Einsatz von Produkten zur informationstechnischen Überwachung der Firma "Candiru Limited" durch deutsche Sicherheitsbehörden

Haben Vertreter oder Beauftragte des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Behörden des Bundes bzw. den Vertretern von Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechnischer Systeme und Netzwerke vorgestellt, und wenn ja, wann, und welchen Behörden?

Waren Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Gegenstand der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?

Hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung beschäftigt, und wenn ja, wann, und mit welchem Ergebnis?

Wer wurde von ZITiS gegebenenfalls wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?

Inwieweit wurde ZITis gegebenenfalls vom Einsatz, einschließlich Testoder Erprobungseinsatz von Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung in Kenntnis gesetzt oder hat Kenntnis von technischen Fragen und Problemstellungen im Rahmen des Einsatzes (etwa zum Aufbau von Know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?

Hat die Bundesregierung alle gegebenenfalls infrage kommenden Gremien des Deutschen Bundestages für den Fall eines Ankaufs und eines Einsatzes von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet?

Wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?

Wurde gegebenenfalls eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, wenn ja, wann, und mit welchem Ergebnis, wenn nein, warum nicht?

Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde gegebenenfalls eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch die einsetzenden Behörden selbst vorgenommen?

Hat jede einsetzende Behörde gegebenenfalls selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?

Welche Behörden oder Einrichtungen wurden gegebenenfalls anlässlich bzw. im Nachgang eigener Überprüfungen der einsetzenden Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?

Waren die geschäftsführenden Bundesministerien gegebenenfalls anlässlich bzw. im Nachgang über den Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) informiert, und wenn ja, wer wurde jeweils wann und worüber unterrichtet?

Hat sich nach Kenntnis der Bundesregierung infolge von möglichen Überprüfungen bzw. Auswertungen des Einsatzes ergeben, dass die den Behörden des Bundes zur Verfügung gestellten Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) weiterer Einschränkungen bedürfen, und wenn ja, seit wann ist das bekannt geworden, und wann wurde dies entsprechend umgesetzt?

Wurden den zuständigen Kontrollgremien bzw. Gerichten Informationen über Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zu Verfügung gestellt, die den Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben, und wenn ja, welche?

Wurden Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) bislang eingesetzt, und wenn ja, in wie vielen Fällen mit wie vielen Betroffenen, und

a) wie viele dieser Vorgänge sind noch laufend,

b) wie viele dieser Vorgänge sind bereits abgeschlossen,

c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?

In wie vielen Fällen erfolgte – sofern Frage 14 bejaht wird – bislang nach Abschluss der Maßnahme eine Information an Betroffene, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung abgesehen oder soll dauerhaft davon abgesehen werden?

Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben – sofern Frage 14 bejaht wird – die beim Einsatz der Produkte von Candiru/Saito genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?

Welche Kosten sind gegebenenfalls jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „Candiru Ltd.“ bzw. „Saito Tech Ltd.“ für Behörden des Bundes bislang entstanden (bitte nach Behörde und Jahr aufschlüsseln)?