netzpolitik.org

Die Bundestagesabgeordneten Jan Korte, Hans-Christian Ströbele und Andrej Hunko haben jüngst mehrere Kleine Anfragen zu den Spionageaktivitäten britischer und US-amerikanischer Dienste eingereicht (1, 2, 3, 4, 5). Die Fragenkataloge zählen zu den Parlamentarischen Initiativen und müssen innert zwei Wochen beantwortet werden. Die Bundesregierung verfügt über die sogenannte Ressorthoheit und entscheidet selbst, welches Ministerium dabei federführend ist (im Falle des Verteidigungsministeriums werden die Antworten bisweilen mehrere Wochen verschleppt).

Häufig bleiben Informationen auch geheim. Sie sind dann entweder in der Geheimschutzstelle des Bundestages hinterlegt und sind dort für Abgeordnete einsehbar. Einfache Verschlusssachen werden hingegen per Post an die Fragestellenden übersandt, diese dürfen darüber aber nicht öffentlich sprechen.

Die Antworten sind nun eingetroffen, aber noch nicht sämtlich durch die Abgeordneten veröffentlicht. Gewöhnlich haben sie 7-10 Tage Zeit für die eigene Verarbeitung. Anschließend werden sie im offiziellen Informationssystem des Bundestages eingestellt. Spätestens dann sind auch die Antworten auf die Anfragen “Vorgehen der Bundesregierung gegen die US-Überwachung der Internet- und Telekommunikation in Deutschland und insbesondere die der Bundeskanzlerin” und “Aktivitäten der Bundesregierung zur Aufklärung der NSA-Ausspähmaßnahmen und zum Schutz der Grundrechte” öffentlich verfügbar. Korte und Ströbele erkundigen sich dort unter anderem zur Affäre rund um das Merkelphone.

“Geheimdienste der Europäischen Union und die Beteiligung von Bundesbehörden”

Die Antwort auf die Anfrage “Geheimdienste der Europäischen Union und die Beteiligung von Bundesbehörden” zeichnet ein gutes Bild über die Struktur der beiden EU-Geheimdienste INTCEN und EUMS INT. Beide gehören zum Auswärtigen Dienst. Das INTCEN gilt als “Zentrum für Informationsgewinnung und -analyse” und firmiert als ziviler Dienst. Das EUMS INT ist das “Intelligence Directorate” des militärischen Arms der EU. Gemeinsam bilden sie die “Single Intelligence Analysis Capacity” (SIAC). Auch deutsche Behörden sind dabei:

Deutschland ist derzeit mit insgesamt vier Mitarbeitern in der SIAC vertreten (INTCEN: je ein Mitarbeiter von BND und BfV; EUMS INT: zwei Angehörige der Bundeswehr).

Gewöhnlich werden die beiden Lagezentren nicht als Geheimdienste bezeichnet. Denn sie stellen keine eigenen Ermittlungen an, sondern werden von den Diensten der EU-Mitgliedstaaten mit Informationen beliefert. Daraus entstehen dann Lageberichte zu bestimmten Themen. Jedoch verfügen die Institutionen über hochauflösende Spionagebilder aus der EU-Satellitenaufklärung, die ebenfalls ausgewertet und an “politische Entscheidungsträger auf EU-Ebene” sowie den EU-Mitgliedstaaten zugeleitet werden.

Das EU-Satellitenzentrum erwirbt Bilddaten auch von privaten Anbietern aus Europa, den USA oder aus Israel. Genutzt werden auch Regierungssatelliten, darunter das deutsche System SAR-Lupe oder das “französisch-italienisch-spanisch-belgisch-griechische System” Hélios II. Die Analyse erfolgt unter anderem digital:

Nach Kenntnis der Bundesregierung werden öffentlich zugängliche Informationen durch INTCEN und EUMS INT mittels handelsüblicher Hard- und Software ausgewertet und fließen regelmäßig in die in der Antwort zu Frage 2 genannten Produkte ein.

Berichte erhalten das Bundeskanzleramt und der Bundesnachrichtendienst (BND), das Auswärtige Amt, das Verteidigungsministerium, der Militärische Abschirmdienst (MAD), das Bundesinnenministerium, das Bundesamt für Verfassungsschutz (BfV) sowie “themenbezogen unter Umständen weitere Stellen”. Umgekehrt werden die EU-Geheimdienste vom BND und BfV mit “Beiträgen” beliefert.

Die Geheimdienste der EU sind unionsrechtlich nicht für Spionagetätigkeiten ausländischer Dienste zuständig – jedenfalls wird diese Auffassung von der Bundesregierung vertreten. Dies gelte auch, wenn es um Außenbeziehungen oder das Datenschutzrecht gehe. Ganz anders aber wenn es um die “Eigenbetroffenheit” der EU geht. Laut Veröffentlichungen von Edward Snowden wurden neben den Vereinten Nationen auch Einrichtungen der EU ausgespäht. Als Urheber gelten die US-amerikanische NSA und das britische GCHQ. Dennoch sind weder das INTCEN noch das EUMS INT in dieser Hinsicht tätig geworden.

Doch auch in Deutschland wird die Überwachung perfektioniert: Anfang des Jahres wurde ein “Runder Tisch” zum Thema “Sicherstellung der Kommunikationsüberwachung in der Zukunft” eingerichtet. Alle Geheimdienste sowie Polizei- und Strafverfolgungsbehörden des Bundes sind vertreten, teilweise auch die Landesbehörden. Das Bundesministerium für Bildung und Forschung fördert im Bereich “IT-Sicherheit” mehrere Vorhaben, in denen unter anderem die Firmen DE-CIX Management GmbH, EADS Deutschland GmbH, escrypt GmbH Embedded Security, Gesellschaft für sichere mobile Kommunikation, Nokia Siemens Networks und Utimaco Safeware finanzielle Mittel erhalten. Auch diese sind in der Antwort aufgeführt.

In der Anfrage ging es auch um Berichte über angezapfte Glasfaserkabel, wovon die Bundesregierung aber angeblich keine Kenntnis habe. Weil man selbst über keine Snowden-Dokumente verfüge, würde munter mit den Diensten aus Großbritannien und den USA zusammengearbeitet. Ein Fragenkatalog zu den Spionagetätigkeiten, den die Bundesregierung vor sechs Monaten an US-Behörden schickte, ist immer noch nicht beantwortet. Die Justizministerin habe jedoch im Oktober 2013 “an die gestellten Fragen erinnert” – erfolglos. Im gleichen Schreiben wurde ein weiterer Fragenkatalog “zur angeblichen Ausspähung des Mobiltelefons von Frau Bundeskanzlerin Dr. Angela Merkel übersandt”, ebenfalls ergebnislos.

Geantwortet habe aber die britische Botschaft. Gebeten wurde, die Angelegenheit “unmittelbar zwischen den Nachrichtendiensten der Bundesrepublik Deutschland und des Vereinigten Königreichs zu besprechen”. Dies ist wohl auch passiert: Es habe danach “verschiedene Expertengespräche” gegeben.

“Geheimdienstliche Spionage in der Europäischen Union und Aufklärungsbemühungen zur Urheberschaft”

Hierzu erfahren wir mehr in der Anfrage “Geheimdienstliche Spionage in der Europäischen Union und Aufklärungsbemühungen zur Urheberschaft”. Dort heißt es:

Der Bundesnachrichtendienst hat im Auftrag der Bundesregierung Gespräche mit den EU-Partnerdiensten aufgenommen. Ziel ist die Entwicklung gemeinsamer Standards in der nachrichtendienstlichen Arbeit. Im weiteren Verlauf der Gespräche und Verhandlungen gilt es zu prüfen, inwieweit diese gemeinsamen Standards in einen größeren Rahmen einfließen sollen.

Glaubt man dem Innenministerium, will sich die Bundesregierung beim anvisierten Klassentreffen Nachhilfe holen. Denn man habe angeblich keine eigenen Informationen zum Spionagenetzwerk “Nine Eyes”, sondern wisse lediglich dass dort neben den “Five Eyes” (USA, Großbritannien, Australien, Kanada, Neuseeland) auch Norwegen, Frankreich, Dänemark und die Niederlande organisiert seien. Gleichwohl beabsichtige man, “mit der US-amerikanischen Seite eine Vereinbarung abzuschließen, die die nachrichtendienstliche Zusammenarbeit auf eine neue Basis stellt”. Dieses von den Medien als “No Spy-Abkommen” bezeichnete Agreement ist allerdings nach heutigen Berichten vom Tisch.

Gefragt wurde auch zu Meldungen, wonach US-Geheimdienste über einen “root access” auf Passagierdaten in sogenannten “Computerized reservation systems” verfügen, die von Fluglinien weltweit betrieben werden. Verwiesen wird auf den Bericht der EU-Kommission über die Durchführung des PNR-Abkommens vom 27. November. Dort heißt es, dass Behörden der USA “entsprechend der Regelungen des PNR-Abkommens auf die Buchungssysteme der Fluggesellschaften zugreifen”. Die Bundesregierung übersetzt die entsprechende Passage folgendermaßen:

DHS (das US-Heimatschutzministerium) hat erklärt, dass es PNR-Daten an US-Geheimdienste unter Beachtung der Bestimmungen des Abkommens weiterleitet, wenn ein bestimmter Fall unzweifelhaft einen klaren Terrorismusbezug hat. Im Überprüfungszeitraum hat DHS im Einklang mit dem Abkommen 23 fallbezogene Weiterleitungen von PNR-Daten an die US National Security Agency (NSA) vorgenommen, um bei Terrorismusbekämpfungsfällen weiterzukommen.

Zur Spionage auf EU-Ebene gibt sich die Bundesregierung in der Antwort unwissend. Man habe keine Ahnung über ausgespähte Einrichtungen und dort genutzte Abhöranlagen. Auch “Detailkenntnisse über die Netzwerkinfrastruktur von EU-Einrichtungen” liegen nicht vor. Berichte über das mögliche Abhören des Internetverkehrs von EU-Einrichtungen in Brüssel würden daher nicht kommentiert – eine leichtfertige Antwort, denn dies beträfe auch die deutsche Delegation. Doch auch die EU bleibt hierzu weitgehend untätig:

Keine EU-Agentur, also keine der dezentralen Einrichtungen der EU mit einem spezifischen Arbeitsgebiet, befasst sich nach Kenntnis der Bundesregierung mit der Abwehr von Spionage gegen EU-Institutionen. Europäische Kommission, Europäischer Auswärtiger Dienst und das Generalsekretariat des Rates verfügen über eigene Mitarbeiter, die u.a. die jeweiligen Kommunikationsnetze gegen Ausspähung schützen. Sobald in den EU-Behörden in Brüssel der Verdacht der Spionage entsteht, wird zunächst intern ermittelt und ggf. um Amtshilfe des Gastlandes, also der belgischen Behörden, gebeten.

“Kooperationen zur sogenannten Cybersicherheit zwischen der Bundesregierung, der Europäischen Union und den Vereinigten Staaten”

Jedoch arbeiten sowohl die EU als auch die Mitgliedstaaten auf mehreren Ebenen mit den USA und Großbritannien im Bereich der IT-Sicherheit zusammen. Dies geht aus der Antwort auf die Anfrage “Kooperationen zur sogenannten Cybersicherheit zwischen der Bundesregierung, der Europäischen Union und den Vereinigten Staaten” hervor. An zahlreichen Arbeitsgruppen nehmen auch Behörden des Bundesinnenministeriums teil.

Zu den Zusammenarbeitsformen gehören auch die zivilen oder militärischen “Cyberübungen”. Jährlich findet die Übungsserie “Cyber Coalition” der NATO statt, in der “Blue Teams” gegen “Red Teams” kämpfen und sich hierfür “marktverfügbarer Schadsoftwaresimulation” bedienen. An der US-Übung “Cyberstorm III” nahmen das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) teil. “Cyberstorm” wird vom US-Heimatschutzministerium verantwortet, mit dabei sind aber alle Teilstreitkräfte und ihre Geheimdienste, darunter auch die NSA. Mit der EU haben die USA mittlerweile ein eigene, wiederkehrende Übung aus der Taufe gehoben, die sogenannte “EU-US CYBER ATLANTIC”.

Bei welchen dieser IT-Manöver Szenarien simuliert wurden, die “cyberterroristische Anschläge” oder “politisch motivierte Cyberangriffe” zum Inhalt hatten, soll aber geheim bleiben. Gleichwohl bestätigt die Bundesregierung wie auch in früheren Anfragen, dass der Terminus “Terrorismus” zwar auch im Cyberspace für die Aufrüstung herhalten muss, dort aber in Wirklichkeit nicht existiert. Es habe keine versuchte oder erfolgreich ausgeführte Attacke gegeben, die nicht von Staaten vorgenommen worden seien – so jedenfalls lautete die Frage.

Zuende gedacht bedeutet dies, dass alle derzeit aufgebauten Kapazitäten nicht den “Cyberterrorismus” kontern, sondern von Regierungen gegeneinander in Stellung gebracht werden können. Also dienen auch die zivilen oder militärischen “Cyberübungen” – gewollt oder ungewollt – dem Aufbau entsprechender Fähigkeiten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.