Im Bundesinnenministerium sah man die Beteiligung der CSC Deutschland Solutions GmbH an diversen IT-Aufträgen der öffentlichen Hand bisher ausgesprochen entspannt. Das dürfte sich ändern durch das Urteil der Vergabekammer Bund zum No-Spy-Erlass. Dort ist nämlich ausgeführt, dass deutsche Töchter amerikanischer Unternehmen nach dem Patriot Act verpflichtet werden können. Was die Frage nach den Auswirkungen auf IT-Dienstleister aufwirft, die, wie z.B. CSC Deutschland, an entscheidender Stelle mitwirken bei der Entwicklung polizeilicher Informationssysteme und -Überwachungssoftware.
Wir fragen: Wer überprüft eigentlich – und wie geschieht dies – ob solche Systeme Backdoors enthalten?!
Zum Stand in Sachen ‚No-Spy‘ bei der Vergabe
Wir hatten vor kurzem über den so genannten No-Spy-Erlass des Bundesinnenministeriums berichtet [1]. Damit verfügte das BMI gegenüber dem Beschaffungsamt, dass von allen Bietern bei sicherheitssensitiven IT-Aufträgen eine Eigenerklärung zu verlangen sei, die so genannte „No-Spy-Garantie“. Jeder Bieter muss darin zusichern, dass er nicht durch Verträge oder Gesetze verpflichtet ist bzw. gezwungen werden kann, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben.
Die Vergabekammer Bund hat diesen No-Spy-Erlass inzwischen für vergaberechtswidrig erklärt, was allerdings eher vergaberechts-formelle Gründe hat. Es könne nämlich nicht der Katalog von Eignungskriterien, die vom Bieter verlangt werden, eigenmächtig durch die Vergabestelle geändert werden. Für zukünftige Vergabeverfahren ist der No-Spy-Erlass also kein geeignetes Mittel mehr.
Widersprechende Rechtspflichten für deutsche Töchter amerikanischer Mutterkonzerne
Aufschlussreich ist allerdings auch, was die Vergabekammer zum Sachverhalt an sich ausführt, nämlich der möglichen Verpflichtung deutscher Tochterunternehmen von ausländischen Muttergesellschaften: Dazu heißt es in der Urteilsbegründung:
„Die Pflicht US-amerikanischer Unternehmen bzw. deren deutscher Tochterunternehmen zur Datenweitergabe an US-amerikanische Sicherheitsbehörden ergibt sich (…) aus dem USA Patriot Act, der aus dem Jahr 2001 stammt. … Dieser ist Teil der amerikanischen Rechtsordnung. Danach sind US-Unternehmen verpflichtet, den US-Sicherheitsbehörden (FBI, NSA, CIA) Zugriff auf ihre Server zu gestatten, und zwar auch ohne richterliche Anordnung. Diese Verpflichtung gilt in gleicher Weise für ausländische Tochtergesellschaften von US-amerikanischen Unternehmen … und zwar auch dann, wenn die Datenweitergabe gegen die für die ausländische Tochtergesellschaften geltenden örtlichen Gesetze verstößt.
Die Weitergabe insbesondere personenbezogener Daten an Stellen außerhalb der EU ist datenschutzrechtlich nicht gestattet. Es ist offensichtlich und ohne weiteres nachvollziehbar, dass eine dennoch stattfindende Datenweitergabe generell und insbesondere in Bezug auf personenbezogene oder sicherheitsrelevante Informationen höchst problematisch ist. Auf die öffentlich geführte Diskussion in diesem Zusammenhang ist zu verweisen. „
Die CSC Deutschland Solutions GmbH und ihre Stellung in der IT-Landschaft der öffentlichen Hand
Diese Situation trifft – unter anderem – die Firma CSC Deutschland Solutions GmbH, Tochter des amerikanischen IT-Dienstleistungs- und Beratungsunternehmens Computer Sciences Corporation. Die amerikanische Mutter erlangte unrühmliche Bekanntheit dadurch, dass sie die CIA bei ihren Gefangenentransportflügen (Rendition Flights) unterstützte. CSC Deutschland wiederum ist ein Unternehmen, ohne dass man sich die IT-Landschaft der öffentlichen Hand in Deutschland aktuell kaum vorstellen kann. Eine Liste der Verträge von CSC Deutschland allein mit Bundesministerien und Bundesbehörden [Anlagen in [2]] ist mehr als 100 Seiten lang.
Beim BKA ist die CSC Deutschland Auftragnehmerin eines Rahmenvertrages mit einem Volumen von rund 27 Millionen Euro (über drei Jahre) und schwerpunktmäßig zuständig für die IT-Entwicklungen der polizeilichen Informationssysteme und -Software für das BKA. In diesen Aufgabenbereich fällt dann auch die Mitwirkung an der Entwicklung des PIAV – des seit Jahren in Planung und Umsetzung begriffenen Polizeilichen Informations- und Analyseverbunds. CSC ist im BKA auch beauftragt mit der technischen Prüfung der vom BKA selbst verantworteten Software für die ‚Online-Durchsuchung‚, den so genannten Bundestrojaner. Wie eng die Verbindungen sind, wird deutlich an einem weiteren Beispiel: Matthias Memmesheimer, der frühere Projektleiter für PIAV im BKA, wechselte die Seiten und ist heute bei CSC zuständig für die Einführung von PIAV. Diese Beispiele belegen: Auch wenn CSC [jedenfalls unseres Wissens nach] nicht selbst Server betreibt, auf denen behördliche / hoheitliche Daten gehostet werden, hat das Unternehmen doch umfassenden Einblick und Einwirkungsmöglichkeiten auf zentrale Informationssysteme der Polizei – und von anderen Bundesbehörden.
Anfragen im Bundestag zum No-Spy-Erlass
Die Fraktion der Grünen, aufgeschreckt von den Berichten über die Beteiligung von CSC an den Rendition Flights, hatte daher Anfang des Jahres eine Kleine Anfrage im Bundestag eingebracht mit dem bezeichnenden Titel „Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen“:
Das mit der Beantwortung beauftragte BMI sah die Angelegenheit jedoch ausgesprochen entspannt. In der Antwort [2] hieß es
„Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat. Es bestehen insbesondere auch keinerlei Anhaltspunkte dafür, dass die CSC Deutschland als selbstständige Gesellschaft vertrauliche Informationen an die amerikanische CSC weitergegeben hat, die von dort aus in andere Hände gelangt sein könnten. … Die Bundesregierung sieht keine Veranlassung, ihre Auftragsvergabepraxis in Bezug auf die CSC Deutschland Solutions GmbH zu ändern.
Dennoch lieferte diese Anfrage offensichtlich den Anstoß für das BMI aktiv zu werden. Die Folge war der so genannte No-Spy-Erlass vom April diesen Jahres, der nach Tatkraft aussah. Dumm nur, dass ihn die Vergabekammer Bund schon gute zehn Wochen später wieder als rechtswidrig kassierte.
Ein Unternehmen, das nach dem Patriot Act verpflichtet werden kann, entwickelt polizeiliche IT-Technik …
Nachdem die Vergabekammer jedoch sehr klar formulierte, dass und warum deutsche Tochterunternehmen amerikanischer Konzerne sehr wohl dem Patriot Act unterworfen sind und dies bereits seit 2001, wäre doch noch einmal zu prüfen, ob die tiefen-entspannte Haltung des BMI in Bezug auf diesen wichtigen Auftraggeber nach wie vor ihre Berechtigung hat. Wenn man schon 13 Jahre lang nicht in der Lage (oder willens) war, den Patriot Act rechtzeitig zu lesen und seine Auswirkungen zu verstehen, so ist es nach den klaren Feststellungen der Vergabekammer und den inzwischen bekannten Sachverhalten heute unabdingbar.
Wer prüft IT-Systeme für Polizeibehörden und Sicherheitsbehörden auf Hintertüren?
Insbesondere und unabhängig von CSC Deutschland Solutions GmbH stellt sich aber vor allem die Frage: Wie eigentlich wird geprüft und verhindert, dass Hintertüren („Backdoors“) eingebaut werden in polizeiliche Informationssysteme; eine Möglichkeit, die jederzeit sowohl durch externe Dienstleister und interne Mitarbeiter gegeben ist und daher nicht als Unterstellung gegenüber CSC gemeint ist oder verstanden werden soll. Sondern die ein allgemeines Problem darstellt, das in der Informationstechnik deutscher Polizeibehörden bisher entweder verschlafen oder aber großzügig ignoriert worden ist.
Dieser Artikel ist Teil der Serie Beschaffung & Vergabe | No-Spy
Hier finden Sie eine Übersicht über sämtliche Artikel dieser Serie.
Quellen zu diesem Beitrag
[1] No-Spy-Erlass des BMI ist vergaberechtswidrig, 15.09.2014, Police-IThttps://police-it.net/beschaffung-vergabe/no-spy-erlass-des-bmi-ist-vergaberechtswidrig-7363 [2] Antwort der Bundesregierung auf die Kleine Anfrage der Grünen: Sicherheitsrisiken durch die
Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt
zu den US-Geheimdiensten stehen, 22.01.2014, DBT-Drs. 18/334
http://dipbt.bundestag.de/dip21/btd/18/003/1800334.pdf