Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Bundesregierung glaubt Zusicherung der Firma CSC Solutions, nicht gegen Geheimschutzauflagen verstoßen zu haben [Update]

Wappen des

Wappen des “Bundesamts für Informationsmanagement und Informationstechnik der Bundeswehr”, für das CSC die Beratung zu einem “Führungsinformations-
system” übernahm

Im November hatten wir hier beschrieben, wie die US-Firma Computer Science Corporation (CSC) über ihre Ableger in Deutschland in viele große IT-Vorhaben in Deutschland eingebunden ist. Hierzu gehören unter anderem De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte oder das E-Strafregister. Die Süddeutsche Zeitung und der Norddeutsche Rundfunk hatten in ihrem Enthüllungsprojekt “Geheimer Krieg” darauf aufmerksam gemacht, dass die Beraterfirma mit ihren elf Tochtergesellschaften aber auch für heikle US-Geheimdienstmissionen angeheuert wurde. Es fiel demnach auf, dass CSC-Firmen häufig “in der Nähe von US-Militärstützpunkten” residieren. Unter anderem sollen Tausende MitarbeiterInnen der NSA zu CSC gewechselt sein. Ein Abhörprogramm der NSA wurde durch ein von CSC geführtes Konsortium durchgeführt. Die Autoren von “Geheimer Krieg” beschrieben CSC als die “EDV-Abteilung der amerikanischen Geheimdienstwelt”.

Viele der im Buch und dem Film versammelten Fakten gehen auf parlamentarische Anfragen (aka “Spähangriffe”) der Linksfraktion und der Grünen zurück. Nun haben Omid Nouripour, Konstantin von Notz und Hans-Christian Ströbele nachgelegt und von der Bundesregierung eine Antwort zu “Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen” verlangt. Die Drucksache ist diese Woche in das Informationssystem des Bundestag eingestellt worden.

Bundesregierung wäre gern vorher von NDR und Süddeutscher Zeitung informiert worden

Die Angelegenheit bleibt aber weiter nebulös. Das zuständige Bundesinnenministerium (BMI) will jedenfalls von dem Verdacht (“Behauptungen”) nichts gewusst und hiervon erst durch die “jeweiligen Presseveröffentlichungen” erfahren haben. Moniert wird, dass die Kanzlerin vom Rechercheteam der Zeitung bzw. des Senders nicht vorab informiert wurden. Dies hatte beispielsweise der Spiegel getan, als seine Journalisten zum abgehörten Mobiltelefon der Kanzlerin recherchierten.

Also hat das BMI eine schriftliche Stellungnahme der CSC Deutschland eingefordert. Zudem wurden Gespräche mit dem Vorstandsvorsitzenden geführt und die Antworten “mit eigenen Erkenntnissen zusammengeführt”. Heraus kam:

Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat. Es bestehen insbesondere auch keinerlei Anhaltspunkte dafür, dass die CSC Deutschland als selbstständige Gesellschaft vertrauliche Informationen an die amerikanische CSC weitergegeben hat, die von dort aus in andere Hände gelangt sein können.

Es sei aber “potenziell möglich”, dass ausländische Geheimdienste “Erkenntnisse auch mit Hilfe privater Firmen sammeln”. Deshalb werden mit Firmen, die in sensiblen Bereichen tätig sind, Verabredungen zum Geheimschutz getroffen (die sogenannte “Geheimschutzbetreuung”). Hierzu gehören unter anderem Sicherheitsüberprüfungen, aber auch das Versprechen dass niemand etwas Verbotenes tut. Das hat die CSC brav erfüllt. Denn wenn überhaupt sei der Mutterkonzern in den USA für die Zusammenarbeit mit US-Geheimdiensten zuständig:

Die CSC Deutschland Solutions GmbH hat vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA steht. Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig.

Die CSC Deutschland Solutions GmbH operiere also “organisatorisch und personell völlig getrennt”, man habe gegenseitig “keinerlei Einblick in die Verträge und Tätigkeiten”. Folglich hat Bundesregierung laut eigener Aussage keine Anhaltspunkte dafür, dass die CSC Deutschland “in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat”.

Immerhin: Externe MitarbeiterInnen dürfen keine Unterlagen an private Adressen senden

Das gleiche blinde Vertrauen gilt für die Möglichkeit, dass sich die Firma über die Ansprachen hinwegsetzen könnte, etwa wenn sie von US-Geheimdiensten zur Herausgabe von Informationen gezwungen würde:

Die Bundesregierung hat keinerlei Erkenntnisse, dass durch die CSC Deutschland Solutions GmbH versucht wurde, vertragswidrige Soft- oder Hardware einzubringen, um Informationen zum Nachteil der Bundesrepublik Deutschland abzuschöpfen.

Auch für Wirtschaftsspionage und Konkurrenzausspähung gebe es keine Anhaltspunkte. Allerdings wird erklärt, dass das Bundesamt für Verfassungsschutz zwar für die Bekämpfung der Wirtschaftsspionage (einer “durch staatliche Stellen durchgeführten oder organisierten Ausspähung von internen Betriebsgeheimnissen”) zuständig ist, nicht aber für das Ausspähen unter privaten Wirtschaftsunternehmen.

In der Antwort werden zahlreiche Maßnahmen des Geheimschutzes aufgezählt, die von den Angehörigen betreffender Firmen einzuhalten sind. Unter anderem wird in einigen Arbeitsgruppen “ausschließlich mit Hardware (u. a. Computer)” gearbeitet, die durch Bundesbehörden zur Verfügung gestellt werden. Externen MitarbeiterInnen ist es untersagt, Unterlagen an ihre geschäftlichen oder privaten Adressen zu senden. Dienstlich relevante Informationen müssen vor dem Versand “mit einem durch den Bund bereitgestellten Verschlüsselungsmechanismus (Chiasmus) verschlüsselt werden”. Wenn “belastbare Erkenntnisse vorliegen, die Zweifel an der Einhaltung von Vereinbarungen zum Geheimschutz begründen”, bestehe die Möglichkeit des Ausschlusses aus der Geheimschutzbetreuung.

Laut dem Bundesinnenministerium gebe es auch keine rechtliche Handhabe für einen Ausschluss aus dem reglementierten Verfahren zur Vergabe öffentlicher Aufträge. Geprüft wird allerdings, ob die Verträge mit CSC öffentlich gemacht werden könnten: Entweder im Rahmen ihres “Open-Government-Konzeptes” oder wenigstens in der Geheimschutzstelle des Bundestages, wo diese von Abgeordneten eingesehen werden können.

Keine Einsicht in den Quellcode

Zur Auftragsvergabe an CSC bzw. weiteren Firmen enthält die Antwort eine stattliche Tabelle von 109 Seiten. Dort wird auch angegeben, in welchen Fällen die jeweils belieferte Behörde Einsicht in den Quellcode von Software genommen hat: Nämlich niemals. Dies wird teilweise damit begründet, dass die Anwendungen durch das Bundesamt für Sicherheit in der Informationstechnik oder die NATO geliefert wurden. Dort seien sie zuvor zertifiziert worden.

Allerdings handelt es sich durchaus um delikate Anwendungen: CSC war beispielsweise für die Wartung des Maritime Command and Control Information Systems (MCCIS) zuständig, mit dem alle NATO-Staaten ihre Küsten sichern. CSC hat auch am “Führungsinformationssystem der Streitkräfte” mitgearbeitet. Die ebenfalls beteiligte deutsche Firma ESG Elektroniksystem- und Logistik beschreibt das System als “IT-Plattform, die es ermöglicht, auf dem Rechnerbildschirm am Arbeitsplatz, vom Bundesministerium der Verteidigung bis in das Einsatzland, ein gemeinsames Lagebild abzurufen”.

Update: Behauptet wurde in der Antwort, die Bundesregierung sei vom Rechercheteam nicht vorab informiert worden. Auf unsere Nachfrage hat Christian Fuchs, einer der Autoren von “Geheimer Krieg”, dies nun dementiert: “Die Bundesregierung sagt nicht die Wahrheit. Wir haben das Innenministerium erstmals am 26.7.2013 über CSC informiert und standen bis 8.8. manchmal mehrmals täglich in Kontakt mit drei Sprechern. Zudem haben wir am 20.10. vor der SZ/NDR-Berichterstattung nochmals Fragenkataloge an das BMI gesandt und den Kontakt bis 15.11. mit dem BMI wegen CSC gehalten.”

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Don't be the product, buy the product!

Schweinderl