Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Die Zeugen diesmal sind Klaus Landefeld, Beirat DE-CIX Management GmbH, und Hans de With, ehemaliger Vorsitzender der G‑10-Kommission. Wir sitzen wie immer drin und bloggen live.

Zusammenfassung

Klaus Landefeld, DE-CIX

Die Zusammenfassung von Klaus Landefeld haben wir in ein eigenes Posting ausgelagert: Klaus Landefeld im Geheimdienst-Untersuchungsausschuss: Wie der BND seit 2009 den Internet-Knoten DE-CIX anzapft

Seit 2009 zapft der BND Internet-Verkehr beim Internet-Knoten DE-CIX in Frankfurt am Main an, als Nachfolge der Operation Eikonal bei der Deutschen Telekom. Das berichtete der Betreiber des DE-CIX im Geheimdienst-Untersuchungsausschuss des Bundestages. Das Bundeskanzleramt hat mehrmals interveniert und sowohl die G‑10-Kommission als auch die Bundesnetzagentur davon abgehalten, die Abhöraktion zu untersuchen.

Hans de With, G‑10-Kommission

Hans de With war Mitte 1999 bis Januar 2014 Vorsitzender der G‑10-Kommission, die Überwachungsmaßnahmen nach Artikel-10-Gesetz prüft und genehmigt. Über konkrete Diskussionen in der G‑10-Kommission darf er öffentlich nichts sagen.

Der BND darf den „offenen Himmel“, also Kommunikations-Verkehre von Ausland zu Ausland ohne Antrag und Genehmigung überwachen. „Hier gibt es keine unabhängige Instanz, die das prüfen würde.“ Es wurde angedeutet, dass diese Maßnahmen „größer als alle anderen Maßnahmen zusammen“.

Bei Internet-Verkehr braucht der BND aber auch für Ausland-Ausland-Leitungen eine G‑10-Anordnung, weil immer deutsche Verkehre drin sind: „Wenn dabei Deutsche betroffen sind, bedarf es einer Genehmigung. Egal, was dran hängt.“

With ist der Ansicht, dass Artikel 10 Grundgesetz (Brief‑, Post- und Fernmeldegeheimnis) für alle Menschen gilt, nicht nur für Deutsche, wie der BND behauptet.

Das „G‑10-Gesetz sollte nochmal neu formuliert werden, weil es für Juristen sehr schwer verständlich ist“. „Nach den Gegebenheiten ist die derzeitige rechtliche Lage nicht mehr lange vertretbar.“

„§ 1 und § 2 BND-Gesetz sagen nicht, dass Artikel 10 Grundgesetz eingeschränkt wird, was Artikel 19 Grundgesetz verlangt. Rein rechtlich geht das nicht.“

With stört, dass die G‑10-Kommission „absolut geheim“ handelt: „Es wäre besser, wenn der Vorsitzende der G‑10-Kommission das dem G‑10-Gremium vorträgt, damit es eine politische Debatte gibt.“ Bisher ist es „für Mitglieder der G‑10-Kommission noch nicht mal möglich, mit Fraktionsvorsitzenden zu reden“. Das ist „kein richtiges und ordentliches Verfahren.“

With schließt sich den Forderungen von Bertold Huber an.

Die gesetzlich vorgeschriebene Benachrichtigung der von den Überwachungsmaßnahmen Betroffenen wird unterlaufen und muss reformiert werden.

Von der Operation Eikonal hat With erst aus der Süddeutschen Zeitung erfahren. Er ist der Ansicht, dass die G‑10-Kommission darüber unterrichtet werden musste.

With kritisierte das juristische Konstrukt, dass der BND für Eikonal eine G‑10-Anordnung beantragt hat, es aber auf die Nicht-G-10-Verkehre abgesehen hat. „Das ist keine rechtmäßige G‑10-Maßnahme nach derzeit geltendem Recht.“ Und: „Wenn es eine Verquickung von G‑10 und Nicht-G-10 gibt, und das nicht trennbar ist, hätte das unter allen Umständen mitgeteilt werden müssen.“

„Wenn sie eine G‑10-Anordnung vorschieben, obwohl sie das gar nicht wollen, wäre das in höchstem Maße unredlich.“ „Nach G‑10 muss auch Verhältnismäßigkeit geprüft werden. Das ist unverhältnismäßig. Das geht so nicht.“

„Ich kann nur meine Meinung nach Lektüre des Artikels sagen. Wenn das so wäre, hätten wir das nicht gewusst. Dann wäre ich düpiert.“

Die G‑10-Kommission hat sich nie mit Filter-Systemen zum Herausfiltern von deutschen Verkehren beschäftigt. „Die Frage hat sich nicht gestellt. War nie bekannt, dass das irgendwo angewendet werden würde. Das was Süddeutsche sagt, war bisher nicht Gegenstand der Verhandlungen.“ „Ich kann mich nicht erinnern, dass Filter eine Rolle gespielt haben für unsere G‑10-Entscheidungen.“

Die G‑10-Kommission überprüfte die Einhaltung der 20-Prozent-Regel nicht, sondern vertraute dem BND, der im Antrag nur zusagte, diese einzuhalten: „Wenn es einen Antrag gab, sind wir davon ausgegangen, dass das seine Richtigkeit hat.“ „Es wird erwähnt, dass die 20 % eingehalten werden. – Das steht drin und sie glauben das? – Es gab keine Anhaltspunkte, das zu bezweifeln.“

Die SPD wird Vorschläge zu neuen rechtlichen Regelungen machen.

SELMA ist das Vorgängerprodukt vom Datenfiltersystem DAFIS.

Gliederung

• Zusammenfassung
  1. Klaus Landefeld, DE-CIX
  2. Hans de With, G‑10-Kommission
• Gliederung
• Vorbemerkungen
• Einleitung: Vorsitzender
• Zeuge 1: Klaus Landefeld, Beirat DE-CIX Management GmbH
  1. Fragerunde 1: Vorsitzender, Linke, SPD, Grüne, Union
  2. Fragerunde 2: Linke, Union, Grüne, SPD
  3. Fragerunde 3: Linke, Union, Grüne, SPD
  4. Fragerunde 4: Grüne
  5. Fragerunde 5: Union, Grüne
• Formalitäten: Vorsitzender
• Zeuge 2: Hans de With, ehemaliger Vorsitzender der G‑10-Kommission
  1. Fragerunde 1: Union, Linke, SPD, Grüne
  2. Fragerunde 2: Union, Linke, Grüne
  3. Fragerunde 3: Linke, SPD, Grüne
• Formalitäten: stellvertretende Vorsitzende

Vorbemerkungen

Disclaimer: Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Dargestellte: Abgeordnete und Zeugen, gerne korrigieren und vervollständigen wir ihre Aussagen. Kontaktieren sie uns!

Wer uns unterstützen möchte, darf gerne spenden.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Einleitung: Vorsitzender (11:30)

$Begrüßung

$Formalitäten

Landefeld: Nachfrage zu eingestuften Sachen: Was darf ich öffentlich sagen?

Sensburg: „Nur für den Dienstgebrauch“ geht auch öffentlich, Rest nur eingestuft.

Zeuge 1: Klaus Landefeld, Beirat DE-CIX Management GmbH

Rechtsbeistand ist Henning Lesch.

Mein Name ist Klaus Landefeld, bin 46 Jahre alt, Beruf Unternehmer und Geschäftsführer.

Eingangsstatement [vom Pad]: Ich komme aus der Wirtschaft. Seit 1990 kommerzielle Internet-Dienste angeboten. Mit großem Netzbetreiber, selbst gegründet, internationale Backbones, Tier‑1-Betreiber, in 17 Ländern tätig. Aufbau mehrerer Internet-Knoten: London, DE-CIX in Frankfurt. Betrieben von eco – Verband der deutschen Internetwirtschaft e.V., bin dort Vorstand.

Anbieten von Internet-Diensten seit 1990: Frage Internet-Überwachung seitdem mitgemacht. Erste Durchsuchung 1993, damals Lastwagen voller Papier, weil Internet ausgedruckt. 2000 erste Diskussionen mit Geheimdiensten und Strafverfolgungsbehörden. Damals noch unser Freund. Manche Anbieter haben 1999 und 2000 Mitarbeiter aus Bad Aibling eingestellt, die von NSA abgestellt wurden. Spannende Zeiten. Nach 9–11 richtig angezogen.

War mit Internet Service Provider World Online in 17 Ländern aktiv. Damals in allen Ländern diese Diskussionen geführt. In Deutschland sehr verhalten. Erste Diskussionen sehr viel später, 2004/2005. DE-CIX: noch sehr viel später. Erste Kontaktaufnahme erst 2008.

Prozedural schwierig. Hatten Schwierigkeiten, uns vorzustellen, dass sowas überhaupt passiert. Austausch-Knoten sind Zusammenschaltungen von TK-Providern. keine Endkunden. Keine normale Telekommunikationsüberwachung (TKÜ) von Strafverfolgung. Alle Anbieter unterliegen selbst Verpflichtungen zur Ausleitung und Zusammenarbeit. Waren überrascht, als wir kontaktiert wurden.

Abwicklung: Haben uns ernsthaft Gedanken gemacht, wie so etwas abläuft. Konnten das als Anbieter nicht gut diskutieren. Wenn es erstmal eingeführt ist, haben wir keine Aufsicht und Ansprechperson. Auch nicht G‑10-Kommission oder Parlamentarisches Kontrollgremium (PKGr). Ist das der richtige Weg? Bis heute nicht aufgelöst. Sie haben Unterlagen.

Druck aufgebaut: Wir wollen das nicht umsetzen. Sofort Einladung ins Kanzleramt. Sehr ungewöhnliche Vorgehensweise. Hatten damals Rechtslage noch geprüft. Ende 2008/2009. Situation seitdem nicht besser geworden.

Bemerkenswert: Bestürzung nach Snowden. Einladung ins Wirtschaftsministerium (Philipp Rösler und Sabine Leutheusser-Schnarrenberger), die sich erstmal informiert haben. Ganze Problematik war gar nicht bekannt in den Ministerien. Überhaupt keine Kenntnis, was in Deutschland passiert und übliche Praxis ist. Hat uns sehr verwundert. Anhörung bei Bundesnetzagentur. Vertreter der Unternehmen als erstes gesagt bekommen, Fragen nach G‑10-Überwachung brauchen sie nicht beantworten. Aufsichtsbehörde sollte Recht haben, diese Frage zu stellen. Das ist 2013, nach Snowden. Genau: 9. August, Treffen bei Bundesnetzagentur. Kurz zuvor schon Diskussionen im Hause der Bundesnetzagentur, Juli 2013. Strafverfolgungsbehörden waren auch da und wollten den Zugriff auch. Interessante Erfahrungen. Praxis ist nicht bekannt. Kein abgestimmtes Verfahren.

Eins der größten Probleme: keine klaren Standards für technische Umsetzung von G‑10-Maßnahmen. Bei TKÜ gibt es Telekommunikations-Überwachungsverordnung (TKÜV), klare Anordnungen bis in das letzte Bit: Standards, Interfaces. Bei G‑10 gibt es das alles nicht. Relativ altes G‑10-Gesetz, irgendwann angepasst, Prozent-Zahlen erhöht. Prozent-Zahlen wegen Paket-orientiertem Verkehr angepasst, von 10 auf 20 Prozent. Heute sagt man: beziehen wir auf Leitungskapazität. Leitungen werden aber maximal 30–40 % ausgelastet, sonst Qualitätsverlust. 20 % sind eigentlich 50–60 % der Verkehre. Automatismus. War nicht im Sinne des Gesetzes. Muss man sich anschauen.

$Danke.

Frage 1: Vorsitzender

Sensburg: Ausbildung?

Landefeld: Datentechnik studiert. Seit Alter von 16 als Unternehmer in diesem Bereich tätig. Seit Alter von 12 in Datennetzen unterwegs. Internet seit 1988 begleitet, seit 1990 kommerzielle Dienste. Technischer Hintergrund, war immer dran. Auch als Geschäftsführer.

Sensburg: Beruflicher Werdegang auch im Internet. Präzisieren? Ist ja vielfältig. Verband, mehrere Unternehmen…

Landefeld: Sowohl als auch. Unternehmer. Einen der ersten Internet Service Provider in Deutschland gegründet: Nacamar Data Communications GmbH, seit 1993 aktiv, 1995 zur GmbH. 1998 größerer europäischer Netzbetreiber, dann Tier‑1. 1997 Verkauft an World Online. CTO von World Online, Integration betrieben. In 17 Ländern TK-Lizenzen beworben, auch Telefonie. Auch Überwachung. Unternehmen 2002 verlassen. Dann Breitbandausbau in Deutschland. Verband seit 1997, Vorstand im eco, zuständig für DE-CIX, ist Teil der Vorstandsfunktion. Seitdem auch Beirat der DE-CIX Management GmbH. Dann auch DE-CIX in Dubai: UAE-IX und DE-CIX New York.

Sensburg: Technik seit Kinderschuhen. Auch europäisches TK-Recht?

Landefeld: Ergibt sich. Brauchen Lizenzen. Will das verstehen, überlasse das nicht Anwälten. Zwangsläufig einarbeiten. Seit 1997, tief genug drin. Viele Gesetze auch erst in dieser Zeit entwickelt. Seit Anfang an damit vertraut und mitverfolgt.

Sensburg: Sehr schön. Technik und Jura. Wollen auch Schlussfolgerungen. DE-CIX. Welt: „Flughafendrehkreuz“. Wie funktioniert ein Internet-Knoten?

Landefeld: Austauschknoten. Jeder Internet-Anbieter hat eigene Endkunden. Die kommunizieren untereinander und mit Inhalteanbietern. Entstehen Verkehre, die ausgetauscht werden müssen. Zusammenschalten. Einzelne Leitungen, aber in Deutschland. 20 große und 250 mittelgroße Anbieter. Direktverbindung zu allen wäre sehr aufwändig. Also ein zentraler Punkt, wo sich alle anschließen. Vermittlugnsfunktion auch falsch. Anbieter, der sendet, entscheidet, wohin die gehen sollen. Einzelne Anbieter entscheiden, zu welchen anderen sie Daten schicken. Eine Leitung bei uns: sie erreichen alle anderen. DE-CIX größter der Welt. 650 andere Anbieter erreichen, wenn Anschluss. Vielzahl anderer Anbieter. Betreiben große Switch-Infrastruktur, Layer 2, Ethernet. Verteilt quer über Frankfurt. Kleiner Knoten: eine große Maschine, jeder eine Leitung hin, ähnlich wie Office-Netz unterhalten. Hier so ähnlich. Aber bei uns wesentlich größerer Switch. So groß, dass es sich über ganze City-Region zieht. Sind in 18 Datacenters. Unterhalten eigenes Netz zwischen diesen Standorten. Arbeiter müssen sich nicht für eins davon entscheiden, sondern können irgendwo hingehen. An DE-CIX alle anderen erreichen. Jeder entscheidet selbst, wie viel Verkehr. Ports von 1/10/100 GBit/s. Keine Verkehrs-Kosten. Nur Anschluss schalten. Wer Daten austauscht, entscheiden Anbieter selbst. Schengen-Netz: Nicht jeder mit jedem. Wir treffen keine Routing-Entscheidungen. Anbieter bauen eigene Tabellen. Als Knoten handhaben wir gar kein Internet Protocol (IP), nur Ethernet. Reicht das?

Sensburg: Sehr interessant. Größter Knoten mit 650 Nutzern. Datenmengen? Geschwindigkeit 3 Terabyte/s.

Landefeld: 3 Terabit.

Sensburg: Datenmenge?

Landefeld: Hochrechnen. Verkaufte Kapazität, was theoretisch geht, ist 12 TBit, Technik beherrscht 40 TBit. Heute zwischen 3 und 3,5 TBit genutzt. Siehe 30–40 % Auslastung vorhin.

Sensburg: […]

Landefeld: 3 TBit läuft tatsächlich durch. Datenrate zu Menge ist ja nur mit Zeit berechenbar.

Sensburg: 3 TBit ist nicht theoretisch, sondern tatsächlich?

Landefeld: Tatsächlich.

Sensburg: Immer noch viel.

Landefeld: Statistiken auch online auf unserer Webseite. Spitzenlast abends.

Sensburg: Privates Surfen?

Landefeld: Masse ist private Internet-Nutzung. Geschäft nur Teil davon. Unternehmen weniger als Endnutzer.

Sensburg: Pro Sekunde, mal 60, pro Tag: gigantisch viel.

Landefeld: Ja.

Sensburg: Draufgucken. Passiert unheimlich viel. Sie und Summa: Internet-Knoten schließt Zugriff ausländischer Dienste aus: „Der Betreiber des zentralen Internet-Austauschknotens in Deutschland hat den Zugriff ausländischer Geheimdienste auf den Datenverkehr ausgeschlossen.“ Richtig?

Landefeld: Geht um AND. Angeordnet ist was anderes. Wir führen alle möglichen Maßnahmen durch, um das zu verhindern. Hat uns auch noch kein AND angesprochen. Würden wir auch ablehnen. Tun alles, um die Integrität sicherzustellen. Können wir besonders gut für eigenes Teilnetz zwischen Switches. Von Switch zu Kunde komplizierter.

Sensburg: Unterschied zwischen Switch und Port?

Landefeld: Switch ist sehr großes Gerät, hat einige hundert Ports. Haben mehrere Switches, in Edge- und Core-Switches unterteilt. Core bei uns, Edge zu Kunden in Rechenzentren. Für uns Überprüfbarkeit von Kunde zu uns nur eingeschränkt gegeben. Kann in Frankfurt sein, aber auch am anderen Ende der Welt.

Sensburg: Leitungen nicht Telekom, die jemand mietet, sondern selbst verlegt?

Landefeld: In der Regel gemietet. Eigenes geht auch, ist aber nicht die Regel.

Sensburg: AOL?

Landefeld: Manche haben eigene Infrastruktur. Colt, Level 3, Telekom, HEAG Südhessische Energie AG (HSE). Und die Stadt Frankfurt als Fasereigentümerin, welche an mehrere Carrier vermietet.

Sensburg: Zuständig für Sicherheit?

Landefeld: Nur Betreiber der Leitungen. Wir mieten Dark Fiber, beleuchten die selbst. Messen alle fünf Minuten Dämpfungswerte auf Faser und Änderungen. Würden wir sehen. Indiz für Anzapfen.

Sensburg: Das nur bei DE-CIX-Kreis. Raus nicht?

Landefeld: Richtig, können da Enden nicht sehen. Layer-2-Exchange. Aber nicht jeder Anbieter sieht jeden verkehr, sondern nur den für sich. Kein Shared Medium. Wir liefern an Edge-Switch nur das ab, das auch für den Kunden ist.

Sensburg: Haben nur sie in Übersicht und Kunde?

Landefeld: Ja, nur der Kunde, der dort angeschlossen ist.

Sensburg: Und sie?

Landefeld: Klar, als Betreiber könnten wir auf alles zugreifen.

Sensburg: Verteilung über Ports. Router, Splitter handelsüblich. Port spiegeln mit Gerät?

Landefeld: Dafür müsste man Management-Zugriff auf die Geräte haben. Wir sind IT-Grundschutz-zertifiziert. Management-Prozeduren nur mit Vier-Augen-Prinzip. Wenn sie spiegeln, müssen sie das ja auch irgendwo hin leiten.

Sensburg: Bräuchte noch einen Port?

Landefeld: Exakt. Das geht bei uns nicht. Neuen Port nur mit Einkauf und Freischalten. Überwachen wir, sind ja Techniker vor Ort.

Sensburg: Leitung mieten, Ports haben, dann innendrin Weiterleitung an gemietetem Port als Scheinangelegenheit rausleiten?

Landefeld: Genau.

Sensburg: Kompliziert?

Landefeld: Frage, ob Betreiber kooperieren muss.

Sensburg: Also technisch geht?

Landefeld: Ja. Ausleitung muss aber größer sein als zu überwachender Port, weil beide Richtungen. 10 GBit/s Port mit 20 GBit überwachen. Jeder größere Switch unterstützt eine solche Funktion und hat Lawful Interception-Funktionalität, z.B: wegen CALEA.

Sensburg: Wird Signal schwächer? Kunde A kriegt Daten an 10 GBit/s und wird gespiegelt, Licht?

Landefeld: Wenn an Switch, passiert dort nichts. Gleiches Lichtlevel am Port wie regulär, weil das im Silikon in der Backplane passiert.

Sensburg: Digital anders als Licht?

Landefeld: Genau. Wenn sie Logik selbst spiegeln, Licht, mit Biegekoppler, dann Dämpfungsverlust. Das können wir feststellen. Permanent nachmessen.

Sensburg: Wenn das digital passiert, kann das DE-CIX per Software steuern? Von Zentrale programmieren?

Landefeld: Technisch kein Problem. Wenn Leitung da liegt, können sie das einschalten. Gibt auch sinnvolle Anwendungen dafür. Technisch kein Problem.

Sensburg: An Lichtleitungen zu gehen ist im Vergleich dazu viel aufwändiger? Kopie vom Betreiber ist doch am charmantesten?

Landefeld: Einfacher, billiger und flexibler. Wenn sie Betreiber zur Kooperation bringen, wie auch immer. Technisch am einfachsten und flexibelsten.

Sensburg: Wie gewährleisten sie, dass sowas nicht passiert?

Landefeld: Dazu bräuchte man Zugang auf Management-Plane vom DE-CIX. Haben nur wir Zugriff. Vier-Augen-Prinzip. Würden andere Admins auf Oberfläche sehen. Nicht ohne weiteres versteckbar. Nur, wenn sie uns komplett kompromittieren. Geht nicht alleine.

Sensburg: Viren, Trojaner?

Landefeld: Gute Frage. Wenn Switch oder Betriebssystem kompromittiert wäre, ginge das eventuell. Setzt aber noch voraus, dass sie Leitung für Abfluss haben. Das geht nicht mal eben so.

Sensburg: Aufwand betreiben. 2013 Leitung unter Legende schalten und dann Dingelschen bei ihnen einstreuen und Spiegelung unbemerkt duplizieren, auf diese Leitung ausleiten?

Landefeld: Theoretisch denkbar. Um genau diese Szenarien auszuschließen, haben wir Post-Snowden überlegt, sowas zu erkennen. Haben angefangen, Zählerstände auf einzelnen Ports zu überprüfen. Core ist große Blackbox, muss genauso viel raus wie rein. Sehr schwierig, momentan Umsetzung.

Sensburg: Monitoring alle paar Minuten. Was machen sie noch alles gegen illegale Datenanzapfung? Legal später. Keine Firmengeheimnisse. Sebastian Schreiber sagte: „Durch Umstecken von Kabel bei DE-CIX kann man Daten ausleiten, wo sie nicht hin sollen.“

Landefeld: Hochsichere Rechenzentren. Mehrstufiger Zugang. Eigenes Equipment in abgeschlossenen Racks. Kein physikalischer Zugang. Einfaches Umstecken eines Ports kein Erfolg, muss freigeschaltet werden. Unsere Leute sind laufend da und überprüfen Ports. Administrativer Teil sehr umfassend, von Grundschutz überprüft. Arbeiten sehr eng mit Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Gehen davon aus, alles zu tun, was wir können. Schwierig: haben keine große Auswahl an Herstellern, nur noch ein bis zwei.

Sensburg: Welche?

Landefeld: Derzeit Alcatel-Lucent bei uns. Davor Force10 Networks. 2012/13 umgestellt. Nicht viel Auswahl. Geschäftsführer hat erklärt, dass es keine Zusammenarbeit gibt. Können aber nicht unter Haube gucken. Haben eigenes Security-Team, das das erforscht.

Sensburg: BSI hat halbjährlich geprüft?

Landefeld: Jährlich.

Sensburg: Auch okay. Wie intensiv ist das?

Landefeld: Kommt auf Turnus an. Haupt- und Nachprüfung. Hauptprüfung Grundzertifizierung sehr aufwändig. Standorte angeguckt, Prozeduren besprochen, mit Mitarbeitern reden, Grundschutz-Katalog, Szenarien definieren. Sicherheitskonzept erarbeiten, Grundschutz geht weiter und tiefer.

Sensburg: Hatten Zeuge vom BSI, der sagte, dass er technische Geräte nicht im Wirkbetrieb prüft, sondern nur mit Handbüchern und Rücksprache. Nicht so intensiv, wie Router auseinander- und wieder zusammenbauen. Handbuch sagt nichts über Ausleitung. BSI-Zertifizierung anders? Gucken die Ports an?

Landefeld: Bei uns vor Ort. Sie meinen Analysesystem. Ich folge dem, was hier passiert. Ist etwas anderes. Die haben Interesse an Zertifizierung, sind tagelang anwesend. Kostet einige 100.000 Euro, das immer wieder zu machen. Reden mit uns. Ganz andere Geschichte als Handbuch. Nachzertifizierung teilweise einfacher. Veränderungen angucken. Dokumentation von Veränderung. Neue Standorte angucken, aber nicht nochmal alles.

Sensburg: Technischer Leiter Arnold Nipper: „In keiner Weise Zusammenarbeit mit AND.“ Sagten sie auch. Kein Kontakt, keine Kontaktaufnahme? NSA, CIA, GCHQ oder andere Five Eyes-AND?

Landefeld: Nein. Gab von niemand Kontaktversuch. Hätten wir aber auch sofort abgelehnt.

Sensburg: Sicherheits-Team. Wie viele insgesamt bei DE-CIX und wie viel dafür?

Landefeld: 56 insgesamt, Sicherheit vier.

Sensburg: Mehr als die vier mit Admin-Rechten?

Landefeld: Klar.

Sensburg: Mitarbeiter auf Privatrechnern hatten Eindruck, wurde auf Daten zugegriffen? Passiert ja auch Behörden.

Landefeld: Kein Fall bekannt geworden. Kann dass natürlich nicht ausschließen. Kein Hinweis, das Management-Netz kompromittiert wäre.

Sensburg: Kein Regin?

Landefeld: Nichts, was wir gefunden hätten. Ist ja immer die Frage. Unternehmen alles, was möglich ist. Virtual Private Network, Compliance, Überprüfung. Zu 100 % ausschließen geht nicht. Wer das sagt, hat nicht verfolgt, was seit Snowden bekannt wurde.

Sensburg: Unsere Frage, ob das passiert ist. Über DE-CIX hinaus: 700 Kunden, nicht nur deutsche, auch amerikanische?

Landefeld: Ja.

Sensburg: Unterliegen nicht nur deutschem Recht, auch US-Recht?

Landefeld: Mit Sicherheit, ja.

Sensburg: Auch Datenableitung?

Landefeld: Ja.

Sensburg: Können sie ausschließen, dass Daten nicht nur nach USA, sondern auch in Deutschland, nah am DE-CIX von US-Firmen weitergegeben wurden?

Landefeld: Müssen sie die einzelnen Unternehmen fragen. Ist bei jedem Unternehmen einzeln zu klären. Rechtlich wären die wohl verpflichtet, auch deutsche Tochterfirmen. Ob die dem Folge leisten, kann ich schlecht beurteilen. Tipp: Router in Deutschland werden oft nicht aus Deutschland betrieben, sondern aus dem Network Operations Center (NOC) in den USA. Unterliegt nur eingeschränkt dem Einflussbereich der Mitarbeiter vor Ort.

Sensburg: Facebook, Sprint, Level 3, Verizon, alles Kunden von ihnen. Router-Steuerung aus USA. Könnte weitergeleitet werden?

Landefeld: Kann das nicht sagen. Wenn das so ist, passiert das in deren Netz und unter deren Hoheit.

Sensburg: Aber deutscher Boden.

Landefeld: Muss jeder Anbieter selbst wissen. Wäre im Netz des Anbieters, unter seiner Hoheit.

Sensburg: Würden sie juristisch sagen, dass US-Unternehmen oder Zweigfirmen in Deutschland verpflichtet wären, an NSA auszuleiten?

Landefeld: Als eco beklagen wir genau dieses Problem. Zwei-Seiten-Krieg: nach deutschem Recht darf man nicht, nach US-Recht muss man. Anbieter müssen kleineres Übel auswählen. Unterschiedliche Rechtsverständnisse. Sogar deutsche Tochter müsste nach US-Recht ausleiten. Frage, ob deutscher Geschäftsführer gefragt würde oder ob US-NOC das einfach macht.

Sensburg: Ob man das In Deutschland mitbekommt?

Landefeld: Ist das eine. Ob die das hinterfragen, das andere. Wird von Unternehmen unterschiedliche gehandhabt. Gibt solche und solche. Mancher klagen, von manchen hat man nie was gehört, da muss ich davon ausgehen.

Sensburg: Habe gestern mit Kurt Walker von Google gesprochen. Betreiben viele Rechenzentren. GCHQ hat Traffic von Datenzentren angegriffen. Wie sichern sie, dass zwischen DE-CIX-Datenzentren keine Daten abgegriffen werden? Nur Lichtintensität?

Landefeld: Überlegen: Wie könnte das ablaufen? Internationaler Transfer, viele Betreiber dazwischen. Wir mieten Fasern über mehrere Betreiber. Schicken Daten immer über mehrere Pfade, kein Single-Point-of-Abgriff. Sessions zerfallen auf verschiedene Fasern. Müsste alle Betreiber kompromittieren. Auch bei Biegekopplern brauchen sie zusätzliche Faser, um Daten wegzubekommen. DE-CIX hat derzeit 1.200 Fasern, verteilt über Rechenzentren, kein Single Point of Failure. Alles bekommen hieße, alle Fasern kompromittieren. Kann das nicht ausschließen, aber so gut wie unmöglich, das auf Dauer versteckt zu halten. Da arbeiten sie ja gegen jeden Betreiber und jeden Mitarbeiter. Legal nicht möglich, immer illegal. Müssten ganze Teams über längeren Zeitraum kompromittiert bekommen, ohne dass das einem Einzelnen auffällt. Äußerst unwahrscheinlich. Für einzelne Faser schon eher möglich. Da kann Betreiber auch gar nicht viel machen. Aber auch hier brauchen sie wieder eine Faser in der grünen Wiese. In Deutschland nicht so einfach, kommen immer Leute und fragen nach Genehmigung. Geht eigentlich nur mit Zettel, der sagt, man darf das.

Sensburg: Wie würden sie einen illegalen Datenabgriff im größeren Stil machen?

Landefeld: Hervorragende Frage. Wir denken permanent darüber nach und versuchen alles, was uns einfällt, abzustellen. Praxis: Anbieter fragen, der das legal tauscht. Viel einfacher.

Sensburg: Getrickse, an Kabel ran, sehr komplex. Theoretisch denkbar, aber aufwändig. Oder Knoten selbst betrieben, würde ich bei ihnen aber ausschließen. Alles andere sehr aufwändig.

Landefeld: Genau. Wenn ich das Google der Geheimdienste wäre, so wie die NSA, hätte ich immer etwas zum Tauschen.

Frage 1: Linke (12:42)

Renner: Abgrenzung deutsche und US-Kommunikationsverkehre bei Paketvermittlung? Hintergrund: Einsetzungsbeschluss: „ob, in welcher Weise und in welchem Umfang durch Nachrichtendienste der Staaten der sogenannten ‚Five Eyes’ eine Erfassung von Daten über Kommunikationsvorgänge, deren Inhalte sowie sonstige Datenverarbeitungsvorgänge von, nach und in Deutschland auf Vorrat […] erfolgt“. Wenn BND an DE-CIX im Ausland geht, „von, nach und in Deutschland“? Was passiert mit einer E‑Mail von Berlin nach München?

Landefeld: Trennschärfe immer nur relativ. „Überwiegend deutsche IP-Adressen“. 100 % geht nicht. Gibt aber Leitungen mit überwiegend Deutschland oder überwiegend Ausland. Zumindest Auslands-Bezug. Anbieter vom persischen Golf hat Auslandsbezug. Deutsche können aber auch Mails über Mailserver dort schicken. Frage nach Definition von Kommunikation. Welcher Mail-Dienst verwendet wird. Selbst wenn beide den gleichen nutzen, sagt das nichts, wo es ausgetauscht wird. Firmennetze sind heute teilweise international in sich geschlossen, haben aber Übergang nur in US. Mail von Deutschland nach Deutschland immer noch in USA übergeben. Kann man nicht anhand von Mail-Adresse sehen.

Renner: Wovon hängt es ab, worüber Daten im Internet geroutet werden?

Landefeld: Nahezu vollständige Trennung zwischen Physik und logischen Routen. Autonome Systeme (AS): logische Funktionseinheiten mit summierten IP-Netzen. AS zusammenschalten. Logik sagt aber nicht aus, wo das physikalisch passiert. Wird getrennt ausgemacht. Nur weil ich sage, ein deutsches und ein französisches AS tauschen sich aus, sagt nicht, dass die das nicht vielleicht in London austauschen. Einsehbar ist nur Netz aus AS. Physik sehr schlecht einsehbar. Wissen nur Netzbetreiber selbst.

Renner: Wer kann das noch sehen? Wie kommt man da ran, als Geheimdienst?

Landefeld: Experten können das nachvollziehen. Gibt Probes im Netz. Profi kann sich immer eine Karte davon machen, wie Daten zwischen zwei AS laufen.

Renner: Legale Überwachungsmaßnahmen. Welche Streckenpläne? AS oder Physik? Gegenstand der Anordnung?

Landefeld: Geht nur NfD. In Ordnung?

Sensburg: NfD geht öffentlich, Verschlusssache Vertraulich nur nicht öffentlich (NÖ).

Landefeld: Auf Anordnungen standen früher konkrete AS-Nummern. Keine Leitungen.

Renner: Was bedeutet das?

Landefeld: Logisches Netz angeguckt, nicht Physik.

Renner: Logisches Netz sagt nichts über von, aus, in Deutschland?

Landefeld: Ja, und nicht über Kapazität. Können wir sagen: hat auf Papier diesen Standort. Ob das für gesamtes Netz gilt, ist unklar. Beispiel: mein eigenes Netz AS3257. Gleiche Nummer auf der ganzen Welt: Deutschland, USA, Großbritannien. Sehen sie nicht an Nummer. Trennung geht schlecht. In manchen Ländern einfacher, weil Regierungen Anbieter zwingen. Für große westliche gilt das nicht. AS sind global.

Renner: Nur 20–30 % genutzt. Kapazitäten weiter vermieten, an Dritte?

Landefeld: Nicht direkt auf Ort bei uns. Aber Transit-Provider, Geschäftsmodell. betreiben nur Backbone, andere schließen sich dort an. DE-CIX lässt das nicht zu, bei anderen ist das üblich. Nicht gerade trennscharf. Internet hält sich nicht an Landesgrenzen.

Renner: Werden Transit-Provider irgendwo registriert?

Landefeld: Ja, aber nicht verbindlich. keine zentrale Auskunft. Kein Zwang dazu.

Frage 1: SPD (12:54)

Flisek: Legale Überwachung. TKÜ oder G‑10-Anordnung. Wer ist Adressat? DE-CIX oder Kunden?

Landefeld: G‑10-Anordnung oder TKÜ?

Flisek: G‑10-Anordnung.

Landefeld: Wir sehen nur G‑10-Anordnung, die sich gegen uns richten. Andere die, sie sich gegen sie richten. Da müsste draufstehen, welcher Leitungsweg betroffen ist. Für uns nur wichtig: was müssen wir dulden?

Flisek: Gibt G‑10-Anordnung gegen DE-CIX?

Landefeld: Beschränkungs-Anordnungen richten sich immer gegen DE-CIX, wir müssen das dulden.

Flisek: Für G‑10-Abgriffe fehlen Standards?

Landefeld: Ja. Für TKÜ gibt es TKÜV und klare technische Standards, Ausleitung, Dokumentation. Bis in das letzte Bit runter dokumentiert. Bei G‑10 gibt es nichts. Da kriegen sie nur eine Beschränkung „Sie müssen dulden, dass der Leitungsweg X für den Dienst gedoppelt wird.“ Verfahren wird nicht spezifiziert. In der Regel wird die gesamte Leitung genommen. Was da passiert, ob das eingehalten wird, ist für Anbieter nicht prüfbar. Haben eine formale Prüfungspflicht, können wir aber gar nicht durchführen. Gibt keine Standard, ob Prozentsätze richtig sind. 20-Prozent von Inhalt: Sämtliche Chats und Internet-Telefonie (VoIP) einer Leitung wäre vielleicht 5 %. Kann man diskutieren, ob wir das wissen müssen. Gibt aber keine Standards oder Definitionen.

Flisek: Wünschen sich höhere Bestimmtheit?

Landefeld: TR-G-10 wünsche ich mir. Wie TKÜV. Ist ja schon unklar, wie das umzusetzen ist.

Flisek: Auch Haftungsszenarien?

Landefeld: So lange wir das umsetzen, nicht. Wir sehen ja nicht, wer betroffen ist. Bei TKÜ schon. Wir wollen ja keine Suchbegriffe wissen. Aber Dokumentation von technischem System, das durchsucht, wäre schon interessant. Suchbegriffe gehen niemand was an. Gerät und 20-Prozent-Regel schon. Da gibt es ja auch originelle Rechtsauffassungen, nachdem was ich hier lese.

Flisek: TR-G-10 analog zu TKÜ. Was wäre Mehrwert aus Perspektive des Grundrechtsschutzes? Formalie oder materiell wichtig?

Landefeld: Was kann ich sagen?

Flisek: Auf Spiegel berufen ist immer gut.

Landefeld: Gab Beschränkungs-Anordnungen für deutsche Anbieter. Leitung von Frankfurt nach Berlin. 95 % deutsche Verkehre. Schon interessant, warum das geht? Wie wird das überprüft? Wie wird das gehandhabt, damit umgegangen? Im Moment wissen wir noch nicht mal, wie wir überhaupt damit umgehen sollen. Theoretisch können wir auch als Anbieter filtern, dass wir nur Pakete in ein bestimmtes Land ausleiten. Ist nicht diskutiert, wir müssen ganze Leitung ausleiten. Noch nicht mal vorgeschrieben, wie Ausleitung zu passieren hat.

Flisek: Was wäre Mehrwert? Dass die Korrektiv bei Maßnahme wären?

Landefeld: Problem: Wie funktioniert das eigentlich? 2008 Diskussion geführt. In dieser Form unzulässig. Als die ersten G‑10-Anordnung kamen, waren deutsche Anbieter darauf. Haben mit G‑10-Kommission gesprochen. Außer einem, mittlerweile verstorbenen Mitglied, wollte keiner darüber reden. Gibt keine Methode, damit umzugehen. Könnte nur in Leipzig klagen. Wollen aber gar nicht klagen, sondern technische Definition. Im Moment kann ich noch nicht mal sagen, was ich formal überprüfen soll. Gibt keine Grundlage. Derzeit: „Richtet sich gegen mich, habe eine Leitung die heißt so, muss wohl in Ordnung sein.“ Bei TKÜ ist das alles ganz genau definiert und zu dokumentieren. Technische Richtlinie (TR)-G-10 vielleicht falscher Ausdruck. Man hat sich in Paketorientierung einbewegt, aber das nie definiert. Wenn heute jemand VoIP überwachen will und die alle ausleitet, muss er aus technischen Gründen sämtliche VoIP-Verbindungen erstmal aufzeichnen und speichern. Da VoIP-Kontrollverbindungen drumherum laufen, können sie erst im Nachhinein, was wozu gehört. Frage: Wie lange muss das gespeichert werden? Denke, hier braucht es klage Vorlage. Gibt es offensichtlich nicht, sonst würden wir nicht darüber diskutieren. Nicht nur Dienste, auch Polizeibehörden.

Flisek: Interessant. Beschäftigen uns mit Dauerbaustelle Regelungsrahmen. Paketvermittlung neu.

Landefeld: Ab 2018 werden wir nichts anderes als Paketvermittlung mehr haben.

Flisek: Vermissen sie weitere Standards?

Landefeld: Kontrollen finden außerhalb der Dienste gar nicht statt. War auch bei uns Problem. Gespräch mit G‑10-Kommission: „Das können wir ja gar nicht prüfen.“ Sind neue technische Maßnahmen, wissen wir gar nicht. Einladung ins Bundeskanzleramt: „Wie können sie mit G‑10-Kommission reden? Maßnahme ist doch nicht gar nicht angeordnet.“

Flisek: Würden nicht jede einzelne Maßnahme bei G‑10 kontrollieren?

Landefeld: Bei TKÜ nicht, Regelanordnungen, Standard. Bei G‑10-Anordnung Verlängerung alle drei Monate, da verändert sich nicht. Bei TKÜ hat man ja hunderte gleichzeitig als großer Anbieter. G‑10-Anordnung ist ja nur selten. Ich kann nicht prüfen, ob das in Ordnung ist.

Flisek: § 27 Abs. 3 TKÜV: Bedingungen für Einsatz. BSI-Prüfung, kein Fernzugriff, Zugriffskontrolle. Damit Rechtlich-technischer Rahmen nicht ausreichend?

Landefeld: Damit könnte ich leben. Ist ja schonmal was. Gilt aber für G‑10 noch nicht.

Flisek: Doch, § 27 Abs. 3 TKÜV gilt für G‑10-Anordnung.

Landefeld: Beim Anbieter stehen keine Geräte. Wir kriegen Leitung, dort spiegeln wir Verkehre rauf. Wir müssen kein aktives Element dulden. Keine Rückwirkung auf Systeme. Bei Leitung mit 100 % innerdeutschen Verkehren: Kann ich das prüfen? Derzeit kann ich nichts machen.

Sensburg: Wenn sie ein Gesetz brauchen, sagen sie Bescheid, haben alles hier.

Frage 1: Grüne (13:16)

Notz: Sehr interessant, anderer Blick. Haben sie das Gefühl, dass derzeitige G‑10-Praxis Rechtsstaatlichkeit gewährleistet?

Landefeld: Puh.

Notz: Passt Gesetz und Praxis noch technisch?

Landefeld: Ich denke nicht, dass Gesetz, so wie es geschrieben ist, den Anforderungen der modernen Kommunikationsnetze gerecht wird.

Notz: Will keine konkreten Fälle, nur grundsätzlich. Wer kommt mit G‑10-Anordnung zu ihnen, wie läuft das?

Landefeld: Üblicherweise Vorbesprechung mit Dienst, der was will.

Notz: In der Regel BND?

Landefeld: Ja, kann aber auch Landes- oder Bundesamt für Verfassungsschutz sein. Mehr als ein Bedarfsträger. Bei Auslandsstrecke in der Regel BND.

Notz: Schreiben oder Anruf?

Landefeld: Anruf, dann Termin ausmachen. Dann reden: Verkehre, Unterlagen, Bestandsdaten, können ja alles mögliche wollen.

Notz: Konkret?

Landefeld: Wollten keinen Einzelfall?

Notz: Was passiert? Was wollen die?

Landefeld: Was im Gespräch gefordert wird. Verkehre aus bestimmter Region.

Notz: Mit Schriftstück?

Landefeld: Vorgespräch keine Schriftstücke, nur Identifizierung mit Dienstausweisen. Wir abgesprochen, wie das Dinge. Danach schreibt der Dienst das auf und besorgt sich G‑10-Anordnung. Die kommt dann vom Bundesinnenministerium.

Notz: Vor G‑10-Kommission-Genehmigung schon Gespräch bei ihnen?

Landefeld: Ja.

Notz: Trennschärfe nicht möglich, gibt aber solche und solche Leitungen?

Landefeld: Liegt in der Natur der Sache.

Notz: Offensichtlich G‑10-Anordnung geholt, wollte aber ungeschützte „Routineverkehre“. Kann das sinnlogisch sein, dass man G‑10-Verkehr laut Anordnung will, aber eigentlich „Routinevekehre“ abgreifen will? Macht das Sinn?

Landefeld: Gibt es schon. Gerade bei Transit-Providern absoluter Mischverkehr auf den Leitungen: deutsch und interkontinental. Bei Knoten läuft viel durch, Beispiel Russland nach Niederlande.

Notz: Manchmal auch 90 % G‑10-Verkehr?

Landefeld: Klar, gerade die innerhalb Deutschlands.

Notz: Können G‑10-Genehmigungen auch dafür geben? Sagten, das gibt’s.

Landefeld: Ja, sagte ich.

Notz: Macht das Sinn?

Landefeld: Sehr gute Frage. Bei einigen Strecken, die ich gesehen habe, ist mir nicht klar, wo der Nicht-G-10-Verkehr sein soll. Innerdeutsche Access-Netz-Provider, dessen einziger Geschäftszweck Anschlussleitungen in der Region ist, also immer mindestens ein Anschluss in Deutschland. Da sehe ich nicht, wo Nicht-G-10-Verkehre sein sollen.

Notz: Konkreten Einzelfall bedauerlicherweise NÖ besprechen. War das Gegenstand des Treffens mit Rösler und Leutheusser-Schnarrenberger?

Landefeld: Nein, das war grundsätzliche Nachfrage wie das geht, zwei Wochen nach Snowden, als das hochkochte.

Notz: Da meldeten sie schon Zweifel an?

Landefeld: Ja.

Notz: Würde mich interessieren, was sie Ministern erzählt hatten, war ja auch Wahlkampfzeit.

Landefeld: Frage?

Notz: War ihnen vor Snowden bewusst, das bei Operationen wie Eikonal Daten von G‑10-Anordnung auch an AND gehen? Gab es Hinweise?

Landefeld: Natürlich hat man das schonmal gehört. Jeder in der Szene hat gehört, dass AND Verkehre tauschen, offenes Geheimnis.

Frage 1: Union (13:26)

Warken: Struktur DE-CIX Management GmbH. Auch Mitarbeiter externer Unternehmen? Mit zugriff?

Landefeld: Gibt’s. Dienstleistungen outgesourced. Server-Management mach Firma in Karlsruhe. Haben keinen Zugriff auf Switches, nur Server. Aber per Virtual Private Network in Unternehmens-Netz. Webserver, interne Datenbank-Server. Aber kein zugriff auf internes Management der Switches.

Warken: Kein Wunder Punkt?

Landefeld: Nein. In heutiger Arbeitswelt sind Externe und Freie Mitarbeiter üblich. Haben immer Vier-Augen-Betrieb. Trennung zwischen unseren eigenen und Kunden-Verkehren. Systeme, die Kunden-Verkehre beeinflussen könnten, haben besonderen Schutz. Kommt nur enge Gruppen von Mitarbeitern ran. Überschaubarer Rahmen, vielleicht 15 Mitarbeiter im Haus.

Warken: Externe aus deutschen Unternehmen?

Landefeld: Ja, alles Deutsche.

Warken: Mangelnde Diskussion über Internet-Überwachung an sich. Juli sagten sie, dass sie wegen G‑10-Gesetz keine Aussagen zu G‑10-Maßnahmen treffen dürfen, Knebelvertrag, fühlen sich alleine gelassen. G‑10-Maßnahmen verfolgen ja Zweck. Könnte der gefährdet werden, wenn sie als Provider darüber reden?

Landefeld: Kommt drauf an. Konkrete Strecken, Leitungen und Akteure ist sinnvoll, Geheimschutz zu unterliegen. Aber BND darf sagen, dass es Maßnahme am DE-CIX gibt, wir nicht. Klaus-Dieter Fritsche sagte, ich müsse nichts erfinden und nicht lügen. Ist aber schon ungewöhnlich, wie wir damit umgehen sollen. Darf Presse nichts sagen. Bei „kein Kommentar“ habe ich es auch bestätigt. Wenn Maßnahme gesetzlich gedeckt ist, sollte man allgemein darüber reden dürfen, konkret natürlich nicht.

Warken: Mehr über Notwendigkeit der Maßnahmen aufklären und Öffentlichkeitsarbeit betreiben?

Landefeld: Ja. Man darf ja nicht mal sagen, dass man Kontakt mit BND hatte. Selbstverständnis der Dienste ist bisschen seltsam. Transparenz und Kontrolle wäre hilfreich.

Warken: Transparenzberichte, wie manche Unternehmen das tun, sinnvoll? Rechtssicherheit?

Landefeld: Kommt auf Rechtsrahmen an. Mit Sicherheit hilfreich, um zu sehen, welche Maßnahmen überhaupt benutzt werden. Strafverfolgungsbehörden picken sich auch Unternehmen raus, mit denen sie arbeiten. Manche kleine und mittlere Unternehmen haben gar keine Anfragen.

Warken: Transparenzbericht an sich?

Landefeld: Hilfreich. Manches ja völlig überproportional wie Funkzellenabfrage im Mobilfunkbereich. Wird nur benutzt „because we can“, nicht weil es für Ermittlung sinnvoll ist.

Warken: Telekom will DE-CIX-Nutzung ausbauen wegen Datenschutz, nationales Routing. Warum ist das sinnvoll?

Landefeld: [Redet mit Lesch.] Wird schwierig, über einzelnes Unternehmen zu reden.

Warken: Abstrakt.

Landefeld: Deutschland-Routing müsste man sich fragen, was in der Presse steht. Die Kapazitäten der Telekom am DE-CIX reichen für Schengen-Routing nicht aus. Kernproblem ist nicht Frage, ob Verkehre in Deutschland bleiben, sondern ob sie zwischendurch über US-Anbieter gehen. Nicht einfach: deutsche Tochter eines US-Anbieters muss ich berücksichtigen wie deutschen Anbieter. Verkehre von und nach Deutschland sind heute schon zu 99 % in Deutschland. Mit Schengen-Routing keine Verbesserung. Mit einzelnen Anbietern schon gar nicht, ist auf IP-Ebene nicht zu lösen.

Warken: Sie halten nichts von nationalem Routing?

Landefeld: Ist eh schon umgesetzt. Das was in der Presse steht, ist eine Pressekampagne. Von der Kapazität völlig ungeeignet. Wurden auch von Wholesale-Abteilung gemacht, nicht die Abteilung für nationales Netz.

Warken: Wie sonst schützen? Ende-zu-Ende-Verschlüsselung?

Landefeld: Ende-zu-Ende-Verschlüsselung ist das einzige, das funktioniert. Leitungen verschlüsseln auch schwierig, gibt keine Standards. Und Problem mit ausländischen Anbietern bleibt. Bereits beim Endkunden verschlüsseln, alles andere wird nicht helfen.

Warken: Ausländische Unternehmen unterliegen Rechtsvorschriften ihrer Staaten. Verträge von DE-CIX enthalten Klauseln zu Datenschutz und Datensicherheit?

Landefeld: Nein. Können wir nur bei uns mit Selbstverpflichtung sicherstellen. Das Problem ist, was der Kunde in seinem Netz macht. Unser Netz vergleichsweise klein, relativ gut kontrollierbar. Leitung des Kunden nach unserem Port bietet viel größere Angriffsfläche als bei uns.

Warken: Also nicht erforderlich?

Landefeld: Kann man nicht sagen. Derzeit 230–250 deutsche Anbieter, der Rest aus aller Herren Länder mit unterschiedlichsten Vorstellungen. China oder Russland anders als Deutschland oder Frankreich, andere Vorstellungen zu Datensicherheit. Gibt keine Standards. Wir haben Selbstverpflichtung, dass wir alles Mögliche tun: Grundschutz etc. Jeder Anbieter muss seinen Teil tun. Rechenzentren haben unterschiedliche Schutzniveaus. Kostengünstige haben niedrigere Zutrittsregelungen. Bei 650 unterschiedlichen Anbietern können sie wenig machen.

Warken: Haben sie Anhaltspunkte, dass Tochterfirmen in Deutschland Daten ausleiten mussten?

Landefeld: Deutsche Unternehmen im Ausland? Wäre ja kein G‑10. Müsste ich spekulieren, was Unternehmen tun. Vielleicht auch eigene Kenntnis, aber Betriebsgeheimnisse anderer Unternehmen.

Warken: DE-CIX-Knoten in New York. Wie Zusammenarbeit dort?

Landefeld: DE-CIX North America Inc. ist unser Tochterunternehmen. Unterliegt US-Recht. Wenn es Anordnungen gibt, darf darüber nicht geredet werden. Hat mit DE-CIX Management GmbH nichts zu tun. Schwierig.

Warken: Gibt auch Mitarbeiter dafür?

Landefeld: An Rechtsvorschriften des jeweiligen Landes halten. Auch in Dubai.

Warken: Fehlende Diskussionsmöglichkeit über diese Maßnahmen im Ausland genauso?

Landefeld: Da darf ich Detail nichts dazu sagen, das ist ganz ähnlich wie bei uns. Was ich sagen kann ist: FISA-Anordnungen hat es nicht gegeben, darüber kann ich reden weil es gerade keine Anordnungen gegeben hat. Ist in jedem Land erstmal geheim. Aber dass es Maßnahmen gibt, sollte nicht geheimhaltungsbedürftig sein, nur konkrete Maßnahmen. DE-CIX North America unterliegt dem, hat noch nicht stattgefunden, unterläge dann aber auch Geheimhaltung.

Warken: Kritik an deutschem Recht auch in USA? In anderen Ländern nicht besser?

Landefeld: In Großbritannien kann ich offen darüber reden. Die stört das offensichtlich nicht.

Schipanski: G‑10-Gesetz nicht rechtsstaatlich? Zeuge letztes Mal bestätigte das aber eindeutig. Warum nicht? Kriegen doch alles genau gesagt.

Landefeld: Wenn wir sagen, dass wir etwas unrechtmäßig finden: Wie geht man dann damit um? Wenn ich dann ins Kanzleramt geladen werde, ist das nicht Rechtsstaatlichkeit, sondern Power-Play. Ob das in Leipzig oder Karlsruhe Bestand hat, kommt auf Gerichte an. Aber wenn ich das bekomme, will ich das diskutieren dürfen.

Schipanski: Also schwerer Weg. Was passierte im Kanzleramt bei ihnen?

Landefeld: Bin mir nicht sicher, ob öffentlich.

Notz: Doch.

Landefeld: Noch eh Anordnung erhalten, wollten wir mit G‑10-Kommission reden, Bedenken geäußert. Dann ins Bundeskanzleramt zitiert und uns ganz klar erklärt, dass wir mit niemandem reden dürfen eh es keine Anordnung gibt, auch nicht G‑10-Kommission oder PKGr.

Schipanski: Muss ja in Planung auch nicht. Können ja klagen.

Landefeld: Ja, aber erst, wenn’s da ist.

Schipanski: Hatten sie Zweifel an der Rechtmäßigkeit von G‑10-Anordnung, die sie erhalten haben?

Landefeld: Ja.

Schipanski: Nicht Rechtsweg bestritten?

Landefeld: [Redet mit Lesch.] Ob Rechtsweg bestritten, kann nicht nicht sagen. Fanden G‑10-Anteil auf Leitungen diskutabel. Auch Zeiträume: 2009 noch andere Vorstellungen von Filtersystemen. Wir gingen von 20-Prozent der Inhalte aus, von allen, nicht 50–60 % der Inhalte. Versuche, Rechtsweg zu bestreiten, ergeben sich auch aus dieser konkreten Umsetzung.

Schipanski: Man kann Gesetze unterschiedlich auslegen. Nicht überraschend. Andere Zeugen haben wenig Spielraum bei 20-Prozent-Regel gesehen.

Landefeld: Etablierte Rechtsprechung ist sehr dünn, Entscheidungszahl verschwindend gering. Kann man noch nicht von etablierter Rechtsmeinung sprechen.

Notz: Können ja Herrn Schipanski auch als Zeuge laden.

Frage 2: Linke (13:58)

Renner: Vorbereitende Gespräche vor G‑10-Anordnung: Da auch technische Daten erfasst für zukünftige Maßnahme, die Grundlage der Spezifizierung der Zugriffspunkte waren? Jeder G‑10-Anordnung liegt inhaltliche Begründung bei, warum die Voraussetzungen vorliegen. Strecken bekannt, auf denen diese Informationen sein sollen. Von Eikonal und Glotaic wissen wir, dass AND Strecken im Visier hatten, die sie wollten, wofür es G‑10-Maßnahme brauchte. Ging es eher darum, bestimmte Strecken zu identifizieren als konkrete Maßnahme vorzubereiten?

Landefeld: Nicht kompliziert, erinnere mich sehr gut an Gespräche. Beschränkender Teil der Anordnung sehen wir nicht. Was sie fragen, ist ganz klar Bestandteil der Planungsgespräche. Welche Anbieter, welcher Standort, alles Bestandteil der Gespräche. Fand ich sehr verwunderlich, dachte es ging um Leitungen, bezog sich aber auf Autonome Systeme (AS), was mehrere Leitungen betraf. Hier ausnahmsweise positiv: durchaus technisch sinnvoll, dass Betreiber drinsteht statt Leitung. 2008 hat uns das aber sehr gewundert. Die haben auch gefragt, wie Knoten funktioniert, ähnlich wie hier.

Renner: Eikonal und Glotaic. Braucht man ja auch Partner. Haben Anhaltspunkte, dass man gegenüber Provider als Tarnfirma aufgetreten ist. Wie schwierig wäre das, eine Port an Leitung zu bekommen?

Landefeld: Viele Anbieter am DE-CIX. Historisch Mitglieder-getriebene Aktivität, sehr offen und dokumentiert. Jeder Switch-Port ist dokumentiert. Wenn da BND stünde, wäre das blöd. Tarnfirmen sinnvoll.

Renner: Wenn sie das wissen. Und wenn sie das nicht wissen?

Landefeld: Sich nur als Tarnfirma anzumelden, dann tauscht ja niemand Daten mit ihnen. Nur, wenn die darin einen Sinn sehen.

Renner: Zutritt über Lieferung von Hardware-Komponenten?

Landefeld: Wir kaufen direkt beim Hersteller. Ist bisschen akademisch. Dann müsste ja Force10 oder Alcatel Lucent was durchführen. Theoretisch kann man Zugriff zu Equipment bekommen, aber nicht dauerhafter Zugriff auf Management. Timing zu Eikonal interessant. Erstes Planungsgespräch mit uns am 14. August 2008.

Renner: Ende von Eikonal?

Landefeld: Schon spannend. Zwei Wochen vorher erster Terminierungs-Versuch. Spannend, wie das abläuft. Man sucht sich neuen Partner.

Renner: Gibt es Hinweise, dass sich unter Providern welche befinden, die nicht sind, was sie vorgeben? Tarnfirmen?

Landefeld: Wie gesagt, andere müssen ja auch Daten mit ihnen austauschen wollen, sonst entsteht kein Verkehr. Etwas zu erfinden ist kompliziert. Reine Tarnfirma wäre nicht hilfreich, eher Kooperation mit anderem Unternehmen.

Renner: Man kann automatisiert freigeben?

Landefeld: Bei uns nicht. In USA schon, elektronische Anordnung, die von Anbieter nur noch per Haken bestätigt werden muss.

Frage 2: Union (14:08)

Schipanski: Vorwurf rechtliche Zulassung von G‑10-Anordnung. Sind der erste der das bezweifelt. [*Gelächter*] Wie kommen sie dazu?

Landefeld: Ich möchte nicht bezweifeln, dass G‑10-Anordnung sinnvoll sind. So lange wir einen Geheimdienst haben, brauchen wir solche Maßnahmen, alles Andere ist Unsinn. Mir geht es um die Form der Umsetzung in einem Gesetz, das für alte Technik gemacht war und das man nie diskutiert hat, wie das modern anzuwenden wäre. Können nicht so tun, als hätte sich nichts verändert. Fängt mit Prozentsätzen an. Geht über Art und Weise weiter: siehe Telefonie vs. VoIP, wie ausgeführt.

Schipanski: Dann relativieren sie das ganz schön im Vergleich zu vorhin. Geschulte Mitarbeiter?

Landefeld: Haben mehrere Rechtsanwälte, die sich damit beschäftigen. Auch externe Rechtsanwälte. Seit Mitte letzten Jahres laufende Diskussionen. Sind nicht davon ausgegangen, dass Transit-Verkehre als vogelfrei betrachtet werden. Haben als Unternehmen auch Fragen von unseren Mitgliedern, wird ja in der Öffentlichkeit ausgetragen. Müsse als unternehmen überlegen, ob wir das ausfechten und Verfahren führen, wie Microsoft. Haben im Verfahren noch keine Verfahren anhängig, aber laufende Prüfungen.

Schipanski: Vorgespräch dient natürlich dazu, konkrete Anordnung auszugestalten. Also Vorgespräch sinnvoll, oder?

Landefeld: Ist Frage des Inhalts. Geht es um Ausforschen oder „wir wollen das“. Wenn wir als Betreiber ignoriert werden, weil wir das nicht für rechtlich zulässig halten, ist das nur einseitige Informationsabschöpfung.

Schipanski: Tragen Bedenken vor. Dann Abwägungsprozess. Aber sie werden anschließend nicht rückinformiert?

Landefeld: Genau, bekommen nur Beschränkungs-Anordnung.

Schipanski: Was wäre Mehrwert? Gesetz lässt ja verschiedene Dinge zu. Wo haben sie da Schwierigkeit?

Landefeld: Keine Abstimmung, mehr Informations-Absaugen. Schwierigkeit: Wenn Techniker über Technik diskutieren, kommt man immer zu Lösung. Das kann aber nicht das sein, was rechtsstaatlichen Teil ausmacht.

Schipanski: Gesetzgeber […]

Landefeld: Wenn sich Gesetzgeber seit Paketvermittlung dazu geäußert hätte, könnte ich damit umgehen. Das steht aber überhaupt nicht im Gesetz. War damals etwas völlig anderes. Hat sich grundlegend geändert. Man hat sich nichts geäußert, also steht nichts im Gesetz drin.

Schipanski: In der TKÜV stehen doch aber konkrete Vorgaben.

Landefeld: Wenn es eine TR-G-10 gäbe. Geht ja nicht nur um Anbieter, auch Bedarfsträger.

Sensburg: Sagten zurecht, dass Ende-zu-Ende-Verschlüsselung praktikabler Weg ist. Gilt nur für Inhalte, richtig?

Landefeld: Verschlüsselung der Verbindungsdaten ist unmöglich, ja.

Sensburg: Ende-zu-Ende-Verschlüsselung nur Inhalte. Aber nicht jeden Themenkomplex abgehakt.

Landefeld: Richtig. Aber mit Leitungsverschlüsselung auch nicht. Dass Kommunikation stattgefunden hat, ist durch Verschlüsselung nicht in den Griff zu kriegen.

Sensburg: Genau, also nicht automatisch im grünen Bereich. Anderer Teil auch hochsensible Daten. Sie sagten, in Deutschland wird nichts automatisiert wiedergegeben, in USA schon?

Landefeld: Einleitung von Überwachungsmaßnahmen. In den USA vollautomatisiert. Systeme genutzt, die für FBI aufgesetzt wurden. Bei uns im Moment nur dadurch verhindert, dass sie Einzelnachweis der Maßnahmen brauchen. Ist in den Systemen drin, darf aber nicht. Deshalb Haken setzen. Kleiner Unterschied, große Wirkung.

Sensburg: In den USA massenhaft, viele IP-Adressen? Oder einzelne? Hintergrund: andere US-Firmen sagten, dass man nur ganz konkrete IP-Adressen oder Telefonnummern ausleitet, nicht massenhaft ganze Strecke. Dissens?

Landefeld: Keiner. Verständnisfrage. Das sind die Schnittstellen. War das erste bei PRISM: Abfrage aus Beständen. Geben konkrete E‑Mail-Adresse in Anordnung. Unterscheidet sich von Massenüberwachung, wie wir sie in Bude mit GCHQ hatten. Dort sammle ich erstmal Daten ohne Kontext und filtere sie dann. Im anderen Fall immer bestimmter Account oder Anschluss, um diese Daten beim Anbieter abzufragen, die eventuell gespeichert sind. Unterschiedliche Vorgänge.

Sensburg: Firma wie Google und Facebook muss Einzelfall liefern?

Landefeld: Ja.

Sensburg: Wenn US-Geheimdienst ganze Strecke will, geht er nicht zu Firma, sondern auf die Leitung?

Landefeld: Ja, in USA aber auch eingeschränkt.

Sensburg: Also interessant, in Ausland zu gehen?

Landefeld: Ja. Kooperation NSA/GCHQ nicht umsonst, Datenaustausch.

Sensburg: Wenn NSA das nicht darf, deshalb Kooperation mit AND wie BND?

Landefeld: Einzelabgriff geht immer. BND hat Rechtsauffassung, dass Transitverkehre weitergegeben werden können. Da wird erst Hinterher ein Bild daraus. E‑Mail-Adresse von Verdächtigen -> Kommunikationspartner -> seine IP-Adresse -> welche Accounts -> wieder Einzelabfrage. Brauchen als Geheimdienst beides, Rohdaten und Suchbegriffe, um ein Geflecht aufzubauen und Korrelationen herzustellen. NSA: je mehr sie haben, desto besser. Google der Geheimdienste. Geschäft wie jedes andere auch. Handel mit Daten.

Sensburg: Brauchen beide Parameter?

Landefeld: Ja. Je mehr sie haben, desto besser.

Sensburg: Warum gibt es noch keine TKÜV G‑10? Verpennt? Auf diesen Untersuchungsausschuss gewartet? Oder gibt es Grund dafür?

Landefeld: Würde Beschränkungen auslösen, keine freie Interpretation mehr. Aber man braucht ja erstmal Grund, sich damit zu befassen. Den haben wir durch Snowden. Steht ja nicht drin: „Näheres regelt eine Verordnung.“ Rechtlich nicht ungewöhnlich, dass Dinge einige Jahre dauern.

Wolff, Bundeskanzleramt: Gesetzgeber hat natürlich gedacht, dass TKÜV natürlich bei G‑10 geht.

Sensburg: § 26 ff. TKÜV schränken das aber wieder ein.

Wolff: Gilt natürlich.

Sensburg: Noch nicht Diskussion des Abschlussberichts. Zeuge darf.

Landefeld: Natürlich gibt das, wir arbeiten auch damit, z. B. bei Beschränkung von Verfassungsschutz. Bei BND wird das aber nicht gemacht. Bei Maßnahmen mit Bezug auf Person oder Anschluss wird das umgesetzt, wie klassische TKÜ. trennen, worüber man redet.

Frage 2: Grüne (14:30)

Ströbele: Bundeskanzlerin. Sie sagten, es gab zwei Treffen: 2008 einbestellt, wegen Unruhe, weil sie mit G‑10-Kommission geredet hatten. Worum ging es da?

Landefeld: Feedback nach Vorgespräch, dass man Umsetzen wollte. Wir haben versucht, uns mit G‑10-Kommission zu treffen. Haben das mit Max Stadler hinbekommen, war der einzige, der zu Treffen bereit war. Das führte zu Termin mit Kanzleramt, die uns sagten, dass wir uns mit G‑10-Kommission noch nicht mal unterhalten dürften, weil die Maßnahme noch nicht angeordnet war.

Ströbele: Was war inhaltlich das Problem? Eikonal?

Landefeld: War soweit ich weiß das erste Mal, dass der BND an den Knoten wollte. Unser Verständnis war, einzelne Leitungen benennen zu müssen. BND wollte Zugriff auf den Knoten und sagen können: heute die Leitung, morgen die. Einzelne, konkrete Leitungen bezeichnen. Hier wollten man auf einmal an den Knoten und Verkehre von mehreren Anbietern, im Idealfall mit einer einzelnen Maßnahme. Das sahen wir überhaupt nicht als gedeckt an. Im Gesetz standen Leitungen, das betraf das nicht. Wir sagten, das muss man diskutieren. War auch nicht klar, ob wir 100 % ausleiten dürfen, wenn 20 % drinstehen. Hatten Diskussionsbedarf. Genehmigungskommission war G‑10-Kommission, also wollten wir mit denen reden.

Ströbele: BND war bei ihnen, wollte Generalzugriff. Sie sagten: nur einzelne Leitungen. Dann zu Stadler gegangen. Was sagte der?

Landefeld: Er kann nichts machen.

Ströbele: Dann Vorladung Kanzleramt?

Landefeld: Ja.

Ströbele: Was war Ergebnis? Full-Take?

Landefeld: Lange gar nichts. Technische Umsetzungsschwiergkeiten beim Dienst, war für die auch neu. Dann kam ein Anordnung, die einzelne Anbieter betraf, aber bei weitem nicht alle. Trotzdem fraglich, ob alles Sinn macht. Damals 2008 aber viele Bedrohungen, Islamismus. Also G‑10-Anordnung Anfang 2009 umgesetzt. Deutlich geringer, als was 2008 besprochen wurde.

Ströbele: Wollten am Anfang alles?

Landefeld: Ja.

Ströbele: Anordnung dann auf einzelne Leitungen eingeschränkt?

Landefeld: Eingeschränkt. Aber trotzdem nicht nur Auslandsleitungen. Begründung bekommen wir leider nicht als Anbieter.

Ströbele: Ging um Knoten in Frankfurt?

Landefeld: Ausschließlich.

Ströbele: Wollte BND nicht nur konkrete G‑10-Verkehre, sondern umfassenden Zugang zu allem Möglichen, wie Routineverkehre und Metadaten?

Landefeld: Wenn sie auf Leitung sind, kriegen sie kompletten Inhalt. Was damit passiert, wissen wir nicht. Bei Auslandsleitungen sehr viele Routineverkehre.

Ströbele: Alles?

Landefeld: Wenn sie Leitung bekommen, kriegen sie erstmal alles. Filter dann erst beim Dienst. Sage ja: gibt keine klaren Aussagen dazu. Finde es dünn, wenn einschließlich einzelne Juristen beim BND definieren, ob das zulässig ist oder nicht.

Ströbele: Haben Anhaltspunkte aus Akten, dass man G‑10-Anordnung als Türoffner nahm. Also nicht um bestimmte G‑10-Verkehre.

Sensburg: Fundstelle?

Ströbele: Weiß ich nicht. Kann auch G‑10-legende sagen. Raussuchen?

Sensburg: Ja.

Notz: Süddeutsche zu Eikonal: „G‑10 ist Türöffner für die Erfassung internationaler Verkehre“.

Landefeld: Einzelne Leitungen angefragt. Wir waren überrascht, welche Leitungen von Interesse waren. Die Innerdeutschen haben uns am meisten überrascht. Aber auch Ausland. Nicht nur arabischer Raum: auch andere europäischen Länder und Anbieter, die man komplett wollte.

Ströbele: Anordnung bei DE-CIX?

Landefeld: Konkret seit 2009.

Wolff: Kein Untersuchungsgegenstand.

Notz: Verstehe ich nicht. Erläutern. G‑10 nicht unser Gegenstand, wenn sie Routineverkehre erfassen?

Wolff: Five Eyes-Bezug. Wir haben die G‑10-Unterlagen ohne Anerkennung einer Rechtspflicht übermittelt. Ohne Five Eyes kein Untersuchungsgegenstand.

Notz: Massiv abwegig. Türöffner bei Eikonal G‑10-Anordnung, Ringtausch.

Schipanski: Thema für Beratungssitzung, nicht Zeugenvernehmung.

Sensburg: Nach namentlicher Abstimmung.

Frage 2: SPD (14:45)

Flisek: Bin offen für gesetzliche Neuregelungen. Ist aber noch nicht ganz klar, wie TR hilft. Sie vertrauen doch darauf, dass richterliche Anordnung korrekt ist. Bei G‑10-Problematk nunmal G‑10-Kommission, bei allen Problemen.

Landefeld: Natürlich gehen wir davon aus, dass die rechtmäßig sind, sonst hätten wir sie nicht umgesetzt. Muss aber klar feststellen: TR TKÜ wird mit Unternehmen verarbeitet. Dort ist alles in Einzelnen definiert. Im strategischen Bereich nicht, Prozent-Regel, Mischverkehre.

Flisek: Ist das nicht, weil das zwei unterschiedliche Arten von Überwachung sind? Individuell und strategisch, anlasslos?

Landefeld: Stellt sich die Frage, wie strategisch 100 Prozent sind. Damit fängt es aber an. Bei Leitungsvermittlung war das alles ganz klar, 10 Prozent der Verkehre. Jetzt auf einmal ein Konglomerat, gerade bei Knoten. G‑10-Anordnung von Karlsruhe nach Frankfurt hätte ich leitungsvermittelt nicht umgesetzt. Heute muss ich mir das angucken. Die technische Diskussion wurde aber nie geführt. Auslandsbezug, AS. Hatte die Diskussion mit Unternehmen, die von unserer Anordnung betroffen waren, die fragten sich auch, warum die nicht selbst kontaktiert wurden, sondern DE-CIX. Problematik von paketorientiertem Mischverkehr wurde nie erörtert, da haben die Dienste ihre eigene Theorie aufgestellt. Hier ist nichts klar definiert. Ist doch Sache des Gesetzgebers, das klarzustellen und klar zu regeln. Ist in diesem Bereich nicht passiert. Würde vielleicht nicht viel ändern, aber es wäre geregelt.

Flisek: Was wäre denn Vorschläge zur Regelung? Wie man Geist von Leitungsvermittlung auf Paketvermittlung überträgt? Was würden sie ändern?

Landefeld: Definition über Transitverkehre.

Flisek: Problem hinlänglich bekannt.

Landefeld: Sie fragten. Damit fängt es an. Dann Verkehre oder Leitungskapazitäten, Kernfrage, muss geklärt werden.

Flisek: G‑10-Gesetz spricht von 20 % „der angeordneten Übertragungswege“. Wie subsumieren sie das?

Landefeld: Früher war das anders, nur das, worauf Gespräche liefen. 2000 hat man das ja von 10 auf 20 % erweitert, weil man paketvermittelt mehr nehmen muss. Dann muss ich trotzdem Verkehre nehmen, nicht Leitungskapazität. Niemand belastet seine Leitung über 50 % der Kapazität, das ist nicht seriös. Da sind die 20 % komisch. Man könnte auch 100 % nehmen, aber dann müsste man das sagen. Wäre nicht meine Methode, halte ich für verfassungswidrig. Aber könnte man fordern. Dazu kommt, dass sie ganz viele Verkehre sowieso wegwerfen, wie Peer-to-Peer. VoIP, Instant Messaging, Chats und E‑Mails sind weniger als 5 %. Kann man die alle angucken? Kann man 100 % der Telefonverkehre abhören, weil das innerhalb der 20 % ist? Meine Definition ist anders. Gesetzgeber müsste klarstellen, was man will. Im Moment tun das nur die Hausjuristen des BND. Das kann doch nicht sein.

Flisek: Haben deutsche Geheimdienste jemals außerhalb von G‑10-Anordnung auf Leitungen am DE-CIX zugegriffen?

Landefeld: Nein. Habe ich keine Anhaltspunkte. Kann ich nicht ausschließen, aber ist nicht bekannt.

Flisek: Andere AND?

Landefeld: Können wir nicht 100 % ausschließen, aber wir tun alles Menschenmögliche dagegen.

Flisek: Technische Auffälligkeiten, die darauf hinweisen?

Landefeld: Haben viel untersucht, seit Snowden. Haben auch Testsysteme aufgestellt. Ist uns nichts aufgefallen. Nach allen uns zur Verfügung stehenden Methoden konnte nichts gefunden werden.

Flisek: Gespräche mit G‑10-Kommission gescheitert?

Landefeld: Stadler sagte, dass er erst mit G‑10-Anordnung handeln kann.

Flisek: Kann man vermitteln. Nach wie vor Interesse?

Landefeld: Klar. Haben alle kontaktiert, die drin waren. Auch den Zeugen, der gleich folgt. Prozess ist anders, ist nicht Aufgabe der G‑10-Kommission, sich mit den „Beschränkten“ zu unterhalten.

[Unterbrechung für namentliche Abstimmung. Danach kurze Beratungssitzung für circa 30 Minuten. Dann wieder öffentlich weiter. (15:05)]

[Geht weiter. (16:57)]

Frage 3: Linke (16:57)

Renner: Ist G‑10-Filterung möglich. Zeuge sagte: „IP-Ranges zu Ländern zuordnen.“ Welche Trennschärfe, IP-Adresse ist deutsch?

Landefeld: Habe nicht direkt etwas mit DENIC (Deutsches Network Information Center) zu tun. IP-Adressen mit gewisser Qualität möglich, aber nicht 100 Prozent. Funktioniert mehr schlecht als Recht. Was wird einer Organisation zugewiesen. In Europa Réseaux IP Européens (RIPE). IP-Block beantragen, zur Vergabe in ganz Europa zugeteilt. Nicht ganz scharf zu beantworten. Gibt aber Unternehmen, die das tun. Für Shopping-Zuordnung und Shopping. Sind viel genauer, aber auch nicht vollständig. Aber oft nur, wenn Provider das melden. Nicht genau für Provider, die nicht Teilnehmen. IP-Datenbanken nicht immer genau. Fehlergenaugkeit variabel.

Renner: Bei Grundrechtseingriffen gibt es keine Toleranzgrenze.

Landefeld: Bei IP-Adressen immer noch besser als E‑Mail-Adressen.

Renner: 20-Prozent-Regel im G‑10-Gesetz: Wille des Gesetzgebers stimmt nicht ganz mit Auffassung des BND überein. 29. Mai 2005: Bundesnetzagentur an BND: MAT A BNetzA‑5–1a, Blatt 15. Vorschlag: „Aus meiner Sicht wäre ein möglicher Ansatz z. B. die in der Anordnung genannte prozentuale Beschränkung auf der Applikationsebene anzuwenden, indem z. B. die Anzahl der E‑Mail, Webseiten, usw. bei der Nachverarbeitung (SELMA) um die erforderliche Anzahl nach einem Zufallsprinzip durch automatisches Löschen reduziert wird.“

Landefeld: Ja, wäre ein Ansatz, der funktionieren könnte, auf Applikationsebene. Frage ist: was gucke ich mir an, was werfe ich weg. Wenn ich nur Menge (Leitungskapazität) betrachte, sagt das noch nichts über Verbindungsqualität. Hoher Teil von Kommunikation in kleinem Teil der Datenmenge. Erst auf Applikationsebene gucken, wäre gut. Genau diese technische Lösungen suche ich.

Renner: Wenn NSA Seekabel TAT-14 erfassen will, wo würde man das in Frankfurt erfassen?

Landefeld: Kommt in Frankfurt nicht vorbei. Aber in USA, würde ich da nehmen, wäre als NSA am einfachsten. Wenn Deutschland, dann Norden.

Renner: Von Norden keine Verkehre nach Frankfurt?

Landefeld: Doch. Aber Kabel geht von Norden nach Hamburg weiter. Bin aber nicht Betreiber.

Renner: Gab bei Eikonal Überlegung, an TAT-14 zu gehen. Kabelabgriff jenseits von Telekom und DE-CIX in Frankfurt?

Landefeld: In Frankfurt gibt’s einige. Frankfurt ist der Kommunikationsknoten, weil dort die Glasfaser-Ringe zusammenkommen. Frankfurt hat sich früh als einer der zentralen Kapazitätsgrößen etabliert. Also wurden Westringe (Belgien, Frankreich), Nordringe (Skandinavien), Süden, Osten gehen alle bis Frankfurt. Einer der Hauptschaltpunkte. Einige große Verschaltzentralen in Frankfurt. Hat aber erstmal wenig mit Internet-Überwachung zu tun.

Frage 3: Union (17:07)

Schipanski: G‑10-Filter ist grundsätzlich technisch möglich?

Landefeld: Wenn 99,5 oder 99,9% richtig sind. 100 % werden sie nicht schaffen. Absolut geht das nicht.

Schipanski: Technisch. Würden sie festhalten, dass G‑10-Filterung technisch möglich ist?

Landefeld: Können einen bestimmten Prozentsatz-Bereichen. Frage, was als ausreichend gilt. Renner sagt, eine ist zu viel.

Schipanski: Also technisch geht. Funktionierten BND-Filter?

Landefeld: War nicht anwesend.

Frage 3: Grüne (17:09)

Notz: Ablauf G‑10-Anordnung. Vorgespräch, Telefonische Anmeldung, Ausweise zeigen, Besprechung, Informationen von ihnen rausfinden, mit G‑10-Anordnung wiederkommen und Zugriff wollen. Wie dann weiter? Abstrakt, nicht konkret. Was müssen sie machen? Was BND? Welche Technik?

Landefeld: Ist nicht alles gleich. Verschiedene Technik, verschiedene Umsetzung. Weiß nicht, ob das öffentlich sauber zitiert werden kann.

Notz: In Snowden-Dokumente und Eikonal gibt es einen Erfassungspunkt oder zwei. Ist Technik dort vom BND? Wo geht das hin?

Landefeld: Grundsätzlich gibt es Kooperation mit Anbieter, dann ganz normale Leitung hin, am Switch anschalten, Anbieter gibt ihnen vollständige Kopie der Verkehrs. Läuft dann beim Dienst. Oder Biegekoppler und Verstärker an Glasfaser, das ist komplizierter, man weiß ja auch nicht genau, was drauf ist.

Notz: Biegekoppler?

Landefeld: Ja.

Notz: Gleich T‑Stück?

Landefeld: Nicht ganz. Wenn Veränderung des Dämpfungswerts nicht relevant: dann Splitter. Einfach und kommerziell. Biegekoppler ist die Auswertetechnik, wenn Faser nicht geschnitten werden darf. Jeder Schnitt sofort nachmessbar.

Notz: Arbeiten Geheimdienste mit nicht erkennbaren Biegekopplern?

Landefeld: Ist meistens nicht notwendig. Mit Kooperation werden ganze Leitungen ausgeleitet.

Notz: Praktisch: In eins ihrer 18 Zentren in Frankfurt, ans Rack, da hängen Switches und Ports, geht konkret physisch dran. Dann Ausleitung. Wie kommt Datensignal von Erfassungspunkt zum Verarbeitungspunkt/Filter?

Landefeld: Wenn sie die gesamte Leitung ausleiten wollen, müssen sie ihre Leitung in das Rechenzentrum führen, wo das stattfindet. Wenn sie eine Kopie vom Betreiber (also uns) bekommen, ist Ort egal. Vorteil und Nachteil.

Notz: Beides wurde gemacht?

Landefeld: Habe ich schon gesehen, ja.

Notz: Glasfaserringe. Frankfurt ist wichtiger Verschaltungsort. Noch andere Knoten in Deutschland?

Landefeld: Ja.

Notz: Wenn ich E‑Mail verschicke, in wie viele Pakete wird die zerlegt?

Landefeld: Kommt auf E‑Mail an.

Notz: Normale E‑Mail, halbe Seite?

Landefeld: Eins bis zwei.

Notz: Laufen die auf selber Faser oder andere?

Landefeld: Wäre unüblich, die laufen ja im Abstand von Millisekunden lang. Theoretisch ja, praktisch ganz selten.

Notz: Ist im Header erkennbar, dass das eine Paket mit dem anderen verwandt ist?

Landefeld: Mail ist TCP, ist Session. Also ja.

Notz: Wenn ich ein Paket abgefangen habe und ich suche den zweiten Teil, kann ich aus dem ersten Paket ableiten, wo ich das zweite finde?

Landefeld: Ja.

Notz: „Collect-it-All“ Ansatz der Five Eyes. Muss man große Pools mit allem finden.

Landefeld: Weniger für einzelne Nachrichten, sondern gesamte Kommunikation. Wie Besuche von Webseiten. Das kann sehr wohl über unterschiedliche Leitungen gehen. Andere Protokolle anders.

Frage 3: SPD (17:21)

Flisek: Haben immer Zahlen. Viele Millionen Metadaten. Wie viele Metadaten laufen über DE-CIX täglich?

Landefeld: Metadaten umfasst ja alle Kommunikationsvorgänge. Auch technisch erforderlich, wie Nameserver-Abfragen. Hunderte pro einzelner Kommunikation. Milliarden Kommunikationsvorgänge am DE-CIX pro Tag. Vieles davon technisch. Im Moment keine exakte Zahl. Mein Systems Engineering könnte das herausfinden.

Flisek: Milliarden pro Tag?

Landefeld: Ja, Kommunikationsvorgänge. Jeder davon produziert einen Satz an Metadaten.

Flisek: Wie viele davon von G‑10-Anordnung erfasst?

Landefeld: Von Kommunikationsvorgängen nicht. Höchstens Leitungskapazitäten. Nicht alles, was angeordnet wird, wird von Diensten auch angefragt. 20 werden angeordnet, aber werden nicht immer alle zu jeder Zeit genutzt. Schwierig zu sagen, wie viele Prozent. Theorie ist anders als Praxis.

Flisek: Was wäre Spitzensatz in Praxis?

Landefeld: Im Verhältnis zu verkaufter Kapazität auf Ports: zwei Prozent des Knotens, die theoretisch erfasst werden dürfen. Angeordnete Ports zu verkaufter Kapazität.

Flisek: Thema Cyber-Angriffe, siehe aktuelle Neuregelung G‑10-Gesetz. Wäre ja Honeypot, oder?

Landefeld: Frage ist, was Dienst erlangt.

Flisek: Gab es verstärkt Angriffe, Überlastungs-Attacken?

Landefeld: DDoS nimmt zu. Aber Austauschknoten ist aber ein schlechter Punkt, einen Angriff zu fahren, haben viel Kapazität. Mehrere Internet Service Provider haben gerade neue Arbeitsgruppe gebildet.

Flisek: Welche Maßnahmen werden ergriffen?

Landefeld: Momentan noch Definitionsfrage, siehe IT-Sicherheitsgesetz. Haben eigene Maßnahmen. Detektion, Abschalten von Ports. Engpass ist typischerweise der Server, nicht wir, wir leiten Daten nur weiter. Muss ja ein Ziel geben. Sind mit DDoS ganz schlecht angreifbar. Trotzdem Maßnahmen, insbesondere gegen Angriffe von Management System. Haben Intrusion Detection Systeme. Alles, was man technisch kennt, alles was geht.

Flisek: Ausmaß der Wirtschaftsspionage?

Landefeld: Bin da als Consultant tätig. Aber könnte ich nicht disclosen, habe ich mit meinen Kunden nicht beredet.

Flisek: Abstrakt. Gefährdungslage?

Landefeld: Halte ich nicht für Untersuchungsgegenstand. Angriffe aus Netz sind massiv. Unterschied gezielte Angriffe und blinde Versuche. Jedes System steht unter permanenten Angriff. Jeden Tag hunderte auf einfachen Shop. Sind aber nicht ernst zu nehmen. Suche nach bekannten Exploits. Wird regelmäßig versucht, Shopsysteme aufzumachen, gelingt auch hin und wieder mit neuen Lücken. Spannend ist, dass mittlerweile viele gezielte bzw. zugeschnittene Angriffe stattfinden. Szenarien bauen, um Mitarbeiter gezielt anzugreifen. Spear-Phishing. Kann man buchen, in Russland und China, für paar tausend Euro. Gerne auch Systemadministratoren im Ziel.

Flisek: Bekannt, ob sowas gezielt auch von staatlichen Stellen ausgehen?

Landefeld: So gut wie nie auf konkrete Akteure zurückzuführen. Ist nicht nachgewiesen, konnten wir nie.

Flisek: Üblicher Instrumentenkasten von Geheimdiensten oder anderen staatlichen Stellen?

Landefeld: Davon ist auszugehen. Alles, was private Einzelpersonen und Hackergruppen machen, nutzen auch staatliche Stellen aus. Wäre unsinnig, das nicht auch zu tun.

Flisek: Wie bewerten sie Kaufbarkeit von Attacken? Gibt auch internationalen Markt für Exploits? Wie funktioniert das?

Landefeld: Wenn sie heute einen Exploit finden, können sie sich aussuchen, ob sie’s melden oder verkaufen. In USA überlegen, ob melden, im Zweifel von Unternehmen verklagt. Es gibt Börsen, wo sie Zero-Day-Exploits kaufen können. Je nach Komplexität variiert Preis, von paar hundert bis hunderttausend Euro.

Flisek: Anonym?

Landefeld: Anonym, aber sehr organisiert. Leider eine Art Branche, das Leute als Job betrachten.

Flisek: Sie kritisierten, dass BND bei ihnen vor G‑10-Anordnung Informationen abgreifen wollte. Richtig?

Landefeld: War nicht Kritik, sondern Frage, wie das abläuft.

[Wieder Unterbrechung für namentliche Abstimmung. (17:38)]

[Geht weiter. (18:01)]

Landefeld: War Ausforschen. Die mussten rausbekommen, wie das funktioniert, welche Carrier da sind, welche Technologien eingesetzt werden. Weiterbildung. Nicht ungewöhnlich. Wir waren aber gleich der Meinung, dass der BND sich an die Betreiber der jeweiligen Leitungen wenden soll. Das war von Anfang an Streitpunkt. Wir wissen nicht immer, was über die Leitung von Anbietern geht.

Frage 4: Grüne (18:03)

Notz: Hat der BND auch mal ohne G‑10-Anordnung Kabel am Knoten erfassen zu wollen?

Landefeld: Nein. Habe auch nichts gegenteiliges gehört.

Notz: Warum haben AND so ein fulminantes Interesse, ausgerechnet in Frankfurt zugreifen zu wollen?

Landefeld: Physikalisch kommen die verschiedenen Ringe zusammen. Abstrakte Netzlogik des Internets auf physikalischer Struktur. Kann man dort besonders gut bekommen. Besonders viele Verkehre aus Ostblockländern nach Westen, aber auch arabischer Raum, Österreich und Schweiz. Einige Verkehre gehen typischerweise über Frankfurt.

Notz: Gibt es Transitverkehre in Düsseldorf? Oder nur Frankfurt?

Landefeld: Düsseldorf auch ein Knoten, aber relativ klein. Historisch war das Düsseldorf und Hamburg. Frankfurt erst für neuer Netze ab 1993/1994. Düsseldorf und Hamburg an Bedeutung verloren. Früher war dort Ausleitung.

[Noch zehn Leute auf der Tribüne.]

Notz: Gerücht, dass Geheimdienstler direkt bei TK-Anbietern arbeiten. Haben sie Erkenntnisse? Sicherheitsvorkehrungen dagegen?

Landefeld: Kenne die Fälle aus USA. In Deutschland noch nicht beobachtet oder bestätigt. Theoretisch denkbar. Vier-Augen-Prinzip gegen so etwas. Wir haben so etwas, viele Carrier auch. Aber nicht alle Schaltvorgänge können immer von zwei Leuten gemacht werden. Zentrale Vermittlungselemente schon.

Notz: Haben sie Sicherheitsmechanismen gegen Leute, die unter Legende anrücken? Stichwort Fraud?

Landefeld: Lieber Gott. Wir haben ein Schutzkonzept, wird geprüft. Habe Fälle kennengelernt, wo bei Geschäftskunden Leute aufgetaucht sind und behauptet haben, sie wären von einem TK-Anbieter. Das gibt es, das hatte ich auch bei Kunden. Ist schwierig in einer Welt mit sehr vielen Subunternehmen. Überprüfung sehr schwierig. Ging teilweise so weit, dass man Leitungswege unterbrochen hat, um Störung zu produzieren. Dann tauchte jemand auf, der das reparierte und dabei auch Router gegen kompromittierte ausgetauscht hat. Konkreter Fall war Wirtschaftsspionage gegen Maschinenbauunternehmen.

Notz: Wenn ein Geheimdienst da ran geht, würde sich ein Diensteanbieter strafbar machen?

Landefeld: Ja, wäre strafbar. Wir haben klare Verträge. Zugang zu Infrastruktur wäre klarer Verstoß ohne Anordnung. Vertraglich ausgeschlossen. Trotzdem auch Zweitschlüssel für Feuerwehr und so. Dafür aber Systeme zur Meldung von Schranköffnungen. Normale Sicherheitsvorkehrungen.

Notz: Konkret: US-Kunde in Frankfurt. Ohne Kenntnis der deutschen Abteilung bauen die ein Fraud-Erkennungs-System ein. Vorwand. In Wahrheit Dopplung der Ströme. Wäre das vertraglich relevant?

Landefeld: Bei uns kommt kein Kunde ohne Voranmeldung an sein Gerät. Wird angemeldet. Kann nicht einfach auftauchen.

Notz: James-Bond-Style-Imitierung. Was würde passieren?

Landefeld: Selbst wenn das passiert, wäre nur der Verkehr des einen Kunden betroffen. Kann nicht ausschließen, dass das nicht bei einem einzelnen passiert. Ist denkbar. Aber nicht systematisch und nicht für die größeren Carrier.

Notz: Vertraglich irrelevant?

Landefeld: Müssen gucken, was ist unser Netz und wo fängt Netz des einzelnen Carriers an. Streng genommen könnten wir sowas nach unseren Regeln ausschließen, Sonderkündigung. Aber noch nicht vorgekommen.

Notz: Verarbeitung von Abrechnungs- und Verkehrsdaten im Mobilfunk passiert von praktisch allen TK-Anbietern in Deutschland über einen Anbieter, in den USA. Wie schätzen sie das ein, das Risiko für Metadaten? Safe Harbor? Erhebliche Prozentzahl von Metadaten automatisiert in die USA weiterleiten?

Landefeld: Nur die Metadaten, die für USA relevant sind, oder?

Notz: Ist das so?

Landefeld: Da stecke ich nicht im Detail drin.

Notz: Wer war bei Treffen in Bundeskanzleramt 2008 dabei? Was wurde besprochen?

Wolff: NÖ.

Sensburg: Anderes Jahr?

Landefeld: Januar 2009.

Notz: Was war am 14. August 2008?

Landefeld: Erstes Treffen mit BND in unseren Geschäftsräumen.

Notz: Wann war Treffen im Bundeskanzleramt?

Landefeld: 27. Februar 2009.

Ströbele: Und der zweite Termin im Kanzleramt?

Landefeld: 09. August 2013.

Ströbele: 07. Juni Erste Meldung von Snowden. Und Minister Rösler und Schnarrenberger?

Landefeld: 14. Juni 2013. Was man den USA vorgeworfen hat, so ähnlich auch in Deutschland.

Ströbele: Kanzleramt dabei?

Landefeld: Nicht dass ich wüsste.

Ströbele: Justizministerin?

Landefeld: Und Wirtschaftsminister. Keine geheime Sitzung. 30–40 Leute.

Ströbele: Kein Geheimnis, dass AND mit AND ganze Verkehre tauschen. Was wissen sie davon?

Landefeld: Nicht erst nach Snowden. In Techniker-Kreisen wurde da öfter mal drüber gesprochen. Hat mich nicht überrascht.

Ströbele: Haben sie das bei dem Gespräch auch erwähnt?

Landefeld: Bei welchem?

Ströbele: Justizministerin?

Landefeld: Nein. War damals noch PRISM, noch kein Tempora. G‑10-Inhalte hat man da schnell ausgeklammert.

Ströbele: Wann nach Snowden das erste Mal mit Bundesregierung gesprochen?

Landefeld: Regierung?

Ströbele: Kanzleramt.

Landefeld: Ungefähr erste Juli-Woche mit Fritsche telefoniert, wie man sich zu verhalten hat, wie wir damit umgehen sollen. Was man sagen darf, was nicht. 16. Juli und 24. Juli Gespräche bei Bundesnetzagentur mit allen möglichen Bedarfsträgern und Generalbundesanwalt.

Ströbele: Wurde dabei besprochen, was mit abgegriffenen Daten geschehen ist?

Landefeld: War Thema, aber nicht im Detail. Am 24. Juli wollten einige Bedarfsträger wissen, warum sie den Zugriff nicht auch haben und warum nicht für innerdeutsche Verkehre. Bedarf war da schnell.

Ströbele: Wurde in einem der Gespräche mal gesagt, dass Snowden-Enthüllungen bekannt waren?

Landefeld: Snowden wurde nie angezweifelt. Dass man überhaupt über Frankfurt redet, erst seit letztem Jahr. 2013 war da noch eher der Deckel drauf.

Ströbele: Regierung hat Bundestag und Medien immer gesagt, dass sie von nichts wusste.

Landefeld: Habe nichts gehört.

Ströbele: Zwei Treffen mit Bundeskanzleramt?

Landefeld: Einmal August, ja. Zweimal Juli war Bundesnetzagentur. 16. Juli war: Was passiert da, wie sieht das aus? 24. Juli war größere Runde, TK-Überwachung. Mit Leuten, die normalerweise nicht eingeladen werden.

Ströbele: August?

Landefeld: Fragebogen Bundesnetzagentur: „Frage 3: Leiten sie Daten an AND? Frage 4: Dürfen sie Frage 3 ehrlich beantworten?“ Bundesnetzagentur hatte Anruf aus Bundeskanzleramt, dass diese Fragen nicht ehrlich zu beantworten sind.

Ströbele: Kanzleramt hat angerufen, dass sie das nicht beantworten dürfen?

Landefeld: Kanzleramt hat Bundesnetzagentur, Frau Dr. Iris Henseler-Unger angerufen, dass Unternehmen die Fragen nicht beantworten sollen.

Ströbele: Hatten sie Kontakt zu Bundeskanzleramt?

Landefeld: Ja, habe Tag vorher Klaus-Dieter Fritsche angerufen, wie ich die Fragen beantworten soll.

Ströbele: Ihnen wurde gesagt, dass sie nichts sagen dürfen?

Landefeld: Mir wurde gesagt, dass die Fragen nicht hätten gestellt werden würden und dass wir sie nicht beantworten sollen.

Notz: Frau?

Landefeld: Henseler-Unger.

Notz: War ihre Reaktion eine Antwort auf ihren Anruf im Bundeskanzleramt?

Landefeld: Spekulation. Könnte sein.

Notz: Bundeskanzleramt sagte, sie dürfen nicht antworten?

Landefeld: Ja.

Sensburg: Welche Fragen?

Landefeld: Fragebogen ging an mehrere TK-Unternehmen. Nach § 115 TKG darf Bundesnetzagentur das. Kooperieren sie mit Diensten, leiten sie aus, deutsche Dienste, AND?

Ströbele: Wurde da etwas schriftlich niedergelegt?

Landefeld: Dokumente und Vorlagen garantiert. Ich habe keine Akten über meine Telefonat. Waren mehrere Unternehmen anwesend. Bundesnetzagentur wird wohl Unterlagen haben. Vizepräsidentin der Bundesnetzagentur wird das wohl dokumentiert haben.

Ströbele: Warum sollten sie nicht beantworten?

Landefeld: Ging um Geheimschutz. Bundesnetzagentur durfte das die Unternehmen nicht fragen.

Ströbele: Wurde gesagt, dass das nicht stimmt?

Landefeld: Wurde gerade nicht erörtert.

Ströbele: Brauchen sie eine Legitimation für Ausleitung von reinen Routineverkehren? G‑10-Anordnung? Freigabe? Durch Kanzleramt?

Landefeld: Von uns hätten sie es nicht bekommen ohne. Ein Endpunkt immer in Deutschland. Auf jeder Leitung ist gewisser Anteil an G‑10-relevantem Verkehr. Von uns Kooperation ohne G‑10-Anordnung undenkbar.

Ströbele: Routineverkehr von Amsterdam nach Warschau: G‑10-Anordnung erforderlich?

Landefeld: Ist ja eben keine Leitung von X nach Y. Ist ja immer von X nach Frankfurt. Über jede einzelne Leitung kann Verkehr von Deutschland laufen. Der überwiegende Teil der Anbieter schließt sich in Deutschland zusammen, weil sie Daten von oder nach Deutschland wollen. Leitung von Amsterdam geht nach Frankfurt, andere Leitung geht von Amsterdam nach Moskau.

Ströbele: Leitung von Amsterdam/Rotterdam nach Tschechien?

Landefeld: Anderer Vorgang. Leitungen durch Frankfurt, die nicht durch DE-CIX gehen. Klassische TK-Unternehmen. Bedarfsträger müssten mit denen reden. Am Knoten kommen Leitungen zum Knoten. Auf jeder einzelnen Leitung kann G‑10-Verkehr sein.

Frage 5: Union (18:42)

Sensburg: Bei dem Treffen in der Bundesnetzagentur durften sie über bestimmte Punkte nicht sprechen?

Landefeld: Ja, Punkte 17 bis 19.

Sensburg: Ungewöhnlich?

Landefeld: Ungewöhnlich, dass das überhaupt passiert. Umfangreicher Fragebogen am Vorabend der Anhörung.

Sensburg: § 17 G‑10-Gesetz Mitteilungsverbot?

Landefeld: Kann sein. Kernfrage war: Durften Fragen gestellt werden? Bundesnetzagentur ist Aufsichtsbehörde. Carrier müssen Schutzkonzepte dort hinterlegen, Abteilung 19 Bundesnetzagentur überprüft das. Ist normal, dass die die Fragen stellen. Dass das unter den Schutz fällt, ist andere Frage.

Sensburg: Mitteilungsverbot aus Gesetz ist nicht Problem, sondern Rückziehung der Fragestellung?

Landefeld: Kein Problem. Hab nur berichtet, wie das abgelaufen ist. Wurde nicht explizit auf Mitteilungsverbot eingegangen. Raum betreten, Ansage: über 17 bis 19 wird nicht geredet.

Sensburg: Vorgehen komisch.

Landefeld: Komisch, dass das so kurzfristig war, Abend davor. Keine Zeit, sich damit zu beschäftigen.

Sensburg: Hinterher besser, dass man nicht drüber geredet hat? Oder so?

Landefeld: Ob Behörde geheime Informationen bekommen darf, kann ich nicht beurteilen. Auch in Bundesnetzagentur arbeiten Leute mit Diensten zusammen. Nicht ungewöhnlich, dass man die Fragen gestellt hat. Die anderen waren ungeschickt gestellt.

Frage 5: Grüne (18:47)

Wolff: Telefonat mit Fritsche erscheint mir zweifelhaft. Kann es sein, dass das nicht stimmt?

Landefeld: Könnte auch sein, dass das Herr Günter Heiß war.

Notz: Aber Bundeskanzleramt?

Landefeld: Ja.

Notz: War ein interessantes Datum. Wir zeigen ihnen den Fragebogen. Nicht eingestuft. Welche Fragen nicht sagen? Aktennummer für’s Protokoll?

Landefeld: MAT A BNetzA‑1–2_1, Blatt 46. Das, was mir vorgehalten wird, ist der gleiche Fragebogen.

Notz: Welche Fragen nicht stellen/beantworten?

Landefeld: Auf jeden Fall Frage 15: „Betreibt ihr Unternehmen Überwachungseinrichtungen nach den § 26–29 TKÜV zur Umsetzung sogenannter strategischer Beschränkungen nach § 5 und § 8 G‑10-Gesetz?“

Notz: Und noch?

Landefeld: Frage 16: „Wenn derartige Anlagen betrieben werden, werden hierfür auch die Regelungen zur Protokollierung der Nutzungen dieser Einrichtungen sowie die Kontrolle dieser Protokollierungen eingehalten?“

Notz: Wenn sie das wahrheitsgemäß beantwortet hätten, wäre die damalige These der Bundesregierung, dass man von NSA-Praxis keine Ahnung hat, ins Wanken gekommen wäre?

Landefeld: Glaube ich nicht. Sind ja Maßnahmen, über die sie selbst Bescheid wissen. Rein spekulativ. Vielleicht hätten ja einige Unternehmen doch etwas beantwortet.

Notz: Was haben sie davon gedacht, dass Deutschland überrascht war von NSA?

Landefeld: Nachdem ich gesehen habe, wie wenig Kenntnisse in den Ministerien waren, was in Deutschland passiert, fand ich das nicht überraschend. In Geheimdienstkreisen aber nichts Neues.

Notz: Und Bundeskanzleramt. Aussagen von denen über Snowden unglaubwürdig, Kurz vor Wahl 2013?

Landefeld: Nicht besonders wahrscheinlich, dass Bundesregierung das nicht wusste.

Notz: Vorgang 2008/2009. 14. August 2008 erstes Treffen mit BND: konkreter Gegenstand des Treffens, der zu ihrem Widerstand geführt hat, wozu Kanzleramt intervenierte?

Wolff: Konkret nur NÖ.

Notz: Abstrakt. Gab vorher G‑10-Anordnung und Kontakt?

Landefeld: Vorher nicht, gar keinen, null, nada. Auch mit keinem der anderen Dienste.

Notz: Vor 14. August 2008 keine einzige G‑10-Anordnung?

Landefeld: Nein. Auch da noch nicht, die kam erst später.

Notz: Wann?

Landefeld: 2009.

Notz: Nach Besuch in Bundeskanzleramt?

Landefeld: Definitiv.

Notz: Hatte Kanzleramt Dinge rechtlich oder hierarchie-mäßig dargelegt?

Landefeld: Hervorragende Frage. Sowohl als auch. Mit Autorität gesagt, dass das alles seine Richtigkeit hat.

Notz: Details NÖ.

Formalitäten: Vorsitzender (18;56)

Beschlussvorschlag: Öffentlichkeit ausschließen. Beschlossen.

Jetzt Zeuge Hans de With. Auch schnell. (*Gelächter*)

Zeuge 2: Hans de With, ehemaliger Vorsitzender der G‑10-Kommission (19:00)

Kein Rechtsbeistand.

Hans de With. Jetzt Rechtsanwalt. [Fuselstraße?] 26b, Bamberg. 82 Jahre alt.

Eingangsstatement: $Danke. War Mitte 1999 bis Januar 2014 Vorsitzender der G‑10-Kommission. Sie kennen die Bestimmungen des G‑10-Gesetzes.

Aufgaben G‑10-Kommission: Vollzug bei Individualmaßnahmen. Prüfen, ob tatsächliche Anhaltspunkte für Verdacht bestehen. Strategische Kontrolle, Rasterfahndung, Verdachtslos. aber nicht voraussetzungslos. Voraussetzungen sind nachzulesen. Gefahr für Leben und Leib im Ausland (Entführungen) besonderen Bestimmungen. Vierte Möglichkeit der Kontrolle gibt es nicht, beim offenen Himmel. Beschränkungsmaßnahmen des BND im Ausland. Ausland, Ausland.

Mir ist weder bekannt, wie hoch der Prozentsatz dieser Maßnahmen ist. Berichte, wonach Maßnahmen nach offenem Himmel größer als die anderen Maßnahmen zusammen sind. Kenne auch Folgen der Überprüfungen im BND, Bundesinnenministerium und Bundeskanzleramt nicht. Hier gibt es keine unabhängige Instanz, die das prüfen würde. Bereits mehrfach kritisiert. Aufsatz Dr. Bertold Huber: „Die Strategische Rasterfahndung des Bundesnachrichtendiestes – Eingriffsbefugnisse und Regelungsdefizite“ (Neue Juristische Wochenschrift, 2013, Heft 35, Seiten 2576 folgende). Schließe mich ihm im Kern seien Forderungen und Formulierungen an.

Reichweite Artikel 10 Grundgesetz (Brief‑, Post- und Fernmeldegeheimnis): nur Deutsche oder alle? Bin für alle, nicht nur Deutsche. Reichweite kann nicht auf Deutschland beschränkt sein. Regelung erforderlich. Wie sie aussieht, kann keiner sagen. Sorgfältig austarieren. Deutsche Interessen im Ausland schützen. Aber auch Pejorativen des Grundgesetz beachten.

§ 1 BND-Gesetz keine Grundlage für Beschränkung des offenen Himmels. Nicht wie Artikel 19 Grundgesetz gebietet, auf Art 10 Grundgesetz verwiesen. Politisch notwendig, das zu regeln. Man könnte uns vorwerfen, auch Rasterfahndung zu betreiben.

Süddeutsche Mitte 2014: Codewort Eikonal – der Albtraum der Bundesregierung. Kann nicht bestätigen, dass das richtig ist. Habe erst durch den Artikel erfahren. War aber klar, dass die Deutschen in Frankfurt sind.

Das ist das, was ich formulieren darf.

Frage 1: Union (19:09)

Warken: Viel Erfahrung bei Kontrolle von Nachrichtendiensten. Im August 2013 sagten sie der taz: „Wir haben nicht die geringsten Anhaltspunkte, dass wir in irgendeiner Weise ausgetrickst werden.“ Und „Mir ist kein Fall von Anlügen bekannt.“ Würden sie das heute nochmal so sagen?

With: Ich bleibe dabei. Nach meinem derzeitigen Kenntnisstand. Wir haben von Fall zu Fall zu entscheiden, ob Bezug der Beschränkungsmaßnahme gerechtfertigt ist. Nie Tricksereien oder unredliche Hinweise. Bin der Auffassung, dass alles korrekt und richtig war. Haben immer intensiv nachgefragt.

Warken: Art und Weise der Geheimdienst-Kontrolle durch G‑10-Kommission?

With: Uns vorgelegte Akten prüfen. Dann Klappe an Vorsitzenden mit einzelnen Maßnahmen. In der Sitzung bekommt jeder einen Abdruck der Akten. Dann kommt es zur Prüfung. Widersprüche oder nicht. Neuanträge dauern länger, Verlängerungen schneller.

Warken: Regelungslücke in Eingangsstatement angesprochen. Wo Kontrolllücke konkret?

With: Aufsatz von Huber. Nicht Kontrolllücke in dem Sinne. Frage bei strategischer Kontrolle: nach G‑10-Gesetz darf nicht nach deutschen Telefonnummern gesucht werden, nur nach ausländischen. Nicht Schutz aller gleichermaßen? Zweitens: Mitteilungsdefizite, wenn nach § 5 G‑10-Gesetz (strategische Kontrolle) auch deutsche Nummer im Inland kommt: Mitteilung ja oder nein? Soweit ich das sehe, ist das nicht der Fall. Mitteilungspflicht muss geklärt werden. § 12 G‑10-Gesetz: „Beschränkungsmaßnahmen nach § 3 sind dem Betroffenen nach ihrer Einstellung mitzuteilen.“ Wer sind die Betroffenen? Nach § 100a StPo wird von Beteiligten gesprochen. Besser.

Warken: BfDI Schaar sprach auch von Kontrolllücke. G‑10-Kommission und BfDI. Maßnahmen aus Geheimdienst-Überwachung, weitere Personenbezogene Daten: Weder durch G‑10-Kommission, noch BfDI kontrollierbar. Sehen sie das auch so?

With: Frage nochmal?

Warken: BfDI kontrolliert personenbezogene Daten. Personenbezogene Daten, die aus Maßnahmen entstehen, die aus Erkenntnissen aus Geheimdienst-Überwachung von TK entstehen, sind weder von ihm noch G‑10-Kommission zu kontrollieren.

With: Wenn außerhalb der Kontrolle, sind wir damit nicht befasst.

Warken: Schaar auch nicht?

With: Sehr wahrscheinlich nicht. Außer, er erfährt es von Dritten. Frage, wie Verstöße aus Artikel 10 zusammenkommen? Bundesdatenschutzgesetz ja, G‑10-Gesetz vielleicht nicht. G‑10-Gesetz sollte nochmal neu formuliert werden, weil es für Juristen sehr schwer verständlich ist. Müsste auch geklärt werden, wie Weitergabe von personenbezogenen Daten kontrolliert wird. § 7a Abs. 5 G‑10-Gesetz: „Das zuständige Bundesministerium unterrichtet monatlich die G10-Kommission über Übermittlungen nach Absatz 1 und 2.“ Kann Übermittlung erfolgen von Daten, die nicht personenbezogen, aber trotzdem interessant sind. Sollte überarbeitet werden.

Warken: Sowas in ihrer Amtszeit in G‑10-Kommission diskutiert?

With: Ich habe das während meiner Amtszeit thematisiert.

Warken: Wie? Nach außen, nach innen? Meinungen?

With: Diskussionen innerhalb der G‑10-Kommission sind unter Schweigegebot, an das ich mich halten muss. Das sagte ich auch Vorsitzenden in einem Brief. Beratungen sind geheim. Wäre dankbar, wenn Öffentlichkeit ausgeschlossen würde.

Warken: Später eingestufter Teil. Daten aus § 3 G‑10-Gesetz (Beschränkungen in Einzelfällen) weitergeben, G‑10-Kommission nicht informieren. Keine Vorschrift nach § 7 Abs. 5 G‑10-Gesetz. Bundesregierung meint, dass § 7 Abs. 5 G‑10-Gesetz für § 5 G‑10-Gesetz (Strategische Beschränkungen) und § 8 G‑10-Gesetz (Gefahr für Leib oder Leben einer Person im Ausland) ist, § 3 G‑10-Gesetz von vorhinein anders. Wie bewerten sie das?

With: Stimme ich nicht zu. Muss überprüft werden. Bei Gesamtrevision des G‑10-Gesetz. Kann auch sagen, dass das genauso geregelt werden muss.

Warken: Wann Kenntnis von Eikonal?

With: Nicht aus meiner Tätigkeit bekannt. Erst aus Süddeutsche erfahren.

Warken: Hätten sie unterrichtet werden müssen?

With: Ja. Wobei ich nicht weiß, ob das unter „offener Himmel“ oder strategische Kontrolle nach G‑10-Gesetz fällt. Ich bin der Meinung, auch offener Himmel ist interessant für uns.

Warken: Hatten sie Kontrollbesuche in Bad Aibling?

With: Nein. Erst Frühjahr 2014.

Warken: Näheres?

With: Nein, war nicht dabei.

Warken: Rechtliche Bedenken zu Eikonal. Nicht bekannt gewesen?

With: Nein. Im Januar 2014 ausgestiegen. Debatte begann danach.

Warken: Datenfiltersystem (DAFIS), Test zu 95 % Filter-Erfolg. Rechtliche Konsequenz?

With: Wenn das zutrifft, hätte das G‑10-Kommission mitgeteilt werden müssen.

Warken: Konsequenz?

With: Nach Frankfurt fahren, angucken, und feststellen offener Himmel oder strategische Beschränkung nach G‑10? Bei G‑10 hätten wir Alarm geschlagen. Weiteres zu regelndes Manko: G‑10-Kommission und G‑10-Gremium. G‑10-Kommission handelt absolut geheim, wie Gericht. Berichte gehen an Gremium, Vorsitzender unterschreibt das, damit das Drucksache wird. Es wäre besser, wenn der Vorsitzende der G‑10-Kommission das dem G‑10-Gremium vorträgt, damit es eine politische Debatte gibt. Für Mitglieder der G‑10-Kommission noch nicht mal möglich, mit Fraktionsvorsitzenden zu reden. Kein Gremium des Bundestages, sondern Gericht sui generis. Kein richtiges und ordentliches Verfahren.

Warken: Rechtliche Fragestellungen hätten sie ansprechen können?

With: Sprechen nicht alles an. Habe das nicht schriftlich von mir gegeben, aber mehrfach auf Generalrevision des G‑10-Gesetz hingewiesen.

Warken: DAFIS. Kennen sie Vorgängerprodukt SELMA?

With: Nein. Verletzung von G‑10 soll es nicht geben.

Warken: Filter an sich schon vorgestellt?

With: Nein. Was in Artikel steht, habe ich erst durch Artikel erfahren.

Lindholz: Auch Süddeutsche: Codewort Eikonal – der Albtraum der Bundesregierung. G‑10-Anordnung nur erfolgt, um an Transitverkehre zu kommen: „Um an die Transitverkehre zu kommen, sollte eine ziemlich kreative und selbst nach Auffassung mancher BND-Experten unzulässige Auslegung des G‑10-Gesetzes helfen: ‚G‑10 ist Türöffner für die Erfassung internationaler Verkehre’, notierte ein BND-Beamter, und genau gegen diesen Vorgehen protestierte prompt ein Unterabteilungsleiter. Das sei rechtswidrig, auch Transitverkehre dürften – jedenfalls wenn sie mithilfe einer G‑10-Genehmigung abgefangen würden – nur unter den engen Voraussetzungen dieses Gesetzes etwa nach Terroristen oder Waffenhändlern durchsucht werden. Alles andere müsse ’spurenlos’ gelöscht werden. Aber wie kann man spurenlos löschen, wenn die Daten weitergereicht werden? Sein Abteilungsleiter wiegelte ab: Alles in Ordnung, alles durch das BND-Gesetz gedeckt.“ Bewertung?

With: Kennen Wahrheitsgehalt dieser Aussage nicht. Kann aus meiner Tätigkeit sagen, mir sind solche Maßnahmen über-Bande nicht bekannt geworden. Hatte auch keinen verdacht.

Lindholz: G‑10-Kommission irgendwie bekannt?

With: Nein.

Lindholz: Weitergabe dieser Daten an AND rechtlich zulässig?

With: Kommt darauf an: offener Himmel unterliegt keiner Kontrolle der G‑10-Kommission. Unter G‑10-Gesetz hätte das nicht stattfinden dürfen.

Lindholz: Dann hätte G‑10-Kommission auch informiert werden müssen?

With: Wenn illegale Maßnahmen, hätten wir informiert werden müssen. Wenn die illegale Maßnahme weiter lief, hätte das dazugehört zur Information.

Lindholz: War eine G‑10-Manahme. Hatte als Beifang den Routineverkehr. Zulässigkeit rechtmäßiger G‑10-Maßnahme?

With: Nicht rechtmäßig.

Lindholz: Doch. Weitergabe Routineverkehr?

With: Was soll das für ein Routineverkehr gewesen sein soll, der nicht dem unterliegt?

Lindholz: Ausland-Ausland.

With: Also doch offener Himmel?

Lindholz: G‑10-Maßnahme mit Beifang Routineverkehr.

With: Ist keine rechtmäßige G‑10-Maßnahme nach derzeit geltendem Recht. Bei offenem Himmel ist das derzeit legal. Weitergabe wäre deren Sache. Wäre regelugsbedürftig.

Lindholz: Rechtmäßige G‑10-Maßmahme. Als Beifang auch anderer Verkehr Ausland-Ausland.

With: Verstehe nicht, wie der als Beifang entstehen soll. Kann entstehen bei Maßnahme des offenen Himmels. Wenn das so ist wie geschildert. […]

Frage 1: Linke (19:38)

Hahn: Wie vorbereitet? Akten?

With: Keine Akten. Habe Gesetz gelesen. Berichte des Gremiums eingesehen. Keine einzige Akte.

Hahn: Gab es Hinweise, was sie uns nicht sagen dürfen?

With: Nein. Vorsitzender kennt mein Schreiben, in dem ich gesagt habe, dass mir niemand eine Genehmigung erteilen kann. Laut Gesetz weiß ich, was ich sagen kann und was nicht.

Hahn: 2005 Mitglied der G‑10-Kommission?

With: Nein, Mitte 1999.

Hahn: Wie viele G‑10-Anordnung?

With: In jeder Sitzung.

Hahn: Eikonal und Granat nie in G‑10-Kommission?

With: Nein.

Hahn: Wenn ihnen gesagt wurde, dass die Daten an AND gingen, hätten sie das genehmigt?

With: Nein.

Hahn: Beifang ist missverständlich, dass etwas mit reinrutscht. In Wirklichkeit andersrum: Türöffner G‑10-Anordnung, G‑10-Legende. G‑10-Maßnahme beantragt, genehmigt, dann Kabel komplett abgefischt. Ob was angefallen ist, ist zu vernachlässigen. Aber darüber lief viel Routineverkehr. BND wollte aber das und nur das. Millionenfach Daten Ausland-Ausland abgefangen. Waren sie getäuscht?

With: Wenn vorgeschoben ohne echten Hintergrund, um einen anderen Zweck zu erreichen, hätten wir das nie akzeptiert, das ist klar. Aber das präzisieren, sollten wir NÖ.

Hahn: Offener Himmel oder Weltraumtheorie ist für uns Satelliten.

With: Für uns ist das alles, was nicht unter G‑10-Gesetz fällt. Alles Ausland-Ausland. Das verstehen wir unter offenem Himmel.

Hahn: In Deutschland an Kabel in Frankfurt, nur mit ihrer Zustimmung?

With: Kann ich so nicht behaupten. Wir haben keine Anträge, um an Kabel zu kommen, sondern konkrete Anträge, die wir prüfen.

Hahn: Was musste man da angeben und und ihnen mitteilen?

With: NÖ. Beratungen und Verhandlungen sind geheim.

Hahn: Technische Veränderung eine Rolle gespielt? Telefonie zu Internet?

With: Klar, haben uns immer informieren lassen.

Hahn: Welche Rolle gespielt?

With: Wir wussten das. Wir wussten, wie Stränge verlaufen. So wie es uns vom BND geschildert wurde. Wir sind davon ausgegangen, das das seine Ordnung hat.

Hahn: Was war notwendig, um Strecken zu verändern?

With: Stränge hat Gremium beschlossen.

Hahn: Welches?

With: G‑10-Gremium? Wie auch Entführungen.

Hahn: Neue Erfassungstechnik des BND mit altem Gesetz?

With: Was meinen sie?

Hahn: G‑10-Schutz ist ja bei Paketvermittlung nicht mehr möglich zu 100 %: Spielte das eine Rolle bei Genehmigungen?

With: Wenn es einen Antrag gab, sind wir davon ausgegangen, dass das seine Richtigkeit hat.

Frage 1: SPD (19:48)

Flisek: Räumliche Geltung von Art. 10 Grundgesetz? Nicht nur BRD, sondern auch Ausland?

With: Deutsche Staatsangehörige in Deutschland, aber auch andere. Artikel 1 unterscheidet nicht zwischen Deutschen und Ausländern.

Flisek: Wenn zwei Afghanen telefonieren und BND das abhört, ist das G‑10?

With: Nach Gesetz ist es das nicht, es sollte es werden. Wäre Ausland-Ausland, offener Himmel.

Flisek: Offener Himmel aus Bundesverfassungsgericht 1999 ist das, was wir hier Routineverkehre nennen. Muss G‑10-Gesetz geändert werden oder Grundgesetz?

With: Nach geltender Rechtslage fällt das nicht unter Kontrollbefugnis nach G‑10 und damit der G‑10-Kommission.

Flisek: Nach ihrem Verständnis von Grundgesetz schon?

With: Ja. Muss erörtert werden. § 1 ff. BND-Gesetz erwähnen nicht, dass Art. 10 Grundgesetz eingeschränkt wird.

Flisek: Übertragung auf paketvernmittelte Transitverkehre. Frankfurt. Deutschland Transitland.

With: Ja.

Flisek: Offener Himmel?

With: Ja. G‑10-Kontrollen greifen nicht.

Flisek: Zählt es zu legitimen Aufgaben des BND, Transitverkehre zu überwachen?

With: Ja, BND soll Personen mit allen Mittel und Möglichkeiten vor Terror schützen. Kommt drauf an, wie das kontrolliert wird. Neben Kontrolle im BND auch unabhängige Kontrolle wie durch G‑10-Kommission.

Flisek: Aufgabe des BND ist und soll Schutz deutscher Staatsbürger sei und dazu Ausland überwachen. Geltendes Recht dafür geeignet?

With: Nein. § 1 und § 2 BND-Gesetz sagen nicht, dass Artikel 10 Grundgesetz eingeschränkt wird, was Artikel 19 Grundgesetz verlangt. Rein rechtlich geht das nicht.

Flisek: Aufgabennormen, keine Befugnisnormen.

With: Habe allerhöchste Zweifel, ob das rechtlich gedeckt ist.

Flisek: Rechtslage ist, wie sie ist. Wir werden da Vorschläge dazu machen. Vertretbar, wenn BND angesichts dieser Rechtslage und seinem Aufgabengebiet geltendes Recht so anwendet, wie sie es kritisiert haben, mit Nachbesserungs-Bedarf, aber das er es trotzdem tut? Vertretbar oder rechtswidrig?

With: Nach den Gegebenheiten ist die derzeitige rechtliche Lage nicht mehr lange vertretbar.

Flisek: Weil die Diskussion sich so entfaltet? In Vergangenheit nicht rechtswidrig?

With: Ja. Wir wissen jetzt mehr. Situation verändert sich. Diskussion ist da, war sie vor fünf Jahren nicht. Nicht mehr lange vertretbar. Aber hinnehmbar, wie es war.

Flisek: Konkrete Vorstellungen, wie Regelungen aussehen könnten? Benachrichtigungspflicht?

With: Offener Himmel wie nach G‑10-Gesetz unterscheiden zwischen Individualmaßnahme und strategische Aufklärung. Absprechen mit Notwendigkeiten. Von uns war keiner in AFG oder Somalia, um zu wissen, wie schnell dort was passiert. Vorher regeln, wie Reichweite Artikel 10 GG aussehen soll.

Flisek: Sehe das auch so. Graubereich.

With: Ist ja Kernhandwerk des BND. Mehr Nicht-G-10-Maßnahmen als G‑10-Maßnahmen. Hört man.

Flisek: G‑10-Kommission auch für Beschwerden zuständig. Gab es welche?

With: Kann mich nicht erinnern. Gibt wenig. Kann mich an keine erinnern.

Flisek: Technische Entwicklung. Wie in Arbeit eingeflossen? Sachverstand von außen geholt? Zeugen sagten, leitungsvermittelt zu paketvermittelt war Zäsur. Ist ja auch relevant für Anwendung der Gesetze.

With: Richtig. NÖ.

Frage 1: Grüne (20:04)

Notz: Vor 5–6 Jahren nicht die Kenntnisse wie heute. Wussten sie nicht, was wir heute wissen?

With: Darstellungen in Süddeutsche wussten wir nicht. Aber Begriff des offenen Himmels kannten wir. Gab Diskussionen. Aber wir haben gelernt.

Notz: Süddeutsche zu Eikonal nach Snowden, mit NSAUA. Auch Probleme bei G‑10-Kommission?

With: Diskussion 2014 betrifft mich nicht mehr, bin raus.

Notz: Sie sagten: „Heute wissen wir mehr.“

With: Heute weiß ich mehr.

Notz: Kannte BND die Probleme vor sechs Jahren, und hat sie G‑10-Kommission nicht gesagt? Hätte erzählen müssen?

With: NÖ.

Notz: Kooperation BND und AND 2004 ohne G‑10-Anordnung. Ginge das?

With: Offener Himmel ja.

Notz: Ausland-Ausland?

With: Ja.

Notz: Und wenn auch anderes darüber ging?

With: Muss Ausland-Ausland sein.

Notz: Und wenn beide Punkte im Ausland, aber in Deutschland geswitcht und vermittelt, dann G‑10-Anordnung?

With: Wenn Deutsche Verkehre auf der Leitung sind, dann bedarf es einer Genehmigung.

Notz: Wenn man damit zu ihnen kommt, muss man ihnen sagen, dass man: 1. mit AND kooperiert, 2. dessen Technik einsetzt, 3. es gar nicht um die benannten G‑10-Verkehre geht, sondern den Rest, auch genannt Routineverkehre?

With: Immer, wenn es um Schutz einer Person nach G‑10 geht, ist G‑10-Anordnung nötig.

Notz: Und wenn es um sehr viel mehr geht als G‑10-Verkehre? Und Technik von AND kommt?

With: Wenn dabei Deutsche betroffen sind, bedarf es einer Genehmigung. Egal, was dran hängt.

Notz: Die legalisiert auch Abgriff anderer Daten?

With: Ist nicht der Fall. Nie kann etwas genehmigt werden, wovon wir nichts wissen.

Notz: Und wenn?

With: Wenn es eine Verquickung von G‑10 und Nicht-G-10 gibt, und das nicht trennbar ist, hätte das unter allen Umständen mitgeteilt werden müssen.

Notz: Spielt für sie Einbindung von Bundesnetzagentur und BSI eine Rolle?

With: Eigentlich nicht.

Notz: Zertifizierung wichtig?

With: Nein. NÖ.

Notz: Stellte sich Frage nach Technik? Satellitenschüsseln hat auch jemand zertifiziert. Habe ich noch gar nicht darüber nachgedacht.

With: NÖ.

Frage 2: Union (20:12)

Warken: Glasfaserkabel mit Daten Deutscher und Ausländer. Nicht mehr trennbar. G‑10-Anordnung. Greife Daten ab. Geschützte Daten und Beifang. Was mache ich mit Beifang? Verwenden oder Löschen?

With: Beifang als offener Himmel kann G‑10-Kommission darüber nicht verfügen. Wenn sie Beifang wollen, warum nicht ohne G‑10-Anordnung?

Hahn: Weil sie nicht ans Kabel kommen.

With: Wieso? Wenn Betreiber eine G‑10-Anordnung will, müssen sie eine holen. Wenn sie eine G‑10-Anordnung vorschieben, obwohl sie das gar nicht wollen, wäre das in höchstem Maße unredlich.

Ströbele: In höchsten Maße.

Warken: BND wäre nicht berechtigt zur Erhebung.

With: Wäre erlaubt. Aber mit G‑10-Maßnahme spielen, um etwas anderes zu erreichen. Nach G‑10 muss auch Verhältnismäßigkeit geprüft werden. Das ist unverhältnismäßig. Das geht so nicht.

Frage 2: Linke (20:16)

Hahn: Haben sie je Nachweise verlangt für Zertifizierung der Erfassung und Filterung, ob das auch funktioniert? Filterung verlässlich?

With: Frage hat sich nicht gestellt. War nie bekannt, dass das irgendwo angewendet werden würde. Das was Süddeutsche sagt, war bisher nicht Gegenstand der Verhandlungen.

Hahn: Wurde gesagt, dass gefiltert wird?

With: NÖ.

Hahn: Haben sie Filter beim BND geprüft?

With: Wir sind nie… NÖ.

Hahn: War ihnen bekannt, wie BND erfasste Verkehre trennt in geschützte und angeblich nicht-geschützte Verkehre?

With: NÖ.

Hahn: Gratwanderung: öffentliches Interesse.

With: Sehr gern Regelung in G‑10-Gesetz, das sagt was und wie und wo.

Hahn: Kennen sie Funktionsträgertheorie?

With: Zugsamenhang?

Hahn: Daten Deutscher im Ausland für ausländische juristische Person nicht geschützt? Funktionsträger, kein Grundrechtsträger? BND-Auffassung.

With: Verstehe ich nicht ganz. Auch wenn ein Funktionsträger im Ausland ist. Bei strategischer Kontrolle ist Funktionsträger oder nicht Wurscht.

Hahn: Deutsche?

With: Nach geltendem Recht darf das Telefon des Deutschen im Ausland nicht angezapft werden.

Hahn: Erfassungsobergrenze von 20 Prozent der ausgewählten Übertragungskapazität.

With: Ja.

Hahn: Wie wird das konkret angewendet?

With: Vorlagen verweisen auf Gesetz. Wir prüfen das. Im Einzelnen kann ich das nicht sagen. Sie kennen genügend Berichte, dass 20 Prozent nie ausgeschöpft wurden, sondern nur 1 bis 3 Prozent.

Hahn: 20 Prozent aller Telefonate weltweit jederzeit abschöpfen, gesetzmäßig?

With: Nicht auf der Welt. Auf den Strängen. Aber nicht generell 20 Prozent aller Telefone oder E‑Mail-Adressen.

Hahn: Ein TK-Anbieter hat zehn Leitungen, der BND beantragt zwei. Auf beiden 100 % abschöpfen. Korrekt?

With: Um Leitungen geht es nicht im Antrag. Prüfung, stimmt Katalog, passen Passworte, sind 20 % in Ordnung? Nie auf einzelne Stränge verwiesen.

Hahn: Sie erteilen Antrag?

With: Wir wissen nicht, ob da zwei oder drei Stränge drin. Es wird erwähnt, dass die 20 % eingehalten werden.

Hahn: Das steht drin und sie glauben das?

With: Es gab keine Anhaltspunkte, das zu bezweifeln.

Hahn: Von Eikonal nichts gehört. Zusammenarbeit mit AND, NSA, GCHQ informiert?

With: NÖ.

Frage 2: Grüne (20:24)

Ströbele: Kann ihre Situation nachvollziehen und zustimmen. Süddeutsche zu Eikonal. Umsetzung 2004/2005. Was haben sie damals genehmigt?

With: Ich kann nur meine Meinung nach Lektüre des Artikels sagen. Wenn das so wäre, hätten wir das nicht gewusst. Dann wäre ich düpiert.

Ströbele: Soweit wir das geprüft haben, bisher noch nichts falsches.

With: Knackpunkt sind ja die 5 %.

Ströbele: Genau da komme ich jetzt drauf. Süddeutsche: „Als der Abteilungsleiter der Technischen Aufklärung beim BND im Juli 2008 ein Resümee der Operation zog, räumte er ein, dass der Filter, der die Rechte der Deutschen sichern sollte, nie richtig funktionierte.“ Der war auch hier. „Das Vorhaben scheiterte daran, dass es technisch nicht möglich ist, eine absolute und fehlerfreie Trennung von geschützter und ungeschützter Kommunikation zu erreichen.“

With: Wenn das so ist, dann war das nicht in Ordnung. Dann hätten die das sagen müssen und ich hätte gesagt, das geht nicht.

Ströbele: Schlussfolgerungen für G‑10-Kommission?

With: Gehe davon aus, dass viele genauso gedacht hätten wie ich: das geht nicht.

Ströbele: Wurde auf falscher Tatsache getroffen?

With: Richtig. Wenn das so ist.

Hahn: Stimmt ja.

Ströbele: Grundlage ihrer ganzen Arbeit entzogen?

With: Was wäre wenn, was ist meine Meinung. Hat nichts mit Zeugenbefragung zu tun. Wenn das so war, war das eine Täuschung.

Ströbele: Wurde ihnen mitgeteilt, dass BND der NSA ganze Datenpakete gibt?

With: Muss man verifizieren. Was heißt Datenpakete? Wir haben strategische Kontrolle nach G‑10-Gesetz zu verantworten, nicht offenen Himmel. Spielt eine Rolle bei Austausch. Kann G‑10K nicht kontrollieren. Ist der § 7a G‑10-Gesetz, personenbezogene Daten, wird mitgeteilt, das ist es dann. Grauzone, die wir nicht kontrolliere, weil das nicht im G‑10-Gesetz steht.

Ströbele: War ihnen bekannt, dass NSA dem BND Selektoren gibt? Tausende, zehntausende oder mehr? Nach denen BND aufgefangene Verkehre durchsucht. Auch Wirtschaftsspionage dabei: EADS?

With: Kann mich nicht erinnern.

Frage 3: Linke (20:33)

Hahn: Haben sie BND-Dienststellen besucht?

With: Ja.

Hahn: Auch Methoden und Arbeitsweisen vorgestellt?

With: NÖ.

Hahn: Auch Bad Aibling?

With: Ich nicht. Erst nach meiner Amtstätigkeit. Nach Hörensagen danach.

Frage 3: SPD (20:35)

Flisek: Wir zitieren Zeitungsartikel, weil wir über eingestufte Sachen nicht reden dürfen, über Zeitungsartikel schon. Süddeutsche spricht von 5 % durchgerutscht. Vorsicht, wir haben noch keine Bestätigung.

With: Wenn das so wäre, wäre das Enttäuschung.

Frage 3: Grüne (20:36)

Notz: Zuständiger Abteilungsleiter sagte, dass die Filter nicht funktionierten. Verspreche ihnen, dass wir ihnen Akten zeigen werden, die sehr viel ergiebiger sind als Süddeutsche-Artikel. Gab es Bericht, wie Abgriff nach G‑10-Anordnung funktioniert?

With: Berichtet wurde, wie Trefferquote war. Kann man nachlesen.

Notz: Trefferquote?

With: Bei strategischer Beschränkung.

Notz: Wie viele Bad Guys man erfolgreich verfolgt hat?

With: Was relevant war für unsere Sicherheit. Proliferation.

Notz: Probleme bei Datenabgriffen?

With: Wüsste ich nicht.

Notz: Dass Filter nicht funktioniert haben?

With: Von Filtern war nie die Rede. Dass es Spam gab.

Notz: Spam?

With: Wurde abgestellt, gab dann keinen Spam mehr.

Notz: Berichte über Filter für G‑10-Träger?

With: Wüsste ich nicht. Ich kann mich nicht erinnern, dass Filter eine Rolle gespielt haben für unsere G‑10-Entscheidungen.

Notz: Sprachen DAFIS an. Was sollte der machen?

With: Weiß ich nicht. Erst nach meiner Amtszeit erfahren.

Notz: War nie Gegenstand der Diskussion oder Anordnungen?

With: Gründe für Anordnungen NÖ.

Notz: Von Filterproblematik nichts gehört?

With: Zum ersten Mal im Süddeutsche-Bericht.

Formalitäten: stellvertretende Vorsitzende (20:41)

Beschluss: Ausschuss der Öffentlichkeit.

Ende des öffentlichen Teils. Jetzt Umzug zum NÖ Teil.

[Das war’s für uns. Danke für’s Lesen. Zusammenfassung folgt. (20:41)]