Archiv


"Da verwenden alle Geheimdienste eigentlich ganz ähnliche Methoden"

In großem Stil haben der amerikanische und britische Geheimdienst Internetkommunikationsdaten abgefischt und ausgewertet. IT-Journalist Peter Welchering erläutert im Gespräch, wie ihnen diese digitale Überwachung gelingen konnte.

Peter Welchering im Gespräch mit Manfred Kloiber |
    Manfred Kloiber: Dass die amerikanischen und britischen Geheimdienste intensiv riesige Datenmengen aus dem Internet abgefischt und ausgewertet haben, ist nach der Enttarnung von Prism und Tempora eine klare Sache. Und auch die Analysealgorithmen, mit denen diese Petabytes von Daten bearbeitet und ausgewertet wurden, sind inzwischen zumindest teilweise bekannt. Bleibt also noch die Frage: Wie genau kommen eigentlich die Nachrichtendienste an diese Daten aus dem Netz ran, oder: Wie wird abgefischt, Peter Welchering?

    Peter Welchering: Da verwenden alle Geheimdienste eigentlich ganz ähnliche Methoden. Und ganz oben auf der Einsatzliste steht ganz schlicht das Anzapfen von Glasfaserkabeln. Dafür stellen übrigens Telekommunikationsgesellschaften und Kabelgesellschaften sogar eigene Ausleitungsschnittstellen zur Verfügung. Und das passiert beispielsweise dann an den Übergabepunkten von Seekabeln. Das haben die Geheimdienste übrigens ganz gerne. Denn wenn solche Ausleitungsschnittstellen da sind, haben sie wenig Arbeit – einfach nur die Kontrollserver anschließen, ein Kabel legen und man hat eben die Daten. Der Nachteil dieser Vorgehensweise besteht darin: Das geht eben nur auf eigenem Hoheitsgebiet oder aber, wenn man mit befreundeten Diensten zusammenarbeitet.

    Kloiber: Und was machen die Nachrichtendienste, wenn sie Glasfaserkabel in einem Land anzapfen wollen, mit dem sie nicht befreundet sind?

    Welchering: Dann schicken sie Agenten mit der Lizenz zum Anzapfen. Die heißen übrigens Feldagenten, etwa bei der National Security Agency. Und diese Feldagenten sind ausgerüstet mit einem Vierkantschlüssel, mit einem Overall für Wartungsmitarbeiter und mit einem sogenannten Biegekoppler. Das ist ein interessantes Gerät zum Umleiten von Glasfasern. Dann können nämlich die Daten, die über diese Glasfaser geschickt werden, auf einen PC geleitet werden und dort gespeichert werden. Und dafür gehen die Agenten einfach zu den Glasfaser-Verteilkästen. Die befinden sich so in regelmäßigen Abständen von drei bis fünf, sechs Kilometern auf der gesamten Übertragungsstrecke. Und in diesen Verteilerkästen werden die Glasfasern in sogenannten Spleisskassetten – das sind so weiße Kassetten – miteinander verbunden. Und die Signale werden dort auch teilweise verstärkt. Hier liegen die Glasfasern übrigens ohne Mantel, das heißt, man kann die leicht über diesen Biegekoppler dann einfach direkt umleiten. Und wenn Glasfasern leicht gebogen werden – deshalb auch das "Biege" beim Biegekoppler – tritt ein Teil des Lichtes eben aus, das die Daten transportiert. Und moderne Lauschgeräte benötigen weniger als nur zwei Prozent der optischen Leistung der Glasfaser, um dann das komplette Signal abzugreifen und in Bits umzuwandeln. Also wenn Glasfasern leicht gebogen werden, tritt ja ein Teil des Lichtes aus, das die Daten transportiert. Und deshalb kann dann dieses komplette Signal abgegriffen und in Bits umgewandelt werden.

    Kloiber: Müssen denn eigentlich immer Agenten vor Ort eingesetzt werden, oder lassen sich die Daten aus dem Netz nicht irgendwie bequem vom Schreibtisch im Headquarter der NSA zum Beispiel im Fort Meade abgreifen?

    Welchering: Das wird auch gemacht. Allerdings ist das Anzapfen von Glasfasern einfach ein bisschen effektiver. Denn im Internet zu recherchieren und dann auf die Internetknotenrechner zu gehen ist rechentechnisch gesehen viel aufwendiger. Da werden dann eben verschiedene Internetknotenrechner angezapft, aber die müssen erst einmal ausfindig gemacht werden. Diese Knotenrechner sind inzwischen entweder ganz einfache Router oder aber regelrechte Austauschpunkte mit regelrechten Vermittlungsrechner und Servern, an denen sich etwa mehrere Internetdienstleister zusammengeschlossen haben und an denen teilweise sogar der Datenverkehr zwischen den verschiedenen Netzen ausgetauscht wird. Da muss man dann in ein regelrechtes Rechenzentrum rein. Und das Resümee diese Woche, beispielsweise von Informatikprofessor Hartmut Pohl, der hat ganz klar gemacht im Auftrag der Gesellschaft für Informatik: Die Datenpäckchen, die auf solchen Internetknotenrechnern für die Weiterleitung zwischengespeichert werden, seien mit sehr, sehr einfachen Mitteln abzuschöpfen und auszuspionieren und sogar zu manipulieren – auch das würden Geheimdienste machen.

    Kloiber: Wie greifen denn die Geheimdienste auf diese Knotenrechner zu?

    Welchering: Die Internetprotokolladresse muss bekannt sein. Aber die lässt sich ja durch eine Rückverfolgung beispielsweise relativ leicht herausbekommen. Und dann setzen sie Überwachungssoftware für den Zugang auf die Knotenrechner ein – da werden dann freie Ports gesucht. Da gibt’s unterschiedliche Überwachungsprogramme, die das machen. Teilweise sind die sogar in Open Source verfügbar. Also die NSA etwa setzt sehr gerne Open-Source-Software dafür ein. Und bei Routern wird übrigens immer wieder darüber diskutiert, inwieweit da nicht doch tatsächlich eine Hintertür eingebaut sei. Das ist allerdings bisher noch nie so richtig wirklich aufgedeckt worden. Die Datenpäckchen, die man auf diesen Internetknotenrechnern ... jedenfalls über diese Überwachungssoftware, weil die Internetprotokolladresse bekannt ist, abgreifen kann, die müssen dann analysiert werden und zu Dokumenten, etwa zur Mail, etwa zusammengesetzt werden. Dafür müssen die Header, die Datenköpfe der Datenpäckchen, ausgewertet werden. Und das ist natürlich sehr, sehr rechenintensiv. Deshalb baut da beispielsweise die NSA auch dieses riesige Rechenzentrum in Bluffdale in Utah mit in der Endausbaustufe fast einer Trillion Terabytes, die die dann da speichern könnten.

    Kloiber: Es soll ja vereinzelte Firmen, aber auch einzelne Privatleute geben, die ihre Mails verschlüsseln, um sie sicher zu machen. Das ist noch nicht weit verbreitet, aber was passiert mit diesen verschlüsselten Mails?

    Welchering: Also wenn die wirklich ganz hart verschlüsselt sind, dann müssen Supercomputer ran, um das zu entschlüsseln. Das ist aber in den meisten Fällen gar nicht nötig. Denn um diese Datenpäckchen entschlüsseln zu können, benötigt der Empfänger eine Art Entschlüsselungserlaubnis, man nennt das auch Zertifikat. Und diese Zertifikate ersetzen eben bei dieser Art der Verschlüsselung, etwa die sogenannte Transportverschlüsselung, die sonst benötigten Passwörter. Und die Geheimdienste besorgen sich dann ganz einfach solche Zertifikate. Die haben sie sozusagen im Dutzend – entweder direkt von den Providern, indem sie sagen, schieb uns die rüber, oder sie fälschen sie. Und dann können sie mit der Berechtigung, sich verschlüsselte Datenpäckchen eben im Klartext anzeigen zu lassen, auch direkt mitlesen. Da müssen dann nicht einmal großartig Supercomputer bemüht werden, da brauchen sie nur diese Zertifikate von den Telekommunikationsunternehmen.

    Zum Themenportal "Risiko Internet"