Krauter: Herr Welchering, bekommt der Abwehrskandal durch die jüngsten Enthüllungen jetzt eine ganz neue Qualität?
Welchering: Er bekommt eine neue Qualität. Ob die so ganz neu ist, das muss man noch einmal sehen. Auf jeden Fall schlägt wirklich bei XKeyscore Quantität noch einmal wirklich in Qualität um. Die Datenmenge, die zur Erstellung und Analyse von Kommunikationsprofilen ausgewertet werden kann, die ist viel, viel größer als bisher angenommen. Und die ist auch viel größer, als wir das im Umfeld dieser ganzen "Prism"-Enthüllung diskutiert haben. Auch die Datensammlung übrigens, der angreifbaren Rechner in einem Land, und da gibt XKeyscore genaue Hinweise, wie... welchen Rechner man knacken kann und welche Schwachstellen ausgenutzt werden können, das gibt dem Ganzen natürlich auch eine neue Qualität. Und dass dann von 500 bis 700 Überwachungsservern auch noch einige in Deutschland stehen, das hat man bisher immer vermutet, aber das ist jetzt endlich einmal Gewissheit geworden. Ja, und dass es 150 Standorte der NSA-Überwachungsserver gibt, das ist auch neu. Die NSA, dass sie in vielen Ländern spioniert, das war jedem klar, aber 150 Standorte, das ist eben schon eine enorme Zahl. Ganz grundlegend aber für mich ist, dass mit XKeyscore Virtuelle Private Netzwerke ausfindig gemacht und damit dann auch überwacht werden können. Denn diese Virtuellen Privaten Netzwerke, die galten bisher als ziemlich sicher.
Krauter: Sie haben es vorhin schon gesagt. Diese abgekürzt VPN genannten Virtuellen Privaten Netzwerke, das war sozusagen die Insel der Seligen im Netz. Wie funktionieren die denn?
Welchering: Ja, da kommen vor allen Dingen zwei Sicherheitstechniken gleichzeitig zum Einsatz. Ganz kurz gesagt: da wird verschlüsselt und außerdem getunnelt. Das heißt, da wird ein Tunnel vom Absender durch das Internet zum Empfänger aufgebaut. Und das Tunneln besteht ganz praktisch gesehen darin, dass ich meine Datenpäckchen, die ich verschicken will, in andere Datenpäckchen einpacke, so dass meine Internetprotokolladresse nicht sichtbar ist, sondern eine andere Internetprotokolladresse sozusagen mehr oder weniger getürkt wird, also nicht meine angegeben wird, so dass nicht nachverfolgt werden kann, von wem dieses Datenpäckchen stammt. Und damit kann es eben auch nicht zurückverfolgt werden.
Krauter: Das klingt gut, aber für den Schutz vor dem Zugriff durch XKeyscore ist das offenbar nicht gut genug. Wie genau greift das Sperrprogramm den solche vermeintlich sicheren privaten Netzwerke an.
Welchering: XKeyscore zeigt den Aufbau einer solchen Virtuellen-Privaten-Netzwerkverbindung an und gibt dann auch den Eintrittspunkt des Tunnels und den Austrittspunkt dieses Tunnels an. Und an diesen beiden Punkten, also wo die Datenpäckchen in ein anderes Datenpäckchen verpackt werden, und wo die Datenpäckchen wieder aus diesen Datenpäckchen ausgepackt werden, da kann so ein Virtuelles Privates Netzwerk eben angegriffen werden. Denn vor dem Verpacken des Datenpäckchens in ein anderes, da liegt ja die Ursprungs-Internetprotokolladresse meines Datenpäckchens sichtbar vor. Und beim Austrittspunkt, wenn man da direkt beim Enttarnen eines solchen Datenpäckchens einsetzt, da kann man natürlich, wenn es gerade aus dem anderen Datenpäckchen herausgenommen wird, auch wieder die originale Internetprotokolladresse des ursprünglich transportierten Datenpäckchens sehen.
Krauter: Die Spähsoftware, wenn ich das richtig verstehe, agiert also quasi als so ein Schleusenwärter, der protokolliert, was da gerade unverschlüsselt an ihm vorbeischwimmt. Was bedeutet all das für die Industrie, die ist ja Hauptnutzer solcher Virtuellen Privaten Netzwerke. Heißt das jetzt, auch interne Kommunikation kann jederzeit belauscht werden?
Welchering: Das heißt, auch die Kommunikation, die in diesen Unternehmensnetzwerken statt findet, über Virtuelle Private Netzwerke kann jederzeit ausgewertet werden. Also wenn beispielsweise in Südamerika ein Ingenieur die Inbetriebnahme einer Turbine überwacht, dann schließt er sich normalerweise mit seinem Laptop per Virtuellem Privaten Netzwerk an das Unternehmensnetzwerk an, und was da geliefert wird, auch alle virtuellen Blaupausen, das kann da mitgelesen werden. Oder ein Computeringenieur, der irgendwo einen Supercomputer einrichtet, der wird sich dann irgendwelche Unterlagen holen, und die er sich dann holt, die können eben auch mitgelesen werden, wenn man tatsächlich an diesem Ein- und Austrittspunkt angreift und die Datenpäckchen abfängt.
Krauter: Klingt prima für Industriespione. Ist denn Abhilfe möglich, oder müssen sich nach Privatperson jetzt im auch Konzerne darauf einstellen, das letztlich gar nichts mehr geheim bleibt?
Welchering: Für Konzerne ist Abhilfe möglich. Nur muss den Eintrittspunkt dieses Tunnels eben in den PC des Absenders zurückverlegt werden. Nur das ist eben leider noch nicht ganz trivial, da muss noch ein bisschen nachgearbeitet werden.
Welchering: Er bekommt eine neue Qualität. Ob die so ganz neu ist, das muss man noch einmal sehen. Auf jeden Fall schlägt wirklich bei XKeyscore Quantität noch einmal wirklich in Qualität um. Die Datenmenge, die zur Erstellung und Analyse von Kommunikationsprofilen ausgewertet werden kann, die ist viel, viel größer als bisher angenommen. Und die ist auch viel größer, als wir das im Umfeld dieser ganzen "Prism"-Enthüllung diskutiert haben. Auch die Datensammlung übrigens, der angreifbaren Rechner in einem Land, und da gibt XKeyscore genaue Hinweise, wie... welchen Rechner man knacken kann und welche Schwachstellen ausgenutzt werden können, das gibt dem Ganzen natürlich auch eine neue Qualität. Und dass dann von 500 bis 700 Überwachungsservern auch noch einige in Deutschland stehen, das hat man bisher immer vermutet, aber das ist jetzt endlich einmal Gewissheit geworden. Ja, und dass es 150 Standorte der NSA-Überwachungsserver gibt, das ist auch neu. Die NSA, dass sie in vielen Ländern spioniert, das war jedem klar, aber 150 Standorte, das ist eben schon eine enorme Zahl. Ganz grundlegend aber für mich ist, dass mit XKeyscore Virtuelle Private Netzwerke ausfindig gemacht und damit dann auch überwacht werden können. Denn diese Virtuellen Privaten Netzwerke, die galten bisher als ziemlich sicher.
Krauter: Sie haben es vorhin schon gesagt. Diese abgekürzt VPN genannten Virtuellen Privaten Netzwerke, das war sozusagen die Insel der Seligen im Netz. Wie funktionieren die denn?
Welchering: Ja, da kommen vor allen Dingen zwei Sicherheitstechniken gleichzeitig zum Einsatz. Ganz kurz gesagt: da wird verschlüsselt und außerdem getunnelt. Das heißt, da wird ein Tunnel vom Absender durch das Internet zum Empfänger aufgebaut. Und das Tunneln besteht ganz praktisch gesehen darin, dass ich meine Datenpäckchen, die ich verschicken will, in andere Datenpäckchen einpacke, so dass meine Internetprotokolladresse nicht sichtbar ist, sondern eine andere Internetprotokolladresse sozusagen mehr oder weniger getürkt wird, also nicht meine angegeben wird, so dass nicht nachverfolgt werden kann, von wem dieses Datenpäckchen stammt. Und damit kann es eben auch nicht zurückverfolgt werden.
Krauter: Das klingt gut, aber für den Schutz vor dem Zugriff durch XKeyscore ist das offenbar nicht gut genug. Wie genau greift das Sperrprogramm den solche vermeintlich sicheren privaten Netzwerke an.
Welchering: XKeyscore zeigt den Aufbau einer solchen Virtuellen-Privaten-Netzwerkverbindung an und gibt dann auch den Eintrittspunkt des Tunnels und den Austrittspunkt dieses Tunnels an. Und an diesen beiden Punkten, also wo die Datenpäckchen in ein anderes Datenpäckchen verpackt werden, und wo die Datenpäckchen wieder aus diesen Datenpäckchen ausgepackt werden, da kann so ein Virtuelles Privates Netzwerk eben angegriffen werden. Denn vor dem Verpacken des Datenpäckchens in ein anderes, da liegt ja die Ursprungs-Internetprotokolladresse meines Datenpäckchens sichtbar vor. Und beim Austrittspunkt, wenn man da direkt beim Enttarnen eines solchen Datenpäckchens einsetzt, da kann man natürlich, wenn es gerade aus dem anderen Datenpäckchen herausgenommen wird, auch wieder die originale Internetprotokolladresse des ursprünglich transportierten Datenpäckchens sehen.
Krauter: Die Spähsoftware, wenn ich das richtig verstehe, agiert also quasi als so ein Schleusenwärter, der protokolliert, was da gerade unverschlüsselt an ihm vorbeischwimmt. Was bedeutet all das für die Industrie, die ist ja Hauptnutzer solcher Virtuellen Privaten Netzwerke. Heißt das jetzt, auch interne Kommunikation kann jederzeit belauscht werden?
Welchering: Das heißt, auch die Kommunikation, die in diesen Unternehmensnetzwerken statt findet, über Virtuelle Private Netzwerke kann jederzeit ausgewertet werden. Also wenn beispielsweise in Südamerika ein Ingenieur die Inbetriebnahme einer Turbine überwacht, dann schließt er sich normalerweise mit seinem Laptop per Virtuellem Privaten Netzwerk an das Unternehmensnetzwerk an, und was da geliefert wird, auch alle virtuellen Blaupausen, das kann da mitgelesen werden. Oder ein Computeringenieur, der irgendwo einen Supercomputer einrichtet, der wird sich dann irgendwelche Unterlagen holen, und die er sich dann holt, die können eben auch mitgelesen werden, wenn man tatsächlich an diesem Ein- und Austrittspunkt angreift und die Datenpäckchen abfängt.
Krauter: Klingt prima für Industriespione. Ist denn Abhilfe möglich, oder müssen sich nach Privatperson jetzt im auch Konzerne darauf einstellen, das letztlich gar nichts mehr geheim bleibt?
Welchering: Für Konzerne ist Abhilfe möglich. Nur muss den Eintrittspunkt dieses Tunnels eben in den PC des Absenders zurückverlegt werden. Nur das ist eben leider noch nicht ganz trivial, da muss noch ein bisschen nachgearbeitet werden.