Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 23. November 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/6048 19. Wahlperiode 27.11.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Stephan Thomae, Grigorios Aggelidis, Renata Alt, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/5672 – Behördlicher Umgang mit Kaspersky-Software V o r b e m e r k u n g d e r F r a g e s t e l l e r Im Dezember 2017 warnte die in Großbritannien für die IT-Sicherheit zuständige Behörde NCSC (National Cyber Security Centre) britische Ministerien davor , Software des russischen Herstellers Kaspersky zu verwenden, insbesondere in Systemen, die Informationen enthalten, die der nationalen Sicherheit schaden könnten (vgl. https://de.reuters.com/article/grossbritannien-kasperky-idDEKBN 1DX0C6). Bereits im September 2017 hat die US-Regierung ihren Bundesbehörden die Benutzung sämtlicher Software der russischen Firma Kaspersky verboten mit der Begründung, dass die russische Regierung den Zugang über Kaspersky -Produkte ausnutzen könne, um Informationssysteme der US-Behörden zu kompromittieren (vgl. www.zeit.de/digital/2017-09/spionageverdacht-usarussland -kaspersky-software). Ende Januar 2018 warnte auch Litauen vor dem Einsatz der Sicherheitssoftware Kaspersky (vgl. www.t-online.de/digital/internet/ id_83133030/nach-usa-und-grossbritannien-litauen-wird-kaspersky-nicht-mehrnutzen .html). V o r b e m e r k u n g d e r B u n d e s r e g i e r u n g Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Fragen in offener Form nur teilweise erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie eine Fülle an sicherheitsrelevanten Angaben enthalten, deren Bekanntwerden für die Sicherheit der Bundesrepublik Deutschland nachteilig sein könnte oder ihre Sicherheit gefährden bzw. ihr schweren Schaden zufügen könnte. Detaillierte Angaben zu der in der Bundesverwaltung eingesetzten Software oder zu IT-Sicherheitssystemen würden gezielte elektronische Angriffe auf einzelne Ressorts oder Behörden ermöglichen. Die Handlungsfähigkeit zumindest von Teilen der Bundesregierung könnte damit empfindlich verringert werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/6048 – 2 – Deutscher Bundestag – 19. Wahlperiode Für die Sicherheit der Bundesrepublik Deutschland, insbesondere die Sicherheit der Regierungskommunikation, könnte die Veröffentlichung der geforderten Informationen also nachteilig sein. Deshalb sind einzelne Angaben gemäß des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung – VSA) als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermittelt. Dies betrifft im Einzelnen Teile der Antwort zu Frage 1.1 Hinsichtlich des Bundesamtes für Verfassungsschutz (BfV) gilt bei der Beantwortung der vorliegenden Kleinen Anfrage folgende Einschränkung: Gegenstand der Kleinen Anfrage sind solche Informationen, die in besonders hohem Maße das Staatswohl berühren, dass die entsprechenden Fragen daher selbst in eingestufter Form nicht beantwortet werden können. Das verfassungsrechtlich verbürgte Frage- und Informationsrecht des Deutschen Bundestages gegenüber der Bundesregierung findet seine Grenzen in den gleichfalls Verfassungsrang genießenden schutzwürdigen Interessen des Staatswohls. Eine Offenlegung der angefragten Informationen birgt die Gefahr, dass Einzelheiten zu spezifischen IT- Systemen aber auch zur konkreten Methodik und zu in hohem Maße schutzwürdigen spezifischen Fähigkeiten des Bundesamtes für Verfassungsschutz (BfV) bekannt würden. Detailinformationen würden konkrete Anhaltspunkte für potenzielle Angriffsvektoren auf IT-Systeme des BfV bieten und den Schutz der nachrichtendienstlichen, operativen Sicherheit gefährden. Infolgedessen könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf spezifische Vorgehensweisen und Fähigkeiten des BfV ziehen. Dies könnte folgenschwere Einschränkungen der Informationsgewinnung zur Folge haben, womit letztlich der gesetzliche Auftrag des BfV – die Sammlung und Auswertung von Informationen gemäß § 3 Absatz 1 des Gesetzes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz (BVerfSchG) – nicht mehr sachgerecht erfüllt werden könnte. Die Gewinnung von inlandsbezogenen Informationen ist für die Sicherheit der Bundesrepublik Deutschland und für die Aufgabenerfüllung des BfV jedoch unerlässlich . Sofern solche Informationen entfallen oder wesentlich zurückgehen sollten, würden empfindliche Informationslücken auch im Hinblick auf die Sicherheitslage der Bundesrepublik Deutschland drohen. Selbst eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung für die Aufgabenerfüllung des BfV nicht ausreichend Rechnung tragen. Die angefragten Inhalte beschreiben die Fähigkeiten und Arbeitsweisen des BfV so detailliert, dass eine Bekanntgabe auch gegenüber einem begrenzen Kreis von Empfängern ihrem Schutzbedürfnis widersprechen würde. Bei einem Bekanntwerden der schutzbedürftigen Informationen wäre kein Ersatz durch andere Instrumente der Informationsgewinnung möglich. 1 Das Bundesministerium des Innern, für Bau und Heimat hat Teiler der Antwort zu Frage 1 als „VS – Nur für den Dienstgebrauch“ eingestuft . Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden . Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/6048 Aus dem Vorgesagten ergibt sich, dass die erbetenen Informationen in ihrer Detailtiefe derart schutzbedürftige Geheimhaltungsinteressen so berühren, dass das Staatswohl gegenüber dem parlamentarischen Informationsrecht in diesem besonderen Einzelfall wesentlich überwiegt. Insofern muss ausnahmsweise das Fragerecht der Abgeordneten gegenüber dem Geheimhaltungsinteresse der Bundesregierung zurückstehen. Dies betrifft im Einzelnen die Antwort zu Frage 1 bezogen auf das BfV. Hinsichtlich des Bundesnachrichtendienstes (BND) gelten bei der Beantwortung der Kleinen Anfrage folgende Einschränkungen: Der Bundesnachrichtendienst ist nach sorgfältiger Abwägung der in diesem Fall widerstreitenden Interessen zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2 und 3 in offener Form ganz oder teilweise nicht erfolgen kann. Informationen zur im Bundesnachrichtendienst einsetzten Software, ihrer ITsicherheitlichen Bewertung sowie den Rahmenbedingungen der Softwarebeschaffung (Arbeitsmethoden und Vorgehensweisen) sind im Hinblick auf die künftige Erfüllung des gesetzlichen Auftrags aus § 1 Absatz 2 des Gesetzes über den Bundesnachrichtendienst (BNDG) besonders schutzwürdig. Eine Veröffentlichung von Einzelheiten hierzu würde für die Auftragserfüllung des Bundesnachrichtendienstes erhebliche Nachteile zur Folge haben. Sie kann für die Interessen der Bundesrepublik Deutschland schädlich sein. Teile der Antworten zu den Fragen 1, 2 und 3 werden daher als Verschlusssache im Sinne des SÜG in Verbindung mit der VSA mit dem Geheimhaltungsgrad „VS – VERTRAULICH“ eingestuft und dem Deutschen Bundestag gesondert übermittelt.2 1. Welche Bundesbehörden benutzen welche Software des Herstellers Kaspersky einschließlich mit ihm verbundener Unternehmen? Die Antwort auf die Frage, welche Bundesbehörden welche Software des Herstellers Kaspersky einschließlich mit ihm verbundener Unternehmen nutzen, kann nicht offen erfolgen. Zur Begründung wird auf die Vorbemerkung der Bundesregierung verwiesen. In Bezug auf die Antwort des BfV ist die Bundesregierung nach sorgfältiger Abwägung zu dem Schluss gekommen, dass die Frage nicht beantwortet werden kann. Eine Bekanntgabe von Einzelheiten zu Hersteller und Funktionsweise von Software sowie deren konkreter Anwendung im BfV würde zu weitgehenden Rückschlüssen auf technische Fähigkeiten sowie Aufklärungspotenzial des BfV schließen lassen und die Erkenntnisgewinnung gefährden. Ergänzend wird auf die Vorbemerkung der Bundesregierung verwiesen. Die Antwort wird in zwei Teilen als Anlage VS – NUR FÜR DEN DIENSTGE- BRAUCH und VS – VERTRAULICH gesondert an den Deutschen Bundestages übermittelt. 2 Das Bundesministerium des Innern, für Bau und Heimat hat Teile der Antworten zu den Fragen 1 bis 3 als „VS – Vertraulich“ eingestuft. Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Geheimschutzordnung eingesehen werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/6048 – 4 – Deutscher Bundestag – 19. Wahlperiode 2. Teilt die Bundesregierung die Einschätzung des NCSC, der US-Regierung und der Regierung in Litauen, die vor dem Einsatz der Software des Herstellers Kaspersky warnt bzw. den Einsatz verbietet? Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen . Vor diesem Hintergrund hat für die Bundesregierung die Einschätzung des BSI zum Einsatz der Software des Herstellers Kaspersky vom 11. Oktober 2017 (www. bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/BSI_Stellungnahme_ Kapersky_11102017.html) weiterhin bestand. Darüber hinaus kann eine Beantwortung der Frage in Bezug auf die beim BND vorliegenden Erkenntnisse im Sinne der Fragestellung nicht offen erfolgen. Zur Begründung wird auf die Vorbemerkung der Bundesregierung verwiesen. Die Antwort wird als Anlage VS-VERTRAULICH gesondert an die Geheimschutzstelle des Deutschen Bundestages übermittelt. 3. Wird die Bundesregierung Software des Herstellers Kaspersky weiterhin nutzen? Im Hinblick auf zukünftige Software-Beschaffungen kann die Bundesregierung aufgrund vergaberechtlicher Vorschriften keine Aussagen treffen. Diesbezüglich wird auf die Antwort der Bundesregierung zu Frage 8 der Kleinen Anfrage der Fraktion der FDP zur Nutzung von Software ausländischer Hersteller im Sicherheitsbereich auf Bundestagsdrucksache 19/5988 verwiesen. Die Antwort auf diese Frage kann in Bezug auf den BND nicht offen erfolgen. Zur Begründung wird auf die Vorbemerkung der Bundesregierung verwiesen. Die Antwort wird als Anlage VS – VERTRAULICH gesondert an die Geheimschutzstelle des Deutschen Bundestages zur Einsichtnahme übermittelt. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen. 4. Hat die Bundesregierung das Bundesamt für Sicherheit in der Informationstechnik oder eine andere Stelle damit beauftragt, die Sicherheit der Software von Kaspersky zu überprüfen? 5. Wurde dabei Einsicht in den Quellcode genommen, oder wurden andere Maßnahmen zur Sicherheitsprüfung des Produktes unternommen? Die Fragen 4 und 5 werden gemeinsam beantwortet. Auf die Antwort der Bundesregierung zu den Fragen 21 und 22 der Kleinen Anfrage der Fraktion der FDP zur Nutzung von Software ausländischer Hersteller im Sicherheitsbereich auf Bundestagsdrucksache 19/5988 wird verwiesen. Andere Maßnahmen zur Sicherheitsprüfung der Software von Kaspersky wurden nicht unternommen. 6. Wie schätzt die Bundesregierung die Nutzungssicherheit der Antiviren-Software Kaspersky für Bundesbehörden ein? Bei Viren-Schutzprogrammen ist die Auswahl eines zuverlässigen Produktes besonders wichtig. Es sollte daher bei der Wahl des Anbieters eine individuelle Risikobetrachtung durchgeführt werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/6048 Dabei sollte auch berücksichtigt werden, dass Hersteller in allen Ländern der Welt anlassbezogen mit Ermittlungsbehörden zusammenarbeiten und in einigen Ländern auch zur Kooperation mit Nachrichtendiensten verpflichtet sind. Bundesbehörden mit besonderen Sicherheitsinteressen/Rahmenbedingungen haben die Möglichkeit, sich vom Bundesamt für Verfassungsschutz individuell beraten zu lassen. Eine allgemeingültige Aussage ist daher nicht möglich. Im Übrigen wird auf die Antwort der Bundesregierung zu den Fragen 2 und 3 der Kleinen Anfrage der Fraktion der FDP zur Nutzung von Software ausländischer Hersteller im Sicherheitsbereich auf Bundestagsdrucksache 19/5988 verwiesen. 7. Haben das US-amerikanische Nutzungsverbot, das britische Nutzungsverbot oder das litauische Nutzungsverbot zu einer Neubewertung der Einschätzung geführt? Der Einsatz von Softwareprodukten ist je nach Einsatzzweck gegenüber dem damit zusammenhängenden Risiko abzuwägen. Auch die benannten Nutzungsverbote werden bei der Risikoabschätzung berücksichtigt. Die Bundesregierung hat alle ihr vorliegenden Informationen ausgewertet und nutzt diese anlassbezogen. Die dabei gewonnenen Erkenntnisse bieten bislang keine Grundlage für eine generelle, öffentliche Warnung vor Kaspersky-Produkten . In diesem Zusammenhang wird auf die Antwort zu Frage 2 verwiesen. 8. Führte diese Neubewertung dazu, dass die Bundesregierung ihre IT-Sicherheitsforschung neu ausrichtet bzw. ausgerichtet hat (z. B. mit Einrichtung der neuen Cyber-Agentur), um mehr deutsche vertrauensvolle Produkte auf dem Markt zu haben? Die Gründung der Agentur für Innovation in der Cybersicherheit ist ein fest vereinbarter Bestandteil des Koalitionsvertrags vom 12. März 2018 und soll als Inhouse -Gesellschaft in der Rechtsform einer GmbH realisiert werden. Demnach soll zur Sicherstellung technologischer Innovationsführerschaft unter der Federführung des Bundesministeriums der Verteidigung und des Bundesministeriums des Innern, für Bau und Heimat eine Agentur eingerichtet werden, die ambitionierte Forschungs- und Entwicklungsvorhaben mit hohem Innovationspotenzial auf dem Gebiet der Cybersicherheit und diesbezüglicher Schlüsseltechnologien für die Bedarfsdeckung des Staates im Bereich der inneren und äußeren Sicherheit fördert und finanziert, soweit an diesen ein Interesse des Bundes besteht und diese einen nachhaltigen Beitrag zur Sicherung der Zukunft Deutschlands leisten können. Die in der Agentur vorgesehene – zum Teil auch mit Risiko verbundene – Forschungs - und Ideenfinanzierung ergänzt zielgerichtet die klassischen Forschungsförderungsprogramme . Durch die Förderung von ambitionierten Forschungsvorhaben in Schlüsseltechnologien werden Cybersicherheitstechnologien mit Bedeutung für die innere und äußere Sicherheit in Deutschland bzw. im europäischen Verbund gehalten. Damit schafft die Bundesregierung Rahmenbedingungen zur Herstellung vertrauenswürdiger Technologien und stärkt gleichzeitig nationale technologische Kompetenzen. 9. Wird die Bundesregierung die Software des Herstellers Kaspersky weiterhin nutzen? Auf die Antwort zur inhaltlich identischen Frage 3 wird verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333