Drucksache 18/12850
– 696 –
Deutscher Bundestag – 18. Wahlperiode
dabei gewesen sei3475, um dieses Upgrade dann beim BfV vornehmen zu können.3476 Über das beim BND
durch zwei NSA-Techniker begleitete3477 Upgrade hat er in seiner Vernehmung ausgeführt:
„[...] so wie ich das da gesehen habe, ist das alles völlig transparent. Also, das ist so:
Die tippen da nicht im Geheimen irgendwas rum, sondern das wird sogar mit dem
Beamer an die Wand geworfen, damit es alle sehen können, damit man nämlich mitschreiben kann und nachvollziehen kann, was da gemacht wird. Und ich hatte zu keinem Zeitpunkt das Gefühl, dass die da irgendwas manipulieren oder irgendwie sonst
was. Ich habe auch tatsächlich alles verstanden, was da gemacht wurde, und die Kollegen natürlich auch. Deswegen hatte ich da, also, habe ich da keinerlei Bedenken.“3478
ee)
Fehlende Kenntnis des Quellcodes als Risiko?
Dem BfV sei der Quellcode der von der NSA erhaltenen Software XKEYSCORE nicht bekannt gewesen.3479
Einige Zeugen haben Bedenken bzgl. der Nichtkenntnis im BfV vom Quellcode des NSA-Werkzeugs geäußert, haben aber zugleich die Sicherheitsvorkehrungen, die ein mögliches Risiko ausschließen sollte, erwähnt.
Der Präsident des BfV, Zeuge Dr. Hans-Georg Maaßen, hat im Rahmen seiner Erläuterung, warum der Testbetrieb so lang andauere, erklärt:
„[…] Wir haben [XKeyscore] geprüft mit Blick auf die Sicherheit. Wir wollten auf
jeden Fall verhindern, dass durch dieses Programm, dessen Quellcode wir nicht kennen, Datenabflüsse stattfinden können oder dass wir uns da einen Trojaner ins Haus
holen, der unsere Daten verändert oder manipuliert. Die Sicherheitsüberlegungen
mussten in ein Konzept fließen. […]“3480
Die Zeugin Doreen Delmdahl, Juristin im BfV, hat dazu ausgeführt:
„[...] wir kennen den Quellcode nicht. [...] Und solange wir nicht wissen, wie der
Quellcode aussieht, also nicht wissen, was das Gerät vielleicht so alles machen könnte,
müssen wir es halt absichern. Also, wir haben das geschenkt bekommen [...]. Deswegen versuchen wir, das so weit wie möglich abzusichern, damit tatsächlich nichts irgendwann mal nach draußen gelangt. [...]“3481
Die IT-Sicherheitsbeauftragte im BfV, Zeugin Monika Genkova, hat die Bedenken zur fehlenden Kenntnis
des Quellcodes wie folgt relativiert:
„[...] Wir hatten noch nie einen Fall, wo im Rahmen einer Einführung eines Systems
der Quellcode analysiert worden wäre. Das ist auch bei XKEYSCORE vonseiten des
3475)
3476)
3477)
3478)
3479)
3480)
3481)
A. Sch., Protokoll-Nr. 77 II, S. 25.
A. Sch., Protokoll-Nr. 77 II, S. 25, 40.
A. Sch., Protokoll-Nr. 77 II, S. 38.
A. Sch., Protokoll-Nr. 77 II, S. 40.
Delmdahl, Protokoll-Nr. 86 I, S. 39.
Dr. Maaßen, Protokoll-Nr. 102 I, S. 119.
Delmdahl, Protokoll-Nr. 86 I, S. 39.