Y opele ltqru QQ6 - wikileaks.org A BfDI-1-2/MAT A... · VS — Nur für de Die Bundesbeauftragte...

VS — Nur für den Dienstgebrauch

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Deutscher Bundestag Sekretariat des 1. Untersuchungsausschusses Platz der Republik 1 11011 Berlin

Deutscher Bundestag 1. Untersuchungsausschuss

19. Juni 201k II_

HAUSANSCHRIFT Husarenstraße 30, 53117 Bonn

VERBINDUNGSBÜRO Friedrichstraße 50, 10117 Berlin

TELEFON (0228) 997799-515

TELEFAX (0228) 997799-550

E-MAIL [email protected]

BEARBEITET VON Birgit Perschke

INTERNET www.datenschutzbund.de

POSTANSCHRIFT Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Postfach 1468, 53004 Bonn

DATUM Bonn, 17.06,2014

GESCHÄFTSZ. PGNSA-660-21001#0001 VS-NfD

Bitte geben Sie das vorstehende Geschäftszeichen bei

allen Antwortschreiben unbedingt an.

Deutscher Bundestag 1. Untersuchungsausschuss.

der 18. Wahlperiode

BETREFF

HIER

BEZUG

Beweiserhebungsbeschlüsse BfDI-1 und BfDI-2

Übersendung der Beweismittel Beweisbeschluss BfDI-1 sowie BfDI-2 vom 10. April 2014

MAT A ^ ° C - 1/i— VII 9 zu A-Drs.:

In der Anlage übersende ich Ihnen die offenen bzw. gern. Sicherheitsüberprüfungs-gesetz (SOG) i. V. m. der Allgemeinen Verwaltungsvorschrift des Bundesministeri-ums des Innern zum materiellen und organisatorischen Schutz von Verschlusssa-chen (VS-Anweisung — VSA) als VS-Nur für den Dienstgebrauch eingestuften und von den o.g. Beweisbeschlüssen umfassten Beweismittel.

Ich möchte darauf hinweisen, dass die in der zusätzlich anliegenden Liste bezeichne-ten Unterlagen des Referates VIII (Datenschutz bei Telekommunikations-, Tele-medien- und Postdiensten) Betriebs- und Geschäftsgeheimnisse der jeweils be-troffenen Unternehmen beinhalten und bitte um eine entsprechende Einstufung und Kennzeichnung des Materials.

20919/2014 ZUSTELL- UND LIEFERANSCHRIFT Husarenstraße 30, 53117 Bonn

VERKEHRSANBINDUNG Straßenbahn 61, Husarenstraße

VS - Nur für den Dienstgebrauch

Die Bundesbeauftragtefür den Datenschutz und

die I nformationsf reiheit

POSTANSCHRIFT Die Bundesbeaufoaqte für den DatenschuE und die lnformationsfreiheit,Postfach 1468 5300'4 Bonn

Deutscher BundestagSekretariat des1 . UntersuchungsausschussesPlatz der Republik 1

1 101 1 Berlin

;

Beweiserhebungsbeschlüsse BfDl-1 und BfDl-2

übersendung der Beweismittel o

Beweisbeschluss BfDl-1 sowie BfDI-2 vom 10. April2014

Husarenstraße 30, 531 1 7 Bonn

Friedrichstraße 50, 10117 Berlin

(0228) 9e77gg-515

(0228) s97799-550

[email protected],de

Birgit Perschke

www,datensch utz, bund,de

Bonn, 17,06.2014

PG NSA-6 60-21001 #0001 vs-NfD

Bitte geben Sie das vorstehende Geschäftszeichen bei

allen Antwortschreiben unbedingt an.

Deutscher Bundestag1,. I-lntersuchungs aus s chus s

der 18. WahiPeriode

MArA 8P1 'r/+-Ü1zu A-ilrs.: ü

HAUSANSCHRIFT

vERerNout'rcsaüRo

TELEFON

TELEFAX

E.MAIL

BEARBEITET VON

INTERNET

DATUM

GESCHAFTSZ.

BETREFF

HIER

BEZUG

ln der Anlage übersende ich lhnen die offenen bzw. gem. Sicherheitsüberprüfungs-

gesetz (SüG) i. V. m. der Allgemeinen Venrualtungsvorschrift des Bundesministeri-

ums des lnnern zum materiellen und organisatorischen Schutz von Verschlusssa-

chen (VS-Anweisung - VSA) als VS-Nur für den Dienstgebrauch eingestuften und

von den o.g. Beweisbeschlüssen umfassten Beweismittel.

lch möchte darauf hinweisen, dass die in der zusätzlich anliegenden Liste bezeichne-

ten Unterlagen des Referates Vlll (Datenschutz bei Telekommunikations-, Tele-

medien- und Postdiensten) Betriebs- und Geschäftsgeheimnisse.der jeweils be-

troffenen Unternehmen beinhalten und bitte urn eine entsprechende Einstufung und

Kennzeichnung des Materials.

ZUSTELL- UND LIEFERANSCHRIFT HUSATENSTTAßE 30, 531 17 BONN

VERKEHRSANBINDUNG Straßenbahn61, Husarensfraße

t, Untareuchungsausschuss

I §, Juni 2014

2091912014

MAT A BfDI-1-2-VIIIq.pdf, Blatt 1

VS — Nur für de Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

n Dienstgebrauch

Geschäftszeichen

I-041/14#0014

Betreff Ggf, Datum/Zeitraum

Wissenschaft!. Beirat GDD, Proto- 16.10.2013

koll

02.09.2013

13.01.2014

18 02.2014

I-133/001#0058

I-133/001#0058

I-133/001#0061

Vorbereitende Unterlagen

D.dorfer Kreis

Protokoll D.dorfer Kreis, Endfas-sung

Vorbereitende Unterlagen D.dorfer Kreis

ab 18.12.2013 111-460BMA/015#1196 Personalwesen Jobcenter 18.12.2013

V-660/007#0007 Datenschutz in den USA Sicherheitsgesetzgebung und

Datenschutz in den USA/Patriot

Act/PR1SM

V-660/007#1420 BfV Kontrolle Übermittlung von

und zu ausländischen Stellen

SEITE 2 VON 4 Insgesamt werden folgende Akten bzw. Aktenbestandteile und sonstige Unterlagen

übermittelt:

1-100#/001#0025

I-104-1/020#0042

I-132/001#0087

1-132/001#0087

1-132/001#0087

1-132/001#0087

1-132/001#0087

I-132/001#0087

I-132/001#0087

I-132/001#0087

I-132/001#0087

I-132/001#0088

1-132/001#0088

Auswertung Koalitionsvertrag

Vorbereitung__DSK 17./18./19.03.2014

DSK-Vorkonferenz 02./05./06. 08.2013

Themenanmeldung Vorkonferenz 20.08.2013

Themenanmeldung DSK 22.08.2013

DSK-Umlaufentschließung 30.08.2013

DSK-Themenanmeldung 17.09.2013

DSK-Herbstkonferenz 23.09.2013

Protokoll der 86. DSK 03.02.2014

Pressemitteilung zum 8. Europ. 12.02.2014

DS-Tag

Protokoll der 86. DSK, Korr. Fas- 04.04.2014

sung

TO-Anmeldung 87. DSK 17.03.2014

Vorl. TO 87. DSK 20.03.2014

18.12.2013

V-660/007#1424

V1-170/024#0137

Kontrolle der deutsch-amerikanischen Kooperation

BND-Einrichtung Bad-Aibling

Grundschutztool, Ro le des BSI Juli-August 2013

Die Bundesbeauftragtefür den Dätenschutiundd ie, I nformationsfreih eit

VS - Nur für Dienstgebrauch

sErTE2voN 4 lnsgesamt werden folgende Akten bzw. Aktenbestandteile und sonstige Unterlagenübermittelt:

Proto-

koll

r-100#/001#0025

!:Lof.l I_o3gtg_oi? Y_opele__ltqru_QQ6 :lzll q,i1g.qq =?_a_1L__..._

l-t szloo 1#ooez DSK-Vorkonferenz 02.t05.146. 08.2013

- !:1929-QE-qqg7--------.------ -Thenets-!nq!-qs-n-s--ve-{snls_is_nr_ ______?9.,9§..2pl ?Ä32tAO1#0087 Th e m en a n m e ld_u_n g _8 qE 22.08.2013

l:]-Q-zlQ-n-EQQü-- -P§l!:Ude.qler[q-ch]ieEsrg -.-g--q-,-Q-8--?g1a-r-1 32/001#0087

l-1 321001 #0087 DSK-Herbstkonferenz 23.09.2013

--l-:-1-9-äQ-9l4Aqql_ .trp!eEe!! 4sr 9F _p_q6 ffi.42.2014l-1 32i001#0087 Pressemitteilung zum 8. Europ. 12.02.2014

I-132i001#0087 Protokofl der 86. DSK, Korr. Fas- 04.A4.2014

_-9_Ur_g-_--_- -

l-19?J9-QlEq-0-qq I_o:4ru:el9$s_QZ, [s_[ __17.43.2014

r-1 32/001 #0088 Vorl- TO 87. DSK

l-133/001#0058 02.09.2013

t-133/001#0058

Vorbereitende U nterlagen

D.dorfer Kreis

Protokoll D.dorfer Kreis, Endfas- 13.01 .zAM

_§_!l]1g

l-133/001#0061 Vorbere itende U nterl ag en 18.02.20'14

I I l-4608 MA/01 5# 1 1 96 Perso n a lwesen J ohce nter ah 18.12.201318.12.2013

v-660/007#0007 Datenschutz in den USA

Sicherheitsgesetzgebung u nd

Datenschutz in den USA/Patriot

v-660/007#1420 BfV Kontrolle Überrnittlung von

____- q[q_Aq _Ag-§_LArujschen Stellenv-660/0a7ffi424 Kontrolle der deutsch-

a meri kanischen Kooperation

Y.l_119-a3.4#aß7 cryndqqh_q.12_tqql, Be{lie deg_E§_l Juli-August 2013----t-


• IDie Bundesbeauftragte für den Datenschutz und die Informationsfreiheit


SEITE 3 VON 4 Geschäftszeichen Betreff

i.Z.m. PRISM

Ggf. Datum/Zeitraum

V1-170/007-34/13 GEH. Sicherheit in Bad Aibling 18.02.2014

VII-263USA/001#0094 Datenschutz in den USA

V11-261/056#0120 Safe Harbour

VII-261/072#0320 Internationale Datentransfers -

Zugriff von Exekutivbehörden im

ten

Empfängerland oder in Drittstaa-

VII-260/013#0214 Zusatzprotokoll zum internationa-

len Pakt über bürgerliche und politische Rechte (ICCPR)

V111-191/086#0305 Deutsche Telekom AG (DTAG)

allgemein 24.06.-17.09.2013

VIII-192/111#0141 Informationsbesuch Syniverse 24.09. — 12.11.2013 e

Technologies

V111-192/115#0145 Kontrolle Yahoo Deutschland 07.11.2013-

04.03.2014

VIII-193/006#1399

chung

Strategische Fernmeldeüberwa- 25.06. — 12.12.2013

VIII-193/006#1420 DE-CIX 20-.08. — 23.08.2013

V111-193/006#1426 Level (3) 04.09. -19.09.2013

V111-193/006#1459 Vodafone Basisstationen 30.10. — 18.11.2013

VIII-193/017#1365 Jour fixe Telekommunikation 03.09. — 18.10.2013

V111-193/020#0293 Deutsche Telekom (BCR) 05.07. — 08.08.2013 V111-193-2/004#007 T-online/Telekom 08./09.08.2013

V111-193-2/006#0603 Google Mail 09.07.2013 —

26.02.2014

V111-240/010#0016 Jour fixe, Deutsche Post AG 27.06.2013 V111-501-1/016#0737 Sitzungen 2013

VIII-501-1/010#4450 International working group 2013 12.08. — 02.12.2013

VIII-501-1/010#4997 International working group 2014 10.04. — 05.05.2014

V111-501-1/016#0737 Internet task force 03.07. — 21.10.2013 v6 VIII-501-1/026#0738 AK Medien 13.06.2013 —

27.02.2014

V111-501-1/026#0746 AK Medien 20.01. — 03-04-2014

V111-501-1/036#2403 Facebook 05.07. — 15.07.2013 V

Google Privacy Policy 10.06.2013 V6 V V111-501-1/037#4470

VIII-M-193#0105 Mitwirkung allgemein 25.10.2013 —

til!:i.

Dle Bundesbeauftragte{ür den Datenschutz unddie lnf ormationsf reiheit


Yj:1I9l9a-7:?1119- 9E-U. - -§ls-beilreil n Fad A&lingVII-263UStu001#0094 Datenschutz in den USA

18.02.2A14

vll-26 11072#0320 lnternationale Datentransfers -

Zugriff von Exekutivbehörden im

Empfängerland oder in Drittstaa-

ten

vl I-260i 01 3#021 4 ZusatzprotokolI zum internationa-len Pakt uber bürgerliche und poli-

I r-s gl: s_ ße c hi_e U_c 9_l BI_

vl I t- 1 91 1086#0305 Deutsche Telekom AG (DTAG) 24.06.-17.09.2013

allg-erpitt\_ vill-192t111#0141+.Ir I nform ationsbesuch Syn iverse 24.09. -12.1 1.2013

Tp__c_hitq l_eg ies

e\

a7 .11 .2013-

04. 03.20 1 4

!J 5, h 1J{ _J- 'n

Y.-J '7

.,f J\! J:_! ,. i._!'- vlll-1921115#0145 Kontrolle Yahoo Deutschland

. vil t-193/006#13gg Strateg ische Fernmeldeü be n/va- 25.06. - 12.12.2013

_e[uts

20-.08. - 23.08.201 3

+ v!Ll- 1-99/90-Qf l-4-q-9 - v_ogalqne Eaqlqs_lelis|l9_r

yLllr1"99 tp?*oü.p?_9-? -o-su!sqhe_ Isje[qm (E9_ru _ qq,_Q_7_._:_Q_9_-q_q,_?-_Q_]..Q

YI-LL1-9Q -zLa?lt9-ql I:efl-re{-rplef-oiu __.__9___8_,/_q_9_,9__-8_,?_p_l_3

Vlll-1 93-21006#0603 Google Mail 09.07.201 3 -26.O2.2414

vlll{140/_0l0isoqlq____Jggf fi Ig,_Leutsglf rgl{9____zL.oaz9l_3___--_->i(!.!l-501-fl0-l-Qü9?32---..-§itr_trngen 23ß....-__ __- e$ v

.yJ.L_50"1-1l0l.ffiAtg9__Ln!-e11e!i$e|y_srf4sJ.ro.gp_z_ol9_J2.oL =9123ott ___.._

- _V!]]§q]:!|0191{e9Z_-_- ln!-eglational wojkjngjlg!p_29!{__-!_0-0!.;_9§.0§_2ql4___

+ _vilLlq ull1lt_ol?l' vil r-50 1-1to26#0738I-nlercI laqf lotqe p.9.q-L : H.19,?q1A v4 'd

AK Medien 13.06.20'13 -


SEITE 4 VON 4 Geschäftszeichen

VIII-M-193#1150

VIII-M-261/32#0079

Betreff

Vorträge/Reden/Interviews

EU DS-Rili Art. 29

Ggf. Datum/Zeitraum

28.10.2013

21.01.2014

09.10. — 28.11.2013

411 I Die Bundesbeauftragte für den Datenschutz und

die informationsfreiheit


VIII-M-40/9#0001

Presseanfragen

BKA-DS

18.07. — 12.08.2013

IX-725/000311#01118 13.08.2013

Darüber hinaus werden Unterlagen, die VS-Vertraulich bzw. GEHEIM eingestuft sind mit separater Post übersandt.

Im Auftrag

Löwnau


ä§:.:].:

Die Bundesbeauftragte'für den Datenschutz unddie Informationsfreiheit

28.10.2013

vil t-M-1 93#1 1 50 Y-oflr--as-e/BeCerllnlery-ews- 21-p-1-#-1Avil r-M-2 61 ß2#AO79 EU DS-Rili Art. 29 09.1 0. - 28. 11 .24ß

Yl Ll-M-:1-0l9fQp--q1--- -- - Preg-s-earllqs-q!- ---

tx-725t0003 lr#01 118 BKA-DS_l 9_,9-7-_.-_ 1?_,.99 eql q

13.08.2013

Darüber hinaus werden Unterlagen, die VS-Veftraulich bzw. GEHEIM eingestuft sind

mit separater Post übersandt.

lm Auftrag

-E'-/'_'E--"1 =+--;

E/? v

Löwnau


Fragen an die Bundesregierung

Inhaltsverzeichnis

1. Sachstand Aufklärung: Kenntnisstand der Bundesregierung und Ergebnisse der Kommunikation mit US Behörden

II. Umfang der Übervvachung und Tätigkeit der US Nachrichtendienste auf deutschem Hoheitsgebiet

III. Alte Abkommen

IV. Zusicherung der NSA in 1999

. Gegenwä'rtige Überwachungsstationen von US-Nachrichtendiensten in Deutschland

VI. Vereitelte Anschläge

VII. PRISM und Einsatz von PRISM in Afghanistan

VIII. Datenaustausch DEU — USA und Zusammenarbeit der Behörden

IX. Nutzung des Programms „Xkeyscore"

X. G10 Gesetz

Xl. Strafbarkeit

XII. Cyberabvvehr

XIII. Wirtschaftsspionage

XIV. EU und internationale Ebene

XV. Informationen der Bundeskanzlerin und Tätigkeit des Kanzleramtsministers

ilt.

lv.

V.

mlr<t"mstnfr1

lnhaltsverzeichnis

l. Sachstand Aufklärung: Kenntnisstand der Bundesregierung undErgebnisse der Kommunikation mit US Behörden

!1. Umfang der Überwachung und Tätigkeit der US Nachrichtendienste aufdeutschem Hoheits gebiet

Alte Abkommen

Zusicherung der NSA in lggg

Gegenwä rti ge Ü berwach u ngsstati onen von US -Nach ric htend iensten inDeutschland

Vl. Vereitelte Anschläge

Vll. PRTSM und Einsatz von PRISM in Afghanistan

Vlll, Datenaustausch DEU - USA und Zusammenarbeit der Behörden

IX. Nutzung des Programms ,,Xkeyscore,,

X. G10 Gesetz

Xl. Strafbarkeit

Xll. Gyberabwehr

Xlll. Wirtschaftsspionage

XlV. EU und internationale Ebene

xv. lnformationen der Bundeskanzlerin und Tätigkeit desKanzleramtsm inisters


16. Bis wann?

2

1. Sachstand Aufklärung: Kenntnisstand der Bundesregierung und Ergebnisse der Kommunikation mit US-Behörden

1. Seit wann kennt die Bundesregierung die Existenz von PRISM?

2. Wie ist der aktuelle Kenntnisstand der Bunderegierung hinsichtlich der Aktivitäten der NSA?

3. Welche Kenntnisse hat die Bundesregierung zwischenzeitlich zu PRSIM, TEMPORA und vergleichbaren Programmen?

4. Welche Dokumente / Informationen sollen deklassifiziert werden?

5. Gibt es eine verbindliche Zusage, bis wann die diversen Fragenkataloge deutscher Regierungsmitglieder beantwortet werden sollen?

6. Welche Gespräche haben seit Anfang des Jahres zwischen Mitgliedern der Bundesregierung mit Mitgliedern der US Regierung und mit führenden Mitarbeitern der US Geheimdienste stattgefunden? Welche Gespräche sind für die Zukunft geplant? VVann? Durch wen?

7. Gab es seit Anfang des Jahres Gespräche zwischen dem Geheimdienst-koordinator James Clapper und dem Kanzleramtsminister ?Wenn nicht, warum nicht? Sind solche geplant?

8. Gab es in den vergangenen Wochen Gespräche mit der NSA / mit NSA Chef General Keith Alexander und dem Kanzleramtsminister? Wenn nicht, warum nicht? Sind solche geplant?

9. VVelche Gespräche gab es seit Anfang des Jahres zwischen den Spitzen der Bundesministerien, BND, BfV oder BSI einerseits und NSA andererseits und wenn ja, was waren die Ergebnisse? War PRISM Gegenstand der Gespräche? Waren die Mitglieder der Bundesregierung über diese Gespräche informiert? Und wenn ja, inwieweit?

10. Gibt es eine Zusage, dass die flächendeckende Überwachung deutscher und europäischer Staatsbürger ausgesetzt wird? Hat die Bundesregierung dies gefordert?


II. Umfang der Überwachung und Tätigkeit der US Nachrichtendienste auf deutschem Hoheitsgebiet.

. Hält Bundesregierung Überwachung von 500 Millionen Daten in Deutschland pro Monat für unverhältnismäßig?

2. Hat die Bundesregierung gegenüber den USA erklärt, dass eine solche Überwachung unverhältnisrnäßig ist? Wie haben sie reagiert?

3. War es Gegenstand der Gespräche der Bundesregierung, zu klären, wo und auf welche Weise die amerikanischen Dienste diese Daten erheben bzw. abgreifen?

4. Haben die Ergebnisse zweifelsfrei ergeben, dass diese Daten nicht auf deutschem Hoheitsgebiet abgegriffen werden? Wenn nein, kann die Bundesregierung ausschließen, dass die NSA oder andere Dienste hier Zugang zur Kommunikationsinfrastruictur, beispielsweise an den zentralen Internetknoten, haben? Wenn ja, auf welche Art und Weise können die Dienste außerhalb von Deutschland auf Kommunikationsdaten in einem solchen Umfang zugreifen?

5. Welche Hinweise hat die Bundesregierung darauf, ob und inwieweit deutsche oder europäische staatliche Institutionen oder diplomatische Vertretungen Ziel von US-Spähmaßnahmen oder Ähnlichem waren? Inwieweit wurde deutsche und europäische Regierungskommunikation sowie Parlamentskommunikation überwacht? Konnten die Ergebnisse der Gespräche der Bundesregierung dieses ausschließen?

ll. Umfang der Überwachung und Tätigkeit der US Nachrichtendienste aufdeutschem Hoheitsgebiet.

1. Hält Bundesregierung Übenruachung von 500 Millionen Daten in Deutschlandpro Monat für unverhältnismäßig?

2. Hat die Bundesregierung gegenüber den USA erklärt, dass eine sotcheÜbenrvachung unverhältnismäßig ist? Wie haben sie reagiert?

3. War es Gegenstand der Gespräche der Bundesregierung, zu klären, wo undauf welche Weise die amerikanischen Dienste dieie Datän erheben bzw.abgreifen?

4. Haben die Ergebnisse zweifetsfrei ergeben, dass diese Daten nicht aufdeutschem Hoheitsgebiet abgegriffen werden? Wenn nein, kann dieBundesregierung ausschließen, dass die NSA oder andere Dienste hierZugang zur Kommunikationsinfrastruktur, beispielsweise an den zentratenlnternetknoten, haben? Wenn ja, auf welche Art und Weise können dieDienste außerhalb von Deutschland auf Kommunikationsdaten in einemsolchen Umfang zugreifen?

5. Welche Hinweise hat die Bundesregierung darauf, ob und inwieweit deutscheoder europäische staatliche Institutionen oder diplomatische Vertretungen Zielvon US-Spähmaßnahmen oder Ahnlichem waren? lnwieweit wurde de-utscheund europäische Reg ierungskornmunikation sowie Parlamentskommunikationüberwacht? Konntendie Eigebnisse der Gespräche der Bundesregierungdieses ausschließen?


Sieht Bundesregierung noch andere Rechtsgrundlagen?

III. Abkommen mit den USA

Nach Medienberichten gibt es zwei Rechtsgrundlagen für die nachrichtendienstliche Tätigkeit der USA in Deutschland:

• Zusatzabkommen zum Truppenstatut sichert Millitärkommandeur das Recht zu "im Fall einer unmittelbaren Bedrohung" seiner Streitkräfte "angemessene Schutzmaßnahmen" zu ergreifen. Das schließt ein, Nachrichten zu sammeln. Wurde im Zusammenhang G10 durch Verbalnote bestätigt. Nach Aussagen der Bundesregierung wurde dieses Abkommen seit der Wiedervereinigung nicht mehr angewendet.

Verwaltungsvereinbarung von 1968 gibt Allierten das Recht, deutsche Dienste um Aufklärungsmaßnahmen zu bitten. Das wurde nach Auskunft der Bundesregierung bis 1990 genutzt.

1. Sind diese Abkommen noch gültig?

2. Kann die USA auf dieser Grundlage in Deutschland legal tätig werden?

4. Auf welcher Rechtsgrundlage erheben amerikanische Dienste aus US Sicht Kommunikationsdaten in Deutschland?

5. Was hat die Bundesregierung unternommen, um die Abkommen zu kündigen?

Bis wann sollen welche Abkommen gekündigt werden?

Gibt es weitere Vereinbarungen der USA mit der Bundesrepublik Deutschland oder dem BND, nach denen in Deutschland Daten erhoben oder ausgeleitet werden körtnen? Welche sind das und was legen sie im Detail fest?

4

lll. Abkommen mit den USA

Nach Medienberichten gibt es zwei Rechtsgrundlagen für dienachrichtendienstliche Tätigkeit der USA in Dciutschland:

o Zusatzabkommen zum Truppenstatut sicher,t Millitärkommandeur dasRecht zu "im Fall einer unmittelbaren Bedrohung" seiner Streitkräfte"angemessene Schutzmaßnahmen" zu ergreifen. Das schließt ein,Nachrichten zu sammeln. Wurde im Zusammenhang G10 durchVerbalnote bestätigt. Nach Aussagen der Bundesregierung wurde diesesAbkommen seit der Wiedervereinigung nicht mehr angewendet.

. Venrualtungsvereinbarung von 1968 gibt Allierten das Recht, deutscheDienste um Aufklärungsmaßnahmen zu bitten. Das wurde nach Auskunftder Bundesregierung bis 1990 genutzt.

Sind diese Abkommen noch gültig?

Kann die USA auf dieser Grundlage in Deutschland legal tätig werden?

Sieht Bundesregierung noch andere Rechtsgrundlagen?

Auf welcher Rechtsgrundlage erheben amerikanische Dienste aus US SichtKommunikationsdaten in Deutschland?

Was hat die Bundesregierung unternommen, um die Abkommen zukündigen?

Bis wann sollen welche Abkommen gekündigt werden?

Gibt es weitere Vereinbarungen der USA mit der BundesrepublikDeutschland oder dem BND, nach denen in Deutschland Daten erhobenoder ausgeleitet werden können? Wetche sind das und was legen sie imDetail fest?

1.

2.

3,

4.

5.

o.

7.


IV. Zusicherung der NSA in 1999

1999 hat NSA in Bezug auf damalige Station Bad Aibling Zusicherung gegeben

• Bad Aibling ist „weder gegen deutsche Interessen noch gegen deutsches Recht gerichtet"

„Weitergabe von Informationen an US-Konzerne" ist ausgeschlossen.

1. Wie wurde die Einhaltung der Zusicherung von 1999 überwacht?

2. Gab es Konsultationen mit der NSA bezüglich der Zusicherung?

Hat die Bundesregierung den Justizminister Eric Holder bzw. den Vizepräsidenten Biden auf die Zusicherung hingewiesen?

Wenn ja, wie stehen die Amerikaner zu der Vereinbarung?

War dem Bundeskanzleramt die Zusicherung überhaupt bekannt?

5

lV. Zusicherung der NSA in i ggg

19gg hat NSA in Bezug auf damalige Station Bad Aibling Zusicherung gegeben

Bad Aibling ist ,,weder gegen deutsche lnteressen noch gegendeutsches Recht gerichtet"

. ,,Weitergabe von lnformationen an US-Konzerne" ist ausgeschlossen.

Wie wurde die Einhaltung der Zusicherung von 1999 übenruacht?

Gab es Konsultationen mit der NSA bezüglich der Zusicherung?

Hat die Bundesregierung den Justizminister Eric Holder bzw. denvizepräsidenten Biden auf die Zusicherung hingewiesen?

wenn ja, wie stehen die Amerikaner zu der vereinbarung?

War dem Bundeskanzleramt die Zusicherung überhaupt bekannt?

1.

2.

3.

4.

5.


3. Was hat die Bundesregierung dafür getan, dass die US Regierung und die US Nachrichtendienste die Zusicherung geben, sich an die Gesetze in Deutschland zu halten?

V. Gegenwärtige Überwachungsstationen von US Nachrichtendiensten in Deutschland

1. Welche Überwachungsstationen in Deutschland werden von der NSA bis heute genutzttraftgenutzt?

Welche Funktion hat der geplante Neubau in Wiesbaden (Consolidated Intelligence Center)? Inwieweit wird die NSA diesen Neubau auch zu Uberwachungstätigkeit nutzen? Auf welcher Rechtsgrundlage wird das geschehen?

6

V. Gegenwärtige Übenarachungsstationen von US Nachrichtendiensten inDeutschland

\A/elche Uberwachungsstationen in Deutschland werden von der NSA bisheute gen utzt/mitgen utzt?

Welche Funktion hat der geplante Neubau in Wiesbaden (Consolidatedlntelligence Center)? lnwieweit wird die NSA diesen Neubau auch zuÜbenvachungstätigkeit nutzen? Auf welcher Rechtsgrundlage wird dasgeschehen?

Was hat die Bundesregierung dafür getan, dass die US Regierung und dieUS Nachrichtendienste die Zusicherung geben, sich an die Gesetze inDeutschland zu halten?

1.

2.

3.


7

VI. Vereitelte Anschläge

1. Wieviele Anschläge sind durch PRISM in Deutschland verhindert worden?

2. Um welche Vorgänge hat es sich hierbei jeweils gehandelt?

3. Welche deutschen Behörden waren beteiligt?

4. Sind die Informationen in deutsche Ermittlungsverfahren eingeflossen?

Vl. Vereitelte Anschläge

1. Wieviele Anschläge sind durch PRISM in Deutschland verhindert worden?

2. Urn welche Vorgänge hat es sich hierbei jeweils gehandelt?

3. Welche deutschen Behörden waren beteiligt?

4. Sind die lnformationen in deutsche Ermittlungsverfahren eingeflossen?


5. Kann die Bundesregierung nach der Erklärung des BMVG, sie nutze PRISM in Afghanistan, ihre Auffassung aufrechthalten, sie habe von PRISM der NSA nichts gewusst?

6. Auf welche Datenbanken greift das in Afghanistan eingesetzte Programm PRISM zu?

VII. PRISM und Einsatz von PRISM in Afghanistan

In der Regierungspressekonferenz am 17. Juli hat Regierungssprecher Seibert erläutert, dass das in Afghanistan genutzte Programm „PRISM" sei nicht mit dem bekannten Programm „PRISM" des NSA identisch: „Demzufolge müssen wir zur Kenntnis nehmen, dass die Abkürzung PRISM im Zusammenhang mit dem Austausch von Informationen im Einsatzgebiet Afghanistan auftaucht. Der BND informiert, dass es sich dabei um ein NATO/ISAF-Programm handelt, nicht identisch mit dem PRISM-Programm der NSA."

Kurz danach hat das BMVG eingeräumt, die Programme seien doch identisch.

1. Wie erklärt die Bundesregierung diesen Widerspruch?

2. VVelche Darstellung stimmt?

I

Vll. PRISM und Einsatz von PRISM in Afghanistan

ln der Regierungspressekonferenz am 17. Juli hat Regierungssprecher Seibert

erläutert, dass das in Afghanistan genutzte Programm ,,PR!SM" sei nicht mit

dem bekannten Programrn ,,PR|SM" des NSA identisch: ,,Demzufolge müssen

wir zur Kenntnis nehmen, dass die Abkürzung PRISM im Zusammenhang mit

dem Austausch von lnformationen im Einsatzgebiet Afghanistan auftaucht. Der

BND informiert, dass es sich dabei um ein NATO/ISAF-Programm handelt, nicht

identisch mit dem PRISM-Programm der NSA."

Kurz danach hat das BMVG eingeräumt, die Programme seien doch identisch.

1. Wie erklärt die Bundesregierung diesen Widerspruch?

2. Welche Darstellung stimmt?

Kann die Bundesregierung nach der Erk!ärung des BMVG, sie nutze PRISM

in Afghanistan, ihre Auffassung aufrechthalten, sie habe von PRTSM der NSA

nichts gewusst?

Auf welche Datenbanken greift das in Afghanistan eingesetzte Programm

PRISM zu?

3.

4.


9

VIII. Datenaustausch DEU — USA und Zusammenarbeit der Behörden

1. In welchem Umfang stellen die USA (bitte nach Diensten aufschlüsseln) welchen deutschen Diensten taten zur Verfügung?

In welchem Umfang stellt Deutschland (bitte aufschlüsseln nach Diensten) welchen amerikanischen und britischen Sicherheitsbehörden (bitte aufschlüsseln) Daten in welchem Umfang zur Verfügung?

Daten bei Entführungen: a. Woraus schloss der BND, dass die USA über die

Kommunikationsdaten verfügte? b. Wurden auch andere Partnerdienste danach angefragt oder gezielt

nur die US-Behörden?

Kann es sein, dass die USA deutschen Diensten neben Einzelmeldungen auch vorgefilterte Metadaten zur Analyse übermitteln?

Zu welchem anderen Zweck werden sonst die von den USA zur Verfügung gestellten Analysetools benötigt?

Nach welchen Kriterien werden ggf. diese Metadaten vorgefiltert?

Um welche Datenvolumina handelt es sich ggf.?

In welcher Form hat der BND ggf. Zugang zu diesen Daten (Schnittstelle oder regelmäßige Ubermittlung von Datenpaketen durch die USA)"

In welcher Form haben die NSA oder andere amerikanische Dienste Zugang zur Kommunikationsinfrastruktur in Deutschland? Haben sie Zugang (Schnittstellen) in Deutschland, beispielsweise am DECIX? Welche Kenntnisse hat die Bundesregierung, wie die Dienste Kommunkationsdaten in diesem Umfang ausleiten können?

10. Hält die Bundesregierung an ihrer Aussage fest, dass keine ausländischen Dienste Zugang zum DECIX oder anderen zentralen Knotenpunkten haben, und wie belegt sie diese Aussage angesichts der Vielzahl der zur Verfügung stehenden Kommunikationsdatensätze?

11. Kann die Bundesregierung ausschließen, dass, beispielsweise auf Basis des Patriot Acts, amerikanische Unternehmen wie Google, Facebook oder Alcarnai, verpflichtet werden, ihre am DECIX ansetzende Schnittstelle für amerikanische Dienste zu öffnen bZW. die Kommunikationsinhalte auszuleiten?

12. Wie bewertet die Bundesregierung eine solche Ausleitung aus rechtlicher Sicht? Handelt es sich nach Auffassung der Bundesregierung dabei im einen Rechtsbruch deutscher Gesetze?

ull.


10

13. Werden die Ergebnisse der deutschen Analysen (egal ob aus US-Analysetools oder anderweitig) an die USA rückübermittelt?

14. Werden vom BND oder BfV Daten für die NSA oder andere Dienste erhoben oder ausgeleitet, und wenn ja, wo, in welchem Umfang und auf welcher Rechtsgrundlage?

15. Wie viele für den BND oder das BfV ausgeleitete Datensätze werden anschließend auch der NSA oder anderen Diensten übermittelt?

16. Welche Kenntnisse hat die Bundesregierung, in welchem Umfang die amerikanischen Internetunternehmen wie Apple, Google, Facebook und Microsoft amerikanischen Diensten Zugriff auf ihre Systeme gewähren?

17. Welche Kenntnisse hat die Bundesregierung darüber, welche Vereinbarungen deutsche Unternehmen, die auch in den USA tätig sind, mit den amerikanischen Nachrichtendiensten treffen und inwieweit diese in die Überwachungspraxis einbezogen sind?

18. Unterstützen das BfV und der BND die NSA oder andere amerikanische Dienste bei dieser Übervvachungspraxis, und wenn ja, in welcher Form?

19. Welchem Ziel dienten die Treffen und Schulungen zwischen der NSA und dem BND bzw. dem BfV?

20. Welchen Inhalt hatten die Gespräche mit der NSA im Bundeskanzleramt und welchen konkreten Vereinbarungen wurden durch wen getroffen?

21. NSA hat den BND und das BSI als „Schlüsselpartner" bezeichnet. Was ist darunter zu verstehen? Wie trägt das BSI zur Zusammenarbeit mit dem NSA bei?

13.

14.

15.

16.

17.

18.

19.

10

Werden die Ergebnisse der deutschen Analysen (egal ob aus US-Analysetools oder andenrueitig) an die USA rückübermittelt?

Werden vom BND oder BfV Daten für die NSA oder andere Diensteerhoben oder ausgeleitet, und wenn ja, wo, in welchem Umfang und aufwelcher Rechtsg ründ lage?

Wie viele für den BND oder das BfV ausgeleitete Datensätze werdenanschließend auch der NSA oder anderen Diensten übermittelt?

.\Welche Kenntnisse hat die Bundesregierungi in wetchem Umfang dieamerikanischen lnternetunternehmen wie Apple, Google, FacebJok undMicrosoft amerikanischen Diensten Zugriff auf ihre Systeme gewähren?

Wetche Kenntnisse hat die Bundesregierung darüber, welcheVereinbarungen deutsche Unternehmen, die auch in den USA tätig sind,mit den amerikanischen Nachrichtendiensten treffen und inwieweif diese indie Überwachungspraxis einbezogen sind?

Unterstützen das BfV und der BND die NSA oder andere amerikanischeDienste bei dieser Übennrachungspraxis, und wenn ja, in welcher Form?

Welchem Ziel dienten die Treffen und Schulungen zwischen der NSA unddem BND bzw. dem BfV?

Welchen tnhalt hatten die Gespräche mit der NSA im Bundeskanzleramtund welchen konkreten Verein.barungen wurden durch wen getroffen?

NSA hat den BND und das BSI ats,,Schlüsselpartnert'bezeichnet. Was istdarunter zu verstehen? Wie trägt das BSI zur Zusammenarbeit mit demNSA bei?

20.

21.


11

IX. Nutzung des Programms „XKeyscore"

1. Wann haben Sie davon erfahren, dass das Bundesamt für Verfassungsschutz das Programm „XKeyscoreu von der NSA erhalten hat?

2. War der Erhalt von „Xkeyscore" an Bedingungen geknüpft?

3. Ist der BND auch im Besitz von „XKeyscore"?

4 Wenn ja, testet oder nutzt der BND „XKeyscore"?

5. Wenn ja, seit wann nutzt oder testet der BND „XKeyscore"?

6. Seit wann testet das Bundesamt für Verfassungsschutz das Programm „XKeyscore"?

7. Wer hat den Test von „XKeyscore" autorisiert?

8. Hat das Bundesamt für Verfassungsschutz das Programm „XKeyscore" jemals im laufenden Betrieb eingesetzt?

9. Falls bisher kein Einsatz im laufenden Betrieb stattfand, ist eine Nutzung von „XKeyscore" in Zukunft geplant? Wenn ja, ab wann?

10. Wer entscheidet, ob „XKeyscore" in Zukunft genutzt werden soll?

11. Können die deutschen Nachrichtendienste mit „XKeliscore" auf NSA-Datenbanken zugreifen?

12. Leiten deutsche Nachrichtendienste Daten über nXKeyscore" an NSA-Datenbanken weiter (bitte nach Diensten und Art der Daten/Informationen aufschlüsseln)?

13. Wie funktioniert „XKeystore?"

14. Kann die Bundesregierung ausschließen, dass es in diesem Programm „Hintertüren" für den Zugang amerikanischer Sicherheitsbehörden gibt?

15. Medienberichten (vgl. dazu DER SPIEGEL 30/2013) zufolge sollen von den 500 Mio. Datensätzen im Dezember 2012 180 Mio. Datensätze über „Xkeyscore" erfasst wurden sein? Wo und wie wurden diese erfasst? Wie wurden die anderen 320 Mio. Datensätze erhoben?

16. Welche Kenntnisse hat die Bundesregierung, ob und in welchem Umfang auch Kommunikationsinhalte „Xkeyscore" rückwirkend bzw. in Echtzeit erhoben werden können?

17. Wäre nach Meinung des Bundeskanzleramts eine Nutzung von „XKeyscore", das laut Medienberichten einen ”full take „ durchführen kann, mit dem G-10-


12

Gesetzes vereinbar?

18. Falls nein, wird eine Änderung des G-10-Gesetzes angestrebt?

19. Nach Medienberichten nutzt die NSA „XKeyscore" zur Erfassung und Analyse von Daten in Deutschland. Hat das Bundeskanzleramt davon Kenntnis? Wenn ja, liegen auch Informationen vor, ob zweitweise ein „full take", also eine Totalüberwachung des deutschen Datenverkehrs, durch die NSA stattfindet?

20. Hat die Bundesregierung Kenntnisse, ob „Xkeyscore" Bestandteil des amerikanischen ÜberWachungsprogramms PRISM ist?

21. Warum hat die Bundesregierung das PKGR bis heute nicht über die Existenz und den Einsatz von „Xkeyscore" unterrichtet?

18.

19.

L2

Gesetzes vereinbar?

Falls nein, wird eine Anderung des G-1O-Gesetzes angestrebt?

Nach Medienberichten nutzt die NSA ,,XKeyscore" zur Erfassung und Analysevon Daten in Deutschland. Hat das Bundeskanzleramt davon Kenntnis?Wenn ja, liegen auch tnformationen vor, ob zweitweise ein,,fult take", alsoeine Totalübenrvaehung des deutschen Datenverkehrs, durch die NSAstattfindet?

Hat die Bundesre_gierung Kenntnisse, ob ,,Xkeyscore" Bestandtei! desamerikanischen ÜUenirachungsprogramms PRISM ist? ' '

Warum hat die Bundesregierung das PKGR bis heute nicht über die Existenzund den Einsatz von ,,Xkeyscore" unterrichtet?

20.

21.


13

X. G10 Gesetz

. Inwieweit hat die, deutsche Regierung dem BND „mehr Flexibilität" bei der Weitergabe geschützter Daten an ausländische Partner eingeräumt? Wie sieht diese „Flexibilität aus?"

2. Welche Datensätze haben die deutschen Nachrichtendienste zwischen 2010 und 2012 an US Geheimdienste übermittelt?

3. Hat das Kanzleramt diese Übermittlung genehmigt?

4. Ist das G10 Gremium darüber unterrichtet worden und wenn nein, warum nicht?

5. Ist nach der Auslegung der Bundesregierung von § 7a G10 Gesetz eine Übermittlung von „finishe intelligente" gemäß von § 7a G10 Gesetz zulässig? Entspricht diese Auslegung der des BND?

13

X. G{ 0 Gesetz

1. lnwieweit hat die deutsche Regierung dem BND ,,mehr Flexibilität" bei derWeitergabe geschützter Daten an ausländische Partner eingeräumt? Wiesieht diese ,,Flexibilität aus?" ,

2. Welche Datensätze haben die deutschen Nachrichtendienste zwischen2010 und 20 12 an US Geheimdienste übermittelt?

3. Hat das Kanzleramt diese Übermittlung genehmigt?

4. lst das G10 Gremium darüber unterrichtetworden und wenn nein, warumnicht?

Ita5. lst nach derAuslegung der Bundesregierung von § 7a G10 Gesetz eineübermittlung rron ,Iinis-he intelligente"-gemaä ,on § la G10 Gesetzzulässig? Entspricht diese Auslegung der des BND?


14

XI. Strafbarkeit

1. Sachstand Ermittlungen / Anzeigen

2. Sieht Bundesregierung Strafbarkeit bei Datenausspähung •

a) wenn diese in Deutschland durch NSA begangen wird?

b) wenn NSA Deutschland aus USA ausspäht?

c) Strafbarkeitslücke?

3. Wie viele Mitarbeiter arbeiten an den Ermittlungen?

4. Inwieweit sieht die Bundesregierung eine Strafbarkeit bei amerikanischen Unternehmen, wenn diese aufgrund amerikanischer Rechtsvorschriften flächendeckenden Zugang zu den Kommunikationsdaten ihrer deutschen und europäischen Nutzer gewähren?

xl. Strafbarkeit

1. Sachstand Ermittlungen / Anzeigen

Sieht Bundesregierung Strafbarkeit bei Datenausspähung

a) wenn diese in Deutschland durch NSA begangen wird?

b) wenn NSA Deutschtand aus USA ausspäht?

c) Strafbarkeitslücke?

Wie viele Mitarbeiter arbeiten an den Ermittlungen?

Inwieweit sieht die Bundesregierung eine Strafbarkeit bei amerikanischenU nterneh men, wen n d iese aufg ru nd ame rikan ischer Rechtsvorsch riftenflächendeckenden Zugang zu den Kommunikationsdaten ihrer deutschenund europäischen Nutzer gewähren?

2.

3:

4.


15

XII. Cyberabwehr

Was tun deutsche Dienste, insbesondere BND, MAD und BfV, um gegen ausländische Datenausspähungen vorzugehen? Die Presse berichtet von Arbeitsgruppe?

2. Was unternehmen die deutschen Dienste, insbesondere der BND und das BfV, um derartige Ausspähungen zukünftig zu unterbinden?

3. Welche Maßnahmen hat die Bundesregierung ergriffen, um die Kommunikationsinfrastruktur insgesamt, insbesondere aber die kritischen Infrastrukturen gegen derartige Ausspähungen zu schützen? Welche Maßnahmen hat die Bundesregierung ergriffen, um die Vertraulichkeit der Regierungskommunikation, der diplomatischen Vertretungen oder des Parlamentes zu schützen?

4. Welche Maßnahmen hat die Bundesregierung ergriffen, um entsprechende Überwachungstechnik in diesen Bereichen zu erkennen? Inwieweit sind deutsche Sicherheitsbehörden in D fündig geworden?

5. Was unternehmen die deutschen Sicherheitsbehörden, um die Vertraulichkeit der Kommunikation und die Wahrung von Geschäftsgeheimnissen deutscher Unternehmer sicherzustellen bzw. diese hierbei zu unterstützen?

15

Xll. Cyberabwehr

Was tun deutsche Dienste, insbesondere BND, MAD und BfV, uffi gegenausländische Datenausspähungen vorzugehen? Die Presse berichtet vonArbeitsgruppe?

Was unternehmen die deutschen Dienste, insbesondere der BND und dasBfV, um derartige Ausspähungen zukünftig zu unterbinden?

Welche Maßnahmen hat die Bundesregierung ergriffen, um dieKommunikationsinfrastruktur insgesamt, insbesondere aber die kritischenlnfrastrukturen gegen derartige Ausspähungen zu schützen? WelcheMaßnahmen hat die Bundesregierung ergriffen, uffi die Vertraulichkeit derRegieru ngskommunikation, dei diplomatischen Vertretungen oder desParlamentes zu schützen?

Welche Maßnahmen hat die Bundesregierung ergriffen, uffi entsprechendeÜbennrachungstechnik in diesen Bereichen zu erliennen? tnwieweit sinddeutsche Sicherheitsbehörden in D fündig geworden?

Was unternehmen die deutschen Sicherheitsbehörden, um dieVertraulichkeit der Kommunikation und die Wahrung vonGeschäftsgeheimnissen deutscher Unternehmer sicherzustelten bzw.diese hierbei zu unterstützen?

1.

2.

3.

4,

5.


16

XIII. Wirtschaftsspionage

1. Welche Erkenntnisse liegen der Bundesregierung zu möglicher Wirtschaftsspionage durch fremde Staaten auf deutschem Boden und/oder deutschen Firmen vor? Im Besonderen: Welche neuen Erkenntnisse gibt es zu den Aktivitäten der USA und Großbritanniens? Welche Schadenssumme ist entstanden?

Welche Gespräche hat die Bundesregierung mit Wirtschaftsverbänden und einzelnen Unternehmen zu diesem Thema geführt, seitdem die Enthüllungen Edward Snowdens publik wurden?

3. Welche Maßnahmen hat die Bundesregierung in den letzten Jahren ergriffen, um Wirtschaftsspionage zu bekämpfen? Welche Maßnahmen wird sie ergreifen?

4. Kann die Bundesregierung bestätigen, dass das Bundesamt für Sicherheit in der Informationstechnik seit Jahren eng mit der NSA zusammenarbeitet? Wenn dem so ist, welche Auswirkungen hat das auf die Fähigkeit des BSI, Datenüberwachung (und potenzielles Ausspähen von Wirtschaftsdaten) durch befreundete Staaten wirksam zu verhindern?

5. Welche Maßnahmen auf europäischer Ebene hat die Bundesregierung ergriffen, um Vorwürfe der Wirtschaftsspionage gegen unsere EU-Partner Großbritannien und Frankreich aufzuklären? Gibt es eine Übereinkunft, auf wechselseitige Wirtschaftsspionage zumindest in der EU zu verzichten? Wann wird sie über Ergebnisse auf EU-Ebene berichten?

6. Welcher Bundesminister übernimmt die federführende Verantwortung in diesem Themenfeld: der Bundesminister des Innern, für Wirtschaft und Technologie oder für besondere Aufgaben?

7. Ist dieses Problemfeld bei den Verhandlungen über eine transatlantische Freihandelszone seitens der Bundesregierung als vordringlich thematisiert worden? Wenn nein, warum nicht?

8. Welche konkreten Belege gibt es für die Aussage, dass die NSA und andere Dienste keine Wirtschaftsspionage in D betreiben?

L6

Xlll. Wirtschaftsspionage

1 . Welche Erkenntnisse liegen der Bundesregierung zu möglicherWirtschaftsspionage durch fremde Staaten auf deutschem Bodenund/oder deutschen Firmen vor? lm Besonderen: Welche neuenErkenntnisse gibt es zu den Aktivitäten der USA und Großbritanniens?Welche Schadenssumme ist entstanden?

2. Welche Gespräche hat die Bundesregierung mit Wirtschaftsverbänden' und einzelnen Unternehmen zu diesem Thema geführt, seitdem dieEnthüllungen Edward Snowdens pubtik wurden?

3. Welche Maßnahmen hat die Bundesregierung in den letzten Jahrenergriffen, uffi Wirtschaftsspionage zu bekämpfen? Welche Maßnahmenwird sie ergreifen?

Kann die Bundesregierung bestätigen, dass das Bundesamt füt Sicherheitin der lnformationstechnik seit Jahren eng mit der NSA zusammenarbeitet?Wenn dem so ist, welche Auswirkungen hat das auf die Fähigkeit des BSl,Datenü bennrach u ng (und potenzie lles Ausspähen von Wirtschaftsdate n)durch befreundete Staaten wirksam zu verhindern?

Wetche Maßnahmen auf europäischer Ebene hat die Bundesregierungergriffen, uffi Vorwürfe der Wirtschaftsspionage gegen unsere EU-PartnerGroßbritannien und Frankreich aufzuklären? Gibt es eine Übereinkunft, aufwechselseitige Wirtschaftsspionage zumindest in der EU zu verzichten?\tVann wird sie über Ergebnisse auf EU-Ebene ber:ichten?

We lcher Bu ndesrnin iste r ü bernimmt d ie federfü h re nde Verantwortu ng i n

diesem Themenfeld: der Bundesminister des lnnern, für Wirtschaft undTechnologie oder für besondere Aufgaben?

Ist dieses Probtemfeld bei den Verhandlungen über eine transatlantischeFreihandelszone seitens der Bundesregierung als vordringlich thematisiertworden? Wenn nein, warum nicht?

Welche konkreten Betege gibt es fur die Aussage, dass die NSA undandere Dienste keine Wirtschaftsspionage in D betreiben?

4.

5.

o.

7.

8.


17

XIV. EU und internationale Ebene

1. EU-Datenschutzgrundverordnung - Welche Folgen hätte diese Datenschutzverordnung für PRISM oder

Tempora? Hält die Bundesregierung eine Auskunftsverpflichtung z.B. von Facebook oder Google über die Weitergabe der Nutzerdaten für zwingend erforderlich?

- Wird diese also eine Kondition-sine-qua non der Berg in den Verhandlungen im Rat?

2. Wie will die Bundesregierung auf europäischer Ebene und im Rahmen der NATO-Partnerstaaten verbindlich sicherstellen, dass eine gegenseitige Ausspähung und Wirtschaftsspionage unterbleiben?

L7

XlV. EU und internationale Ebene

1 . EU-Datenschutzgrundverordnung- Welche Folgen hätte diese Datenschutzverordnung für PRISM oder

Tempora?Hält die Bundesregierung eine Auskunftsverpflichtung z.B. vonFacebook oder Google über die Weitergabe der Nutzerdaten fürzwingend e rfo rderlich?

- Wird diese also eine Kondition-sine-qua non der Berg in denVerhandlungen im Rat?

2. Wie will die Bundesregierung auf europäischer Ebene und im Rahmen derNATO-Partnerstaaten verbindlich sicherstellen, dass eine gegenseitigeAuss päh u n g u n d Wirtschaftsspio n age u nterbleibe n?


18

XV. Information der Bundeskanzlerin und Tätigkeit des Kanzleramtsministers

. Wie oft haben Sie in den letzten vier Jahren nicht an der nachrichtendienstlichen Lage teilgenommen (bitte mit Angabe des Datums auflisten)?

Wie oft haben Sie in den letzten vier Jahren nicht an der Präsidentenlage teilgenommen (bitte mit Angabe des Datums auflisten)?

Wie oft war die Kooperation von BND, BfV und BSI mit der NSA Thema der nachrichtendienstlichen Lage (bitte mit Angabe des Datums auflisten)?

Wie und in welcher Form unterrichten Sie die Bundeskanzlerin über die Arbeit der deutschen Nachrichtendienste?

Haben Sie die Bundeskanzlerin in den letzten vier Jahren über die Zusammenarbeit der deutschen Nachrichtendienste mit der NSA informiert? Falls nein, warum nicht? Falls ja, wie häufig?

18

XV. lnformation der Bundeskanzlerin und Tätigkeit des Kanzleramtsministers

Wie oft haben Sie in den letzten vier Jahren niqht an dernachrichtendienstlichen Lage teilgenommen (bitte rnit Angabe des Datumsauflisten)?

Wie oft haben Sie in den letzten vier Jahren nicht an der Präsidentenlageteilgenommen (bitte mit Angabe des Datums auflisten)?

Wie oft war die Kooperation von BND, BfV und BSI mit der NSA Themader nachrichtendienstlichen Lage (bitte mit Angabe des Datums auflisten)?

Wie und in welcher Form unterrichten Sie die Bundeskanzlerin über dieArbeit der deutschen Nachrichtendienste?

Haben Sie die Bundeskanzlerin in den letzten vier Jahren über dieZusammenarbeit der deutschen Nachrichtendienste mit der NSAinformiert? Falls nein, warum nicht? Falls ja, wie häufig?

1.

2.

t

3.

4.

5.


• Auswärtiges Amt 4-1-4 Bundesministerium "eite der Justiz

Dr. Guido VVesterwelle Mitglied des Deutschen Bundestages Bundesminister des Auswärtigen

Sabine Leutheusser-Schnarrenberger Mitglied des Deutschen Bundestages

Bundesministerin der Justiz

Berlin, den 19. Juli 2013 An die Außen- und Justizminister der Mitgliedstaaten der Europäischen Union

Sehr geehrte Kollegin, sehr geehrter Kollege,

der Schutz der Grundfreiheiten und der Menschenrechte ist ein Ankerpunkt europäischer Außenpolitik und wesentlicher Teil unserer gemeinsamen Werteordnung. Die aktuelle Debatte über Datenerfassungsprogramme und die Freiheit der Kommunikation im Inter-net erfüllen uns mit großer Sorge. Die Diskussion tiber Menschenrechtsschutz unter den modernen Gegebenheiten weltweiter elektronischer Kommunikation hat erst begonnen. Es geht uns darum, die jetzige Diskussion zu nutzen, um eine Initiative zur Ausformulie-rung der unter den heutigen Bedingungen unabweislichen Privatfreiheitsrechte zu ergrei-fen.

Die bestehenden menschenrechtlichen Regelungen, insbesondere des Artikels 17 des In-ternationalen Pakts über bürgerliche und politische Rechte, stammen aus einer Zeit weit vor der Einführung des Internets. Diese Regelung kann aber als menschenrechtlicher Ausgangspunkt für den internationalen Datenschutz angesehen werden. Damit ist sie ein geeigneter Ansatzpunkt für ergänzende, zeitgemäße und den modernen technischen Ent-wicklungen entsprechende internationale Vereinbarungen zum Datenschutz. Unser Ziel sollte es deshalb sein, den Zivilpakt um ein Zusatzprotokoll zu Artikel 17 zu ergänzen, das den Schutz der Privatsphäre im digitalen Zeitalter sichert. Zu diesem Zweck wollen wir eine Vertragsstaatenkonferenz anstreben.

Die Bürger der Europäischen Union erwarten von uns den Schutz und die Achtung ihrer Freiheitsrechte. Hierfür müssen wir uns gemeinsam einsetzen und das Thema sowie unse-re Handlungsoptionen im EU-Kreis diskutieren.

Mit freundlichen Grüßen

04,

ffi lAuswärtisesAmt

Iw

H

ffi lrJlffiil'n*terium

Dr. Guido WesterwelleMitglied des Deulschen Bundestages

Bundesmin ister des Auswärtigen

Sabine Leutheusser-SchnarrenbergerMitglied des Deutschen Bundestages

Bu ndesmin isterin der Justiz

An dieAußen- und Justizminister der Mitgliedstaaten

Berlin, den 19. Juli 2013

Sehr geehrte Kollegin, sehr geehrter Kollege,

der Schutz der Grundfreiheiten und der Menschenrechte ist ein Ankerpunkt europiüscher

Außenpolitik und wesentlicher Teil unserer gemeinsamen Werteordnung. Die aktuelle

Debatte über Datenerfassungsprogramme und die Freiheit der Kommunikation im trnter-

net erfüllen uns mit großer Sorge. Die Diskussion über Menschenrechtsschutz unter den

modernen Gegebenheiten weltweiter elektronischer Kommunikation hat erst begonnen.

Es geht uns darum, die jetzige Diskussion zu nutzen, um eine Initiative zur Ausformulie-

rung der unter den heutigen Bedingungen unabweislichen Privatfreiheitsrechte zu ergrei-

fen.

:

Die bestehenden menschenrechtlichen Regelungen, insbesondere des Artikels 17 des In-

ternationalen Pakts über bürgerliche und politische Rechte, stammen aus einer Zeit weitvor der Einführung des InteÄets. Diese Regelung kann aber als menschenrechtlicher

Ausgangspunkt für den internationalen Datenschutz angesehen werden. Damit ist sie ein

geeigneter Ansatzpunkt ftir ergänzende, zeitgemäße und den modeflren technischen Ent-

wicklungen entsprechende internationale Vereinbarungen zum Datenschutz. Unser Zielsollte es deshalb sein, den Zivilpakt um ein Zusatzprotokoll zu Artikel L7 zuergänzen,

das den Schutz der Privatsphäre im digitalenZnitalter sichert.Zudiesem Zweck wollen

wir eine Vertragsstaatenkonferenz anstreben,

Die Bürger der Europäischen Union erwarten von uns den Schutz und die Achtung ihrer

Freiheitsrechte. Hierfür müssen wir uns gemeinsam einsetzen und das Thema sowie unse-

re Handlungsoptionen im EU-Kreis diskutieren.


/I-ier'*fu


,Faxabsender : 493880928072

dee 6

08/08/13 88:39 3.: 1/6

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheft

Antg.

eSdtr 3Qekver4lerr - (ateduogif, ,>teitp,tigi reApretut- cYaAde,A. 9 ken.

eke& Guhetylcdr aum 226. ko,f4t Sitg ete.vt caictA ViCti& Cu&d.OAA katti0 parefril Xictzr uwdcecrbeiicie

IAAJA‚r 12)11.1c,in S,ie tduilorc Tirceep,_ lievtudco f2.4K (Actbäit,, ,97ke-k0e unY

Je& eakir kio -Xeivi3 Qlgik% bald .cle).

1(4.eutRoeicike 04ft74,

-TeiNAn MCO2--

ft2|+rrre.n+cl-

&yt"t,r,dondftSd

.SrJ* ge€,|,'/tq tarr (std'W*,

u.,rs*l4ouish rpopnäCu.t" 00nda icl^. { hnolL

dern Cmrfu-k-f fl*R-ePa Jcl,Ltô W Si,S'6tan blrl^ tridd andon Vafu,trzlvu4aa, wir

[,ou.e^ fuidff Lp,tn uJlWorWê+ea fuu,,pWt^/\o)Ar wrrätiq. §otl{en Sr{- uXr-lc{TraWftil/r,(§âanatowp0tx lM,.$+4itrir ^ ^

.v,rw- gug # r114u$*3 tteftmft.,@aCtS\BObd. Mnd,.clz), \"

TrMd,wfrüF,+hio*tt,tt tfrdC#h'

ffiS,

Elnr. ü 7. AtlE. l[lJ


CODE PENAL (Partie Rhgletnentaire - Dierets en Conseil d Etat)

SECTION 1 : De I atteinte ä la vie privee

Artiele R226-1

(Dkret n° 97-757 du 10 juillet 1997 art. 1 Journal eiciel du 13 fitdiel 1997)

La liste d'apparells prevue par Partiele 226-3 est etablie par arr8te du Premier ministre.

Par derogation aux dispositions de l'article ler du däcret n° 97-34 du 15 janvier 1997 relatif la deconcentration des deeisions Administratives individuelles, les autorisations prevues aux articles R. 226-3 et R. 226-7 sont delivries par le Premier ministre_

Artiale R226 -2

(Decret n°.97--757' du 10 juillet 1997 art 2 Journal Of cie1 dul3 juillet 1997)

T1 081. ins itue aupres - du Premier ministrc unc cmmission censultative cemposee comrne suit

1° Le seeretaire general dc la defense nationale ou sen representant, president 2°.Un representaut du ministre de la justice ;

Un. representant du ministre de l'interieur ; 4 Un representant du ministre dc la defense 5° l,Iri representant du zninistre eharge des douanes 6° Un representant du ministre eharge de ; 7° Uh representant du ministre charäe des telecotrimanieations . 8' Um representant de 1a Conunission nationale de contröle des intereeptions de seettrite.; 9° Un representant du direeteur g6niral dc l'Agence nationale des lieguences .10° Deux persennalites eboisies en raison de Lein competence, designees par le Premier ministre.

La comrnission peut entendre, ä titre d'expert, tollte personne 'campetente.' .

Elle est saisie pour BI/1s des projets c1'arr2tes pris en appliCation des anicles R. 226 - 1 et R. 226- 10.

Elle perlt formuler des propositions de raodification de ces ardes.

Elle est egalement consnitee sur les demancles Autorisation presenties en application des articles R. 226-3 "et R. 226-7.

Le secretariat de la commission est assuze par le secretariat g6neral de la difonsc nationale.

(lldiret no 97-757 du l0 juillet 1997 art, I Jor,rnal Officiel du I3 juittet Jg97)

I*t liste d,'uppmeils prdvue par: ['articlc 226-3 cst Ctablie par arrEtd du ,Promior rninistrc,

Far ddrogetion arx dispositions de I'a#icte ler du ddcret n' 97-34 tlu 15 janvier 199? relatif äIa. cldooncentuatibn des ddqisions admipishatives indiv,iciueltres, les autorisations prcvues aux'articles R. 226-3 et R. 226-7 sont ddlivrdes par le'Premier rninisreI

Artrcle R226-2

(Ddwet no.97-757'du l0 juiillet 1997 art. 2 Journal Ofriciel du tS,juillet 1997)

II ost institud aupr'äs'du Prenrier nrinistrc une commissittn cousrdtative composCe oomrns suit :

l"Lesecrd1airegindralcIElacl6fensenationaIeoH§oI1tept6serttant,prcsidentl'. 2".[Jn reprdserrtant dtr ini'nistre de Ia justios ;

3o [Jn reprdsentant du rniaistre de lrintdtieru ;4o Un rcprCscntant du nriniskc dc Ia ddfense ;5o lfir reprdsentant du nrinistc chargd des rlouancs ;

6" Un reprdsentant du minislre chnrgd de I'industrie ;

So U:r reprd'sentaut de la Commission nationale de corrtrÖle des interceptions de pöcruitö.;9o Uir reprdsentant du direoterm gdn*r+rl de I'Agenee ilationale clos {rdquenees ;

JOu Deux pclsorlnalitds c,h.oisies cu iaison c{e leur conrpCtcnce, ddsigprCes psr lc Frenrierministre.

La eorpmission peul euten{fe, ä titre d'expeq toute personnb'compdtente:' .

EUc est saisic pour avis cles projets cliarr€tds pris en arpplication cles arlrcles R. ?26-1 et R,226- I 0,

Elle peut furrnuler des propositiorrs de rr:odifiqation de oes art0tds,

Elle est dgalement con.snltt*e sur les demandes clfautorisation prdsenties crl applicatiou desahiclcs R. 226-3 r:t R. 77.6-?.

Le secrdtariat dc Ia comrn:issiun est E+surd par le secfiltädat gdneral rle la cldfensu nationale-


.Faxabsender : 493088928872 08/08/13 88 :39 8 . : 3/6

Artiele R226-3

(1.)dcret n° 97-757 du 10 juillet 1997 art. 3 Journal Officiel du 13 julliet 1997)

La fabrication, Vimportation, l'exposition, l'offre, location ou 'la vente de tont apparetA figurant sur . la liste mentionnee a l'artiele R. 226-1 est soumise ä une autorisation deivree par le Premier ministre, apres avis de la cmnmission mentionnee ä l'atticle R. 226-2.

(Dicrei n° 97-757 du 20 juiliet 1997 art • Journal Officiel du .13 fugtet 1997)

La domande d'autorisation est deposee aupres du seeretaire,$6netal de la defense nationale.

ie eomporto pour uhaquo type d'appareil

Le nom et l'adresse du dernandeur, s'il est une personue physique, ou sa denomination et son siege, s'il est une personne morale ;

2' La ou les op6rations mentionnees ä l'article R. 226-3 pout lesquelles Pautorisation est demandie et, le cas debeant, la deseription des marelles vises

3° L'objet et les caract6ristiques techniques du type de l'appareil, accorapagn6s dune documentation teohnique

4° Le Eiau prevu pour la fabrication de l'apparell ou pour les autres operations montionn6es Partie R.. 226-3 ;

5° Vengagement de se soumettre aux contröles neeessaires ä la verification respeet des indieations fournies dansla denlaude d'autorisation.

Article R226.5

.1')autorisation tuentionnee tt l'artiole 1 226-3 est delivree ,out une durde maximale de six ans.

Elle peut fixer les conditions de ralisation de rop6ration et le nornbre des appareils concernes.

Article 8.226.-6

*Faxabsenileni 493BBBgZflA?Zi';

EB/frg,/l3 E8:39

Artlcle R226-s

.(,I)icret nÜ 97'757 du l0iuillet 1997 «rt, 3 Jüurnul üffitiel ttu li jutlet tggT)

La fabric&tiotr, I'importation, l'exposition, i'offr*, . la, locätion ou 'la verlte de tout upp*6[trtFrytu,rt zur.la liste ntentionude ä I'arüicle R. 226-l est soutnise ä unE autorisntion ,fCifv,j- p*-lc Prernier rninislre, apfrls flvis tle ln conrmission nrentionnrte ä I'artisic R, ZiirZ. +

Articte RZZ64

(lldcret n0 97-757 du l0iuillet 1997 art. ,l ,fournal üfliciet du tJynilet lgg1):

La d$uffide {'autcirisation est cldposde auprös du secrütaire,gdldral de la difenss nationale.

EIle compofin pour ch+que type d'qrpnr.cil :

l" L€ trofir ct l'adresse'du dernandeur, s'il est rute peffiomte physique, ou $a cldnourination etson siöge, stil est une persorure rnorale I . ^ I

20 l,rl ou les opdratitns n:etttionndes ä l'article R. 2?6-3 Fouil lcsquelles I'nutopisatiün e§[clemandde et,'le cas $chdnnt, Ia clesoriptiou rJcs r,ro,.*ll4r visrJg'; --.--

.

"

,3§ L'objet et les car:actdristiques techniques du t),pe de l'appa.reil, accompagn6s d'unedobmuentation ter:hnique ;

\

1o I:e lieu prdvu pout ln fabrteation rle l'*pparpil ou p{)ux lcs autres opdratiorrs ffir}lrtionndes ä.

5o L'engag-ernent de se sournetke aux conttöles ndcessafues ä Ia vdrificatiog du respe{:.t desindications tb unr i es dirn.s. .la d'enrande d'auto ris ati orr,

. I.

Ärticle H,226*5

' ''l,rau,t0ri+ation tntlntieilndo eI l'iiltich, l{. 2?6-3 c..it ddlivrrle poururre durde n:uxinrale cle six ans.

lille peut fixer Ies conditioru de rialisation de Iopdiatipn et Ie nombre cles appaieilsconcemis. r t-

Ärticle RX26*6


(Ddcret n°97-757 du 10 juillet 1997 art, 5 Journal Of fidel du 13 juillet 1997)

Chaque appareil fabrique, importe, expose, offent, lote ou vendu doit petzt la referenee du type eorrespondant ä la demande d'auterisation et un nurniro d'identification lndividuel.

(Ddcret 97-757 du 10 juillet 1997 zart: 6 Journal Oifielel du 13 pilier 1997)

I, acquisition au la düention de taut appareil Ligurant sur ta liste rnentionn6e ä rarfiele R. 226. 1 est sowniso ä MIO autorisEltion delivree par 10 Premier Minisire, al3r6s aviS de la commission riientiormee R. 226-2.

Article R226-8

(Ddcret n° 97-757 du 10 juillet 1997 art. 7 .Journal Offiiieldu 13 juillet 1997)

demande d'autorisation est depos6e aupres du seeritaire g6n6ral de la defense nationale.

1311e eornporte potir chaque type d'appareil :

1c' fe nonret ra.dresse du dernandeur, s'ii est une personne physique, ou Sä ddnomination et son siege, 'seil est une pesonne urorale ;

1_,e type de l'appareit le nombre d'appareilo pour la etention desquels l'autorisation est deniandee ;

Lbutilisation prevue

40 L'engageinent de se sournettre aux coutißles neeessaires ä la velrification du respeot des indications fournies dans la denlaude d'autoi -lea!ion.

Artiele R226-9

L'autorisation mentionnee ä Vorfiele R. 226-7 es delivree pour une duree maximale de, -Weis ons..

Elle peut subordonne Puliftsntim) des apparells ih. des conditions destidees ä en ävifer inut • usage abusif. :

alle est accord6e de plein droit aux agents ou services de lEtat habilites a realiser des

(

interceptions autorisdes par la loi.

(fidwet no 97-75.7 du ICI juillat 1997 art, 5 Journal Olficiel du 13 juillet 199V)

Chaqrre appareil fabriqud, import4, rixposd, offerl, loud ou venclur cloit porter la rdfdrence drr

tytic corfesponclmt r[ Ia denrurrdc rl'irutodsttion et un nunrdro d'identi:fi,cation individuel..

Article R-1t26-7'

(Dicret nu 97-757 du t0 juittet lg97 mt. 6Jöurnal üffi9tet du lSJuitlet 199?)

Liacquisition ou la rtdtention de tout appareil Jlguraut sur la liste mentronnde ä I'article R. 226-t est-souruisc ä rmr: autorisution ddlivi:tr: pat loPremier rnini.qtTe,.aprÖs avis de la commission

mentionnöe ä I'arflicte Il, 226-2.

Ä.rtlcle RII6-8

(ü(ret no97^757 du Iüiuitter 1997 art:, 7 Journal Officiel-du tiJwlltet t997)

I,a demurde cllautorishtion est ddposde auprös du sEcrdtaire gdndral de le ddfense nationale.

trIlle conrport$ pour r:haque type d'appalcil :

10 tr nsrn'et I'adresse du derranderrr, s'il est üEt pcrsonne physique, su sa dduomiuation et

son siäger's'il est uue personne morale ; -'

'

2e Le grys de I'appareit'Et le lrornbre d'appnreils pour la ddterrtion desquel.q lrä,ulorisution est

3o L{utilisation prörnre ;

4" L'cngageinent tle, re'soumcttre nux cou,trsles nCcessahcg ä Ia ydrification clu respcct des

indicatinns lfu titties dans la d'ernancle d'a utot'i.tu liou.

Arricte'Rxx6.g

. t'autorisation mentionnde il l'artiolc .R. 226-7 es ddlivrde poru une. clur€e maxirnale de" uois .

aüs.'

Illle peut zuhor{orr.nur l'utilisation {es ,-rppureils il deg conditions destinües ä cu dviter lntrt:

/ usuge abuslflII fU* est accord€e de plein droit aux agents 0u services de I'Etat habilitds ä rdaliser des

\ interceptions autoriseos par la loi.\\

I

'.,


Les autorisations prennent Fm de plein droit en cas de Gottdautnation du titulaire pour Nue des infractions prevues par les articles 226-1, 226-15 ou 432-9.

'Faxabsender: 4930813928872 88/38/13 e8:39 8.: 5/6 •

Article R226-10

(Ddcret n' 97-757 du 10 juillet 1997 art, 8 Journal eiciel du 13 juillet 1997)

Les titulaires de l'une des autorisations mentionnees ä Particle R. 226-3 ne peuvera proposer, ct.der, loucr ou vendre les appareils figurant sur la liste prevue ä R. 226-1 qu'aux titulaires de l'une des autorisations mentionnecs a l'article R.. 226-3 ou ä l'article R. 226-7.

Ils tiennent un registre retra9ant 1'ensen3.ble des opeations relatives ä ces mataiels. Le modele de ce rogistre cst cleterrnine par arrete, du Premier minise pris apres avis dc la conun,ission manfiona° ä l'article R. 226-2,

Article R226-11

Les autorisations prevues ä R. 226-3 et ä l'article R 226-7 peuvent etre retirees

1° En cas dc fausse deciaration ou de faux reuseignernefit ;

2° I3n cas de rnoditication des eireonsta.nces au V(3 desquelles l'autorisation a delivree

3° Lorsque Je benißciaire de l'autorisation n'a pas respecte les dispositions de la presente sectionou les obligations particulieres preserites par l'autorisation

4° Lorsque le beneficiaire de l'autorisation cesse l'exercice de l'activite pour laquelle a ete delivree l'autorisation.

Le retrait ne peut•ntervanir, sauf urgence, qu'apres que le titulaire de l'autorisation a ete mis a meme de faire valoir ses observations.

Artide R226 -12

Les personnes qui fabriquent, iniportent, detiennent, exposent, offrent, louent au vendent des appareils figurant sur la liste prevue 4 Parade R. 226-1 doivent se mettre en conforrnite avec les prosorilltions de la presente soeliot' sollicitant les autorisations 'Idoessaires dans un ddlai dc trois tnois k compter de la publieation de l'arrete prevu ä l'•rticle R. 226-1.

iFaxä.bsen,f,er: atgSBEBgeAETZ.i.r

trEraB/L3 Bt:35

Artisle It226-I0

(Ddcret nu 97-V57 du IA juillet f gg\ art, I Journatl üffigie.t du'ttS,luitlat IggT).

[,es tituliuirus de,ltune d.es aulsrisations rnentionndos ä I'srtislc R. 22{4 r]e Feuvcnt pruposern

ur$der, louör ou vondre les apRareils figurant sur ls listc prdvuc fi I'artielc R. 226-l qu'aux

.. tinrlaires de l'une des autorisations rnentionn€es ä l'artiole H.. 3?6-3 ou ä l'article R. 226-7 .

Ils tiennent run rc[istre retragant I'ensembJe des opdrations relatives ä ces matdrtels, Le nrodÖle

rle r:e rcgistrc cst diterunind par iurOtd ctu Prentier rninishu, pris nprÖs avis drl [a comnrission

rnrmtionndo eI I'article R, ?26-2,

Ärticle R226-1I

Les autorisations prdvues ä I'articl'e R. 226-3 et ä I'amicle R. 226-7 peuvent ö.tre retir€erq :

I o Err cas clo fausse ddctaration ou de l*aux renseigneffieflt;

20 F,n ca-s rlc moditication des circo:nstanoüs nu vur desqucllcs I'autorisution a dtÖ ddlivrdc ;

' 3o LorsEue Ie bdndfi.ciaire de l'autorisntion n'a pas respeote les dispositions de Ia prdsente

section.ou les obligatious particulitres prescrites pff I'autonsation ;

40 Lorsquc Ie bdndficiitire de lerutorisntiou ssssr) l'exerüifie cle I'activit$ pour laquetle a dtd

d6livrce i'autori sation.

I,e retrait ne peut.rnterveuir, sauf urgense, qu'aprös qug le titulaire de I'autonsation a 4td mis ärnEme de frrire valoir ses obse'rvations.

Les rutorlsations prennent'fin rlo plein rlroit eü cirrt de sondamuatiou du titulairc por;r I'une dus

infractions tqsvu,els pär les articles 226-,1, 226'15 ou 432^?. :

l

Artirle R226-I2

Les persotrrils qui fabriQuenl irnpoffient, d#tienneut, exposent, ofh'en't, louent tvu vendent rles

app.u:eils :figp.rarrt srr lt liste prdwe fi I'article R, 226-l doiverrt se rnettre Eu confornri.td avec

tus pr,lscripiiorrs cl,e la prtlsentc ricction uir sirlt,icitunt lss autoristlti,oru ndccssaires dans un ddloi

do trois rnois lr sofimt$r de la publical:lon de ['anEt6 prdvu ü l''arLicle [t. 226-1.


• Si l'autorisation West pas d6livtee, ces personnes disposent d'un delai d'un mois pour proe6der Ä la destmetion de ces appareils ou pour les vendre ou les ekler a une personne titulaire de Pune des autorisations prdvues ä l'artiele R. 226-3 au ä Pardele R. 226.7. 1.1 en est de seine dans les cas d'expiration au de. retrait de l'autorisation

Ei I'autotisation t'*tt pas ddlivtde, ces persorures disposent d'un d€tai d'un mois po1II' nroUd.*ä la destnrstion de ces appareils o., päur les vendrä ou les c4der ä une p*oor*. titulaire d+I'une rJes autorisations prdvues ä I'articlc R. 226-3 ou ä l'artiple R. ZZE,i. IJ err .rid* *eÄ*dans les cas drexpiration ou de rotait dc l'au,torisation


Dunte Markus

Von: Müller Jürgen Henning Gesendet: Dienstag, 16. Juli 2013 08:32 An: Schaar Peter Cc: Gerhold Diethelm; Valta Ekkeharcl; Dunte Markus; Referat V Betreff: AW Cisco backdoor still open

Anlagen: BlackHat-DC-2010-Cross-Attacking-Lawfull-1ntercept-wp.pdf

BlackHat-DC-2010- Cross-Attackl...

Sehr geehrter Herr Schaar,

grundsätzlich halten wir den Bericht zu den Sicherheitsproblemen 'für glaubwürdig. Da die Meldung von 2010 ist, sollte von einer Verbesserung der Sicherheit der Cisco-Router auszugehen sein" Der 2010 gehaltene Vortrag, auf dem der Artikel basiert, ist )ch verfügbar (s. Anlage). Allerdings ist h. E. nicht gesetzlich gefordert, dass ein „Juter eine Abhörschnittstelle haben muss; jedoch müSsen viele Kunden eine solche Schnittstelle bereitstellen. Da dies mit einer ZusatzfunktiOn des Routers am preiswertesten geht, wird sie eingebaut.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Referat VIII Telekommunikation, Telemedien- und Postdienste - Leiter Projektgruppe Elektronische Gesundheitskarte Tel. 0228 - 997799810 Fax: 0228 - 997799550 E-Mail: [email protected] hzw. [email protected] 53117 Bonn, Husarenstraße 30 www.datenschutz.bund.de

- - - - -Ursprüngliche Nachricht Von: Schaar Peter Gesendet: Donnerstag, 11. Juli 2013 13:31 An: Referat V; Referat VIII -: Gerhold Diethelm trefft Cisco backdoor still open

https://www.networkworld.com/community/node/57070

Ist der Bericht glaubwürdig? Wird entsprechende Technik auch bei Bundesbehörden bzw. unserer DS-Kontrolle unterliegenden Unternehmen eingesetzt und wie verhalten wir uns dazu?


Schaar

Ot!<tÄrnen+S', !

Dunte Markus

Von:Gesendet:An:Cc:Betreff:

Anlagen:

Müller Jürgen HenningDienstag, 16, Juli 2013 08:32Schaar PeterGerhold Diethelm; Valta Ekkehard; Dunte Markus; Referat VAW: Cisco backdoor still open

BtackHat-DC-20 1 0-Cross-Attacking-Lawfull-l ntercept-wp. pdf

BlackHat-Dc-2010-Crose,Attadd,,,


grtrndsätzlich halten wir den Berichts zu den Sicherheitsproblemen tür gfäubwürdig. Dadie Meldung von 2o1o ist, sollte von einer VerbesEerulg der Sicherheit. der ciEco-Router auEzugehen sein. Der 2o1o gehaltene vorErag, auf dem der Artsikel basiert, lgt

)ch verfügbai (§. Anlage). .Allerdiugg i6ts h. E. nicht gegetzlich gefördert; dass ej-n.outer eine abhörschnitistelLe hälea muEsi jedoch. mtiäeen vieLe Kr.rnden eine sqlche

Schnittstelle bereitstellerr, Da dieg mit elner zusatzfunkti'on deE Routera ampreiswertbEten geht, wird sie eingebauts.

Mit freundlichen crüßen

,filrgen H, Müller

Der Bundesheaufttagte fllr den DaEenschutz und die InformatlonEfieiheit Referat vIIi -Telekommunikation, Telemedien- und PostdiensEe - Leiter Proj eklgruppe ElektronischeGesundheit.akarteTeI. 0228 - 997799810 Fax. 0228 - 997799550e - r.r"ril - i. r eäbräi . u"'a. a. ui". -pg -.g[äuräl . ul*a. a"53117 Bonn, Hugarenstraße 30rrww. datengchut,z. bund. de

- - - - -ursprüngliche Nachricht- - - - -Von: Schaar Peter . .

GeEendet: Donnerstag, 11. \fuIi 2013 13:31An: Referät Vt Referat VIII-':: cerhold Dlethelm

treff: Ciscb backdoof sE1ll open

htt?s : / /www. neüüorl§,ror1d . com/ conununity/no del57 o7 o

Ist der Bericht glaubwürdig? Iglrd entsaprechende Technik auch bei Bundesbehörden bzw.unserer Ds-Kontro1le unterllegenden t ntsernehnen elngeseqzt und wie verhalten wir unsdazu?

MiE, freundlichen Grüßen

Schaar


Exploiting Lavvful Intereept to Wiretap the Internet

Tom Cross IBM X-Force

[email protected]

Abstract

Many network equiprrient manufacturers have incorporated interfaces into Internet routers and switches that are designed to facilitate legally authorized wiretapping by law enforcement. If these interfaces are poorly designed, irnplernented, or managed they can provide a backdoor for attackers to perform surveillance without lawful authorization. Most lavvful intercept technology is proprietary and difficult to peer review. Fortunately, Cisco has published the core architect-ure of it's lawful intercept technology in an Internet Draft and a number of public configuration guides.

This paper will review Cisco's architecture for lawful intercept from a security perspective. We explain how a nurnber of different vveaknesses in its design coupled with publicly disclosed security vulnerabilities could enable a malicious person to access the interface and spy on communications without leaving a trace. We then provide a set of recommendations for the redesign of the interface as well as SNMP authentication in general to better mitigate the security risks.

Operators of large public internet networks inevitably face requests from law enforcement to access communications carried on their networks. Special network interfaces are often built to facilitate that access. In some contexts network operators are required by law to create convenient interfaces, but these interfaces are often deployed even when they aren't required because they can simplify the process of facilitating law enforcernent access and malte it minimally disruptive to network operations.

These interfaces are controversial. If they are not well-protected there is a risk that they could be hijacked by third parties and used to perform surveillance without authorization. [1] Because of this risk, the security of lavvful intercept systems is of obvious public interest. The IETF has published a policy on wiretapping which simultaneously argues that the IETF is not an appropriate standards body for developing lawful intercept interfaces, for several reasons including the security risks those interfaces potentially pose, but the IETF nevertheless encourages the open publication of lawful intercept architectures to facilitate peer review. [2]

In keeping with this approach, Cisco has published the core architecture of its lawful intercept technology in an Internet Draft and a number of public configuration

Exploiting Lawful Interqept to Wiretap the Internet

Torn CrossIBM X-Force

[email protected]

Abstract

Many network equipment manufacturers have incorporated interfacesinto Internet routers and switches that are designed to facilitate legallyauthorized wiretapping by law enforcement. If these interfaces are poorlydesigned, implerninted, or managed they can provide a backdoär f;attaskers to perform surveillance without lawful authorization. Most lawfulintercept technology is proprietary and difficult to peer review. Fortunately,Cisco has published the core architecture of it's lawful intercept technologyin an Internet Draft and a number of public configuration guides,

This paper will review Cisco's architecture for lawful intercept from asecurity perspective. We explain how a number of different weaknesses inits design coupled with publicly disclosed security vulnerabilities couldenable a malicious person to access the interface and spy on communicationswithout leaving a trace. We then provide a set of recommendations for theredesign of the interface as well as SNMP authentication in general to bettermitigate the security risks.

l. lntroduction

Operators of large public internet networks inevitably face requests from lawenforcemLnt to access

-ro**unications carried on their nätworks. §pecial network

interfaces are often built to facititate that access. In some contexts netwoik operators arerequired by law to create convenient interfaces, but these interfaces are often deployedeven when they aren't requ'ired because they can simpliff the process of facilitating lawenforcement access and make it minimalty disruptive to network operations.

These interfaces are controversial. If they are not well-protected there is a risk thatthey could be hijacked by third parties and used to perform surveillancä withoutauthorization. [1] Because of this risk, the security of lawful intercept systems is ofobvious public interest. The IETF has published a policy on wiretapping whichsimultaneously argues that the IETF is not an appropriate standards body for developinglawful intercept interfaces, for several reasons including the security risks those interfacespotentially pose, but the IETF nevertheless encourages the open publication of lawfulintercöpt architectures to facilitate peer review. [2]

In keeping with this approach, Cisco has published the core architecture of itslawful intercept technology in an Internet Draft and a number of public configuration


guides. This is good for two reasons. First, it enables the general public to see and understand how wiretapping is performed with Cisco routers. Second, it aliows the security community to peer-review their approach to protecting this interface from attack.

That peer-review is the basic purpose of this paper. We review Cisco's architecture for lawful intercept and explain the approach a bad guy would take to getting access without authorization. We identify several aspects of the design and implementation of the Lawful Intercept (LI) and Simple Network Management Protocol Version 3 (SNMPv3) protocols that can be , exploited to gain access to the interface. In partieular, an implementation flaw in SNMPv3 is discussed in the context of LI which could have provided direct access to the LI interface to rnalicious users without a password until it was patched. Finally, we provide recommendations for mitigating those vulnerabilities in design, implernentation, and deployment.

Ultimately, our intent is to raise questions about the prevailing approach to protocol design, wherein protocol standards provide maximum flexibility to their implementers, who in turn provide maximum flexibility to the operators who deploy the end system. This is the natural result of the economic forces involved in the design and deployment of network technology, but some deliberate effort may be required to counter it. The negative consequence of this approach is that operators are left with an array of different choices for how to deploy a system, some of which are bad. Inevitably, some operators will make those bad choices. If Internet protocols were designed and implenaented to steer operators toward better deployment choices, security would benefit.

2. The Cisco Architecture for Lawful Intercept in IP Networks

Cisco is one of the only companies to have published technical details about their solution for implementing lawful telecommunications intercept. The core of this solution is described in IETF RFC 3924. [3] In spite of the IETF's rejection of Internet Standards for wiretapping, the RFC Editor decided to publish this document at their discretion. It begins with a clear note from the Internet Engineering Steering Group that this RFC -is not a candidate for any level of Internet Standard and the IETF makes no representation as to its fitness for any purpose.

This document describes a general reference model for telecomtnunications intercept which includes a number of architectural components and the interfaces between those components. Figure 1 provides an overview of this architecture. When the Law Enforcement Agency (LEA) wishes to perform surveillance they contact the Service Provider's L,awful Intercept Administration, an organization that verifies the LEA's legal authorization to access the content they seek. The Lawful Intercept Administration uses the Mediation Device (MD) to provision surveillance. The Mediation Device crafts an Interception Request based an the content to be collected and sends it to the Intercept Access Point (IAP), which is typically a network device like a router or a switch which has access to network traffic. In response to this Interception Request the IAP collects the network traffic that the Law Enforcement Agency is interested in, and sends it back to the Mediation Device. The MD reformats that information (if required) and retransmits it an to the LEA.


Deyice (MD) 1

LI Administration 1 HI1(a)

1 Function _ 1<

MD Proyisioning

1 interface(h)

1 LRA

1C --- (c) --- 1

f IRI IAP 1--IRI(e) ->l

Mediation 1 ----HI2 (g) --->1

1

1----HI3(h)--->1

1

Intercept 1

1 Intercepted

Request(d) 1

1 Content(f)

User

>1

Content +

Content

IAP

User

Content

Figure 1: Intercept Architecture Source: RFC 3924 Copyright (C) The Internet Society 12094).

The document goes on to explain that the Interception Request is implemented using Simple Network Management Protocol Version 3 (SNMPv3). SNMP is an Internet standard protocol which is used for monitoring and managing devices on a computer network, such as routers, switches and servers. In most deployments, the protocol involves sending UDP messages, each of which may consist of a single packet, between network devices and a monitoring server. SNMPv3 is the latest version of SNMP. One of the most important advantages of SNMPv3 over prior versions of the protocol was supposed to be improved security, including built-in encryption as well as a vastly improved authentication system that allows devices to verify the authenticity of messages without sending passwords over the Internet in the clear.

The Interception Request is a SNMPv3 message which accesses a TAP-MIB. A MIB or Management Information Base is a collection of objects which describe a capability that can be managed over SNMP. Cisco's specific TAP-MIBs are described in separate documents. [4} The TAP-MIBs allow the sender of the Interception Request to specify many parameters for the interception, such as the source and destination addresses, port numbers and protocols of the traffic to be collected, whether or not notification should be enabled, and the IP address and port nurnber of the Mediation Device that the collected traffic should be forwarcled to. The TAB-MIBs also specify how

+------- ****-+I

I I.{D rrovisioningI Interface (blv

+------- -----+

I LI *&ninistration I r*rf {a} |

I

I

I

I

I

I

IIMediatrj-on J:----IiIz {g} *-->

I

trevice tMEl I I

l----rlr3 (h) ---> I

+-----+I

I

I

I

I

LEA I

I

l

I

I

I

I

+-----+

+-----------+I

I IRI IAP

I

+--------*--+

I<--- {c} ---= I

l--rRr {e} -->l

fnterceptRequest (dI

User I

*-----:) I

fnterceptedConteztt { f}I

I

I

I

I

I

I

v

Conüent. I User

rAP I -------->ContenL +------- -*---+ Content

Fig,ure 1: Irrtercept Architestrrre $oureel RFC 3§24Copyright {c}The tntenEt Socieg t20o4r.

The document goes on to explain that the Interception Request is implementedusing Simple Network Management Protocol Version 3 (SNMPv3). SNMP is an Internetstandard protocol which is used for monitoring and managing devices on a computernetwork, such as touters, switches and servers. In most deployments, the proiocolinvolves sending UDP messages, each of which may consist of a single pacfuet, iletweennetwork devices and a monitoring server. SNMPv3 is the latest version oi SUnAp. One ofthe most important advantages of SNMPv3 over prior versions of the protocol wassupposed to be improved security, including built-in encryption as well as a vastlyimproved authentication system that allows devices to verify the authenticity of messageswithout sending passwords over the Intemet in the clear

The Interception Request is a SNMPv3 message which accesses a TAP-MIB. AMIB or Management Information Base is a collection of objects which describe acapabilify that can be managed over SNMP. Cisco's specific TAP-MIBs are described inseparate documents. [4] The TAP-MIBs allow the sender of the Interception Request tospeciff many pararneters for the interception, such as the source and destinationaddresses, port numbers and protocols of the traffic to be cotlected, whether or notnotification should be enabled, and the IP address and port number of the MediationDevice that the sollected traffrc should be forwarded to. The TAB-MIBs also specify how


to format the collected data. The options include a proprietary UDP packet format from PacketCable, a Real-Time Protocol stream, a TCP session, or an SCTP session. Basically, all of the details of the interception are controlled by the contents of the SNMPv3 Interception Request message.

Like all modern IETF documents, RFC 3924 contains a security considerations section. This section argues that message integrity checking, a feature of SNMPv3, is necessary for this application. The SNMPv3 View Based Access Control Model is used to ensure that the TAP-MIB is only accessible to particular SNMP users who have been granted access specifically for the purpose of performing intercepts. The document also states that "Privacy and confidentiality considerations, may also require the use of encryption." However, no specific eneryption methodology is specified. The Internet Draft describing Cisco's TAP-IVIIB goes further, specifically recommending that IPsec ESP be employed to encrypt traffic. [9] (IPsec ESP is a standard for encrypting Internet traffic.)

3. Attacking Lawful Intercept

If an unauthorized person crafted an SNMPv3 Interception Request and successfully sent it to a router or switch supporting this interface, that person could wiretap communications. There are a few of pieces of information that the attacker would need to collect in order to craft an Interception Request that would be accepted. The attacker would have to obtain the correct SNMPv3 EngineID, EngineBoots, and EngineTirne values for the device. Those values are used by SNMPv3 to prevent requests from being replayed. They can be obtained directly from the device via an unauthenticated SNMPv3 request. The attacker would also have to correctly guess or determine the SNMPv3 username and passworcl that has been grantecl access to the TAB-MIB. However, an implementation flaw in SNMPv3 could be exploited to access the interface without the correct password. Once successful, the attacker could choose to capture any traffic on the device and raute that traffic to any destination IP and port on the global Internet, over UDP, TCP, or SCTP.

Although there are features of these protocols and the network devices that they run on which are designed to thwart an attack of this, sort, there are also several aspects of the design and implementation that work in the attacker's favor. In particular, the six aspects discussed below leave us with the impression that this interface could be successfully attacked in many real world deployments.

3.1 The Susceptibility of SNMPv3 to Brute Force Crecleutial Discovery

In order to send an authenticated SNMPv3 request that will be accepted by the device that receives it, the sender must know an appropriate username and password. Unfortunately, the User-based Security Model for SNMPv3, described in RFC 3414, [5] makes it easy for an attacker to guess valid credentials by brute force. When an authentication failure oceurs, the standard requires the receiving device to send a Report back to the sender, The Report includes different information when the authentication failure was due to a bad username (usniStatsUnknownUserNarnes) versus a bad password (usmStatsWrongDigests). Therefore, the attacker can try different usernames until the


Report received from the device indicates a bad password, and then try different passwords until the message is accepted. lt is not possible to fix this weakness and comply with RFC 3414,

3.2 The Password Implementation Vulnerability in SNMPv3

Attackers may not need to guess a password via brute force due to an implernentation flavv in SNMPv3. [6] This vulnerability allowed an attacker to access any password protected SNMPv3 service running on an unpatched device, without knowing the password, by sending 256 rnessages, one of which was guaranteed to be accepted as valid.

To understand how this attack works it helps to have a little background on SNMPv3 authentication. Two authentication protocols are currently defined for SNMPv3, HMAC-MD5-96 and HIVIAC-SHA-96. [5] Both protocols operate in a similar fashion, but use different hashing algorithms. In both cases a secret password is first established and shared betvveen client and server. The client combines this password with the unique EnginelD value of the server's SNMPv3 service to create a secret key. When the client wants to send a message, it calculates a cryptographic hash using that secret key and the contents of the message. According to RFC 3414, each message includes the first 12 bytes of its cryptographic hash. When a server receives a message, it calculates the same cryptographic hash and then compares the first 12 bytes with what was received. If both are the same, the client must know the correct password, and so the message is considered authentic.

Obviously, the server must perform a comparison operation in order to determine whether the cryptographic hash that it calculated is the same as the cryptographic hash that it received. Often in C programs such a comparison is implemented with a function like mernemp, which takes pointers to two strings, and a length in bytes to compare. Of course, the client only transmits the first 12 bytes of the cryptographic hash, and the hash calculated by the server may be longer, so many SNMPv3 implernentations used the length of the cryptographic hash received from the client in the metncmp call. [7]

The standard requires that the server throw out any message containing a hash shorter than 12 bytes, but many implementations did not do this. The consequence is that an attacker need only send a single byte as the message digest, and if that byte is the same as the first byte of the digest calculated by the server, the message is considered authenticated. Attackers could therefore access password protected SNMPv3 services by sending 256 messages, each providing a different guess for the first byte of a valid message digest. Orte of these 256 messages would be accepted as valid and processed.

There are many potential attacks against network devices that have this vulnerability, depending on what they are configured to allow SNMPv3 users to do. For example, complete configuration files can be loaded on to Cisco routers over SNMP if the correct MIBs are enabled. [9] However, the case of lawful intercept is particularly interesting because network operators may be conripelled to enable it, and may not able to balance the benefits of these features against the security risks they pose.

This vulnerability was publicly acknowledged in June of 2008 and assigned the ID number CVE-2008-0960 by Common Vulnerabilities and Exposures. [6] However, the problem had existed in some SNMPv3 code bases for over 6 years prior to that date.

Report received from the device indicates a b?d password, and then try differentpasswords until the message is accepted. It is not possible to fix this weakness andcomply with RFC 3414.

3.2 The Password Implementation Vulnerability in SNMPv3

Attackers may not need to guess a password via brute force due to animplementation flaw in SNMPv3. [6] This vulnerability allowed an attacker to access anypassword protected SNMPv3 service running on an unpatched device, without knowin§the password, by sending 256 messages, one of which was guaranteed to be accepted as

valid.To understand how this attack works it helps to have a little background on

SNMPv3 authentication. Two authentication protocols are currently defined forSNMPv3, HMAC-MD5-96 and HMAC-SHA-96. I5l Both protocols operate in a similarfashion, but use different hashing algorithms. In both cases a secret password is firstestablished and shared between client and server. The client combines this password withthe unique EnginelD value of the seryer's SNMPv3 service to create a secret key. When

, the client wants to send a message, it calculates a cryptographic hash using that secret keyarrd the contents of the message. According to RFC 34l4,each message includes the first12 bytes of its cryptographic hash. When a server receives a message, it calculates thesame cryptographic hash and then compares the first 12 bytes with what was received. Ifboth.are the s.ame: the client must know the correct password, and so the message isconsidered authentic.

Obviously, tfr* server must perform a comparison operation in order to determinewhether the cryptographic hash that it calculated is the same as the cryptographic hashthat it received. Often in C programs such a comparison is implemented with a,functionlike memcffip, which takes pointers to two strings, and a length in bytes to compare. Ofcourse, the client only transmits the first 12 bytes of the cryptographic hash, and the hashcalculated by the server may be longer, so many SNMPv3 implementations used thelength of the cryptographic hash received from the client in the memcmp call. [7]

The standard requires that the server throw out any message containing a hashshorter than 12 bytes, but many implementations did not do this. The consequence is thatan attacker need only send a single byte as the message digest, and if that byte is the sameas the first byt" of the digest calculated by the server, the message is consideredauthenticated. Attackers could therefore access password protected SNMPv3 services bysending 256 messages, each providing a different guess for the ftrst byte of a validmessage digest.,One of these 256 messages would be accepted as valid and processed.

There are many potential attacks against network devices that have thisvulnerability, depending on what they are configured to allow SNMPv3 users to do. Forexample, complete configuration files can be loaded on to Cisco routers over SNMP ifthe correct MIBs are enabted. [9] However, the case of lawful intercept is particutarlyinteresting because network operators may be compelled to enable it, and may not able tobalance the benefits of these features against the security risks they pose.

This vulnerability was publicly acknowledged in June of 2008 and assigned theID number CVE-2008-0960 by Common Vulnerabilities and Exposures. [6] However,the problem had existed in some SNMPv3 code bases for over 6 years prior to that date.


[8] Numerous vendors were acknowledged to be vulnerable and shipped product updates to fix the problem, including various Linux distributions, Solaris, and Mac-OSX, as well as network devices from Juniper and Cisco. [6]

Fortunately, most versions of the Cisco IOS software that support the Lawful Intercept Interface are not vulnerable to the SNMPv3 password vulnerability according to Cisco's Security Advisory. [10] However, there are a few exceptions. For example, the Lawful Intercept Interface for Cisco 10000 series routers is supported by IOS version train 12.3(7)XI. [11] According to Cisco's Security Advisory, the first non-vulnerable version of IOS 12.3(7)XI is 12.3(7)X18a. The "Open Caveats" for 123(7)X12 listed an Cisco's website mentions known probletns with the Lawful Intercept Interface, confirrning its presence in a vulnerable version of the software. [12]

Cisco describes their 10000 series routers as "ideal for carriers deploying IP/MPLS services to broadband and private-line customers" and "the industry-leading edge router for service providers who require subscriber awareness for triple-play, broadband, and wholesale access." [13] Certainly, routers like that have access to the personal communications of many thousands of consumers. Furthermore, they may be used to provision point to point Virtual Private Networks that interconnect enterprise and small business corporate offices. [14] These so called "IP-VPNs" carry sensitive, internal network traffic that is logically positioned behind corporate firevvalls, and is often sent without encryption as service provider networks are generally thought to be invulnerable to unauthorized surveillance.

3.3 The Lack of Audit Trails

Our attacker can not only access the Lawful Intercept interface without authorization, he may be able to do it without leaving a trace behind him. SNMP traps (or inforrns) might have enabled network administrators to detect misuse of this interface by reporting authentication failures and unauthorized access to a network mortitoring facility. Cisco's Configuration Guide for Lawful Intercept advises administrators to configure intercept devices to send SNMP trap notifications to the Mediation Device when authentication failures occur. [11] Cisco's documentation implies that these traps will be sent "for packets with an incorrect SHA/MD5 authentication key or for a packet that is outside the authoritative SNMP engine's window (for example, outside configured access lists or time ranges)." [15]

Unfortunately, this does not appear to be the case. None of the IOS versions we tested sent authentication failure traps for SNMPv3 messages with the wrong username, password, or Engine values. Authentication failure traps were only generated for SNMPv3 requests if they came from a source IP address that was blocked by a group access list. We reported this issue to Cisco assuming, that it was an irnplementation flaw, but Cisco concluded that this behavior was expected and that it was the documentation which was, in fact, incorrect.

Cisco routers can also generate SNMP traps that notify the Mediation Device of the current status of an Interception Request. That feature might have provided a powerful audit trail in the event of a compromise. If a Mediation Device received a status notification for an Interception Request that it did not initiate, that would be an immediate cause for alarm. Unfortunately, Cisco allows these notifications to be disabled


through the very SNMP TAP-MIBs that are used to request an intercept. [11] Therefore, it is trivial for attackers to disable these notifications in the course of setting up their unauthorized surveillance.

3.4 The Flexibility of the Output Stream

The person crafting an Interception Request can specify any destination host and port number to send the collected traffic to, and can choose from several different formats for that data, including a proprietary UDP packet format from PacketCable, a Real-Time Protocol stream, a TCP session, or an SCTP session. This great flexibility means that once an attacker has successfully issued an Interception Request, he or she can receive the collected traffic from anywhere on the Internet. For example, the attacker could specify that the traffic be sein as a Real-Time Protocol stream on UDP port 53. To most packet filters and firewalls düs traffic stream' would be indistinguishable from Domain Name System (DNS) traffic, which is usually not filtered on Internet networks.

3.4 The Susceptibility of the Interface to Packet Spoofing

Most Cisco devices allow network administrators to block traffic on a network by indicating the source and destination IP addresses and port numbers for offensive trottle in an access list. Access lists are often the first tool network administrators turn to when dealing with a security problem.

Unfortunately, access lists have only limited effectiveness for protecting Lawful Intercept because Interception Requests can be easily spoofed. An Interception Request can be sent in a single UDP packet, and it can specify any destination host and port number to send the collected traffic to, and so theoretically the attacker does not need to be able to receive responses from the targeted device directed back to the IP address that the Interception Request came from.

However, the attacker's job is somewhat complicated by the need to collect the EnginelD, EngineBoots, and EngineTime values for the target device. As previously mentioned, those values can be obtained through an unauthenticated SNMPv3 request to the target device, but that request cannot be spoofed because the attacker would need to be able to see the response.

In theory it might be possible to collect diese values without directly requesting them. On Cisco routers the EngineID defaults to a value which is generated based on the MAC address of the first interface on the device, a value which might be obtained from the network in certain circumstances. [16] EngineBoots and EngineTime both start counting from zero, and so they exhibit a bias toward lovv numeric values which might rnake them relatively easy to guess. However, attacks are far easier to perform if these pieces of information can be obtained from the targeted device through a normal SNMPv3 transaction that is not blocked by an access list.

The Cisco Security Advisory for the aforementioned SNMPv3 password vulnerability recommends using access lists to block all SNMP packets destined to a vulnerable router from untrusted IP addresses. [10] This work around is a good suggestion, as it blocks access to the Engine values from outside of the provider's network, but it still leaves a great deal of exposure. In a real IP network SNMP is used for


many purposes and a number of different systems an different networks may need to communicate with a particular router or switch via SNMP. The IP ranges for all of these devices would need to be allowed. These trusted networks may be subject to their own computer security vulnerabilities, and they may be legitimately accessible to service provider ernployees who are not authorized to perform intercepts.

In addition to defining an access list that limits the general SNMP service to trusted source addresses, Cisco provides a way to limit access to the lawful intercept feat-ure specifically. In the course of configuring the Lawful Intercept Interface, the administrator has to define an SNMPv3 user group with access to the TAP-MIBs. An IP access list can be applied to that user group, limiting lawful intercept access to requests coming from the actual IP addresses of the Mediation Device. [17]

This is not a perfect mitigation either. An attacker with access to one of the regular SNMP monitoring networks could obtain the EngineID, EngineBoots, and EngineTime values with a regular transaction, and then spoof an Interception Request with those values from the Mediation Device's address. But, the attacker would have to know the correct address of the Mediation Device, and learning it might present a barrier to some attackers. Unfortunately, the ability to specify a user group access list was not mentioned in the Cisco Security Advisory for this issue nor in the SNMP hardening guide that advisory referenced. [10]

There are a number of anti-spoofing features and strategies which are described in Cisco's Applied 1V1itigation Bulletin [18] for the SNMPv3 password vulnerability. In general, the intent is to block packets that have an impossible source address given the direction they are coming from in a network. In order for this approach to be effective it has to be used consistently within a network. Internet security would be in much better shape were that the case, but in practice filters like these are only used in the most well run IP networks.

3.6 The Lack of a Requirement for Encryption

Encryption ought to be an important part of a lawful intercept capability. As the Cisco Lawful Intercept RFC (RFC 3924) points out in its security consideration section, there is a need to protect both the contents of the information that is being collected as well as the specific identities of the intercept, subjects. [3] If Interception Requests and their corresponding trottle are being sent across networks in the clear, there is a risk that this information could be exposed. Furthermore, proper use of encryption can help protect the interface against unauthorized use.

However, Cisco does not require that encryption be configured for lawful intercept nor do they recommend a specific approach. Cisco's Intercept Architecture Guide states that "Because of privacy and confidentiality considerations, the architecture should allow for the use of encryption. Although encryption is not necessarily a requirement, it is highly recommended and may be a requirement in some L1 deployments." [19] As some approaches to encryption work better than others, it makes sense to consider them carefully.

3.6.1 SNMP Encryption

many purposes and a number of different systems on different networks may need tocommunicate with a particular router or switch via SNMP. The IP ranges for all of these

devices would need to be allowed. These trusted networks may be subject to their own

computer security vulnerabilities, and they may be legitimately accessible to service

provider employees who are not authorized to perform intercepts.

In addition to defining an access tist that limits the general SNMP service to

trusted source addresses, Cisco provides a way to limit access to the lawful interceptfeature specifically. In the course of configuring the Lawful Intercept Interface, the

administrator has to define an SNMPv3 user group with access to the TAP-MIBs. An IPaccess list can be applied to that user group, limiting lawful intercept access to requests

coming from the actual IP addresses of the Mediation Device. t17IThis is not a perfect mitigation either. An attacker with access'to one of the

regular SNMP monit-oring networks could obtain the EnginelD, EnginiBoots, and

EngineTime values with a regular transaction, and then spoof an Interception Request

with those values from the Mediation Device's address. But, the attacker would have to

know the correct address of the Mediation Device, and learning it might present a barrierto some affackers- Unfortunately, the ability to specify a user group access list was not

mentioned in the Cisco Security Advisory for this issue nor in the SNMP hardening guide

that advisory referenced. [10]There are a number of anti-spoofing features and strategies which are described in

Cisco's Applied Mitigation Bulletin [8] for the SNMPv3 password vulnerability. Ingeneral, the intent is to block packets that have an impossible source address given the

direction they are coming from in a network. In order for this approach to be effective ithas to be used consistently within a network. Intemet security would be in much better

shape were that the case, but in practice filters like these are only used in the most wellrun IP networks

3.6 The Lack of a Requirement for Encryption

Encryption ought to be an important part of a lawful intercept capability. As the

Cisco Lawful Intercept RFC (RFC 3924) points out in its security consideration section,

there is a need to protect both the contents of the information that is being collected as

well as the specific identities of the intercept subjects. [3] If Interception Requests and

their corresponding traffic are being sent across networks in the clear, there is a risk that

this information could be exposed. Furthermore, proper use of encryption can help

protect the interface against unauthorized use.

However, Cisco does not require that encryption be configured for lawfulintercept nor do they recommend a specific approach. Cisco's lntercept ArchitectureGuide states that "Because of privacy and confidentiality considerations, the architecture

should allow for the use of encryption. Although encryption is not necessarily arequirement, it is highly recommended and may be a requirement in some LIdeployments." [19] As solne approaches to encryption work better than others, it makes

sense to consider them carefully

3.6.1 SNMP Encryption


The Cisco Security Advisory for the SNMPv3 password vulnerability recommends enabling SNMPv3 encryption as "a short-term workaround for users who are unable to upgrade in a timely fashion." This mitigation effectively prevents the password attack, however SNMPv3 encryption is not required for lawful intercept. Cisco's Configuration Guide [11] for Lawful Intercept on 10000 Series Routers states that "users must have authPriv or authNoPriv access rights to access the Lawful Intercept MIBs.” AuthNoPriv means without privacy or without encryption. Also, all of the configuration examples provided in this guide show authNoPriv access rights being configured.

Even when SNMPv3 encryption is enabled, weaknesses in the Lawful Intercept interface can facilitate attack by malicious insiders who know the correct authentication credentials. The threat of malicious insiders is significant because the interface is so susceptible to packet spoofing, and because it is possible to disable SNMP trap notifications. An insider with access to the correct SNMP encryption and authentication passwords could use the interface to monitor communications from anywhere on the Internet, in spite of an), access lists that might be in place, and unbeknownst to the legitimate operators of the network. A secondary, layer of security is really needed to prevent this kind of misuse.

To be fair, Cisco routers and switches do a good job of protecting the secrecy of SNMPv3 passwords. The passwords are discarded once autheritication and encryption keys are derived from them, and the keys are never included in router configuration files. Furthertnore, Cisco seems to have been concerned that the keys for lawful intercept might be recovered from NVRAM, and so in some models those keys are only stored in volatile memory and their passwords must be reentered manually every time the device is restarted. [20] However, passwords can be misused regardless of how well protected they are, and so there remains a need for secondary access control and audit capabilities.

As previously mentioned, the Internet Draft for Cisco's TAB-MIB suggests that IPsec ESP be used to encrypt these transactions. This is good advice, as the Lavvfill Intercept Interface offers no other facility for encrypting the collected traffic on its way back from the router to the Mediation Device. Law Enforcement agencies using this system may insist that this traffic be encrypted in order to reduce the risk that their targets will become aware of the fact that they are under surveillance.

On its own, a simple IPsec Security Association between the Mediation Device and the IAP also won't tnitigate an attack on SNMPv3 authentication. The router will accept unencrypted requests from other source addresses, and when the attacker directs collected traffic back to his or her address, that traffic will also be sent in the clear. However, IPsec coupled with proper access-lists can be effective. Attackers cannot easily spoof IPsec encrypted requests because the session keys used to encrypt them are relatively difficult to obtain, even for malicious insiders who know the shared secrets used to establish those sessions.

The general infrastructure access lists recommended in the Cisco Security Advisory for the SNMPv3 password vulnerability will not work, because they focus on closing off general SNMP access from untrusted source addresses. As previously


mentioned, there are usually multiple SNMP monitoring hosts which require access to a network device. In practice these SNMP monitoring networks are unlikely to have IPsec security associations with the devices they are monitoring. Unencrypted Interception Requests could be sent or spoofed from those source addresses.

The best way to effectively limit abuse of this Lawful Intercept Interface is to couple an IPsec Security Association with a group access list that limits TAB-MIB access to requests coming from the IP address of the Mediation Device. This configuration prevents outsiders from attacking SNMPv3 authentication by requiring that requests be encrypted and it prevents malicious insiders who knovv the correct passwords from spoofing Interception Requests from networks they control. As notifications can be disabled there are still avenues for abuse in this configuration, but it is as secure as it can be given the design of this architecture.

4. <Imrproving the Lawful Intercept Interface

Before we set upon the task of addressing some of the weaknesses raised in this paper we must first consider where the weaknesses should be addressed and who should address them. Many of these weaknesses stein from a desire on the part of protocol designers and implementers to serve their customers by providing them with the greatest possible flexibility. For example, the interface can be used regardless of whether or not encryption is configured, notification can be turned on and off by the user, and the Mediation Device can be changecl without the need to reconfigure a router.

lt is the natural economic interest of tool makers to empower the customers they serve as much as possible. But sometimes all of that flexibility can increase the likelihood that a protocol will be deployed in a way that is insecure. Modem IETF docurnents include a Security Considerations section in which protocol architects are asked to consider various attacks against their design and how implementers and operators can mitigate them. Unfortunately, if a particular attack can be mitigated through proper configuration, this is often viewed as sufficient. Protocol designers are loath to consider changes to protocols to address a security vulnerability that can be mitigated through proper configuration and management.

The Session Initiation Protocol (SIP) provides a simple example of the dangers involved in pushing responsibility for security away from protocol design and into implementation and configuration. SIP is an IETF standard protocol used to implement Voice over IP. SIP can be used to initiate telephone calls with a single, unauthenticated UDP packet, which can be easily spoofed. Attackers can leverage SIP devices on the Internet to perform traffic amplification denial of service attacks, by turning one spoofed UDP packet into a large stream of encoded audio data headed for their victirn. Using this technique it's easy for attackers to saturate their victim's network connectivity.

The Security Considerations section of the SIP RFC addresses this problem by stating that "[User Agents] and proxy servers SHOULD challenge questionable requests" by forcing them to authenticate. [21] Authentication can help prevent spoofing in SIP by requiring an interactive exchange of packets. However, many SIP operators want to allow people to use their service without first establishing a username and password. The RFC offers to resolve this problem by suggesting that operators create an account with the username "anonytnous" and a blank password that clients are forced to authenticate to,


instead of allowing unauthenticated single packet requests. In practice, operators rarely do this and implementations usually don't point them in the right direction.

One reason that SIP operators aren't clarnoring to enable authentication for anonymous SIP is that they don't directly bear the cost associated with trottle arnplification attacks. The victims of these attacks are a third party. The SIP service is merely a conduit through which the attack takes place and many operators are not aware that their service can be abused in this way. In economics, this situation is referred to as a negative externality.

A negative externality is a cost that a third party must bare as a consequence of a voluntary and mutually beneficial economic transaction between two other parties. Negative externalities in the real economy can be difficult to resolve without regulation. The most obvious example is pollution, which can impact people who do not directly benefit from the industrial production that causes it. Our society manages pollution by creating rules that require producers to take steps to limit it even though those steps are not in their immediate best interest.

In the context of a network protocol, one way to manage a negative externality is to limit the flexibility that can give rise to it, in the protocol design and implementation. If the SIP protocol design, at a low level, required an interactive process even for anonymous messages, packet spoofing would be more difficult. SIP implementers could also reduce the risk by designing their software so that it is difficult to configure in such a way that unauthenticated, single packet requests are honored. Either of these steps would help reduce the likelihood of insecure SIP deployrnents on the Internet.

A negative externality can also exist in Lawful Intercept protocols. These protocols are designed to mediate a relationship between law enforcement and a network operator. The users of the network are a third party. Design and deployment decisions that facilitate the needs of the network operator or law enforcement may have a negative impact on those network users by exposing their traffic to attackers.

Although our analysis of potential attacks on Cisco's Architecture for Lawful Intercept identifies configurations that can prevent the attacks, we are not confident that every deployment of this protocol on the public Internet has used those configurations. The best mitigation involves coupling IPsec encryption with an unusual user group IP access list that is not described in the configuration documentation for Lawful Intercept, nor in the security advisory for the SNMPv3 password vulnerability, nor in the SNMP hardening guide that security advisory referenced. [10], [11] Although IPsec encryption is mentioned in the Security Considerations section of the Internet Draft for Cisco's TAP-MIB, advice about specific encryption configurations did not make it into Cisco's documentation and administrators are free to deploy the interface with no encryption at all. You can draw an observation from this that can be applied to everyone working with Internet protocols: lt is the responsibility of each person involved in the process of moving from design to implementation to-Operation to ensure that the right information about secure implementation, configuration, and use is carried forward and does not remain unnoticed at the bottom of an expired Internet Draft.

Nevertheless, it is our view that good configuration guides are not enough. Changes ought to be made to these protocols that reduce the risk that they can pose to user's security when they are poorly configured, because we cannot assume that every network operator uses all the best security practices. As Sun Microsystems Fellow Radia

instead of allowing unauthenticated single packet requests. In practiceo operators rarelydo this and implementations usually don't point them in the right direction.

One reason that SIP operators aren't clamoring to enable authentication foranonymous SIP is that they don't directly bear the cost associated with trafficamplification attacks. The victims of these attacks are a third parly. The SIP service ismerely a conduit through which the affack takes place and many operators are not awarethat their service can be abused in this way, In economics, this situation is referred to as anegative externality.

A negative externality is a cost that a third party must bare as a consequence of avoluntary and mutually beneficial econornic transaction between two other, parties.Negative externalities in the real economy can be difficult to resolve without regulation.The most obvious example is potlution, which can impact people who do not directlybenefit from the industrial production that causes it. Our society manages pollution bycreating rules that require producers to take steps to limit it even though those steps arenot in their immediate best interest.

In the context of a network'protocol, one way to manage a negative externality isto lirnit the flexibility that can give rise to it, in the protocol design and imptementation.If the SIP protocol design, at a low level, required an interactive process even foranonymous messages, packet spoofing would be more difficult. SIP implementers couldalso reduce the risk by designing their software so that it is difficult to configure in such away that unauthenticated, single packet requests are honored. Either of thesä steps wouldhelp reduce the likelihood of insecure SIP deployments on the lnternet.

A negative externality can also exist in Lawful Intercept protocols. Theseprotocols are designed to mediate a relationship between law enforcement and a networkoperator. The users of the network arc a third party. Design and deployment decisionsthat facilitate the needs of the network operator or law enforcement may have a negativeimpact on those network users by exposing their traffrc to attackers.

Although our analysis of potential attacks on Cisco's Architecture for LawfulIntercept identifies configurations that can prevent the attacks, we are not confident thatevery deployment of this protocol on the public Internet has used those configurations.The best mitigation involves coupling IPsec encryption with an unusual user group IPaocess list that is not described in the configuration documentation for Lawful Intercept,nor in the security advisory for the SNMPv3 password vulnerability, nor in the SNMPhardening guide that securiff advisory referenced. [0], tlU Although IPsec encryptionis mentioned in the Security Considerations section of the Internet Draft for Cisco's TAP-MIB, advice about specifrc encryption configurations did not make it into Cisco'sdocumentation and administrators are free to deploy the interface with no encryption atall. You can draw an observation from this that ian-be apptied to everyone working withInternet protocols: It is the responsibility of eash person involved in the process ofmoving from'design to implementation to operation to ensure that the right informationabout secure implementation, configuration, and use is carried forward and does notremain unnoticed at the bottom of an expired Internet Draft.

Nevertheless, it is our view that good configuration guides are not enough.Changes ought to be made to these protocols that reduce the risk that they can pose touser's security when they are poorly configured, because we cannot assume that everynetwork operator,uses all the best security practices. As Sun Microsystems Fellow Radia


Perlman once said "An issue that separates real network protocol design from, say, a theoretical algoritlun, is realizing that the components don't always behaue as they should. A network has to be designed so that components that are configured incorrectly, or misbehaving in various ways can't do too much danlage." [22]

We present a set of recommendations for changes to the User-based Security Model for SNMPv3, the Lawful Intercept protocol, as well as advice for network operators deploying this system as it is currently designed. We recognize that there are almost certainly use cases and application considerations that we are not aware of that may make adoption of some of these recommendations impractical. However, adoption of at least some of these recommendations would help improve the security of Lawful Intercept.

4.1 Recommendations for Updating the User-based Security Model for SNMPv3

4.1.1 Make Authentication Errors Less Verbose

The User-based Security Model for SNMPv3 provides too much information in response to authentication failures, allowing attackers to differentiate between bad usernames and bad passwords. Most authentication systems have moved away from providing this level of verbosity because it is only marginally valuable to legititnate users and it is helpful to attackers.

4.L2 Make Engine Values Harder to Guess and Share

The use of Engine values within the User-based Security Model for SNMPv3 was intended to prevent previous requests from being replayed. This feature also serves to make packet spoofing of SNMPv3 transactions more complicated by requiring an interactive transaction between client and server. However, these values do not provide complete anti-spoofing protection. The Engine values are theoretically subject to being guessed, and they can be shared between clients, a fact which enables attackers with SNMP access to subvert user group access control lists.

TCP implementations prevent spoofing by employing unpredictable sequence numbers. SYN cookies are a particularly good way to generate those sequence numbers. They combine the server's concept of time and its own identity with the identity of the client and a secret key. They cannot be easily guessed or shared between clients, which prevents spooting, but they also need not be cached by the server, which prevents denial of service attacks. [23] If the SNMPv3 User-based Security Model were modified to use a cookie that is , similar to a SYN cookie, instead of or in addition to the Engine values, this would effectively eliminate packet spoofing as a concern for authenticated SNMPv3 transactions over UDP with very little added transaction cost.

4.1.3. Send Traps or Informs for SNMPv3 Authentication Failures

The User-based Security Model for SNMPv3 is susceptible to numerous attaeks against authentication. Hovvever, all of these attacks are noisy in that they generate large numbers of authentication failures before they are successful. If these authentication


failures resulted in traps or informs, they could be readily monitored by SNMP management equipment and network operators would know when they were under attack. Furthermore, sending traps or informs for SN1VIPv3 authentication failures would be consistent with the behavior of SNMPv2, which generates traps when invalid community strings are used.

4.2 Recommendations for Updating Cisco's Lavvful Intercept Architecture

4.2.1 Use a Different Port or Protocol

Some of the vulnerability of Cisco's Lawful Intercept Architecture stetns fron the fast that it is an application requirMg very high security that was built on top of SNMP, which has historically been used for applications that do not raise the same sort of security coneems. The Most common use of SNMP is to convey information about network health, which is of little value to an attacker. It was a good idea to make use of the existing SNMP code base, which was already written and tested, rather than clefine a completely new protocol. But, service provider networks are fall of SNMP traffic that is performing various functions, and so it is difficult to limit access to this service.

It would have been better if a unique UDP port number were assigned for this high security application. Thera traditional IP and port based access control lists could effectively Limit access to it, as could external packet filtering devices that are not necessarily application or crederitial aware. SNMP can also be run over TCP, so Cisco could require TCP connections for Lawful Intercept requests. This would help to make the interface less susceptible to packet spoofing while also making it easier to filter.

4.2.2 Allow Router Administrators to Hard Code Mediation Device Addresses

It is difficult for router administrators to control where Lawful Intercept data can be sent, because the interface allows any destination to be specified, and Cisco devices do not apply outbound access control lists to packets that originate from the router. It seems unlikely that the IP addresses, port numbers, and network protocols spoken by a particular Mediation Device are going to change every time an intercept is performed. If these settings could at least be constrained to a particular range by the router administrator this would significantly reduce the risk of unauthorized intercepts. It is unlikely that this reduced flexibility would have any negative impact on , legitimate intercepts.

4.2.3 Move SNMP Notification Control Out of the MIB

Users of the TAP-MIB should not be able to disable SNMP notifications regarding intercepts they are perforrning. This undermines the ability of the service provider to secure a reliable audit trail of surveillance activities. In our opinion, control over intercept nafitkations should have been placed in the router configuration rather than in the MIB.

However, there is a tension between this desire and the need to prevent the service provider's network administrators from monitoring the activities of the Law Enforcernent


Agency. It is difficult, in practice, to prevent a determined network administrator with the ability to access and reconfigure routers and switches from tracking the use of a protocol on the network, particularly if encryption is not being used. However, if a rouge administrator could configure an unauthorized destination address to receive SNMP notifications regarding the TAP-MIB, this would be a particularly easy way to monitor the use of Lawful Intercept.

One way to address this concern would be to specify destination addresses for intercept notifications in both the MIB and the device configuration. The device could enforce that at least one of the addresses it is configured to notify, is ineluded as a notification address in the Interception Request. This way the Interception Request must specify a destination for notifications that the network administrator has agreed to, but conversely the network administrator cannot force the device to send notifications to an address the Lawful hüercent Administration doesn't agree to.

4.3 Recoromendations for Deployurient

Service providers have many different strategies for protecting management traffic on their networks. One option is total out-of-band managetnent. This approach essentially amounts to concluding that router and switch management interfaces cannot be protected from attack and a shell must be constructed around them. A parallel network infrastructure is created along side the provider's production network. All of the provider's routers are connected to this parallel network, and access lists are placed on the other interfaces of each router that block all inbound management traffic. Access to these out of band management networks is very tightly controlled.

While this approach is effective for some providers, it is irnpractical for others. While all pruclent netvvork operators have some backup mechanism for getting access to a router in the event that the prünary network has failed, building a backup network that is designed to operate 24/7 and carry all remote management:traffic can be very expensive. Also, as a network becornes more and more complicated with a larger managetnent staff, the provider' s ability to absolutely control everything on an out-of-band management network may come into question.

It is therefore necessary to consider how to deploy Lawful Intercept safely, no matter how tightly controlled a provider thinks their management networks are. Below is a set of basic recommendations based on the analysis in this paper.

I. Use Access Control Lists o Limit SNMP and other management access to routers and switches

from unauthorized source IP addresses. o Specify an Access Control List with the IP address of the Mediation

Device and apply it to the SNMPv3 User Group that has access to the TAP-MIB.

2. Lock down SNMPv3 o Make sure your Cisco devices are not running a version of IOS that is

vulnerable to the SNMP Password Vulnerability (CVE-2008-0960) o Manually configure a unique, random SNMPv3 EngineID.

Agency. It is difficult, in practice, to prevent a determined network administrator with the

uU*itityio access and reconfigure routlrs and switches from tracking the use of a protocol

on the network, particularly if encryption is not bäing used. However, if a rouge

administrator couid *onfiguie *n unäuthorized destination address to receive SNMP

notifications regarding the TAP-MIB, this would be a particularly easy way to monitor

One way to address this concern would be to specify destination addresses for

intercept notifications in both the MIB and the device configuration. The device could

enforce that at least one of the addresses it is configured to notify is included as a

notification address in the lnterception Request. This way the Interception Request must

speciff a destination for notiflcations that the network administrator has agreed to, but

rbnv"rrely the network administrator cannot force the device to send notifications to an

address the Lawful lntercept Administration doesn't agree to.

4.3 Recommendations for Deployment

Service providers have many different strategies for protecting management

traffrc on their networks. One option is total out-of-band management. This approach

essentially amounts to concluding that router and switgh rnanlg.emeüt. interfaces cannot

be protected frorn attack and a shell must be constructed around them, A parallel network

infiastructure is created along side -the provider's produclion network. All of the

provider's routers are connected to this parallel network, and aceess lists ale placed on

the other interfaces of each router that block all inbound management traffic. Access to

these out of band management networks is very tightly controlled.

While this approach is effective for some providers, it is impractical for others.

While alt prudent network operators have some blgkup me.chanis*- fol getting access to.a

router in the event that the prirnary network has failed, building a backup'network that is

designed to operate 2417 and carry all remote management tlaffig can be very expensive.

Also, as a network becomes more and more complicated with a larger management staffthe provider's ability to absolutely control everything on an out-of-band management

network may come into question.' It is thereforc necesrary to consider how to deploy Lawful Intercept slfefV, no

maffer how tightly controlled a provider thinks therl Tala.gement networks are. Below is

a set of basic recommendations based on the analysis in this paper.

1. Use Access Control Listso Limit SNMP and other management access to routers and switches

from unauthorized source IP addresses.

o Speciff an Access Controt List with the IP address of the Mediation

Devici and apply it to the SNMPv3 User Group that has access to the

TAP-MIB.

?. Lock down SNMPv3o Make sure your Cisco devices are not running a version of IOS that is

vulnerable io the SNMP Password Vulnerability (CVE-2008-0960)

o Manually configure a unique, random SNMPv3 EnginelD.


o Select usernames and passwords for TAP-MIB access that are difficult to guess and carefully control access to them.

o Configure an IP address to receive SNMP notifications from Intercept devices and monitor it for suspicious activity.

Use encryption o Establish an IPsec tunnel between the Intercept Access Point and the

Mediation Device and drop any unencrypted traffic between those addresses,

o Always manage Cisco devices using SSH and other encrypted rnanagement protocols.

4. Harden your network devices against attack o Consult public hardening guides for Cisco routers and switches that

instruct administrators on how to protect them against attack. o Establish processes to effectively control access to network

administration access credentials and interfaces. o Protect the Mediation Device from unauthorized physical access as

well as network intrusions. o Audit the security of every computer on the authorized management

network and make sure they are hardened against attack.

5 Conclusions

Cisco and the IETF did the right thing when they decided to publish their architecture for lawful intercept so that we can study it and peer-review it. The Internet is a product of the academie world and it brings with it some of the values of that world, including a principle of inclusiveness in technical standards making and an architecture that is open to examination and peer review. Nearly every cornmunications protocol that is widely used on the Internet is published in an IETF RFC that is available for anyone to read and understand. If a surveillance capability were quietly added into the core of the Internet and an attempt was Made to keep it a secret, in some respects this would be antithetical to the overarching philosophy upon which the Internet was built.

As government surveillance is obviously a subject of significant public interest, the value of being able to discuss it in the open cannot be overstated. In many respects, the technical operation of these systems, in particular how they go about minirnizing the information that they collect and how they prevent unauthorized access, is as much a part of the framework of checks and balances that protects the privacy rights of citizens, as the legal procedures that authorize their use. Providing open, public access to the architectural design of these systems and the procedures used to operate them enables independent experts to review their suitability to task and allows individual citizens to see and understand how surveillance is being implemented.

Although we identify some weaknesses in Cisco's Architecture for Lawful Intercept in this paper, at the end of the day, we can have greater confidence in Cisco's approach because it's a known quantity and because it has had the benefit of analysis like


this. There is a lot of technology out there that the public depends on that is more difficult to peer-review, and in those shadows our greatest vulnerabilities lie.

The author would like to thank Cisco their feedback and thoughtful consideration of the issues raised by this paper. The author would also like to thank a number of individuals who provided constructive feedback that contributed to this paper: Greg Conti, David Dewey, Nick Levay, Felix Lindner, John McDonald, Jerene Mineweaser, and Terrence Peters.

Tom Cross is a vulnerability researcher with IBM's X-Force, but the opinions he expresses herein are his own and not those of his employer. His research interests include protocol design, application software vulnerabilities, reverse engineering, and Voke over IP. He has a BS in Cornputer Engineering from the Georgia Institute of Technology. Contact him at [email protected].

[1] Steven M. Bellovin, Matt Blaze, Whitfield Diffie, Susan Landau, Peter G. Neumann, and Jenrtifer Rexford, "Risking Communications Security: Potential Hazards of the Protect America Act," IEEE Security & Privacy, vol. 6, no. 1, January/February 2008, pp. 24-33.

[2] Internet Architecture 13oard, "IETF Policy on Wiretapping," RFC2804; http://tools.ietf.org/htrril/rfc2804

[3] F. Baker, B. Foster, C. Sharp, "Cisco Architecture for Lawful Intercept in IP Networks," RFC3924; http://tools.ietf org/html/rfc3924

[4] F. Baker, "Cisco Lawful hitercept Control MIB," draft-baker-slem-mib-00; http://tools.ietf.org/html/draft-baker-slem-mib-00

[5] U. Blumenthal and B. Manen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)," RFC3414; http://tools.ietf.org/html/rfc3414

[6] Common Vulnerabilities and Exposures, "CVE-2008-0960"; http://cve.rnitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0960

[7] FX, "Perception of Vulnerabilities," Aug 27, 2008; http://www.phenoelitnet/lablog/paradiens/Perception of Vulnerabilities.s1

[8] Hardaker, "SECURITY RELEASE: Multiple Net-SNMP Versions Released," June 9, 2008; http://sourceforge.net/forurn/forum.php?forum id=833770

[9] Cisco Systems, "How To Copy Configurations To and From Cisco Devices Using SNMP," Nov I, 2005;


http://wwvv.cisco.com/en/US/tech/tk648/tk362/technologies_configuration example0918 6a0080094aa6.shtml

[10] Cisco Systems, "Cisco Security Advisory: SNMP Version 3 Authentication Vulnerabilities," July 1, 2008; http://www.cisco.com/en/US/products/products security advisory09186a00809ac83b.sht ml

[11] Cisco Systems, "ClOK Lawful Intercept Configuration Guide Book"; http://www.cisco.com/en/US/docs/routers/10000/10008/feature/guides/lavvful intercept/1 OLIconf html

[12] Cisco Systems, "Cisco IOS Release 12.3(7)XI2," 2004; http://www.cisco.com/en/US/docs/routers/10000/release notes/123xi/1237xi2.htnal

[13] Cisco Systems, "Cisco 10000 Series Routers," Retrieved on November 4 th, 2008; http://www.cisco.com/en/US/products/hw/routers/ps133/

[14] Cisco Systems, "KPN Delivers IP-VPN Services Over MPLS to Dutch Enterprise and SMB Customers Using Cisco Solutions," May 21, 2002; http://newsroom.cisco.com/dlls/prod 052102.html

[15] Cisco Systems, "Individual SNMP Trap Support," 2006; http://www.cisco.corn/en/US/docs/ios/12_1t/12_1t3/feature/guide/dtitraps.html

[16] Cisco Systems, "snmp-server engineID local," Cisco IOS Network Management Cornmand Reference; http://www.cisco.com/en/US/docs/ os/netmgmt/command/reference/rn 14.html#wp101 1412

[17] Cisco Systems, "Specifying SNMP-Server Group Names," Configuring SNMP Support; http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm cfg snmp sup ps6441 TSD Products Configuration Guide Chapter.html#wp1026796

[18] Cisco Systems, "Cisco Applied Mitigation Bulletin: Identifying and Mitigating Exploitation of the SNMP Version 3 Authentication Vulnerabilities," June 11, 2008; http://www.cisco.com/en/US/products/products a_pplied rnitigation bulletin09186a0080 9adfc8.html

[19] Cisco Systems, "Cisco Service Independent Intercept Architecture Version 2.0," 2006; http://www.cisco.com/technologies/SII/SII ver2.pdf

[20] Cisco Systems, "Lawful Intercept on Cisco 12000 Series Router, ISE Line Cards," 2006; litip://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/lawf int.html


[21] D.J. Bernstein. SYN cookies. 2008; http://cr.yp.to/syncookies.html

[21] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and Schooler, E. "Sip: Session Initiation Protocol," RFC 3261, http://tools.ietf.org/html/rfc3261

[22] Blake, D. "Architecture & Design: Network Protocols," Dr. Dobb's, October 30, 2008; http://wvvw.drdobbs.com/architect/211800253

[21] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R.,

Handley, M., and Schooler, E. "Sip: Session Initiation Protocol," RFC 3261,

http ://to o ls. ietf. or g/htm l/rfc3 26 I

[22J Blake, D. "Architecture & Design: Network Protocol s," Dr. Dobb s, October 30,

2008; http://www;drdobbs.com/architect/2 1 I 800253

t23l D.J. Bernstein. SYhtr cookies. 2008; http;//cr.yp.to-/s,v,rtcookies.html


Dunte Markus

Von: Landvogt Johannes Gesendet: Montag, 29. Juli 2013 10:25 An: Schaar Peter, Referat VIII Cc: Referat V; Dunte Markus; Bungard Dirk Betreff: AW: Cisco backdoor still open

Hallo zusammen,

mE gibt es weltweit nur zwei große Hersteller in diesem Bereich: Cisco (USA) und Huawei (China). Und natürlich könnten Switche (Router usw.) back doors enthalten. der Vergangenheit gab es mW auch Spekulationen, ob die Verfügbarkeit von Netzwerkkomponenten über nicht dokumentierte Schnittstellen gestört werden kann. (Man könnte so zB ganze Länder, Industriebereiche,— "abschalten" oder stören.) Und natürlich ist das Ausleiten von IP-Verkehr grundsätzlich auch denkbar. (Wobei hier die schon von Referat VIII angesprochenen Datenmengen zu berücksichtigen sind.)

In der BReg wird -mE aus diesen Gründen- eigene Netzwerktechnik zur Verschlüsselung des Verkehrs eingesetzt. Die 'Netze des Bundes' hängen auch von Cisco (und weiteren Herstellern) ab, aber die Verschlüsselungskomponenten sind davon unabhängig und wurden om BSI (und deutschen Unternehmen) entwickelt.

(In den 90er Jahren wurde die Entwicklung eigener Hardware (durch den Bund) in diesem Bereich mW ganz aufgegeben; die Verschlüsselungstechnik heute beruht auf "neutraler" Standard-Hardware, geprüften "Linux"-Komponenten und "standardisierten" als sicher geltenden Verschlüsselungsverfahren.)

Die Übergänge zu Bund-Ländernetzen haben ähnliche Sicherheitsmaßnahmen wie die Netze des Bundes; zu einzelnen Landes-, Kommunal- oder Industrie -Netzen liegen mir keine Informationen vor. MW gibt es auf EU-Ebene sehr unterschiedliche Sicherheitskomponenten bei den verschiedenen Netzen; aber mW werden hier (zB Polizei, Zoll) oft "europäische Produkte" eingesetzt.

Viele Grüße J Landvogt

Ursprüngliche Nachricht Von: Schaar Peter Gesendet: Samstag, 27. Juli 2013 15:54 An : Müller Jürgen Henning; Referat VI (7c: Gerhold Diethelm; Valta Ekkehard; Dunte Markus; Referat V atreff: AW: Cisco backdoor still open

Ref. VI, VIII:

Halten Sie es für vertretbar, dass Bundesbehörden Geräte mit derartigen Hintertüren einsetzen? Sind in einem solchen Fall ergänzende Sicherheitsmaßnahmen erforderlich? Sollte das Thema auch mit den LfD besprochen werden, insb. im Hinblick auf den Routereinsatz in der Wirtschaft?

Mit freundliChen Grüßen

Schaar

Ursprüngliche Nachricht Von Müller Jürgen Henning Gesendet: Dienstag, 16. Juli 2013 08:32 An: Schaar Peter Cc: Gerhold Diethelm; Valta Ekkehard; Dunte Markus; Referat V Betreff: AW: Cisco backdoor still open


grundsätzlich halten wir den Bericht zu den Sicherheitsproblemen für glaubwürdig. Da

OokXlt'nei.11_ f4

Dunte Markus

Von:Gesendet:An:Cc:Betreff:

Landvogt JohannesMontag,29. Juli 20]3 10:25Schaar Peter; Referat VIllReferat V; Dunte Markus; Bungard Dir.kAW: Cisco backdoor still open

Hall,o. zusamlten,

mE gibt es !üeLtvreit nür zwei große Hersteiler in diesem Bereich: Cisco (USA) undHuawei (China) . Und natürlich könnten Switche (Router usw. ) back doora .entha1Een. Inder vergangenheit, gab es mw auch spekulationen, ob die Verfügbarkelt. vonNetzwerkkomPoirent.en über nicht dokument,terte schnitEstelLen gestört werd.en kann. (!,Iankörurte ao zB ga':ze Länder, Industriebereiche, ... ',abschaltenn oder 6tören.) Undnatüflich ist das Ausleiten von rP-verkehr gnrndsätzLlch auch denkbar. (wobei hier dl-eschon von Referat VIII angeEprochenen Datenmengen zu ber(rcksichtigen sind.)

In der BReg rüird -mE aus diesen cründen- .eigeae Netzwerktechnik zur verEchlü§€elungdes verkehrs eingesetzt,. Dte rNetze des Bu[deE' hängen aucfu von cisco (und w-elter.^eiHersteLlern) ab, aber die VeischlüsselungakoEFonentEn sind davon unabhängig und. wurddn

om BSI (und deutschen lrnternelnnen) enLwickelt.

(In den goer ilahren wurde die sntwicklung eigener Hardware (durch den Bund,) ln dlesemBereich mII ganz aufgegeben; 'die verschhlEsel.ungstechnik heutse beruht auf ,leutralerrStandard-Hardware, geprüften trLinuxi -Komponenjäa und i stand,ard.isierten" a1a sichergeltsenden Verschlüaselungaverfahren. )

oie fbergänge zu Bund-IJändeflretzen ha-ben ähnliche, slcherheitEmaßnahmen wie die Netzedes Bundea i zu einzelnen rJandes-, Kommunal. - oder rnduslrie-Netzen liegen mir keineInformationen vor. MII gibt es auf EU-Ebene sehr unterschiedllcheSicherheitskomponenten bei den verschLedenen NeEzeni aber mw werden hier (zB po:..Lzej-,ZolL) oft reuropäische Produktetr eingeaetzE.

iI lJandvogE

- - - - -Ursprü[gliche Nachrlcht-----Von: Schaar PeterGesendet: Samatag, 27. ilu1i 2013 15:54An: ltüI1er ,Jürgen Henningi Referat \rf.:c! Gerhold Diethelm, VaLta Ekkehardi Dunte Markus; ReferaE V:treff: AW: Ci6co backdoor still open

Ref. Vr, Vrrr:Hal.ten Sie es für vertretbar, dass Bundesbehörden Geräte mit, derartLgen HintertürerreinseEzen? §ind in einem soLchen fall ergänzeude Sichbrheitsmßrra,Un"i arf;;;;ii;;tSollte daE Thenra äuch mit den LfD besproch.en werden, insb, im Hinblick auf denRoutereinEatz in der wirtEchaft?

Mit freu[dlichen Gritßen

schaar

- - - - -Ursprüngliche t{achricht- - -. -von I l,!(rIIer ilürgen HenningGesendet: Diengtag, 16. alull 2Ot3 08r32An: Schaar PeterCcr Gerhold Diethelm, Valta Ekkehard; Dunte MarkuE i Referat VBetreff: Aw: CiBco backdoor stiI1 open


grundsätzlich halEen lvlr den Bericht zu den Sicherheitsproblemen für glaub!'rürdlg. Da


die Meldung von 2010 ist, sollte von einer Verbesserung der Sicherheit der Cisco-Router auszugehen sein. Der 2010 gehaltene Vortrag, auf dem der Artikel basiert, ist noch verfügbar (s. Anlage). Allerdings ist h. E. nicht gesetzlich gefordert, dass ein Router eine Abhörschnittstelle haben muss; jedoch müssen viele Kunden eine solche Schnittstelle bereitstellen. Da dies mit einer Zusatzfunktiondes Routers am preiswertesten geht, wird sie eingebaut.


Jürgen H. Müller

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Referat VIII Telekommunikation, Telemedien- und Postdienste - Leiter Projektgruppe Elektronische Gesundheitskarte Tel. 0228 - 997799810 Fax: 0228 - 997799550 E-Mail: [email protected] bzw. [email protected] 53117 Bonn, Husarenstraße 30 www.datenschutz.bund.de

Ursprüngliche Nachricht Von: Schaar Peter Gesendet: Donnerstag, 11. Juli An: Referat V; Referat VIII Cc: Gerhold Diethelm Betreff: Cisco backdoor still open

ttps://www.networkworld.com/community/node/57070

Ist der Bericht glaubwürdig? Wird entsprechende Technik auch bei Bundesbehörden bzw. unserer DS-Kontrolle unterliegenden Unternehmen eingesetzt und wie verhalten wir uns dazu?

die Merdung von 2o1o ist, 6o11te von einer verbessdrung der sicherheit der cisco-Router auszugehen sein, Der 2o1o gehaltene vortrag, auf dem der Artiker basierE, istnoch verfügbar (s. Anlage). Allerdings iet h. E. nicht gesetzlich gefordert, dass einBouEer eine Abhö:rsehniEtBtelle baben muas, jedoch rmissen viele Kunäen elne solcheschnittstelle bereitstellen. Da dies mit einer zusaEzfunktion deE Routers amprel,avrertesten geht, wird sie eingebauE.

Mit freundlichen cr:llßen

ilürgen H. !,1ü11er

Der Bundesbeauftragte für den Datenschutz und die Informationsfreihelt ieferat VIII -Telekommrnikation, Telemedien- und postdienate - Leiter proj ektgruppe ElektronischeGeaundheitskarteTeI. 0228 - 9977g9el} F.lx: 0228 - g9779g5SOE-!,IaiL: [email protected]. de bzw. pg- egkobfdi . bund . de53117 Bonn, Husarenstraße 30srwrr. d.atenschut z . bund. de

- - - - -UrEprüngliche Nachricht- - - - -Von: Schaar PeterGeEendet: Dormerstag, 11. üuIl 2013 13:31An: Referat V, Referat VIIICcr eerhold OietheLmBetreff: Cisco backdoor stLlJ- open

ltpe : //www. networknorld. coml conrmunltylno de/ s7 o7 o

Ist der Berlcht, glaublvürdig? wlrd entaprechende Technik auch bei Bund.esbehörden bzw.unserer Ds-KontroLle unterliegendea uflternehnen ei.ngesetzt und wie verhalten lrir uflsdazu?. - __ ----l-

Mit fretmdlichen Grüßen

Schaar


Y opele ltqru QQ6 - wikileaks.org A BfDI-1-2/MAT A... · VS — Nur für de Die Bundesbeauftragte...

Documents

Transcript of Y opele ltqru QQ6 - wikileaks.org A BfDI-1-2/MAT A... · VS — Nur für de Die Bundesbeauftragte...