Computer Sciences Corporation (CSC) ein „Digital Blackwater“?

Gerd R.Rueger

Der BigBrotherAward 2014 in der Kategorie Wirtschaft ging an den IT-Konzern Computer Sciences Corporation, kurz CSC. Der US-Konzern Computer Sciences Corporation (CSC), bei dem selbst Bundesbehörden ihre Daten und die ihrer Bürger pflegen lassen, obwohl die Verbindungen von CSC zur US-Geheimdienstwelt keineswegs geheim sind. Sogar den Staatstrojaner ließ der deutsche Michel beim US-Unternehmen validieren. CSC bemüht sich bisweilen allerdings auch um Datenschutz – etwa zugunsten der CIA, der CSC ihren Flieger für diskrete Folterflüge in Osteuropa zur Verfügung stellte. Michael Hayden, früherer CIA- und NSA-Direktor, nannte diese Firmen begeistert „Digital Blackwater“.

Rolf Gössner, Foto: Matthias Hornung, CC-BY

Die Firma CSC agiert nicht nur in der Informationstechnik, sondern auch in der Luftfahrt, betreibt über ein Subunternehmen Charterflüge der besonderen Art -als Vertragspartner der CIA bei dessen Entführungsflügen. So lautet die Anklage anlässlich der Verleihung des Negativpreises Big Brother Award an CSC. Für das Fluggeschäft habe das Unternehmen 2003 die Tochterfirma DynCorp erworben und als Generalunternehmer im Auftrag der CIA Flüge in Foltergefängnisse organisiert. Anfang 2004 wurde so auch der deutsche Staatsbürger Khaled el-Masri entführt. Britische Wissenschaftler haben eine Datenbank mit diesen Flügen erstellt, die auch deren Betreiber auflistet, und zeigen, dass eigens für diese Flüge Tarnfirmen geschaffen wurden und hinter vielen dieser Scheinunternehmen stehe CSC. „Daten sind das nächste Schlachtfeld“, wirbt das IT-Unternehmen. Der Konzern übernimmt für US-Geheimdienste noch andere Aufträge. So ist er federführend am Projekt Groundbreaker für die NSA beteiligt. In dem zwei Milliarden US-Dollar teuren Projekt soll vor allem ein neues Computer- und Telefonnetz für den US-Geheimdienst geschaffen werden, so ND.

Fazit: Die Bundesregierung muss die Verträge mit CSC unverzüglich kündigen.

Die Begründungs-Rede der BBA-Laudatorin Rena Tangens:

„CSC ist so etwas Ähnliches wie die outgesourcte EDV-Abteilung der amerikanischen Geheimdienste CIA und NSA. In Deutschland ist er vertreten durch eine Niederlassung in Wiesbaden, die „CSC Solutions Deutschland GmbH“ und erledigt Aufgaben für die Bundesregierung – doch schauen wir erst mal auf das Geschäftsgebaren unseres Preisträgers international.

Seit Jahren bereits beauftragen die USA private Firmen mit Einsätzen in Kriegsgebieten. Den Namen der bekanntesten und besonders verrufenen Firma – Blackwater1 – haben Sie vielleicht schon einmal gehört. Weniger bekannt ist, dass auch die Geheimdienste der USA im großen Stil heikle Aufgaben an kommerzielle Firmen auslagern. Das sind die sogenannten „Private Intelligence Contractors“. Michael Hayden, früherer CIA- und NSA-Direktor, nannte diese Firmen begeistert „Digital Blackwater“.

„Digital Blackwater“

Einer dieser Auftragnehmer ist CSC – Computer Sciences Corporation. Und zwar einer der großen. CSC hat unter anderem ab 2001 das interne Kommunikationssystem der NSA ganz neu aufgebaut (Operation Groundbreaker) und bei der Gelegenheit auch gleich Mitarbeiter von der NSA übernommen.

Ab 2003 war CSC auch noch in einem keineswegs digitalen, sondern ganz handfesten Geschäftsbereich tätig: Entführungen. Mit ihrer im März 2003 gekauften Tochterfirma DynCorp organisierte CSC als Generalunternehmer im Auftrag der CIA die Flüge für den verdeckten Transport von gekidnappten Terror-Verdächtigen in Foltergefängnisse in Rumänien, Litauen, Afghanistan und so weiter – kreuz und quer durch die Welt und außerhalb jeder rechtsstaatlichen Gerichtsbarkeit. Anfang 2004 wurde so auch Khaled el-Masri entführt, ein deutscher Staatsbürger. Er wurde monatelang in Mazedonien und Afghanistan festgehalten und gefoltert, obwohl bald klar wurde, dass er Opfer einer Verwechslung und völlig unschuldig war.

In CSCs eigener Darstellung liest sich dieser Geschäftszweig so: „Mit dem Kauf von DynCorp haben wir 2003 (…) die Bandbreite unseres Serviceangebots für die US-Behörden erweitert.“2

CSC hat zwar im Dezember 2004 Teile von DynCorp wieder verkauft, das Geschäft mit den Entführungsflügen blieb jedoch bei CSC und lief bis mindestens Ende 2006 weiter – das belegen Dokumente der britischen Menschenrechtsorganisation Reprieve.

CSC im Dienst der Bundesregierung

Auch die deutsche Bundesregierung nimmt das „Serviceangebot“ von CSC immer wieder in Anspruch. Für die Beratung von Bundesministerien erhielt CSC allein in den vergangenen vier Jahren 25,5 Millionen Euro; seit der Wiedervereinigung insgesamt 180 Millionen Euro.

2009 beauftragt das Bundesverwaltungsamt die deutsche CSC per Rahmenvertrag mit EDV-Dienstleistungen für Projekte von insgesamt zehn deutschen Bundesministerien: Darunter das bundesweite Waffenregister, das Meeresüberwachungssystem „Marsur“, das Einrichten von Firewalls für die Marine, der elektronische Personalausweis (nPA) oder De-Mail, der Dienst zur „sicheren“ Kommunikation mit Behörden. Anmerkung: De-Mail enthält nach wie vor keine sichere End-zu-End-Verschlüsselung für die Bürgerinnen und Bürger.

Und noch eine delikate Aufgabe: Die Bundesregierung hat CSC beauftragt, den Quellcode des „Staatstrojaners“, der von der Gamma Group3 programmiert wurde, auf Einhaltung der Leistungsbeschreibung und der rechtlichen Vorgaben zu prüfen CSC hat damit einen detaillierten Einblick in die Funktionsweise eines Werkzeugs zur heimlichen Online-Durchsuchung von Computern erhalten, den nicht einmal die Bundesregierung selbst hat.

Nun, wir wissen sicher nicht alles darüber, welche Aufgaben die „Bandbreite des CSC-Serviceangebotes“ so alles umfasste. Hier wird es wolkig, denn die Bundesregierung verschanzt sich hinter dem Betriebsgeheimnis von CSC. Und CSC vernebelt die Verantwortlichkeiten im Dickicht seiner Firmenstruktur. Im dichten Nebel ist der rauchende Colt nicht zu sehen, aber wer die Nase etwas tiefer in die Angelegenheit steckt, merkt schnell, dass es hier und da ziemlich angebrannt riecht.

Schon klar: CSC in Wiesbaden ist verständlicherweise wenig erfreut darüber, wenn man sie mit den Dienstleistungen für die US-Geheimdienste und womöglich den Entführungsflügen in Verbindung bringt.

Aber die vorgebliche Trennung zwischen der deutschen Niederlassung und dem amerikanischen Konzern ist nicht glaubhaft und dafür gibt es einige Hinweise:

Die Mailadressen auch der deutschen CSC-Mitarbeiter/innen heißen xy@csc.com – das ist die Domain der amerikanischen Mutterfirma. Das bedeutet: Sämtliche Firmen-E-Mails laufen über den amerikanischen Server des Mutterkonzerns. Auch die Webseite der deutschen Firma liegt offenbar auf der amerikanische Webpräsenz: http://www.csc.com/de

Es gibt eine konzerneigene Wissensdatenbank, Blogs und ein internes soziales Netzwerk für den Gesamtkonzern CSC, das Geschäftsführer William L. Deckelman ausdrücklich lobt, weil sich damit „auch die Mitarbeiter an entferntesten Standorten als Teil der großen Organisation fühlen können4“. Das können wir uns gut vorstellen. Und ein informeller Austausch z.B. über die Sicherheitsarchitektur der deutschen Software in der konzerneigenen Wissensdatenbank und unter Kollegen, die teilweise vielleicht zu anderen Unternehmensteilen gehören, fühlt sich auch gar nicht wie „Geheimnisverrat ins Ausland“ an – der Effekt ist aber derselbe. Die sensiblen Daten werden nicht durch geheime Aktionen gewonnen, sondern sie werden ganz normal im Rahmen des alltäglichen operativen Geschäftes generiert. Kein deutscher Mitarbeiter wird bei seinen Tätigkeiten auch nur im Ansatz an eine “Spionagetätigkeit” denken, darin besteht die Kunst moderner nachrichtendienstlicher Operationen. Die Zielsetzung der Dienste ist es nicht, Strukturen zu observieren, sondern Teil von Strukturen zu werden5.

CSC Deutschland nutzt die Referenzen aus den USA für das eigene Marketing: So berichtet die Fachzeitschrift Computerwoche6 von einer Pressekonferenz mit CSC-Vorstandschef Peter Strabel im Jahre 2002, dass die Wiesbadener CSC sich gute Chancen auf einen Auftrag bei einem Projekt der Bundeswehr ausrechne. Zitat: „Nicht zuletzt dank der traditionell guten Geschäftsbeziehung der Konzernmutter Computer Sciences Corp. zum Pentagon in Washington D.C. sehen die Hessen hier offenbar für sich gute Chancen.“

Und schließlich rühmt sich CSC selbst im deutschen Firmenprospekt7 (Erstellt 2012, 2014 auf der CeBIT verteilt) der guten Verbindungen zu staatlichen Stellen in den USA, z.B. zur Homeland Security. Und firmiert auf dem Prospekt ausschließlich als „CSC“ ohne kleinliche Zusätze wie „Solutions Deutschland GmbH“.

Als Gründungsjahr wird in diesem deutschen Prospekt 1959 angegeben (das Jahr der Gründung von CSC in den USA) und nicht 1969 (das Gründungsjahr der deutschen Ploenzke AG, die 1995 von CSC übernommen wurde).

Tja, immer so, wie es gerade passt. Einmal die kleine einzelne deutsche GmbH, dann wieder der große Konzern mit viel Erfahrung und tollen Kontakten und Referenzen.

Big Data und Business Intelligence

Noch ein interessanter Fund bei unseren Recherchen war der CSC-Prospekt zu Big Data und „Business Intelligence“, in dem die Auswertung von so genannten „unstrukturierten internen und externen Quellen“ angepriesen wird8: Internet-Foren, E-Mails, Blogs, Twitter und Facebook. Zitat: „Daten sind das nächste Schlachtfeld“.9

Die CSC-Kontaktadresse für Europa, den Nahen Osten und Afrika ist in diesem Prospekt übrigens ausgerechnet im kleinen Ort Aldershot in Großbritannien. Aldershot wird auch „Home of the British Army“ genannt – der Ort besteht zum größten Teil aus Militär. Zur Aldershot Garnison gehört auch eine militärische Abhöreinheit („Signals Intelligence“). Aber nein, diese Nachbarschaft ist bestimmt wieder total zufällig.

Doch die Bundesregierung dementiert, dass bei CSC irgendetwas nicht in Ordnung wäre. Zitat aus einer Meldung auf der Website des Bundestages10:

„Die CSC Deutschland Solutions GmbH habe vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA stehe. ‚Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig. Die CSC Deutschland Solutions GmbH würde organisatorisch und personell völlig getrennt von CSC NPS operieren, es bestünde wechselseitig keinerlei Einblick in die Verträge und Tätigkeiten‘, heißt es in der Antwort der Bundesregierung.

Sie habe keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH ‚in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat‘, führt die Regierung weiter aus.“

Wie würden Sie entscheiden?

Hand aufs Herz: Würden Sie „Die Firma GmbH“ mit der der Absicherung Ihres Hauses gegen Einbruch betrauen, wenn Sie wüssten, dass die auch für die Mafia arbeiten? Wahrscheinlich nicht.

Wenn „Die Firma GmbH“ nun beteuern würde, dass die mit den Mafiakontakten ein anderer Geschäftszweig seien, würde Sie das beruhigen? Wahrscheinlich nicht.

Und wären Sie so blauäugig anzunehmen, dass „Die Firma GmbH“ „nein!“ sagen würde, wenn ihr Mutterkonzern „Die Firma Corporation“ etwas über die Einbruchsicherung der deutschen Kunden wissen will? Wahrscheinlich nicht.

Unsere Bundesregierung dagegen sagt: „Dem Bundesverwaltungsamt waren bei Abschluss der Verträge mit CSC Deutschland Solutions GmbH im Jahr 2009 keine Vorwürfe gegen deren US-amerikanischen Mutterkonzern bekannt“. Dabei ist seit über zehn Jahren öffentlich bekannt, dass CSC für die NSA arbeitet11. Die NSA selbst hat im August 2001 offiziell verkündet, dass CSC den Zuschlag für die NSA-interne Kommunikation erhalten hat – „Project Groundbreaker“, ein 10-Jahres-Vertrag und 2-Milliarden-Dollar-Deal, der die Börsennachrichten bewegte.

Die Bundesregierung erklärte in einer Antwort auf eine kleine Anfrage, CSC habe mit dem Vertrag eine Sicherheitserklärung unterschrieben, dass sie keine Informationen weitergeben. Na, dann ist ja alles gut.

Wir fragen, wem die Firma im Zweifelsfall wohl mehr Loyalität entgegenbringen wird: dem deutschen Staat oder dem wichtigsten Kunden ihres Gesamtkonzerns, also den US-Behörden?

Und selbst, wenn die Firma vor 10 Jahren noch niemandem in Berlin negativ aufgefallen sein sollte: Im September 2011 berichtete die Nachrichtenagentur AP erstmals über CIA-Folterflüge mit Hilfe der Computer Sciences Corporation. Wäre es da für unsere Regierung nicht an der Zeit gewesen, die Grundlage für den Rahmenvertrag mit CSC kritisch zu prüfen?

Zero Tolerance for Torture – nicht bei CSC

Die britische Menschenrechtsorganisation Reprieve forderte CSC 2012 auf, eine Erklärung zu unterschreiben, dass sie in Zukunft keine Geschäfte mit Entführungsflügen und Folter machen werden – „Zero Tolerance for Torture“. CSC lehnte dies schriftlich ab. Und verwies auf ihr Corporate Social Responsibilty Program. Das sei doch bereits bestens geeignet, den Wert der Firma für die Aktionäre, Kunden, Communities und Angestellten zu mehren – in dieser Reihenfolge. Und da sei kein Platz für solche „special interest“-Geschichten – wie das Versprechen, keine Geschäfte mehr mit Folter zu machen. In CSCs Corporate Social Responsibility Programm steht allerdings nur etwas über Mindestlohn und das Verbot von Kinderarbeit und körperlicher Züchtigung ihrer Angestellten – nichts aber über die Art der Aufträge, die CSC annimmt.12

Der Rahmenvertrag des Bundesverwaltungsamtes mit CSC wurde von der Bundesregierung nicht offen gelegt. Wir wissen also nicht, was da drin steht. Erst recht wissen wir nicht, welche informellen Vereinbarungen zwischen der deutschen CSC und ihrem amerikanischen Mutterkonzern bestehen. All das fällt unter ihr Betriebsgeheimnis.

Organisierte Verantwortungslosigkeit

Wir fordern: Die Bundesregierung muss die Verträge mit CSC unverzüglich kündigen! Nein, wir wollen nichts über das komplexe Vergaberecht hören und dass die EU schuld sei. Wenn es der Bundesregierung ein Anliegen wäre, würde sie Wege finden, aus den Verträgen auszusteigen. Und es geht uns nicht nur um CSC, sondern um die anderen Private Intelligence Contractors wie Booz Allen Hamilton und Konsorten.

Wir fordern: Aufnahme von ethischen Kriterien in die Vergaberichtlinien – eine Firma, der Shareholder Value wichtiger ist als grundlegende Menschenrechte, sollte keine Aufträge von unserem Staat bekommen.

Zu tadeln sind die Bundesregierung und das Bundesverwaltungsamt, die diesen Rahmenvertrag an CSC vergeben haben, ohne vorher Auskünfte über die Verflechtungen der Firma einzuholen und deren Verbindungen zu anderen Auftraggebern zu prüfen. Und die auch weiterhin mit CSC arbeiten wollen.

Den BigBrotherAward allerdings bekommt CSC – denn die Private Intelligence Contractors müssen ins Licht der Öffentlichkeit, raus aus der organisierten Verantwortungslosigkeit. Dazu wollen wir beitragen.

Herzlichen Glückwunsch zum BigBrotherAward 2014, CSC!

Anmerkungen:

1 Wobei Blackwater offenbar ihre Bekanntheit zuviel wurde, seither zweimal den Namen gewechselt hat und inzwischen “Academi” heißt. http://de.wikipedia.org/wiki/Academi

2 „Major acquisition activity to expand competencies and industry expertise continues. In 2003, CSC’s acquisition of DynCorp expanded our federal employee base by more than 20,000 and broadened the scope of our service offerings to the U.S. federal government.” http://www.csc.com/ca_en/ds/11412/13354-about_csc

3 Auch die Gamma Group hat schon einen BigBrotherAward erhalten: https://www.bigbrotherawards.de/2012/.tec

4 Profilemagazine: Changemaker: Working hard and fostering change with Computer Sciences Corp.’s William L. Deckelman, As told to Lynn Russo Whylly.

Zitat: “Knowledge management is the glue that holds a lot of these things together. We’ve done a lot with our own internal website. We use blogs and other collaboration and knowledge management tools to help people—especially those in far-reaching places—feel more like a single organization.”

Changemaker

5 Sinngemäßes Zitat aus Thomas Stadlers Blog internet-law, Kommentar von derweissblaue http://www.internet-law.de/2013/11/oeffentliche-auftraege-an-amerikanische-spionageunternehmen.html

6 http://www.computerwoche.de/a/csc-ploenzke-profitiert-vom-outsourcing,530129

7 https://digitalcourage.de/sites/default/files/media/ueberwachung/cebitprospekt.pdf

8 “It’s no longer a simple matter of relying on traditional sources, such as the structured data that’s held in ERP systems. Now, an organization needs the ability to derive intelligence from internal and external sources and from structured and unstructured data. These sources of unstructured data include not just the emails and calls that come into an organization, but also rich data from blog and forum threads, trending topics on Twitter, video, machine data and perhaps even conversations on Facebook.”

9 “With competitive pressures mounting daily, and with more traditional sources of competitive advantage largely table stakes, organisations are searching for new ways to get ahead. Data is the next battle ground. Or more accurately, actionable insights.”

10 Auftragsvergabepraxis bei CSC Deutschland. Antwort – 04.02.2014. http://www.bundestag.de/presse/hib/2014_02/2014_053/02.html

11 Siehe z.B. hier: Corpwatch: US: Company Seeks to Reassure NSA on Groundbreaker, by Patience Wait, Washington Technology, August 13th, 2001 http://www.corpwatch.org/article.php?id=11124 und hier: GCN – Technology, Tools and Tactics for the Public Sector: At NSA, mum’s the word on Groundbreaker’s details, By Dawn S. Onley Aug 10, 2001 http://gcn.com/articles/2001/08/10/at-nsa-mums-the-word-on-groundbreakers-details.aspx

12 Zitat aus CSCs Antwort an Reprieve: „However, CSC’s Board of Directors and executive leadership have a corporate responsibility program that fosters CSC’s growth by promoting and increasing the value of the company to its shareholders, clients, communities and employees. As such, individual pledges on specific topics, such as requested in your letter, are not within the framework of CSC’s corporate responsibility program.”