Drucksache 18/12850
– 916 –
Deutscher Bundestag – 18. Wahlperiode
„Gerade bei der Zertifizierung greifen wir auch auf die Prüfumgebung des Herstellers
zurück. Es ist teilweise wirklich so bei der Zertifizierung, gerade bei der Produktzertifizierung von Firmen, dass der Hersteller zeigen muss anhand der Dokumentation,
dass er das geprüft hat.“5007
Auf Vorhalt des oben zitierten Berichtsteils zu den Voraussetzungen des Einsatzortes hat der Zeuge Golke
ausgeführt:
„[…] Die sind ja geheim, also so Abhördaten. Auf der anderen Seite sind sie offen,
aber auf dieser BND-Seite sind sie eingestuft. […] Das ist die Gesetzeslage; da kann
ich ja gar nichts dran ändern. Deswegen habe ich da reingeschrieben: Ich treffe die
Annahme, dass da nicht jeder durch die Räume durchspazieren kann und jetzt gucken
kann, welche Daten abgegriffen werden. - Das finde ich eigentlich ganz okay.“5008
„Das würde ich jetzt so erst mal nicht sagen. Also, erst mal ist es so, dass die Geräte
ja in den Räumen des Verpflichteten, also des Providers, stehen müssen, um unter die
TKÜV zu fallen. Insofern ist das, was das Telekommunikationsunternehmen gesagt
hat, völlig okay. Und zum Zweiten würde ich jetzt nicht davon ausgehen, dass die
Daten da offen rum- - Ja, schon, aber ich sage mal: Die Geräte des BND müssen entsprechend meinen Annahmen abgesichert sein. Da gehe ich von aus.“5009
Auch unter Laborbedingungen habe sich die Prüfung auf die Schlüssigkeit der in den geprüften Unterlagen
angegebenen Funktionsweisen beschränkt.5010 Nach Angaben des Zeugen Golke war dies ein bei Zertifizierungen durchaus übliches und durch den Aufwand der Prüfung begründetes Verfahren.5011
Die Prüfung sei in der Entwicklungs- und nicht in der Einsatzphase erfolgt.5012
Es werde bei einer IT-Zertifizierung ferner nicht jedes einzelne Gerät geprüft, sondern lediglich ein Muster,
dessen Zertifizierung für alle weiteren Geräte dieses Typs gelte.5013
cc)
Zertifizierung durch das BSI als Ergebnis der Prüfung
Der Zeuge Golke hat ausgeführt, dass Prüfbericht und Zertifizierung quasi identisch seien:
„Also, der Prüfbericht ist dann die Zertifizierung, wenn er positiv verlaufen ist.“5014
Der Prüfbericht trägt das Datum 13. Oktober 2005.5015 Wie der Zeuge Golke erläutert hat, sei dieser in einer
Vorabversion an den BND übermittelt worden, wodurch dieser in die Lage versetzt worden sei, Bedenken
5007)
5008)
5009)
5010)
5011)
5012)
5013)
5014)
5015)
Golke, Protokoll-Nr. 33 I, S. 51.
Golke, Protokoll-Nr. 33 I, S. 22.
Golke, Protokoll-Nr. 33 I, S. 23.
Golke, Protokoll-Nr. 33 I, S. 30.
Golke, Protokoll-Nr. 33 I, S. 44.
Golke, Protokoll-Nr. 33 I, S. 7.
Golke, Protokoll-Nr. 33 I, S. 33 f.
Golke, Protokoll-Nr. 33 I, S. 37.
Prüfbericht des BSI vom 13. Oktober 2005, MAT A BSI-8a, Bl. 9 (VS-NfD – insoweit offen).