Deutscher Bundestag – 18. Wahlperiode
– 671 –
Drucksache 18/12850
Dem BfV sei vom BND ein IT-Sicherheitskonzept zur Verwendung für XKEYSCORE angeboten worden.3248 Die IT-Sicherheit im BfV habe dieses jedoch abgelehnt und die Erstellung eines eigenen Konzepts
bevorzugt.3249 Laut der Zeugin Delmdahl habe der BND „keine G 10-Geheimdaten“ gehabt, weshalb das ITSicherheitskonzept ein ganz anderes gewesen sei.3250 Die IT-Sicherheitsbeauftragte, Zeugin Genkova, hat
dazu konkret ausgeführt:
„Soweit ich weiß – aber auch das weiß ich nicht unmittelbar, sondern nur über die
Auskunft des Fachbereiches -, gab es beim BND, über den wir XKeyscore bekommen
haben, kein Sicherheitskonzept. Der BND hatte dann nach einer ganzen Weile uns
einen Entwurf eines Konzeptes zur Verfügung gestellt, das wir als Basis hätten nehmen können für unser eigenes Sicherheitskonzept. Dieser Entwurf basierte durchaus
auch auf diesen Grundschutzkatalogen gemäß BSI-Standard 100-2. Wir haben den
aber dann nicht genutzt, weil es für uns einfacher war, es selber mithilfe unseres Tools
zu erstellen, von vorne anzufangen, zumal man hätte prüfen müssen, ob dieser Entwurf
überhaupt einschlägig ist, weil das Sicherheitskonzept eben auf das konkrete System
inklusive Server, Hardware, Betriebssysteme und so was abgestellt werden muss.
[...]“.3251
„[...] Viele Anteile des Sicherheitskonzeptes betreffen ja gar nicht die eigentliche Software XKeyscore, sondern die Server, ansonsten die Software, die drumrum ist, sodass
sich für uns eigentlich letztlich als besser dargestellt hat, das Sicherheitskonzept komplett selber zu erstellen. [...]“3252
ff)
Keine Einbindung des BSI im Untersuchungszeitraum
In Frage stand während der Sachverhaltsaufklärung, ob und wann das BSI als für die IT-Sicherheit zuständige
Bundesbehörde eingebunden wurde oder werden sollte.
Innerhalb des Untersuchungszeitraums fand keine Beteiligung des BSI bei dem IT-Sicherheitskonzept für
XKEYSCORE im BfV statt.3253 Laut der IT-Sicherheitsbeauftragten, Zeugin Genkova, erfolge eine Einbindung des BSI nämlich erst nach Erstellung des IT-Sicherheitskonzepts:
„[...] Das BSI kommt eigentlich dann erst danach, weil das Sicherheitskonzept sollte
weitestgehend oder im Idealfall ganz fertig sein, weil das BSI auf die Informationen,
die in dem IT-Sicherheitskonzept festgelegt sind, insbesondere auf die Infrastrukturanalyse, mit seinen Prüfungen aufbaut, insbesondere auch mit der Planung, wie es
3248)
3249)
3250)
3251)
3252)
3253)
Delmdahl, Protokoll-Nr. 86 I, S. 79; Genkova, Protokoll-Nr. 89 I, S. 117.
Delmdahl, Protokoll-Nr. 86 I, S. 70; Genkova, Protokoll-Nr. 89 I, S. 117.
Delmdahl, Protokoll-Nr. 86 I, S. 80.
Genkova, Protokoll-Nr. 89 I, S. 117.
Genkova, Protokoll-Nr. 89 I, S. 121/122.
Genkova, Protokoll-Nr. 89 I, S. 103.