Möglicher Einsatz von Produkten der Firmen Intellexa bzw. CYTROX durch deutsche Sicherheitsbehörden
der Abgeordneten Martina Renner, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Anke Domscheit-Berg, Dr. André Hahn, Ina Latendorf, Cornelia Möhring, Petra Pau, Sören Pellmann, Dr. Petra Sitte und der Fraktion DIE LINKE.
Vorbemerkung
Im EU-Parlament findet seit Monaten mit dem sogenannten PEGA-Ausschuss eine Untersuchung zum Einsatz der Spähsoftware Pegasus der NSO Group Technologies in der EU statt, und immer neue Details zur Ausspähung und zu fragwürdigen Einsätzen der Software werden bekannt (vgl. u. a. https://netzpolitik.org/2022/pegasus-untersuchungsausschuss-die-regeln-an-sich-sind-schon-mangelhaft/; www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-projekt-103.html).
Kritik hatte die Entscheidung hervorgerufen, dass Bundesbehörden wie das Bundeskriminalamt (BKA) und (wohl auch) der Bundesnachrichtendienst (BND) die Spähsoftware ebenfalls angeschafft haben (www.tagesschau.de/investigativ/ndr-wdr/spionagesoftware-nso-bka-107.html).
Parallel dazu wird das EU-Mitglied Griechenland aktuell von einem sehr ähnlichen Abhörskandal überschattet, da laut Medienberichten auf Anordnung des konservativen Regierungschefs u. a. Politikerinnen und Politiker der verschiedensten Parteien und Journalistinnen und Journalisten mittels der Spähsoftware „Predator“ überwacht und ausgespäht worden sein sollen (www.tagesschau.de/ausland/europa/griechenland-pegasus-abhoerskandal-101.html).
Das Ausmaß des Überwachungsskandals ist derzeit noch nicht absehbar.
Nun wurden die Firmensitze der Hersteller und Vertriebsfirmen in Griechenland durchsucht, nachdem ein von der Überwachung betroffener Journalist Klage gegen die Überwachung eingereicht hatte (www.haaretz.com/israel-news/security-aviation/2022-12-14/ty-article/report-police-raid-israeli-spyware-companys-offices-in-greece/00000185-0f4b-d26d-a1b7-dfdfb9710000).
Die Hersteller- und Vertriebsfirmen gehören nach Medienberichten zu einem komplexen Firmengeflecht, welches die Spähsoftware u. a. an sudanesische Milizen geliefert hat und damit die Menschenrechtslage vor Ort gefährdet (https://netzpolitik.org/2022/europaeeische-ueberwachungsexporte-intellexa-beliefert-sudanesische-paramilitaers/#netzpolitik-pw; www.lighthousereports.nl/investigation/flight-of-the-predator/).
Da „Intellexa“ auch Software für Big-Data-Anwendungen für Strafverfolgungsbehörden und Geheimdienste anbietet (www.techfacts.de/ratgeber/bereichernde-intelligenz-intellexa-tal-dilian-bereichert-die-welt-der-datenmengen/), scheint ihr Portfolio nach Einschätzung der Fragestellerinnen und Fragesteller für eine Vielzahl deutscher Behörden interessant.
Soweit der Einsatz von Softwareprodukten durch Behörden und Stellen des Bundes erfragt werden, sollten diese Informationen entsprechend der Antwort der Bundesregierung auf die Schriftliche Frage 36 auf Bundestagsdrucksache 20/534 im regelmäßig gepflegten Assetmanagement für Hard- und Software in den jeweiligen Ressorts und Bundesbehörden verfügbar sein, andernfalls wären diese (nachträglich) zu erheben.
Wir fragen die Bundesregierung:
Fragen19
Haben Vertreter oder Beauftragte des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ Behörden oder Stellen des Bundes bzw. den Vertretern von Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechnischer Systeme und Netzwerke sowie zur Massendatenanalyse und Massendatenverarbeitung vorgestellt, und wenn ja, wann sowie welchen Behörden oder Stellen des Bundes bzw. den Vertretern welcher Behörden, und welche ehemaligen Mitarbeiter von Bundesbehörden waren in die Verabredung der Präsentation eingebunden?
Werden bzw. wurden Produkte des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ von Einrichtungen oder Stellen des Bundes eingesetzt, und wenn ja, welche (bitte Name des Produkts, einsetzende Behörde und Einsatzzweck, sowie von wann bis wann der Vertrag bestand bzw. besteht, angeben)?
Waren Produkte und Leistungen zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ Gegenstand der Marktsichtung durch Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?
Hat sich ZITiS mit Produkten und Leistungen im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung beschäftigt, und wenn ja, wann, und mit welchem Ergebnis?
Wenn Frage 3 oder 4 bejaht wurde, wer wurde von ZITiS wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?
Inwieweit wurde ggf. ZITiS vom möglichen Einsatz einschließlich Testoder Erprobungseinsatz von Produkten und Leistungen im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung in Kenntnis gesetzt oder hat Kenntnis von technischen Fragen und Problemstellungen im Rahmen des möglichen Einsatzes (etwa zum Aufbau von Know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?
Hat die Bundesregierung alle ggf. infrage kommenden Gremien des Deutschen Bundestages über den möglichen Ankauf und den Einsatz von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Intellexa“ bzw. deren Tochterunternehmen „CYTROX“ durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet, und wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?
Wurde ggf. eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, und wenn ja, wann, und mit welchem Ergebnis, und wenn nein, warum nicht?
Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde ggf. eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ durch die einsetzenden Behörden selbst vorgenommen?
Hat ggf. jede einsetzende Behörde selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?
Welche Behörden oder Einrichtungen wurden ggf. anlässlich bzw. im Nachgang eigener Überprüfungen der einsetzenden Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?
Waren ggf. die geschäftsführenden Bundesministerien anlässlich bzw. im Nachgang über den möglichen Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung oder zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ informiert, und wenn ja, wer wurde jeweils wann und worüber unterrichtet?
Hat sich nach Kenntnis der Bundesregierung ggf. infolge von Überprüfungen bzw. Auswertungen des möglichen Einsatzes ergeben, dass die Behörden des Bundes zur Verfügung gestellte Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ weiterer Einschränkungen bedürfen, und wenn ja, seit wann ist das bekannt geworden, und wann wurde dies entsprechend umgesetzt?
Welche Informationen über Produkte und Leistungen zur informationstechnischen Überwachung zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ wurden ggf. den zuständigen Kontrollgremien bzw. Gerichten zu Verfügung gestellt, die den möglichen Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben?
Wurden Produkte und Leistungen zur informationstechnischen Überwachung zur Massendatenanalyse und Massendatenverarbeitung im Angebot des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ bislang eingesetzt, und wenn ja, in wie vielen Fällen mit wie vielen Betroffenen, und
a) wie viele dieser Vorgänge sind noch laufend,
b) wie viele dieser Vorgänge sind bereits abgeschlossen,
c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?
Erfolgte bislang ggf. nach Abschluss der Maßnahme eine Information an Betroffene, und wenn ja, in wie vielen Fällen, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung h abgesehen oder soll dauerhaft davon abgesehen werden?
Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben die beim möglichen Einsatz der Produkte des Unternehmens „Intellexa“ bzw. von dessen Tochterunternehmen „CYTROX“ genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?
Welche Kosten sind ggf. jeweils durch die mögliche Beschaffung, den Betrieb und die Wartung von Produkten des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ für Behörden des Bundes bislang entstanden (bitte nach Behörde und Jahr aufschlüsseln)?
Wurden deutsche Behörden ggf. seitens anderer EU-Mitgliedstaaten im Rahmen der Rechtshilfe um mögliche Unterstützung bzw. Durchführung von Ermittlungsmaßnahmen hinsichtlich des Unternehmens „Intellexa“ bzw. dessen Tochterunternehmens „CYTROX“ ersucht, und wenn ja, wann durch welche europäischen Behörden?