Bundesamt für Sicherheit in der Informationstechnik, 53175 Bonn Bundesamt für Sicherheit in der Bundesministerium des Innern                                                                                             Informationstechnik und für Heimat Staatssekretär Dr. Richter                                                                                               Godesberger Allee 185-189 53175 Bonn Abteilungsleiter CI Könen Alt-Moabit 140                                                                                                           Postanschrift: 10557 Berlin                                                                                                             Postfach 20 03 63 53133 Bonn Tel. +49 228 99 9582- Fax +49 228 99 10 9582- Betreff: Richtigstellung zur Berichterstattung über die CC-                                                              referat-bl24@bsi.bund.de Zertifizierung Protelion/Infotecs ViPNet Crypto Core 2.0 www.bsi.bund.de Bezug: Initiativbericht Geschäftszeichen: BL 24 - 001 00 08 Berichterstatter/in: Datum: 13.10.2022 Seite 1 von 4 Sehr geehrte Damen und Herren, anlässlich der aktuellen Berichterstattung vom 13. Oktober 2022 über Protelion/Infotecs und das Zertifizierungs- und Widerspruchsverfahren zu „ViPNet Crypto Core 2.0“ übersendet das BSI mit diesem Bericht weitere Informationen zur Aufklärung und Richtigstellung der Sachlage. Wir hoffen, damit zur Einordnung und Entkräftung der einhergehenden erhobenen Vorwürfe gegen das Amt und seinen Präsidenten beitragen zu können. Berichterstattung zum Zertifizierungsverfahren ViPNet Crypto Core 2.0: 1. Das Verfahren läuft bis heute. (Zeit Online, Ingo Malcher und Yassin Musharbash, 13. Oktober 2022, 6:01 Uhr) 2. Das BfV teilte seine Bedenken 2019 mit dem BSI und versuchte, eine Beendigung des Zertifizierungsverfahrens zu erreichen. Doch es drang damit beim BSI nicht durch, das BSI beharrte auf seiner Prüfzuständigkeit und darauf, dass es um eine technische Prüfung gehe. Erst als das BfV das BMI ins Bild setzte, „kam Bewegung in die Angelegenheit.“ (Zeit Online, Ingo Malcher und Yassin Musharbash, 13. Oktober 2022, 6:01 Uhr) 3. Das BfV wurde daraufhin beim BSI vorstellig, wies auf die Sicherheitsbedenken hin und versuchte, eine Beendigung des Zustell- und Lieferanschrift: Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 185-189, 53175 Bonn

Seite 2 von 4 Zertifizierungsverfahrens zu erreichen. Doch das BfV drang damit beim BSI zunächst offenbar nicht durch. (Tagesschau Online, Georg Heil und Daniel Laufer, 13.Oktober 2022 06:20 Uhr) Zu den Berichterstattungen: 1. Keines der beiden Verfahren, Zertifizierung oder Widerspruch, wird im BSI weiter betrieben. Das Zertifizierungsverfahren nach Common Criteria zu „ViPNet Crypto Core 2.0“ ist mit Ablehnung des Zertifizierungsantrags abgeschlossen. Das BSI prüft zurzeit auch keine weiteren Zertifizierungsanträge zu dem Produkt oder anderen Produkten der Protelion/Infotecs. Ebenso ist das Widerspruchsverfahren abgeschlossen. Das BSI hat mit Widerspruchsbescheid den Widerspruch der Infotecs Security Software GmbH ablehnend beschieden und damit die die Ablehnung des Zertifizierungsantrags bekräftigt. Gegen den Widerspruch wurde keine Klage erhoben, der Bescheid ist somit seit knapp einem Jahr rechtskräftig. 2. Das BSI hat mitnichten den vom BfV geäußerten Bedenken widersprochen oder auf die Fortführung des Verfahrens mit dem Ziel der Zertifizierung beharrt.     Die     Untersagung       der     Zertifikatserteilung   aufgrund sicherheitspolitischer Belange kann ausdrücklich laut Gesetz nur durch das BMI erfolgen, vgl. § 9 Abs. 4 Nr. 2, Abs. 4a BSIG. Das BSI kann daher nicht „auf Zuruf“ von Bedenken des BfV das Verfahren vorzeitig beenden oder die Untersagung selbst aussprechen – es würde damit gleichermaßen seine Kompetenzen überschreiten und seinen Auftrag zur technischen Prüfung aus § 9 Abs. 1, 2 BSIG missachten. Es ergab sich hierfür auch keine besondere Dringlichkeit, denn es ging hier ja nicht um die Beseitigung einer bspw. zu widerrufenden, bestehenden Zertifizierung, sondern um die Bescheidung des Zertifizierungsantrags. Das BMI konnte also durchaus die Bedenken des BfV umfassend prüfen und das BSI dies abwarten, denn in der Zwischenzeit war das Zertifikat ja nicht erteilt – die längere Prüfung der Erteilung kam in ihrer Wirkung vielmehr einer Versagung als einer Erteilung, gleich. Das BSI hat nach Sichtung des Antrags beim BMI am 18.04.2019 nachgefragt, ob Sicherheitsbedenken bestehen. Mit Mitteilung vom 19.04.2018 hat BMI gegenüber BSI mitgeteilt, dass „a priori keine Sicherheitsbedenken erkenntlich“ sind. Daraufhin wurde das Zertifizierungsverfahren gestartet. Nach fernmündlicher Informationen am 09.05.2019 durch VP BfV gegenüber VP BSI, dass Gründe für eine Untersagung vorliegen könnten und geprüft würden, wurde das Zertifizierungsverfahren beim BSI nicht weiter vorangetrieben. Aufgrund der Inaktivität der Infotecs ging das BSI davon aus, dass das Verfahren von Seiten Infotecs nicht mehr weiterverfolgt wurde und nach einer Inaktivität von 12 Monaten regelmäßig eingestellt wird.

Seite 3 von 4 Überraschender Weise hat Infotecs im Winter 2019/2020 das Verfahren wieder aufgegriffen. Das BSI fragte zum Vorliegen der Untersagungsgründe daher erneut am 28.01.2020 beim BMI nach mit der Bitte um Prüfung, ob weiterhin kein öffentliches Interesse gegen die Erteilung eines Zertifikates bestünde. Dabei verwies BSI darauf, dass nach ihrer Erkenntnis zwischenzeitlich Informationen beim BfV zur Firma Infotecs vorlägen. Das BMI bat daraufhin um Initiativbericht. Als dann durch BMI, in Kenntnis gesetzt durch BfV, die Untersagung erfolgte, lehnte das BSI den Zertifizierungsantrag ab und verteidigte diese Ablehnung auch im folgenden Widerspruchsverfahren. 3. Am 09.05.2019 wurde VP BSI in einem Telefonat von VP BfV darüber informiert, dass nachrichtendienstliche Informationen zur Firma Infotecs vorliegen. Daraufhin wurde VP BSI gebeten, das BfV über das entsprechende CC-Zertifizierungsverfahren zu informieren. Von Seiten des damaligen Abteilungspräsidenten SZ wurde daraufhin mitgeteilt, dass bezüglich der Inhalte von Zertifizierungsverfahren das BSI gesetzlich (ZertO) zur Vertraulichkeit verpflichtet sei und daher dem BfV keine Informationen zu Zertifizierungsvorhaben mitgeteilt werden sollten. Im Gespräch zwischen Abteilung SZ und VP entschied die Leitung, der Bitte des BfV nach stärkerer Einbindung nachzukommen. Am 20.05.2019 informierte VP BSI daraufhin das BfV, ihrer Bitte entsprechend, telefonisch informiert und wies zudem intern an, dass im Falle einer Wiederaufnahme des Verfahren eine unmittelbare erneute Kontaktaufnahme zum BfV erfolgen solle. Aufgrund der Informationen des BfV in diesem konkreten Verfahren hat P BSI in einer gemeinsamen Sitzung mit BfV und dem damaligen Abteilungsleiter SZ entschieden, einen strukturierten Beteiligungsprozess des BfV bei Zertifizierungsanträgen zu vereinbaren und zu etablieren. Fazit Weiter wird in der Öffentlichkeit die Vertrauenswürdigkeit des BSI und seiner Leitung in Frage gestellt. Dem wird, angesichts des bereits jetzt ganz erheblichen Reputationsschadens und Vertrauensverlustes in die Arbeit des ganzen BSI durch das BMI bislang wenig entgegengetreten. Während in der Presse differenziertere Darstellungen zunehmen (z. B.Wirtschaftswoche, Der Spiegel), legt im Besonderen die aktuelle Berichterstattung über das Zertifizierungsverfahren nahe, dass das BSI vorsätzlich Warnungen anderer Behörden aus dem Geschäftsbereich des BMI missachtet habe und das Verfahren fortführe, um eine Zertifikatserteilung zu forcieren. Genau das Gegenteil zeigt aber der Umgang des BSI mit dem Verfahren tatsächlich: gerade nicht wurde – auf die unterstellten Verbindungen der

Seite 4 von 4 Protelion/Infotecs hin – durch das BSI oder seine Leitung das Zertifizierungsverfahren beschleunigt oder dem Widerspruch stattgegeben. Die Ablehnung erfolgte auf Rückfrage und in Absprache mit dem BMI über die Bedenken des BfV entsprechend der dortigen Bewertung und in Einklang mit dem gesetzlich vorgesehenen Prozess. In Hinblick auf die gesetzlichen Zuständigkeiten und Befugnisse des BSI entbehren die nunmehr aus dem Zertifizierungsverfahren abgeleiteten Vorwürfe gegen den Präsidenten des BSI und seine Mitarbeiterinnen und Mitarbeiter jeder Grundlage. Für eine Unterstützung und zutreffende Einordnung des BMI bedanke ich mich schon jetzt und stehe Ihnen für weitere Rückfragen zur Verfügung. Im Auftrag Schabhüser