Drucksache 18/12850
– 670 –
Deutscher Bundestag – 18. Wahlperiode
„[...] Aber in dem Moment, wo man in einen produktiven Betrieb wechseln möchte
und damit die Nutzung ausdehnen möchte, muss natürlich dann die Voraussetzung mit
dem IT-Sicherheitskonzept und technischer Prüfung erfüllt sein.“3242
„Jede Veränderung eines IT-Systems braucht auch ein neues Sicherheitskonzept bzw.
ein angepasstes Sicherheitskonzept. Sicherheitskonzepte müssen immer fortgeschrieben werden, je nachdem, wie die Systeme sich entwickeln.“3243
„[...] dieses Konzept, das dann erarbeitet worden ist, entsprechend fortgeschrieben
werden kann um die Änderungen, aber die Basis letztlich dann für das weitergeführte
Sicherheitskonzept bildet.“3244
Der Zeuge Heinz Fromm, der bis Juli 2012 BfV-Präsident war, hat sich in seiner Vernehmung vor dem Untersuchungsausschuss dazu erklärt, er könne nur die Zeit bis Mitte 2012 – also vor Beginn der Testphase –
beurteilen3245:
„[...] Es gibt ja die Vermutung oder Befürchtung, dass die Amerikaner da irgendwas
eingebaut haben könnten, das ihnen da nützt, um an die Rohdaten gewissermaßen zu
kommen. All diese Dinge sind natürlich unter Sicherheitsaspekten im BfV geprüft
worden, und ich kann sagen: Die IT-Sicherheit war immer sehr, sehr streng. Und ich
gebe offen zu, mir kam das manchmal zu streng vor, aber selbstverständlich ist niemand auf die Idee gekommen zu sagen: Bevor wir nicht also diese Sicherheitsangelegenheiten wirklich überzeugend geprüft haben, zu einem Ergebnis gekommen sind,
schmeißen wir die Maschine nicht an. - So war das. Und deswegen hat das alles auch
so lange gedauert.“3246
In seiner Stellungnahme zu dem Protokoll seiner Anhörung hat der Zeuge – im Hinblick auf die obige doppelte Verneinung – klargestellt:
„Wie aus dem Gesamtzusammenhang meiner Aussage ersichtlich ist, habe ich das Gegenteil zum Ausdruck bringen wollen, nämlich: alle Beteiligten stimmen darüber überein, dass unabdingbare Voraussetzung für die Inbetriebnahme des Systems der Abschluss der Sicherheitsüberprüfung sei."3247
ee)
Nichtübernahme des Entwurfs eines IT-Sicherheitskonzepts vom BND
Der Ausschuss hat sich auch mit der Frage befasst, warum im BfV ein vom BND angebotener Entwurf eines
IT-Sicherheitskonzepts keine Verwendung fand.
3242)
3243)
3244)
3245)
3246)
3247)
Genkova, Protokoll-Nr. 89 I, S. 126/127.
Genkova, Protokoll-Nr. 89 I, S. 128.
Genkova, Protokoll-Nr. 89 I, S. 128.
Fromm, Protokoll-Nr. 102 I, S. 15.
Fromm, Protokoll-Nr. 102 I, S. 14.
Anlage 1 zum Protokoll-Nr. 102 I.