zurück zum Artikel

Nie mehr allein

Stand der Dinge im NSA-Skandal

Wissen | Reportage

Westliche Geheimdienste versuchen alle menschliche Kommunikation zu überwachen, und seit Juni 2013 zeigen immer neue Enthüllungen, wie weit sie dabei vorangekommen sind. Eine Bilanz nach sechs Monaten.

Am 9. Juni 2013 trat Edward Snowden an die Öffentlichkeit und erklärte gegenüber dem Guardian, für die Enthüllungen über ein immenses US-Überwachungsprogramm namens PRISM verantwortlich zu sein (siehe c’t 14/2013). Er ergänzte, der US-Geheimdienst NSA habe eine umfangreiche Infrastruktur aufgebaut, um möglichst jede Kommunikation abzufangen: „Sie haben keine Ahnung, was möglich ist“. Er wolle aber nicht in einer Gesellschaft leben, die so etwas tut und in der alles aufgezeichnet werde, was er sage und mache. Ein halbes Jahr später ist nun klar, dass er mit seiner drastischen Wortwahl nicht übertrieben hat. In den Monaten nach Snowdens erstem Interview haben Journalisten in aller Welt enthüllt, was die NSA, der britische Geheimdienst GCHQ und ihre Partner unternehmen, um jedwede Kommunikation zu überwachen.

Es hat sich ein Bild größtenteils unkontrollierter Nachrichtendienste herausgeschält, die keine Grenzen zu akzeptieren scheinen. Ihr Vorgehen begründen sie vor allem mit dem Kampf gegen den Terrorismus, sie sind jedoch inzwischen selbst zu einer Gefahr für die Demokratie geworden. Die hat aber offenbar noch kein Mittel dagegen gefunden, denn bis auf wenige Ausnahmen haben Politiker in aller Welt nicht oder nur kraftlos reagiert. Dabei war es Snowdens erklärtes Ziel, eine öffentliche Debatte anzustoßen, denn eine Begrenzung der Überwachung könne nur politisch durchgesetzt werden. Gelinge dies nicht, würden die Dienste weiterhin alles unternehmen, was technisch möglich ist.

Überwachung des Internet

Gemeinsam mit alliierten Geheimdiensten hat die NSA in den vergangenen Jahren ein System zur Überwachung des Internetverkehrs aufgebaut. Dazu werden Daten entweder von Internetdiensten beschafft, wobei noch unklar ist, wie das genau geschieht, oder direkt an der Infrastruktur des Internet abgegriffen.

Das zuerst enthüllte PRISM ist demnach ein Programm, in dessen Rahmen die Anfragen nach Nutzerdaten an verschiedene IT-Unternehmen automatisiert wurden. Geheimdienstler können nicht nur auf E-Mails und Chats zugreifen, auch Videos, Audios, VoIP-Kommunikation und Datenübertragungen stünden ihnen offen. Betroffen sind demnach Microsoft, Google, Yahoo, Facebook, Paltalk, Youtube, Skype, AOL und Apple.

Im Rahmen eines Programms namens Upstream wird die Kommunikation dagegen wohl an großen Unterseekabeln abgefangen, etwa im Mittelmeer, Nahen Osten und an der britischen Küste. Hierbei tun sich offenbar die Briten besonders hervor und rühmen sich intern, innerhalb der Geheimdienstallianz der sogenannten Five Eyes (bestehend aus den USA, Großbritannien, Kanada, Neuseeland und Australien) im größten Maßstab zugreifen zu können. Sie kooperieren laut Informationen der Süddeutschen Zeitung und des NDR mit einigen der größten Telecom-Unternehmen, etwa Level 3. Einige von ihnen haben demnach sogar Software entwickelt, um die Überwachung noch zu erleichtern.

Auf diesen Wegen gelangen die Geheimdienste an Unmengen von Daten, die gesammelt und zumindest temporär gespeichert werden. Verbindungsdaten, also wer, wann und wo mit wem kommuniziert hat, und Inhalte der Kommunikation werden in unterschiedliche Datenbanken geleitet. Diese Trennung wird vorgenommen, weil die Privatsphäre – also zumeist die Kommunikationsinhalte – inländischer Personen in den jeweiligen Staaten gesetzlich geschützt ist, Verbindungsdaten dagegen nicht oder weniger. Ausländern, wie in diesem Fall etwa den Deutschen, helfen diese Einschränkungen aber nichts. Die Geheimdienste sehen sie durch die für sie geltenden Datenschutzgesetze nicht geschützt.

Damit hört die Überwachung aber auch noch lange nicht auf. Später wurde bekannt, dass unter anderem auch der interne Datenverkehr zwischen den Rechenzentren von IT-Riesen wie Google und Yahoo angezapft wird. Während Nutzer also etwa verschlüsselt ihre E-Mails bei Google abrufen können, konnten diese trotzdem abgefangen werden, weil der interne Traffic unverschlüsselt blieb. Als Reaktion kündigten mehrere Unternehmen an, diesen Traffic künftig auch zu verschlüsseln.

Gezielte Angriffe

Im Zuge der Enthüllungen wurde außerdem deutlich, wie Geheimdienste das totale Überwachungssystem nutzen, um gezielt gegen Einzelne vorzugehen. Das sollen den Gesetzen zufolge eigentlich Terroristen sein, die Dokumente zeigen die Maßnahmen aber anhand der Spionage gegen Unternehmen beziehungsweise andere Regierungen. So enthüllte der Journalist Glenn Greenwald, dass in Brasilien das Bergbau- und Energieministerium ausgespäht wurde. Der kanadische Geheimdienst CSEC habe E-Mails, Telefonate und Handynummern registriert.

Angegriffen wurde das Unternehmen wohl über sogenannte Man-on-the-Side-Angriffe, die der Journalist Jacob Appelbaum und der Spiegel später erläuterten. Versuchte ein Nutzer, der ausgespäht werden soll, eine bestimmte Website zu besuchen, schaltete sich der Geheimdienst dazwischen und lieferte ihm eine eigene Seite aus, die so aussah wie die gewünschte, aber Schadcode enthielt. Damit das klappt, muss die Technik der NSA schneller sein als die Antwort des tatsächlichen Surfziels, wofür es nötig ist, dass die Geräte oder Software des Geheimdienstes physisch näher am Auszuspähenden installiert ist. Die Infiltrierung der Netz-Infrastruktur hilft also bei diesem Vorgehen ungemein.

Arsenal des Schreckens

Ende 2013 enthüllte Appelbaum außerdem eine ganze Reihe weiterer Werkzeuge, mit denen die NSA einzelne Personen gezielt und intensiv ausforschen kann. Dazu gehören Sensoren, die Daten direkt an Bildschirmkabeln abgreifen, diese aber nicht aktiv weitersenden. Stattdessen würden sie aus der Ferne mit einem Radarsystem angestrahlt. Aus dem reflektierten Signal könne der Bildschirminhalt rekonstruiert werden. Ähnliches gebe es für Tastaturkabel. Außerdem kann überwacht werden, was abseits des Computers in einem Raum passiert – wiederum ohne dass das Überwachungsgerät aktiv sendet.

Auf vielfältige Weise könnten außerdem Rechner, Festplatten und andere IT-Komponenten manipuliert und ausgeforscht werden. Dazu würden unter Umständen auch online bestellte Komponenten während ihrer Zustellung abgefangen und mit Wanzen präpariert. Die NSA rühme sich außerdem, jedes iOS-Gerät „knacken“ zu können, erklärte Jacob Appelbaum auf dem 30. Chaos Communication Congress in Hamburg. Apple hat eine Kooperation dementiert.

Viele der aufgedeckten Angriffsmethoden können nur funktionieren, wenn die NSA über ein umfangreiches Arsenal an Schwachstellen und Sicherheitslücken von IT-Geräten verfügt. Statt diese den Herstellern zu melden, damit sie behoben oder geschlossen werden können, nutzt sie der Geheimdienst aktiv aus, um die Überwachung zu ermöglichen. Damit werden alle Nutzer gefährdet, denn die offen bleibenden Lücken können weiterhin auch von anderen Angreifern ausgenutzt werden.

US-Verschlüsselung ist tot

Zu Beginn seiner Enthüllungen hatte Edward Snowden noch erklärt „Verschlüsselung funktioniert!“ und damit angesichts seiner sonst apokalyptischen Äußerungen zumindest etwas beruhigt. Doch auch wenn die Mathematik den Angriffen tatsächlich standhält, hat die NSA genug Tricks auf Lager, um verschlüsselte Inhalte einzusehen.

Das belegte Anfang Oktober der Fall des E-Mail-Anbieters Lavabit. Der Betreiber Ladar Levison hatte seinen Nutzern sichere Kommunikation versprochen und damit unter anderem Edward Snowden als Nutzer gewonnen. Als dieser an die Öffentlichkeit getreten und bald seine E-Mail-Adresse bekannt geworden war, wurden US-Behörden neugierig. Im Geheimen drängten sie Levison, einen Zugriff auf die gespeicherten Daten Snowdens zu gewähren.

Levison, der sich dazu zuerst nicht öffentlich äußern durfte, erklärte später, sich anfangs gewehrt zu haben. Letztlich sei er aber doch bereit gewesen, den Zugriff zu gewähren und habe die nötige Software programmieren wollen. Darauf hätten die Behörden nicht vertrauen wollen und auf der Herausgabe der geheimen Server-Schlüssel bestanden und damit der völligen Offenlegung der geschützten Kommunikation zwischen dem Dienst und seinen Kunden. Levison wehrte sich mit Händen und Füßen (unter anderem durch Herausgabe des privaten SSL-Schlüssels, gedruckt in unleserlich kleiner 4-Punkt-Schriftgröße), wurde aber gerichtlich zur Übergabe verpflichtet. Daraufhin schaltete er seinen Dienst ganz ab.

Das gelangte nur an die Öffentlichkeit, weil Levison eine Freigabe der Gerichtsdokumente durchsetzte. Die untermauerten dann auch seine deutlichen Warnungen vor US-amerikanischen Internetdiensten, muss doch deren Verschlüsselung nun allgemein als kompromittiert gelten.

Im September wurden existierende Vermutungen bestätigt, dass die NSA auch Standards manipuliert, um die Überwachung zu erleichtern. In dem konkreten Fall, der auf der Basis von Snowden-Dokumenten aufgedeckt werden konnte, hat der US-Geheimdienst eine Hintertür direkt in einen Pseudo-Zufallszahlengenerator des US-Standardisierungsorgans NIST eingebaut. Verschlüsselungen, die diese benutzen, konnten dann von der NSA umgangen werden. Quasi als Kollateralschaden wurde dafür in Kauf genommen, dass ein Standard, auf den etwa Sicherheitssoftware angewiesen ist, geschwächt wurde.

Neben diesen Möglichkeiten, um Verschlüsselung zu umgehen, gibt es laut der New York Times außerdem noch Hinweise darauf, dass die NSA nicht davor zurück schreckt, notfalls in fremde Systeme einzubrechen, um geheime Schlüssel an sich zu bringen. Damit entschlüsselte Nachrichten würden aber anderen Geheimdiensten nicht zur Verfügung gestellt, um das Vorgehen nicht offenzulegen. Das mache der Dienst nur, wenn er auf legalem Weg an die Inhalte gelangt sei.

Durch diese Enthüllungen kann SSL-Verschlüsselung mindestens zu US-Websites inzwischen nicht mehr als sicher gelten.

Überwachte Kanzlerin

Jedem, der die Enthüllungen verfolgt hat, musste klar sein, dass diese allumfassende Überwachung vor niemandem halt macht – halt machen kann. Berlin wurde aber erst wirklich in Aufruhr versetzt, als der Spiegel Ende Oktober berichtete, dass auch die Bundeskanzlerin ausspioniert wurde. Angela Merkel, die für ihre intensive Handynutzung bekannt ist, wurde offenbar gezielt und seit Jahren überwacht. Dabei kam den Geheimdiensten, die wohl von Botschaften im Berliner Regierungsviertel aus agieren, der Umstand zugute, dass sie mehrere Handys nutzt. Nicht alle davon sind aber sogenannte Kryptohandys, also durch Verschlüsselung abgesichert.

Die Kanzlerin telefonierte daraufhin mit US-Präsident Barack Obama und beschwerte sich. Er und das Weiße Haus konnten ihr dann aber nur versichern, sie werde jetzt und in Zukunft nicht abgehört. Dass auf die Vergangenheit explizit nicht eingegangen wurde, werteten viele Beobachter als implizite Bestätigung der ursprünglichen Vorwürfe.

In den folgenden Tagen wurde die Kritik an der US-Überwachung lauter. Die Bundesregierung sah sich dazu genötigt, auf einer Beantwortung der Fragenkataloge zu bestehen, die sie bereits kurz nach Beginn der Affäre an die USA versandt hatte.

Darüber hinaus wurde wieder ausführlicher ein Anti-Spionage-Abkommen (No-Spy-Vertrag) diskutiert. Damit solle die gegenseitige Überwachung Regeln unterworfen werden. Statt einer Beendigung der totalen Überwachung erhoffte sich die Bundesregierung aber offenbar eine Gleichstellung der Bundesrepublik mit den Staaten der Five Eyes. Wenig später wurde bekannt, dass die USA aber auch zu solch einem Schritt nicht bereit sind.

Ein regelrechter Coup gelang danach dem Grünen-Bundestagsabgeordneten Hans-Christian Ströbele, als er in einer Nacht-und-Nebel-Aktion den Whistleblower Edward Snowden in Moskau besuchte. Der übergab ihm eine Botschaft an die Deutschen. Darin erklärte er, zu einer Aussage in der Bundesrepublik bereit zu sein, wenn ihm zugesichert werde, dass er danach hier oder in einem vergleichbaren Land bleiben dürfe.

Ruhige Politiker

Abgesehen von diesem Intermezzo in der deutschen Bundespolitik, blieben politische Reaktionen in der ganzen Welt eher aus. Eine Ausnahme bildete hier vor allem Brasilien, wo Präsidentin Rousseff erfahren hatte, dass sie ebenfalls im Visier der USA stand. Die enthüllte Überwachung des Bergbau- und Energieministeriums tat dann ihr übriges.

Um ihr Missfallen auszudrücken, sagte Rousseff schließlich einen geplanten Besuch in Washington ab. Gemeinsam mit Deutschland brachte das südamerikanische Land außerdem bei den Vereinten Nationen eine nicht bindende Resolution ein, um die Privatsphäre im digitalen Zeitalter zu schützen. Hinter den Kulissen drängte die US-Regierung jedoch größtenteils erfolgreich auf Änderungen an der Vorlage. Da die danach deutlich entschärfte Resolution am Ende einstimmig von der UN-Vollversammlung verabschiedet wurde, besteht jedoch noch die Chance, dass sie eine starke symbolische Wirkung entfalten kann.

Unterdessen befasst sich auch das Europäische Parlament mit einer Aufarbeitung des NSA-Skandals und hat dafür einen Untersuchungsausschuss einberufen. Der hat inzwischen mehrmals getagt, leidet aber darunter, dass vor allem hochrangige Zeugen nicht befragt werden können. So hatte der GCHQ-Direktor Iain Lobban seine Teilnahme abgesagt und auch Thomas Oppermann, Vorsitzender des Parlamentarischen Kontrollgremiums im Bundestag, ließ sich entschuldigen.

In Großbritannien wurde ebenfalls ein parlamentarischer Ausschuss mit der Aufklärung der NSA-Affäre betraut. Der lud unter anderem die Chefs der drei wichtigsten britischen Geheimdienste. Die Verantwortlichen für MI5, MI6 und GCHQ versicherten, sich an alle geltenden Gesetze zu halten. Einer deutlich intensiveren Befragung sah sich dagegen der Chefredakteur des Guardian ausgesetzt. Alan Rusbridger verteidigte seine Zeitung gegen die Vorwürfe, mit ihren Berichten Terroristen geholfen zu haben.

In Deutschland lässt ein Untersuchungsausschuss derweil weiter auf sich warten. Zur Zurückhaltung in der Regierung kam hierzulande hinzu, dass der Bundestag während der Koalitionsverhandlungen mehrere Monate nicht arbeitsfähig sein wollte. Inzwischen steht die Koalition und die Opposition hat zu wenige Stimmen, um ohne Unterstützung aus Union und SPD ein solches Untersuchungsgremium einzuberufen.

Auch wenn die Affäre also noch lange nicht beendet ist, lässt sich bereits feststellen, dass niemand vor der NSA und ihren Verbündeten sicher ist. Die Geheimdienste nutzen für die angestrebte totale Überwachung alles, was ihnen zur Verfügung steht. Gesetzliche Einschränkungen werden, wenn überhaupt, offenbar nur akzeptiert, wenn Bürger der Five Eyes betroffen sind, Deutsche schützen sie nicht. (mho)


URL dieses Artikels:
http://www.heise.de/-2089264