Die Rolle des Bundesamts für Sicherheit in der Informationstechnik in der PRISM-Ausspähaffäre
der Abgeordneten Jan Korte, Ulla Jelpke, Jens Petermann, Dr. Petra Sitte, Frank Tempel, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), dessen eigene Ursprünge im Bereich der Nachrichtendienste liegen – es ist aus der ehemaligen Zentralstellstelle für das Chiffrierwesen des Bundesnachrichtendienstes (BND) (www.bsi.bund.de) entstanden – hat sich bisher auffallend mit Kommentaren und Informationen zur sogenannten PRISM-Datenaffäre zurückgehalten, hat aber auch keinerlei Informationen zu möglichen technischen Zusammenhängen geliefert. Auffallend deshalb, weil bei diesem Bundesamt zumindest die Expertise vorauszusetzen ist, die technischen Möglichkeiten, Sicherheitslücken und mögliche Gegenmaßnahmen aufzuklären und eventuell auch weitere Informationen zu liefern.
In einer Presseinformation vom 26. Juli 2013 weist das BSI dagegen Vorwürfe einer Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste im Zusammenhang mit den Ausspähprogrammen PRISM und Tempora kategorisch zurück, sie „findet nicht statt“. Und weiter heißt es: „Das BSI hat weder die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX oder an anderen Stellen in Deutschland auszuspähen. Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein.“
Diese Zurückweisung einer so beschriebenen direkten Helfershelferrolle beim Ausspionieren deutscher und europäischer Bürgerinnen und Bürger im Zusammenhang mit PRISM hilft allerdings kaum dabei, die Rolle des BSI im Geflecht der Geheimdienst- und Sicherheitsbehörden tatsächlich zu klären. Denn in der Presseinformation heißt es weiter:
- „Das BSI tauscht sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus […] Im Kontext der Bündnispartnerschaft NATO arbeitet das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasst jedoch ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes.“
Und etwas kryptisch geht es weiter:
- „In Deutschland besteht eine strukturelle und organisatorische Aufteilung in Behörden mit einerseits nachrichtendienstlichem bzw. polizeilichem Auftrag und dem BSI mit dem Auftrag zur Förderung der Informations- und Cyber- Sicherheit. In anderen westlichen Demokratien bestehen mitunter Aufstellungen, in denen diese Aufgaben und Befugnisse in anderem Zuschnitt zusammengefasst werden. Die Zusammenarbeit des BSI mit diesen Behörden findet stets im Rahmen der präventiven Aufgabenwahrnehmung des BSI statt […]“.
Es gibt demnach erstens eine intensive Zusammenarbeit mit den Geheim- und Nachrichtendiensten europäischer und außereuropäischer Staaten. Die internationale Zusammenarbeit umfasst zweitens polizeiliche und geheimdienstliche Sicherheitsbehörden, wobei das BSI meint, das in der Bundesrepublik Deutschland geltende Trennungsgebot nicht berücksichtigen zu müssen, weil es drittens nur im Bereich der Prävention kooperiere.
Laut Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes vom 14. August 2009 ist das BSI aber auch zuständig für die Unterstützung der Verfassungsschutzbehörden und des BND, wobei „die Unterstützung nur gewährt werden darf, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen“ (§ 3 Absatz 1 Nummer 13 des BSI-Gesetzes).
Wir fragen die Bundesregierung:
Fragen22
Wie definiert und beschreibt die Bundesregierung die in der Presseinformation genannte „präventive Aufgabenwahrnehmung“ des BSI im Bereich der europäischen und internationalen Zusammenarbeit (bitte ggf. Beispiele anführen)?
Wie sieht der vom BSI in der Presseinformation genannte regelmäßige internationale Austausch zu technischen Fragestellungen der IT- und Internetsicherheit in der Regel aus?
Seit wann kennt das BSI die Software XKeyscore, und durch wen und wann hat das BSI darüber aus welchem Anlass Kenntnis erlangt?
Testet das BSI inzwischen XKeyscore, und wenn ja, seit wann, und ggf. mit welchem Ergebnis?
Wie erklärt die Bundesregierung, dass das Bundesamt für Verfassungsschutz (BfV) und der BND XKeyscore zur Erprobung bzw. zur Nutzung zur Verfügung gestellt bekommen und das BSI davon weder etwas weiß noch in die Erprobung und Nutzung miteinbezogen wurde?
Wann, und aus welchen Gründen bzw. Anlässen hat das BfV seit 2009 ein Ersuchen an das BSI um Unterstützung gestellt, das nach dem BSI-Gesetz aktenkundig gemacht werden muss?
Wann und aus welchen Gründen bzw. Anlässen hat der BND seit 2009 ein solches Ersuchen an das BSI um Unterstützung gestellt?
Hat die Bundesregierung seit Beginn der sogenannten PRISM-Affäre das BSI um Aufklärung gebeten?
Wenn ja, mit welchem genauen Auftrag, und wenn nein, warum nicht?
In welcher Form und mit welchen Ergebnissen hat sich das BSI mit den Enthüllungen des Whistleblowers und ehemaligen NSA-Mitarbeiter Edward Snowden befasst?
Mit welchen Geheimdiensten der Vereinigten Staaten von Amerika (USA) kooperiert das BSI seit wann, und auf wessen Initiative ist diese Kooperation entstanden?
Was genau war und ist Inhalt dieser Kooperationen jeweils, und in welcher Form finden sie jeweils statt (Zeitraum, Tagungsweise, welche Mitarbeiterebene usw.)?
In welcher Weise arbeitet und arbeitete das BSI mit der National Security Agency (NSA) der USA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
In welcher Weise arbeitet und arbeitete das BSI mit dem Central Security Service (CSS) der USA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
In welcher Weise arbeitet und arbeitete das BSI mit der Abteilung Special Source Operations (SSO) der NSA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
In welcher Weise arbeitet und arbeitete das BSI mit dem United States Cyber Command (USCYBERCOM) der USA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
In welcher Weise arbeitet und arbeitete das BSI mit der Central Intelligence Agency (CIA) der USA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
In welcher Weise arbeitet und arbeitete das BSI mit dem National Reconnaissance Office (NRO) der USA zusammen?
Was beinhaltet diese Kooperation, und seit wann besteht sie?
Welche Treffen zwischen Mitarbeitern des BSI und Mitarbeitern der vorgenannten US-Einrichtungen gab es in den letzten 24 Monaten zu welchen Themen, und wo fanden diese Treffen jeweils statt?
An welchen dieser Treffen nahmen auch Mitarbeiter welcher anderer deutschen Behörden teil?
In welcher Form hat das BSI bisher mit dem britischen Government Communication Headquarter (GCHQ) zusammengearbeitet, und welche präventiven Aspekte waren Gegenstand der Kooperation?
Hat das BSI nach Bekanntwerden der PRISM-Dokumente und der nachfolgenden Enthüllungen von sich aus Kontakt zu den maßgeblich Beteiligten gesucht?
Wenn ja, mit wem im Einzelnen, in welcher Form, und mit welchen Ergebnissen?
Wenn nein, warum nicht?
Haben europäische oder US-amerikanische Behörden die Initiative zu solchen Treffen nach den Enthüllungen ergriffen?
Wenn ja, welche?