Deutscher Bundestag – 18. Wahlperiode
– 669 –
Drucksache 18/12850
werden.3233 Die Komplexität und fachlichen Anforderungen an XKEYSCORE habe sie nicht beurteilen können, aber zur Dauer der Erstellung des Sicherheitskonzepts für XKEYSCORE konnte sie folgende Angaben machen:
„[...] Es stellte sich zum Teil etwas schwierig dar, das Sicherheitskonzept zu erstellen,
weil da auf die Zuarbeit des Fachbe[reichs]- - also des betreuenden Bereiches zurückgegriffen werden muss. Das Sicherheitskonzept wird in einer Interviewtechnik erstellt.
Und da ist man weitestgehend darauf angewiesen, wie gut die Mitarbeiter, die das
System betreiben und technisch betreuen, das System kennen, ob sie auf Anhieb diese
entsprechenden, zum Teil sehr detaillierten technischen Fragen beantworten können
oder ob sie da selber noch mal prüfen müssen. Das hat die ganze Sache etwas verzögert, weil da doch manche Fragen sehr schwierig wohl zu beantworten waren, sodass
man also zum Ende des Untersuchungszeitraums mit dem Sicherheitskonzept zwar
schon sehr weit war, aber noch etliche Maßnahmen nicht geprüft werden konnten, ob
sie umgesetzt sind.“3234 Aus ihrer Sicht bestand das Problem insbesondere im verzögerten Feedback der Mitarbeiter.3235
Der für die Fachaufsicht des BfV zuständige Leiter der Abteilung Öffentliche Sicherheit im BMI, Zeuge
Kaller, hat die vom zuständigen Referat im BfV durchzuführenden Sicherheitskontrollen als „komplexe Prüfungen“ bezeichnet.3236
–
Die Leiterin der AG POSEIDON/XKEYSCORE, Zeugin Delmdahl, hat dazu ausgeführt, das Sicherheitskonzept sei „vergleichsweise umfangreich“.3237 Man nehme die Sicherheit der Daten nicht „lax“
und da man so hohe Sicherheitsanforderungen habe, dauere die Erstellung des Sicherheitskonzepts so
lang.3238
–
So ist einem Schreiben vom 11. Juli 2013 ein Katalog von zahlreichen Informationen zur Erstellung
des IT-Sicherheitskonzepts zu entnehmen, der anfänglich von IT17 gefordert wurde.3239 In den Akten
finden sich auszugsweise einige der konkret in einem IT-Sicherheitskonzept zu beantwortenden Fragestellungen; allein zu dem Punkt „Löschung und Vernichtung von Daten“ sind ca. 400 Fragen aufgelistet.3240 Die Antworten lagen im Untersuchungszeitraum nicht vollständig vor.
–
In einer E-Mail der IT-Sicherheitsbeauftragten des BfV wird zudem darauf hingewiesen, dass bei Veränderungen das IT-Sicherheitskonzept angepasst werden müsse.3241
–
Die IT-Sicherheitsbeauftragte des BfV, Zeugin Genkova, hat dazu erklärt:
3233)
3234)
3235)
3236)
3237)
3238)
3239)
3240)
3241)
Genkova, Protokoll-Nr. 89 I, S. 99.
Genkova, Protokoll-Nr. 89 I, S. 99.
Genkova, Protokoll-Nr. 89 I, S. 100.
Kaller, Protokoll-Nr. 106 I, S. 30.
Delmdahl, Protokoll-Nr. 86 I, S. 29.
Delmdahl, Protokoll-Nr. 86 I, S. 63.
Schreiben der IT-Sicherheitsbeauftragten des BfV an den Leiter IT17 vom 11. Juli 2013, MAT A BfV-10/1 (Tgb.-Nr. 40/14 –
GEHEIM), Band 1, Bl. 203 f (VS-NfD – insoweit offen).
Fragen IT-Sicherheitskonzept, MAT A BfV-10/1 (Tgb.-Nr. 40/14 – GEHEIM), Band 1, Bl. 467 ff (offen).
E-Mail der IT-Sicherheitsbeauftragten des BfV an IT des BfV bzgl. der Anforderungen zur Erstellung des Sicherheitskonzepts,
MAT A BfV-10/1 (Tgb.-Nr. 40/14 – GEHEIM), Band 1, Bl. 205 (offen).