BND sprach immer von Suchbegriff?

Heiß: Ja, AFAIK.

Sensburg: Begriff Selektor im März 2015?

Heiß: Ja, IIRC. Bericht des BND zur Ablehnungsliste. Seitdem Aufklärung durch Dienst- und Fachaufsicht und Gremien.

Sensburg: Wie stellen sie sicher, dass Suchbegriffe dem APB entsprechen?

Heiß: Habe an Unterrichtungen in G‑10-Kommission und PKGr teilgenommen. Dort wurde erläutert, wie Suchbegriffe rechtlich gefiltert werden. G‑10-relevante und gegen MoU verstoßende Begriffe wurden herausgefiltert.

Sensburg: Welches MoU?

Heiß: Das von 2002.

Sensburg: Wie entstehen Suchbegriffe beim BND? Politischer Wille ist im APB ausgedrückt. Wie wird das zu Suchbegriffen? Deckt sich das mit APB?

Heiß: Bundeskanzleramt hat nicht jeden einzelnen Suchbegriff kontrolliert. Gehen davon aus, dass der BND das tut. BND hat nur äußerst geringe Kapazitäten in seinen Erfassungsmöglichkeiten, das haben die immer wieder gesagt.

Sensburg: Alle Zeugen sprachen immer von G‑10-Verkehren. Sehr wichtig. Auch im Bundeskanzleramt?

Heiß: Ja, laut PKGr, G‑10-Kommission und Berichten des BND.

Sensburg: War das Eigeninitiative des BND? Wusste das BND? Oder sagte das auch Bundeskanzleramt?

heiß: Ich kam Dezember 2009 ins Amt. Vorher: KA. Ich habe es so empfunden,d ass der BND von sich ausgesprochen sensibel für G‑10-Filterung ist.

Sensburg: Hat BND etwas zu europäischen Suchbegriffe gesagt?

Heiß: Nein.

Sensburg: Bundeskanzleramt?

Heiß: Wären ausgegangen, dass die zulässig sind.

Sensburg: Gefährder von Spanien, Frankreich, Irland nach Pakisten gereist. Handy mitgenommen. AND steuert das ein. Akzeptables Ziel.

Heiß: Genau, entspricht APB.

Sensburg: Europäische Suchbegriffe scheinen okay zu sein?

Heiß: Wir haben nicht nach EU/Nicht-EU geguckt. Immer zu Phänomenbereichen.

Sensburg: Und dass Partner gegen Vereinbarung andere Suchbegriffe einsteuert, nicht Terror, sondern EU-Außenpolitiker oder EU-Unternehmer?

Heiß: War nicht befürchtet worden.

Sensburg: ND vertraut?

Heiß: Sind nicht ND, sondern Fach- und Dienstaufsicht. EU-Komponente in Selektoren nicht hinreichend geprüft.

Sensburg: Betrifft das auch G‑10-Verkehre, die mit reingerutscht sein können?

Heiß: Will ich allgemein halten.

Sensburg: Ich auch.

Heiß: Noch mehr. Unabhängig von AND ist Fernmeldeaufklärung angewiesen, TKMs zu identifizieren. Wenn zwei Deutsche mit ausländischen Handys auf Urdu kommunizieren, werden wir das aufnehmen und nicht identifizieren. Ist aber winzig kleiner Bereich. (!)

Sensburg: Wenn afghanisches Handy aus Afghanistan nach Deutschland telefoniert: G‑10?

Heiß: Nach Deutschland ist immer G‑10.

Sensburg: Auch bei Gefährdern?

Heiß: Ja. Außer Schnellanweisung. Dann G‑10-Antrag.

Sensburg: Afghane, der CNN-Journalist anruft?

Heiß: CNN-Journalist ist nicht G‑10-geschützt. (!)

Sensburg: Überwachung legal?

Heiß: Ja.

Sensburg: Und deutscher Journalist?

Heiß: Abwägen. (!)

Sensburg: Gab es so etwas mal?

Heiß: Kann ich nicht sagen, weiß ich nicht, habe keine Kenntnis. (!)

Sensburg: Gab es mal Diskussionen über überwachte Journalisten?

Heiß: Keine konkreten Fälle. (!)

Sensburg: Wäre schon beachtlich, nicht alltäglich?

Heiß: Ja. Vielleicht der Fall in NÖ. [Anmerkung NP: Causa Vorbeck]

Sensburg: Und in dem Fall? Gab es da Überwachung?

Heiß: Dafür gab es keine Anhaltspunkte.

Sensburg: Hat sie der Fall mehr beschäftigt?

Heiß: Nach sorgfältiger Prüfung haben wir festgestellt, dass sich weitere Konsequenzen daraus nicht ziehen ließen.

Sensburg: Wann war sorgfältige Prüfung?

Heiß: Sommer 2011.

Sensburg: Was war Bestandteil der Prüfung?

Heiß: Disziplinarrechtliche Konsequenzen. Oder Anhaltspunkte für Strafverfolgung.

Sensburg: Prüfte Justiziariat?

Heiß: Haben keins.

Sensburg: Wer prüfte das?

Heiß: Meine Abteilung.

Sensburg: Kein Interesse an Disziplinarmaßnahmen? Auch nicht die andere Seite? [Anmerkung: Vorbeck.]

Heiß: Müssen Disziplinarverfahren einleiten, wenn hinreichende Anhaltspunkte vorliegen.

Sensburg: Keine Ansätze der anderen Seite?

Heiß: Nein.

Sensburg: Keine Konsequenzen?

Heiß: Nein.

Fragerunde 1: Linke (09:29)

Hahn: Wundere mich, dass sie neue Medienberichte nicht kommentieren oder korrigieren. Muss nachfragen. Spiegel Online 28.08.2015: „USA platzierten offenbar Abhörwanze im Kanzleramt“. Wenn sie das lesen, was unternehmen sie?

Heiß: Bin nicht für Kommunikationssicherheit im Bundeskanzleramt zuständig. Habe nichts unternommen.

Hahn: Nicht interessiert?

Heiß: Haben zuständige Bereiche gemacht. Abteilung 1 und möglicherweise BfV.

Hahn: Sie reden doch auch mit USA? Interveniert?

Heiß: Nein.

Hahn: Wanze im Bundeskanzleramt ist ihnen egal?

Heiß: Nicht egal. Bin nicht zuständig.

Hahn: Wer spricht auf politischer Ebene mit USA?

Heiß: KA.

Hahn: Auf welcher Ebene sprechen sie?

Heiß: Meine.

Hahn: Welche ist das?

Heiß: AL.

Hahn: Nicht mit ND-Chefs?

Heiß: Doch. Aber nicht politische Ebene.

Hahn: Dort so etwas nichts thematisiert?

Heiß: Nein. Behörden machen Aufklärung.

Hahn: 04.09. Spiegel Online: „CIA hatte direkten Zugriff auf TK“. Glotaic 2004–2006. Deutsche Tochter von MCI wurde in Hilden überwacht, Aktion von BND und CIA. Vermutlich abgehörte Gespräche direkt in die USA geroutet, damit Audio ohne Aussetzer funktioniert. Haben sie das geprüft?

Heiß: Nein. Operationen mit AND sind eingestuft.

Hahn: Ich frage nicht nach Operation, sondern ihrer Reaktion.

Heiß: Habe nichts hinzuzufügen.

Hahn: Doch, sie haben zu antworten.

Heiß: Habe geantwortet.

Hahn: Nein. Stimmt das, was da steht?

Heiß: Betrifft Operation Glotaic. Ob das stimmt oder nicht, sind eingestufte Tatsachen.

Hahn: Artikel ist öffentlich. Stimmt das?

Heiß: Ist einfach. Aber NÖ. (!)

Hahn: Öffentlichkeit hat kein Anspruch,zu wissen, ob das stimmt?

Heiß: Nicht meine Verantwortung.

Hahn: Ist normal, dass so etwas passiert? BND unter Legende Abhöranlage anbringen und Daten an CIA leiten? Normal?

Heiß: NÖ.

Hahn: Ist so etwas vorstellbar, ohne dass Bundeskanzleramt das weiß?

Heiß: War vor meiner Zeit.

Hahn: Ist so etwas dem Bundeskanzleramt vorher zur Kenntnis zu geben?

Heiß: Operationen muss Bundeskanzleramt vorher nicht genehmigen.

Hahn: BND kann auch heute in einen TK-Anbieter eindringen und ohne G‑10-Anordnung Abhörtechnik einbauen, ohne dass Bundeskanzleramt das erfährt?

Sensburg: Hat Zeuge nicht gesagt.

[Hahn uns Sensburg diskutieren.]

Hahn: Vorsitzender, zensieren sie meine Fragen nicht.

Sensburg: Doch, ich kann richtig stellen.

Hahn: Nein. Wo steht das? Müssen TK-Operationen vom Bundeskanzleramt genehmigt werden?

Heiß: Unterstellt, dass BND das nicht darf. Nicht richtig. Ist dem BND nach Gesetz erlaubt. Operationen muss Bundeskanzleramt nicht genehmigen.

Hahn: Was bekommen sie? Ergebnisse?

Heiß: Wöchentlich hunderte Berichte aus verschiedenen Quellen, auch Operationen. (!)

Hahn: Halten sie Eindringen in TK-Anbieter und Anbringung von Wanzen zulässig?

Heiß: BND darf TK abhören, laut Gesetze. Das tut er. Operative Bedingungen sind seine Entscheidung, um gesetzlichen Rahmen.

Hahn: BND ist Auslandsgeheimdienst!

Heiß: Ja.

Hahn: Was macht der dann bei deutschen Unternehmen in Deutschland?

Heiß: Hält sich an G‑10-Gesetz.

Hahn: Gab es dort eine G‑10-Anordnung?

Heiß: NÖ.

Hahn: Gab keine?

Heiß: Unterstellen sie.

Hahn: Gab eine?

Heiß: NÖ.

Fragerunde 1: SPD (09:40)

Flisek: Guten morgen.

Heiß: Morgen.

Flisek: BND-Gesetz: BND ist Bundesoberbehörde im Geschäftsbereich des Bundeskanzleramts?

Heiß: Ja.

Flisek: Welche Auswirkungen hat das?

Heiß: Ich bin AL der Abteilung, die Fach- und Dienstaufsicht hat.

Flisek: Auch Rechtsaufsicht?

Heiß: Gehört zur Fachaufsicht.

Flisek: Wie funktioniert Rechtsaufsicht?

Heiß: Haben wir letztes mal erörtert. Gibt unterschiedliche Bereiche in Abteilung. Haushalt, Personal, Organisation. Und ND-Tätigkeit: Berichte und Besprechungen Inhalte der ND-Tätigkeit aufnehmen und steuern. Wenn wir denken, dass Tätigkeit verstärkt werden müssen – Stichwort illegale Migration ist ein Kernthema (!) – dann sagen wir das.

Flisek: Wie schreitet Fach- und Dienstaufsicht ein?

Heiß: Kann mich über breite Öffentlichkeit über ND nicht beklagen. Ja, wir bekommen auch Hinweise aus der Öffentlichkeit.

Flisek: Auch. Ansonsten Quellen die zu beaufsichtigen Behörden selbst?

Heiß: Gibt Berichtspflichten, zu besonderen Vorkommnissen. Nicht zu Operationen und Vorhaben.

Flisek: Ohne Medien können sie nur beaufsichtigen, was BND ihnen sagt?

Heiß: Ja.

Flisek: Und strukturelle Kontrolle, jährlich alle Abteilungen investigativ angucken?

Heiß: Passiert auch. Sehen aber nicht alles. Behörde ist eine Behörde. Auch verantwortlich.

Flisek: Welches Referat ihrer Abteilung hat Aufsicht über Kooperation von BND mit AND?

Heiß: Nicht ein Referat. Für SIGINT wäre das Referat 603, Terror 604. Alle übrige eher 605. Kommt auf Einzelfall an. (!)

Flisek: Querschnittsaufgabe? Geht ja ineinander über? Also bei ihnen?

Heiß: Nur, wenn wir jede Operation kennen. Tun wir aber nicht.

Flisek: Berichtspflichten für sensible Dinge.

Heiß: Ja.

Flisek: Beim BND sind Dinge immer sensibel. Also Kooperation mit AND immer sensibel? Also immer bei Ihnen?

Heiß: Nicht ND-sensibel, sondern politisch sensibel. Terror in Nordafrika muss uns nicht vorgelegt werden, business-as-usual. Hypothetische Kooperation mit Russland oder China würde Bundeskanzleramt vorher erfahren.

Flisek: Gestern waren zwei BND-Mitarbeiter zu Selektoren hier, zum zweiten Mal. Selektoren-Prüfung funktioniert schlecht. Gestern sagte Zeuge, dass guenter.oettinger@ec.europa.eu bis 2013 nicht G‑10-relevant ist und bis 2013 nicht erkannt worden wäre. Sie haben erst März 2015 von Selektoren erfahren, aus Zeitung.

Heiß: Nein, kurz vorher.

Flisek: Wir hatten das im NSAUA schon vorher. Auch BND und Bundeskanzleramt haben sich vorher damit beschäftigt. Wurde als politisch sensibel erkannt. Hat Bundeskanzleramt bis März 2015 Brisanz des Themas Selektoren-Prüfung völlig unterschätzt?

Heiß: Haben im März 2015 von Ablehnungsliste bei NSA-Selektoren erfahren, dass USA nicht immer nur MoA-konform gesteuert haben. März.

Flisek: Das ist Vorwurf an USA. Frage der Aufsicht: Wenn USA das tun, wie fehlerhaft war die eigene Prüfung dieser Selektoren durch BND? Bis 2013 wäre deutscher EU-Kommissar von BND überwacht worden. Und alle anderen NGOs. Politiktourismus in Afghanistan. Und wenn Oettinger auf Englisch kommuniziert…

Heiß: …kann er doch gar nicht. (!)

Flisek: Haben Sie gesagt. Bundeskanzleramt Brisanz völlig falsch beurteilt?

Heiß: Nein. Wussten schon immer, dass wir manche G‑10-relevante Verkehre nicht herausfiltern können, wenn Merkmal oder Sprache nicht darauf hindeutet. (!) Hier nicht nur Verstoß gegen G‑10, sondern auch gegen MoA.

Flisek: Bei Oettinger auch Rechtsverstoß!

Heiß: Ja. (!)

Flisek: Zeugen sagten zwar, keine hundertprozentige Sicherheit, aber 99 % oder 99,99 %. Sind aber keine Ausreißer, sondern Systematik. Sämtliche Deutsche, die mit Mail-Adressen ohne Top-Level-Domain .de nicht auf deutsch kommunizieren sind drin. Deutschland ist Exportnation! Diese ganze Kommunikation systematisch erfasst und eins-zu-eins an USA gegeben? Wie bewerte ich das?

Heiß: KA. Kann nicht feststellen, dass solche Merkmale gesteuert wurden. Muss man Bewertung des Sachverständigen [Graulich] abwarten.

Flisek: Andere Sache. Einmal Fehlverhalten der USA. Den würde ich nicht an BND oder Bundeskanzleramt richten. An Sie: Gab es nicht massive Defizite bei Struktur der Kontrolle der Selektoren? Prüfung deutscher Interessen hat bis vor kurzem überhaupt keine Rolle gespielt. Ganz großer Bereich von G‑10-relevanter Kommunikation wird nicht gefiltert! Filter – freundlich formuliert – sehr lückenhaft?

Heiß: Aufnahme von Zufall ist noch nicht Rechtsverstoß, sondern erst die Verwendung. (!)

Flisek: Hat Bundesregierung mal gesagt, aus Selbstschutz sollten die Selektoren mal geprüft werden? Oder G‑10-Positivliste erstellen? Nie unternommen?

Heiß: Kann mich nicht erinnern.

Fragerunde 1: Grüne (10:01)

Notz: Viele neue Presseberichte seit letztem Mal. Fall Markus R.: Spion im BND, der eine Liste mit 3.000 Klarnamen von BND-Mitarbeitern offensichtlich für USA abgreift, Merkelfon, Selektoren zu Ministerien, Wanze im Bundeskanzleramt. Wir sind Aufklärungsfeld der US-Dienste. War Ihnen das Problem bewusst?

Heiß: Bundesregierung und Regierungsviertel wird von verschiedenen Diensten aufgeklärt. Keine Hinweise zu USA.

Notz: Wenn Sie Eikonal oder Glotaic mit Russland gemacht hätten, würde ich Sie auch kritisch befragen. Aber Auftrag Five Eyes. Würden Sie diese Kooperation mit USA heute anders beurteilen als die letzten Jahre?

Heiß: Das unterstellt, dass das rechtswidrig war oder nicht gut gelaufen ist oder MoA nicht entsprochen hätte. Ich würde auch heute noch jede legale Kooperation zulassen.

Notz: IMHO war manches rechtswidrig. Wir haben 600.000 Seiten Akten, auf 500.000 Seiten steht, dass das nicht legal war. (!) Man hat „Routineverkehre“ abgegriffen, neue Systematik. Als BND im Land mit G‑10-Genehmigung von G‑10-Kommission. G‑10-Kommission und PKGr wussten von diesem Paradigmenwechsel nichts. Sie als Fach- und Dienstaufsicht: War das richtig? Hat man nicht Kontrollmechanismus übergangen? Nicht ihre Verantwortung als Bundeskanzleramt?

Heiß: Bin seit Dezember 2009 dort. Wir haben seitdem kein Gremium belogen. G‑10-Antrag war gerechtfertigt. Gibt keine formellen Genehmigungsvorbehalte. G‑10-Gremium ist nicht unmittelbar zu informieren. Wir haben ihr Feedback berücksichtigt. (!)

Notz: Sie würden das heute wieder tun? Routineverkehre mit G‑10-Anordnung abgreifen?

Heiß: War damals nicht so, ist heute nicht so. Jede G‑10-Anordnung muss G‑10…

Notz: Sie würden heute G‑10-Kommission unterrichten, wenn Routine mit erfasst wird?

Heiß: Ja.

Notz: Also anders als früher?

Heiß: War nicht dabei. War nicht erforderlich. Ohne Anerkennung einer Rechtspflicht.

Notz: War das ein Fehler, Gremium bei hochsensiblen Eingriff rechtlich zu täuschen?

Heiß: Würde voraussetzen, dass das Grundrechtseingriffe beinhaltet. War nicht der Fall.

Notz: Zehntausende Rechtswidrige Selektoren. Müsste G‑10-Gremium nicht jeden Selektor prüfen? Sie haben das ja diskutiert.

Heiß: Kein Kleinklein. Keine zehntausend rechtswidrige Selektoren.

Notz: August/September 2013 hat BND in Bad Aibling zehntausende Selektoren gelöscht. Was war Grund?

Heiß: Da verwechseln Sie zwei Operationen. G‑10-Antrag mit Routineverkehr war nicht Bad Aibling. Die wurden nicht gelöscht, sondern nicht mehr gesteuert.

Fragerunde 1: Union (10:11)

Warken: Beispiel Oettinger, freut uns. Abstrakt: Deutscher arbeitet für ausländische Firma im Ausland. Unterscheidung dienstlich (nicht geschützt) oder privat (geschützt). Richtig?

Heiß: Ja, Funktionsträgertheorie. Wird inhaltlich geprüft. Beispiel Deutscher Kapitän von entführtem Schiff, dann wird G‑10-Antrag gestellt.

Warken: Wenn Deutscher für EU-Institution arbeitet?

Heiß: Kann man diskutieren, haben wir noch nicht entschieden. (!)

Schipanski: Kollegen haben Sachen verzerrt dargestellt. Kein automatisiertes Filtersystem bei Erfassung. Aber dann händische Kontrolle. Ist großer Unterschied. guenter.oettinger@eu ist etwas anderes als mohammed.ali@eu.

[Opposition protestiert.]

Schipanski: G‑10-Filter in zwei Stufen: Erfassung und bei Weiterleitung der Meldung?

Heiß: Meldung ist die Zusammenfassung des Inhalts, schon Auswertung. Da nicht mehr Filter, sondern vorher.

Schipanski: Zweite Stufe bei Weiterleitung?

Heiß: Die Software kontrolliere ich nicht selbst, Wissen vom BND.

Schipanski: Weg von Technik, hin zu Recht. Operationen sind rechtlich zulässig. Eikonal: Erfassung von Routineverkehren bei G‑10-Anordnung. Rechtliche Grundlage?

Heiß: § 5 G‑10-Gesetz, strategische Fernmeldeaufklärung. Routineerfassung nicht darunter, sondern allgemeine Aufgabe des BND-Gesetzes.

Schipanski: Bei Eikonal gab es Diskussionen zur Rechtsauffassung.

Heiß: Selbstverständlich. Ergebnis: transparenter und klarer, bei G‑10-Anordnungen zu sagen, wenn man Routine will.

Schipanski: Keine Notwendigkeit für gesetzgeberische Konkretisierung aus Eikonal?

Heiß: Nicht aus Eikonal. Bundesregierung prüft aber gesetzgeberische Konkretisierung aus öffentlicher Diskussion. Klarstellende Regelung.

Schipanski: Sie sagen jetzt, wenn sie Routine wollen?

Heiß: Ja. Kann Diskussion zu rechtlichen Konsequenzen nicht vorgreifen.

Schipanski: Vorwurf Lüge und Täuschung. G‑10-Kommission war zwar nicht informiert, aber auch nur für G‑10 zuständig?

Heiß: Ja. Sehr formale Trennung.

Warken: Presseberichte, dass USA Zurückhaltung bei ND-Zusammenarbeit übt. Spiegel Online: „USA setzen Kooperation mit BND im Irak aus“. Welt: „US-Dienste verweigerten BND Hilfe bei Geiselrettung“. Staatssekretärs Klaus-Dieter Fritsche im Deutscher Bundestag:

Es gibt aber deutliche Anzeichen, dass wichtige Partner in der nachrichtendienstlichen Zusammenarbeit Art und Umfang dieser Zusammenarbeit auf den Prüfstand stellen. Dies ist auch auf wiederholte Presse-veröffentlichungen zu Details nachrichtendienstlicher Zusammenarbeit zurückzuführen. Tatsächliche Einschränkungen in der Kooperation werden wir in ihren Auswirkungen möglicherweise erst später feststellen. Verloren gegangenes Vertrauen ist schon jetzt spürbar.

Warken: Nochmal in ihren Worten?

Heiß: Danke. Das empfangen wir in der Arbeitsebene. Wir können das nicht zu konkreten Fällen sagen, was Grund für mangelnde war. AND wird uns das nicht im Einzelfall konkret sagen.

Warken: Welche Anzeichen?

Heiß: ANDs haben sich ohne uns getroffen, wo wir früher dabei waren. Aber nicht monokausal. Wir haben den Verdacht.

Warken: Nicht nur US-ND, auch andere von EU?

Heiß: Abstrakt: US-ND sind gut aufgestellt. Wenn wir mit einem ganz kleinen ND kooperieren und er damit rechnen muss, durch die Medien geschleift zu werden, hat er ganz andere Schwierigkeiten als die USA, die das verkraften können. (!)

Warken: Mitte 2011 wurde Abteilung 6 im Bundeskanzleramt umstrukturiert. Organigramm 31.03.2011: zwei Gruppen: 61 Leiter Vorbeck und 62. 15.09.2011: UAL-Ebene aufgelöst. Keine Gruppen mehr, nur noch Referate. Neue Struktur bewährt?

Heiß: Habe keine Aussagegenehmigung über Fach- und Dienstaufsicht des BND hinaus. Aber bei Fach- und Dienstaufsicht hat sich das bewährt. Archivwesen des BND, unabhängige Historikerkommission. (!)

Warken: Konkretisieren? Warum verbessert?

Wolff: Diese Aussage ist ohne Anerkennung einer Rechtspflicht.

Sensburg: Aber unter Wahrheitspflicht.

Heiß: Nach bestem Wissen und Gewissen. Ist einfacher, mit Präsident und AL direkt zu reden. Einfacher als in irgendeinem Referat.

Warken: Wann und von wem wurde Entscheidung zu Umstrukturierung getroffen?

Heiß: Chef-BK, 2011.

Warken: Nichts mit Fall Vorbeck zu tun?

Heiß: War Beamter, der dann für Archiv zuständig war.

Warken: Kein Auslöser für Umstrukturierung?

Heiß: Nein.

Fragerunde 2: Linke (10:30)

Hahn: Wie bewerten sie, dass Ex-G-10-Kommissions-Vorsitzender hier erklärte, das er sich getäuscht fühlt?

Heiß: Ist seine Bewertung.

Hahn: Kein Anlass?

Heiß: Habe meine Bewertung abgegeben. Die ist offensichtlich anders. (!)

Hahn: BND spricht von „G‑10-Legende“. Bewertung?

Heiß: Eingestuft. Weder kommentieren noch bewerten. G‑10-Anträge sind gerechtfertigt.

Hahn: Begriff „Türöffner“? Nicht eingestuft, öffentliche Anhörung: „Wir haben eine G‑10-Anordnung als Türöffner benutzt“. Damit die G‑10-Kommission angeschwindelt.

Wolff: Falsch. „Beschwindeln“ fiel nicht öffentlich.

Hahn: Türöffner wurde gesagt,

Notz: Bundesregierung darf hier nicht Abgeordnete korrigieren. Sie sind hier zu Gast!

[Tumult.]

Notz: Ich beantrage Unterbrechung der Sitzung.

Mittag: Hilft nicht weiter. Keine Vorwürfe.

Notz: Ich beantrage Unterbrechung der Sitzung.

Mittag: Wer ist dafür? [Opposition.] Wenn wir uns so anmachen, ist die Sitzung unterbrochen.

[Unterbrechung, alle Besucher raus aus dem Saal. (10:30)]

[Habe Herrn Heiß vor dem Saal gefragt, ob ich ein Foto von ihm machen darf. Er will leider nicht.]

[Geht weiter. (10:57)]

Hahn: Bundesregierung darf Abgeordnete nicht unterbrechen. Zeuge sprach von „Türöffner“. Ich sprach von „schwindeln“ gegenüber G‑10-Kommission. Was sagen sie zu diesem Begriff? Wie wäre BND ohne Umweg an Kabel gekommen?

Heiß: Antrag war gerechtfertigt und wurde genehmigt. Solcher Ausdruck mag Gefallen sein, kann nicht nicht nachvollziehen, also auch nicht kommentieren.

Hahn: Ist gerechtfertigt und rechtmäßig, dass man einen Waffenhändler überwachen will, aber am Kabel millionenfach andere Gespräche abgreift?

Heiß: Ist zulässig. Routineverkehre sind Rechtsgrundlage BND-Gesetz.

Hahn: Und G‑10-Kommission verschweigen, dass USA mit an Leitung sind?

Heiß: G‑10-Antrag bezieht sich nicht auf Kooperation mit AND.

Hahn: Wie wäre BND ohne Antrag rangekomen?

Heiß: Bin kein Techniker.

Hahn: Rechtlich? Hätte er ja nicht stellen können.

Heiß: Richtig.

Hahn: Also G‑10-Antrag kein Türöffner?

Heiß: Nein.

Hahn: Warken fragte nach Umstrukturierung. Ich lese Bild am Sonntag vor, vom 09.08.2015: „Heiß reiste im Juni 2011 nach Washington. Treffen BND und CIA. USA wiesen Heiß auf Problem hin, dass auch Obama beschäftigen könnte. Mehrere Ausgaben aus dem Spiegel. Vorbeck hat dabei geholfen. Woher USA wissen, sagten sie nicht. Weitere Gespräche. Sogar Pofalla wurde informiert. Vorbeck kaltgestellt. Archiv.“ Waren Sie Juni 2011 in Washington?

Heiß: Ja, Besuchsreise des PKGr?

Hahn: Gab es ein vertrauliches Treffen mit CIA?

Heiß: NÖ.

Hahn: Gab es das Treffen?

Heiß: Ich hafte dafür. NÖ.

Hahn: Das geht nicht, Vorsitzende. Antworten.

Mittag: Herr Wolff?

Wolff: Bestätigung des Treffens kann nachteilige Auswirkungen haben. NÖ.

Hahn: Hat man ihnen Spiegel-Artikel vorgelegt und gesagt, dass Vorbeck dafür verantwortlich ist?

Heiß: NÖ.

Hahn: Haben sie über das Gespräch den Kanzleramtsminister informiert?

Heiß: NÖ. (!)

Hahn: Haben sie mit Chef-BK über Vorbeck geredet?

Heiß: NÖ.

Hahn: Haben sie mit Pofalla über Vorbeck geredet? klare Frage.

Heiß: Habe ich verstanden.

Hahn: Antworten.

Heiß: Ist geschehen.

Hahn: Nein. Vorsitzende?

Mittag: Beruft sich auf Grenzen seiner Aussagegenehmigung. Muss er wissen.

Hahn: Ob AL6 mit Chef-BK über Vorbeck geredet hat, muss er beantworten. Warken bekam vorhin eine gegenteilige Auskunft.

Heiß: Bereits veröffentlichte Sachverhalte verliere nicht ihren Verschlussachenstatus.

Hahn: Wo ist die Geheimhaltung zu ihrem Gespräch?

Heiß: In der Akte, Stempel drauf.

Hahn: Steht in der Zeitung.

Heiß: Schlimm genug. Bedauern wir sehr.

Hahn: Wenn Verschlusssache in Zeitung ist, ist Zeitung geheim?

Heiß: Nein.

Fragerunde 2: Union (11:07)

Warken: Interessiert uns auch, NÖ. Konsequenz aus NSAUA: Verbot der Wirtschaftsspionage. Bewertung?

Heiß: Kompetenzen des BND sind nicht Untersuchungsgegenstand. Wirtschaftsspionage steht nicht im APB. Gesetzliche Klarstellung nicht erforderlich.

Fragerunde 2: Grüne (11:08)

Ströbele: Wir haben noch Fragen.

Heiß: Hätte mir auch gefehlt.

Ströbele: Reiner Zufall, dass Vorbeck zu genau der Zeit mit CIA-Hinweis seinen Posten verliert und ins Archiv kommt. Wollen sie Zusammenhang abstreiten?

Heiß: Sachverhalt immer noch geheim. Habe nicht gesagt, ob Sachverhalt stimmt.

Ströbele: Antwort auf Frage?

Heiß: Nein.

Ströbele: Nichts miteinander zu tun?

Heiß: Ja.

Ströbele: Halten sie Aufrecht?

Heiß: Ja.

Ströbele: Reiner Zufall? Hatte ja dann neuen Posten.

Heiß: Ja.

Ströbele: BND hat nicht Aufgabe Wirtschaftsspionage. Wäre das Rechtsverstoß?

Heiß: APB ist innerdienstliche Weisung. Kein gesetztes Recht. Wahrscheinlich kein Rechtsverstoß. (!) Spionage ist aber immer Rechtsverstoß im Zielland.

Ströbele: BND darf nur tun, was im Gesetz erlaubt ist.

Heiß: Verstoß gegen APB ist nicht unmittelbar Rechtsverstoß.

Ströbele: Darf sich BND an Wirtschaftsspionage von AND beteiligen?

Heiß: Beteiligung ist wie eigenes Handeln.

Ströbele: Sehe ich auch so. Haben Sie USA geglaubt, dass sie keine Wirtschaftsspionage betreiben?

Heiß: Haben keine Anhaltspunkte, dass das nicht stimmt.

Ströbele: Wurden Selektorenlisten übergeben, nach denen NSA auch Selekoren gegen Wirtschaftsunternehmen hat. Bestätigen?

Heiß: Aufklären von Wirtschaftsunternehmen ist nicht automatisch Wirtschaftsspionage. Kann auch Proliferation oder Massenvernichtungswaffen sein.

Ströbele: Ist Ausspionieren von französischem Präsidenten Rechtsverstoß?

Heiß: IMHO Verstoß gegen MoA, ist aber rechtlich nicht bindend.

Ströbele: Wenn BND französischen Präsidenten oder Regierung abhört: Ist das Rechtsverstoß?

Heiß: Kann man nicht pauschal sagen. Kann aus Sicherheitsgesichtspunkten erforderlich sein, Beispiel Verhandlungen zu Nuklearmächten. (!)

Ströbele: Und wenn Merkel sagt „Ausspionieren unter Freunden – das geht gar nicht“?

Heiß: Französische Terroristen dürfen abgehört werden.

Ströbele: Und Präsident?

Heiß: Der dürfte nicht dazugehören.

Ströbele: Wäre das illegal?

Heiß: Bin nicht sicher. Wäre Verstoß gegen APB. Nicht gedeckt durch Generalklausel des BND-Gesetzes.

Ströbele: Sie sind öfters in USA. Reden auch mit AND und US-Regierung. Haben sie nach Bekanntwerden der Selektoren mal angesprochen und kritisiert?

Heiß: War das letzte Mal Ende Oktober 2013 in USA.

Ströbele: Keine Kontakte?

Heiß: Nicht auf Diensteebene. Nicht Präsident.

Fragerunde 2: SPD (11:19)

Flisek: Waren ja am 2. Juli schon mal hier. Haben sie danach nochmal mit zeuge Pofalla geredet?

Heiß: Kann mich nicht erinnern. Habe ihn zufällig bei Akteneinsicht getroffen.

Flisek: Kein Gespräch zu Aussage im NSAUA?

Heiß: Nein.

Flisek: Können sie definitiv ausschließen, Themen zu NSAUA besprochen zu haben?

Heiß: Kann definitiv ausschließen, mich daran zu erinnern. (!)

Flisek: Überwachung von Ausland-Ausland-Kommunikation. Wie sehen sie persönlich den rechtlichen Regelungsbedarf?

Heiß: Überlasse politische Einschätzung der Legislative. Wir tragen gerne dazu bei. Keine persönliche Meinung.

Flisek: Sie sind AL6. Sie werden doch im Bundeskanzleramt beteiligt.

Heiß: Fragten mich nach persönlicher Meinung.

Flisek: Dann Funktionsträgertheorie: Meinung als Funktionsträger AL6?

Heiß: Sehe Bedarf, Klarstellung zu entsprechen.

Flisek: Minimal invasive Klarstellung? Keine Eingriffsbefugnisnorm? Weltraumtheorie? Was würden sie ändern?

Heiß: Gibt generelle Aufgabennorm zu Befugnissen des BND. Sollte man klarstellen wollen, das damit auch Routineverkehre erlaubt sind, könnte man das machen.

Flisek: Umfassende Kontrollinstanz errichten?

Heiß: Haben nichts gegen Kontrolle. Selbstverständlich möglich. Kann ich mir vorstellen. Wird schwierig, millionenfache Dinge im Einzelnen anzugucken.

Flisek: G‑10-Kommission wird jetzt aber unterrichtet?

Heiß: Über Umstand der G‑10-Maßnahme, nicht Selektoren.

Flisek: Selbstschutz des BND. Wir haben den ganzen Schlamassel doch nur, weil die Rechtsordnung nichts zu Routineverkehren vorsieht. Jonglieren im luftleeren Raum. Untragbarer Zustand. Ordentlicher Rechtsrahmen mit Kontrollinstanz. Wäre doch sauber?

Heiß: Bundesregierung ist für saubere Regelungen. Teilt vielleicht nicht alles. Transparentere Kontrolle denkbar. Können und wollen wir nicht ablehnen. Wollen Schlamassel nicht so oft haben. Handeln nicht rechtswidrig, geht aber deutlicher.

Flisek: Weltraumtheorie. Theorie des virtuellen Auslands. Sehr weite Dehnung des deutschen Rechts. Geht auch anders. Kooperationsvereinbarung von BND mit AND erzeugen keine Selbstbindung des BND?

Heiß: Ist nicht einklagbar. (!)

Flisek: Nachvollziehbar, ist ja Vertrag. Ich stelle mir vor, ich bin Chef-BK. BND kommt, will etwas mit AND machen, Grundlage MoA. Da steht drin, was BND und AND dürfen und was nicht. Auf dieser Grundlage stimme ich dem zu. Dann sagen sie; BND ist daran nicht gebunden? Nur Absichtserklärung? Indianerehrenwort?

Heiß: Was sollte den BND binden?

Flisek: Ist doch im Rahmen des Kontrollsystems so, dass Bundeskanzleramt bei neuer Kooperation auf einer Grundlage eines solchen MoA entscheidet. Ich stimme dem einmal zu. Aber BND ist nicht daran gebunden? Chef-BK trägt doch Verantwortung dafür.

Heiß: MoA bindet BND nicht gegenüber AND. Sondern freiwillige Zusage. Damit gibt BND zum Ausdruck, wie er sich verhalten wird. Verstoß ist dienstrechtlich relevant.

Flisek: Oder bei Vorlage Finger kreuzen?

Heiß: Dann würden wir das vermutlich nicht abschließen. So ein Fall nicht erinnerlich. Spekulation. Aber ich würde so entscheiden.

Flisek: Passiert so etwas oft?

Heiß: Nicht jede alltägliche Kooperation wird mit einem MoA unterlegt. Wen eins abgeschlossen wird, wird uns das auch vorgelegt.

Flisek: Wir kämpfen mit Konsultationsverfahren, das Bundeskanzleramt nur Couterpart durchführt. Wie läuft das ab?

Heiß: Nur Hörensagen. Passiert durch Staatsekretär Fritsche und Projektgruppe Untersuchungsausschuss. Abstrakt wird Partner Material zugesandt und gefragt, ob und wie das dem NSAUA gegeben werden kann.

Wolff: Aussagen ohne Anerkennung einer Rechtspflicht. Beratungssitzung.

Flisek: Trotzdem interessant. Presseveröffentlichung: USA haben signalisiert, dass man Selektoren an Parlament geben kann, wenn die nicht öffentlich werden. Dennis McDonnal hat das am 10. Mai gesagt. Zeit Online 16.08., Spiegel 22.08. Ist Konsultationsverfahren so, dass selbst wenn USA ja sagen, Bundesregierung trotzdem sagt nein. Ist das denkbar?

Heiß: Habe abstrakt Stellung genommen. Meine Aussagegenehmigung geht dazu nicht. Es ist die Letztentscheidung der Bundesregierung, was vorgelegt wird und was nicht.

Fragerunde 3: Grüne (11:38)

Notz: NSAUA hat Folgen für Kooperation mit AND. Ist Kooperation wichtig für Sicherheit Deutschlands?

Heiß: Alle Kooperationen dienen der Sicherheit Deutschlands, sonst würden wir sie nicht eingehen.

Notz: Auch USA? Leib und Leben von Soldaten?

Heiß: Ja.

Notz: Ist es dann nicht zynisch und antiamerikanisch, wenn Sie sagen, dass NSAUA Leib und Leben gefährdet?

Heiß: Das habe ich nicht gesagt.

Notz: Was haben Sie gesagt? Wer zieht sich zurück, warum?

Heiß: Habe nur gesagt, dass Gefahr besteht, dass Partner weniger intensiv kooperieren, wenn Einzelheiten medial bekannt werden können.

Notz: Causa Vorbeck gefährdet Leib und eben Deutscher?

Heiß: Nein.

Notz: Sondern?

Heiß: Nicht jeder Kooperations-Rückzug gefährdet Leib und Leben.

Notz: Bundesregierung hat keine Erkenntnisse, dass sich irgendjemand zurückzieht. Keine konkreten Sicherheitsprobleme. Wir können von USA parlamentarische Kontrolle lernen. Meine These: eigenes Versagen kaschieren mit Begründung USA werden sauer.

Heiß: Darf ich darauf etwas sagen?

Notz: War keine Frage.

Heiß: Arbeit des NSAUA ist verdienstvoll. Einzelheiten der Kooperationen NÖ.

Notz: Was haben sie zu Causa Vorbeck intern unternommen? Landesverrats-Anzeigen gegen Journalisten macht man ja auch gerne mal.

Heiß: Habe Vorgang nicht kommentiert.

Notz: Stimmen sie zu, das eingestufte Informationen öffentlich wurden?

Heiß: Nein, damit würde ich es bestätigen.

Notz: Löschaktion August 2013. Sie haben erst im März 2015 erfahren, dass unmittelbar nach Snowden zehntausende Selektoren gelöscht wurden?

Heiß: Unterstellt, dass gelöscht wurde. Wurde Ablehnungsliste erstelt. Nicht mehr gesteuert.

Notz: Zehntausende Begriffe rausgenommen. BND sprach intern selbst von löschen. Hier: nicht mehr gesteuert. Zehntausende Selektoren aus Erfassung genommen.

Heiß: Kann ich nicht bestätigen. Erinnere mich an 2.000er Liste.

Notz: Können 38.000 gewesen sein.

Heiß: Kommt darauf an, wie man zählt.

Notz: Erst im März 2015 erfahren?

Heiß: Ja.

Notz: Hatten sie das gerne im August 2013 erfahren?

Heiß: Ja. (!)

Notz: Haben sie nicht?

Heiß: Nein.

Notz: Wer ist Schuld?

Heiß: KA. (!)

Notz: Haben sie das aufgeklärt?

Heiß: Macht doch NSAUA.

Notz: Ehrt unser Gremium. Ab er sie sind als Fach- und Dienstaufsicht zuständig. Warum wurden sie nicht informiert? Warum bis heute keine Konsequenzen? Warum Nichtmeldung nicht sanktioniert?

Heiß: Zu 2013 ist mir Motivlage für Nichtmeldung nicht bekannt. Ist Gegenstand von Untersuchungen. Was wir jetzt tun, ist nicht Untersuchungsgegenstand und nicht von Aussagegenehmigung gedeckt.

Notz: Haben sie darüber mit BND-Präsident Schindler geredet?

Heiß: Aufklärung läuft. Konsequenzen erst danach.

Notz: Eindruck: Jahrelang Probleme mit Übergriffigkeiten im BND. Nichtmeldung über zehntausende Selektoren erst durch NSAUA erfahren. Skandalös. Sie sind zuständig und verantwortlich. Klären aber nicht auf nach Snowden. Erst durch uns erfahren sie das. Aber keine Konsequenzen gegenüber Mitarbeitern. Entsteht der Eindruck, dass die Operation den Segen einer bestimmten Seite hatte.

Heiß: Über Motive für Nichtmeldung weiß ich nichts. Gilt es aufzuklären.

Notz: Haben sie mit denen gesprochen?

Heiß: Tätigkeit nach Einsetzung ist nicht Untersuchungsgegenstand.

[Besucherin Katja Hartwig unterbricht Sitzung und ruft von der Tribüne über ihre Überwachung und Strafanzeigen.]

Sensburg: Unterbrechung. Bitte Saal verlassen.

[Bundestagspolizei kommt und bittet sie zu gehen.]

Sensburg: Bitte Saal freiwillig verlassen. Sonst muss ich sie der Sitzung verweisen. Dann gilt das für den Rest des NSAUA.

[Diskussion von Sensburg und Hartwig. Hartwig verlässt Raum. Sitzung geht weiter. (11:57)]

Notz: Selektoren: Haben sie Ablehnungslisten gesehen?

Heiß: Gesehen ja, aber nicht gelesen.

Notz: Kennen sie einzelne Selektoren?

Heiß: Habe nicht gelesen, sondern nur Zahlen oder Namen gesehen.

Notz: Wann?

Heiß: Anlässlich eines Kontrollbesuchs eines Kollegen in Pullach.

Notz: Wann?

Heiß: Dieses Jahr.

Notz: Kennen sie Schwachstellenbericht aus dem Jahr 2007?

Heiß: Nein, habe mir berichten lassen. Hat einen anderen, technischen Namen. Name „Schwachstellenbericht“ ist Verallgemeinerung.

Notz: War der Thema vor März 2015 im Bundeskanzleramt?

Heiß: Nein, IIRC erst danach diskutiert. Bezieht sich aber auch nicht auf NSA-Selektoren aus März.

Notz: Nein, bezieht sich auf Eikonal. Erstellerin des Berichts war im Dezember 2014 hier. Als die im Bundeskanzleramt war, waren sie anwesend?

Heiß: Ja.

Notz: Zog Bundeskanzleramt Konsequenzen aus diesem Bericht?

Heiß: Kam im Dezember 2014 an Bundeskanzleramt. Weit nach Einsetzung des NSAUA. Nicht Untersuchungsgegenstand.

Wolff: Treffen im Bundeskanzleramt mit Zeugin war im Oktober 2014.

Notz: Vor Anhörung hier. Keine unmittelbaren Konsequenzen im Bundeskanzleramt? Erst März 2015?

Heiß: Kein Untersuchungsgegenstand.

Notz: Doch. Bericht ist Gegenstand. Bedauerlich, dass sie erst nach unserer Arbeit Konsequenzen ziehen.

Heiß: Berichten wir gerne dem PKGr. Laufender Vorgang. Eikonal wurde schon 2008 abgeschlossen.

Notz: Die dort beschriebenen Probleme wirken fort. Eindruck: Bundeskanzleramt zog keine Konsequenzen aus den Problemen. Immer wieder Übergriffe. Keine Konsequenzen? Kein günstiges Erscheinungsbild für Fach- und Dienstaufsicht.

Heiß: Kein Verfahrensgegenstand. Noch keine inhaltliche Aussage.

Ströbele: Nichtmelden der Löschaktion von Selektoren August 2013 besonderer Vorgang?

Heiß: Hätte gemeldet werden müssen.

Ströbele: Hätte man das damals PKGr mitteilen müssen?

Heiß: Haben wir im März 2015 getan, als es bekannt wurde.

Ströbele: Wissen sie, ob dieser Vorgang von besonderer Bedeutung sich mehrfach im BND angespielt hat? Oder nur einmalig?

Heiß: Habe die Frage nicht verstanden.

Ströbele: Haben andere Stellen im BND auch Selektoren geprüft 2013?

Heiß: KA. Bin nicht BND. (!)

Ströbele: Haben Sie sich den Vorgang genau berichten lassen?

Heiß: Ja.

Ströbele: Dabei so etwas nicht aufgestoßen?

Heiß: Mir nicht erinnerlich, mir nicht bekannt. Aufklärung im Einzelnen nach März 2015 nicht Untersuchungsgegenstand.

Ströbele: Aber interessant. Sie haben Liste gesehen, aber nicht gelesen. Ein Blatt oder mehr?

Heiß: Kommt darauf an, wie klein die Schrift ist. War lesbar, also mehrere Blätter.

Ströbele: Angesehen, gelesen, Stichprobe?

Heiß: Nein.

Ströbele: Stapel im BND gesehen?

Heiß: Wurde als Anschauungsmaterial hochgehalten. Sie waren dabei.

Ströbele: Ich war dabei?

Heiß: Sie hatten das sogar in der Hand. Und ich habe dafür gesorgt, dass das wieder eingesammelt wurde.

[Gelächter.]

Ströbele: Ich hatte das Paket mit den Selektoren in der Hand?

Heiß: War kein Paket.

Ströbele: Ich hatte die Selektoren?

Heiß: Ja. (!)

Wolff: War im PKGr, also eingestuft.

Ströbele: Kollegen Hahn und Lischka waren nicht dabei, aber andere, dutzende Personen. Sie wollen nicht sagen, was sie intern unternommen haben. Haben sie diesen Vorgang von besonderer Bedeutung mit USA angesprochen oder das veranlasst?

Heiß: Wir haben die Listen im März 2015 bekommen, Konsequenzen sind laufender Vorgang, nicht Untersuchungsgegenstand. Listen unterliegen der Konsultation. (!)

Ströbele: Haben wir schmerzhaft zur Kenntnis genommen. Deswegen bekommt NSAUA die ja nicht. Haben USA gegen Weitergabe widersprochen?

Heiß: Laufende Konsultation.

Ströbele: Für unsere Arbeit von erheblicher Bedeutung.

Heiß: Konsultation nicht Untersuchunsgegenstand.

Ströbele: Ungeheuer interessant.

Heiß: Habe keinen Zweifel daran.

Ströbele: Wurden nur durch unseren Antrag auch im Bundeskanzleramt bekannt.

Sensburg: Beratungssitzung.

Ströbele: Öffentlichkeit interessiert das auch.

Sensburg: Aber nicht Teil der Zeugenvernehmnung.

Ströbele: Gab es ein Veto?

Heiß: Werde zu Konsultationsverfahren nichts sagen.

Ströbele: Warum?

Heiß: Kein Untersuchungsgegenstand.

Ströbele: Uns werden deshalb die Akten, die uns zustehen, verwehrt. Danach müssen wir fragen.

Heiß: Begründung ging dem Ausschuss zu. Die hat der Ausschuss akzeptiert.

Wolff: Haben in Beratungssitzung dazu Stellung genommen. Vielfach beraten. Bei Bedarf gerne nochmal. Zeuge hat dazu keine Aussagegenehmigung.

Ströbele: Wollen Frage nicht beantworten?

Heiß: Darf ich nicht beantworten.

Ströbele: Haben sie vor, Selektoren gegenüber der NSA anzusprechen?

Heiß: Habe ich bereits gesagt.

Ströbele: Trifft es zu, das Bundesregierung/Bundeskanzleramt 2013 an US-Regierung und NSA Frageliste verschickt hat?

Heiß: BMI und BMJ haben damals Briefe geschrieben.

Ströbele: Kennen sie nicht?

Heiß: Habe ich nicht gegenwärtig. Gab Fragen zu Veröffentlichungen.

Ströbele: Wurden die beantwortet?

Heiß: KA. Mir nicht bekannt.

Ströbele: Wir haben US-Regierung und NSA reagiert?

Heiß: Mir ist keine Antwort bekannt.

Ströbele: Auch nicht aus verschiedenen Sitzungen?

Heiß: Welche?

Ströbele: An denen wir gemeinsam teilnehmen.

Heiß: Mit nicht bekannt.

Ströbele: Stimmt nicht. (!)

Heiß: Kann mich nicht erinnern.

Ströbele: Frageliste der Bundesregierung.

Heiß: Kann mich an keine Antwort erinnern.

Ströbele: Auch keine aufschiebende?

Heiß: Nein.

Ströbele: Ihre Aussage. Gut. Oder nicht gut.

Ausschuss der Öffentlichkeit. Beschluss.

$Danke.

Presse-Statements (12:25)

Steiner: Erkenntnisse gestern und heute?

Flisek: Gestern und heute BND-Mitarbeiter, die Selektoren geprüft haben. Sehr deutlich herausgearbeitet, dass es Defizite bei Filterung von US-Selektoren gab. G‑10-Filter von Deutschen defizitär, wenn E‑Mail-Adressen nicht auf .de enden. Ganz große Zahl deutscher Adressen, wie guenter.oettigner@ec.europa.eu. Die wäre bis 2013 nicht als G‑10-relevant erkannt worden wären. Sämtliche Deutsche bei internationalen Organisationen und Unternehmen wie .com und .org-Domain waren wohl in Fokus von Überwachung. Beweis für erhebliche Rechts- und Kontrolldefizite. SPD-Fraktion hat umfassende Reformvorschläge gemacht. NSU-Ausschuss hat BfV refomiert, NSAUA sollte BND reformieren. Bundeskanzleramt reagiert sehr verhalten.

Steier: Gesamteindruck Zeuge Heiß? Reform im Bundeskanzleramt?

Flisek: Bundeskanzleramt muss getragen werden. Hat als Aufsichtebehörde die Pflicht, die BND-Mitarbeiter zu schützen. Derzeit luftleerer Raum. G‑10-Kommission missbraucht. Schlamassel. BND braucht klare Grundlagen, aber keine kontrollfreien Bereiche.

Steiner: Neue Erkenntnisse gestern und heute?

Notz: neue Widersprüche. Abläuft August/September 2013 bei Selektorenprüfung in BND immer noch unklar und widersprüchlich. Wird etwas verdeckt? Heute wurde wieder deutlich, dass Bundeskanzleramt nie aktiv aufgeklärt hat. Weil Schmutzhaufen unter dem Teppich gigantomanisch groß ist. Aufklärung erst durch NSAUA. Kann nicht sein. Bedaure passive Rolle des Bundeskanzleramt.

Steier: Heiß identifiziert keinen Reformbedarf. Erst NSAUA oder jetzt schon Reform?

Notz: Bundeskanzleramt und BND berufen sich immer noch auf irre Theorien wie Funktionsträger- und Weltraumtheorie. Schon vor zehn Jahren falsch, heute erwiesen falsch. Vor zehn Jahren bewusst falsche Entscheidung getroffen: keine Reform, sondern Graubereich. Probleme schlagen heute voll auf. Reform und Debatte über Verhältnismäßigkeit dringend notwendig. Massendatenmarkt und täglich milliardenfacher Metadatenaustausch unverhältnismäßig.

Steier: Zusammenarbeit mit AND eingeschränkt?

Notz: Gibt darüber keinerlei Erkenntnisse. Bundesregierung hatte auch keine Erkenntnisse, Heiß auch nicht. Halte das für Schutzbehauptung. Wäre auch zynisch, wenn Partnerdienste Menschenleben in Kauf nehmen, weil Demokratien parlamentarisch aufklären. Ist schlichtweg nicht so. Internationale ND-Kooperation ist wichtig, muss aber rechtsstaatlich sein.

Lücking: Schutz von Firmen erst bei 50-prozentiger Beteiligung von Deutschen. Kommentar?

Notz: So abwegig wie Funktionsträgertheorie, dass Oettinger als EU-Kommissar abgehört werden darf. Hat sich BND selbst ausgedacht. Behörden müssen sich aber an Rechtsprechung orientieren.

Steiner: Kommentar zu gestern und heute?

Hahn: Bin entsetzt über Heiß, der nicht darlegen konnte, wie Fach- und Dienstaufsicht erfolgt. Habe kein Verständnis, dass er erklärt, dass Türöffner G‑10-Anordnung rechtmäßig ist. Hat nichts zu Causa Vorbeck gesagt.

Steiner: Gestern Zeuge von Verizon zu Glotaic. Sind sie schlauer geworden?

Hahn: Firma hat den Sicherheitsbeauftragten geschickt, der über wichtige Fragen des Zugangs nichts sagen könnte. Geschäftsführung hatte keine Ahnung, was passiert ist. Heiß findet das okay. Ich finde das abenteuerlich. Wir haben nach unseren Erkenntnissen keinen Zweifel, dass das so stattgefunden hat.

Steiner: Heiß muss über BND-Operationen nicht informiert werden. Ab wann muss Bundeskanzleramt informiert sein?

Hahn: Über AND-Kooperation mit Verträgen muss Bundeskanzleramt informiert werden. Wir haben im PKGr versucht, eine Definition zu bekommen, was Vorgänge von besonderer Bedeutung sind. Jetzt Konsequenzen: Gesetzesänderungen.

Steiner: Konkretisieren?

Hahn: Gesetzliche Grundlagen sind bekannt, an vielen Stellen unzureichend. PKGr darf weder Öffentlichkeit noch Fraktionsvorsitzenden informieren. Wir könnten wie Vorbild USA Dienste-Chefs im Plenum befragen. Aussagen der Minister sollten wir aufzeichnen. Grundsatzproblem: Wir bekommen nur, was Dienste uns sagen. Wir wollen mehr erreichen als bisher.

Steiner: Heiß sagte, dass Sie Selektorenliste in der Hand hatte und er sie Ihnen weggenommen hätte. Stimmt das?

Ströbele: Schön wär’s. Über Sachen im PKGr muss ich schweigen. Ich war zweimal beim BND und wollte die Liste.

Steiner: Gesamtfazit?

Ströbele: Habe Anlass davon auszugehen, dass Heiß nicht die Wahrheit gesagt hat. Mein Wissen über das, was Herr Heiß weiß, darf ich nicht sagen, weil PKGr. Wurde deutlich, dass Arbeit des NSAUA ungeheuer wichtig ist. Weder BND noch Bundeskanzleramt wüssten ohne NSAUA, dass 38.000 illegale Selektoren aktiv waren. Heiß verweigerte oft die Aussage. Resümee: kein guter Tag für die Wahrheitsfindung. Jetzt noch NÖ, richtigstellen.

Steiner: Unwahrheit in PKGr können Sie ihm nicht nachweisen, gibt kein Protokoll?

Ströbele: Versuche ich seit zehn Jahren zu ändern. Jetzt noch deutlicher. Auch ich weiß nicht mehr, was ich im Oktober 2001 im PKGr erfahren habe.

Steiner: Haben USA seit Abzug von Bad Aibling Selektoren selbst nicht mehr geprüft?

Ströbele: Haben ja auch schon vorher illegitime Selektoren festgestellt. Wir wissen ja bis heute nicht, welche scharf gestellt waren. Werden weiter daran arbeiten.

[Jetzt Ende. (12:47)]

von Andre Meister 11. September 2015 16
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Bis 2013 hätte der BND EU-Kommissare wie Oettinger überwacht“
Europasaal vor Beginn der Anhörung.
: Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Bis 2013 hätte der BND EU-Kommissare wie Oettinger überwacht“

Die Sommerpause ist vorbei und heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Die Zeugen diesmal sind die beiden BND-Mitarbeiter „W. O.“ (zum zweiten Mal) und „T. B.“ (zum dritten Mal), sowie Oliver Matt und Michael Capellas des Telekommunikationskonzerns Verizon. Wir sitzen wie immer drin und bloggen live.

Gliederung

Gliederung

Vorbemerkungen

Einleitung: Vorsitzender

Zeuge 1: „W. O.“, BND, Sachbearbeiter

Fragerunde 1: Vorsitzender, Linke, SPD, Grüne, Union

Fragerunde 2: Linke, Union, Grüne

Fragerunde 3: Grüne

Fragerunde 4: Linke

Zeuge 2: „T. B.“, BND, Sachgebietsleiter

Fragerunde 1: Vorsitzender, Linke, SPD, Grüne, Union

Fragerunde 2: SPD, Grüne, Union

Fragerunde 3: Grüne

Zeuge 3: Oliver Matt, Verizon Deutschland

Fragerunde 1: Vorsitzender, Linke, SPD, Grüne, Union

Fragerunde 2: Linke, Union, Grüne, SPD

Fragerunde 3: Linke, Union, Grüne

Vorbemerkungen

Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Dargestellte: Abgeordnete und Zeugen, gerne korrigieren und vervollständigen wir ihre Aussagen. Kontaktieren sie uns!

Wer uns unterstützen möchte, darf gerne spenden.

To-Do: Zusammenfassung. Bis dahin einfach nach „(!)“ suchen.

Copyright: Die Zeichnungen der Zeugen stehen nicht unter einer Freien Lizenz. Wer die Bilder verwenden möchte, kontaktiert bitte Stella Schiffczyk.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Einleitung: Vorsitzender (12:14)

$Begrüßung

$Formalitäten

Vom vierten Zeugen Michael Capellas gibt es keine Rückmeldung. Ich bin aber sicher, dass es ihn gibt.

Zeuge 1: „W. O.“, BND, Sachbearbeiter (12:17)

Rechtsbeistand ist Johannes Eisenberg, Berlin.

Name W.O., Anschrift Berlin, Gardeschützenweg 71–101. Beruf technischer Angestellter beim BND seit 1983, funktechnische Ausbildung. Eingangsstatement nicht gewünscht.

Fragerunde 1: Vorsitzender

Sensburg: Selektoren. Wie sind die vielen unterschiedlichen Zahlen zu Selektoren einzuordnen? Letztes Mal konnten sie keine konkreten Zahlen nennen. Wie groß war das Volumen? Wie hoch ist Gesamtzahl der von NSA gelieferten Selektoren je 2005, 2008, Frühjahr/Sommer 2013, Herbst 2013?

W.O.: [Redet mit Eisenberg]

Sensburg: Wenn’s Eisenberg wundert, wäre ich verwundert.

Wolff: Konkrete Zahlen sind eingestuft. NÖ.

W.O.: Kann dazu nichts sagen. Habe die nur bearbeitet, nicht Gesamtzahl zu sehen.

Sensburg: Nur grob: 20? 20.000? 20 Milliarden?

Wolff: Ganz grob.

W.O.: 14 Millionen steht im Raum. (!) KA, welcher Zeitraum.

Sensburg: Warum keine Gesamtzahl?

W.O.: Wäre im System abrufbar. Hat mich aber nicht interessiert. (!) Habe nur neue geprüft.

Sensburg: Viele Mitarbeiter prüften die?

W.O.: Der ein oder andere.

Sensburg: Viel Aufwand? Oder nebenbei?

W.O.: Nie großer Aufwand. Extraktion aus Datenbank. Zu löschende rausnehmen.

Sensburg: Händisch oder automatisiert?

W.O.: Rausnehmen war händisch.

Sensburg: Lieferung der Selektoren?

W.O.: Das ist kein Aufwand. Wir extrahieren die neuen aus der Datenbank, prüfen die und arbeiten die ein. Arbeitsaufwand je nach ankommenden Daten.

Sensburg: Ankommende Selektoren in Datenbank?

W.O.: Es ist eine Datenbank. Da gehen sie rein.

Sensburg: Täglich alle durchgucken?

W.O.: Nein.

Sensburg: Sondern?

Wolff: Nicht so konkrete Fragen.

Sensburg: Ich frage konkret, er antwortet offen.

W.O.: NÖ.

Sensburg: Wie handhaben sie diese große Zahl an Selektoren?

W.O.: Prüfung erfolgt nicht täglich. Werden abgeholt, in Datenbank eingestellt in nicht-definierten Zustand. Wir haben einmal pro Woche die Daten extrahiert und zur Prüfung geschickt.

Sensburg: War das so wenig, dass das mal eben geht? Waren ja nicht wenige.

W.O.: Ist nur eine Datenbank-Abfrage. Ob eine oder 70.000 ist kein Aufwand. Ich sage Datenbank: „Gib mir alle undefinierten“.

Sensburg: Wenn da 1.000 stehen, wird angezeigt, dass 200 ungeprüft sind?

W.O.: Haben in Datenbank undefinierten Zustand.

Sensburg: Wie viele 2015 abgelehnt und wie viele überführt?

Wolff: NÖ.

Sensburg: Abstrakt, nicht absolut.

Wolff: Doch, ist zu konkret.

Sensburg: Wurden immer welche abgelehnt oder auch manchmal nicht?

W.O.: Manchmal auch keine.

Sensburg: Also in manchen Wochen alle okay?

W.O.: Ja. (!)

Sensburg: 14 Millionen. Individuell? Oder inklusive Permutation?

W.O.: Ja, inklusive Permutationen. Sind ja Selektoren, keine Telekommunikationsmerkmale (TKM).

Sensburg: In ihrer Datenbank auch Permutationen?

W.O.: Ja.

Sensburg: 2005: Gab es da Änderungen?

W.O.: 2005 und 2008 kann ich nicht sagen. Datenbank wurde 2011 neu aufgebaut. Da auf 14 Millionen aufgewachsen. (!)

Sensburg: Waren ja damit beschäftigt. Erinnerung?

W.O.: Nein, war ein anderes System.

Sensburg: Auch Datenbank?

W.O.: Nein, sondern Zusammenfassung von Selektoren. Equations. Damals nicht einzelne Selektoren, sondern Equations: Masse an Selektoren.

Sensburg: Wie viele Equations?

W.O.: Keine Ahnung. (KA)

Sensburg: Extra Server?

W.O.: Eigenes Netz.

Sensburg: Server mit Festplatte. Wie groß?

W.O.: KA.

Sensburg: Wissen sie nicht?

W.O.: Egal, so lange sie speichert.

Sensburg: Kontinuierlich mehr geworden? Immer mehr?

W.O.: *nickt* Seit 2011 mit Sicherheit angewachsen. Da wurde nichts mehr gelöscht, kamen immer nur Selektoren dazu. (!)

Sensburg: Aber haben ja welche abgelehnt?

W.O.: Ja, waren aber weiterhin in Datenbank, nur geflaggt. (!)

Sensburg: Könnte man Flag wieder wegnehmen?

W.O.: Ist technisch möglich. (!)

Sensburg: Z.B. mit G‑10-Anordnung?

W.O.: Technisch möglich.

Sensburg: Gesamtdatenbank schließt abgelehnte ein?

W.O.: Ja.

Sensburg: Anteil?

Wolff: NÖ.

Sensburg: Nach 2011: 2013? Mehr oder weniger?

W.O.: In der Datenbank?

Sensburg: Ja.

W.O.: Mehr, wurde ja nichts gelöscht.

Sensburg: Und 2013?

W.O.: Ja.

Sensburg: Bis heute?

W.O.: Nein, Abholung von Selektoren wurde ja eingestellt.

Sensburg: Bis Einstellung kontinuierlich mehr, nie weniger?

W.O.: Ja.

Sensburg: Umfasst Gesamtdatenbank nur NSA-Selektoren oder auch von anderen Geheimdiensten?

W.O.: Gibt ja zwei Datenbanken: IP-Selektoren und Wählverkehre.

Sensburg: Nur NSA-Selektoren in IP-Datenbank?

W.O.: Ja.

Sensburg: Ist in Gesamtdatenbank von Wählverkehren klar, welcher AND die Selektoren geliefert hat?

W.O.: Nein.

Sensburg: Quelle kann man nicht sehen?

W.O.: Ja.

Sensburg: Hm?

W.O.: IP-Gesamtdatenbank hat nur NSA-Selektoren. Wählverkehr-Gesamtdatenbank hat nur Selektoren von NSA und BND.

Sensburg: Nicht von anderen AND?

W.O.: KA.

Sensburg: Andere AND der Five Eyes gibt ihnen nicht direkt Selektoren, die BND dann einpflegt?

W.O.: AFAIK nein.

Sensburg: Wo sind Selektoren, die andere AND dem BND geben? Weitere Datenbanken?

Wolff: NÖ. Selbst, wenn er es nicht weiß.

Sensburg: Warum?

Wolff: Zeuge gibt missverständliche Antworten, um nicht zu viel zu sagen.

Sensburg: Wenn sie etwas nicht wissen, sagen sie das. Können sie uns NÖ sagen, ob es weitere Datenbanken für andere AND gibt?

W.O.: Weiß ich nicht. 14 Millionen ist auch nur Hörensagen, habe kein eigenes Wissen.

Sensburg: Sie haben sich nie über Gesamthöhe Gedanken gemacht?

W.O.: Nein.

Sensburg: Auch nicht zu viel Arbeit gewesen?

W.O.: Ab 2008 zu viel, dann 2011 neues System, Arbeitsaufwand geringer.

Sensburg: Vor 2008 welcher Anteil ihrer Arbeit?

W.O.: Mehrere Stunden pro Woche, halber Tag. Vor 2008 25–30 % meiner Arbeit, danach zehn Prozent.

Sensburg: Kann man technisch herausfinden, wie viele Selektoren der Gesamtzahl aktiv sind?

W.O.: Ja, müsste gehen. (!)

Sensburg: Das ist doch mal etwas. (!) Gibt es noch eine zweite Liste? Die Ablehnungsliste genannt wird? Gibt es eine Ablehnungsdatenbank?

W.O.: Nein.

Sensburg: Das sind die geflaggten?

W.O.: Ja.

Sensburg: Geflaggte nicht aktiv, freigegebene aktiv. Ausgedruckt nie?

W.O.: Doch, zum Beweisbeschluss ausgedruckt.

Sensburg: Alles oder nur abgelehnte?

W.O.: AFAIK nur die abgelehnten extrahiert und ausgedruckt.

Sensburg: Wann war das?

W.O.: Zum Beweisbeschluss BND-26.

Sensburg: Davor nie?

W.O.: Nein. Nie.

Sensburg: Wie viele Leute können darauf zugreifen?

W.O.: Wer Zugang hat, kann lesen. Rechtemanagement zum Schreiben.

Sensburg: Ablehnungsliste ist eigene Datei?

W.O.: Ja, nur zum Beweisbeschluss erstellt.

Sensburg: Dann ausgedruckt statt gemailt?

W.O.: Ja.

Sensburg: Ausdruck in 2013 bekannt?

W.O.: Nein.

Sensburg: Würde das jemand machen?

W.O.: Glaube ich nicht. Kann ich mir nicht vorstellen.

Sensburg: Würde man ihnen zur Überprüfung einen Ausdruck zuschicken?

W.O.: KA.

Sensburg: Gab es eine Nachkorrektur in ihrer Zeit? Kam das vor?

W.O.: Ja, 2013 wurde ich von meinem Dienststellenleiter R.U. aufgefordert, nach Europäern zu suchen. (!)

Sensburg: Auftrag mündlich?

W.O.: Ja.

Sensburg: War das bekannt, dass die nicht gefiltert werden? Oder Schock?

W.O.: War bekannt. Haben wir ja gesehen.

Sensburg: Haben sie gefragt, warum?

W.O.: KA. Habe Auftrag einfach ausgeführt.

Sensburg: Haben sie dann auch Gesamtdatei geprüft? Oder nur neu reinkommende?

W.O.: Selbstverständlich Gesamtliste. Auftrag war, Gesamtdatenbestand nach Europäern durchsuchen. (!)

Sensburg: Recherche nach Endungen FR, IT: Ist das kompliziert?

W.O.: Ist eine einfache Filterfunktion in der Datenbank.

Sensburg: Strg+F?

W.O.: Ja, so ähnlich.

Sensburg: Auch Telefonnummern?

W.O.: KA.

Sensburg: Sie waren für E‑Mails zuständig?

W.O.: Ja.

Sensburg: Gibt aber noch mehr Selektoren? Wie ist das mit Messenger-Diensten?

Wolff: NÖ. (!)

Sensburg: War ihr Auftrag, auch nach europäischen Selektoren von Messenger-Diensten zu suchen?

W.O.: Auftrag bezog sich auf Europäer, soweit erkennbar. (!)

Sensburg: Gibt aber welche, die nicht erkennbar sind. Hat das ein anderer Kollege parallel gemacht?

W.O.: Könnte durchaus sein.

Sensburg: Könnte oder war so?

W.O.: Dr. T. hat sich mit Sicherheit damit beschäftigt. (!)

Sensburg: Er nicht *.fr, sondern andere, mehr tricky Sachen?

W.O.: KA.

Sensburg: Haben sie geredet?

W.O.: Nein.

Sensburg: Er hat länger gebraucht als sie?

W.O.: Ja.

Sensburg: Warum?

W.O.: KA. Ihn fragen.

Sensburg: Wie viel Prozent der Gesamtdatenbank fiel nach Prüfung nach Europäern raus?

Wolff: NÖ. (!)

Sensburg: Schade. Aber sie haben weitergemacht. War das dann noch attraktiv für den BND, was hinten rauskam?

W.O.: KA, das sehe ich nicht. Ich sehe nur die Selektoren.

Sensburg: Wer sieht das?

W.O.: Der Nachrichtenbearbeiter.

Sensburg: Nicht unterhalten?

W.O.: Doch, aber nicht darüber.

Sensburg: Welche E‑Mail-Endungen sind ihnen da aufgefallen? Neben .fr?

Wolff: NÖ. (!)

Sensburg: Nicht welche rausgefallen sind. Welche sind aufgefallen?

W.O.: Wir haben das nicht manuell auf aktiv gesetzt. Wir haben nur welche deaktiviert, der Rest war aktiv.

Sensburg: Es gab nie Prozess, eine bestimmte E‑Mail-Adresse rauszunehmen?

W.O.: Verstehe ich nicht.

Sensburg: patrick.sensburg@hotmail.com wäre bei ihnen aktiv gewesen. Sagte ihnen mal jemand, so eine rauszunehmen? Mal individuell deaktiviert?

W.O.: Doch.

Sensburg: Auch mit *.de. Bei G‑10-Anordnung?

W.O.: Nur in BND-Datenbank, die getrennt.

Sensburg: Bei NSA-Selektoren gab es nie unmittelbares Einstellen, die dann von G‑10-Anordnungen gedeckt waren?

W.O.: AFAIK nein.

Sensburg: September 2013, warum erteilte ihnen R.U. Auftrag, nach Europäern zu prüfen?

W.O.: KA, ihn fragen.

Sensburg: Kein Zusammenhang mit Snowden-Veröffentlichungen?

W.O.: KA, kann sein. Habe mich gewundert.

Sensburg: Warum?

W.O.: Weil wir bisher nur G‑10-geprüft haben.

Sensburg: Nur sie und Dr. T. haben Selektoren auf dissaproved geschaltet?

W.O.: Ja.

Sensburg: Noch andere?

W.O.: KA, ob R.U. noch anderen einen Auftrag gegeben hat.

Sensburg: Was sie disapproved haben, war das abschließend?

W.O.: KA.

Fragerunde 1: Linke (12:57)

Hahn: Wie haben sie sich für heute vorbereitet? Ihre Protokolle nochmal gelesen?

W.O.: Ja.

Hahn: Ist ihnen da etwas aufgefallen? Gab ja seitdem neue Veröffentlichungen. Möchten sie etwas ihrer Aussagen korrigieren?

W.O.: Nein. (!)

Hahn: Nichts gefunden?

W.O.: Nein.

Hahn: Medienberichte: Ungefilterte Weitergabe an NSA. Sie sagten etwas anderes.

W.O.: Ich habe das gesagt, was ich weiß.

Hahn: Sie wollen auf den Prüfungsabstand der Selektoren nicht korrigieren?

W.O.: Nein, hat sich nichts geändert. Einmal wöchentlich die neuen. Alle drei Monate das Gesamtprofil. (!)

Hahn: Sie sagten, sie haben Selektoren zur Prüfung geschickt. An wen?

W.O.: Ich habe 2005–2008 selbst geprüft. Danach zur Prüfung in die Zentrale.

Hahn: Wer?

W.O.: Sachgebiet T2AB. (!)

Hahn: Nachträglich kann man Dinge wieder scharf stellen?

W.O.: Ja.

Hahn: Liste nach Pullach, Selektoren geprüft und gesperrt, danach wieder entsperrt?

W.O.: Theoretisch möglich.

Hahn: Welchen Sinn macht dann Sperrung?

W.O.: KA.

Hahn: Muss doch eine Sicherung geben, dass eine abgelehnte Mail-Adresse nicht wieder eingestellt wird?

W.O.: Sicherung ist mir nicht bekannt. (!)

Hahn: Sie waren nur für Mails zuständig?

W.O.: Nein, für alle Selektoren zuständig. Habe nur die Mails überprüft.

Hahn: Haben aber neben Mails auch Telefonnummern geprüft?

W.O.: Ja.

Hahn: Wie prüfen sie Handynummer nach Nationalität?

Wolff: Nur grob.

W.O.: Bei Handynummer war auch Deutung des Teilnehmers dabei. Da kann drinstehen, dass das ein Europäer ist.

Hahn: Jede Handynummer hat eine Deutung?

W.O.: Ja. (!)

Hahn: Sie haben Mails nur nach Suchbegriff überprüft, nicht einzeln?

W.O.: Ja.

Hahn: Mail mit anderer Endung hätte drinbleiben können?

W.O.: Ja, meine Prüfung war nicht 100 %. (!)

Hahn: Sie haben ihren Auftrag nicht erfüllt?

W.O.: Doch, mein Auftrag war, nach Europäern zu suchen.

Hahn: Und sie haben das nur anhand der E‑Mail-Domains getan?

W.O.: Ja. (!)

Hahn: Was ist mit wechselnden Teilnehmern einer Telefonnummer?

W.O.: Wenn eine Nummer einem anderen Teilnehmer zugeordnet wird, fällt die raus?

Hahn: Wie merken sie das?

W.O.: Durch Reinhören ins Telefongespräch.

Hahn: Und Familienmitglieder? Wie werden die geschützt?

W.O.: Wenn ein Gespräch nicht relevant ist, wird es wieder gelöscht.

Fragerunde 1: SPD (13:08)

Flisek: Sie sollten 2013 nach Europäern suchen, danach nur G‑10. Vorher „deutsche Interessen“ keine Rolle?

W.O.: KA, welche Kriterien angelegt wurden.

Flisek: Sie sagten, „oberste Priorität G‑10“. Keine „deutschen Interessen“ nicht im Alltag?

W.O.: Ja.

Flisek: Erst 2013, mit Auftrag von R.U.

W.O.: Ja. (!)

Flisek: Sie waren ja auch überrascht. Für wie sicher halten sie eine G‑10-Prüfung nach Top-Level-Domains? (!)

W.O.: Ist nur grobes Raster. Aber USA gruppieren Selektoren in Equations. Wenn ein Selektor G‑10 ist, kommt ganze Equation raus. Relativ zuverlässig. (!)

Flisek: E‑Mail-Adresse guenther.oettinger@ec.europa.eu. Nur dies als Selektor. Wie gehen sie damit um?

W.O.: Wann?

Flisek: Vor Auftrag R.U.

W.O.: Vor Auftrag wäre die eingestellt gewesen. (!)

Flisek: Oettinger ist G‑10-relevant. EU-Kommission. Wäre scharf gestellt bis 2013?

W.O.: Ja. (!)

Flisek: Zäsur im Sommer 2013. Einmalige Aktion? Oder strukturelle Umstellung?

W.O.: Von meiner Seite einmalig. Was die Prüfgruppe umgestellt hat, weiß ich nicht.

Flisek: Scharfstellen eines Selektors ist das eine. Treffer-Erzielung das andere?

W.O.: Ja.

Flisek: Sie erstellten das für Bad Aibling?

W.O.: Ja.

Flisek: Dort Satelliten und Afghanistan. Warum ist Oettingers Mail relevant für Krisengebiete?

W.O.: Europäischen Institutionen sind ja auch manchmal vor Ort.

Flisek: Wenn Oettinger in Krisengebiete reist, landet seine Kommunikation in Pullach?

W.O.: Ja. (!)

Flisek: Sie waren der erste, denen die berühmten Selektoren EADS und Eurocopter aufgefallen sind?

W.O.: Ja. (!)

Flisek: Wann?

W.O.: 2005–2006.

Wolff: Konkrete Selektoren NÖ.

Flisek: Warum relevant?

W.O.: Könnte ja möglicherweise G‑10 betreffen.

Flisek: Zufallsfund damals?

W.O.: Ja. (!)

Flisek: Vorgesetzten gemeldet?

W.O.: Nein, G‑10-Juristen in Zentrale.

Flisek: Was passierte dann?

W.O.: Ich wurde aufgefordert, das rauszunehmen.

Flisek: Strukturelle Änderungen?

W.O.: KA. (!)

Flisek: Gab es Anweisungen für Selektorenprüfung?

W.O.: Nicht für Selektorenprüfung, nur G‑10-Anweisung.

Flisek: MoA ist ihnen nicht bekannt?

W.O.: Nein.

Flisek: hatten sie Kontakt zu Zeuge T.B.?

W.O.: War in Bad Aibling mein Vorgesetzter.

Flisek: Sprachen sie mit ihm über diese beiden Selektoren?

W.O.: KA. (!)

Flisek: Keine Erinnerung?

W.O.: Möglicherweise.

Flisek: BND holte Selektoren von NSA und prüfte einmal wöchentlich in Pullach. Warum?

W.O.: Für uns ist das einfach. Prüfprozess in Pullach vielleicht nicht.

Flisek: Warum wöchentlich, nicht täglich?

W.O.: KA.

Flisek: Es geht ja um Terror und Anschläge. Warum Prüfung erst nach einer Woche?

W.O.: Es betraf nur NSA-Selektoren. Unsere eigenen flossen sofort ein. (!)

Flisek: Eigene sofort, NSA war eher „Dienst nach Vorschrift“?

W.O.: Ja.

Flisek: Gab es Prüfinstanz in Pullach von Beginn der Kooperation? Oder wurden NSA-Selektoren auch mal ohne eingestellt?

W.O.: 2005–2008.

Flisek: Warum dann geändert?

W.O.: Menge wurde zu groß, sie manuell zu prüfen.

Fragerunde 1: Grüne (13:20)

Notz: Einziger Grund 2008, Menge Selektoren?

W.O.: Ja.

Notz: Warum dann Prüfung in zentrale?

W.O.: Vorher händisch, dann automatisiert.

Notz: Warum dann mehr als G‑10-geprüft?

W.O.: KA. Ich wusste nur, das es automatisiert ist, nicht warum.

Notz: Gab es einen Vorfall 2008?

W.O.: KA.

Notz: Gab es eine manuelle Prüfung in dem Zeitraum um 2008?

W.O.: KA. (!)

Notz: Generelle Prüfung 2011 bekannt?

W.O.: Nein. (!)

Notz: Anzahl eingestellte Selektoren: Wie viele kann man G‑10-prüfen? Welcher Anteil?

W.O.: Fragen sie jemand aus der Prüfung.

Notz: Wissen sie nicht?

W.O.: Nein.

Notz: Nur ein Prozent geprüft?

W.O.: Mutmaßung.

Notz: Kann sein?

W.O.: Ja. (!)

Notz: IP-Datenbank war nur US-Selektoren, BND hat ja eigene.

W.O.: Ja.

Notz: Hatte NSA Zugriff darauf?

W.O.: Ja, bis 2012. (!)

Notz: Konnten die USA aus Ferne eigene Häkchen setzen?

W.O.: Kann ich mir nicht vorstellen. Wäre ja aufgefallen.

Notz: Wieso?

W.O.: Weil gleicher Selektor wieder als abgelehnt kam.

Notz: Sie können ja aber nicht sagen, wie viele das waren.

W.O.: Abgelehnte Selektoren wieder freigeben, dann wieder abgelehnt. Wäre aufgefallen.

Notz: Aber USA hatte Zugriff auf dieses System bis 2012?

W.O.: Ja. (!)

Notz: Konnten die Häkchen setzen?

W.O.: KA. Aber sie konnten lesen. (!)

Notz: Hat man Equations geprüft? Dass die richtig sind?

W.O.: Nein. (!)

Notz: Ich frage mich, warum sie das gemacht haben. Hat man den USA nicht komplett vertraut? Wie kann man dann Zusammensetzung der Equations trauen?

W.O.: KA. (!)

Notz: Auftrag Spezialprüfung. War das eine abgeschirmte Operation? Haben sie etwas zu Akten gegeben?

W.O.: Ich habe geprüft.

Notz: Kein Abschlussbericht?

W.O.: Nein.

Notz: Sagte man ihnen das?

W.O.: Wurde nicht untersagt, aber war nicht explizit gefordert.

Notz: Haben sie darüber geredet?

W.O.: Auf dem Gang sicher.

Notz: Bundeskanzleramt will aber erst 2015 davon erfahren haben. Kollege K.M. erst XXX informiert?

W.O.: Bestand kein Bedarf, darüber mit Pullach zu reden.

Notz: Jede Woche schicken sie das nach Pullach und die entscheiden. Dann löschen sie in einer Nacht- und Nebelaktion zehntausende. Aber mit der Zentrale reden sie nicht? Nicht komisch?

W.O.: Nicht im Geringsten.

Fragerunde 1: Union (13:29)

Warken: Haben sie Berichtspflichten gegen Vorgesetzten T.B.?

W.O.: War Vorgesetzter in Bad Aibling, keine Berichtspflichten.

Warken: Im Mai sprachen sie hier über problematische Funde EADS und Eurocopter. Wann?

W.O.: EADS 2005, Eurocopter 2006. (!)

Warken: Wen in Bad Aibling haben sie darüber unterrichtet?

W.O.: KA.

Warken: T.B. unterrichtet?

W.O.: KA. U.K., G‑10-Jurist.

Warken: Öfters mit Pullach geredet?

W.O.: Bin auch Ansprechpartner für G‑10 in Bad Aibling. Da rede ich auch mit G‑10-Juristen in Pullach.

Warken: Beispiel?

W.O.: Zwei Ausländer unterhalten sich über deutsche Firma.

Warken: Wie hat Pullach auf EADS und Eurocopter reagiert?

W.O.: Rausnehmen.

Warken: Keine weiteren Folgen?

W.O.: Nein. Solche Funde gab es immer wieder. Ist ein normaler Vorgang. (!)

Warken: Sind über diese beiden Selektoren gestolpert. Wie prüfen sie?

W.O.: In Bad Aibling wurden täglich Veränderungen im Profil gesehen und manuell geprüft. Firmen sind wohl in diesem Zusammenhang aufgefallen.

Warken: Dass es überhaupt auffiel, war Zufall?

W.O.: Ja.

Warken: Wann Prüfung nach Pullach verlagert?

W.O.: Frühjahr/Sommer 2008c.

Warken: Begründung war starker Anstieg. Wie groß?

W.O.: KA. War einfach nicht mehr handhabbar.

Warken: Einmal wöchentlich geprüft. Wie lange dauert Prüfung, wann Rückmeldung?

W.O.: Meistens gleicher Tag.

Warken: Sie setzen Häkchen auf disapproved. Dann Begriffe schon in Erfassung?

W.O.: Nein, bei Einstellung undefiniert, ohne Erfassung. Erst nach Prüfung.

Warken: Welche Menge wird wöchentlich zur Prüfung nach Pullach geschickt?

W.O.: NÖ.

Warken: Welche Regionen und Interessen waren im Fokus der USA?

W.O.: Interessenprofil kann ich nicht sagen.

Warken: Wir haben eine „Kurzübersicht G‑10“ in Akten, VS-NfD. Handreichung Pullach für Bad Aibling. Zwei Tabellen. Kennen sie das?

W.O.: Kann ich das sehen?

Warken: MAT A BND 38a/BND 39a, Blatt 12 ff.

W.O.: [Liest.] Ist mir nicht bekannt.

Warken: Verwenden sie nicht?

W.O.: Nein.

Warken: Bezieht sich das auf Kontrolle von Treffern oder von Selektoren?

W.O.: AFAICT Treffer, behalten oder löschen. In Bad Aibling wurde jährlich gesamtes Personal G‑10-gebrieft.

Warken: Haben sich Vorgaben dazu geändert?

W.O.: Nein.

Warken: Bericht Besuch G‑10-Referat 20AB in Bad Aibling, 15.02.2008. Erinnern sie sich?

W.O.: Waren öfters da. Spezielles Datum: KA.

Warken: Was wurde generell besprochen?

W.O.: Probleme.

Warken: Danach Anweisungen oder Änderungen?

W.O.: War nie Thema bei uns, nur in Pullach.

Warken: Konkreter Bericht: Darstellung des Ist-Zustandes. „Über Einführung eines automatisierten Verfahrens zentral in Pullach nachdenken. Bisher wird die Einstellung der USA-Selektoren händisch geprüft, wir regen Stichproben an.“ Was bedeutet „Einstellung nach Rücksprache nach 20AA“?

W.O.: Lesen?

Warken: MAT A BND-38a/BND-39a, Blatt 17 ff.

W.O.: [Liest.] Dieses Protokoll war mir nicht bekannt.

Warken: Bei mir entsteht Eindruck, vorher noch nicht mal stichprobenartig überprüft.

W.O.: Ich habe das 2005–2008 selbst gemacht.

Warken: Wie erklären sie dann diese Empfehlung?

W.O.: KA. (!)

Warken: Ziffer 5, Blatt 19 der Akte: „Seit Herbst 2007 wurde durch LA60 in manueller Strichliste festgehalten, welche E‑Mails an JSA weitergegeben wurden. Bei 30.000 Verkehren gab es in drei Fällen eine nicht erkannte G‑10-Relevanz, zweimal reine Serverkommunikation. Also wurde Strichliste eingestellt.“ (!) Bericht leider nicht mehr in Akte, ebenso wenig Strichliste. Waren sie mit diesem Bericht befasst?

W.O.: Aus diesem Absatz würde ich deuten, dass es sich um Projekt Eikonal handelt. Dort wurde jede weitergegebene E‑Mail manuell geprüft. Da gab es eine Strichliste.

Warken: Die wurde eingestellt?

W.O.: Ja.

Warken: Haben sie die Strichlisten geführt?

W.O.: Ja. (!)

Warken: War G‑10-Referat einverstanden, die Strichliste einzustellen?

W.O.: Ja.

Warken: Ist die Strichliste noch vorhanden?

W.O.: Glaube ich nicht.

Warken: Bundesregierung?

Wolff: KA, können wir prüfen.

Sensburg: Zwei Datenbanken IP und Wählverkehre. Bis 2012 Datenbank von NSA und BND zusammen geführt?

W.O.: Wählverkehre immer gemeinsam, IP immer getrennt. (!)

Sensburg: Auch heute?

W.O.: Ja. (!)

Sensburg: Können bei gemeinsamer Datenbank Wählverkehre beide gleich zugreifen?

W.O.: Gibt unterschiedliche Rechte. NSA konnte nur BND-Selektoren ablehnen und freigeben, BND konnte nur NSA-Selektoren ablehnen und freigeben.

Sensburg: Auch nicht rückgängig?

W.O.: Ja.

Sensburg: Und wiedereinstellen?

W.O.: Nein, war drin als „disapproved“.

Sensburg: Und nochmal einstellen?

W.O.: Nein, geht technisch nicht.

Sensburg: Und Equations?

W.O.: Nein, keine bei Wählverkehren.

Sensburg: Aber bei IP?

W.O.: Ja.

Sensburg: Beide Datenbanken verlinkt?

W.O.: Nein.

Sensburg: Kann also unterschiedliche Handynummer in Wähldatenbank und in IP-Datenbank geben?

W.O.: Ja. (!)

Sensburg: Missbrauchsgefahr?

W.O.: KA.

Sensburg: Würde es auffallen, wenn in Equation deutsche Handynummer enthält?

W.O.: Ja, beim Einstellen.

Sensburg: NSA konnte das nicht ändern?

W.O.: Nein, nur lesen. Rechteverteilung.

Sensburg: Bei Wählverkehren können sie bis heute ändern?

W.O.: Heute kann kein Amerikaner mehr auf deutsche Systeme schauen.

Sensburg: Heute kann USA auch nicht lesen?

W.O.: Nein.

Sensburg: Seit wann?

W.O.: Seit Ende JSA.

Sensburg: Können sie Selektoren inhaltlich ändern? Also Rufnummer ändern?

W.O.: Nein, Neueinstellung.

Sensburg: Ganze Equation neu?

W.O.: KA.

Fragerunde 2: Linke (13:54)

Hahn: Welche BND-Selektoren hat NSA geprüft?

W.O.: Alle, die in Bad Aibling waren und gesteuert werden sollen.

Hahn: Wird ja Geheimnis um Auftragsprofil des BND (APB) gemacht. Aber USA können das ja aus BND-Selektoren ablesen?

W.O.: USA wissen, wonach BND in Bad Aibling sucht, ja.

Hahn: Aber es wird nicht alles eingespeist in Bad Aibling?

W.O.: Nein, gibt Sperrvermerke. Darf ich das sagen?

Wolff: Ja, grob.

W.O.: Es gibt Sperrvermerke für Selektoren gegenüber bestimmten AND. (!)

Hahn: Wie haben sie Telefonnummern überprüft? Was steht da an Deutung? Ist Deutung auf englisch?

W.O.: Ja.

Hahn: Wie dann Prüfung?

W.O.: Ist Frage an Prüfgruppe, nicht an mich.

Hahn: Als sie noch geprüft haben.

W.O.: Da war Europa nie Thema. G‑10 wäre rausgenommen worden.

Hahn: Händisch?

W.O.: Ja.

Hahn: Bei 15.000 Selektoren?

W.O.: Wurde ja nur Delta geprüft, also nur neue. Masse kleiner.

Hahn: Sie haben Teil der Selektoren gesperrt, aber Zentrale nicht informiert.

W.O.: Ja.

Hahn: Ist denen nicht aufgefallen, dass plötzlich mehrere tausend neue gesperrt sind?

W.O.: Wann?

Hahn: bei Komplettprüfung alle drei Monate.

W.O.: Glaube nicht, dass das auffällt. Aber da müssen sie Prüfgruppe in Pullach fragen.

Hahn: Wie viele Selektoren sind im Regelfall in einer Equation?

W.O.: Eine Telefonnummer mit Wildcards und Blanks.

Hahn: Warum Wildcard?

Wolff: NÖ.

Hahn: Warum?

Wolff: Details der Erfassung. Wie Permutationen funktionieren. NÖ.

Hahn: Werden Deutungen für Equations aktualisiert?

W.O.: Im IP-Bereich gibt es keine Deutungen.

Hahn: Wie ändern sich Bestandteile? E‑Mail-Adresse?

W.O.: Neueintrag innerhalb von Equation. Wird auch geprüft.

Hahn: Wird nur Neueintrag geprüft?

W.O.: Ja, aber bei Ablehnung ganze Equation disapproved.

Hahn: Lassen sich einzelne Selektoren zu Equation zuordnen?

W.O.: Ja.

Hahn: Wie?

W.O.: Es wird immer ganze Equation übermittelt. Aber nur neuer Teil wöchentlich geprüft.

Hahn: Wie?

W.O.: Ein bereits abgelehnter Selektor kann nicht neu eingestellt werden.

Hahn: Werden IP-Selektoren auch auf Satelliten gesteuert oder auch bei Kabel?

W.O.: Beides, auch Eikonal. (!)

Fragerunde 2: Union (14:03)

Sensburg: Treffer aus gemeinsamer Datenbank: Erstellen BND und NSA eigene Meldungen aus Treffern?

W.O.: Datenbank ist nur für Selektoren. Treffer sind unabhängig.

Sensburg: Wie?

W.O.: Treffer von NSA-Selektor geht an NSA, Kopie an BND. Treffer von BND-Selektor geht nur an uns, daran hatte NSA kein Interesse. (!)

Sensburg: Fall: NSA stellt EU-Selektoren ein, bis französischer Politiker in Afghanistan ist und Treffer produziert. Dieser Treffer geht auch zu BND. Was wird damit gemacht? Meldung? Oder löschen?

Notz: Oettinger ist Deutscher.

Sensburg: Oettinger ist guter Mann. Egal, EU-Politiker. Meldungen daraus produziert? Oder gelöscht? Oder Selektoren rausgenommen? Geistiger Gedankengang interessiert mich.

W.O.: Müssen sie jemand von Meldungserstellung fragen. Wäre nicht aufgefallen, weil Europa nicht im Fokus war, nur G‑10. Europa ist kein G‑10. (!)

Sensburg: Wie hat Meldungserstellung reagiert? „Schon wieder so ein Oettinger“? Oder „So what?“

W.O.: KA.

Fragerunde 2: Grüne (14:10)

Ströbele: Sie sagten, 2015 wurden Neueinstellungen eingestellt.

Wolff: Ist nicht Untersuchungsgegenstand.

Ströbele: Ging anderes Programm weiter, ohne Neuzugänge?

Wolff: Haben wir in Beratungssitzung gesagt.

Ströbele: EADS und Eurocopter waren scharf, eh sie die gefunden haben?

W.O.: KA.

Ströbele: Das haben sie weitergemeldet?

W.O.: Ja. Dann Anweisung von G‑10-Juristen 20AB bekommen: rausnehmen.

Ströbele: Keine weitere Anweisung?

W.O.: Nein.

Ströbele: Ihnen war aufgefallen, G‑10?

W.O.: Konsortium mit deutscher Beteiligung.

Ströbele: Sagten, dass sie auf NSAUA-Beweisantrag BND-26 Listen erstellt haben. Haben sie vorher Zeitung gelesen zu Snowden?

W.O.: Ja.

Ströbele: Und?

W.O.: War interessant, was öffentlich wird, und was bei uns im Einsatz ist.

Ströbele: Und Süddeutsche zu Eikonal 2014: EADS, Eurocopter, französische Behörden. Kein Zusammenhang zu ihrem Fund?

W.O.: Dieser Gedankengang hat sich mir nicht erschlossen. (!)

Ströbele: Auch nicht 2013, bei Selektoren-Prüfung in Pullach?

W.O.: Nein, Dr. T. war bei uns und bekam Auszug. Was er damit macht…

Ströbele: Nein, unabhängig davon. In Pullach auch abgelehnte Selektoren gefunden.

W.O.: Weiß ich jetzt, wurde mir erzählt. Damals nicht.

Ströbele: Sie haben ihre abgelehnten Selektoren auch nicht verschickt?

W.O.: Nein.

Ströbele: Und wusste ihr Vorgesetzter, ob Pullach auch prüft?

W.O.: KA. Er hat nur gesagt, wonach ich prüfen soll.

Ströbele: Wie haben sie Prüfung durchgeführt?

W.O.: [Guckt zu Wolff.] (!)

Ströbele: Stand ja in Zeitung.

Wolff: Konkrete Änderungen: NÖ. (!)

Ströbele: Ich war ja selber in Pullach. Ein Mitarbeiter, der sich gut auskennt, hatte die Idee und nach Kriterien gesucht. Davon ahnen sie nichts und machen das selbe nochmal?

W.O.: Ich kontrolliere nicht, was in Pullach passiert?

Ströbele: Wurden ihnen Suchmerkmale mitgeteilt?

W.O.: Nein, mein Auftrag war, in Profil nach Europäern zu suchen. Ich sollte aus dem Internet-Profile eine Liste an Europäern rausziehen.

Ströbele: Wie viele, dürfen sie nicht sagen?

W.O.: Ja. (!)

Ströbele: Im Februar 2015 wurden sie gebeten, das auszudrucken?

W.O.: Ja. (!)

Ströbele: Lag ihnen Beweisbeschluss BND-26 vor?

W.O.: Ja. (! (!))

Ströbele: Waren sie vorher schon mal an Beweisantrag zu NSAUA beteiligt?

W.O.: Ja. (!)

Ströbele: Und da kamen sie nicht auf die Idee, die Akten mit ihrem Ausdruck 2013 zu vervollständigen? Wir beantragten ja „alles, was relevant ist für NSAUA“.

W.O.: [Redet mit Eisenberg.] Ich soll die Frage nicht beantworten.

Ströbele: Warum?

Eisenberg: Hat mit Beweisgegenstand nichts zu tun.

Ströbele: Doch!

Sensburg: Welchen Beweisantrag haben sie bearbeitet?

W.O.: BND-26.

Ströbele: Ja, aber vorher schon andere.

[Eisenberg plappert.]

Wolff: Es gibt verschiedene Beweisanträge.

Notz: Beweisbeshcluss BND‑9. „Alle relevanten Unterlagen für den NSAUA.“ (!)

Wolff: Kann man darüber diskutieren.

Sensburg: Warum Ablehnungsliste nicht schon vorher vorgelegt?

W.O.: Ich weiß nicht, ob ich alle Beweisbeschlüsse gesehen habe und involviert war.

Fragerunde 3: Grüne (14:22)

Notz: Ihr Kollege K.M.: Wie konnten sie sicherstellen, wenn sie K.M. nichts von ihren zehntausend abgelehnten Selektoren erzählen, dass sie die nicht wieder einstellen?

W.O.: Sie konnten sie nicht wieder einstellen. Sie waren ja noch in Datenbank, aber auf abgelehnt gesetzt.

Notz: Dann nicht finnischer Verteidigungsminister, sondern neue finnische Verteidigungsministerin? Müssen fantasieren.

W.O.: Richtig.

Notz: Dr. T. macht etwas in Pullach, sie machen etwas. Zufällig synchron, aber niemand kommuniziert darüber. Zufall des Jahrhunderts?

W.O.: Auf unserer Sachbearbeiterebene wurde da nicht darüber gesprochen. Von anderen Ebenen weiß ich nichts.

Notz: Dr. T. war im Frühjahr 2013 in Bad Aibling?

W.O.: Ja.

Notz: Und ihre Prüfung?

W.O.: August/September 2013.

Notz: Genauer?

W.O.: Erste Prüfung war ein Tag, nach E‑Mails. Dann Mail: „Auftrag löschen.“ Habe nicht gelöscht, sondern auf inaktiv gestellt. Dann habe ich im Internet weiter recherchiert und weitere deaktiviert.

Notz: Circa drei Wochen?

W.O.: Ja.

Notz: Wusste ihr Chef davon?

W.O.: Ich habe Auftrag weiter ausgeführt.

Notz: Dass er mit „löschen“ etwas anderes meint als sie, kann nicht sein?

W.O.: Nein.

Notz: „Löschen!“ ist etwas anderes als „Inaktiv schalten!“

W.O.: Ihm war wohl bewusst, dass in der Datenbank nichts zu löschen ist.

Notz: Man kann da nicht löschen?

W.O.: Ich mit meiner Oberfläche nicht. Vielleicht auf Datenbankebene. Ich nicht.

Notz: Wer hat Ausdruck erstellt für Beweisbeschluss?

W.O.: Ich.

Notz: Im März 2015 sagten sie, dass soll an NSAUA gehen?

W.O.: Ja, ihm Rahmen von BND-26.

Notz: Wer?

W.O.: Ich, möglicherweise Sachgebietsleiter J.Z. (!)

Notz: Fallbeispiel Oettinger. Selektoren führen zu Treffern, die auch beim BND landen. Ist das Kollateralschaden? Sind halt Selektoren der USA? Oder gab es System zur Korrektur?

W.O.: Nein, keine Korrektur.

Notz: haben sie von einem Megaabgleich gehört? (!)

W.O.: Nein.

Notz: Frühjahr 2013?

W.O.: Nein.

Notz: Könnte es sein, das es einen Megaabgleich von Selektoren gegeben hat, von dem sie nichts mitbekommen?

W.O.: Kann sein.

Notz: Wenn Pullach das macht, bekommen sie nichts mit?

W.O.: Nicht unbedingt. Aber irgendjemand muss denen ja die Daten geben. Ich habe die nur Dr. T. gegeben.

Notz: Kann es sein, dass Dr. T. im Mai bei ihnen war?

W.O.: KA.

Notz: Frühjahr?

W.O.: März bis Mai.

Notz: Genauer?

W.O.: Nein.

Notz: Wie erinnern sie sich?

W.O.: KA. War im Frühjahr.

Notz: Kann es sein, dass es Interessenkonflikte zwischen Pullach und Bad Aibling gibt bei Löschaktion?

W.O.: KA.

Notz: Wie bewerten sie, dass heute keine IP-Selektoren von NSA gesteuert werden?

Wolff: Aktueller Sachstand ist kein Untersuchungsgegenstand. (!)

Ströbele: Wann haben sie zum ersten Mal erfahren, dass nicht nur sie im Oktober ~~2015~~2013 Selektoren geprüft haben, sondern auch Pullach?

W.O.: Erst im NSAUA.

Ströbele: Aha. Werden D.B. ja hören. Wenn das in Pullach gemacht, ausgedruckt und an Bad Aibling geschickt wurde: wo kommt das an?

W.O.: Dienststellenleiter.

Ströbele: Was macht der damit?

W.O.: KA.

Ströbele: Sie haben vorher nie davon gehört?

W.O.: Na bei BND-26 und Besuch von Altmaier. (!)

Ströbele: Wurden da die gleichen Selektoren ausgesondert wie bei ihnen?

W.O.: KA.

Ströbele: Haben sie nie abgeglichen?

W.O.: Nein.

Ströbele: Kennen auch nicht Pullachs Kriterien?

W.O.: Nein.

Ströbele: Hat Altmaier die Liste von Pullach mitgebracht?

W.O.: Ich saß bei Sitzung nur drin, habe nichts vorgelegt bekommen.

Ströbele: Telefonieren sie manchmal mit Herrn T.B.?

W.O.: Nein. Nicht mein Vorgesetzter.

Ströbele: Auch beim BND.

W.O.: Ganz anderes Aufgabengebiet. Wir haben nur telefoniert, um abzugleichen, in welchem Hotel wir beim Besuch schlafen.

Ströbele: Inhaltlich nicht geredet?

W.O.: Nein, ist für uns abgeschlossen.

Ströbele: Vor 2008 haben sie händisch geprüft. Waren ja nicht so viele Selektoren. Wie viele ungefähr?

Wolff: Nicht konkret.

Ströbele: 10.000, 100.000?

W.O.: Was ich täglich zu prüfen hatte?

Ströbele: Ja.

W.O.: Täglich unter hundert. (!)

Ströbele: Wie viele insgesamt geprüft 2005 bis 2008?

W.O.: KA. Habe keine Liste.

Ströbele: Nie mehr als hundert?

W.O.: Ja.

Ströbele: Könnte man hochrechnen?

W.O.: Ja, aber ich war ja nicht der Erste, gab ja vorher schon Bestand.

Ströbele: Wurden die auch angeguckt?

W.O.: Zur Quartalsprüfung 2008.

Ströbele: Vorher nicht?

W.O.: nein.

Ströbele: Dabei EADS aufgefallen?

W.O.: Ja.

Ströbele: Dann Anlass, alle anzugucken?

W.O.: Ja, habe in Gesamtbestand geguckt.

Ströbele: Wie viele?

Wolff: NÖ.

Ströbele: Ungefähr?

W.O.: Kann ich nicht sagen. Ich sehe bei Suche nur, wie viele Ergebnis sind, nicht wie viele durchsucht werden.

Ströbele: Wie geht das?

W.O.: Ich habe eine Oberfläche, in der ich Firma EADS in die Suche eingebe, dann bekomme ich nur die Ergebnisse damit zurück.

Ströbele: Sie haben nur die geprüft? Andere nicht?

W.O.: Kann mich nicht erinnern.

Fragerunde 4: Linke (14:40)

Hahn: Wechsel zu europäischen Interessen. Vorher aber schon deutsche Interessen. Wie?

W.O.: Wann? 2008?

Hahn: Und davor.

W.O.: Deutsche Interessen war für mich nicht Europa, nur Deutsche. (!)

[Fünf Minuten Pause. (14:41)]

Zeuge 2: „T. B.“, BND, Sachgebietsleiter (14:53)

Rechtsbeistand ist Johannes Eisenberg.

Name T.B., Anschrift BND, Gardeschützenweg 71–101, Berlin. Alter 54. Kein Eingangsstatement gewünscht.

Fragerunde 1: Vorsitzender

Sensburg: Chronologie Selektoren. Wann haben sie was gemacht?

T.B.: Im Grundsatz war ich offiziell 2003–2007 mit Selektoren in der JSA befasst. Erste kamen aber später. Anschließend hatte ich anderen Dienstposten, dann Selektoren insgesamt zuständig in Bereich TA.

Sensburg: Gesamt ist nicht nur Satellit, sondern Kabel?

T.B.: Ja. (!)

Sensburg: Wann kamen die ersten?

T.B.: 2004 oder 2005.

Sensburg: Vorher Testbetrieb?

T.B.: Natürlich.

Sensburg: 2005 nur Bad Aibling für Satelliten? Oder auch für Kabel?

T.B.: Welche Selektoren? Die von AND? Oder die Gesamtselektoren?

Sensburg: Erstmal die von der NSA.

T.B.: Ich bin nicht sicher. (!) Erstbefüllung von AND wurde nicht in Bad Aibling geprüft, sondern in Pullach. Ob die Teile herausgenommen und verteilt haben, weiß ich nicht.

Sensburg: Oktober 2007. Wo waren sie da?

T.B.: Zentrale in Pullach.

Sensburg: Wie lief es ab da?

T.B.: Informationen, die wir bekamen, standen Nachrichtenbeabeitung zur Verfügung und hätten eingesetzt werden können. Inhaltliche Prüfung machte Nachrichtenbearbeitung.

Sensburg: Wie haben sie mit Nachrichtenbeabeitung kommuniziert?

T.B.: Nachbarreferat.

Sensburg: Dürfen sie das wissen?

T.B.: Bearbeitung steuert.

Sensburg: War normal, dass sie das wissen?

T.B.: Ja.

Sensburg: Schön. Treffer von Selektoren: Was macht die Nachrichtenbeabeitung?

T.B.: Schaut Ergebnisse an und bewertet, ob die interessant sind.

Sensburg: Fiktiv: US-Selektor nicht G‑10-relevant, Beispiel E‑Mail mit @*.fr oder @*europa.eu. Bis Anfang 2013 war das approved, richtig?

T.B.: Theoretisch möglich, ja.

Sensburg: Wahrscheinlich auch praktisch. Wenn dieser Selektor Treffer erzielt, geht der an Nachrichtenauswertung?

T.B.: Ja. (!)

Sensburg: Wie viele Fälle dieser Art gab es?

T.B.: IIRC keine. (!)

Sensburg: Warum keine?

T.B.: Für mich als Mathematiker ist das schlüssig. Selektor ist für Ergebnis notwendig, aber nicht hinreichend. (!) Zu meiner Zeit in Bad Aibling hat ein Satellit 500 Träger, Bad Aibling sieht 200 Satelliten. Das sind 100.000 Träger. 50 Erfassungen sind 0,5 Promille. Sie wollen aber nur Ergebnisse zu ihrem Auftrag. Selektoren sind nur ganz keiner Teilbereich der gesamten Steuerung. Signalabklärung, Steuerung der Erfassung. Nicht jeder Selektor trifft auch.

Sensburg: Europäische Selektoren könnten Glück gehabt haben, weil sie nicht in diesem Zielbereich waren?

T.B.: Ja. Die waren einfach nicht dabei.

Sensburg: Kann man auch als Glück statt gezielt bewerten. Hatten eben das Beispiel von EU-Kommissar Oettinger, der nach Afghanistan fährt und dort per E‑Mail von @ec.europa.eu kommuniziert per Satellit. Theoretisch könnte das Treffer erzeugen?

T.B.: Ja. (!)

Sensburg: Dann müsste aber auch genau die Strecke abgegriffen werden?

T.B.: Ja.

Sensburg: Wenn das so war, hat die Nachrichtenbearbeitung das gehabt?

T.B.: Ja, die hätten das auf dem Tisch gehabt und das wäre aufgefallen.

Sensburg: Sie wissen aber nicht, ob das passiert ist?

T.B.: Ja.

Sensburg: Wie hat sich Zahl der Selektoren entwickelt 2005, 2008, 2013, 2015?

T.B.: Prinzipiell immer mehr geworden. Gab zwar Updates mit Löschungen, aber von Tendenz immer mehr. Kaum jemand schmeißt einen Selektor weg. Ein zusätzlicher Eintrag schadet nicht. Geht aber nicht an Datenschutzrecht vorbei.

Sensburg: Zu wie vielen Treffern haben die Selektoren 2008 geführt?

T.B.: Gibt keine direkte Statistik.

Sensburg: Wie viel circa?

T.B.: Prozentzahl kann ich ihnen nicht geben. Manche Strecken haben zweimal pro Woche eine wichtige Meldung, die den Aufwand lohnt. Andere haben täglich 500 Treffer. Andere haben täglich 5.000 Treffer, ich kann aber nur 20 verarbeiten, z.B. weil ich sie nicht übersetzen kann. (!) Keine pauschale Antwort möglich.

Sensburg: Wie groß war „initial load“ der Selektoren beim Befüllen? Wurde die G‑10-geprüft?

T.B.: Ja, 2005. Außerhalb G‑10 gab es keine Einschränkung. Also keine gesetzliche, aber halt durch APB und MoA. Nicht nur Frage der Selektoren, auch betriebswirtschaftlicher Einsatz der Mittel, sonst beschwert sich Rechnungshof.

Sensburg: Warum nicht nach Europa geprüft? Weil eh nur Afghanistan?

T.B.: Bin nicht ganz sicher, dass europäische Selektoren drin waren. Habe initial load nicht nochmal angeguckt.

Sensburg: EADS und Eurocopter sind aufgefallen.

T.B.: Bei einem Update. Und die sind aufgefallen,.

Sensburg: Spätestens dann muss man ja geahnt haben, dass auch kontraproduktive Selektoren drin sind.

T.B.: Diese Selektoren waren Ausnahmen. Auch danach ist in der Form nichts aufgefallen. Wir haben aber auch nicht explizit danach gesucht. Die initial load war angepasst auf Auftrag und MoA. Der AND hatte aus eigenem Interesse nicht alles eingestellt, was er weltweit einstellt. Diese Selektoren waren wohl Fehler in deren Prozess, die sie eher vermeiden wollten. (!)

Sensburg: ND darf doch AND nicht trauen, sondern muss prüfen. Oder?

T.B.: Ja. Als AND aus gemeinsamer Dienststelle abgezogen ist, hätten wir erkennen müssen, dass Vorfilterung wegfällt und wir genauer gucken müssen.

Sensburg: Wann?

T.B.: Herbst 2012.

Sensburg: Ein Jahr später Snowden. Dann Prüfung nach europäischen Selektoren. Auslöser? Warum europäische Selektoren? Warum Sensibilität?

T.B.: KA. Kann mir vorstellen: „Ausspähen unter Freunden – das geht gar nicht.“ (!) Kam von höherem Vorgesetzten. Aber Spekulation.

Sensburg: Wurden bestimmte Selektoren mal händisch rausgenommen? „Nimm mustermann@hotmail.com raus“?

T.B.: Ja. (!) Die ersten waren EADS und Eurocopter. Auch Nachfrage von Dienststelle an Zentrale, regelmäßigere Prüfung. Dann Mitte 2008 Verfahren umgestellt.

Fragerunde 1: Linke (15:20)

Hahn: Wie für heute vorbereitet? Unterlagen?

T.B.: War gestern in Dienststelle und habe Akten gelesen.

Hahn: Eigenen Protokolle nochmal durchgesehen?

T.B.: Unmittelbar vor dieser nicht, aber letztes Mal.

Hahn: Sie sagten letzte Mal, das alles in Ordnung war. Seitdem gab es aber neue Medien-Veröffentlichungen. Wollen sie Aussagen korrigieren? Wahrheitspflicht.

T.B.: Nein. (!) Habe die ja auch damals gelesen und korrigieren müssen. Habe nur einmal einen Teil der geheimen Sitzung ändern lassen.

Hahn: Sie waren doch bis 2014 mit Selektion befasst?

T.B.: Ja.

Hahn: In der Presse stand, dass Daten ungefiltert an CIA gingen. Und dass aus Bad Aibling Rohdaten an NSA gab? Medienberichte falsch?

T.B.: Ja.

Hahn: Alle Medienberichte sind falsch?

T.B.: Welche?

Hahn: Der Spiegel am 04.09.2015: Die Legende von Hilden. „Daten ohne jede Filterung direkt an CIA weitergeleitet“.

T.B.: Kann ich das lesen? [Bekommt Spiegel-Artikel und liest.] [Geht zu Wolff und bespricht Artikel mit ihm.] Zu diesem Artikel kann ich nichts sagen. Mit dieser Operation war ich nicht betraut. Damals war ich auch noch in Bad Aibling. Die beiden ANDs (NSA und CIA) hat man auch strikt getrennt. (!)

Hahn: Sie sind bei Materialfluss nur für einen AND zuständig?

T.B.: Damals war ich noch in Bad Aibling. Als ich zum Materialfluss kam, war diese Operation beendet.

Hahn: Bei laufenden Operationen ging nichts ungefiltert an AND?

T.B.: Ja. (!)

Hahn: Auch keine Metadaten?

T.B.: Genau. (!)

Hahn: Wofür sind sie zuständig?

T.B.: Als ich in Bad Aibling war, waren Selektoren Steuerungsinstrument. Die mussten nach Gesetzen beider Länder geprüft werden: G‑10 und MoA. Bei Steuerung waren Selektoren eher nachgeordnet. Gesamtprozess war sehr viel komplexer als Selektoren einzustellen oder nicht. Wir haben versucht, die Systeme zu verstehen: Wie tickt das System? Da nehmen sie auch mal die Arbeitsweise der anderen und sehen sich Input und Ergebnisse an. Haben wir auch mit unseren Methoden verglichen. Viel Aufwand. Haben sehr intensiv draufgeguckt, was wurde eingesteuert und was kam raus. Kann sehr sicher, dass nichts zu EU rauskam. Hätte auch interveniert. Ab 2007 bis 2014 als für Gesamtsystem zuständig war, ging es darum, wie man in der TA gesamt sieht, was G‑10 ist und was eingesteuert wird. Verantwortung für einen Selektor ist da in der Nachrichtenbearbeitung, weil die sagen können, was drinsteht. Terroristen in London durfte ich nicht in Bad Aibling einsteuern.

Fragerunde 1: SPD (15:31)

Flisek: Sie haben die Protokolle nochmal gelesen?

T.B.: Ja.

Flisek: Haben sie Aussagen ihrer Kollegen W.O., D.B., W.K., … verfolgt?

T.B.: Teilweise. (!)

Flisek: Haben sie etwas hinzuzufügen oder richtig zu stellen?

T.B.: Fragen sie konkret.

Flisek: Hatten sie mit Zeugen W.O. zu tun?

T.B.: Es gab einen Kontakt, als die Vertrauensperson der Bundesregierung beim BND war, war ich auch in der Außenstelle. (!)

Flisek: Sie hatten jetzt ganz aktuell erstmals Kontakt?

T.B.: Bis 2014 haben wir zusammen gearbeitet.

Flisek: Ich habe gefragt, ob sie damals mit W.O. Kontakt hatten.

T.B.: Ja. Wir arbeiteten zusammen?

Flisek: Wann?

T.B.: Spätestens seit seinem Wechsel nach Bad Aibling 2005 war er mein Mitarbeiter. Bis zu meiner Wegversetzung 2014.

Flisek: Ist ihnen bekannt, dass er bei W.O. mal etwas außergewöhnliches in den Selektoren gefunden hat?

T.B.: EADS und Eurocopter. (!)

Flisek: Und was sagte er?

T.B.: „Ist zwar nicht G‑10, aber hätte Bauchschmerzen, das freizugeben.“

Flisek: Und dann?

T.B.: Haben wir das nicht freigegeben.

Flisek: Wann?

T.B.: 2005.

Flisek: Sie haben laut Protokollen erklärt, dass EADS und Eurocopter nur fiktiv war und nie passiert ist! (!)

T.B.: Laut meiner Erinnerung. (!)

Flisek: „Nicht, dass es in dieser Form versucht worden wäre. Ist nicht passiert.“ „Das ist ein rein fiktives Beispiel. Das ist reine Theorie.“ (!)

T.B.: War es damals. (!) Mittlerweile weiß ich, dass es das nicht war. (!)

Flisek: Aber heute können sie sich ganz genau erinnern?

T.B.: Ja. Weil ich mich mit Unterlagen vorbereitet habe. (!) Mein Gedächtnis hatte mich betrogen. (!) Kam ja nicht jede Woche durch, ist durchgerutscht und war wieder weg.

Flisek: Wenn das so wäre, wie sie das schildern, hätten sie das ja sagen können. Aber diese Vorfälle waren damals schon Aktenkundig. Zeuge W.O. hatte uns gerade gesagt, dass unser fiktives Beispiel Mail-Adresse guenther.oettinger@ec.europa.eu von USA bis 2013 scharf gestellt wäre. Schließen sie sich dieser Bewertung an?

T.B.: [Pause.]

Flisek: Hat er sehr klar gesagt, nicht einschränkend.

T.B.: Ich vermute, dass er Recht hatte. (!)

Flisek: Worauf stützen sie diese Vermutung?

T.B.: Die Adresse fällt nicht unter G‑10. (!)

Flisek: Sobald eine G‑10-relevante Person in einer E‑Mail-Adresse mit einer Top-Level-Domain außer .de „versteckt“ wäre, wäre es sehr schwer, diese herauszufiltern?

T.B.: Ja. Hundertprozentige Sicherheit gibt es bei IP nicht.

Flisek: Ja. Aber sie suggerieren, dass sie nah dran sind. Nicht, dass ich Oettinger für besonders schützenswert halte. Aber es gibt viele Top-Level-Domains mit .com und .eu und so weiter. Da bezweifle ich, dass wir auch nur annähernd nah an 100 % sind, eher löchrig wie Schweizer Käse.

T.B.: Ist sehr juristisch. Sprechen sie mit Juristen.

Flisek: Tun wir. Jetzt sprechen wir mit ihnen.

T.B.: Technisch ist das sehr schwierig. Ist immer nur so gut, wie die Filter. Die verbessern wir kontinuierlich. Aber es ist klar, dass es die 100 % nicht gibt. (!)

Flisek: Sie sind Mathematiker. Wurde dieses Problem erkannt und methodisch behandelt? Oder weiter einfach *.de gefiltert?

T.B.: Natürlich. Nicht nur Top-Level-Domains, sondern auch weitere Filter. Details NÖ.

Flisek: War ihnen MoA bekannt?

T.B.: Natürlich.

Flisek: Welche Prüfkriterien waren daraus ableitbar?

Wolff: MoA NÖ.

Flisek: Anders: spielten deutsche Interessen eine Rolle?

T.B.: Wir haben gemeinsam mit AND besprochen was geht und kritische Dinge rausgenommen. Das entsprach deutschen Interessen.

Flisek: Konnte Satz nicht folgen. Was war Aussage?

T.B.: In MoA gibt es einen Teilbereich, der mit Tätigkeitsfeld/Arbeitsbereich der gemeinsamen Operation zu tun hatte. Von beiden Seiten haben sich Entscheidungsträger sehr genau überlegt, was man mit dem anderen machen darf. Man suchte die Dinge heraus, die im gemeinsamen Interesse sind und nicht gegen die eigenen Interessen verstoßen. Also waren Verstöße gegen deutsche Interessen ausgenommen.

Flisek: Nachgelagert nach G‑10 waren also deutsche Interessen als Prüfauftrag?

T.B.: War bei Formulierung des MoA.

Flisek: Was wurde dann an Erfassungsstellen weitergegeben?

T.B.: Aufträge. G‑10-Erfassungen durften nicht gemacht werden mit AND.

Flisek: Wurde zu ihrer Zeit jemals ein Selektor wegen Verstoß gegen deutschen Interesse ausgefiltert, außer EADS und Eurocopter?

T.B.: Kenne nur die Fälle. (!)

Flisek: War die Prüfung auf deutsche Interessen bis 2013 höchst fragwürdig?

T.B.: Nein, nur zwischen 2012 und 2013.

Flisek: Warum?

T.B.: 2012 sind Mitarbeiter des AND abgezogen. Da gab es einen Bruch in Vorabprüfung des AND, eh der Selektoren an uns gab. Details NÖ. Details über Arbeitsweise und Zusammenarbeit.

Flisek: Vor 2012 war es besser?

T.B.: Ja.

Flisek: Weil USA deutsche Interessen geprüft haben?

T.B.: Nein. Sie haben geprüft, welche Selektoren dem MoA entsprechen.

Fragerunde 1: Grüne (15:50)

Notz: War 2012 Paradigmenwechsel beim BND in Erfassung? Gab es andere Veränderungen?

T.B.: KA, worauf sie hinaus wollen.

Notz: Was fällt ihnen ein?

T.B.: [Pause.]

Notz: Hausanweisung? Neuinterpretation?

T.B.: Ich weiß, dass seit Ausspruch der Kanzlerin „Ausspähen unter Freunden, das geht gar nicht“ Dinge anders sind.

Notz: Ein Jahr vorher. Keine Hausanweisung?

T.B.: Ist mir nicht erinnerlich.

Notz: Schließen es auch nicht aus?

T.B.: Zu 90 %. Aber ich habe mich ja schon mal geirrt. (!)

Notz: Kennen sie MoA mit allen Annexen?

T.B.: Ja. (!)

Notz: Woher wissen sie das? Manche BND-ler kennen nicht alles?

T.B.: Kenne alles schriftliche.

Notz: Gibt es mündliche?

T.B.: Mir ist nicht bekannt, das es einen Teil gegeben hätte, den ich nicht kannte.

Notz: Nach „Ausspähen unter Freunden, das geht gar nicht“ wurde untersucht. W.O. hat untersucht. Haben sie etwas mitbekommen?

T.B.: nein.

Notz: Nichts?

T.B.: Nein. (!)

Notz: Auch nichts erzählt?

T.B.: Nein.

Notz: Nicht mitbekommen, dass zehntausende Selektoren überprüft und herausgenommen wurden?

T.B.: Nein.

Notz: Ist bekannt, das IP-Datenbank im Mai 2015 abgeschaltet wurde und nicht mehr von USA genutzt wird?

T.B.: [Redet mit Eisenberg.] Außerhalb des Untersuchungszeitraums.

Notz: Alles war in Ordnung, aber mittlerweile hat man seinen ganzen Tätigkeitsbereich abgeschaltet, weil es nicht in Ordnung ist. (!) Wie viele Prozent der Selektoren waren überhaupt G‑10-filterbar?

T.B.: Verstehe die Frage nicht. Darf nur einstellen, was überprüft wurde.

Notz: Wir bekommen nur Beispiele mit .de-Top-Level-Domain, wobei auch Taliban einfach @web.de nutzen können. Aber wie filtern sie einen IMEI? „G‑10 war oberstes Gebot.“ Wie filtern sie MAC-Adressen, IMEIs, WLAN-Standortdaten nach G‑10?

T.B.: NÖ. (!)

Notz: Alles ist in Ordnung, aber die können es nicht sagen, wie?

T.B.: NÖ. (!)

Notz: Prozentualer Anteil bei Selektoren von E‑Mail-Adressen zu schwierig filterbaren Selektoren?

T.B.: NÖ. (!)

Notz: Ist die G‑10-Filterung von Inhaltsdaten oder Metadaten?

T.B.: Anderes Thema.

Notz: Ja.

T.B.: Selektoren werden G‑10-geprüft. Und Erfassung wird nochmal G‑10-geprüft.

Notz: Kann es sein, dass Metadaten unkomplizierter gefiltert werden und straight an die USA gehen?

T.B.: Nein.

Notz: Warum?

T.B.: Müssen Metadaten anders filtern als Inhalte. Details NÖ. (!)

Notz: Wann haben sie das erste Mal von Löschung von W.O. im August 2013 gehört?

T.B.: Herbst 2013.

Notz: Von wem und wie?

T.B.: Im August war ich im Urlaub. Danach habe ich davon mitbekommen.

Notz: Ich empfinde das als Korrektur ihrer Aussage, dass sie davon nichts mitbekommen haben.

T.B.: Ich war im Urlaub. Sie fragten explizit nach Daten, die Herr Oppermann gelöscht hat.

Notz: Kann das ein Megaabgleich gewesen sein?

T.B.: Was verstehen sie darunter?

Notz: Ich weiß es nicht, es ist nicht meine Bezeichnung, ich bin ihr begegnet. (!)

Fragerunde 1: Union (16:01)

Warken: Sie waren Leiter der JSA. Worüber hat ihr Mitarbeiter W.O. sie informiert?

T.B.: Waren im regelmäßigen Austausch. Habe nicht wöchentlich Ablehnungen gesehen.

Warken: Über problematische Dinge berichtet?

T.B.: Ja.

Warken: Und dann Veränderungen? Qualitätsmanagement? Vorgaben?

T.B.: Problematische Dinge waren nur EADS und Eurocopter. Einzelfälle. War Routinevorgang. Eingefasste Prozesse ohne Probleme.

Warken: EADS und Eurocopter waren auf approved gestellt?

T.B.: Nein.

Warken: W.O. hatte das an G‑10-Referat gemeldet. War das ihr Auftrag?

T.B.: Er hatte sich am mich gewendet. Ich habe gesagt, dass es nicht G‑10, aber raus soll. Und an G‑10-Referat gemeldet. Hatten auch öfters Besuch von denen.

Warken: Wie hat G‑10-Referat reagiert?

T.B.: Keine Auswirkungen. War ja kein G‑10. EADS war damals 40 % deutsch. Regel war: mindestens 50 %. (!) Kein G‑10, aber gegen deutsche Interessen, als Konkurrent zu Boeing.

Warken: Andere Grenzfälle? System der USA?

T.B.: Nein. Haben nicht systematisch gesucht. Initial load war ja von Zentrale geprüft, viel bei Update auf. War dann aus unserer Sicht vom Tisch.

Warken: Er sei über die Begriffe „gestolpert“. Wie gestolpert? Update?

T.B.: Update bedeutet regelmäßige Lieferung neuer Selektoren. Normaler Prozess. Alles, was eingestellt wurde, musste approved werden damals.

Warken: Wie funktioniert nachgelagerte Prüfung nach deutschen Interessen?

T.B.: Wir gucken ein kleines bisschen stärker rauf.

Warken: Per Stichprobe?

T.B.: Ja. (!)

Warken: Warum Prüfung von Bad Aibling nach Pullach verlagert? Welchen Umfang hatte Selektorenliste?

T.B.: Wenn Menschen Dinge suchen, passieren Fehler. Wenn sie das automatisieren, können sie sicher sein, dass der Listenabgleich zu 100 % funktioniert. Das war der Hauptgrund. Technik nutzen, Menschen entlasten. Umbau dauerte eine Zeit, bis es funktionierte. Dann aber genutzt. Zweiter Aspekt auch Verbesserung von G‑10-Erkenntnissen. Wer vor einer Woche noch als Ausländer galt, kann doch Grundrechtsträger sein. Im Nachgang muss auch der raus. Das geht nicht händisch.

Warken: Warum Anstieg der zu prüfenden Selektoren? Ausweitung der Interessen?

T.B.: Nein, Technik. Details NÖ.

Marschall: Kann man nicht prophylaktisch Personen mit Grundrechtsschutz aktiv herausfiltern, wie Günther Oettinger, der ja Grundrechtsträger ist? Haben sie daran nicht gedacht?

T.B.: Es gab dazu auch Ansätze. Details NÖ. (!)

Schipanski: Bei Oettingers Mail-Adresse nicht nur Top-Level-Domain hinten, sondern Namen vorne. Günther Oettinger etwas anderes als Mohammed Abdullah. (!)

T.B.: Hat man probiert, aber nicht systematisch, sondern nur sporadisch. (!)

Schipanski: Automatisiert, nicht 100 Prozent. Aber nachgearbeitet. Da trifft man dann diese Entscheidung?

T.B.: Ja.

Warken: Hat NÖ-Antwort zu Marschall etwas mit G‑10-Positivliste zu tun?

T.B.: NÖ. (!)

Warken: Kennen sie Bericht Besuch G‑10-Referat 20AB in Bad Aibling, 15.02.2008?

T.B.: Nein. Vermutung: Wie sind Ergebnisse zu Test der G‑10-Filterung bei IP zu werten?

Warken: Bericht vorlegen: Ziffer 3. Darstellung des Ist-Zustandes. „Über Einführung eines automatisierten Verfahrens zentral in Pullach nachdenken. Bisher wird die Einstellung der USA-Selektoren händisch geprüft, wir regen Stichproben an.“ Was bedeutet „Einstellung nach Rücksprache nach 20AA“? MAT A BND-38a/BND-39a, Blatt 17 ff. Dazu etwas sagen?

T.B.: 20AA ist ja nicht nur Recht, sondern auch Policy-Aspekte.

Warken: Welche?

T.B.: Was steuere ich wo ein? Welche Dienststelle innerhalb der TA hat welche Aufgaben?

Warken: Wie muss ich mir Rücksprache vorstellen?

T.B.: Dieser Bereich macht eigentlich keine G‑10-Fragen. Eher politisch: was ist heiß, wie muss ich das Ganze betrachten. Aber ich weiß es nicht.

Warken: Wäre das der Bereich, der bewertet, ob Günther Oettinger heiß ist und gesteuert werden darf?

T.B.: KA.

Warken: Dort steht „stichprobenartig prüfen“. Passierte vorher nicht?

T.B.: So lange ich in Bad Aibling war, wurden Telefonnummern insgesamt geprüft. Bei IP wurden auch Selektoren komplett geprüft. KA, was hier gemeint ist.

Warken: „Stichprobenartig“?

T.B.: Wir haben komplett geprüft.

Warken: Weiter: „Seit Herbst 2007 wurde durch LA60 in manueller Strichliste festgehalten, welche E‑Mails an JSA weitergegeben wurden. Bei 30.000 Verkehren gab es in drei Fällen eine nicht erkannte G‑10-Relevanz, zweimal reine Serverkommunikation. Also wurde Strichliste eingestellt.“ Als sie Bad Aibling 2007 verließen, gab es die Strichliste schon?

T.B.: Nein, gab damals noch keine Produktion, sondern nur Tests.

Warken: Aber sie kennen die Strichliste? Ab wann gab es die?

T.B.: Nachdem ich weg war.

Warken: Haben sie die gesehen?

T.B.: Nein.

Warken: Ist die noch vorhanden?

T.B.: KA.

Warken: Strichliste und Verfahren sagt ihnen nichts?

T.B.: [Liest.] Nein.

Warken: Ganzes Prozedere unbekannt?

T.B.: Da war ich schon weg. War im engen Zeitraum, in dem es da draußen eine Produktion im IP-Bereich gab. (!)

Warken: Wann?

T.B.: Nach Oktober 2007, bis Anfang 2008. Mir wurde damals eingetrichtert: „Ein einziger G‑10-Verstoß ist einer zu viel.“ Die Ziffer 5 hier hätte bedeutet, dass ich das einstellen muss, dass das nicht geht. (!)

Sensburg: Selektoren zu EADS und Eurocopter waren scharf gestellt?

T.B.: Nein, waren nicht approved. (!)

Sensburg: Was heißt das?

T.B.: Wurden eingestellt als „pending“, dann aber „disapproved“, also weggefallen, nicht in Erfassungssystem übertragen.

Sensburg: Ich lasse ihnen eine eingestufte Textpassage vorlegen. Ist das dann immer noch so? Aus Geheimschutzstelle.

T.B.: [Liest.] Ich kenne die Original-E-Mail.

Sensburg: Wollte ich gar nicht sagen.

T.B.: Ist etwas unglücklich formuliert.

Sensburg: Hier entsteht ein anderer Eindruck?

T.B.: Ja.

Fragerunde 2: SPD (16:31)

Flisek: G‑10-Positivliste?

T.B.: NÖ.

Flisek: Gibt es. Abstrakt. Kann ich davon ausgehen, dass diese Positivliste gefüttert wird nur durch Auftreten kritischer Selektoren?

T.B.: NÖ.

Flisek: Ist da fiktiverweise die aktuelle Bundesregierung drin?

Eisenberg: Kein Untersuchungsgegenstand.

Flisek: Doch.

T.B.: NÖ.

Flisek: Deutliche Aussage zu fiktivem Beispiel Oettinger. Deutschland hat ja nicht 100 Kommissare, sondern einen. Der war nicht drauf?

T.B.: Ich habe die Liste nicht im Kopf. (!)

Flisek: Ist das eine Mischung aus Klarnamen, Kennzeichen, Vorwahlen.

T.B.: 0049 brauchen sie da nicht. Details NÖ.

Flisek: Oettinger wäre bis 2013 wahrscheinlich scharf gestellt geworden?

T.B.: Kann ich nicht ausschließen.

Flisek: Weil die NSA 2012 aus der JSA abgezogen sind.

T.B.: Ja.

Flisek: Details NÖ?

T.B.: Ja.

Fragerunde 2: Grüne (16:35)

Ströbele: Ich werde ungern belogen. Ich wollte sie letztes Mal zur Wahrheit bewegen, es ist mir nicht gelungen. Wie kamen sie ausgerechnet auf das ganz fiktive Beispiel EADS?

T.B.: KA. Vielleicht war es irgendwo im Hinterkopf. Durch Unterlagen stellte ich fest, dass es leider doch kein fiktives Beispiel war.

Ströbele: Oder wussten sie schon damals, dass es real war, aber waren der Meinung, dass sie das nicht sagen dürfen?

T.B.: Nein. Entschuldigung. Ich wollte sie nicht anlügen. Habe es später erfahren.

Ströbele: Wann?

T.B.: Bei Beweisbeschlüssen.

Ströbele: In diesem Jahr?

T.B.: Ja.

Ströbele: Dass die nicht scharf gestellt waren, steht auch in Unterlagen?

T.B.: Ja.

Ströbele: Wo?

T.B.: Nicht in der Mail.

Ströbele: Nach Februar 2015?

T.B.: Ja, als das aufgearbeitet wurde.

Ströbele: Wann haben sie das Protokoll bekommen?

T.B.: Aussage war ja im November, innerhalb einer Woche. Eh ich davon erfahren habe.

Ströbele: Das war ja eine Falschaussage. Das wäre ein Fall für die Staatsanwaltschaft. Warum haben sie das nicht korrigiert, als sie davon erfahren haben?

T.B.: Ich sollte nach meiner Erinnerung bestmöglich die Wahrheit sagen, das habe ich getan. (!)

Ströbele: Aber sie haben ja erfahren, dass das nicht stimmt.

T.B.: [Redet mit Eisenberg.]

Sensburg: Belehrung heißt nicht bestmögliche Wahrheit, sondern Wahrheit.

T.B.: Ich muss mich auf Sitzung vorbereiten. Das habe ich getan. Selektoren waren erst später Schwerpunkt. (!) Ich habe mich bestmöglich darauf vorbereitet, was ich für Schwerpunkt gehalten habe. Tut mit leid. Ich habe auch nicht alle Unterlagen des NSAUA nachgearbeitet, in vielen bin ich nicht unmittelbar betroffen. Ich habe nach bestem Wissen und Gewissen nach meiner Erinnerung ausgesagt. Ich habe erst in diesem Jahr erfahren, dass das nicht fiktiv war. Dafür habe ich mich entschuldigt. Ich wusste nicht, dass ich das Protokoll später korrigieren muss, wenn mir das bekannt wird. Tut mir leid.

Ströbele: Ich habe auch noch Zweifel an anderen Aussagen. Sie sagten, dass sie dicht am Arbeitsplatz von W.O. saßen und viel mitbekommen haben. Der sagt vorhin, wir er 2013 die Selektoren geprüft hat und zehntausende Selektoren gefunden hat, die da nicht reingehört haben. Und die sagten, dass sie davon nichts wissen und mitbekommen haben.

T.B.: Unmittelbar habe ich es nicht mitbekommen.

Ströbele: Und mittelbar?

T.B.: Als ich mich vorbereitet habe.

Ströbele: Ganz gravierender Vorgang, der die halbe Republik umtreibt, die sich dafür interessiert. Chef-BK war bei ihnen, Vertrauensperson eingesetzt. Und sie wurden erst danach informiert?

T.B.: Ich bin seit Oktober 2014 nicht mehr in diesem Bereich. Habe die Aufregung nur am Rande mitbekommen.

Ströbele: Sie wussten nichts von Untersuchung neben ihrem Arbeitsplatz?

T.B.: Nein, nur in der Zentrale. Ich war im Urlaub, als Referent bei mir Selektoren durchsucht hat. Die Prüfung, die W.O. auf Anweisung seines Vorgesetzten gemacht hat, davon habe ich gestern gelesen.

Ströbele: Wussten sie von ausgesonderten Selektoren?

T.B.: Ist ganz normale Arbeitsweise, dass gefundene Selektoren gelöscht werden.

Ströbele: Haben sie sich darum bemüht?

T.B.: War schon passiert, als ich aus Urlaub zurück kam.

Ströbele: Wurde ihnen berichtet?

T.B.: Ja.

Ströbele: Wo wurden die gelöscht? Bei ihnen oder in Pullach?

T.B.: Ich war damals in Pullach, die wurden in Bad Aibling gelöscht.

Ströbele: Wie kam Außenstelle dazu, die zu löschen? Wurden die per Mail geschickt?

T.B.: Ich war im Urlaub.

Fragerunde 2: Union (16:47)

Warken: Schindler hat hier über die G‑10-Positivliste öffentlich gesprochen. Können sie auch.

Sensburg: Wurden abgelehnte Selektoren gelöscht oder disapproved?

T.B.: Nach 2008 wurden Verfahren und Technik in Bad Aibling umgestellt. Ich weiß nicht, ob die gelöscht oder disapproved wurden.

Sensburg: Wie war das ursprünglich? 2005 initial load. Wie von da bis 2008 mit Selektoren umgegangen, die nicht aktiv sein sollen?

T.B.: Bis zu automatisierter Überprüfung vor Ort von pending auf disapproved gestellt.

Sensburg: Dachte ich auch. Man kann aber auch löschen. Bleibt das ewig drin?

T.B.: In der Zeit vom Aufbau haben wir disapproved-Datensätze behalten. Wir wollten wissen, ob AND Schweinereien probiert, die zweimal abgelehnt werden, aber beim dritten mal durchrutschen.

Sensburg: Also nichts gelöscht?

T.B.: Nein.

Sensburg: Und nach ihrer Zeit?

T.B.: KA.

Sensburg: Ist ihnen bekannt, dass mal nicht disapproved, sondern gelöscht wurde?

T.B.: Andere Diskussion. In diesen Jahren zwischen 2005 und 2015 wurden auch datenschutzrechtliche Aspekte zunehmend bewusster geworden. Disapprovte Selektoren müssen aus datenschutzrechtlichen Aspekten nach gewisser Zeit gelöscht werden. (!)

Sensburg: Gelöscht oder geflaggt?

T.B.: Wie 2013 damit in Bad Aibling umgegangen wurde, weiß ich nicht.

Sensburg: Könnte auch sagen „löscht sie“ und dann sind sie weg?

T.B.: KA.

Sensburg: Wir sprechen immer von Listen. Was für Listen? Haben sie eine in der Hand gehabt?

T.B.: Ja.

Sensburg: Welche?

T.B.: Wenn sie Selektoren aus Datenbank ziehen, werden die in einem Format exportiert. Das ist ein Listenformat, das man weiter verarbeiten kann.

Sensburg: Export in anderes Dateiformat?

T.B.: Ja, beispielsweise als CSV.

Sensburg: Noch Datei. Datei oder Ausdruck?

T.B.: In der automatisierten Prüfung wurden Dateien übergeben, keine Ausdrucke. (!)

Sensburg: Wann wurde ausgedruckt?

T.B.: AFAIK nicht. Das macht keinen Sinn. (!) Wäre ja blödsinnig, die Auszudrucken.

Sensburg: Denken wir auch. Aber andere erzählen uns von Listen. Und von Papierlisten per Bote. Ist das unüblich? Geht das nicht per E‑Mail im internen Netz? Schonmal vorgekommen?

T.B.: Ausdruck und Bote nicht. Eher Datenträger und Bote. Aber eher wegen Dateigröße, aber schon elektronisch.

Sensburg: Selektoren-Datenbank sehr große Datei? Viele Gigabyte? Oder geht das auf einen USB-Stick?

T.B.: Gesamtliste verschicken sie nicht per E‑Mail,relativ umfangreich.

Sensburg: Wie verschicken sie die?

T.B.: Es gibt Möglichkeiten.

Sensburg: Warum macht man das?

T.B.: Dass man regelmäßig überprüft, was sich an G‑10-Erkenntnissen geändert hat.

Sensburg: Haben Pullach und Bad Aibling Zugriff auf die Gesamtdatenbank?

T.B.: Selektoren für Bad Aibling lagen in Bad Aibling, gerade die vom AND. Für eigene Selektoren gab es eine Entwicklung, um technisch nicht so prickelnde Lösungen zu einem Gesamtsystem zu vereinheitlichen. Zugriff auf Datenbanken mit regelmäßigen Updates war in Bad Aibling und hatte nur dort Zugriff. Die haben Pending-Fälle oder auch Gesamtdatei exportiert und an die Zentrale gegeben.

Sensburg: Meine Mutter sagt: „Ich geb dir eine E‑Mail.“ Wo wurden die hingegeben?

T.B.: Teile per E‑Mail. Andere Teile per gemeinsamen Verzeichnissen.

Sensburg: Ist mir ein Rätsel, warum man Listen ausdrucken muss.

T.B.: Kann sein, dass auch dieser Ausdruck unglücklich ist. Ein Techniker kann auch einen Datenbankausdruck als CSV als „Liste“ bezeichnen.

Sensburg: Konnte man nach 2008 auch von Pullach auf die Gesamtdatei der NSA-Selektoren in Bad Aibling zugreifen?

T.B.: Nein, ist mir nicht bekannt.

Fragerunde 3: Grüne (17:03)

Notz: Wann waren sie im Sommer 2013 im Urlaub?

T.B.: Worauf zieht ihre Frage ab?

Notz: Wohin die Reise ging. Ich will wissen, ob das eine schlüssige Entschuldigung ist, „Ich war da mal weg.“

T.B.: Ich war Anfang August im Sommerurlaub.

Notz: Wann wiedergekommen?

T.B.: [Eisenberg redet mit Zeugen.]

Notz: Herr Eisenberg, das ist extrem grenzwertig.

T.B.: Mitte August irgendwann.

Notz: Herr W.O. war gerade hier und sagte, dass er die Löschaktion von Mitte August bis Anfang September gemacht hat.

T.B.: Der sitzt ja in Bad Aibling, nicht in Pullach. Die Prüfung muss ja vor der Löschung passieren. Also während meines Urlaubs.

Notz: Kennen sie Dr. T.?

T.B.: Ja.

Notz: Hat der da etwas gemacht?

T.B.: Ja.

Notz: Was?

T.B.: Der hatte einen Auftrag…

Notz: Von wem?

T.B.: AL D.B.

Notz: Welcher Auftrag?

T.B.: Selektoren prüfen.

Notz: …

T.B.: Ich war Ende Juli bis Anfang August im Urlaub.

Notz: Welcher Auftrag?

T.B.: Im Nachhinein sagte er mir, dass er den Auftrag hatte, die Selektoren zu überprüfen. Aber nichts genaueres.

Notz: War Dr. T. mal in Bad Aibling, um darüber zu reden?

T.B.: KA.

Notz: Z.B. im Frühjahr 2013?

T.B.: KA.

Notz: Kann es sein, dass Dr. T. schon im März/April den Prüfauftrag hatte?

T.B.: KA.

Notz: Nach Snowden kamen viele Anfragen. Auch von BfDI. Haben sie davon etwas mitbekommen?

T.B.: Zum Teil.

Notz: Worüber?

T.B.: Gab viele parlamentarische Anfragen. Werden in Stab eingesteuert und dann im Haus verarbeitet. Ich habe bei einigen zugearbeitet.

Notz: Wurden ihnen anhand dieser Fragen Probleme bewusst, die man vorher nicht auf dem Zettel hatte?

T.B.: [Pause.]

Notz: Regionale Zuordenbarkeit von Selektoren, z.B.?

T.B.: Gab vorher schon Diskussionen dazu. Details NÖ.

Notz: Wann vorher?

T.B.: Irgendwann beginnend 2009/2010 ist es mir aufgefallen.

Notz: Fragen bei Zuordenbarkeit von Selektoren?

T.B.: Gab es immer. Aber da haben wir das diskutiert.

Notz: Und was?

T.B.: Details NÖ.

Notz: Warum?

T.B.: Geht darum, welche Anfragen gab es, welche Ideen hatte man und wie man entschieden hat. Zusammenarbeit mit AND.

Notz: Ging es auch um Arten der Kommunikation bei Selektoren?

T.B.: Hm?

Notz: Nicht nur E‑Mail und Web, sondern auch Chats und andere Dinge?

T.B.: NÖ. (!)

Notz: Sind diese Probleme nicht auch nach Snowden im Sommer 2013 begegnet? Dass sie bei 14 Millionen Selektoren das nicht sagen können?

T.B.: Nein. Waren andere Diskussionen. NÖ.

Notz: W.O. sagte gerade, dass es eine Löschung gab, August bis September 2013, zehntausende Selektoren gelöscht. Sie sagten, noch eine Löschung im November, nicht so viele gelöscht?

T.B.: Zu Zeitraum habe ich nichts gesagt. Ich habe gesagt, dass W.O. angewiesen wurde, das zu kontrollieren und dann zu löschen/disapproven. KA, ob vor oder nach dieser Aktion. Hatte den Eindruck, dass das unabhängig davon war, laut Schriftstücken,.

Notz: E‑Mails?

T.B.: Ja.

Notz: Gab es Löschungen in der Zentrale?

T.B.: Waren ja US-Selektoren, die wurden ja in der Zentrale nicht behalten.

Notz: Wurde in der Zentrale etwas veranlasst nach dem Gutachten von Dr. T.?

T.B.: Nicht bei eigenen Selektoren?

Notz: Was waren Konsequenzen?

T.B.: Die Selektoren aus Erfassung zu nehmen.

Notz: Wo traten die auf?

T.B.: Nur in Bad Aibling.

Notz: Haben sie Gutachten von Dr. T. gesehen?

T.B.: Nein.

Notz: Weder als Datei, noch aus Ausdruck?

T.B.: Ja.

Notz: Wo steuert man Selektoren ein? In Programm?

T.B.: Reden sie von Bad Aibling oder von Abläufen im BND?

Notz: Wurden die in XKeyscore eingestellt?

T.B.: Nein. (!)

Notz: Woher wissen sie das.

T.B.: XKeyscore wird nur bei der Erfassung genutzt. (!)

Notz: Da hört man unterschiedliches. Sie hatten mit XKeyscore nichts zu tun?

T.B.: Erste Version wurde 2007 installiert

Notz: Keyscore? Oder XKeyscore?

T.B.: Vorgängerversion.

Notz: Wann?

T.B.: Ich habe es im Einsatz nicht mehr gesehen. Herbst 2007.

Notz: XKeyscore wurde in Bad Aibling genutzt, als sie in der Zentrale gearbeitet waren?

T.B.: Ja. (!)

Notz: Wurden die Selektoren für XKeyscore genutzt?

T.B.: Nein, andere Systeme.

Notz: Wie wurde XKeyscore in Bad Aibling genutzt?

T.B.: KA. (!)

Notz: Wie wurde XKeyscore in Bad Aibling genutzt?

T.B.: Man hat Steuerung explizit entkoppelt von den Netzen, dass es zu keiner unbefugten Nutzung der Steuerung durch AND kommt. Eigene Steuerungsdatei, oder Datenbank, die war Steuerungsinstrument. Eingepflegt, approved/disapproved, Ergebnis davon ausgelesen und in die Erfassungssysteme eingelesen. XKeyscore hat nichts damit zu tun.

Notz: Lagen die trojanischen Pferde nicht in den zehntausenden Selektoren, die sie ausgefiltert haben nach Snowden? War das nicht das Einfallstor? oder wie hat man ihnen die zehntausend gelöschten Selektoren nach ihrem Urlaub erklärt?

T.B.: Gar nicht. War ein Auftrag von oben und damit erledigt.

Notz: Danach Anweisungen für die Zukunft? Hausanweisung oder so?

T.B.: Unmittelbar daraufhin nicht. Kurz darauf war auch Aussage „Ausspähen unter Freunden – das geht gar nicht.“ Das hat auch zu Konsequenzen in Eigenerfassung geführt.

Notz: Keine Konsequenzen nach Prüfung der US-Selektoren?

T.B.: Im Anschluss wurden auch Dinge wie EU-Selektoren rausgenommen.

Notz: Warum? Doch Übergriffe? Offensichtlich ab dann gesagt, EU rausnehmen, oder?

T.B.: Zeitlich zusammengefallen mit eigener Veränderung. Habe das nicht darauf bezogen.

Notz: Aussage der Kanzlerin in Brüssel in Fernsehkamera hat mehr Auswirkungen im BND als zehntausende abgelehnte Selektoren?

T.B.: Die Führung hat die Aussage diskutiert und Konsequenzen angeordnet.

Notz: Die Aussage von Merkel, nicht die von Dr. T.?

T.B.: Kann ich nicht genau sagen. Untersuchung von Dr. T. hatte ja auch keine konkreten Regeln.

Notz: Würden sie heute sagen, dass sie bis August 2013 alles richtig gemacht haben? Und dann politischer Stimmungswechsel durch Kanzlerin? Oder jahrelang nicht richtig hingeguckt bei Prüfung?

T.B.: Knackpunkt war Abzug von AND, das brachte Veränderung bei Übermittlung der Selektoren mit sich. Das hatte ich damals nicht richtig einschätzt. Da hätte man Prüfung ändern müssen.

Notz: Selektorenliste im Kanzleramt und im BND sind ja aus der Datei. Wurden auch Selektoren gelöscht aus Datenschutzgründen? Kann es sein, dass Selektoren gesteuert wurden, die jetzt gelöscht und auf gar keinen Listen mehr sind?

T.B.: Ich tu mich schwer mit der Antwort. Mit Einsetzung der NSAUA gibt es ein Löschmoratorium, dass entsprechende Unterlagen nicht gelöscht werden dürfen. Mit Einsetzung des NSAUA dürfte nichts gelöscht wurden sein. Ob es beim Übergang von einer Datenbank in die andere 2008 zu Löschungen kam, weiß ich nicht. Das dürfte der einzige Zeitpunkt ist. Der Geheimdienst ist Jäger und Sammler und löscht erst, wenn er vom Datenschutz dazu aufgefordert wird. (!) Aber ich möchte es nicht zu 100 Prozent ausschließen.

[Fünf Minuten Pause. (17:38)]

Zeuge 3: Oliver Matt, Verizon Deutschland (17:47)

Rechtsbeistand ist Prof. Dr. Rainer Hamm aus Frankfurt.

Hamm: [Steht auf.] Ich bin von Herrn Matt gebeten worden, als Zeugenbeistand zu fungieren. Bin langer Strafrechtsanwalt. Ich weiß, welche Rechte ich nicht habe, und verspreche, mich daran zu halten.

[Beifall.]

Matt: Name ist Oliver Matt. Ich bin 44 Jahre. Zuständig für Konzernsicherheit, Anschrift XX-Bäcker-Strasse 59, Frankfurt am Main.

Eingangsstatement: Bin Leiter der Abteilung Internationale Sicherheit der Verizon Deutschland GmbH. Vorher MCI Deutschland GmbH. Seit November 2006 Leiter Abteilung ISG. Abteilung macht auch TKÜ durch Behörden.

NSAUA hat mich als Zeuge geladen, um mich zu Untersuchungsgegenstand zu befragen. NSAUA soll klären, ob BND und Five Eyes Massenüberwachung durchführen. Insbesondere MCI 2004–2006 von Interesse. War schon am 7. Mai 2015 geladen, habe Einsetzungsbeschluss gelesen. Spiegel-Artikel diese Woche ist mir bekannt. Habe versucht, weitere Presseberichterstattung zu verfolgen.

MCI Deutschland war Tochter der MCI USA. Bis 2006 Anbieter von TK-Diensten für Groß- und Geschäftskunden. Auch Wholesale für andere TK-Anbieter, wie Terminierung von Telefonaten im Ausland. Daneben auch Internet-Einwahldienste und Call-By-Call für Endkunden. Im 2006 wurde MCI Deutschland von Verizon übernommen. Deutsches Geschäft von Verizon weitergeführt. Aber Geschäftsleistungen geändert. Keine Vorleistungen/Wholesale mehr.

Verizon Deutschland besteht sich uneingeschränkt als deutsches Unternehmen, dass hiesiges Recht einhält. US-Mutter hat keinen Einfluss. Wir arbeiten aus Prinzip nicht mit AND zusammen. Keine Führungskraft würde jemals Gesetzesverstoß dulden. Wir haben nicht mit AND kooperiert. Zu keinem Zeitpunkt ist auch nur ein solches Ansinnen zu Ohre gekommen. Auch Kooperation mit inländischen Diensten und BND ist mir nicht bekannt.

Ich war für TKÜ und G‑10 zuständig. Es oblag mir, nach Prüfung Maßnahmen umzusetzen oder abzulehnen. Damals rund 30 Anfragen pro Monat von Ermittlungsbehörden. Auskunftsersuchen und Überwachungsanordnungen. Überwiegender Teil Auskunft nach Inhaber von Telefonnummer, heute automatisierte Bestandsdatenauskunft nach § 112 TKG.

Damals drei Anfragen von Polizei, ob TKÜ durchgeführt werden könnte, aber MCI hatte nur Geschäftskunden mit mindestens 30 parallelen Sprachkanälen pro Leitung. Die Polizeibehörden haben daraufhin die Anfragen zurückgezogen.

Ich hatte zu keiner Zeit Kontakt zu Mitarbeitern von BND oder AND.

Wir haben ein Sicherheitskonzept, um Systeme gegen unerlaubte Zugriffe zu sichern. Einzelne Details zum Sicherheitskonzept bitte NÖ.

Frontal 21 31.03.2015 und Spiegel am Wochenende zu MCI. ZDF-Redaktion hat uns vorher nicht gefragt. 2004–2006 wurde der Standort durch MCI Deutschland betrieben. Von den Operationen habe ich noch nie gehört oder erfahren. Falls die Behauptungen zutreffen sollten, wären wir sehr an Tatsachen interessiert, um unsere Sicherheit nochmal zusätzlich überprüfen zu können. Nach dem Bericht bin ich unmittelbar unangekündigt zum Standort und inspizierte die Sicherheit und die Serverräume. Ich fand keine Anzeichen für die Behauptungen. Wir sind ISO-zertifiziert und werden durch Bundesnetzagentur geprüft.

Ich beantworte gerne ihre Fragen und erläutere Sicherheitsvorkehrungen. Ich habe mit Geschäftsführung gesprochen, die hatten auch nichts dazu zu sagen.

Fragerunde 1: Vorsitzender

Sensburg: Ausbildung technisch?

Matt: Geprüfte Werksfachkraft, unzählige Trainings und Fortbildungen. Bin kein Informatiker.

Sensburg: Beruflicher Werdegang bei Verizon. International Security Group ISG?

Matt: 1998 bei MCI Worldcom angefangen in Kundenbetreuung, seit 2001 in Konzernsicherheit.

Sensburg: Verschiedene Dinge?

Matt: Teilweise ja, teilweise nein.

Sensburg: Was gehört dazu? European Security Manager?

Matt: Seit 2001 Umsetzung der Beschlüsse. Gebäudesicherheit. Investigative Ansätze bei internen Ermittlungen. Leite Mitarbeiter in unserer Gruppe in anderen Ländern an.

Sensburg: Wo bekommt man die Fähigkeiten?

Matt: Durch Trainings.

Sensburg: Expertise im Bereich Datensicherheit? Können sie einen Einbau im Serverraum erkennen?

Matt: Es gibt Möglichkeiten, ja. NÖ.

Sensburg: Ich könnte das nicht.

Matt: Auditierung.

Sensburg: Sagt ihnen BND-CIA-Kooperation Glo… etwas?

Matt: Nein. (!)

Sensburg: Frontal21: Im Mai 2004 Besuch bei MCI-Standort Hilden. Technisch etwas installiert. Gab es Besuch im Standort damals?

Matt: Gab sicherlich Besuche. Durch Kunden oder Interessierte.

Sensburg: Was ist denn in Hilden genau?

Matt: Netzknotenpunkt.

Sensburg: Reger Besuch?

Matt: Rege definieren.

Sensburg: Wie bei McDonalds?

Matt: Nein.

Sensburg: Wie hier im NSAUA?

Matt: Nein.

Sensburg: Wie viele Leute besuchen das pro Woche außer Mitarbeitern?

Matt: Bin ich der Falsche.

Sensburg: Das war nicht ihre Kundenbetreuung?

Matt: Nein.

Sensburg: KA, ob 10 pro Woche oder im Jahr durchgehen?

Matt: Netzknoten ist ja nur ein Bereich des Gebäudes.

Sensburg: Bei ISO-Zertifizierung können sie ja nicht ihre Oma zur Mittagspause mitbringen?

Matt: Ja.

Sensburg: Gäste müssen sich anmelden?

Matt: Ja.

Sensburg: Anmeldelisten mal angeguckt?

Matt: Nein, wurden fristgerecht vernichtet. (!)

Sensburg: Mitarbeiter gefragt, die damals vor Ort waren?

Matt: KA.

Sensburg: Installieren dort Mitarbeiter vom Mutterkonzern technische Geräte?

Matt: Betriebs- und Geschäftsgeheimnis. NÖ. (!)

Sensburg: Gibt es Warngeräte gegen Internetkriminalität?

Matt: Kann mir nichts darunter vorstellen.

Sensburg: Ich auch nicht. Das sollte dort installiert wurden sein.

Matt: Sagt mir nichts.

Sensburg: Nein?

Matt: Vielleicht Fraud- oder Betrugssystem. Bin aber auch kein Technikexperte. (!)

Sensburg: Was leistet so etwas?

Matt: Fraud-System will Betrugsversuche identifizieren, um Kunden zu schützen.

Sensburg: Soft- oder Hardware?

Matt: Bin kein Experte.

Sensburg: Bericht spricht von „Gerätschaften“. Damit können sie nichts anfangen?

Matt: Nein.

Sensburg: Wie ist das Verhältnis von Mutterkonzern zu deutscher GmbH auf technischer Ebene?

Matt: Habe die Frage nicht verstanden.

Sensburg: Kommen regelmäßig Techniker vom Mutterkonzern, der der deutschen GmbH sagt, wo es langgeht? Oder machen sie das lieber selbst?

Matt: Hm?

Sensburg: Wie oft passiert so etwas?

Matt: Mir ist nicht bekannt, dass es solche Besuche gegeben hätte.

Sensburg: Werden solche Installationen nicht angemeldet? Wie geht so etwas?

Matt: Ich wollte nicht spekulieren. Ich kann nur Fakten wiedergeben.

Sensburg: Was haben sie abgeklopft?

Matt: Unser Unternehmen ist entsprechend gesichert. Wir haben Zugangskontrollsysteme. [Anwalt redet mit ihm.] Wir betrieben damals eine Zugriffskontrolle und Videoüberwachung. Zutritt war nur möglich mit Zutrittskarte oder in Begleitung des technisch Verantwortlichen.

Sensburg: Gibt es in Mutterkonzern in USA Pendant zu ihnen? Austausch oder autark?

Matt: [Redet mit Anwalt.] NÖ, Geschäftsgeheimnis. (!)

Sensburg: Haben sie dort mal nachgefragt zu den Berichten?

Matt: Ich habe mit deutscher Geschäftsleitung besprochen. Dort keine Hinweise bekannt. Kollegen in den USA haben Geheimhaltungspflichten, mit Antwort nicht zu rechnen. (!)

Sensburg: Auch innerhalb des Konzerns reden sie nicht?

Matt: Korrekt.

Anwalt: Her Matt hat mit Geschäftsleitung gesprochen, die haben mit USA gesprochen, aber die redeten von „Chinese Walls“.

Sensburg: Er beschäftigt sich mit Konzernsicherheit. Das ist doch unbefriedigend. Wie viele Standorte wie Hilden hat MCI Deutschland damals betrieben?

Matt: Im Detail kann ich das nicht. Grob an zwei Händen abzählen.

Sensburg: Gab es an anderen Standorten vergleichbare Sorgen?

Matt: Nein.

Sensburg: Gab es technische Prüfungen nach Snowden?

Matt: Dazu habe ich keine Information. (!)

Sensburg: Auch nicht nachgefragt?

Matt: Nein.

Sensburg: Nur drei Anfragen von Polizei in ihrer Zeit?

Matt: Ja.

Sensburg: Einzelanschluss-TKÜ?

Matt: Kunden waren an Primärmultiplexer mit 30 Kanälen pro Leitung. Dieser Aufwand war Behörden zu groß. Die drei Anfragen wurden zurückgenommen.

Sensburg: Polizei, nicht ND?

Matt: Korrekt, wir hatten keine ND-Anfragen.

Sensburg: Nie zu ihrer Zeit?

Matt: Ja.

Sensburg: Wissen sie, ob MCI Worldcom oder Verizon das in USA hatte?

Matt: Nein.

Fragerunde 1: Linke (18:24)

Hahn: Geschäftsleitung bekam keine Information dazu. Auch keine Dokumente oder Akten des Mutterkonzerns eingesehen?

Matt: Genau.

Hahn: Wir waren ihre damaligen Zugangsregeln? Konten US-Mitarbeiter mit ihren Ausweisen problemlos reingehen?

Matt: Nein, Access-Liste musste programmiert werden.

Hahn: Vorher anmelden?

Matt: Hätten eigene Zutrittskarte benötigt.

Hahn: In Deutschland ausgestellt?

Matt: Ja. Oder Besucher, mit hiesigem Personal.

Hahn: Aber die können keine Hardware mitbringen?

Matt: Glaube ich.

Hahn: Wenn neue Hardware eingebaut wird, gibt es vorher oder nachher eine Sicherheitsüberprüfung?

Matt: Nicht meine Zuständigkeit. (!)

Hahn: Wisse sie nicht?

Matt: Nein.

Hahn: Gab es rechtliche Bedenken bei polizeilichen Anfragen?

Matt: Was meinen sie?

Hahn: Wir kennen andere Verfahren, wo mit G‑10-Anordnungen und privaten Verträgen gearbeitet wurde. Kennen sie so etwas?

Matt: Nein, IIRC.

Hahn: Hätte man prüfen müssen?

Matt: Ja, Rechtsabteilung.

Hahn: Haben Spiegel-Artikel gelesen. Ist es möglich, dass es so gelaufen ist? Oder völlig unplausibel?

Matt: Müsste spekulieren, will ich nicht.

Hahn: Ist das völlig unplausibel? Spricht etwas dagegen?

Matt: Nein. Habe Bericht aber nicht auseinandergenommen und geprüft.

Hahn: Waren damals leitungs- oder paketvermittelte Verkehre oder beides?

Matt: KA. (!) [Redet mit Anwalt.] Bei uns gab es keine vorgetäuschte G‑10-Maßnahme.

Hahn: Ihnen nicht bekannt?

Matt: Ja.

Hahn: Gibt es Protokolle, welche Geräte installiert werden?

Matt: KA. Nicht mein Fachbereich.

Fragerunde 1: SPD (18:31)

Lischka: US-Mitarbeiter haben Zutritt mit Zutrittskarte?

Matt: Ja.

Lischka: Welche Voraussetzungen?

Matt: Verantwortliche Person muss das genehmigen und Zeitraum benennen.

Lischka: Wie häufig haben Mitarbeiter des Mutterkonzerns Zutritt?

Matt: KA.

Lischka: Auch nicht gefühlt?

Matt: Nein. (!)

Lischka: Ausnahme oder Regel?

Matt: KA.

Lischka: Identitätsprüfung. Wenn Mutterkonzern Sicherheitskarte für Mitarbeiter will: prüfen sie das?

Matt: Kommt vom zuständigen Manager.

Lischka: Reicht es, wen der Mutterkonzern das beantragt? Oder prüfen sie das selbst?

Matt: Anfrage, dass jemand in Raum rein muss, kommt vom Zuständigen für den Raum, der Zutritt erteilt. Raum, nicht Gebäude.

Lischka: Kann Mutterkonzern dort jemanden reinschicken, ohne das sie nochmal extra prüfen? Ist ja auch kompliziert. Oder verlassen sie sich darauf?

Matt: Können ja checken, ob der angestellt ist.

Lischka: Was haben sie neben Ortsbesuch nach Frontal-21-Bericht getan? Wie war ihre Aufklärung? Vorfall ist ja nicht ohne.

Matt: Ich habe mit Geschäftsleitung gesprochen. Weiteres ist mir nicht bekannt. (!)

Lischka: Kein Kontakt zu Mitarbeitern von BND und AND. Und unwissentlich?

Matt: Nicht spekulieren. Hatte keinen Kontakt.

Lischka: Wissentlich. Unwissentlich nicht ausschließen. Kann TK-Verkehr auch über Mutterkonzern geleitet werden, rein technisch?

Matt: Bin kein Experte, KA.

Lischka: Wissen sie, ob das passiert?

Matt: Mir nicht bekannt.

Fragerunde 1: Grüne (18:37)

Notz: Welche TK-Verkehre liefen in Hilden vor allem?

Matt: Sagte ich in Eingangsstatement. Suche das nochmal raus. [Liest vor.] „Groß- und Geschäftskunden. Wholesale-Dienste.“ Wickelten Verkehr unserer Kunden ab.

Notz: Welche Kommunikation? National, international? Strecken?

Matt: Maßgeblich Gesprächsverkehr. Andere Fragen: KA.

Notz: Techniker sprechen?

Matt: Ja.

Notz: Aus Sicherheitspunkten relevant?

Matt: National und international.

Notz: Beides?

Matt: Ja.

Notz: Waren die Strecken damals korrekt bezeichnet?

Matt: Geschäfts- und Betriebsgeheimnisse. NÖ.

Notz: Können sie das sagen? Oder war das wilder Westen?

Matt: Ich bin nicht Technik-Experte.

Notz: Techniker einladen?

Matt: Kann Frage nicht beantworten.

Notz: Rechtliche Einordnung. Wenn es so wäre wie in Frontal 21, wäre das strafrechtlich relevant?

Matt: [Anwalt redet mit ihm.] Ja.

Notz: Was wäre das nach US-Strafrecht?

Matt: KA.

Notz: Haben sie Strafanzeige gestellt?

Matt: KA, nicht mein Bereich.

Notz: Und ihre Rechtsabteilung?

Matt: KA.

Notz: Kennen sie Michael Capellas?

Matt: Name sagt mir etwas.

Notz: Mal mit ihm zu tun gehabt?

Matt: Nein.

Notz: Haben sie schon mal eine G‑10-Genehmigung gesehen?

Matt: Nein.

Notz: Wenn das damals passiert wäre, wie wären sie umgegangen?

Matt: Hätte Rechtsabteilung prüfen lassen.

Notz: Wie viele Server stehen in den Räumen?

Matt: KA.

Notz: 2, 20, 200, 2.000?

Matt: Eher 200.

Notz: Wenn dann ein 201ster drin steht: wem fällt das auf? Durchnummeriert?

Matt: NÖ.

Notz: Wenn Mitarbeiter da reingehen, wird das geprüft und registriert?

Matt: NÖ. (!)

Notz: Wer war dafür zuständig?

Matt: Wofür?

Notz: Einlass im Alltagsgeschäft. Mit wem reden US-Mitarbeiter, um Technik bei ihnen aufzustellen?

Matt: Ist Mutmaßung. Kunden werden geprüft vom zuständigen Manager für den Bereich.

Notz: Wer war das 2004?

Matt: Weiß ich nicht mehr.

Notz: Könnte Unternehmen das klären?

Matt: Vermutlich. [Redet mit Anwalt.] Können auch unterschiedliche Personen sein.

Notz: Ich denke mir die Geschichte nicht aus. Wir lesen nicht nur Presse, auch Akten. Der Fall ist konkret. (!) Wie kommt Technik von Mutterkonzern nach Hilden? Wie ist das Prozedere?

Matt: Ich habe dazu keine Kenntnis.

Notz: Sie wurden nicht gefragt?

Matt: Korrekt.

Notz: Jemand anders?

Matt: KA.

Notz: Muss jemand gefragt werden?

Matt: KA.

Notz: Kann es sein, dass Mutterkonzern einfach etwas installiert?

Matt: Will nicht spekulieren.

Notz: Kam das vor?

Matt: Mir nicht bekannt.

Notz: Müssten die Sicherheitsverfahren durchlaufen?

Matt: Ja.

Notz: Von wem?

Matt: [Pause.]

Notz: Wenn ich heute als US-Mitarbeiter mit Technik zu Internetbetrug komme und die aufstellen will: wer prüft das?

Matt: KA. Nicht mein Bereich.

Notz: Wessen Bereich ist das?

Matt: Geschäftsleitung wird informiert. Mutmaßen.

Fragerunde 1: Union (18:48)

Warken: Alles hypothetisch, sie haben keine Kenntnis. Ist es möglich, dass ein Techniker klingelt und etwas einbauen will?

Matt: Der würde ja nicht bei mir klingeln.

Warken: In Außenstelle?

Matt: Nach Zutrittsregeln.

Warken: Könnte er mit Berechtigung des Mutterkonzerns reinlaufen?

Matt: Mutmaßen.

Warken: Bundesnetzagentur lud am 9. August 2014 zu Erörterungstermin in Bonn, Anlass war Süddeutsche-Bericht „Enthüllung der Kronjuwelen“. Waren sie oder jemand anders bei dieser Besprechung?

Matt: Ich weiß darüber nichts.

Warken: Bundesnetzagentur verschickte damals einen Fragenkatalog. Verizon Business hatte Codename „Dacron“. Kennen sie das?

Matt: Nein. (!)

Schipanski: Wer war Ansprechpartner für Bundesnetzagentur?

Matt: Ich.

Schipanski: Wer wäre damit vertraut?

Matt: Kommunikation zu Bundesnetzagentur-Besuchen mache ich.

Schipanski: Auch heute?

Matt: Ja. Jahresstatistiken und so.

Schipanski: Aber Bundesnetzagentur hat sich an Verizon gewandt?

Matt: Würde Rechtsabteilung machen.

Schipanski: Ich denke, sie?

Matt: Nein, nur Statistiken.

Schipanski: Wer in Rechtsabteilung?

Matt: NÖ. (!)

Schipanski: Warum?

Matt: NÖ.

Sensburg: Haben ihre Mitarbeiter Sicherheitsüberprüfung?

Matt: Zum Teil.

Sensburg: Auch SÜ3?

Matt: KA.

Sensburg: Sie veranlassen SÜ?

Matt: Nein.

Sensburg: Wer?

Matt: Rechtsabteilung.

Sensburg: Wie viele Mitarbeiter in ISG?

Matt: In Deutschland drei.

Sensburg: IT-Sicherheit größer oder kleiner?

Matt: Vergleichbar.

Sensburg: Sie haben die Gelegenheit, ihren Konzern in der Öffentlichkeit gut dastehen zu lassen. Arbeiten sie auch mit externen Firmen? Oder nur ihre Sicherheitsleute?

Matt: Kann nur die zuständige Technik beantworten.

Sensburg: Wir hatten bei der Geschäftsleitung genannt, wer darüber etwas weiß. Und die nannten sie. (!)

Matt: KA. (!)

Sensburg: Wir haben auch Fragen zur IT-Sicherheit. Aber gar nicht ihr Kernbereich. Sie können nicht sagen, ob sie in IT-Bereich auch mit externen Firmen arbeiten? Wer fährt Server hoch? Alle MCI/Verizon?

Matt: KA. Weiß das nicht für 2004–2006. (!)

Fragerunde 2: Linke (18:56)

Hahn: Enthalten Einlasskarten ein Foto?

Matt: Ja.

Hahn: Es geht nicht, dass der Mutterkonzern ein Herrn Anderson anmeldet, aber Herrn Wolff schickt?

Matt: KA.

Hahn: Wer prüft das?

Matt: Karte wird im Vorfeld von Unternehmen ausgestellt und Zugang wird darauf programmiert, wenn er benötigt wird.

Hahn: Welche Karte bekommt eine Person eines externen Mitarbeiters nicht von Mutterkonzern?

Matt: Besucherkarte, oder Begleitung durch unsere Mitarbeiter.

Hahn: Und eine Firma mit mehreren Mitarbeitern, die dort etwas machen soll?

Matt: Die würden begleitet werden von jemand der sicherstellt, dass die Person das auch ist.

Fragerunde 2: Union (18:59)

Sensburg: Wie viele Mitarbeiter hatte MCI WorldCom damals und Verizon heute?

Matt: Definitive Zahlen habe ich nicht. 2004 so um die 2.000 Leute.

Sensburg: Wie kann man da Sicherheit gewährleisten? Mit drei Personen?

Matt: IT-Sicherheit ist nicht nur in Deutschland.

Sensburg: Konzernsicherheit auch aus USA?

Matt: Nein, anderes europäisches Land.

Sensburg: Niederlande?

Matt: Z.B.

Sensburg: Kann über die Programmierung der Karte Sicherheit hergestellt werden?

Matt: KA, bin kein Techniker und nicht zuständig.

Sensburg: Wenn Mitarbeiter aus NL kommen und etwas machen wollen, wie kommen die rein?

Matt: Wenn sie zutrittsberechtigt sind, kommen sie rein. Wenn nicht, müssen sie sich an zuständigen Raummanager wenden.

Sensburg: Was prüft der?

Matt: Ob die rein müssen.

Sensburg: Auch NL-Mitarbeiter, der ihre drei Leute unterstützt? Oder ist Mitarbeiter, wo MCI draufsteht?

Matt: Der ist erst mal Mitarbeiter. Dann wird geprüft, ob der in den Raum muss.

Sensburg: Ausweisausstellung bei Einstellung?

Matt: Ja.

Sensburg: Dann bei Raumbesuch Freigabe von Raummanager?

Matt: Ja.

Sensburg: Ob Zutritt notwendig ist, entscheidet Raummanager?

Matt: Ihn fragen, aber ja.

Sensburg: Nicht ohne Anmeldung und Grund?

Matt: Ja.

Sensburg: Jemand mit US-MCI-Ausweis könnte rein, wenn er die lokale Freigabe bekommt?

Matt: Ist das die Frage?

Sensburg: Ja.

Matt: Mutmaßung.

Sensburg: Haben wir doch gerade rausgearbeitet.

Matt: So verstehe ich das. (!)

Sensburg: Wenn jemand in den Raum will, muss er auch den Bedarf anmelden, den der Raummanager anerkennt?

Matt: Er prüft, ob die Person zutrittsberechtigt ist und falls ja, lässt er ihn rein.

Sensburg: Wenn ich da mit gedrucktem Ausweis stehe, wen würde er rufen?

Matt: Frage ist spekulativ und ich habe sie nicht verstanden.

Sensburg: Wenn ich mir einen Verizon-Ausweis bastele und da rein will, wird das auffallen. Werde ich nur weggeschickt, oder wird das auch gemeldet?

Matt: Selbstverständlich, an die Konzernsicherheit.

Sensburg: Und gut gefälschte Karte?

Matt: Muss programmiert werden.

Sensburg: Wurden sie schon mal gerufen, als jemand mit einer Karte nicht rein kam?

Matt: Nein, wenn Karte nicht funktioniert, prüfen wir die Karte. Hat einen Magnetchip. (!)

Sensburg: Wie viele Mitarbeiter, die dort reingehen, kommen aus NL und USA?

Matt: KA.

Sensburg: Wie stark ist Verzahnung von deutscher Tochter und Muttergesellschaft?

Matt: Habe ich in Eingangsstatement gesagt. [Liest vor.] „Versteht sich als eigenständiges Unternehmen, das deutschem Recht komplett unterliegt.“

Schipanski: Wer schaltet Zutrittskarte frei?

Matt: Meine Abteilung.

Schipanski: Manager sagt das?

Matt: Ja, und wir programmieren die Karte.

Schipanski: Programmieren können nur sie?

Matt: Ja.

Sensburg: Haben sie Karten für ausländische Mitarbeiter freigegeben?

Matt: Wenn das notwendig ist, tun wir das.

Sensburg: Haben sie das getan?

Matt: KA. (!)

Sensburg: Haben sie ausländischen Mitarbeitern mal Zutritt erteilt?

Matt: Ja.

Sensburg: Sie können nicht ausschließen, dass sie 2004 US-Mitarbeitern Zutritt erteilt haben?

Matt: Genau. (!) Kann ich nicht ausschließen.

Fragerunde 2: Grüne (19:13)

Notz: Wenn MCI Worldcom eigenständig war, warum kann dann US-Mutter ein Anti-Fraud-System installieren? Sagen sie dann nicht nein? Sicherheit ist ja ihre Aufgabe.

Matt: Mir ist nicht bekannt, dass es diesen Fall gab.

Notz: Ähnliche Fälle?

Matt: Nicht mein Bereich.

Notz: Bekannt?

Matt: Nicht bekannt.

Notz: Wenn sie heute auf diese Geschichte gucken, ist das alles Spekulation. Im Serverraum steht nichts mehr, also kein Grund zu handeln?

Matt: Habe keine Fakten gefunden.

Notz: Sie tun so, als wäre das nicht passiert. Wir machen das hier zum Spaß?

Matt: Ich habe dazu keine Hinweise.

Notz: Nimmt der Konzern das Problem ernst?

Matt: Selbstverständlich.

Notz: Wie können sie dann nicht wissen, ob es eine Strafanzeige gibt? Rechtswidriger Zugriff auf ihre Leitungen, Milliarden von Daten abgegriffen!

Matt: Nicht mein Bereich.

Notz: Können nicht sagen, ob Bereich Strafanzeige gestellt hat.

Matt: Genau. Vielleicht ändert sich das ja mit ihren Ergebnissen.

Notz: Haben sie in den USA nachgefragt?

Matt: Sagte ich schon. Die deutsche Geschäftsleitung. Die Kollegen in den USA haben entsprechende Geheimhaltungspflichten, also ist mit einer Antwort nicht zu rechnen.

Notz: Ich verstehe es nicht. Massiver Eingriff in Grundrechten ohne jede Rechtsgrundlage. Konzern hat kein Interesse an Aufklärung?

Anwalt: Sie unterstellen, dass eine Nichtauskunft der USA ausreicht, eine Strafanzeige zu stellen.

Notz: Bin auch nicht mit allen Handlungen des GBA einverstanden. Herr Matt ist doch in die Räume gefahren, also hatte er einen Anfangsverdacht. Sie hatten nie Kontakt zu BND?

Matt: Nein.

Notz: Auch nicht ganz locker?

Matt: Nein.

Fragerunde 2: SPD (19:20)

Lischka: Haben temporäre Besuchskarten auch Fotos?

Matt: Nein.

Lischka: Werden Besucher immer begleitet?

Matt: Ja.

Lischka: Unbegleitete Besucher sind undenkbar?

Matt: Ja.

Lischka: Und externe, die regelmäßiger kommen? Immer wieder Besuchskarte ohne Foto? Oder auch mal eine andere?

Matt: Karten, die Türen öffnen können, bekommen nur Mitarbeiter oder Contractors. (!) Besucher bekommen Besucherkarten.

Lischka: Extern kann auch Putzunternehmen sein. Sind Mitarbeiter?

Matt: Externe Putzkarten bekommen persönliche Zutrittskarten, jeden Tag neu.

Lischka: Haben sie gedacht, was sie an Zugangskriterien ändern sollten? Ihr Job ist ja Sicherheit.

Matt: Selbstverständlich prüfen wir ständig unser Sicherheitskonzept. Ist auch von Bundesnetzagentur abgenommen.

Fragerunde 3: Linke (19:23)

Hahn: Contractors können Zugriffskarten bekommen?

Matt: Ja.

Hahn: Wenn er schon mit Karte im Gebäude ist, kommt er auch in Serverraum, wenn jemand von innen die Tür aufmacht?

Matt: Mitarbeiter sind angehalten, das nicht zu tun.

Hahn: Ist an diesem Raum eine Menschenvereinzelungsanlage?

Matt: Welcher Raum?

Hahn: Der, wo das passiert sein soll.

Matt: NÖ. (!)

Fragerunde 3: Union (19:25)

Sensburg: Konzernsicherheit: Was sind typische Gefahren?

Matt: Sicherheit von Gebäude und Netzwerk.

Sensburg: Gebäudesicherheit Kernpunkt, weil Großteil der Angriffe physisch ist?

Matt: Gebäude sind ISO-27001-zertifiziert.

Sensburg: Verizon-Webseite: „Hochspezialisierte Sicherheit.“ Wie?

Matt: Gebäude sind durch Zutrittskontrolle und Videoüberwachung gesichert.

Fragerunde 3: Grüne (19:27)

Ströbele: Verizon Deutschland ist eigenes Unternehmen, USA ein anderes. Trotzdem Abhängigkeitsverhältnis. Mehrheit der Anteile in den USA. Kann es sein, dass wenn Mutterfirma durch Nichtauskunft wegen Geheimhaltung signalisiert, dass das für Tochterunternehmen Hinweis genug ist,sich da herauszuhalten?

Matt: So habe ich das nicht verstanden. Aber da müsste ich spekulieren.

Ströbele: Gibt es ein solches Abhängigkeitsverhältnis zwischen den US- und DE-Firmen?

Matt: Da bin ich der falsche. Müsste Geschäftsleitung sagen.

[Ende der öffentlichen Sitzung. Jetzt nicht-öffentliche Beratungssitzung. (19:31)]

Hamm: Hier liegt noch ein Dokument, auf dem „Streng Vertraulich“ steht. Das muss ein früherer Zeuge hier liegen lassen haben. (!)

[Gelächter.]

[Heute keine Presse-Statements. Morgen 9 Uhr noch eine Anhörung.]

von Andre Meister 10. September 2015 17
: „Illegale Einwanderung, Verbrechen und Krisen“: EU finanziert Modernisierung innerer Sicherheit in Griechenland

"Fähren statt Frontex" - Protestaktion gegen die Aufrüstung der EU-Außengrenzen auf einer griechischen Fähre.

: „Illegale Einwanderung, Verbrechen und Krisen“: EU finanziert Modernisierung innerer Sicherheit in Griechenland

Die griechische Regierung will ihre Grenzanlagen massiv aufrüsten. Dies geht aus einem Dokument hervor, das die britische Bürgerrechtsorganisation Statewatch auf ihrer Webseite veröffentlicht. Demnach erhält Griechenland rund 194 Millionen Euro zur Einführung neuer Technologien für die Überwachung und Kontrolle von Land- und Seegrenzen. Die Gelder sollen für die Umsetzung einer „Strategie zum integrierten Grenzmanagement” genutzt werden, die von der früheren Nea Dimokratia-Regierung im September 2014 beschlossen wurde.

Weitere 20 Millionen sollen für die Modernisierung der Polizei aufgewendet werden, darunter zur Einrichtung neuer Datenbanken, zum Anschluss an internationale Informationssysteme und zur Beschaffung von Auswertesoftware.

Zur Begründung heißt es, Griechenland habe in den vergangenen Jahren eine Reihe „finanzieller Herausforderungen“ durchmachen müssen, die sich auf „Grenzüberwachung, illegale Einwanderung, Verbrechen und Krisen“ auswirkten. Außer den Migrationsströmen hätten auch die „organisierte Kriminalität und Terrorismus” stark zugenommen. Daher seien nun „Investitionen im Bereich der Sicherheit” nötig. Hierzu gehörten die Überwachung, aber auch präventive und unterdrückende („suppressive“) Maßnahmen.

47% mehr Gelder für die „innere Sicherheit“

Die Gelder stammen aus dem „Fonds für die innere Sicherheit“ (ISF), der zur „Strategie der inneren Sicherheit“ gehört und vergangenes Jahr von der EU eingerichtet wurde. Er besteht aus den zwei Teilen „Außengrenzen und Visa“ und „polizeiliche Zusammenarbeit und Krisenmanagement“ und steht allen EU-Mitgliedsstaaten mit Ausnahme von Dänemark und Großbritannien offen. Auch die polizeilichen Einrichtungen und Netzwerke der EU werden darüber gefördert. Das Gesamtvolumen des erst 2020 auslaufenden Fördertopfes beläuft sich auf 3,8 Milliarden Euro.

Der neue Fonds knüpft damit an das mittlerweile ausgelaufene Programm „Solidarität und Steuerung der Migrationsströme“ (SOLID) an, für das die EU von 2007 bis 2013 insgesamt rund vier Milliarden Euro ausgab. Griechenland zählte auch hier zu den Begünstigten, das Geld floss sowohl in den Ausbau der Grenzüberwachung wie auch die Bereitstellung neuer Abschiebehaftkapazitäten. Auch nationale Systeme für die Polizeidatenbanken Schengener Informationssystem (SIS II) und das Visumsinformationssystem wurden über den alten Fonds finanziert.

Nun werden weitere Maßnahmen zur Verbesserung der Grenzverwaltung und Grenzüberwachung „insbesondere durch die Verwendung moderner Technologien“ unterstützt. Förderungswürdig ist zudem der Ausbau der grenzüberschreitenden Zusammenarbeit bei der Strafverfolgung und die Aufrüstung gegenüber „Terrorismus und gewaltbereiter Radikalisierung, Drogenhandel, Cyberkriminalität, Menschenhandel.

Hohe Fördersummen für Italien, Spanien und Griechenland

Die Bereiche Asyl und Migration sind vom ISF nicht erfasst. Hierzu hat die Kommission einen „Asyl‑, Migrations- und Integrationsfonds“ (AMIF) eingerichtet, der mit weiteren 3,1 Milliarden Euro ausgestattet ist. Auch aus dem AMIF-Fonds wird Griechenland massiv unterstützt, allein aus den jetzigen Zusagen erhält die Regierung 259 Millionen Euro. Die von der EU-Kommission neu aufgelegten Fonds ISF und AMIF haben laut Statewatch ein insgesamt um 47% gestiegenes Finanzvolumen als das frühere SOLID.

Im März hatte die Kommission 22 nationale Programme des AMIF und des ISF genehmigt, darunter auch für Ungarn oder Slowenien. Für 23 weitere gab es im August grünes Licht, noch einmal 13 sollen laut der Kommission noch im Laufe dieses Jahres angenommen werden. Die höchsten Fördersummen erhalten bislang Italien, Spanien und Griechenland. Die drei Länder gelten als besonders von „großen Migrationsströmen“ betroffen. Die sollen unverzüglich freigegeben werden.

Der „Fonds für die innere Sicherheit“ wird nur teilweise durch die Kommission geführt. Ein Teil der Mittelvergabe erfolgt Fonds über die dezentrale Verwaltung durch die Mitgliedstaaten. Hierfür müssen die anfragenden Regierungen ein „nationales Programm“ erstellen. Beim von Statewatch veröffentlichten Dokument handelt es sich um das entsprechende Programm aus Griechenland. Erst nach dessen Genehmigung können konkrete Projektvorhaben ausgeschrieben werden.

Mehr Drohnen und Radar, um Diesel für Schiffe zu sparen

Griechenland plant die Modernisierung seiner seeseitigen Überwachung. Für Missionen der EU-Grenzagentur Frontex sollen für 27 Millionen Euro zwei Küstenwachschiffe gekauft und mit Radaranlagen, optischen Sensoren und Infrarotkameras ausgerüstet werden. Auf der Wunschliste stehen auch vier Patrouillenschiffe. Für Operationen an Land will die Grenzpolizei für mehr als halbe Million Euro ein „Thermal Vision Vehicle” anschaffen, das auf einem geländegängigem Fahrzeug basiert. Auch dieses „Überwachungsfahrzeug“ soll mit einem maritimen Radar zur Erfassung kleiner beweglicher Ziele ausgestattet sein. Hinzu kommt ein System zur automatischen Erfassung von Nummernschildern und lasergestützte Entfernungsmesser.

Griechenland soll vollumfänglich an das EU-Grenzüberwachungssystem EUROSUR angeschlossen werden. Hierzu soll ausdrücklich auch in Drohnen investiert werden, um damit Teile des Mittelmeers zu überwachen. Unter dem Kürzel SUNNY finanziert die EU-Kommission bereits ein entsprechendes Forschungsprojekt. Ab 2017 sollen die griechischen Küsten mit einem maritimen Überwachungssystem ausgerüstet werden. Derartige Anlagen werden von der Bremer Firma Signalis geliefert, einem Zusammenschluss der Rüstungskonzerne Rheinmetall und Airbus. Das System bestünde dann aus einer dreistelligen Zahl von Überwachungsstationen, deren Informationen in Lagezentren zusammengeführt werden. Die Daten können dann auch an das EUROSUR-Hauptquartier von Frontex in Warschau übermittelt werden. Mit einer Fertigstellung wird 2021 gerechnet.

Die Echtzeitüberwachung mit Radar und Drohnen rechtfertigt die Regierung mit dem gestiegenen Spritverbrauch seiner Küstenwache. Demnach nahmen die Migrationsströme allein von 2013 auf 2014 um 79,44% zu. Hätten die Wasserfahrzeuge der Küstenwache in 2011 noch rund 800.000 Liter Diesel verbraucht, seien in 2014 bereits vier Millionen Liter angefallen.

Auswertung von Verbindungsdaten aus beschlagnahmten Telefonen

Im Fokus steht auch die Landgrenze zur Türkei. Am Grenzfluss Evros hat Griechenland bereits einen Zaun installiert, der durch ein teilweise automatisiertes Grenzüberwachungssystem gesichert ist. Seitdem sind die Aufgriffe in der Region drastisch gesunken. Nun sollen auch der Rest des Flusses sowie die Grenze zu Bulgarien und Albanien auf diese Weise überwacht werden. Laut dem Dokument hat die Regierung 1.881 zusätzliche Beamte an der griechisch-türkischen Grenze stationiert.

Zum Investitionsplan für die Grenzanlagen gehört die Beschaffung mobiler Einheiten zum Durchleuchten von Fahrzeugen, Detektoren zur Erfassung von Herzschlägen, Kameraausrüstung. Auch die 33 Grenzpolizeistationen und 106 Grenzübergänge werden modernisiert. Mit dem Geld der EU-Kommission beschafft Griechenland Fingerabdrucklesegeräte, um die biometrische EU-Datenbank EURODAC befüllen zu können. Die EU plant die Einführung eines Systems „Intelligente Grenzen”, das alle EU-AusländerInnen biometrisch erfassen soll. Obwohl noch gar nicht vom Rat oder dem Parlament beschlossen, findet sich die Umsetzung des Systems bereits auf dem Finanz-Wunschzettel der griechischen Regierung.

Die griechischen Grenzbehörden wollen auch neue Technologien zur Auswertung der Telefone von Geflüchteten. Ziel ist das Aufspüren von FluchthelferInnen, indem verglichen wird ob vor einer Flucht von mehreren Telefonen die gleichen Nummern angerufen wurden. Die betreffenden Personen könnten dann womöglich eine besondere Rolle bei der Organisation der klandestinen Reise gespielt haben. Die gewonnen Verbindungsdaten sollen mit einer „speziellen Analysesoftware” durchsucht werden. Gemeint ist vermutlich eine Anwendung wie Analyst’s Notebook zum Data Mining, wie sie auch von deutschen Polizeibehörden genutzt wird.

Kauf von Abhörtechnologien

Die zeitgleich erfolgende Aufrüstung auch des polizeilichen Überwachungsapparates wird mit dem Ansteigen des „anarchistischer und linksgerichteter Terroranschläge” ab 2013 begründet. Auch seien in Griechenland die Folgen des „internationalen Terrorismus” zu beobachten, die sich als Zunahme von „gewalttätigem Extremismus und Radikalisierung“ bemerkbar machten. Griechenland will daher wie die meisten anderen EU-Mitgliedstaaten in den einschlägigen Arbeitsgruppen bei der Polizeiagentur Europol mitarbeiten. Dies betrifft außer den Ermittlungen gegen angeblich 30.000 von Europol ausgemachten „Schleusern“ auch den Bereich der „Cyberkriminalität“, innerhalb dessen die Behörden immer öfter mit Europol und Interpol zu tun haben.

Für die Verarbeitung der digitalen Informationen und richtet Griechenland ein „Cybercrimezentrum“ und eine „Intelligence Management and Analysis Division“ ein. ziel sei die Identifizierung der Treffpunkte („places of gatherings“) potentieller „radikaler und extremistischer Gruppen“. Die Orte sollen georeferneziert auf einer GIS-Plattform dargestellt werden. Die Polizei soll über dies von der Anschaffung eines Fahrzeuges für die verdeckte Überwachung profitieren, das mit „notwendiger Ausrüstung“ bestückt ist. Als Herausforderung der Technologie gilt die Verarbeitung von Massendaten („conducting extensive collection, processing, management and high-volume forensic analysis of information and other data“).

Griechenland will auch Abhörtechnologien beschaffen. So sei der Kauf von „legal wire-tapping devices“ über den EU-Fonds geplant, um damit „terroristische Organisationen“ aufzuspüren. Seit Kurzem hat die griechische Polizei die verstärkte Überwachung von Finanztransaktionen aktiviert. Angeschlossen seien laut dem Dokument Steuerbehörden und Behörden für Finanzermittlungen.

Auch das BKA bezahlt neue IT-Analysewerkzeuge aus dem EU-Fonds

Auch deutsche Polizeibehörden gehören zu den glücklichen Antragsstellern beim „Fonds für die innere Sicherheit“. So erhielt die Bundespolizei für „Grenzangelegenheiten“ 48,7 Millionen Euro, das Bundeskriminalamt (BKA) wird mit 75,4 Millionen begünstigt. Wie in Griechenland geht es um die Beschaffung neuer Technologien zur „Aufdeckung, Zerschlagung, Vorbeugung krimineller Netzwerke“.

Ein Großteil der Gelder fließt in den neuen „Polizeilichen Informations- und Analyseverbund“ (PIAV), an den Informationssysteme der Bundes- und Länderpolizeibehörden sowie der Zoll angeschlossen werden. Mithilfe einer Software sollen auf diese Weise Beziehungen zwischen Personen, Objekten oder Tathergängen gefunden und visualisiert werden. In dem ISF-Dokument wird hierzu die Formulierung „Entwicklung von auswerte-/ ermittlungsunterstützenden Techniken und Modernisierung zentraler IT-Infrastruktur“ benutzt.

Weitere Vorhaben werden als „Prävention vor politisch motivierter Kriminalität“ bezeichnet, wozu die deutschen Polizeien die „Durchführung gemeinsamer nationaler und grenzüberschreitender operativer Maßnahmen und Übungen“ vorschlagen. Ziel sei eine „Erhöhung der Ermittlungskompetenz“ durch Einsatz neuer Analysewerkzeuge und der den Ausbau der „IT-Unterstützungskomponenten“.

von Matthias Monroy 7. September 2015 4
: Kein Problembewusstsein bei Bundesregierung zu geplantem Fluggastdatenabkommen mit Mexiko

Beim Flug nach Mexiko könnten Fluggesellschaften schon bald verpflichtet sein, ausführliche Daten über ihre Reisenden an mexikanische Behörden weiterzugeben.

: Kein Problembewusstsein bei Bundesregierung zu geplantem Fluggastdatenabkommen mit Mexiko

Die EU arbeitet mit Hochdruck an einem Abkommen über die Übermittlung und Verwendung von Fluggastdaten (PNR-Abkommen) mit Mexiko. Dabei ist ein solches Abkommen zur Datenweitergabe kritisch, es wird befürchtet, dass Daten zur Analyse von politisch Unerwünschten benutzt werden könnten, die von mexikanischen Behörden und der von Korruption beeinflussten Polizei verfolgt werden. Die Menschenrechtslage in Mexiko ist angespannt, das plötzliche „Verschwinden“ von Systemkritikern ist ein bekanntes Problem.

Jan Korte von den Linken im Bundestag hat deshalb eine Kleine Anfrage gestellt und nach dem aktuellen Stand der Verhandlungen in der EU, der Rolle Deutschlands in denselben und geplanten Absicherungen gegen Datenmissbrauch gefragt. In der Antwort wird vor allem deutlich, wie schlecht die Bundesregierung über den Stand der Dinge informiert ist.

Es sei weder ein konkreter Zeitplan bekannt noch von Mexiko geforderte Eckpunkte des geplanten Abkommens. Nicht einmal, welche mexikanischen Behörden Zugriff auf die Daten haben sollen, weiß man. Reichlich wenig Überblick, wenn man bedenkt, dass mit der Übermittlung von sogenannten Passenger Name Records (PNR) eine Vielzahl persönlicher Daten übertragen werden – bis zu 60 verschiedene Einzelinformationen aus dem Buchungsvorgang mit Daten über den Flug und gebuchte Zusatzleistungen, das Reisebüro, IP-Adressen, Mailadressen, Telefonnummern, Essenswünsche und anderes.

Danach gefragt, welche Datenschutzvorkehrungen geplant seien, driftet die Bundesregierung ins Floskelhafte. „Zahlreiche Datenschutzgarantien“ seien vorgesehen, darunter „Regelungen zur Datensicherheit“. Welche Regelungen das sind und vor allem wer sich um deren Einhaltung kümmert – darüber schweigt man sich aus. Besonderes Problembewusstsein hinsichtlich der grundrechtssensiblen Daten der Reisenden lässt das nicht gerade erkennen. Auch als gefragt wird, welche Ziele und Vorschläge Deutschland in die Diskussion eingebracht habe, gibt es nichts Konkretes zu berichten:

[Es] war der Bundesregierung wichtig, durch geeignete Formulierungen im Mandat sicherzustellen, dass das Mandat zu gegebener Zeit an die Vorgaben des EuGH im erwarteten Gutachten zum Entwurf eines PNR-Abkommens mit Kanada angepasst wird. Das ist durch Ziffer 4 der vom Rat für allgemeine Angelegenheiten beschlossenen Verhandlungsrichtlinien (Dok. 9218/3/15) sichergestellt. Im Hinblick darauf hat die Bundesregierung davon abgesehen, spezifische Vorschläge zu allen Regelungsgegenständen des Mandats einzubringen.

Das angesprochene Gutachten soll nach der Abschaffung der EU-Vorratsdatenspeicherungsrichtlinie prüfen, ob eine Vorratsdatenspeicherung und Übermittlung von PNR-Daten überhaupt rechtlich tragbar ist. Wunderlich ist, wieso sich die EU im Fall Mexiko durch Sanktionsdrohungen derart unter Druck setzen lässt, dass sie nicht auf das betreffende Gutachten warten will und stattdessen einen grundrechtsproblematischen Schnellschuss plant.

Das Kanada-PNR-Gutachten, das von der Bundesregierung frühestens Ende 2015 erwartet wird, dürfte auch Auswirkungen auf andere existierende und geplante Abkommen haben, denn Mexiko ist nicht das einzige Land, das derzeit eine Übermittlung von Passagierdatensätzen fordert. Mit dabei, so geht aus der Antwort hervor, sind auch Japan, Saudi-Arabien, Katar, Südkorea und Neuseeland. Die Folge: Ein EU-Musterabkommen ist angedacht, das der Datenübermittlung in Nicht-EU-Staaten Tür und Tor öffnen wird. Die Bundesregierung begrüßt diesen Vorschlag, „ein ‚Modell-PNR-Abkommen’ zu erarbeiten“. Jan Korte sieht das anders:

Wer mit Mexiko ein Fluggastdatenabkommen abschließt, der öffnet die Büchse der Pandora. Die Entwicklung von Musterabkommen, wie sie sowohl die EU-Kommission als auch die Bundesregierung vorantreiben, befördert die Entwicklung hin zu globalen Vorratsdatenspeicherungen aller Flugbewegungen und öffnet dem Missbrauch Tür und Tor. Wenn undemokratische Staaten, in denen die Menschen- und Grundrechte regelmäßig verletzt und mit Füßen getreten werden, erst einmal Zugang zu den Daten haben, ist ihre weitere Verwendung unkontrollierbar. Dies ist unverantwortlich und muss unbedingt verhindert werden.

Doch wozu das alles? Die Argumentationsmuster sind bekannt, im rhetorischen Mittelpunkt steht die Bekämpfung organisierter Kriminalität und des Terrorismus. Doch es ist mehr als fragwürdig, ob ein derartiger Grundrechtseingriff mit der nicht-nachweisbaren Aufklärungsverbesserung gerechtfertigt werden kann. Die Bundesregierung kann nicht beantworten, in wie vielen Fällen „aus PNR gewonnene analytische Informationen an Europol und Eurojust durch das US-Department of Homeland Security“ übermittelt wurden. Der deutsche Zollfahnungsdienst habe seit 2011 zweimalig PNR-Informationen aus den USA bekommen – einmal für Ermittlungen in Sachen Steuerhinterziehung und Bestechlichkeit sowie im Rahmen des Verdachts auf Geldwäsche. Dass es keine Angaben gibt, ob diese Daten erfolgreich zu den Rahmenermittlungen beigetragen haben, zeigt klar, dass es vollständig unverhältnismäßig ist, auf dieser Grundlage eine anlasslose Speicherung all jener Passagierdaten vorzunehmen. Korte macht einen Alternativvorschlag: „Für die Luftsicherheit sind nicht immer neue unverhältnismäßige Vorratsdatenspeicherungen, sondern mehr und besser ausgebildetes und bezahltes Luftsicherheitspersonal von Nöten.“

Und zwar egal, ob es hier um Mexiko oder ein anderes Land geht. Diplomatischer Druck und die Androhungen von Sanktionen sollten hier nicht zum Handlungsmotor werden, sondern die Wahrung der Grundrechte aller Bürger.

von Anna Biselli 7. September 2015 8
: Presseverbände lehnen Vorratsdatenspeicherung ab

: Presseverbände lehnen Vorratsdatenspeicherung ab

In einer gemeinsamen Stellungnahme lehnen der Deutsche Journalistenverband, dju in ver.di, BDZV, VDZ, VPRT, Presserat sowie ARD und ZDF das Vorhaben der großen Koalition ab. Der Rechtsausschuss des Bundestages wird voraussichtlich am 21. September zur geplanten Wiedereinführung der Vorratsdatenspeicherung (VDS) beraten.

Die anlasslose Speicherung, Erhebung und sonstige Verwendung solcher Daten auf Vorrat ist mit dem national und auf europäischer Ebene garantierten Recht auf informationelle Selbstbestimmung und den hieraus erwachsenden datenschutzrechtlichen Grundsätzen der Erforderlichkeit und der Datensparsamkeit nicht zu vereinbaren und deswegen unzulässig und stellt in der vorgesehenen Form auch einen massiven Eingriff in die Bürgerrechte dar.

Die Presseverbände sehen den derzeitigen Entwurf zur VDS nicht in Einklang mit dem Urteil des EuGH, das letztes Jahr die EU-Richtlinie gekippt hat. Besonders die Erforderlichkeit der VDS ist in dem Entwurf keineswegs ausführlich begründet. Die Argumentation der BefürworterInnen stütze sich auf Einzelfälle, die als „typisch“ bezeichnet werden, um den Nutzen der VDS zu belegen. Sie bleiben jedoch einen empirischen Beleg für die Notwendigkeit der VDS schuldig. Gravierende Auswirkungen sehen die Verbände auf den Schutz von BerufsgeheimnisträgerInnen und insbesondere auf die gesamte Arbeit von JournalistInnen.

Eine grundrechtlich geschützte Presse-und Rundfunkfreiheit kann nicht verwirklicht werden, wenn die ungehinderte Informationsbeschaffung und eine vertrauliche Kommunikation der Medien insbesondere mit den Informanten nicht mehr möglich sind. Potenzielle Informanten würden ihre Kenntnisse nicht weitergeben, wenn sie sich nicht darauf verlassen könnten, dass die Journalistinnen und Journalisten ihre Quellen nicht preisgeben. Es geht dabei nicht ausschließlich um den Schutz der Quellen, sondern auch um den Schutz des Redaktionsgeheimnisses, dem das BVerfG in ständiger Rechtsprechung eigenständige Bedeutung zumisst und in das eingegriffen würde, wenn die im Bereich journalistischer Recherche hergestellten Kontakte staatlich ausgeforscht würden oder nachvollzogen werden können.

Ihren weiteren Befürchtungen können wir uns ebenfalls anschließen.

Die für den öffentlichen Meinungsbildungsprozess wichtige Aufgabe der Journalistinnen und Journalisten, Missstände an die Öffentlichkeit zu bringen, ist massiv gefährdet, wenn Informanten befürchten müssen, dass ihre Informationen nicht vertraulich bleiben, sondern z. B. durch die Herausgabe von Verkehrsdaten etc. personalisiert werden können. Dasselbe gilt, wenn Journalistinnen und Journalisten zudem damit rechnen müssten, dass ihre Kontakte staatlicherseits ausgeforscht werden können.

Trotz der umfassenden Auswirkungen auf die Arbeit von JournalistInnen ist der gemeinsamen Stellungnahme zufolge keine Anhörung von Vertretern der Presse im Rechtsausschuss des Bundestages geplant. Unterdessen versucht die Bundestagsfraktion der Linken mit einer kleinen Anfrage an die Bundesregierung zu rekonstruieren, durch welche Gespräche mit dem Bundesinnenministerium der Sinneswandel im Justizministerium herbeigeführt wurde. Darin geht es neben der konkreten Frage zur Ausgestaltung der VDS auch darum, wie sich die Bundesregierung den Schutz von BerufsgeheimnisträgerInnen vorstellt und ob dieser beispielsweise auch für BloggerInnen gelten soll.

von Nikolai Schnarrenberger 7. September 2015 9
: Leipziger Polizei beißt sich am Auslesen von 30 Handys die Zähne aus

Gibt's auch beim LKA und der Polizei in Sachsen: Die Software XRY von Micro Systemation.

: Leipziger Polizei beißt sich am Auslesen von 30 Handys die Zähne aus

Nach einer Spontandemonstration in Leipzig hatte die dortige Polizei im Januar mehrere Hundert Personen eingekesselt. Einige der Demonstrierenden hatten sich der Polizei zufolge des Landfriedensbruchs schuldig gemacht. Weil keine einzelnen Beschuldigten ausgemacht werden konnten, leitete die Polizei kurzerhand Ermittlungsverfahren gegen alle 195 festgestellten Personen ein. Dabei wurden sämtliche gefundene elektronische Geräte einkassiert: 150 Mobiltelefone, drei Laptops, sechs SIM-Karten, vier SD- und zwei Mini-SD-Karten (jene in den Telefonen nicht mitgezählt) sowie drei iPods.

Bei der Aktion handelt es sich wohl um eine der größte Massen-Beschlagnahmungen von Kommunikationsgeräten bei politischen Versammlungen. Für die Ermittlungsbehörden eine prima Möglichkeit, sich an den unterschiedlichen Geräten mit diverser Auswertesoftware zu versuchen.

13 Betroffene gaben Zugangsdaten heraus

Die Telefone wurden nach einer Anordnung der Staatsanwaltschaft Leipzig durch die Polizeidirektion einer forensischen Spurensicherung unterzogen. Von Interesse war laut der Polizei, ob sich darauf Fotos befänden, aufgrund derer mögliche StraftäterInnen ausfindig gemacht werden könnten.

Im März hatten wir berichtet, dass sich die ermittelnde Polizeidirektion an 63 Handys bis dahin erfolglos versuchte. Neue Zahlen hat nun die Landtagsabgeordnete Juliane Nagel erfragt. Laut der Antwort auf eine Kleine Anfrage konnten noch immer keine Daten aus 30 Telefonen ausgelesen werden. Zu den Gründen macht die Landesregierung keine Angaben, unter Umständen waren die Inhalte verschlüsselt.

Laut der Antwort hatte die Polizei im Verlauf des Jahres mit insgesamt 42 Personen „zur Zugangserlangung Rücksprache geführt“. Demnach hätten 13 Betroffene die Zugangsdaten zu den jeweiligen Geräten freiwillig herausgegeben, offenbar wurden diese danach den BesitzerInnen zurückgegeben. Acht Mobiltelefone befinden sich zur Zeit (Stand: 21. August) „noch in Auswertung“. Zu vier Mobiltelefonen, zwei SIM-Karten sowie vier Filmen analoger Kameras werde die Rückgabe derzeit geprüft.

38 Personen verzichteten trotz schriftlicher Benachrichtigung darauf, ihre Mobiltelefone und einen iPod wieder abzuholen. Weitere acht Mobiltelefone liegen bei der Polizei, weil eine Zustellung der Benachrichtigung angeblich „nicht erfolgreich“ gewesen sei.

Penetrationstester erklärt Auswerteverfahren

Juliane Nagel hat sich auch nach der bei sächsischen Behörden genutzten Auswertesoftware erkundigt. Wie viele andere Polizeibehörden kommt beim Landeskriminalamt sowie drei Polizeidienststellen Software der israelischen Firma Cellebrite zum Einsatz. Neben dieser Standardanwendung nutzen die Behörden Anwendungen von fünf weiteren Anbietern.

Über die technischen Möglichkeiten hatten Andre Meister und Detlef Borchers vergangenes Jahr berichtet. Ein paar mehr Informationen hat kürzlich der „Cybercrime Blog“ der Fachhochschule der Polizei des Landes Brandenburg veröffentlicht. Der entsprechende Beitrag des Penetrationstesters Marko Rogge erschien zuvor in der Printausgabe der Zeitschrift „Der Kriminalist“ und wurde zur Erhöhung der Spannungskurve in fünf Teile gegliedert. Lesenswert ist der Artikel allemal, enthält er doch außer Details zu forensischen Ermittlungstechniken auch Hinweise auf mögliche Schwachstellen der Behörden.

So können Daten zwar unter Umständen von ihren BesitzerInnen aus der Ferne gelöscht werden. Die ErmittlerInnen packen die beschlagnahmten Geräte deshalb allerdings in sogenannte Faraday-Bags, mit denen diese abgeschirmt vom mobilen Netzwerk transportiert werden können. Auch im Labor werden entsprechende Bedingungen hergestellt.

Zerstörtes Display erschwert die Ermittlungen

Laut dem Beitrag gibt es vier gängige Methoden, elektronische Geräte auszulesen. Mit der „Physical Extraction“ wird eine eins-zu-eins-Kopie des Speicherinhaltes erstellt, wobei dank Flash-Speichern auch gelöschte Daten wiederhergestellt werden können. Mitunter funktioniert das aber nur, wenn der Entsperrcode bekannt ist. Klappt das nicht, kann eine „Filesystem Extraction“ vorgenommen werden. Nicht alle mobilen Endgeräte lassen sich laut Rogge auf diese Weise vollständig auslesen. Bei einer „Advanced Logical Extraction“ können bei iOS-Geräten sowohl logisch vorhandene Daten als auch Teile des Systems ausgelesen werden.

Eine „Logical Extraction“ kann schließlich lediglich die vom Benutzer erstellten Daten extrahieren. Dies funktioniert wiederum nicht bei jenen Daten, die von den BesitzerInnen zuvor gelöscht wurden. Deutlich mehr Schwierigkeiten machen bisweilen kaputte Displays:

Oftmals sind Beschuldigte von einer Durchsuchungsmaßnahme so überrascht, dass diese „versehentlich“ ein Mobiltelefon fallen lassen, um es zu zerstören. Häufig geht dabei das Display zu Bruch und es wird schwierig, aus dem Gerät brauchbare Resultate zu erzielen.

Rogge zufolge können in diesem Fall bei vielen Mobiltelefonen oder Smartphones die Hauptplatinen mit den aufgelöteten Speicherbausteinen ausgebaut und in ein anderes Gerät montiert werden. Über diese Datenschnittstelle erfolgt dann die Extraktion.

von Matthias Monroy 4. September 2015 46
: EU-Mitgliedstaaten verabreden mehr Überwachung und Kontrolle von Zügen, Bahnsteigen und Passagieren

: EU-Mitgliedstaaten verabreden mehr Überwachung und Kontrolle von Zügen, Bahnsteigen und Passagieren

Europäische Sicherheitsbehörden fordern Kontrollen und Überwachung im europäischen Bahnverkehr. Dies geht aus einer Erklärung hervor, die von den EU-Verkehrs- und Innenministern nach einem Treffen in Paris veröffentlicht wurde und mittlerweile auch auf Englisch vorliegt.

Demnach sollen Züge und Bahnsteige besser überwacht werden, auch Passagiere und Gepäck müssten verstärkt kontrolliert werden („visual inspection and luggage control, both in stations and onboard trains”). In einigen Zügen soll mehr Sicherheitspersonal mitfahren. Auf bestimmten Strecken könnten nun „koordinierte und simultane Kontrolloperationen” durchgeführt werden. Um welche Strecken es sich handelt, bleibt unklar, vermutlich geht es aber um ausschließlich Hochgeschwindigkeitszüge.

Eine Woche zuvor hatte der marokkanische Staatsangehörige Ayoub El K. im Thalys-Zug zwischen Amsterdam und Paris um sich geschossen. Die Zusammenkunft in Paris war eine Reaktion auf den mutmaßlich geplanten Anschlag. Aus Deutschland nahmen der Bundesverkehrsminister Alexander Dobrindt (CSU) und der Bundesinnenminister Thomas de Maizière (CDU) an dem Treffen teil. Weitere Minister kamen aus Belgien, Frankreich, Großbritannien, Italien, Luxemburg, den Niederlanden, der Schweiz und Spanien. Auch die EU-Kommissare Dimitris Avramopoulos (Inneres und Migration) und Violeta Bulc (Verkehr) sowie der EU-Koordinator für Terrorismusbekämpfung, Gilles de Kerchove, waren vertreten.

Nutzung polizeilicher Informationssysteme

Laut der Erklärung müssten alle polizeilichen und justiziellen Zusammenarbeitsformen in Europa intensiver genutzt werden, insbesondere das Schengener Informationssystem (SIS II). Gemeint ist die Möglichkeit der „verdeckten Fahndung“, wonach die Betroffenen nicht kontrolliert, aber jeder Kontakt mit Sicherheitsbehörden an die ausschreibende Polizeidienststelle weitergegeben wird. Auch der Bundesinnenminister befürwortet die vermehrte Speicherung von Terrorismus-Verdächtigen im SIS II, allerdings müssten diese „eher zur offenen als zur verdeckten Fahndung ausgeschrieben werden“.

Nach einem Bericht des RBB Berlin sei auch Ayoub K. auf diese Weise im SIS II ausgeschrieben gewesen. Trotzdem sei er bei der Kontrolle „intensiv“ kontrolliert worden. Das Bundesinnenministerium hatte diese Darstellung Anfang der Woche dementiert, wollte aber zu Speicherungen des Ayoub K. in polizeilichen Informationssystemen keine Auskunft geben.

Die Erklärung von Paris fordert eine „informationsbasierte“ („information led“) Sicherheitsherangehensweise. Gewöhnlich meint eine solche Formulierung den Ausbau der Gefahrenabwehr gegenüber der Strafverfolgung. Möglich ist auch die Verarbeitung geheimdienstlicher Erkenntnisse. Unter Umständen könnten dann weitere „zielgerichtete Kontrollen“ erfolgen. Verabredet wurde die Verbesserung des Datentausches zwischen allen nationalen und europäischen Sicherheitsbehörden, die für den grenzüberschreitenden Bahnverkehr zuständig sind. Geplant ist auch, das Zugpersonal besser auf etwaige Sicherheitsrisiken vorzubereiten. Auch hier bleibt das Papier aus Paris allerdings vage.

Mehr Videoüberwachung an Bahnhöfen

Die bereits existierenden gemeinsamen Streifen im Rahmen der Gemeinsamen Zoll- und Polizeizentren, wie sie in großer Zahl mittlerweile an den Binnengrenzen errichtet wurden, sollen ebenfalls ausgebaut werden. Angestrebt ist mehr Kooperation mit Zollbehörden. Zudem müssten existierende, grenzüberschreitende Polizeinetzwerke genutzt werden. Genannt werden das Netzwerk der Eisenbahnpolizeien (TISPOL), das Netzwerk polizeilicher Spezialkräfte ATLAS sowie das International Rail Transport Committee.

Auch die Kooperation mit der „Land Transport Security Expert Group“ (LANDSEC) könne verstärkt werden. Die Gruppe ist unter anderem für Sicherheitsforschungsprojekte zuständig. In der Erklärung findet sich auch eine Aufforderung zur Einführung von „neuen Technologien“ zur Verstärkung der Sicherheit im Schienenverkehr zu nutzen. Das findet Anklang im Bundesinnenministerium: Laut de Maizière könnte für Deutschland ein bereits existierender Investitionsplan „für die bessere Nutzung von Kameras in deutschen Bahnhöfen“ genutzt werden. Vermutlich meint der Minister die andauernde Modernisierung der Videoüberwachung an deutschen Bahnhöfen.

Die UnterzeichnerInnen der Pariser Erklärung fordern zu prüfen, inwiefern Bahnfahrkarten für Hochgeschwindigkeitszüge im europäischen Bahnnetz zukünftig nur noch mit Namen personalisiert vergeben werden könnten („implementation of nominative tickets for long-range international trains“). Das Bundesinnenministerium will hierzu ein Gutachten einholen.

Weitere Konferenz geplant

Die europäischen Minister regen an, Sicherheitskonzepte für Flugreisen auch auf Schienentransporte zu übertragen. Diesbezüglich hatte der EU-Koordinator für Terrorismusbekämpfung vor einiger Zeit gefordert, auch für Zugreisen Fluggastdaten zu verarbeiten. Ähnlich wie im Luftverkehr soll nun die „Cybersicherheit“ für Schieneninfrastrukturen gestärkt werden.

Sämtliche Vorhaben müssten laut der Pariser Erklärung verhältnismäßig sein, damit Bahnreisende nicht auf Flug- oder Busreisen ausweichen. Trotzdem könnte weitere Maßnahmen beschlossen werden, wenn sich demnächst alle europäischen Behörden und Dienstleister, die für Schienentransport und ‑sicherheit verantwortlich sind, zu einer weiteren Konferenz verabreden werden.

von Matthias Monroy 4. September 2015 21
: Neues Geheimdienstgesetz in den Niederlanden: Beratungsphase abgelaufen

Die öffentliche Beratungsphase für das neue niederländische Geheimdienstgesetz ist abgelaufen. <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a>, via flickr/<a href="https://www.flickr.com/photos/zigazou76/5610201553/">Frédéric Bisson</a>

: Neues Geheimdienstgesetz in den Niederlanden: Beratungsphase abgelaufen

In den Niederlanden ist gestern die Konsultationsphase für das geplante neue Geheimdienstgesetz abgelaufen. Insgesamt sind 557 Stellungnahmen eingegangen – etwa zehnmal so viele wie es sonst durchschnittlich der Fall ist.

Neben Bürgerrechtsorganisationen wie Amnesty International oder Bits of Freedom laufen besonders Provider und IT-Konzerne Sturm gegen das geplante Gesetz, die sich nicht zum Handlanger der Geheimdienste machen lassen wollen. Vodafone etwa kritisiert die Verpflichtungen zur Kooperation, ohne dass dabei die Transparenz und Aufsicht gestärkt werden würde, während KPN darüber hinaus die Verhältnismäßigkeit des Gesetzes bezweifelt. Google bezeichnet es als „extrem intrusiv“ und den fundamentalen Menschenrechten auf Privatsphäre, Rede- und Informationsfreiheit widersprechend.

Der Gesetzentwurf weitet die Befugnisse der beiden Geheimdienste AIVD (Inlands- und Auslandsgeheimdienst) und MIVD (Militärischer Geheimdienst) beträchtlich aus und erlaubt ihnen unter anderem, massenhaft Kommunikation mitzuschneiden, Verschlüsselung zu knacken und in IT-Systeme einzubrechen. Abgefangene Daten dürfen zudem an befreundete Dienste weitergegeben werden. Unabhängige richterliche Kontrolle ist nicht vorgesehen, stattdessen übernehmen die politisch besetzen Gremien CTIVD und CIVD die Aufsichtsfunktionen.

Das Innenministerium hat nun sechs Wochen Zeit, die über 500 Stellungnahmen zu analysieren und einen Bericht darüber zu erstellen. Parallel dazu soll ein Gutachten die Auswirkungen auf die Privatsphäre untersuchen. Ein vermutlich modifizierter Entwurf wird dann dem Kabinett vorgelegt, das ihn vom Staatsrat, einem Verfassungsorgan, das die Regierung berät, absegnen lassen muss. Erst dann geht das Gesetz an die untere Kammer und gegebenenfalls an den Senat. Sollte es zu keiner grundsätzlichen Überarbeitung kommen, hat die niederländische Journalistenvereinigung NJV bereits ein Gerichtsverfahren angekündigt.

von Tomas Rudl 2. September 2015 1
: Kryptographie, Open Source und Gesellschaft
: Kryptographie, Open Source und Gesellschaft

Die weltweite elektronische Vernetzung stellt wohl eine der tiefgreifendsten Veränderungen seit der industriellen Revolution dar. Das gesellschaftliches Zusammenleben, unser gesamtes Wirtschaftsleben, das Verhältnis zwischen Bürger und Staat und das Verhältnis der Staaten untereinander stehen vor tiefgreifenden Herausforderungen. Wer hier von „Neuland“ spricht, liegt vielleicht gar nicht so falsch, wie oberflächlichere Kommentatoren meinen.

Oft wird in der Diskussion das technikfixierte „code is law“ vorgebracht, und in der Tat scheint die Gesetzgebung technischen Entwicklungen fast nur noch hinterherzulaufen. Allerdings ist es ja aber gerade das Wesen einer freiheitlichen Gesellschaft, dass der Staat Innovation nicht behindern, sondern einen fairen Rechtsrahmen vorgeben sollte. Hierbei kann Technik der Politik gerade dort helfen, wo sich Diplomatie allein als machtlos erwiesen hat.

Die Regierungen weltweit sind daran gescheitert, das flächendeckende Abhören von Bürgern und Industrie zu verhindern. Freie Software und starke Kryptographie kann dies. Und auch darüber hinaus sind Kryptographie und Open-Source-Software mächtige Werkzeuge, die digitale Gesellschaft freiheitlich und demokratisch zu gestalten.

Diesen Gastbeitrag von Rüdiger Weis veröffentlichen wir mit seiner freundlicher Genehmigung. Zuerst erschienen in vorgänge. Zeitschrift für Bürgerrechte und Gesellschaftspolitik, 54. Jahrgang, Nr. 209 (Heft 1/2015).

Das Internet bietet die Möglichkeit der einfachen Teilhabe. Jeder kann sich umfassend aus nichtstaatlichen Quellen informieren, und auch die aktive Teilnahme am politischen Meinungsbildungsprozess ist dank sozialer Netze und des einfachen Publizierens mittels Blogs und Podcasts sehr niedrigschwellig möglich geworden. Andererseits wurde schon von Anfang an von der Wissenschaft gewarnt, dass im Internet schon konstruktionsbedingt eine allumfassende Überwachung möglich ist. Nach Snowden ist es unstrittig, dass Staaten diese Überwachung durchführen.

1 „Crypto works“

Die gute Nachricht ist, dass wissenschaftlich starke Kryptographie auch für übermächtige Geheimdienste nicht brechbar sein dürfte.

Crypto works. It’s not an arcane black art. It is a basic protection, the Defense Against the Dark Arts for the digital world. We must implement it, actively research it. (Edward Snowden, Guardian, 11. März 2014)

Kryptographie geht bereits bei der wissenschaftlichen Modellbildung von einem fast allmächtigen Gegner aus. Der Angreifer kann alle Nachrichten lesen und übertragenen Nachrichten ändern. Die einzige Voraussetzung auf Verteidigerseite ist das sichere Erzeugen und Speichern von wenigen Bits für die kryptographischen Schlüssel. Nach Snowden wissen wir genauer, an welchen Kabelstellen abgehört wird und auf den Cent genau (pdf), wie viel Geld für Kryptoangriffe vorhanden ist. Nicht uninteressant, aber wissenschaftlich betrachtet nur eine Fußnote. Die „übertriebene Paranoia“ der Theoretiker hat sich also mal wieder als die realistischste Einschätzung der praktischen Bedrohungslage erwiesen.

Kryptographie ermöglicht durch Mathematik auf einer fingernagelgroßen Fläche oder mit einer handvoll Programmzeilen, Daten sicher selbst gegen eine weltweite Geheimdienstzusammenarbeit zu verschlüsseln. Freie Software ermöglicht dies kosten- und hintertürenfrei.

Pessimisten meinen, dass Kryptographie die letzte Brandmauer gegen eine umfassende Überwachung darstellen könnte, die allerdings in der Praxis häufig umgangen werden kann. Optimisten glauben, dass Kryptographie zu einer Stärkung des Einzelnen gegenüber den Staaten führt und damit eine Schlüsseltechnologie für eine freiheitliche, demokratische Gestaltung des digitalen Lebensraumes darstellt.

Trust the math. Encryption is your friend. (Bruce Schneier, 6. September 2013)

Allerdings sollten zukünftig Warnungen aus der Wissenschaft vor schwacher Kryptographie ernstgenommen werden. Starke Kryptographie sollte als Standardeinstellung benutzt und im klugen Ingenieursinne ausreichend große Sicherheitsspielräume, sprich bewährte Algorithmen mit langen Schlüssellängen, gewählt werden. Nach Snowden ist es sicher, dass kryptographische Verfahren, gegen die wissenschaftliche Vorbehalte bestanden, wohl auch praktisch gegen mit Milliarden ausgestattete Gegner mehr als problematisch sind.

2 Mathematischer Forschungsbedarf bei Elliptischen Kurven

Zentraler Baustein für die Sicherheit von elektronischer Kommunikation ist die Verwendung von kryptographischen Verfahren mit öffentlichen Schlüsseln. Diese werden sowohl für die Verschlüsselung als auch für die Authentifizierung verwendet. Hierfür halten Kryptographen schon seit vielen Jahren Standardverfahren mit einer Schlüssellänge von 1024 bit für brechbar. Die staatlichen Stellen verpflichten schon seit längerem auf eine Mindestlänge von 2048 bit, wie sie beispielsweise Windows 8 verwendet, und halten längere Schlüssellängen schon mittelfristig für empfehlenswert. Viele Kryptographieforscher empfehlen mindestens 4096 bit.

Wegen dieser Anforderungen diskutieren viele Wissenschaftler die Verwendung von Elliptischen Kurven (ECC) in Kryptosystemen. Die Hauptidee hierbei ist, das schon lange bekannte Diskrete-Logarithmus-Problem (DLP) auf mathematisch anspruchsvollen Strukturen zu verwenden. Die Mehrheit der kryptographischen Forschung ist der Ansicht, dass ECC ähnliche Sicherheit liefert wie RSA („Rivest Shamir Adleman“) und dies bei deutlich kürzeren Schlüsseln und besserer Geschwindigkeit. Diese Eigenschaften sind besonders im Bereich Smartcards und eingebettete Systeme bedeutend.

Allerdings mehren sich seit geraumer Zeit die Zweifel, ob wirklich gleiche Sicherheit mit deutlich geringerem Zeit und Speicheraufwand zu realisieren ist. Die Annahmen, die dieser Einschätzung zu Grunde liegen, sind sehr weitreichend. Eine Minderheit der Kryptographen kritisiert, dass man sicher lediglich weiß, dass der gegen DLP-Systeme über endlichen Körpern wirkungsvolle Index-Calculus-Angriff nicht unmittelbar gegen das DLP über der additiven Gruppe von Elliptischen Kurven angewendet werden kann. Hieraus zu folgern, dass nur Standardangriffe anwendbar sind, ist eine durchaus kritisch zu sehende Annahme. Diese Standardangriffe sind universell einsetzbar und nutzen keinerlei Optimierungen der zu Grunde liegenden mathematischen Strukturen. Gerade die reichhaltige algebraische Struktur von Elliptischen Kurven könnte jedoch überraschende und sehr wirkungsvolle Angriffe möglich machen. Zudem ist ECC wegen der kürzeren Schlüssellänge viel anfälliger gegen Angriffe mit Quantencomputern (Shor-Algorithmus). Nach Snowden wissen wir centgenau, dass die NSA erhebliche Mittel in die Forschung zu Quantencomputern steckt.

Ein erhebliches praktisches Problem stellt weiterhin die Tatsache dar, dass ECC-Systeme eine Reihe von mathematisch höchst sensiblen Parametern benötigen. So wurde von offen forschenden Kryptographen in einem NIST-Standard schon im Juni 2006 die hohe Wahrscheinlichkeit einer Manipulation von Elliptischen Kurven bei Parametern für einen Zufallsgenerator (Dual Elliptic Curve Deterministic Random Bit Generator) aufgedeckt. Nach Snowden bestätigt sich die Existenz einer NSA-Backdoor in einem NIST-Standard. Der Vertrauensverlust der Standardisierungsbehörde ist ein harter Schlag für die Informatik. Die von NIST und NSA vorgeschlagenen Elliptischen Kurven müssen daher offensichtlich wissenschaftlich nochmals gründlich untersucht werden.

3 Starke Kryptographie als Standardeinstellung

Die Enthüllung zum Behördenvorgehen gegen den Mail-Anbieter Lavabit zeigen, wie riskant kryptographisch problematische Einstellungen sind. Bei der Nutzung der bisherigen Standardeinstellungen bedeutet die erzwungene Herausgabe von SSL-Schlüsseln die automatische Kompromittierung der gesamten, sicherlich von der NSA aufgezeichneten Kommunikation aller Kunden.

Der getroffene Mail-Anbieter Lavabit beendete den Geschäftsbetrieb, Kommentatoren schrieben über das „Todesurteil für US-Kryptographie“, und für US-Cloudanbieter könnten diese rechtlichen Probleme in der Tat das Aus vieler Geschäftsbereiche bedeuten. Und auch hier ist dank kryptographischer Forschung die Lösung nur einen Maus-Klick entfernt. Perfect Forward Secrecy (PFS) ermöglicht, dass durch eine Kompromittierung eines SSL-Serverschlüssels nicht die gesamte Kommunikation von Unschuldigen betroffen ist. Nach Snowden sollten 1024-bit-Schlüssel und RC4 nicht mehr verwendet und die Schlüsselvereinbarung auf Perfect Forward Secrecy umgestellt werden.

4 Warnung vor Windows 8/10

Neu bewertet werden muss die Initiative von Microsoft, bei der Einführung von Windows 8/10 den Nutzern eine neue, von Microsoft kontrollierte Sicherheitsarchitektur aufzuzwingen. Hierbei soll ein Trusted-Computing-Modul (TPM) in die persönlichen Computer und Mobilgeräte eingebaut werden. Dieses enthält einen Schlüssel auf den der/die Besitzer_in des Computers keinen Zugriff hat. Zusammen mit den nun von Microsoft implementierten Verfahren innerhalb von Windows 8/10 (insbesondere Secure Boot) wird den Nutzern weitgehend die Kontrolle über ihre eigene Hardware und Software entzogen.

Ähnlich analysierte das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in einer „Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM“:

Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken. (BSI, Bonn, 21. August 2013)

Es erinnert fatal an eine elektronische Fussfessel. So kann beispielsweise über das Netz angefragt werden, ob nur genehmigte Software läuft – das Ende der persönlichen Computer und Smartphones.

4.1 Kryptographen warnen vor Trusted Computing

Whitfield Diffie, einer der Entdecker der Public-Key-Kryptographie, zeigte sich besorgt über die dominierende Stellung von Microsoft und forderte, dass die Benutzer die vollständige Kontrolle über die Schlüssel des eigenen Computers behalten sollten:

[The Microsoft approach] lends itself to market domination, lock out, and not really owning your own computer. […] To risk sloganeering, I say you need to hold the keys to your own computer. (Whitfield Diffie, 15. April 2003)

Auch Ron Rivest mahnte eindringlich, die möglichen Konsequenzen gründlich abzuwägen:

We should be watching this to make sure there are the proper levels of support we really do want. […] We need to understand the full implications of this architecture. This stuff may slip quietly on to people’s desktops, but I suspect it will be more a case of a lot of debate. (Ron Rivest, 15. April 2003)

Wenn Wirtschaft und Behörden mittels Windows und Trusted Computing eine Sicherheitsinfrastruktur aufbauen, können die US-Behörden im Zweifelsfall die völlige Kontrolle übernehmen.

Darüber hinaus können die neu eingesetzten Mechanismen auch für Sabotageakte Dritter genutzt werden. Diesen Risiken muss begegnet werden. (BSI, Bonn, 21. August 2013)

Angesichts der Tatsache, dass wiederholt Druck auf Hersteller ausgeübt wurde, Hintertüren einzubauen, wirkt die Idee, dass ein Schlüssel vom/von der Benutzer_in nicht ersetzt werden kann, sehr bedrohlich. Besonders brisant ist, dass die geheimen Schlüssel während des Herstellungsprozesses außerhalb des Chips erzeugt und danach in den Chip übertragen werden. Hier ist es trivial, eine Kopie aller Schlüssel herzustellen. Es ist nicht auszuschließen, dass entsprechende Rechtsvorschriften bestehen und über diese nicht berichtet werden darf.

Ein anderes realistisches Szenario, dass der TPM-Hersteller nicht in der Reichweite der NSA, sondern beispielsweise in der Volksrepublik China sitzt, kann nicht wirklich beruhigen.

Da neben den Überwachungsmöglichkeiten auch die Wahlmöglichkeiten der Nutzer eingeschränkt wird, stellen sich natürlich kartell- und verbraucherrechtliche Fragen. Unter anderem die Tatsache, dass Microsoft die übliche Praxis verlassen hat und den Überwachungschip automatisch einschaltet und sich bei vielen Systemen selbst nicht mehr ausschalten lässt, verstößt unter anderem gegen das Eckpunktepapier des Bundesinnenministeriums zur vertrauenswürdigen Technikgestaltung.

4.2 Secure-Boot-Probleme für Linux

Nachdem die Einführung einer Microsoft-kontrollierten Sicherheitsinfrastruktur durch politischen Widerstand lange aufgehalten werden konnte, hat Microsoft ein weiteres Mal in Geheimverhandlung Fakten geschaffen. In den Hardwareanforderungen für Windows 10 wird Secure Boot verpflichtend vorausgesetzt. Alternative Betriebssysteme können in der Praxis bisher nur mit technisch und rechtlich nicht unproblematischen Notkonstruktionen gestartet werden.

Microsoft kann und hat auch ohne nachvollziehbare Begründung konkurrierende Bootloader deaktiviert. Ein Szenario, dass Microsoft (möglicherweise durch US-Regierungsdruck) die Berechtigung für die von Microsoft unterschriebenen Bootloader für Linux-Distributionen zurückzieht, will man sich insbesondere für sicherheitskritische Systeme oder eingebettete Systeme nicht wirklich vorstellen.

Insbesondere können auf einer Hardware, die mit einem TPM 2.0 betrieben wird, mit Windows 8 durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers, aber auch des Eigentümers des IT-Systems Fehlerzustände entstehen, die einen weiteren Betrieb des Systems verhindern. Dies kann soweit führen, dass im Fehlerfall neben dem Betriebssystem auch die eingesetzte Hardware dauerhaft nicht mehr einsetzbar ist. Eine solche Situation wäre weder für die Bundesverwaltung noch für andere Anwender akzeptabel. (BSI, Bonn, 21. August 2013)

Während deutsche Behörden darüber diskutieren, wie sehr vor Windows 8 gewarnt werden sollte, verbot die Volksrepublik China Windows 8 auf staatlichen Computern.

4.3 Alternative Vertrauensanker

Es erscheint zwingend notwendig, Alternativen zum Vertrauensanker von Microsoft zur Verfügung zu stellen. Aus technischen Gründen ist dies sogar deswegen notwendig, weil Microsoft mit einer Schlüssellänge von 2048 bit arbeitet, welche vom BSI nicht für langfristige Sicherheit empfohlen wird. Für den staatlichen Bereich könnte beispielsweise die Bundesnetzagentur eine führende Position einnehmen. Hier sind im Zusammenhang mit dem Signaturgesetz schon erhebliche Vorarbeiten vorgenommen worden.

Für nichtstaatliche Bereiche erscheint eine gemeinnützige Stiftung außerhalb der USA die bessere Lösung. Ähnliche Diskussionen werden bereits zu ICANN und DNSSEC-Rootzonenschlüssel geführt.

Die Kryptographieforschung hat Lösungen für feingranulare Sicherheitspolitiken mit mathematisch beweisbaren Sicherheitseigenschaften entwickelt. Beispielsweise können Vertrauensbeziehungen durch mehrere mögliche Stellen dezentralisiert werden oder eine Zusammenarbeit von mehreren Instanzen erforderlich gemacht werden.

5 Hintertüren in Closed Source

Wenn die geheimen Schlüsselinformationen durch Hintertüren übertragen werden, kann natürlich die stärkste Kryptographie nichts ausrichten. Die bestätigten geheimen Einbauten von Hintertüren durch US-Firmen führen ein weiteres Mal die Notwendigkeit für eine neue Vertrauensbasis für die digitale Welt vor Augen. Hierfür sind Schlüsselkontrolle durch die Anwender, nachvollziehbare Standardisierungsprozesse und einsehbarer Sourcecode für Software und Hardware als unabdingbar anzusehen. Nach Snowden ist dollargenau bekannt, dass die Geheimdienste über einen Milliarden-Etat verfügen, um die Sicherheit von kommerzieller Software und Geräten mit Hintertüren zu versehen. Lesbarer Quellcode und aufmerksame Entwickler bieten hiergegen Sicherheit.

5.1 Lesbarer Quellcode

Während über die Notwendigkeit der ausschließlichen Verwendung von Open-Source-Programmen für sicherheitskritische Bereiche noch kontrovers diskutiert wird, ist die schwächere „Lesbarer Quellcode“-Forderung innerhalb der Wissenschaftsgemeinde unumstritten. Ohne die Möglichkeit, den Quellcode zu überprüfen, ist es faktisch unmöglich, Hintertüren zu entdecken.

Lesbarer Quellcode bedeutet nicht zwangsläufig die Verwendung einer offenen Lizenz. Auch veröffentlichter Quellcode kann unter kommerzielle Lizenzen gestellt werden, die die Verwendung und Weitergabe nahezu beliebig einschränken können. Dies ist seit langem gängige Praxis, wie die Beispiele PGP und CryptoPhone zeigen.

5.2 Shared-Code-Probleme

Open-Source-Programme bieten den wichtigen Vorteil, dass beim Schließen von Sicherheitslücken nicht auf die Hersteller gewartet werden muss. Die Zeit zwischen der Veröffentlichung einer Sicherheitslücke und des Schließens dieser durch die Hersteller ist unstrittig die Zeit der höchsten Gefährdung. In der Praxis sind derartige Hochrisikozeiten von mehreren Monaten nicht unüblich. Jedoch zeigen Sicherheitskatastrophen, wie beispielsweise in der systemrelevanten Open-SSL-Implementierung, dass auch im Open-Source-Bereich ein erheblicher Handlungsbedarf besteht. Da auch staatliche Stellen häufig Open-Source-Lösungen einsetzen und damit selbst nach konservativen Schätzungen Milliardeneinsparungen realisieren, besteht wegen der Sorgfaltspflicht eine staatliche Verpflichtung, hier für eine Grundsicherheit zu sorgen.

6 Staatsaufgabe Sicherheit in der Informationstechnik

Die politische und juristische Frage, ob Regierungen Cyberangriffswaffen („Bundes-Trojaner“) zum Schutze hoher Rechtsgüter entwickeln dürfen oder dies verfassungsrechtlich unakzeptabel ist, wie ein entsprechendes Urteil des Bundesverfassungsgericht nahelegt, soll an dieser Stelle nicht diskutiert werden. Aus informatischer Sicht muss jedoch in diesem Falle auf technische und organisatorische Probleme hingewiesen werden, die beispielsweise bei der Einblickgewährung in den Windows-Quellcode auftreten. Die Kenntnis des Quellcodes erleichtert es Angreifern ganz erheblich, ausnutzbare Schwachstellen zu finden. Hier haben staatliche Stellen, die neben dem Schutz der Anwender auch aktive Angriffe entwickeln, einen nicht auflösbaren Zielkonflikt. Aus diesem Grunde sollten staatliche Stellen die digitale Verteidigung von Bürgern und Wirtschaft organisatorisch strikt von der Entwicklung von Cyberangriffswaffen trennen.

Die Bundesregierungen haben diesen Punkt schon recht früh durch die Gründung des Bundesamtes für Sicherheit in der Informationstechnik teilweise adressiert. Hier erscheint es sinnvoll, eine weitere organisatorische Stärkung, etwa durch die Konstitutierung einer eigenen Bundesbehörde, umzusetzen. Diese könnte sich etwa an den Reformvorschlägen der Bundesdatenschutzbeauftragten Andrea Voßhoff zur organisatorische Ausgestaltung und Stärkung der Unabhängigkeit des Bundesdatenschutzbeauftragten oder dem seit 2000 bestehenden Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein anlehnen.

Eine unabhängige Bundesbehörde für die Sicherheit in der Informationstechnik könnte, wie bereits seit Jahrzehnten der Datenschutz, eine deutsche Pionierleistung für eine freiheitlich-demokratische Gestaltung des Internets darstellen.

7 Datensparsamkeit als Querschnittsaufgabe

Beginnend mit dem Volkszählungsurteil des Bundesverfassungsgerichts hat sich in Deutschland ein weltweit beachtetes Datenschutzrecht in Gesetzgebung und Rechtsprechung entwickelt. Datensparsamkeit ist die verfassungsrechtlich und höchstrichterlich geforderte einzuhaltende Norm.

Die Tatsache, dass gespeicherte Daten in der real existierenden IT-Welt nicht gesichert werden können, macht Datensparsamkeit zur Querschnittsaufgabe. Grundannahme: Daten können nicht technisch geschützt werden.

Bedeutend für eine gesellschaftliche Einschätzung ist auch die Tatsache, dass neben den Diensten fremder Staaten auch Privatpersonen und Firmen in der Praxis recht einfach (in der Regel rechtswidrigen) Zugriff auf die heutigen Computersysteme erlangen können. Es haben sich hier Online-Marktplätze für ausnutzbare Sicherheitslücken (Zero-Days) gebildet, an denen sich in rechtlich problematischer Weise auch deutsche Dienste beteiligen. Die Preise sind schwankend, allerdings meist für höhere Einkommen und kleinere Firmen durchaus finanzierbar.

Heute müssen sich Datenschutzexperten daher auch in hochkonfliktäre Diskussionen einbringen. Das hier leider vorherrschende politische Diskussionsklima schreckt dabei verständlicherweise viele Wissenschaftler ab. Dennoch gebietet es die gesellschaftliche Verantwortung, darauf hinzuweisen, wenn technische Entwicklungen, wie eine allumfassende Überwachung oder die praktische Angreifbarkeit von Computersystemen, juristische Datenschutzzusicherungen praktisch unwirksam werden lassen.

In der Computersicherheitsforschung herrscht die Meinung vor, dass Daten auf vernetzten Computersystemen generell als hackbar anzusehen sind. Wenn das nicht vorgesehene Veröffentlichen von Daten zu nicht akzeptablen Problemen führt, dürfen Daten nicht gespeichert werden.

7.1 Daten von besonders gefährdeten Personengruppen

Bei einer Abwägung von Datenspeicherung sind neben der rechtlichen Sicherung von Daten gegen Zugriffe die Auswirkungen von einer rechtswidrigen Veröffentlichung auf die Betroffenen in besonderer Weise zu berücksichtigen. Beispielsweise wurde in der Diskussion über eine Änderung des Prostitutionsgesetzes eine Pflichtregistrierung von Sexarbeiterinnen und Sexarbeitern gefordert. Dieses Vorgehen wurde von Frauenrechtlerinnen, Sozialorganisationen und Datenschützern heftig kritisiert. Von den Berufsvertreterinnen wurde in diesem Zusammenhang neben der Sorge vor staatlicher Diskriminierung (z. B. Schweden) und gesellschaftlicher Ächtung durch religiösen oder politischen Fanatismus (z. B. Schwarzer Kampagne), auch auf eine erhöhte Gefahr für Leib und Leben durch Triebtäter hingewiesen.

Während die beiden ersten Punkte Teil einer verbittert geführten Diskussion sind, auf die hier nicht näher eingegangen werden soll, ist es unstrittig, dass angesichts der erhöhten Gefährdung der zugesicherte juristische Datenschutz in keiner Weise als ausreichend angesehen werden kann (vergleiche auch Stellungnahme Deutscher Juristinnenbund). Um es mit den Worten vom Sprecher des Chaos Computer Clubs, Frank Rieger, zu formulieren, ist es unangemessen, besonders gefährdeten Frauen den Schutz der Anonymität zu entziehen und hier entgegenzuhalten, „dass der Rechtsstaat sie schon schützen wird, wenn der besoffene Ex mit der Eisenstange vor der Tür“ steht. Datenregister, welche zu erheblichen Gefährdungen von ganzen Menschengruppen führen könnten, wie die historisch belasteten „Rosa Listen“ und Prostitutionsregister, sollten aus moralischen Gründen nicht eingerichtet werden.

7.2 Bewegungsdaten durch Smart-Phone-Nutzung

Neben den schon seit vielen Jahren vorgetragenen Argumenten gegen die Vorratsdatenspeicherung soll hier noch kurz auf einen technischen Aspekt hingewiesen werden. Wie unter anderem das mit dem Grimme-Online-Preis ausgezeichnete Blog netzpolitik.org aufzeigte, entstehen nach dem vorliegenden Entwurf zur Einführung der Vorratsdatenspeicherung durch die aktuell vorherrschende Form der Smartphone-Nutzung Bewegungsdaten einer völlig neuen Qualität.

Aufgezeichnet werden genaue Bewegungsprofile aller Smartphone-Nutzer, und dies sogar unabhängig davon, ob überhaupt telefoniert wird. Diese Daten sind ein Milliarden-Dollar-Ziel. Ein derartiger Datenschatz würde eine Komplettanalyse der wirtschaftlichen und gesellschaftlichen Abläufe innerhalb Deutschlands ermöglichen. Es steht zu befürchten, dass Cyberangreifer sich nicht in angemessener Weise um Richtervorbehalte oder den Schutz von Seelsorgern und Beratungsstellen kümmern würden. Eine paar einfache Datenbankabfragen liefern dann beispielsweise Politiker und Manager, die eine Alkoholberatungsstelle angerufen haben oder nach den Bewegungsdaten in einer Entzugsklinik behandelt wurden. Big Data als Alptraum. Nicht nur wegen der zeitlichen Koinzidenz muss sich die Politik fragen lassen, wie für umfassende Überwachungsdaten eine reale Sicherheit versprochen werden kann, wenn sich zeitgleich selbst das wichtigste Verfassungsorgan reichlich hilflos gegenüber Cyberangriffen zeigt.

8 Wissenschaftliche Empfehlungen

Aus der Sicht der theoriekundigen Praktiker und der praktisch orientierten Theoretiker ergeben sich überraschend einfache Empfehlungen mit zu vernachlässigenden Kosten: starke Kryptographie mit extra Sicherheitsspielraum. Dies bedeutet auf der Algorithmenebene beispielsweise:

Schlüssellänge größer gleich 4096 bit für RSA und DH,

die Verwendung von 256-bit-Schlüssellänge für AES,

512-bit-Hash-Funktionen.

Ohne volle Schlüsselkontrolle für die Anwender und ohne lesbaren Code und offene Hardware helfen die besten kryptographischen Verfahren natürlich nicht gegen Geheimdiensthintertüren.

Open-Source-Sicherheit und Datensparsamkeit als Staatsaufgabe wahrnehmen

Open-Source-Software biete die Möglichkeit zum Auffinden von Hintertüren und Programmierfehlern. Eine Grundsicherheit für systemrelevante Open-Source-Programme sollte als Staatsaufgabe wahrgenommen werden. Daten, welche zur erheblichen Gefährdung von ganzen Menschengruppen führen könnten, sollten aus moralischen Gründen gar nicht erst erhoben werden.

Kryptographie und Offene Software sind mächtige Werkzeuge zur Sicherung der Digitalen Souveränität. Die Aufgabe, die digitale Gesellschaft menschenwürdig zu gestalten, bleibt allerdings auch Aufgabe unseres freiheitlich-demokratisch verfassten Gemeinwesens. Meinungsfreiheit, Datenschutz und Subsidiarität sind unsere gewachsenen Grundwerte, welche bescheiden und selbstbewusst in der weltweiten Diskussion eingebracht werden sollten.

Rüdiger Weis ist Diplom-Mathematiker und Kryptograph. Er lebt und arbeitet in Berlin-Wedding und ist Professor für Informatik an der Beuth-Hochschule für Technik Berlin.

von Gastbeitrag 31. August 2015 8
: Informationsfreiheits-Ablehnung des Tages: Verhandlungen rund ums No-Spy-Abkommen sollen im Dunkeln bleiben

Regierungssprecher Steffen Seibert betonte im Wahlkampf 2013, dass eine mündliche Zusage über ein No-Spy-Abkommen mit den USA vorliegen würde. <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a>, via flickr/<a href="https://www.flickr.com/photos/re-publica/7165224604/">Gregor Fischer</a>

: Informationsfreiheits-Ablehnung des Tages: Verhandlungen rund ums No-Spy-Abkommen sollen im Dunkeln bleiben

Gerne betont die Bundesregierung, wie sehr ihr die „vertrauensvolle Zusammenarbeit“ mit ihren US-amerikanischen Partnern am Herzen liege. Da spielt es offenbar keine Rolle, dass die NSA mit eifriger Unterstützung des BND in Europa Wirtschaftsspionage betreibt und sich die US-Regierung nicht auf den Abschluss eines „No-Spy-Abkommens“ festpinnen lassen möchte. Genau das hat jedoch die Bundesregierung mitten im Wahlkampf 2013 in Aussicht gestellt, um ihre Durchsetzungsfähigkeit dem US-Partner gegenüber zu demonstrieren – obwohl ein solches Abkommen niemals ernsthaft zur Debatte stand, was auch die Bundesregierung wusste.

Anfang Juni 2015 berichtete der Rechercheverbund von NDR, WDR und Süddeutscher Zeitung über „Nur für den Dienstgebrauch“ eingestufte Dokumente, die belegen, dass die Bundesregierung spätestens im Januar 2014 wusste, kein No-Spy-Abkommen mit den USA abschließen zu können. In der Öffentlichkeit wurde das aber wider besseres Wissen anders dargestellt.

Obwohl uns die Dokumente mittlerweile vorliegen und wir sie auch veröffentlicht haben, stellten wir ganz offiziell eine Anfrage nach dem Informationsfreiheitsgesetz. Wie erwartet wurde unser Antrag aber abgelehnt, weil „derartige Informationen […] als Verschlusssache gem. § 2 Abs. 1 Verschlusssachenanweisung (VSA) i. V. m. § 4 Abs. 1 Sicherheitsüberprüfungsgesetz (SÜG) eingestuft [wären]. Ihr Bekanntwerden wäre zumindest geeignet, den Interessen der Bundesrepublik Deutschland zu schaden.“ Wie so oft wird die „vertrauensvolle Zusammenarbeit“ als Begründung herangezogen, die man nicht gefährden wolle.

Dass die Ablehnung nur so vor Konjunktiven strotzt, ist kein Zufall: Das Bundeskanzleramt möchte die Existenz der veröffentlichten Dokumente nicht einmal bestätigen, vom genauen Wortlaut des Inhalts ganz zu schweigen:

Würde das Bundeskanzleramt die Existenz der veröffentlichten Dokumente bestätigen sowie ihren genauen Wortlaut und ggf. den Kontext, in dem diese Dokumente entstanden sind, so würde dies die angeführten Schutzaspekte gefährden und einer Authentifizierung der in den Medienberichten enthaltenen Informationen gleichkommen. Aus diesem Grund kann das Bundeskanzleramt weder bestätigen noch dementieren, dass die im Antrag genannten Dokumente hier vorliegen und sie auch nicht zur Verfügung stellen.

Wir freuen uns also auf eine fortgeführte „vertrauensvolle Zusammenarbeit“. Die weist zwar ein gewisses Ungleichgewicht auf, im gemeinsamen Kampf gegen ~~Wirtschaftsvorteile~~ den Terror muss man das aber wohl in Kauf nehmen.

von Tomas Rudl 27. August 2015 3
: Citizenlab-Bericht: Angriffe auf Two-Factor-Authentifikation bei Google-Konten beobachtet

Eine der versandten Phishing-Mails - via <a href="https://citizenlab.org/2015/08/iran_two_factor_phishing/">citizenlab.org</a>

: Citizenlab-Bericht: Angriffe auf Two-Factor-Authentifikation bei Google-Konten beobachtet

Two-Factor-Authentification (2FA) soll die Sicherheit bei der Identifikation eines Nutzers, etwa beim Einloggen in einen Webservice, erhöhen. Das kann beispielsweise durch die Kombination eines Passworts und eines per SMS an ein vorher registriertes Gerät gesandten Codes geschehen. Doch auch dagegen gibt es Angriffe, Citizenlab veröffentlicht in einem neuen Report gleich mehrere beobachtete Versuche gegen Ziele im Iran sowie Jillian C. York, die sich bei der Electronic Frontier Foundation für Meinungsfreiheit im Internet einsetzt.

Da der Angreifer beim Angriff auf ein 2FA-System an gleich zwei Geheimnisse gelangen muss, ist der Aufwand höher als für etwa einen klassischen Passwort-Phishing-Angriff, bei dem der Nutzer auf eine gefälschte Seite geleitet wird, um dort sein Passwort einzugeben. Die von Citizenlab beobachteten Versuche ähnelten diesen zunächst, gingen aber über sie hinaus.

In einem Fall wurde dem Nutzer durch eine SMS-Benachrichtigung vorgespielt, es habe einen verdächtigen Login-Versuch aus dem Iran zu dem persönlichen Gmail-Konto gegeben. Auf dem Fuße folgte eine personalisierte Mail, die ebenso eine Original-Benachrichtigung von Google imitierte und den Nutzer zum Rücksetzen seines Passworts aufforderte. Auf der nächsten Seite wurde dann der 2. Faktor, ein zugesandter SMS-Code, abgefragt. Tatsächlich aber wurde keine Passwort-Rücksetzung ausgelöst, sondern der Angreifer konnte das eingegebene „aktuelle Passwort“ nutzen, um einen Login-Versuch auf Google zu starten. Das erst löste die Zusendung des SMS-Codes aus, den der getäuschte Nutzer über die Phishing-Seite dem Angreifer zur Verfügung stellen sollte, um das Login zu vervollständigen. Der Phishing-Versuch schlug fehl, als der Angegriffene skeptisch wurde.

Anders als beim klassischen Phishing liegt hier eine zeitkritische Komponente vor, da der Angreifer gleichzeitig mit dem Nutzer den Login-Versuch unternehmen muss, damit es a) keine Auffälligkeiten gibt und b) der zeitlich begrenzt valide SMS-Code nicht ungültig wird.

Ein weiterer Versuch startete nicht mit einer SMS-Benachrichtigung, sondern mit einem Anruf, der eine Zusammenarbeit anbot und dann ankündigte, eine Mail zu senden. Diese enthielt einen Link zu einer Datei auf Google Drive. Um diese aufzurufen, hätte sich der Angegriffene bei Google anmelden müssen – wieder unter Angabe von Passwort und SMS-Code. Ähnlich verlief auch der Angriff auf Jillian C. York. Ihr gegenüber gab sich der Angreifer als Journalist aus. Als sie sich weigerte, das in einer sich an das Telefonat anschließenden Mail verlinkte Dokument zu öffnen, und ihn bat, die Informationen im Text der Mail zu senden, begann er, sie mit zahlreichen Anrufen zu bedrängen und sandte die Mail erneut – von einem anderen Mailaccount, woraufhin York skeptisch wurde. Über dreißig Mal habe er sie am betreffenden Tag angerufen und aufgefordert, den Link in der E‑Mail zu öffnen.

Die Angriffe waren in den drei Fällen dadurch zu enttarnen, dass falsche, aber auf den ersten Blick plausible oder ähnliche Domains wie bei den Originalseiten vorgespielt wurden, etwa „no-reply@support.qooqlemail.com“, oder Weiterleitungen genutzt wurden, die einer Domain oberflächlich den Anschein gaben, direkt von Google zu stammen.

Hinter den verschiedenen Angriffen werden von Citizenlab die gleichen Urheber vermutet. Manche Eigenschaften, wie registrierte Domains, decken sich, so sind mehrere der Phishing-Domains mit derselben Mail-Adresse verknüpft. Citizenlab bringt die Angriffe in Zusammenhang mit früheren Berichten, in denen ähnliche Angriffe auch von der iranischen Regierung ausgingen.

Das Signal des Berichtes soll jedoch nicht sein, dass 2FA unsicher ist und nicht genutzt werden sollte. Vielmehr legt er uns nahe, auch dann genau hinzuschauen, wenn schon zusätzliche Sicherheitsmechanismen eingesetzt werden, skeptisch zu bleiben und genau zu schauen, ob eine Domain und zugehörige Zertifikate wirklich plausibel sind.

von Anna Biselli 27. August 2015 1
XKeyscore: Zeit Online veröffentlicht Vertrag, mit dem Verfassungsschutz und BND Spionagesoftware der NSA kaufen
Screenshot einer NSA-Präsentation zu XKeyscore.
XKeyscore: Zeit Online veröffentlicht Vertrag, mit dem Verfassungsschutz und BND Spionagesoftware der NSA kaufen

Kai Biermann und Yassin Musharbash berichten auf Zeit Online über das Bundesamt für Verfassungsschutz: Der Datendeal mit der NSA.

Interne Dokumente belegen: Der Verfassungsschutz bekam von der NSA die begehrte Spionagesoftware XKeyscore – und versprach als Gegenleistung dafür Daten aus Deutschland.

Gleichzeitig erscheint eine englische Übersetzung des Artikels: A Dubious Deal with the NSA.

Über die Spionagesoftware XKeyscore haben wir wiederholt berichtet, vor wenigen Wochen veröffentlichte The Intercept eine umfassende Analyse des Tools:

XKEYSCORE: NSA’s Google for the World’s Private Communications

A Look at the Inner Workings of NSA’s XKEYSCORE

Dazu packt Zeit Online erstmalig auch das Originaldokument: Die Übereinkunft zwischen Verfassungsschutz und NSA im Wortlaut

Das folgende Dokument ist die wörtliche Abschrift einer Übereinkunft, die zwischen National Security Agency, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz geschlossen wurde. Die drei Dienste haben sie im April 2013 unterzeichnet und darin geregelt, unter welchen Bedingungen der Verfassungsschutz die Software XKeyscore von der NSA bekommt.

Das freut uns!

Auch an anderer Stelle nimmt Zeit Online bezug auf unsere Berichterstattung:

Wie wichtig XKeyscore für das BfV mittlerweile ist, lässt sich noch an einer anderen Stelle ablesen: Vor Kurzem veröffentlichte die Webseite Netzpolitik.org vertrauliche Haushaltsunterlagen aus dem Jahr 2013, aus denen hervorgeht, dass im BfV 75 neue Stellen geschaffen werden sollen, um die „Massendatenauswertung von Internetinhalten“ zu bewältigen. 75 Stellen, das ist für jede Behörde eine Menge Holz. Ein neues Referat namens 3C soll Bewegungsprofile und Beziehungsnetzwerke aufdecken und Rohdaten verarbeiten, die bei G‑10-Überwachungen anfallen. Der Name XKeyscore taucht in den von Netzpolitik.org publizierten Unterlagen nicht auf. Doch die Vermutung liegt nahe, dass diese Einheit mit dem Ziel geschaffen wurde, die neue Überwachungssoftware einzusetzen.

Ein Detail, das uns dazu noch einfällt, ist diese Notiz der NSA über einen Besuch von BND und BfV in den USA:

The Germans have previously approached NSA about using information derived from SIGINT in open court.

„Die Deutschen“ wollten also per Schleppnetz-Rasterfahndung abgehörte Kommunikation von Geheimdiensten auch in Gerichtsverfahren verwenden. Das nennt sich „Parallel construction“ – und dürfte illegal sein.

Wir sind gespannt auf die politischen Reaktionen auf diese Enthüllungen.

von Andre Meister 26. August 2015 25
: IFG-Antwort zu Sicherheitsmerkblatt für Mobilgeräte: Wegwerf-Handys und Sprechdisziplin

<a href="https://creativecommons.org/licenses/by-sa/2.0/">CC BY-SA 2.0</a> via flickr/<a href="https://www.flickr.com/photos/rhodes/6297487639/in/photolist-aAugF6-e9SEoz-8b3fXi-5q257i-75dUzV-4VUiWi-eFCWiW-KzfYi-3Tp2M5-e9SqJn-9H4oz-3KwbWM-cgqLY7-77oMLj-3Tp29f-kVmNVg-e9Y5pm-e9XR1m-e9Y3zN-e9XTTu-e9XVe9-e9Y44N-e9Ymn9-e9SoR6-e9Y5Lo-e9SkQX-e9Sfw4-e9XJ7S-e9SpYk-BspG3-x1ou-r75Ak-E68bG-Uh5rH-8Pwnb-5qp6gG-9z1Cr-GaumJ-7H4iq2-7YDtK-gR6V-tAEon-dabrBH-mvMxH-7i32ZJ-4JYwtv-5AU5s8-d8uDz-4tdrWZ-87itVo">rhodes</a>

: IFG-Antwort zu Sicherheitsmerkblatt für Mobilgeräte: Wegwerf-Handys und Sprechdisziplin

In den letzten zwei Jahren voller zahlreicher Spionage-Enthüllungen sind Politiker in ihrem Umgang mit Kommunikationsmittel sensibler geworden. Doch warum brauchte es erst Skandale, wenn Handlungsanweisungen und Empfehlungen schon seit vielen Jahren vorliegen? Durch eine Informationsfreiheitsanfrage ist nun ein „Merkblatt für den Umgang mit mobiler Informationstechnik, vorrangig in Ländern mit besonderem Sicherheitsrisiko“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) öffentlich geworden.

Das Dokument mit dem Stand Mai 2013 macht auf die Risiken der Mitnahme und Nutzung mobiler Kommunikationsgeräte im Ausland aufmerksam: Kontrollierbarkeit durch die dortigen Telekommunikationsanbieter und damit auch Nachrichtendienste, Manipulationen, das Unterbinden von „kryptierter Kommunikation“ und Abhörmaßnahmen zählen dazu.

Die daraus folgenden Verhaltensempfehlungen sind intuitiv: Nur das Nötigste mitnehmen und kommunizieren, Daten verschlüsseln, „Sprechdisziplin im Alltag“ üben, Geräte nicht abgeben oder aus den Augen lassen, sensible Daten zu Hause lassen und für den Aufenthalt der Reise ein Wegwerfhandy benutzen, das anschließend „entsorgt oder für unkritische Anwendungen“ genutzt werden kann.

Nach der Reise sollte alles „von Grund auf neu installiert“, SIM-Karten nicht mehr benutzt und mitgenommene Geräte für sicherheitskritische Zwecke nicht mehr eingesetzt werden.

Immerhin scheinen einige Politiker das Merkblatt mittlerweile ernster zu nehmen und nutzen auf Reisen tatsächlich nicht mehr ihre persönlichen Mobiltelefone zur Kommunikation. Doch Sicherheit gibt es nur, wenn alle Enden der Kommunikation sich gleichermaßen um Mindestvorkehrungen kümmern. Dass Außenminister Frank-Walter Steinmeier und Wirtschaftsminister Sigmar Gabriel mit eigenen Mobiltelefonen nach Kuba und China reisen zeigt, dass diesbezüglich noch einiges an Aufklärungsarbeit zu leisten ist.

Was uns noch als Ergänzung der Liste einfallen würde, die nicht nur für Politiker relevant ist: Anonyme SIM-Karten nutzen. Dafür müsste aber zunächst einmal der Identifizierungszwang für SIM-Karten gekippt werden. Denn das Recht auf anonyme, vertrauliche Kommunikation sollte es für alle gleichermaßen geben – für Mitglieder der Bundesregierung und Restbevölkerung gleichermaßen.

von Anna Biselli 26. August 2015 9