Einsatz von Produkten zur informationstechnischen Überwachung der Firma Quadream durch deutsche Sicherheitsbehörden
der Abgeordneten Martina Renner, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Anke Domscheit-Berg, Dr. André Hahn, Jan Korte, Ina Latendorf, Cornelia Möhring, Petra Pau, Sören Pellmann, Dr. Petra Sitte und der Fraktion DIE LINKE.
Vorbemerkung
Im Sommer 2021 war bekannt geworden, dass weltweit Journalisten, Menschenrechtsaktivistinnen und Menschenrechtsaktivisten, Geschäftsleute und Regierungspolitiker Opfer von Überwachungsmaßnahmen mithilfe des Programms „Pegasus“ der u. a. in Israel beheimateten Firma „NSO Group Technologies“ geworden waren (vgl. Vorbemerkung der Bundesregierung in der Antwort auf die Kleine Anfrage der Fraktion DIE LINKE. „Einsatz der Spionagesoftware „Pegasus“ in Deutschland“ auf Bundestagsdrucksache 19/32246).
Inzwischen wurde die NSO Group durch die US-Regierung auf eine Sanktionsliste gesetzt, und auch in Israel selbst führt das Verteidigungsministerium eine Untersuchung durch, denn der Einsatz von „Pegasus“ habe sich u. a. gegen befreundete Politiker und Regierungen, Journalisten und Menschenrechtsaktivisten und damit gegen die Interessen der USA gerichtet (https://www.commerce. gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other- foreigncompanies-entity-list; https://www.sueddeutsche.de/wirtschaft/nso-pegasus-spa ehsoftware-usa-1.5455882; https://www.computerbild.de/artikel/cb-News-Inter net-Wegen-Spyware-Vorwuerfen-Israel-untersucht-Pegasus-Entwickler-NSO- Group-30552193.html).
Dies bedeutet für die Konkurrenten der NSO Group offenbar neue Auftragschancen. So berichtete die israelische Tageszeitung „Globes“ bereits im August 2021, also kurz nach den Veröffentlichungen über „Pegasus“ und die NSO Group, dass das israelische Unternehmen Quadream, welches ebenfalls Produkte zum Eindringen in Mobilfunkgeräte und Hacken von Mobilfunkgeräten programmiert und anbietet, intensive Verkaufsgespräche mit Geheimdiensten in Marokko geführt hat (https://en.globes.co.il/en/article-nso-rival-quadream-in-ta lks-with-moroccan-govt-1001381146).
Die Produkte von Quadream (u. a. die Überwachungssoftware „Reign“) sollen über ähnliche oder sogar noch bessere Möglichkeiten zum Eindringen in Mobilfunkgeräte und Ausspionieren von Mobilfunkgeräten als „Pegasus“ verfügen (https://en.globes.co.il/en/article-nso-rival-quadream-in-talks-with-moroccan-g ovt-1001381146; https://en.globes.co.il/en/article-israeli-companies-face-troja n-horse-dilemma-1001396123; https://www.spiegel.de/netzwelt/gadgets/weiter e-israelische-firma-soll-iphone-schwaechen-ausgenutzt-haben-a-397881c0-a88 0-4ecb-88ca-0555e44bf8d8).
Der große Vorteil für Quadream ist, dass es seine Produkte wie unabhängig von etwaiger staatlicher Kontrolle über die in Zypern und damit in der EU residierende Vertriebsfirma InReach bewirbt und verkauft. Die Bundesregierung hat eingeräumt, dass Vertreter der Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) seit 2019 mit Vertretern von Quadream bzw. InReach im Rahmen einer Marktsichtung in Kontakt stehen, um sich über die Angebotspalette zu informieren (Antwort auf die Schriftliche Frage 13 auf Bundestagsdrucksache 20/104). Weitere Auskünfte wurden standardmäßig verweigert, um keine Hinweise auf etwaig erworbene Produkte der Firma und daraus resultierende Fähigkeiten der Behörden zu geben. Dass dem eine gravierende Lücke bei der Parlamentarischen Kontrolle gegenübersteht, scheint die Bundesregierung in Kauf zu nehmen.
Wir fragen die Bundesregierung:
Fragen22
Wann haben Vertreter oder Beauftragte des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern welchen Behörden des Bundes bzw. den Vertretern welcher Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informations-technischer Systeme und Netzwerke vorgestellt?
Waren Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern Gegenstand der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder durch Bedarfsträger im Geschäftsbereich der Bundesregierung?
War das Softwaretool „Reign“ Gegenstand einer Präsentation, eines Angebotes oder der Marktsichtung und etwaiger folgender Gespräche und Verhandlungen von Vertretern deutscher Stellen mit Vertretern des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern?
Wann, und mit welchem Ergebnis hat sich ZITiS, insbesondere hinsichtlich eines verfassungskonformen Einsatzes, mit Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern beschäftigt?
Gilt dies auch für das Softwaretool „Reign“, und würde ein Einsatz dieser Software – vergleichbar wie im Falle „Pegasus“ von der NSO Group – eine Anpassung und Veränderung der Software im Hinblick auf die rechtlichen Vorgaben in Deutschland und Europa eine Anpassung der Software „Reign“ erfordern?
Wer wurde von ZITiS wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?
Inwieweit wurde ZITiS von geplanten Anschaffungen einschließlich dem Test- oder Erprobungseinsatz von Produkten und Leistungen zur informationstechnischen Überwachung aus dem Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern durch welche Behörden des Bundes in Kenntnis gesetzt oder hat ZITiS Kenntnis von technischen Fragen und Problemstellungen im Rahmen des Einsatzes (etwa zum Aufbau von Know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?
Hat die Bundesregierung alle ggf. infrage kommenden Gremien des Deutschen Bundestages über einen Ankauf und einen Einsatz von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet?
Wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?
Wurde eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, wenn ja wann, und mit welchem Ergebnis, wenn nein, warum nicht?
Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde ggf. eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern durch die mit gesetzlichen Einsatzbefugnissen ausgestatteten Bundesbehörden selbst vorgenommen?
Hat jede zum Einsatz befugte Bundesbehörde selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?
Welche Behörden oder Einrichtungen wurden anlässlich bzw. im Nachgang eigener Überprüfungen der zum Einsatz befugten Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?
Waren die geschäftsführenden Bundesministerien anlässlich bzw. im Nachgang über den Erwerb, den Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern informiert, und wenn ja, wer wurde jeweils wann und worüber unterrichtet?
Hat sich nach Kenntnis der Bundesregierung infolge von Überprüfungen der Software und deren Arbeitsprozesse bzw. Auswertungen des (Test-)Einsatzes ergeben, dass die Behörden des Bundes zur Verfügung gestellte Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern weiterer Einschränkungen bedürfen, und wenn ja, wann ist das bekannt geworden, und wann wurde dies entsprechend umgesetzt?
Welche Informationen über Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern wurden den zuständigen Kontrollgremien bzw. Gerichten zu Verfügung gestellt, die den Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben?
In wie vielen Fällen mit wie vielen Betroffenen wurden Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern bislang eingesetzt, und
a) wie viele dieser Vorgänge sind noch laufend,
b) wie viele dieser Vorgänge sind bereits abgeschlossen,
c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?
In wie vielen Fällen erfolgte bislang nach Abschluss der Maßnahme eine Information an Betroffene, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung abgesehen, oder soll dauerhaft davon abgesehen werden?
Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben die beim Einsatz der Produkte von Quadream/Israel bzw. deren Vertriebsfirma InReach/Zypern genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?
Welche Kosten sind jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der Quadream/Israel bzw. deren Vertriebsfirma In-Reach/Zypern für Behörden des Bundes bislang entstanden (bitte nach Behörde und Jahr aufschlüsseln)?
Inwiefern bestehen Unterschiede im Falle der Beschaffung von Hard- bzw. Software zur informationstechnischen Überwachung von Anbietern innerhalb der EU gegenüber Anbietern von außerhalb?
Sind der Bundesregierung Fälle auch aufgrund von Berichterstattung der Medien u. Ä. bekannt geworden, die auf einen Einsatz von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens Quadream/Israel bzw. dessen Vertriebsfirma InReach/Zypern beispielsweise durch das Softwaretool „Reign“ gegen Journalistinnen und Journalisten, Politikerinnen und Politiker oder Angehörige bzw. Unterstützer von Bürger- und Menschenrechtsgruppen und Bürger- und Menschenrechtsinitiativen hindeuten, und wenn ja, wie viele?
Sind der Bundesregierung Fälle auch aufgrund von Berichterstattung der Medien u. Ä. bekannt geworden, die auf einen Einsatz von Produkten und Leistungen zur informationstechnischen Überwachung anderer Unternehmen gegen Journalistinnen und Journalisten, Politikerinnen und Politiker oder Angehörige bzw. Unterstützer von Bürger- und Menschenrechtsgruppen und Bürger- und Menschenrechtsinitiativen hindeuten, und wenn ja, wie viele?
Wie viele der in den Fragen 20 und 21 erfragten Fälle beziehen sich auf Betroffene in der EU, und wie viele auf Betroffene, die ihren Aufenthalt in Deutschland haben?