Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 30 2014

Bundesregierung glaubt Zusicherung der Firma CSC Solutions, nicht gegen Geheimschutzauflagen verstoßen zu haben [Update]

Wappen des

Wappen des “Bundesamts für Informationsmanagement und Informationstechnik der Bundeswehr”, für das CSC die Beratung zu einem “Führungsinformations-
system” übernahm

Im November hatten wir hier beschrieben, wie die US-Firma Computer Science Corporation (CSC) über ihre Ableger in Deutschland in viele große IT-Vorhaben in Deutschland eingebunden ist. Hierzu gehören unter anderem De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte oder das E-Strafregister. Die Süddeutsche Zeitung und der Norddeutsche Rundfunk hatten in ihrem Enthüllungsprojekt “Geheimer Krieg” darauf aufmerksam gemacht, dass die Beraterfirma mit ihren elf Tochtergesellschaften aber auch für heikle US-Geheimdienstmissionen angeheuert wurde. Es fiel demnach auf, dass CSC-Firmen häufig “in der Nähe von US-Militärstützpunkten” residieren. Unter anderem sollen Tausende MitarbeiterInnen der NSA zu CSC gewechselt sein. Ein Abhörprogramm der NSA wurde durch ein von CSC geführtes Konsortium durchgeführt. Die Autoren von “Geheimer Krieg” beschrieben CSC als die “EDV-Abteilung der amerikanischen Geheimdienstwelt”.

Viele der im Buch und dem Film versammelten Fakten gehen auf parlamentarische Anfragen (aka “Spähangriffe”) der Linksfraktion und der Grünen zurück. Nun haben Omid Nouripour, Konstantin von Notz und Hans-Christian Ströbele nachgelegt und von der Bundesregierung eine Antwort zu “Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen” verlangt. Die Drucksache ist diese Woche in das Informationssystem des Bundestag eingestellt worden.

Bundesregierung wäre gern vorher von NDR und Süddeutscher Zeitung informiert worden

Die Angelegenheit bleibt aber weiter nebulös. Das zuständige Bundesinnenministerium (BMI) will jedenfalls von dem Verdacht (“Behauptungen”) nichts gewusst und hiervon erst durch die “jeweiligen Presseveröffentlichungen” erfahren haben. Moniert wird, dass die Kanzlerin vom Rechercheteam der Zeitung bzw. des Senders nicht vorab informiert wurden. Dies hatte beispielsweise der Spiegel getan, als seine Journalisten zum abgehörten Mobiltelefon der Kanzlerin recherchierten.

Also hat das BMI eine schriftliche Stellungnahme der CSC Deutschland eingefordert. Zudem wurden Gespräche mit dem Vorstandsvorsitzenden geführt und die Antworten “mit eigenen Erkenntnissen zusammengeführt”. Heraus kam:

Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat. Es bestehen insbesondere auch keinerlei Anhaltspunkte dafür, dass die CSC Deutschland als selbstständige Gesellschaft vertrauliche Informationen an die amerikanische CSC weitergegeben hat, die von dort aus in andere Hände gelangt sein können.

Es sei aber “potenziell möglich”, dass ausländische Geheimdienste “Erkenntnisse auch mit Hilfe privater Firmen sammeln”. Deshalb werden mit Firmen, die in sensiblen Bereichen tätig sind, Verabredungen zum Geheimschutz getroffen (die sogenannte “Geheimschutzbetreuung”). Hierzu gehören unter anderem Sicherheitsüberprüfungen, aber auch das Versprechen dass niemand etwas Verbotenes tut. Das hat die CSC brav erfüllt. Denn wenn überhaupt sei der Mutterkonzern in den USA für die Zusammenarbeit mit US-Geheimdiensten zuständig:

Die CSC Deutschland Solutions GmbH hat vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA steht. Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig.

Die CSC Deutschland Solutions GmbH operiere also “organisatorisch und personell völlig getrennt”, man habe gegenseitig “keinerlei Einblick in die Verträge und Tätigkeiten”. Folglich hat Bundesregierung laut eigener Aussage keine Anhaltspunkte dafür, dass die CSC Deutschland “in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat”.

Immerhin: Externe MitarbeiterInnen dürfen keine Unterlagen an private Adressen senden

Das gleiche blinde Vertrauen gilt für die Möglichkeit, dass sich die Firma über die Ansprachen hinwegsetzen könnte, etwa wenn sie von US-Geheimdiensten zur Herausgabe von Informationen gezwungen würde:

Die Bundesregierung hat keinerlei Erkenntnisse, dass durch die CSC Deutschland Solutions GmbH versucht wurde, vertragswidrige Soft- oder Hardware einzubringen, um Informationen zum Nachteil der Bundesrepublik Deutschland abzuschöpfen.

Auch für Wirtschaftsspionage und Konkurrenzausspähung gebe es keine Anhaltspunkte. Allerdings wird erklärt, dass das Bundesamt für Verfassungsschutz zwar für die Bekämpfung der Wirtschaftsspionage (einer “durch staatliche Stellen durchgeführten oder organisierten Ausspähung von internen Betriebsgeheimnissen”) zuständig ist, nicht aber für das Ausspähen unter privaten Wirtschaftsunternehmen.

In der Antwort werden zahlreiche Maßnahmen des Geheimschutzes aufgezählt, die von den Angehörigen betreffender Firmen einzuhalten sind. Unter anderem wird in einigen Arbeitsgruppen “ausschließlich mit Hardware (u. a. Computer)” gearbeitet, die durch Bundesbehörden zur Verfügung gestellt werden. Externen MitarbeiterInnen ist es untersagt, Unterlagen an ihre geschäftlichen oder privaten Adressen zu senden. Dienstlich relevante Informationen müssen vor dem Versand “mit einem durch den Bund bereitgestellten Verschlüsselungsmechanismus (Chiasmus) verschlüsselt werden”. Wenn “belastbare Erkenntnisse vorliegen, die Zweifel an der Einhaltung von Vereinbarungen zum Geheimschutz begründen”, bestehe die Möglichkeit des Ausschlusses aus der Geheimschutzbetreuung.

Laut dem Bundesinnenministerium gebe es auch keine rechtliche Handhabe für einen Ausschluss aus dem reglementierten Verfahren zur Vergabe öffentlicher Aufträge. Geprüft wird allerdings, ob die Verträge mit CSC öffentlich gemacht werden könnten: Entweder im Rahmen ihres “Open-Government-Konzeptes” oder wenigstens in der Geheimschutzstelle des Bundestages, wo diese von Abgeordneten eingesehen werden können.

Keine Einsicht in den Quellcode

Zur Auftragsvergabe an CSC bzw. weiteren Firmen enthält die Antwort eine stattliche Tabelle von 109 Seiten. Dort wird auch angegeben, in welchen Fällen die jeweils belieferte Behörde Einsicht in den Quellcode von Software genommen hat: Nämlich niemals. Dies wird teilweise damit begründet, dass die Anwendungen durch das Bundesamt für Sicherheit in der Informationstechnik oder die NATO geliefert wurden. Dort seien sie zuvor zertifiziert worden.

Allerdings handelt es sich durchaus um delikate Anwendungen: CSC war beispielsweise für die Wartung des Maritime Command and Control Information Systems (MCCIS) zuständig, mit dem alle NATO-Staaten ihre Küsten sichern. CSC hat auch am “Führungsinformationssystem der Streitkräfte” mitgearbeitet. Die ebenfalls beteiligte deutsche Firma ESG Elektroniksystem- und Logistik beschreibt das System als “IT-Plattform, die es ermöglicht, auf dem Rechnerbildschirm am Arbeitsplatz, vom Bundesministerium der Verteidigung bis in das Einsatzland, ein gemeinsames Lagebild abzurufen”.

Update: Behauptet wurde in der Antwort, die Bundesregierung sei vom Rechercheteam nicht vorab informiert worden. Auf unsere Nachfrage hat Christian Fuchs, einer der Autoren von “Geheimer Krieg”, dies nun dementiert: “Die Bundesregierung sagt nicht die Wahrheit. Wir haben das Innenministerium erstmals am 26.7.2013 über CSC informiert und standen bis 8.8. manchmal mehrmals täglich in Kontakt mit drei Sprechern. Zudem haben wir am 20.10. vor der SZ/NDR-Berichterstattung nochmals Fragenkataloge an das BMI gesandt und den Kontakt bis 15.11. mit dem BMI wegen CSC gehalten.”

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 03 2013

Ministerien mussten erneut zu Enthüllungen von “Geheimer Krieg” Stellung nehmen – Keine Ausweisung von US-Spionen

Frank_Rieger_TwitterObwohl es noch keine neue Regierung gibt, hat letzte Woche nach zwei Monaten immerhin mal wieder eine Sitzung des Bundestages stattgefunden (Video). Hierzu gehörte auch die Fragestunde, in der Abgeordnete wöchentlich zwei Fragen beantwortet bekommen. Diesmal ging es viel um die Enthüllungen des Buchs “Geheimer Krieg” von John Goetz und Christian Fuchs und anderen Journalisten, das letzte Woche mal eben zur Auflösung der geheimdienstlichen Tarnorganisation “Hauptstelle für Befragungswesen” geführt hat. Auch die Auftragsvergabe an die US-Firma CSC und ihre Tochterunternehmen war vielfach auf der Agenda der Fragenden.

In vielen Fällen gab es wenig Neues. Die angefragten, verschiedenen Ministerien verwiesen auf frühere Antworten, erklärten sich nicht zuständig oder setzen weiter auf das volle Vertrauen in die US-Regierung, vor allem wenn es um Spionage aus deren Botschaften geht.

Hierzu hatte sich auch Katja Keul erkundigt und wissen wollen, wie das Abhören des Merkelphone weiter geahndet würde (“Sind wir uns beide darüber einig, dass dies gegen deutsches Recht verstößt?)”. Weitere Abgeordnete hatten sich der Debatte angeschlossen:

Cornelia Pieper, Staatsministerin im Auswärtigen Amt:

In der Tat hat die Bundesregierung natürlich auch gegenüber den amerikanischen Regierungsvertretern bis hin zum Präsidenten – das konnten Sie in den Medien verfolgen – ihre Verwunderung zum Ausdruck gebracht.

(Petra Pau [DIE LINKE]: „Verwunderung“!)

Wir arbeiten, wie Sie wissen, an internationalen Datenschutzabkommen. Ich glaube, das ist auch der richtige Weg. Man sollte nicht auf Verunsicherung und hypothetische Behauptungen setzen.

Hierzu gab es eine Zusatzfrage von Heike Hänsel, die wissen wollte wie deutsche Behörden kontrollieren, dass sich ausländische Dienste an das Spionageverbot halten. Auch die Reaktion der US-Botschaft wollte die Abgeordnete erfahren. Staatsministerin Pieper verwies auf “Untersuchungen des Bundesverfassungsschutzes”, alles andere sei geheim und würde im Rahmen der “nachrichtendienstlichen Zusammenarbeit” im Parlamentarischen Kontrollgremium (PKGr) behandelt. Gemeint waren wohl die Überflüge mit Hubschraubern der Bundespolizei, mit denen sich die deutschen Schlapphüte Amtshilfe holten um die Dächer der Botschaften zu überprüfen.

Deutlicher wurde der Staatssekretär des Innenministeriums Ole Schröder in seiner Antwort auf Fragen des Abgeordneten Konstantin von Notz. Es hat demnach bereits vorher Kontrollflüge gegeben:

Im Rahmen des gesetzlichen Auftrages der Spionageabwehr werden einzelne Liegenschaften bestimmter ausländischer Staaten vom BfV bereits seit längerem routinemäßig oder anlassbezogen aus der Luft begutachtet.

Das für die Spionage zuständige Inlandsgeheimdienst fand tatsächlich “verdeckte Aufbauten”, diese ließen aber “nicht zwangsläufig auf das Vorhandensein von SIGINT-Technik schließen”. Gemeint ist die “Signal Intelligence”, also das Abhören funkgebundener Kommunikation oder anderer elektronischer Signale.

Doch Schröder bestätigt die Annahme, dass im Regierungsviertel abgehört wird, durch seine eigene Menschenkenntnis:

Auf die sich aus der Natur der Sache ergebende erhöhte Gefahr einer Ausspähung mobiler Kommunikation im Regierungsviertel Berlins haben die Sicherheitsbehörden regelmäßig sensibilisierend hingewiesen. Dementsprechend werden einzelne Liegenschaften bestimmter ausländischer Staaten vom Bundesamt für Verfassungsschutz, BfV, im Rahmen des gesetzlichen Auftrages der Spionageabwehr bereits seit längerem routinemäßig oder anlassbezogen aus der Luft begutachtet.

Trotz gefundener Aufbauten auf den Dächern, trotz der Einsicht dass eine Spionage im Regierungsviertel wahrscheinlich ist ringt sich der Staatssekretär lediglich zur Phrase durch, man nehme “die aktuell gegen die USA und Großbritannien gerichteten Spionagevorwürfe sehr ernst”. Es handele sich höchstens um Einzelfälle:

Die Aktivitäten der Nachrichtendienste der verbündeten Staaten unterlagen bislang keiner systematischen, sondern ausschließlich einer anlassbezogenen Beobachtung bzw. Bearbeitung in begründeten Einzelfällen. Wenn sich Anhaltspunkte für eine Spionagetätigkeit befreundeter Staaten ergeben, gehen die Verfassungsschutzbehörden diesen mit den zur Verfügung stehenden Mitteln nach.

Es wäre nicht Schröder, der Staatssekretär von Minister Hanns-Peter Friedrich, wenn das Kontrolldefizit nicht in eine Forderung zur technischen Aufrüstung umgemünzt würde. Wie üblich geht es um “Cyber”:

Die Spionageabwehr wird sich auf diese neuen Herausforderungen einstellen – dies nicht nur in personeller, finanzieller und organisatorischer Hinsicht, sondern gerade auch im Hinblick auf eine notwendige weitere Ertüchtigung, um mit den technischen Möglichkeiten Schritt halten zu können. Dies gilt insbesondere auch für die Verstärkung der Cyberspionageabwehr.

Wenn wirklich mal DiplomatInnen beim Spionieren erwischt werden, werden sie entsprechend diplomatischen Gepflogenheiten “einbestellt” und gerügt. Je nach Schwere des Vorwurfs müssen sie das Land verlassen. Dieses Verfahren nennt sich “Stille Ausweisung”. Nach Medienberichten werden auf diese Weise aber nur Spitzeleien aus China, Russland oder Südkorea geahndet. So schrieb die Süddeutsche Zeitung vor zwei Wochen:

In den vergangenen vier Jahren wurden einige Agenten zur Ausreise gedrängt: 2009 reiste ein Nachrichtendienstler aus, der am chinesischen Generalkonsulat in München eingesetzt war. 2010 musste ein Mitglied des südkoreanischen Sicherheitsdienstes NIS gehen, der in Berlin akkreditiert war. 2011 traf es zwei Geheimdienstler, die an der russischen Botschaft gearbeitet hatten. 2012 gab es die stille Ausweisung eines an der russischen Botschaft eingesetzten Offiziers, weil er heimlich versucht haben soll, trotz Ausfuhrverbots militärisch nutzbares Material zu beschaffen. Amerikanische oder britische Agenten fallen so gut wie nie auf. Die letzte stille Ausweisung von US-Agenten in Deutschland liegt 14 Jahre zurück.

Andrej Hunko wollte daher wissen, wie sich die Zahl “Stiller Ausweisungen” im Verhältnis zu anderen Ländern, insbeson­dere Russland und China, darstellt. Staatsministerin Cornelia Pieper gab sich wortkarg. “Stille Ausweisungen” existieren demnach, werden gegen ausländischer Dienste verhängt wenn diese hierzulande beim Spionieren ertappt werden, müssen aber geheim bleiben:

Die Bundesregierung führt keine Statistiken über Persona-non-grata-Erklärungen. Zuletzt wurde im Juni 2012 ein Diplomat ausgewiesen. “Stille Ausweisungen” sind im Wiener Übereinkommen über Diplomatische Beziehungen nicht vorgesehen. Sie betreffen Absprachen zwischen Nachrichtendiensten, die aus nachvollziehbaren Gründen nicht öffentlich gemacht werden können.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 18 2013

CSC in alle großen IT-Vorhaben eingebunden: De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte, E-Strafregister

Braucht vielleicht noch ein Piktogramm für

Braucht vielleicht noch ein Piktogramm für “US-Behörde”: Grafik zur Akzeptanzerhöhung von “De-Mail”.

Am Wochenende hatte die Süddeutsche Zeitung im Enthüllungsprojekt “Geheimer Krieg” weiter nachgelegt: Demnach sei die US-Beraterfirma CSC mit ihren elf Tochtergesellschaften nicht nur für heikle US-Geheimdienstmissionen unterwegs, sondern arbeite auch für deutsche Ministerien. Naheliegend sei, dass CSC die hierüber erlangten Informationen an US-Behörden weitergebe. Der Zeitung fiel auf, dass CSC-Firmen häufig “in der Nähe von US-Militärstützpunkten” residieren.

Die Bundesregierung hatte die Verbindungen von CSC zum US-Geheimdienst nicht kommentiert – dies war zu erwarten. Das Bundesinnenministerium richtete aus, ihm genügten entsprechende Klauseln in den Rahmenverträgen mit CSC. Demnach sei es untersagt, “bei der Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten”.

Auch wenn es im Projekt “Geheimer Krieg” von der Süddeutschen und dem NDR häufig nicht erwähnt wird: Viele der Recherchen gründen auf sogenannten “Parlamentarischen Initiativen” im Bundestag. Hierzu gehören neben den bekannteren Kleinen Anfragen auch sogenannte Schriftliche oder Mündliche Fragen. Diese müssen innerhalb einer Woche beantwortet werden. Auch die Informationen zu den an CSC oder Booz Hamilton vergebenen Aufträge stammen aus solchen Initiativen.

Eine Durchsicht der Anfragen seit Juni (mithin den ersten Veröffentlichungen der Dokumente von Edward Snowden) ergibt Haarsträubendes: So erhielten CSC Deutschland Services und CSC Deutschland Solutions allein zwischen 2009 und 2013 mehr als 25 Millionen Euro für Studien, die teilweise äußerst delikate Sicherheitsinteressen tangieren. Eine weitere Frage förderte zutage, dass dies nur die Spitze des Eisbergs ist. In den vergangen Legislaturperioden erhielt CSC mit seinen Tochterfirmen ein Vielfaches der Summe für ähnliche Aufträge:

CSC_Booz_1714530

Bekannt wurde CSC durch eine Auftragsvergabe zur Prüfung des Quellcodes des vorübergehenden Staatstrojaners der deutsch-britischen Firma Gamma, den das BKA bis zur Entwicklung einer eigenen Hackersoftware einsetzen will. CSC ist darüberhinaus in alle derzeit laufenden, größeren IT-Vorhaben der Bundesregierung eingebunden. Hierzu gehört die eine “Machbarkeitsstudie zum Thema Identitätsmanagement” in der Bundesverwaltung oder die Begleitung des Vorhabens “IT-Sicherheitskit” für die “elektronische Patientenakte”.

CSC wirkte maßgeblich bei der Umsetzung des “Nationalen Waffenregisters” mit. Bis 2010 wurde der Umzug der Leitstellenumgebung der Bundespolizei vorbereitet. Andere Studien widmeten sich der Nutzung von Geodaten. Für das Justizministerium ist CSC an einer Projektgruppe “Elektronische Akte in Strafsachen” beteiligt und zeichnet für die Projektbegleitung verantwortlich. Gleiches galt für die “Elektronische Gerichtsakte” sowie das Projekt “Elektronisches Gerichts- und Verwaltungspostfach”, das unter dem Namen “BundOnline” firmiert. Für das Bundesverwaltungsamt war CSC sogar für die komplette Durchführung eines “Backup- u. Restore-Konzepts” zuständig.

CSC Deutschland Solutions ist auch für die Einführung des biometrischen Personalausweises verantwortlich. Bekanntlich hatte die Beraterklitsche “Public Opinions” hierfür ein Handbuch zur Propaganda und Medienzusammenarbeit erstellt, das unter anderem vor kritischen Blogs gewarnt hatte. Die Zuarbeit von CSC war aber weitaus gewichtiger: Die Firma erstellte beispielsweise eine “Studie zu Fragen der Berechtigungszertifikate” und unterstützte die MitarbeiterInnen der Ausweisbehörden bei der Umstellung. Hierzu gehörte auch die Versorgung mit nötigen Informationen, also jenen Fakten die zuvor im ominösen “Handbuch” zusammengetragen worden waren. CSC war danach für die Erstellung von “Handlungsleitfäden” verantwortlich. Ein weiterer Auftrag erging zur “Begleitung des Wirkbetrieb”, ein anderer lautete “Unterstützung bei der nPa Konzeption Webauftritt”. “nPa” steht für “Neuer Personalausweis”.

Weitaus delikater ist wohl die Mitarbeit von CSC bei der Einführung von “De-Mail”. Noch bis 2012 war die Firma mit der “Unterstützung bei der Fachkommunikation” befasst. Wie beim biometrischen Ausweis folgten mehrere Studien zur “Unterstützung bei der Öffentlichkeitsarbeit und Akzeptanzmanagement”. Ein Vorhaben “Projektunterstützung De-Mail” läuft noch bis März 2014. Das “Kompetenzzentrum De-Mail” wird bei der Presse- und Öffentlichkeitsarbeit beraten.

Nach den neuesten Veröffentlichungen der Süddeutschen, aber auch des Stern von vor drei Wochen gerät nun auch das Verteidigungsministerium in Bedrängnis. Denn auch dort wurden etliche Aufträge an CSC vergeben: Studien widmeten sich etwa Informationssystemen für die “Nationale Luftabwehr”, die Marine oder einzelne ihrer Fregatten. CSC beschaffte Software zur Cyberabwehr und reorganisierte die Datenverwaltung des Militärs. Noch andauernd ist die Beteiligung am maritimen Überwachungsprojekt “MARSUR”, das bald in das EU-Grenzüberwachungssystem EUROSUR integriert wird. Für die Marine war CSC sogar für ein IT-Sicherheitskonzept verantwortlich. Zum Auftragsvolumen gehörte unter anderem der Einbau einer Firewall.

Zum Vorab-Stöbern in weiteren Enthüllungen, die von “Geheimer Krieg” bis zum 28. November (dem entsprechenden Themenabend in der ARD) veröffentlicht werden, sei die Bundestagswebseite empfohlen. Die dortige Suchfunktion ist relativ zuverlässig; Suchbegriffe wie AFRICOM, “Cyber Storm” oder “DHS Frankfurt” fördern Antworten zutage, die uns in den nächsten Wochen weiter beschäftigen dürften.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 16 2013

Geheimer Krieg: IT-Beratung CSC im Bett mit NSA – und Bundesregierung

Die Süddeutsche Zeitung und der NDR berichten im Rahmen ihrer “Geheimer Krieg” – Recherchen über das IT-Beratungshaus Computer Sciences Corporation (CSC) , das in den USA viele Dienstleistungen für CIA und NSA betreibt und dessen deutsche Tochter gern gesehener IT-Dienstleister der Bundesregierung ist. Vor einem halben Jahr hätte dies noch keinen gestört, nach den Snowden-Enthüllungen läuten bei solchen Infos aber erstmal viele Alarmglocken. Kernfrage ist, inwiefern man einem Unternehmen, auch wenn es eine eigenständige Tochterfirma ist, noch trauen kann, wenn das Mutterunternehmen tief in den Geheimdienst-Militärischen Komplex der USA verstrickt ist.

Und was macht CSC nun für die Bundesregierung? Die Süddeutsche Zeitung listet einige Projekte auf, die durchaus auch von Interesse für die NSA sein könnte, um sich mit unseren kritischen Infrastrukturen besser auszukennen. Da ist einiges dabei, vom Staatstrojaner über unser verschlüsseltes Regierungsnetz, den ePerso und DE-Mail: Deutschland vergibt Aufträge an US-Spionagefirma.

Die Firma testete dafür unter anderem den Staatstrojaner des Bundeskriminalamts und unterstützte das Justizministerium bei der Einführung der elektronischen Akte für Bundesgerichte. Des Weiteren erhielt die CSC Aufträge, die mit dem sogenannten Regierungsnetz zu tun haben, über das die verschlüsselte Kommunikation von Ministerien und Behörden läuft. Die CSC beriet außerdem das Innenministerium bei der Einführung des elektronischen Passes und ist involviert in das Projekt De-Mail, dessen Ziel der sichere Mailverkehr ist.

Die Tagesschau berichtete gestern darüber:

Die Süddeutsche Zeitung hat noch eine Liste an weiteren US-Unternehmen, die Geheimdienstaufträge in Deutschland ausführen.

Die Meldung kann man neben diese aus dem August einordnen: Bundesregierung lässt sich von Booz beraten – kommt die NSA direkt in unsere kritische Infrastrukturen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Staatstrojaner FinFisher: Bundeskriminalamt bezahlt möglicherweise illegale Software, um den Quellcode zu bekommen

Das Bundeskriminalamt hat einen Vertrag über den Staatstrojaner abgeschlossen und Geld gezahlt, weil der Hersteller Gamma sonst den Quellcode nicht herausgegeben hätte. Das antwortete das Innenministerium auf eine Frage der Linkspartei. Ob die Schnüffelsoftware überhaupt legal eingesetzt werden darf, wird noch immer überprüft.

Nach unserem ersten Bericht im Januar würde kürzlich auch offiziell bestätigt, dass das Bundeskriminalamt den international bekannten Staatstrojaner FinFisher/FinSpy für 150.000 Euro gekauft hat.

Der Bundestags-Abgeordnete Andrej Hunko (Linkspartei) hat mal nachgefragt, wann die Zahlungen fällig werden und warum das schon vor Abschluss der Quellcode-Prüfung passiert:

Wann werden hinsichtlich des Vertrages zwischen dem Beschaffungsamt des Bundesministeriums des Innern und der Firma Elaman GmbH vom März 2013 bezüglich des Kaufs von staatlich genutzter Hackersoftware jeweils Zahlungen fällig – bitte auch die Höhe im Einzelnen angeben, aufgeschlüsselt nach einmaliger Kaufsumme sowie Lizenzgebühren –, und aus welchem Grund ist der Vertrag bereits geschlossen bzw. fließen bereits Gelder, obschon die Überprüfung des Quellcodes der Software durch die Firma noch nicht abgeschlossen ist, nach Ansicht des Fragestellers die Funktionsweise der Spionagesoftware also unbekannt ist und die rechtliche Vereinbarkeit ihrer Nutzung deshalb nicht zugesichert werden kann?

Gestern antwortete Dr. Christoph Bergner, Parlamentarischer Staatssekretär beim Bundesminister des Innern:

Das Bundeskriminalamt, BKA, setzt zur Überwachung verschlüsselter elektronischer Kommunikation eine Überwachungssoftware nach Maßgabe gesetzlicher Befugnisse ein.

Die Verwendung der Begriffe Hacker- bzw. Spionagesoftware legen den unrechtmäßigen Gebrauch nahe. Die Bundesregierung distanziert sich erneut von solchen Vorwürfen.

Das BKA hat im Herbst 2012 eine kommerzielle Software am Markt erworben, um verschlüsselte Kommunikation überwachen zu können, bis die vom BKA entwickelte Überwachungssoftware – sogenannte Eigenentwicklung – einsatzbereit ist.

Die Funktionen der erworbenen Überwachungssoftware waren dem BKA bereits vor Erwerb der Softwarelösung bekannt.

Die Prüfung des Quellcodes ist jedoch – wie ich bereits mehrfach vorgetragen habe – bei dem Erwerb einer Software nicht üblich und konnte nur Aufgrund der Bereitschaft dieses Herstellers erfolgen.

Er hat jedoch den Abschluss eines Kaufvertrags zur Bedingung gemacht.

Die mit dem Vertragspartner vereinbarten Zahlungsbedingungen sehen vor, dass lediglich eine Teilzahlung des vereinbarten Entgelts unmittelbar fällig wird, eine weitere Rate im Juni 2013 und die Schlusszahlung bei Auslieferung einer Softwareversion, die den Vorgaben der Standardisierenden Leistungsbeschreibung vollständig entspricht.

Der Erwerb im “Herbst 2012″ ist interessant, sagte uns das das BKA vor zwei Wochen noch:

Der Vertrag wurde durch das Beschaffungsamt des Bundesministerium des Innern und der Firma Elaman im März 2013 geschlossen.

Ob der Staatstrojaner überhaupt legal eingesetzt werden darf, ist weiterhin ungewiss. Noch immer überprüft die Firma CSC Deutschland Solutions GmbH , ob die gelieferte Version der FinFisher/FinSpy-Suite den Anforderungen der standardisierenden Leistungsbeschreibung entspricht. Erst, wenn das der Fall ist, dürfte die Software offiziell zum Einsatz kommen.

Frank Rieger, Sprecher des Chaos Computer Club, kommentierte den Kauf gegenüber netzpolitik.org:

Dieses Vorgehen des BKA ist de facto Wirtschaftsförderung für ein Unternehmen, das im Ruf steht Spitzelsoftware zu liefern, mit denen demokratische Oppositionelle in aller Welt ausgeforscht werden. Sich in derartige moralische Abgründe zu begeben, obwohl es keine Rechtsgrundlage für das Abhören per Trojaner in Deutschland gibt, zeugt einmal mehr vom kompletten Verlust des Realitätssinnes bei BKA und Innenministerium.

Andrej Hunko kommentierte gegenüber netzpolitik.org:

Deutlich wird, wie derartige Beschaffungsvorgänge vernebelt werden. Dass die nun mitgeteilten Details nicht im Auskunftsbegehren von netzpolitik herausgegeben wurden, illustriert die arrogante Haltung des BKA zur Informationsfreiheit.

Wieder werden immense Summen für digitale Spähwerkzeuge versenkt. Der Vertrag mit Elaman kam zustande, obwohl rechtliche Rahmenbedingungen zum Einsatz staatlich genutzter Trojaner längst nicht geklärt sind. Dies ist aus Sicht der Bürgerrechte ein fatales Signal an die Hersteller von Überwachungstechnologie.

Ich kritisiere die Meinung des Bundesinnenministeriums, wonach der Quellcode der polizeilich genutzten Software dem Betriebsgeheimnis der Hersteller unterliegen soll. Hier gehen Kapitalinteressen vor Datenschutz. Das gilt natürlich nicht nur für Trojaner (die ich übrigens sehr wohl als staatlich genutzte Hackersoftware bezeichnen würde). Denn die Entwicklung digitaler Analysewerkzeuge für den Bereich „Innere Sicherheit“ schreitet weiter fort. Dies beinhaltet die Nutzung von Suchmaschinen in polizeilichen Datenbanken ebenso wie Anwendungen zur automatisierten Auswertung der Videoüberwachung.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl