Drucksache 18/12850
– 1310 –
Deutscher Bundestag – 18. Wahlperiode
Im Übrigen habe die NSA keine unmittelbar anfallenden Daten erhalten wollen, sondern sei im Eigeninteresse an einer Verbesserung der technischen Möglichkeiten des BfV interessiert gewesen. Das BfV sollte
durch die Software in die Lage versetzt werden, zum einen die Daten von Telekommunikationsverkehren
zum Schutze der inneren Sicherheit besser verarbeiten und zum anderen zusätzliche nachrichtendienstlich
wertvolle Hinweise zu gewinnen und diese gegebenenfalls dann auch an den Partner übermitteln zu können.
Das sei schon angesichts der Gefährdungslage für US-Standorte in Deutschland sehr plausibel. Die Untersuchung ergab dementsprechend auch keine Anhaltspunkte dafür, dass die NSA mit einer umfassenden Übermittlung von beim BfV anfallenden G 10-Daten rechnete.
Auch bei einer späteren regulären Verwendung der Software im BfV soll das existierende Stand-alone-System weiterverwendet werden, da der bisherige Probebetrieb gezeigt hat, dass es erhebliche Schwierigkeiten
gibt, das US-Programm in die bestehende IT-Infrastruktur des BfV einzugliedern. Mittlerweile ist entschieden, XKEYSCORE auf diese Weise im Wirkbetrieb einzusetzen. Ungeklärt blieb, aus welchen Gründen
diese Entscheidung erst nach über drei Jahren Probewirkbetrieb getroffen wurde.
4.
Bundesamt für Sicherheit in der Informationstechnik
Das BSI ist eine in Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums
des Innern, die für Fragen der IT-Sicherheit zuständig ist. Das BSI steht durch seine umfangreichen gesetzlichen Aufgaben (§ 3 BSIG) und durch seine Unterstützungs- und Koordinierungsdienstleistungen für die
Behörden des Bundes in einem engen Zusammenhang mit dem gesamten Untersuchungsauftrag (siehe
BT-Drucksache 18/843, B I). Es war insbesondere mit Expertise im Rahmen von Erkenntnisanfragen durch
Bundesbehörden und als technischer Dienstleister aktiv. Dabei ergänzen sich die Aufgaben des BSI und des
BfV im Gebiet der Spionageabwehr (§ 3 Abs. 1 Nr. 2 BVerfSchG). Wie der Vizepräsident des BSI als Zeuge
dem Ausschuss erläuterte, erfolgt deshalb in diesem Bereich eine enge Zusammenarbeit beider Behörden.
Zudem gibt das BSI die IT-Grundschutz-Kataloge heraus, die Empfehlungen für Standardschutzmaßnahmen
für typische IT-Systeme enthalten. In diesen Katalogen werden nicht nur technische, sondern auch organisatorische, personelle und infrastrukturelle Maßnahmen erörtert. Das BSI ist auch die zentrale Zertifizierungsstelle für die Sicherheit von IT-Systemen in Deutschland. Seit Inkrafttreten des „Gesetzes zur Erhöhung der
Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ 2015 müssen Betreiber sogenannter Kritischer Infrastrukturen nunmehr IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung
regelmäßig gegenüber dem BSI nachweisen. Seit 1. April 2011 besteht zudem das Nationale Cyber- Abwehrzentrum (Cyber-AZ), eine Kooperationseinrichtung der Sicherheitsorgane des Bundes zur Abwehr elektronischer Angriffe auf IT-Infrastrukturen des Bundes und der Wirtschaft.
Der Ausschuss konnte hinsichtlich der grundsätzlichen Aufgaben und der Ausrichtung des BSI wie auch der
Ausübung der Dienst- und Fachaufsicht durch das Bundesministerium des Innern keine Defizite feststellen.
Konkret mit einer Kooperation des BND mit der NSA befasst war das BSI zuständigkeitsgemäß nur in einem
Fall (EIKONAL). Es zertifizierte die vom BND zur Kabelerfassung in Frankfurt am Main eingesetzte Hardware. Nach den geltenden Rechtsvorschriften musste der BND beim BSI eine „Typmusterprüfung“ anhand