Nationale und internationale Kooperationen des Bundesamtes für die Sicherheit in der Informationstechnik
der Abgeordneten Martina Renner, Dr. André Hahn, Gökay Akbulut, Christine Buchholz, Anke Domscheit-Berg, Heike Hänsel, Andrej Hunko, Ulla Jelpke, Amira Mohamed Ali, Niema Movassat, Thomas Nord, Dr. Petra Sitte, Helin Evrim Sommer, Kersten Steinke, Friedrich Straetmanns, Dr. Kirsten Tackmann und der Fraktion DIE LINKE.
Vorbemerkung
In der 18. Wahlperiode hat sich der Deutsche Bundestag aufgrund der Veröffentlichungen von Edward Snowden intensiv mit der Arbeitsweise der Nachrichtendienste befasst. Dabei wurde nach den Würdigungen der Fraktionen DIE LINKE. und BÜNDNIS 90/DIE GRÜNEN in deren gemeinsamen Sondervotum zum Abschlussbericht des 1. Untersuchungsausschusses der 18. Wahlperiode (Bundestagsdrucksache 18/12850, S. 1394 ff.) auch die Mitwirkung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) an der Einrichtung der Massenüberwachung des Bundesnachrichtendienstes bei der Deutschen Telekom bekannt und auch internationale Kooperationen mit US-amerikanischen und britischen Behörden (vgl. Bundestagsdrucksache 18/12850, S. 1431 ff., 551 ff.).
Zudem ist bekannt geworden, dass entgegen früherer Darstellungen das BSI durch das Bundesministerium des Innern angewiesen wurde, das Bundeskriminalamt bei der Entwicklung der Software für die Quellen-TKÜ (TKÜ = Telekommunikationsüberwachung) zu unterstützen (www.heise.de/newsticker/meldung/Geheimpapiere- BSI-entwickelte-Bundestrojaner-mit-2577582.html).
Wir fragen die Bundesregierung:
Fragen24
Wie viele Kooperationen hat das BSI seit 2015 mit ausländischen Sicherheitsbehörden oder Nachrichtendiensten im Zusammenhang mit bereits erfolgten oder begonnenen Angriffen auf in Deutschland befindliche bzw. genutzte IT-Systeme durchgeführt oder begonnen?
Welche deutschen und ausländischen Behörden waren an den in Frage 1 erfragten Kooperationen beteiligt (bitte nach Jahr, Anzahl, Namen und Herkunftsland der beteiligten Stellen einzeln auflisten)?
Auf welchen gesetzlichen, vertraglichen oder vertragsähnlichen Grundlagen basierten die in Frage 1 erfragten Kooperationen unter Beteiligung des BSI im Einzelnen jeweils?
Wurden bei den in Frage 1 erfragten Kooperationen zwischen den beteiligten Stellen Daten aus oder von in Deutschland befindlichen bzw. genutzten IT-Systemen ausgetauscht, und wenn ja, zwischen welchen Stellen welche Daten in welcher Größenordnung?
Wurden bei den in Frage 1 erfragten Kooperationen Betreiber und/oder Nutzer der betroffenen in Deutschland befindlichen bzw. genutzten IT-Systeme informiert (bitte einzeln auflisten Art, Umfang und der Adressat Informationen)?
Welche die Aufsicht führenden bzw. für die Kontrolle zuständigen Bundesministerien, Gremien oder Behörden wurden wann und wie über die in Frage 1 erfragten Kooperationen informiert (bitte einzeln auflisten, ob Informationen vor oder nach Beginn oder nach Abschluss der Kooperation erfolgten)?
Wie viele Kooperationen hat das BSI seit 2015 mit ausländischen Sicherheitsbehörden oder Nachrichtendiensten anlässlich bevorstehender oder erwarteter Angriffe auf in Deutschland befindliche IT-Systeme durchgeführt oder begonnen?
Welche deutschen und ausländischen Behörden waren an den in Frage 7 erfragten Kooperationen beteiligt?
Auf welchen gesetzlichen, vertraglichen oder vertragsähnlichen Grundlagen basierten die in Frage 7 erfragten Kooperationen unter Beteiligung des BSI im Einzelnen jeweils?
Wurden bei den in Frage 7 erfragten Kooperationen zwischen den beteiligten Stellen Daten aus oder von in Deutschland befindlichen IT-Systemen ausgetauscht, und wenn ja, zwischen welchen Stellen welche Daten in welcher Größenordnung?
Wurden bei den in Frage 7 erfragten Kooperationen Betreiber und/oder Nutzer der betroffenen in Deutschland befindlichen bzw. genutzten IT-Systeme informiert (bitte Art, Umfang und der Adressat Informationen einzeln auflisten)?
Welche die Aufsicht führenden bzw. für die Kontrolle zuständigen Bundesministerien, Gremien oder Behörden wurden wann und wie über die in Frage 7 erfragten Kooperationen informiert (bitte einzeln auflisten, ob Informationen vor oder nach Beginn oder nach Abschluss der Kooperation erfolgten)?
In wie vielen Fällen hat sich das BSI seit 2015 mit welchen deutschen Stellen hinsichtlich Informationen über potentiell für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) ausgetauscht?
In wie vielen Fällen hat sich das BSI seit 2015 mit welchen europäischen Stellen hinsichtlich Informationen über potentiell für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) ausgetauscht?
In wie vielen Fällen hat sich das BSI seit 2015 mit welchen außereuropäischen Sicherheitsbehörden oder Nachrichtendiensten hinsichtlich Informationen über potentiell für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) ausgetauscht?
In wie vielen Fällen hat sich das BSI seit 2015 mit welchen Betreibern von IT-Netzwerken, Telekommunikationsdiensten, sozialen Netzwerken, Onlineplattformen oder Messengerdiensten hinsichtlich Informationen über potentiell sowohl für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) aber auch für sogenannte Hackerangriffe nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) ausgetauscht?
In wie vielen Fällen hat sich das BSI seit 2015 mit welchen Betreibern von IT-Netzwerken von Stellen des Bundes und der Länder hinsichtlich Informationen über potentiell sowohl für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) aber auch für sogenannte Hackerangriffe nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) ausgetauscht?
In wie vielen Fällen hat das BSI seit 2015 welchen Betreibern von IT-Netzwerken von Stellen des Bundes und der Länder über potentiell sowohl für Maßnahmen der Telekommunikationsüberwachung (bspw. Quellen-TKÜ, Onlinedurchsuchung, Einrichtung von pseudonymen Accounts) aber auch für sogenannte Hackerangriffe nutzbare Schwachstellen und Exploits (Zero-Day-Exploits) gewarnt und auf Maßnahmen gegen jene hingewirkt?
Haben Mitarbeiter ausländischer Sicherheitsbehörden oder Nachrichtendienste seit 2015 mit dem BSI in Deutschland zusammengearbeitet, und wenn ja,
a) jeweils zu welchem Zeitpunkt oder in welchem Zeitraum,
b) Mitarbeiter von welchen ausländischen Sicherheitsbehörden oder Nachrichtendiensten,
c) jeweils aus welchem Anlass, zu welchem Zweck und in welcher Weise,
d) auf welcher rechtlichen Basis?
Haben Mitarbeiter des BSI seit 2015 mit ausländischen Sicherheitsbehörden oder Nachrichtendienste außerhalb Deutschlands zusammengearbeitet, und wenn ja,
a) jeweils zu welchem Zeitpunkt oder in welchem Zeitraum,
b) mit welchen ausländischen Sicherheitsbehörden oder Nachrichtendiensten,
c) jeweils aus welchem Anlass, zu welchem Zweck und in welcher Weise,
d) auf welcher rechtlichen Basis?
In welcher Art und Weise hat das BSI die Zertifizierungsverfahren für die zur Quellen-TKÜ und Onlinedurchsuchung beschafften bzw. programmierten Programme begleitet (bitte einzeln für die jeweiligen Programme auflisten)?
In welcher Weise war das BSI ggf. daran beteiligt, für von Bundesbehörden beschaffte oder erstellte Programme Vorkehrungen und technische Vorgaben zu entwickeln bzw. zu implementieren bzw. ihre Umsetzung zu prüfen, welche sicherstellen sollen, dass
a) ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet werden kann (§ 100a Absatz 5 Satz 1 Nummer 1a der Strafprozessordnung – StPO) oder dass ausschließlich gespeicherte Inhalte und Umstände der Kommunikation, die ab der TKÜ-Anordnung während des laufenden Übertragungsvorgangs hätten überwacht und aufgezeichnet werden dürfen, überwacht und aufgezeichnet werden können (§ 100a Absatz 5 Satz 1 Nummer 1b StPO) und die Quellen-TKÜ nicht zu einem Vollzugriff auf Inhalte und Ressourcen des Zielsystems führt und damit faktisch eine rechtswidrige Onlinedurchsuchung bedeutet;
b) am Zielsystem nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind (§ 100a Absatz 5 Satz 1 Nummer 2 StPO) und die vorgenommenen Veränderungen am Zielsystem, soweit technisch möglich, automatisch rückgängig gemacht werden (§ 100a Absatz 5 Satz 1 Nummer 3 StPO)
(bitte für die einzelnen Programme jeweils auflisten)?
In welcher Weise war das BSI ggf. daran beteiligt, für von Bundesbehörden beschaffte oder erstellte Programme Vorkehrungen und technische Vorgaben zu entwickeln bzw. zu implementieren bzw. ihre Umsetzung zu prüfen, welche sicherstellen sollen, dass
a) – soweit möglich – technisch sichergestellt ist, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden (§ 100d Absatz 3 Satz 1 StPO),
b) technisch sichergestellt ist, dass am Zielsystem nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind (§ 100b Absatz 4 i. V. m § 100a Absatz 5 Satz 1 Nummer 2 StPO),
c) die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisch rückgängig gemacht werden (§ 100b Absatz 4 i. V. m. § 100a Absatz 5 Satz 1 Nummer 3 StPO), und
d) die Spähsoftware („das eingesetzte Mittel“ in der Terminologie der StPO) nach dem Stand der Technik gegen unbefugte Nutzung geschützt ist (§ 100b i. V. m. § 100a Absatz 5 Satz 2 StPO)?
(bitte für die einzelnen Programme jeweils auflisten)?
Welche Kosten sind anlässlich der Entwicklung von Programmen oder Tools für Quellen-TKÜ und Onlinedurchsuchung jeweils für die Einzelpositionen Lizenzkosten, Wartung und Betreuung sowie Entwicklung entstanden (bitte jeweils für die einzelnen entwickelten oder beschafften Programme und Tools sowie nach Jahren auflisten)?