Inwiefern haben Bundesbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) jemals erwogen oder sogar in die Tat umgesetzt, so genannte Zero Day Exploits oder ähnliche Informationen über Schwachstellen in Softwareprodukten auf legalen oder nicht legalen Wegen anzukaufen, um Sicherheitsrisiken zu minimieren und dadurch eigene Staatsangehörige zu schützen bzw., wie bei „Steuer-CDs“, Nachteile anderer Bundesbehörden abzuwenden (FAZ vom 24. Februar 2014), und inwiefern treffen Berichte zu, wonach der Bundesnachrichtendienst (BND) solche „Zero Day Exploits“ bereits gekauft hat oder kaufen will, diese aber nicht zu einem solchen Schutz der IT-Infrastruktur anderer Behörden oder eigener Staatsangehöriger veröffentlichen möchte (SPIEGEL ONLINE vom 9. November 2014)?
Antwort der Staatssekretärin Cornelia Rogall-Grothe:
Die Frage wurde dem BSI, dem BND, dem Bundesamt für Verfassungsschutz (BfV), dem Militärischen Abschirmdienst (MAD), dem Bundeskriminalamt (BKA), dem Zollkriminalamt (ZKA) und der Bundespolizei (BPOL) zur Beantwortung übersandt.
Das BKA, das ZKA, die BPOL, das BfV und der MAD haben weder erwogen noch in die Tat umgesetzt, so genannte Zero Day Exploits oder ähnliche Informationen in Softwareprodukten anzukaufen.
Das BSI hatte bis September 2014 einen Vertrag mit dem französischen IT-Sicherheitsdienstleister VUPEN zum präventiven Schutz vor Gefährdungen durch neu aufgedeckte Schwachstellen in weit verbreiteten Softwareprodukten (so genannte Threat Protection Program, TPP). Der Zweck dieses Vertrages bestand ausschließlich im Schutz der Regierungsnetze.
Die tatsächliche Vertragsausgestaltung und die Nutzung der Informationen durch das BSI entsprach der vom Anbieter veröffentlichten Beschreibung zum TPP: „VUPEN Threat Protection Program (TTP) aims to deliver exclusive and highly technical research reports and attack detection guidance for undisclosed zero-day vulnerabilities discovered in-house by VUPEN researchers, providing timely, actionable information and guidance to help mitigate risks from unknown and critical vulnerabilities or exploits. This is a proactive approach to aid governments and corporations in making decisions in response to potential threats on a real-time basis and in advance of public disclosure, applying appropriate protective actions and maintaining a secure environment while the affected vendor is working on a patch.“ (Quelle: www. vupen.com/english/services/tpp-index.php).
Die hierdurch gewonnenen Erkenntnisse nutzt das BSI direkt zum Schutz der Regierungsnetze. Eine Weitergabe dieser Erkenntnisse an Dritte erfolgt nicht. Das BSI unterhält keine vertraglichen Beziehungen zu weiteren Anbietern von Sicherheitslücken.
Erkenntnisse zu Sicherheitslücken, die entweder öffentlich bekannt sind, auf eigenen Analysen beruhen oder im Rahmen der Zusammenarbeit von CERTs gewonnen werden, diskutiert das BSI zudem gemäß seines gesetzlichen Auftrages regelmäßig mit den jeweiligen betroffenen Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können. Falls sich aus Sicherheitslücken eine unmittelbare Gefährdung für Bürgerinnen und Bürger, Unternehmen oder Verwaltungseinrichtungen ergibt, so spricht das BSI gemäß seinem gesetzlichen Auftrag zielgruppenspezifische oder öffentliche Warnungen aus.
Der BND ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Frage nicht in offener Form erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BND und insbesondere seinen Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten des BND im Bereich der Fernmeldeaufklärung stellt einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solcher Fähigkeiten würde zu einer wesentlichen Schwächung der zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung führen. Dies würde für die Auftragserfüllung des BND erhebliche Nachteile zur Folge haben. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern (BMI) zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) mit dem VSGrad „GEHEIM“ eingestuft.*
Drucksache 18/3361