Nutzung von Software ausländischer Hersteller im Sicherheitsbereich
der Abgeordneten Stephan Thomae, Grigorios Aggelidis, Renata Alt, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Britta Katharina Dassler, Dr. Marcus Faber, Otto Fricke, Markus Herbrand, Torsten Herbst, Katja Hessel, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Pascal Kober, Konstantin Kuhle, Oliver Luksic, Alexander Müller, Roman Müller-Böhm, Dr. h. c. Thomas Sattelberger, Dr. Wieland Schinnenburg, Jimmy Schulz, Frank Sitta, Judith Skudelny, Dr. Marie-Agnes Strack-Zimmermann, Benjamin Strasser, Katja Suding, Linda Teuteberg, Gerald Ullrich, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Laut einem Bericht der „Süddeutschen Zeitung“ vom 19. Oktober 2018 arbeitet Hessens Polizei als erste in Deutschland mit Software des privat geführten US-Unternehmens Palantir Technologies (vgl. www.sueddeutsche.de/digital/palantirin-deutschland-wo-die-polizei-alles-sieht-1.4173809). Dabei soll der Auftrag an Palantir vergeben worden sein, ohne Angebote von Bewerbern einzuholen. Die für Hessen angepasste Version heißt „Hessendata“. Sie greift auf drei Polizeidatenbanken für Kriminalfälle und Fahndungen, Verbindungsdaten aus der Telefonüberwachung, Daten aus ausgelesenen Handys Verdächtiger und Fernschreiben sowie auf Daten aus sozialen Medien zu.
Laut Bericht räumte der technische Direktor der Hessischen Zentrale für Datenverarbeitung (HDZ) im Palantir-Untersuchungsausschuss im Hessischen Landtag ein, er könne nicht 100-prozentig ausschließen, dass über eine heimlich installierte digitale Hintertür der Software Daten abfließen.
Wir fragen die Bundesregierung:
Fragen22
Mit welcher Software ausländischer Hersteller arbeiten jeweils a) das Bundesamt für Sicherheit in der Informationstechnik (BSI), b) die Bundespolizei (BPOL), c) das Bundeskriminalamt (BKA), d) das Zollkriminalamt (ZKA), e) das Bundesamt für Verfassungsschutz (BfV), f) der Bundesnachrichtendienst (BND) sowie g) das Amt für Militärischen Abschirmdienst (MAD) (bitte nach Produkt, Hersteller und Hauptsitz des Unternehmens aufschlüsseln)?
Wie schätzt die Bundesregierung die informationstechnische Sicherheit der in der Antwort zu Frage 1 genannten Software jeweils ein?
Welche Schlussfolgerungen zieht die Bundesregierung aus ihren Antworten zu den Fragen 1 und 2 hinsichtlich der jeweiligen Hersteller und mit ihnen verbundener Unternehmen?
Wie schätzt die Bundesregierung die Gefahr von Cyberspionage beim Einsatz von Sicherheitssoftware-Produkten aus Nicht-EU-Staaten ein?
Auf welche Datenbanken und welche Daten kann mit dem Programm „Hessendata“ nach Kenntnis der Bundesregierung zugegriffen werden?
Hält die Bundesregierung die Verbindung verschiedener Polizeidatenbanken mit Verbindungsdaten, Daten aus ausgelesenen Handys Verdächtiger und Fernschreiber sowie mit Daten aus sozialen Medien für mit dem deutschen Recht vereinbar?
Plant die Bundesregierung, die Software des US-Unternehmens Palantir Technologies auch in Bundesbehörden zu nutzen? Falls ja, welche Bundesbehörden sollen mit der Software arbeiten, und ab wann?
Auf welcher rechtlichen Grundlage werden Aufträge für ausländische Softwarehersteller vergeben?
In wie vielen Verträgen von Bundesbehörden mit ausländischen Softwareherstellern sind sogenannte No-Spy-Klauseln enthalten (bitte in prozentualen Anteil und Nennwert aufschlüsseln)?
Wie wird sichergestellt, dass die sogenannten No-Spy-Klauseln eingehalten werden?
Welche Schlussfolgerungen zieht die Bundesregierung in diesem Zusammenhang aus der in der Vorbemerkung zitierten Aussage des Direktors der HDZ im hessischen Palantir-Untersuchungsausschuss?
Welche Schlussfolgerungen zieht die Bundesregierung daraus, dass die Fernwartung von Software ausländischer Hersteller durch den jeweiligen Hersteller erfolgt?
Welche Schlussfolgerungen zieht die Bundesregierung daraus, dass die Fernwartung von Software des Herstellers Palantir durch Palantir selbst erfolgt?
Benötigt nach Kenntnis der Bundesregierung die Software des Herstellers Palantir eine Internetverbindung, um zu funktionieren?
Baut die Software im Regelbetrieb Verbindungen zu den Servern des Herstellers Palantir auf? Wenn ja, zu welchem Zweck?
Findet nach Kenntnis der Bundesregierung die gesamte Datenverarbeitung auf Servern im Eigentum der Sicherheitsbehörden bzw. im Eigentum der HDZ statt, oder wird ein Teil der Datenverarbeitung auf amerikanischen Servern durchgeführt?
Kann die Bundesregierung ausschließen, dass durch die Nutzung von Software ausländischer Hersteller ausländische Geheimdienste, die Hersteller selbst oder Dritte an deutsche Personendaten bzw. andere Daten deutscher Sicherheitsbehörden gelangen?
Kann die Bundesregierung ausschließen, dass durch die Nutzung von Software des Herstellers Palantir durch deutsche Behörden ausländische Geheimdienste, das private Unternehmen Palantir selbst oder Dritte an deutsche Personendaten bzw. andere Daten deutscher Sicherheitsbehörden gelangen?
Welche Behörden sind für die Aufsicht bzw. Überwachung der Fernwartung von Software ausländischer Hersteller zuständig?
Wie viele Warnhinweise zu Software ausländischer Unternehmen, die von Bundesbehörden genutzt werden, sind seit dem 1. Januar 2016 bei Bundesbehörden eingegangen (bitte nach Monat aufschlüsseln)? Wie geht die Bundesregierung mit solchen Warnhinweisen um?
In wie vielen Fällen wurde das BSI oder eine andere Stelle damit beauftragt, die Sicherheit von Software ausländischer Hersteller zu überprüfen?
In wie vielen Fällen wurde dabei Einsicht in den Quellcode genommen?