26. September 2015
NSA-Überwachungsskandal
Gentlemen lesen die Post anderer Gentlemen nicht
„Nach Ansicht der Bundesregierung haben die inzwischen eingestellten Ermittlungen gegen zwei Journalisten des Blogs Netzpolitik.org wegen Landesverrats erst durch die Diskussion in den Medien „politische Bedeutung“ erlangt, heißt es in der Meldung des Deutschen Bundestages zur Antwort auf die Kleine Anfrage der Fraktion Bündnis90/Die Grünen vom 7. September 2015 (BT-Drs. 18/5859 bzw. 18/5739). Die Bundesregierung bestätigte damit das, was spätestens mit der Veröffentlichung des Buches Der NSA-Komplex durch zwei Spiegel-Journalisten, Marcel Rosenbach und Holger Stark, klar sein dürfte: Die Medien – und zunehmend die Onlinemedien – haben ihre Rolle als vierte Staatsgewalt gefestigt, gerade dort, wo Sicherheit und Freiheit im Clinch liegen. Und oft auch dort, wo die Politik sich durch Deregulierung und Verrechtlichung ihrer Instrumente entledigt hat, mit denen sie die technische, wirtschaftliche und soziale Beschleunigung beeinflussen könnte.
Rosenbach und Stark analysieren in ihrem Buch die Snowden-Akten, decken Skandale auf – und stellen die Unternehmen, die durch unzureichende Sicherheitsmaßnahmen auffallen oder lässige Sicherheitspolitik betreiben, an den Pranger. Oder solche, die der (Sowden-)Aktenlage nach gehackt wurden. Die Enthüllungen Snowdens haben nicht nur den Regierungen das Ausmaß der von der National Security Agency (NSA) betriebenen Spionage gezeigt. Sie ernüchtern auch die „Wir-sind-gut-aufgestellt“-Wirtschaft, die in der Affäre entweder die Rolle der Mittäter aktiv angenommen hatte oder instrumentalisiert wurde. Die Tatsache, dass es in einer Firma keine bekannten Sicherheitsvorfälle gibt, sei noch lange kein Grund, übermütig zu sein, warnen die Autoren. Wahrscheinlicher sei es, dass die Attacken unbemerkt erfolgten und die Angreifer ihre Spuren erfolgreich verwischt haben. Das mussten auch einige deutsche Unternehmen nach der Veröffentlichung des Buches feststellen. Die dort von der NSA als gehackt oder ausgespäht vermerkten Unternehmen erfuhren häufig erst von den Spiegel-Journalisten über die NSA-Aktivitäten in ihren internen IT-Systemen und konnten vielmals weder feststellen, wie in ihre Netze eingedrungen worden war, noch was dabei „mitgenommen“ oder ausgespäht wurde.
Das Quantum-Abrakadabra
Die einfachste Erklärung für diese Vorfälle lautet, dass die NSA entweder über Zauberkräfte oder mindestens Technologien der Zukunft verfüge, die der Magie nahekämen. Hysterisch berichtete die Presse darüber, dass die NSA inzwischen über einen Quantumcomputer verfügt.
Die Buchautoren verdeutlichen, was tatsächlich hinter der „Quantumtheory“ der NSA steht, und zwar keine Quantencomputer oder Quantentheorie. Es handelt sich vielmehr um eine Reihe ähnlicher Verfahren, mit Namen wie QuantumHand, QuantumBiscuit oder QuantumInsert. Das besonders bekannte Verfahren ist die Angriffstechnik QuantumInsert, die – einer Spam-Mail ähnlich – durch die Umleitung des Webverkehrs auf eine nachgebildete Webadresse den Rechner mit einer Schadsoftware infiziert. Es ist eine sogenannte Man-on-the-side-Attacke, jedoch um ein Mehrfaches effektiver als die Spam-Mail. Der Angreifer nutzt die Zeitspanne aus, welche zwischen dem Aufruf einer Website durch den Nutzer und der Antwort des Webservers entsteht, um eine präparierte Website dazwischenzuschalten und mit ihrer Hilfe Schadsoftware einzuschleusen. Diese Methode soll zum Ausspähen der OPEC-Mitarbeiter eingesetzt worden sein; über den Angriff auf individuelle Rechner erlangte die NSA Zugang zum internen Netzwerk der OPEC und Zugriff auf ihre Datenbanken.
Je mehr man über die Methoden der Amerikaner erfährt, umso eher bestätigt sich der Eindruck, dass, wie es der amerikanische Sicherheitsguru, Bruce Schneier, schrieb, „[…] the NSA is not made of magic“. Keine Magie, keine Zauberkünste, Nihil Novi: Auch die NSA koche nur mit Wasser. Ihre Tools seien einfach besser finanziert, behauptet Schneier. Und in den Unternehmen, die erfolgreich ausgespäht wurden, gibt es offenbar Sicherheitslücken, die die Angriffe ermöglicht haben.
0,5-Promille-Erfolgsquote
Die NSA verfügt über keine magischen Technologien. Sie war offenbar auch nicht an fortgeschrittener deutscher Technologie interessiert. Der BND sollte, laut britischem Geheimdienst, der im Auftrag der NSA das Glasfaserkabel an der britischen Westküste „anzapft“, den Briten und Amerikanern bei der Massendatenerfassung vorangehen. „Während sie selbst die vorbeirauschenden Daten mit einer maximalen Geschwindigkeit von zehn Gigabit pro Sekunde erfassen könnten, schaffte der BND bereits ein Volumen von 40 bis sogar 100 Gigabit pro Sekunde“, zitieren Rosenbach und Stark aus den Unterlagen. Und dennoch waren weder die NSA noch die Government Communications Headquarters (GCHQ) an dem Einsatz der deutschen Technologie interessiert. Der BND bekam einen Korb.
Bis dato konnte weder bestätigt noch widerlegt werden, ob Internetknoten in Deutschland durch die NSA ausspioniert wurden. Und in welchem Umfang die deutschen Geheimdienste beim Abhören deutscher und europäischer Ziele mitgewirkt haben. Im Rahmen der Befragung bestritt kürzlich ein Zeuge – ein Mitarbeiter des BND – vor dem NSA-Untersuchungsausschuss, dass bei der Überwachung des satellitengestützten Datenverkehrs in der Abhöranlage in Bad Aibling Erkenntnisse über europäische Ziele gewonnen und ausgewertet worden wären. Er bestätigte des Weiteren, dass die im Jahr 2005 von den USA gelieferten „Selektoren“ (Suchkriterien) vom BND intensiv unter dem Aspekt des Artikel 10 des Grundgesetzes geprüft worden seien, wobei es „um den Schutz deutscher Grundrechtsträger vor einer Ausspähung“ ginge. Bei der Menge des Datenflusses – in Bad Aibling würden 200 Nachrichtensatelliten und insgesamt 100.000 Kommunikationskanäle überwacht – und der Priorität der Auswertung, die gewiss nicht auf der Beobachtung europäischer Ziele läge, sei es nicht verwunderlich, dass sie keine praktische Rolle bei der Gewinnung von Erkenntnissen gespielt hätten. „Insgesamt betrage der Anteil verwertbarerer Ergebnisse nur 0,5 Promille“, heißt es in der Meldung des Bundestages vom 11. September 2015.
Die Nachahmer
An den offensichtlichen Ineffizienzen der Massendatenauswertung scheint man sich in Deutschland allerdings nicht zu stören. Wie die Netzpolitik.org-Journalisten berichteten, arbeitet der Verfassungsschutz (BfV) daran, massenhaft öffentlich zugängliche Internetinhalte – darunter aber auch Kontaktlisten und Beziehungsgeflechte in sozialen Netzwerken wie Facebook – zu erheben und auszuwerten. Damit sollte das Ziel verfolgt werden, „bislang unbekannte und nicht offen erkennbare Zusammenhänge zwischen einschlägigen Personen und Gruppierungen im Internet festzustellen“*, heißt es in den auf Netzpolitik.org veröffentlichten Dokumenten des BfV. Die Praxis des Verfassungsschutzes, die Massendatenauswertung der NSA in Deutschland nachzuahmen, stößt auf Kritik. Weswegen vermutlich die Behörde viel Wert darauf legte, dass Informationen darüber nicht an die Öffentlichkeit gelangten und sie mit dem Status eines „Staatsgeheimnisses“ belegte. Den beiden Blog-Journalisten brachte die Veröffentlichung der brisanten Informationen eine Strafanzeige wegen Landesverrats ein (die Ermittlungen wurden inzwischen eingestellt).
Nihil Novi
Von der ganz gewöhnlichen Technik mal abgesehen, gelang der NSA dafür ein wahres juristisches Glanzstück. Dabei soll die Wirtschaft selbst der Ideengeber gewesen sein. Die Industrie zwang gewissermaßen die NSA, „die Industrie mittels gerichtlicher Verfügungen zu zwingen“, die Behörde zu unterstützen. Die FISA Amendments Act (FAA) gewährte in ihren wichtigsten Teilbestimmungen jedem Telekommunikationsunternehmen, das an der Überwachung partizipierte, Immunität. Keiner der privatwirtschaftlichen Partner der NSA musste demnach strafrechtliche oder Schadensersatzklagen fürchten.
Wie kann es also sein, dass eine Behörde, die kaum über fortgeschrittene Technologien verfügt, über Jahre hinweg die Organisationen des privaten und öffentlichen Rechts ausgespäht hat? In dem Buch zeigen die Autoren einige mögliche Antworten auf. Es wird schnell klar, dass die ehrenhafte Aussage des US-amerikanischen Außenministers Henry Stimson – „Gentlemen lesen die Post anderer Gentlemen nicht“ – für die NSA nicht gilt.
* zur Sinnhaftigkeit des Big Data Mining lies auch: Big Data: Nummerokratie III — Algorithmen contra Datenschutz
Der NSA-Komplex. Edward Snowden und der Weg in die totale Überwachung. Autoren: Marcel Rosenbach, Holger Stark Deutsche Verlags-Anstalt, 2014