Eingelangt am 25.11.2021
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Dr. Stephanie Krisper, Kolleginnen und Kollegen

an den Bundesminister für Inneres

betreffend Kontakte mit oder Ermittlungen zu Softwareanbietern

Anfang dieses Jahres wurde – vier Monate nach seiner Gründung – ein internationaler gemeinnütziger Vereins namens „GAIA-X AISBL“ in Brüssel offiziell eingetragen. Das ist ein zunächst deutsch-französisches Daten-Infrastruktur-Großprojekt für Europa. "Die meisten nennen es 'europäische Cloud', also ein Gegenstück zu den Cloud-Giganten Amazon AWS, Microsoft Azure, Google Cloud aus den USA oder Alibaba aus China. GAIA-X wurde 2019 ins Leben gerufen und soll ein gigantisches digitales europäisches IT-System werden, in dem unzählige Unternehmen und unzählige Institutionen Unmengen von Daten speichern und austauschen können. Absolut sicher, nach europäischen und nicht etwa nach amerikanischen oder chinesischen Regeln. Versprochen wird nicht weniger als 'vertrauenswürdige und souveräne digitale Infrastruktur für Europa'" (https://www.georgstreiter.de/ziemlich-viel-usa-und-china-in-der-europa-cloud/).

Seit dem Start ist beispielsweise der US-Konzern Palantir an GAIA-X beteiligt.

PALANTIR

Der US-Software-Anbieter ist bei Datenschützern höchst umstritten, weil er mit Geld des amerikanischen Geheimdienstes CIA gegründet wurde und mit zahlreichen Regierungen, Militärs und Geheimdiensten zusammenarbeitet. 

"Was Verkäufer einer führenden Geheimdienst-Software in den Chefetagen von Medien-Konzernen wollen und machen, kann man sich noch denken. Ob solche Verbindungen schlau sind, ist eine andere Frage – schließlich ist Karps Spezialgebiet eher die Unterstützung der Exekutive, nicht derer, die diese kontrollieren. Mit der hessischen Polizei ist er mittlerweile im Geschäft, in Nordrhein-Westfalen kurz davor".

Am 1. April 2020 berichtete der Standard von Prüfungen des Sozialministers, das US-amerikanische Unternehmen "Palantir" in die Analyse von in Österreich gewonnenen "big data" einzubinden, bzw. Softwarelösungen dieses Unternehmens zu diesem Zweck zu erwerben. Dabei handelt es sich um ein Unternehmen, welches Datenanalysetools bereitsstellt. Diese dienen zum Ordnen und Filtern von ungeheuren Datenmengen, um die jeweils gesuchte Information schnell und zielgerichtet aufzuspüren. 

Palantir arbeitet bereits seit Jahren mit der NSA sowie der CIA zusammen. Letztere investierte sogar zwei Millionen Dollar in das Unternehmen, als es noch ein Start-up war. Die deutsche "Welt" beschäftigte sich bereits 2016 eingehend mit Palantir. Auch dort sahen sich die Journalisten mit einer Mauer des Schweigens konfrontiert. Bei Palantir spricht man nicht gern über Geschäfte und Geschäftspartner. 

Einen direkten Draht zu Entscheidungsträger_innen pflegt Palantir jedoch gern. So traf auch Bundeskanzler Sebastian Kurz Anfang des Jahres während einer Reise im Silicon Valley einen Firmengründer Palantirs, zudem gab es auch Ende Jänner beim Weltwirtschaftsforum in Davos Kontakt. Neben Kontakt zu Politikern versucht Palantir auch direkt seine Hand in Richtung Politik auszustrecken. So wurde auch die ehemalige Bundesgeschäftsführerin der SPÖ, Laura Rudas, im Jahr 2015 engagiert. Palantir selbst gibt an, dass seine Dienste genutzt werden könnten, um beispielsweise die Verbreitung zu analysieren, oder um Vorhersagen zu treffen – etwa, ob die Ausstattung eines Krankenhauses knapp zu werden droht.

Die aktuelle Krise rund um COVID-19 rückt die Produkte Palantirs nun in den Fokus des Interesses zahlreicher Regierungen. Laut der Nachrichtenagentur Bloomberg steht Palantir mittlerweile mit mehreren Staaten bezüglich ihrer Produkte in Kontakt, darunter Frankreich, Deutschland und die Schweiz. In Großbritannien sowie in zwei deutschen Bundesstaaten ist Software von Palantir bereits im Einsatz. 

DSIRF

Die absehbaren Probleme des Projekts GAIA-X: "Wie gestaltet man eine „vertrauenswürdige und souveräne digitale Infrastruktur für Europa“ mit Partnern, zu denen man eigentlich die europäische saubere Alternative sein will? Ist das Versprechen europäischer Souveränität ohne die Giganten aus den USA oder China überhaupt zu halten? Gibt es in Europa keine Alternativen? Sind wir technisch so zurückgefallen, dass wir den Rückstand gar nicht mehr aufholen können? Eine der wenigen Firmen, von denen man in diesem Zusammenhang noch etwas erwarten kann, ist die Wiener Software-Werkstatt des in der Schweiz ansässigen Unternehmens DSIRF („Decision Supporting Information Research and Forensic“ – Entscheidungsunterstützende Informationsforschung und Forensik)", meinen manche Stimmen (https://www.georgstreiter.de/ziemlich-viel-usa-und-china-in-der-europa-cloud/).

Doch was kann man von DSIRF wirklich erwarten? Denn es soll Florian Stermann, der Generalsekretär der Österreichisch-Russischen Freundschaftsgesellschaft (ORFG) laut Focus-Recherchen Ende August 2018 eine Mail an Jan Marsalek übermittelt haben, in dem „wie besprochen“ der „liebe Jan“ eine Filmpräsentation von DSIRF erhielt. Letztlich boten die vermeintlichen IT-Cracks ein spezielles Hacking-Tool namens „Subzero“ an. Es handelt sich um Dienstleistungen, die in der EU so gut wie nicht legal zu erbringen sind." Laut Homepage der DSIRF GmbH sind vor allem Regierungen potenzielle Kunden (https://www.focus.de/politik/vorab-aus-dem-focus-volle-kontrolle-ueber-zielcomputer-das-raetsel-um-die-spionage-app-fuehrt-ueber-wirecard-zu-putin_id_24442733.html).

Ausgewählte potenzielle Kunden erhalten exklusive Präsentationen – wie die in der Mail an Marsalek. "Mit einem „Computer-Überwachungswerkzeug“ auf dem „letzten Stand der Technik“ verspricht DSIRF darin die „volle Kontrolle über Zielcomputer“ und den „kompletten Zugang zu allen Passwörtern“. Regierungen würden damit alle Daten zur Verfügung stehen, die sie zu lückenloser Überwachung bräuchten. Dreißig hoch qualifizierte Mitarbeiter hätten zudem Kenntnisse im Bereich Datendiebstahl, Informationskriegstechniken sowie in beeinflussendem politischem Campaigning.

Matthias Marx, Sprecher des Chaos Computer Clubs (CCC), meint: 'Solche Angebote richten sich häufig an staatliche Akteure. Vergleichbare Programme wie die von DSIRF werden genutzt, um Journalisten, Menschenrechtsaktivistinnen und Oppositionelle zu überwachen.'“

Florian Stermann pflegte auch intensiven Kontakt zu Johann Gudenus, der ebenfalls im Vorstand der ORFG war - dies genau in der Zeit, als Herbert Kickl vonseiten der FPÖ den Innenminister stellte. Für Gudenus machte Stermann einen "World Compliance Check" der am für H.C. Strache und Gudeuns verhängnisvollen Abend auf Ibiza anwesenden "Oligarchennichte". Der erste Firmensitz des 2016 gegründeten Unternehmens war laut Tagesanzeiger wiederum ein Loft im siebten Wiener Gemeindebezirk, das einem prominenten Politiker gehört haben soll: Dem damaligen Kanzler Christian Kern (SPÖ) (https://www.tagesanzeiger.ch/spionagefirma-bietet-gesichtserkennung-von-shoppern-an-467623717263). Als Referenzkunden werden in DSIRFs Präsentation unter anderem Rene Benkos Signa Retail angegeben. Auch "Russian Machines", ein Unternehmen des Oligarchen Oleg Deripaska, soll die Dienste von DSIRF in Anspruch nehmen. Als Vertrauter von Deripaska gilt wiederum der mächtige heimische Unternehmer Siegfried "Sigi" Wolf, der Altkanzler Sebastian Kurz in Wirtschaftsfragen berät.

Der Schutz des Staatsgebiets stellt eine der zentralen Aufgaben des Staats dar. Konnte man vor einigen Jahren noch anhand der Topographie des Staatsgebiets dessen Grenzen abstecken, ist dies in einer globalisierten und vernetzten Welt nicht mehr auf das physische Erscheinungsbild begrenzt. Damit wird es immer mehr zur Aufgabe des Staats, seine Bevölkerung und damit auch sich selbst vor elektronischen Angriffen zu schützen. Ähnlich wie die Diskussion rund um die Frage der Anschaffung von 5G Technologie aus China, sollte auch in diesem Zusammenhang die Frage gestellt werden, ob Technologie aus den USA mit klarem Nahebezug zur CIA, sowohl datenschutzrechtlich im Interesse der Bürger_innen als auch strategisch im Sinne Österreichs und auch im weiteren Sinne im strategischen Interesse Europas liegen kann.   

Neben den offensichtlichen Vorteilen für Nutzer derartiger System müssen gerade im Zusammenhang mit Überwachungssoftware eventuelle Schlupflöcher bis hin zum unerkannten Abfluss von Daten an fremde Mächte mitbedacht werden. Der Vertrauenswürdigkeit und Herkunft von Geschäftspartnern in diesem Feld ist daher erhöhtes Augenmerk zu schenken. 

Die unterfertigten Abgeordneten stellen daher folgende

Anfrage:

1. PALANTIR: Ist Ihnen die Entstehungsgeschichte des Unternehmens Palantir bekannt?
2. Gab es in Ihrem Ressort Überlegungen zum Einsatz derartiger Datenanalysetools in Österreich?

1. Wenn ja, wann und mit welchem Ergebnis?

3. Gab es Gespräche mit Vertreter_innen von bzw. Vermittler_innen für Palantir?

1. Wenn ja, wann und mit welchem Ergebnis?

4. Waren Sie oder Personen aus Ihrem Ressort bzw. aus Kabinett oder der Generalsekretär zu Palantir im Gespräch mit Ex-Bundeskanzler Sebastian Kurz?

1. Wenn ja, wann und mit welchem Ergebnis? 

5. Hatten Vertreter_innen Ihres Ministeriums Kontakt zu Vertreter_innen von bzw. Vermittler_innen für Palantir?

1. Wenn ja, wer hatte Kontakt, wenn auch nur elektronischer oder telefonischer Natur (ersuche um Nennung der Position bzw. Abteilung)?  
2. Wenn ja, wann fanden diese Kontaktaufnahmen jeweils auf wessen Initiative statt?
3. Wenn ja, was war bei diesen Korrespondenzen jeweils Thema? Hatten Vertreter_innen Ihres Ministeriums persönlichen Kontakt zu Vertreter_innen von bzw. Vermittler_innen für Palantir?
4. Wenn ja, wer initiierte die Treffen? 
5. Wenn ja, wann fanden die Treffen statt?
6. Wenn ja, was wurde bei diesen Treffen jeweils besprochen?
7. Wenn ja, wer vertrat jeweils das Ministerium? Sollte es Protokolle geben, ersuchen wir um Offenlegung.

6. Wurden zwischen dem Ministerium bzw. seinen Abteilungen oder Mitarbeiter_innen und Vertreter_innen von bzw. Vermittler_innen für Palantir Verhandlungen für Vereinbarungen geführt?

1. Wenn ja, was war der Inhalt dieser Verhandlungen? Wir ersuchen um vollständige Offenlegung der Vereinbarungen.

                                          i.    Insbesondere: Welche Nachforschungen wurden vor Vertragsabschluss bezüglich Palantir angestellt? Zu welchem Ergebnis kamen diese Nachforschungen?

7. Wurden zwischen dem Ministerium bzw. seinen Abteilungen oder Mitarbeiter_innen und Vertreter_innen von bzw. Vermittler_innen für Palantir Vereinbarungen getroffen?

1. Wenn ja, was war der Inhalt dieser Vereinbarungen? Wir ersuchen um vollständige Offenlegung der Vereinbarungen.

                                          i.    Insbesondere: Welche Rechte und Pflichten ergeben sich für die jeweiligen Vertragsparteien?

                                        ii.    Insbesondere: Welche Mechanismen wurden implementiert, um die jeweilige Erfüllung des Vertrages nachvollziehbar zu machen?

                                       iii.    Insbesondere: Welche Nachforschungen wurden vor Vertragsabschluss bezüglich Palantir angestellt? Zu welchem Ergebnis kamen diese Nachforschungen?

8. Waren Sie oder Personen aus Ihrem Ressort bzw. aus Kabinett oder der Generalsekretär zu Palantir im Gespräch mit Ex-Gesundheitsminister Anschober bzw. Gesundheitsminister Mückstein oder mit Wirtschaftsministerin Schramböck?

1. Wenn ja, wann und mit welchem Ergebnis? 

9. DSIRF: Gab es, insbesondere in den Jahren 2016-2020, jemals Gespräche oder sonstigen Kontakt von Seiten des BMI (somit auch des BVT) mit Vertreter_innen von bzw. Vermittler_innen für das Unternehmen DSIRF oder seine Muttergesellschaften, insb. mit Eigentümer bzw. Geschäftsführer? 

1. Wenn ja, wann?
2. Wenn ja, mit welchem Inhalt?
3. Wenn ja, wer war bei diesen Gesprächen anwesend?

10. Welche Maßnahmen haben Sie, Herr Minister, gesetzt, um dies ausschließen zu können?
11. Gab es, insbesondere in den Jahren 2016-2020, jemals Kontakt von Seiten des Kabinetts, des Ministers oder des BVT mit Florian Stermann? 

1. Wenn ja, wann zu welchem Inhalt?
2. Wenn ja, wer war jeweils anwesend?
3. Wenn nein, welche Nachfragen haben Sie, Herr Minister, angestellt, um dies ausschließen zu können?

12. Waren Sie oder Personen aus Ihrem Ressort bzw. aus Kabinett oder der Generalsekretär zu DSIRF im Gespräch mit Ex-Bundeskanzler Sebastian Kurz?

1. Wenn ja, wann und mit welchem Ergebnis? 

13. Waren Sie oder Personen aus Ihrem Ressort bzw. aus Kabinett oder der Generalsekretär zu DSIRF im Gespräch mit Ex-Gesundheitsminister Anschober bzw. Gesundheitsminister Mückstein oder mit Wirtschaftsministerin Schramböck?

1. Wenn ja, wann und mit welchem Ergebnis? 

14. Hatten Vertreter_innen Ihres Ministeriums Kontakt zu Vertreter_innen von bzw. Vermittler_innen für DSIRF?

1. Wenn ja, wer hatte Kontakt, wenn auch nur elektronischer oder telefonischer Natur (ersuche um Nennung der Position bzw. Abteilung)?  
2. Wenn ja, wann fanden diese Kontaktaufnahmen jeweils auf wessen Initiative statt?
3. Wenn ja, was war bei diesen Korrespondenzen jeweils Thema? Hatten Vertreter_innen Ihres Ministeriums persönlichen Kontakt zu Vertreter_innen von bzw. Vermittler_innen für DSIRF?
4. Wenn ja, wer initiierte die Treffen? 
5. Wenn ja, wann fanden die Treffen statt?
6. Wenn ja, was wurde bei diesen Treffen jeweils besprochen?
7. Wenn ja, wer vertrat jeweils das Ministerium? Sollte es Protokolle geben, ersuchen wir um Offenlegung.

15. Wurden zwischen dem Ministerium bzw. seinen Abteilungen oder Mitarbeiter_innen und Vertreter_innen von bzw. Vermittler_innen für DSIRF Verhandlungen für Vereinbarungen geführt?

1. Wenn ja, was war der Inhalt dieser Verhandlungen? Wir ersuchen um vollständige Offenlegung der Vereinbarungen.

                                          i.    Insbesondere: Welche Nachforschungen wurden vor Vertragsabschluss bezüglich DSIRF angestellt? Zu welchem Ergebnis kamen diese Nachforschungen?

16. Wurden zwischen dem Ministerium bzw. seinen Abteilungen oder Mitarbeiter_innen und Vertreter_innen von bzw. Vermittler_innen für DSIRF Vereinbarungen getroffen?

1. Wenn ja, was war der Inhalt dieser Vereinbarungen? Wir ersuchen um vollständige Offenlegung der Vereinbarungen.

                                          i.    Insbesondere: Welche Rechte und Pflichten ergeben sich für die jeweiligen Vertragsparteien?

                                        ii.    Insbesondere: Welche Mechanismen wurden implementiert, um die jeweilige Erfüllung des Vertrages nachvollziehbar zu machen?

                                       iii.    Insbesondere: Welche Nachforschungen wurden vor Vertragsabschluss bezüglich DSIRF angestellt? Zu welchem Ergebnis kamen diese Nachforschungen?

17. War/ist von Seiten des BMI ein Ankauf einer Software, wie sie DSIRF anbietet, geplant? 

1. Wenn ja, wann von welchem Dienstleister in welchem Umfang und mit welchem konkreten Inhalt? 

18. Auf Basis welcher Kriterien wird entschieden, welches Cybersecurity-Unternehmen für das Erbringen einer Dienstleistung für das österreichische Innenministerium in Frage kommt? 

1. Wer führt diese Überprüfung bisher durch? 
2. Wer entschied bisher unter Einbindung welcher Personen und nach Vornahme welcher Rechercheschritte über die Vertrauenswürdigkeit eines Unternehmens?
3. Welche Sicherheitsvorkehrungen bzw. Backgroundchecks nimmt bzw. nahm wer in Ihrem Haus bei der Evaluierung möglicher Firmen zur Bekämpfung, Aufklärung und Prävention von Cyberangriffen vor (bitte um genaue Auflistung)?

19. Wurde zu den genannten oder anderen Firmen, die Überwachungs- bzw. Spionagesoftware anbieten, die Einschätzung des BVT bzw. der DSN eingeholt?
    a. Wenn ja, wann und mit welchem Ergebnis?
20. Inwiefern widmete sich das BVT bzw. die DSN wann durch welche Maßnahme den genannten oder anderen Firmen, die Überwachungs- bzw. Spionagesoftware anbieten?
21. Inwiefern widmete sich das BVT bzw. die DSN wann durch welche Maßnahme den genannten oder anderen Firmen, die Überwachungs- bzw. Spionagesoftware anbieten und starken Bezug zu russischen Firmen haben?
22. Inwiefern widmete sich das BVT während der Kanzlerschaft von Christian Kern durch welche Maßnahme der Firma DSIRF aufgrund deren Untermietverhältnis zum Bundeskanzler in unmittelbarer Nachbarschaft zu dessen Wohnung?
23. Gab es dabei eine Zusammenarbeit mit dem Heeresnachrichtendienst?

1. Wenn ja, wann inwiefern und mit welchem Ergebnis?

24. Wurde Anzeige gegen die genannten oder andere Firmen, die Überwachungs- bzw. Spionagesoftware anbieten, wegen der Verdachts von Spionage oder anderer Delikte eingebracht?

1. Wenn ja, wann von wem und mit welchem Ergebnis?

25. Wurden Ermittlungen gegen die genannten oder andere Firmen, die Überwachungs- bzw. Spionagesoftware anbieten, aufgenommen?

1. Wenn ja, wann von wem und mit welchem Ergebnis?

26. Ist bei der Financial Intelligence Unit (FIU) des BMI eine Geldwäsche-Verdachtsmeldung im Zusammenhang mit den genannten oder anderen Firmen, die Überwachungs- bzw. Spionagesoftware anbieten,  eingegangen?

1. Wenn ja: Wann ist diese Verdachtsmeldung eingegangen? 
2. Wenn ja: Welche Maßnahmen wurden seitens der FIU in der Folge wann jeweils gesetzt? 

27. Wurden seitens der FIU des BMI hinsichtlich der genannten oder anderer Firmen, die Überwachungs- bzw. Spionagesoftware anbieten, Ermittlungsschritte gesetzt?

1. Wenn ja: Welche Ermittlungsschritte wurden wann gesetzt? 
2. Wenn nein: Wieso wurden keine Ermittlungsschritte gesetzt? 
3. Wenn nein: Läuft derzeit noch eine Prüfung, ob Ermittlungsschritte zu setzen sind oder nicht? 

                                          i.    Wenn ja: Wann wird diese Prüfung voraussichtlich abgeschlossen sein? 

28. Wurden seitens des BMI anderweitige Ermittlungsschritte im Zusammenhang mit den genannten oder anderen Firmen, die Überwachungs- bzw. Spionagesoftware anbieten, gesetzt? 

1. Wenn ja: Welche Ermittlungsschritte wurden wann gesetzt?

29. Gibt es Liegenschaften des Ministeriums oder ihm nachgelagerter Dienststellen, auf denen Systeme der DSIRF zum Einsatz kommen?

1. Wenn ja: Um welche Liegenschaften handelt es sich?
2. Wenn nein: Gab es Gespräche mit dem Hersteller bezüglich des Einsatzes seiner Systeme, die nicht zu einem Abschluss führten?

30. Gibt es öffentliche Orte oder Orte im Einflussbereich des Ministeriums oder ihm nachgelagerter Dienstellen, auf denen Systeme der DSIRF zum Einsatz kommen?