Deutscher Bundestag – 18. Wahlperiode
– 915 –
Drucksache 18/12850
bbb) Vor-Ort-Prüfungen
Schließlich habe man an zwei Tagen im Jahr 2005 eine sogenannte Vor-Ort-Prüfung durchgeführt.4999 Diese
Prüfung fand ausweislich des Berichts „im Labor im Standort BFST sowie im DFmA im Standort Pullach“
statt.5000 Die Prüfung habe also nicht an den endgültigen Einsatzorten des BND stattgefunden5001, sondern in
dessen „Laboren“, in denen die zu prüfende Technik aufgebaut gewesen sei.5002 Zu diesen Laboren hat der
Zeuge Golke auf Nachfrage ausgesagt, dass es sich dabei um „Entwicklungslabors“ des BND bzw. um „Tarnbehörden“ gehandelt habe.5003
Ausweislich des Berichts sind mangels Durchführung der Prüfung an den letztendlichen Einsatzorten über
diese die folgenden Annahmen getroffen worden:
„Es wird vorausgesetzt, dass die Einsatzumgebung in einem Bereich liegt, der entsprechend der Sensibilität der Aufgabe und der entsprechenden geltenden Richtlinien abgesichert ist. In diesem Zusammenhang wird hingewiesen auf Prüfmöglichkeiten, die
das BSI im Bereich materieller Sicherheit (Schutz von Betriebsräumen etc.) bietet und
die unterstützend bei Bedarf vor Ort erfolgen könnten.“5004
„Es wird weiter vorausgesetzt, dass unbegleiteter Zutritt zu den Räumen, Verfügungsgewalt über Schlüssel, die Bildung von verschiedenen Benutzergruppen mit unterschiedlichen Aufgaben (technisches Personal, Personal mit Ü-Maßnahmenbefugnis,
Juristen etc.) mit den diesbezüglichen Vorschriften und autorisierten Überwachungsanordnungen konform gehen.“5005
Der Zeuge Golke hat auf die Frage, ob es theoretisch möglich wäre, dass der BND das zertifizierte System
anders und „mit anderen Optionen“ aufbaue, geantwortet:
„Es könnte alles der Fall sein. Also, wir machen natürlich auch Labor-untersuchungen.
Wir nehmen auch die Firmware, Software, machen da so Softwarestände, die wir uns
behalten. Aber natürlich nur da, wo es Sinn macht. Wenn wir jetzt irgendwie zertifizieren - das ist ‚certify and go‘ -, dann sehen wir ja nichts mehr, also weil wir keine
Inspektionsrechte haben. Also, das machen wir hauptsächlich bei Kryptogeräten usw.,
wo wir dann so eine Referenzgeschichte haben. Die kommen aber auch wirklich in die
Labore. Das sind natürlich die Sachen, die am strengsten und am tiefsten auch angeguckt werden oder angeguckt werden müssen.“5006
Zur Prüfumgebung hat der Zeuge Golke ferner ausgeführt:
4999)
5000)
5001)
5002)
5003)
5004)
5005)
5006)
Golke, Protokoll-Nr. 33 I, S. 7, 14.
Prüfbericht des BSI vom 13. Oktober 2005, MAT A BSI-8a, Bl. 9 (11) (VS-NfD – insoweit offen).
Prüfbericht des BSI vom 13. Oktober 2005, MAT A BSI-8a, Bl. 9 (11) (VS-NfD – insoweit offen).
Golke, Protokoll-Nr. 33 I, S. 15.
Golke, Protokoll-Nr. 33 I, S. 14.
Prüfbericht des BSI vom 13. Oktober 2005, MAT A BSI-8a, Bl. 9 (11) (VS-NfD – insoweit offen).
Prüfbericht des BSI vom 13. Oktober 2005, MAT A BSI-8a, Bl. 9 (12) (VS-NfD – insoweit offen).
Golke, Protokoll-Nr. 33 I, S. 10.