PRISM und Tempora

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

PRISM (zu deutsch Prisma) ist ein Mitte 2013 enthülltes Telefon- und Internetüberwachungsprogramm der US-Geheimdienste. In diesem Zusammenhang wurde ein vermutlich noch größeres Überwachungsprogramm des britischen Geheimdienstes (Tempora) enthüllt.

Das es eine Internetüberwachung durch Geheimdienste gibt, war zumindest in Fachkreisen bereits immer mit ziemlicher Sicherheit angenommen worden (siehe u.a. entsprechende Passagen im Buch Blackout - Morgen ist es zu spät von Marc Elsberg vom März 2012); erstaunlich sind allerdings die Ausmaße.

PRISM

XLQIsnH.gif

Das Überwachungsprogramm PRISM ist vermutlich unter dem Eindruck der Terroranschläge am 11. September 2001 entstanden und wurde laut Zeitungsberichten im Jahr 2007 ins Leben gerufen. Einerseits werden Telefondaten überwacht; so soll der US-Telefonkonzern Verizon der Nationalen Sicherheitsbehörde NSA detaillierte Informationen über alle inneramerikanischen und internationalen Gespräche liefern. Es wird davon ausgegangen, dass solche Überwachungen für jeden großen US-Telefonkonzern (Sprint, AT&T, Verizon) existieren. Andererseits wird auch das Internet überwacht (u.a. Videos, Fotos, E-Mails, Chats, Dokumente und Kontaktdaten). Hierzu sollen die Internet-Firmen Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube und Apple an dem Programm PRISM beteiligt sein. Microsoft soll sogar einen Zugriff auf seine Maildienste und den Messaging- und VoIP-Dienst Skype vor dessen Verschlüsselung ermöglichen. Auch auf WhatsApp-Nachrichten soll zugegriffen worden sein[1].

Durch ein Analyseprogramm (genannt XKeyScore) können NSA-Analysten in Echtzeit auf die so gesammelten Daten zugreifen und diese auswerten.

Als Reaktion erklären sowohl Google, Facebook, Yahoo als auch Microsoft, sie hätten keine Zugänge installiert, über die Geheimdienste direkt auf ihre Server zugreifen könnten. Daten an Behörden werden nur auf der Basis eines Gerichtsbeschlusses übergeben. Apple versicherte zudem, auch keine Hilfestellung für Einbrüche in seine Endgerätepalette gegeben zu haben. Allerdings scannen beispielsweise Microsoft und Google schon längerfristig ihre Nutzer auf verdächtige kinderpornografische Bilder in ihrer Cloud bzw. ihrem Mailsystem und übergeben Verdachtsfälle an die Behörden. Die Unternehmen berufen sich dabei auf ihre AGBs. Auch wurde 2016 bekannt, dass bei den gängigen Smartphones (iPhones, Android- und Windows-Handys) die Anruflisten in der zugehörigen Cloud bei dessen Nutzung gespeichert werden[2]. Bei Windows kann man beispielsweise ohne Cloud-Anbindung fast nicht mehr richtig arbeiten. Im Ergebnis hat dann nicht nur der Handy-Provider Zugriff auf die Telefondaten. Yahoo wurden Mitte 2016 der Unwahrheit verdächtig, da ein eigenes Programm zur NSA-Überwachung an der eigenen Security-Abteilung vorbei installiert worden sein soll. Ein Dementi hierzu erfolgte nicht[3].

Später wurde bekannt, dass die NSA Daten aus den internen Verbindungen zwischen Datenzentren von Google und Yahoo ohne Wissen der Firmen abgreift (Programm Muscular). Google und Yahoo und auch Microsoft antworteten mit einer Verschlüsselung der Datenleitungen, zudem initiierten Google-Angestellte dazu eine Smiley-Kampagne Google-Smiley.png[4][5][6]. Microsoft will außerdem ein Transparenzzentrum in Brüssel eröffnen, um staatliche Kunden Einblicke in den Quellcode zu gewähren[7]. Große US-Internetunternehmen fordern zudem eine Reform, zumal die endlosen Enthüllungen nachhaltig das Cloud Computing-Geschäft verderben.

Daneben sollen NSA und der britische Geheimdienst GCHQ (s.u.) auch Anti-Viren-Hersteller ausspioniert haben, um einen ggf. installieren Virenschutz umgehen zu können[8].

Die NSA soll außerdem milliardenfach Standortdaten (5 Milliarden Datensätze täglich) von Handys abgreifen[9] und in Mobilfunknetzte eindringen[10][11]. Damit können massenhaft Bewegungs- und Kontaktprofile erstellt werden. Angeblich ist das verwendete Analyseprogramm Co-Traveler das "mächtigstes Werkzeug" der NSA. Auch Apps sollen zur Spionage missbraucht werden, u.a. das bekannte Spiel ANGRY BIRDS[12].

Angybirds.png

Neben EU-Einrichtungen soll von der Überwachung insbesondere auch Deutschland (Überwachung nach einer Weltkarte [13] in ähnlicher Intensität wie bei China, Irak oder Saudi-Arabien) betroffen sein. Als Grund wird der (im Vergleich zur USA) viel strengere Datenschutz bzw. dessen umfassende gesetzliche Regulierung in Deutschland vermutet, auch hat ein Teil der Attentäter vom 11. September 2001 in Deutschland zeitweise gelebt.

Auch Wirtschaftsspionage wird großflächig betrieben (pikanterweise auch gegen den chinesischen Netzausrüster Huawei[14], der jahrelang selbst der Spionage durch eigene Router-Back Doors verdächtigt wurde).

Der oberste Chef der US-Geheimdienste hat eine Aufklärung, allerdings nur über "diplomatischen Kanäle", versprochen[15].

Auch US-Präsident Obama den Europäern eine Aufklärung über die NSA-Spionage zugesagt[16].

Im Januar 2014 kündigte der US-Präsident Obama per Dekret einige Einschränkungen der Ausspähprogramme an. So soll die Verfolgung von Telefongesprächen maximal bis zur zweiten Dimension erfolgen und der Zugriff auf Telefonverbindungsdaten nur noch mit richterlicher Anordnung oder "im Notfall" erlaubt sein. Die Parlaments- und Verwaltungsaufsicht über die Geheimdienste soll gestärkt werden und regelmäßige Evaluierungen stattfinden. Auch die Öffentlichkeit soll mehr Informationen über die geheimdienstlichen Aktivitäten erhalten und die derzeitige zentrale Speicherung der Verbindungsdaten durch die Regierung in eine dezentrale Speicherung überführt werden. Im Ausland sollen die Spitzen von Staat und Regierungen von Verbündeten nicht mehr abgehört werden. Es soll auch grundsätzlich keine Wirtschaftsspionage mehr stattfinden.

Für das US-Inland wurde Anfang Juni 2015 der Freedom Act als Geheimdienstreform in Kraft gesetzt[17]. Er erlaubt der NSA auch weiterhin, die Festnetz- und Handyanschlüsse zu überwachen. Allerdings darf die NSA die Daten künftig nicht mehr selbst speichern, sondern muss diese Aufgabe an die Telefongesellschaften abgeben. Eine Abfrage erfordert ein Beschluss des Geheimgerichts FISC und bedarf als Grund einen begründeten Terrorverdacht. Die Spionage im Ausland ist von dieser Reform nicht betroffen.


Tempora

In diesem Zusammenhang wurde ein vermutlich sogar noch größeres Überwachungsprogramm des britischen Geheimdienstes aufgedeckt. Der britische Gemeimdienst GCHQ (Government Communications Headquarters) soll seit eineinhalb Jahren die transaltlantischen Glasfaserkabel anzapfen und so bis zu 600 Millionen Verbindungen täglich erfassen. Überwacht werden über diese Glasfaserkabel geführten Telefonate und Internetverbindungen. Dazu unterhält der GCHQ Beziehungen zu mehreren Unternehmen, die Internet-Knoten betreiben (z.B. British Telecommunications, Interoute, Level 3, Verizon, Viatel und Vodafone).

Besonders betroffen soll auch Deutschland sein. Auf eine diesbezügliche Anfrage des Bundesinnenministeriums verweigerte jedoch die britische Regierung eine Antwort[18]. Nach Snowden-Dokumenten sollen aber über das britische Telekommunikationsunternehmen Cable & Wireless, welches 2012 von Vodafone übernommen wurde, Ausspähaktionen organisiert worden sein. Das BSI hält dies für möglich, Vodafone wehrt sich allerdings gegen die Einschätzung[19].

Zudem wird GCHQ verdächtigt, hinter einer Cyber-Attacke auf das belgische Telekommunikationsunternehmen Belgacom zu stecken, welches u.a. auch Netzzugangsanbieter von EU-Gremien ist[20]. Genutzt sein soll hierfür die Malware Regin[21][22].

Außerdem soll GCHQ die eindeutige UDID bei iPhones und iPads zur Identifizierung und Tracking von Zielpersonen einsetzen[23].


Einordnung

Omaba-Satire "Yes,we scan" als Smartphone-Hintergrundbild

Die beiden Überwachungsprogramme PRISM und Tempora sollen zu einem gemeinsamen Geheimdienstprogramm von fünf Staaten (Großbritannien, USA, Kanada, Australien und Neuseeland - die sogenannten Five Eyes) gehören. Die Zusammenarbeit dieser Länder im Geheimdienstbereich ist bereits bekannt durch das seit Jahrzehnten betriebene Projekt Echelon zur weltweiten Überwachung der satellitengestützten Telefon- und Datenkommunikation.


Überwachung der Briefpost

Im Zusammenhang mit den Überwachungsprogrammen wurde auch publik, dass beim staatlichen US-Postunternehmen die Adressdaten von Absendern und Empfängern sämtlicher Postsendungen abfotografiert, gespeichert und den US-Sicherheitsbehörden zugänglich gemacht werden. In Deutschland erklärte die Deutsche Post, es werde zwar auch jede Adresse abfotografiert, aber nur für interne Zwecke wie den korrekten Briefversand[24].


Eingriffe in den Paketversand

Die NSA soll auch Paketsendungen mit Netztechnik abfangen, um die Geräte mit eigener Malware zu versehen. Betroffen ist insbesondere Technik des US-Netzausrüsters Cisco [25][26]. Damit wird der in der Vergangenheit von amerikanischer Seite gegen den chinesischen Netzausrüster Huawai gemachte Vorwurf der Datenspionage gerade ins Gegenteil verkehrt.


Überwachung durch deutsche Behörden

Durch den Bundesnachrichtendienst (BND) dürfen nur Ausländer überwacht werden. Da dies bei allen westlichen Auslands-Geheimdiensten so ist, werden die Geheimdienste verdächtigt, ihre Daten untereinander auszutauschen.

In Deutschland werden die Verbindungsdaten von Telefonaten durch die entsprechenden Anbieter für Abrechnungszwecke gespeichert. Bei der Telekom sind dies immerhin 30 Tage. Ein Zugriff auf noch vorhandene Verbindungsdaten ist für Polizei und Staatsanwaltschaft möglich. Insofern existiert in Deutschland schon so etwas wie eine Vorratsdatenspeicherung. Die Vorratsdatenspeicherung soll in Deutschland nun gesetzlich geregelt werden. Dazu hat die Bundesregierung einen Gesetzentwurf erstellt und zwischenzeitlich beschlossen.

Zudem können einige staatliche Behörden entsprechend des Telekommunikations-Gesetzes (bzw. Telekommunikations-Überwachungsverordnung - TKÜV) bei der Kommunikation mitlesen. Ab 31. März 2016 trifft dies auch auf die großen WLAN-Hotspot-Betreiber zu. Auch ohne richterlichen Beschluss können Staatsanwaltschaften, Polizei und Geheimdienste das Passwort der Mail-Konten erhalten, der Kunde muss davon nicht mal informiert werden. Zusätzlich wurde im Rahmen der rechtlich umstrittenen sogenannten Quellen-TKÜV (Staatstrojaner) bereits direkt auf Computer zugegriffen, um eine mögliche Verschlüsselung der Kommunikation zuvor zu brechen.


3 Datenschutzgesetze gegen Überwachung

Als Konsequenz aus der NSA-Ausspähaffäre hat der US-Amerikaner und CEO des "Privacy-Defenders", Michael Fertik, analog zu den drei Robotergesetzen von Isaac Asimov drei Datenschutzgesetze gefordert, die weltweit Geltung haben sollten [27]:

  • jedes Unternehmen soll jedem Menschen Auskunft geben müssen, welche Daten es von ihm gespeichert hat
  • jedes Unternehmen soll Auskunft geben müssen, mit wem es diese Daten teilt
  • jeder Mensch soll das Recht haben, diese Daten löschen zu lassen


Master-Key-Debatte

Im Zuge der Affäre wurde verschiedentlich behauptet, NSA oder FBI besitzen einen Generalschlüssel, der sämtliche SSL-gesicherte Kommunikation entschlüsseln könne [28].

Grundsätzlich gibt es zwei Möglichkeiten des Abhörens von SSL. Zum einen kann der Angreifer die gesamte Kommunikation aufzeichnen und bemächtigt sich (auch nachträglich) des geheimen Schlüssels, der auf dem Server liegt (z.B. durch dessen Beschlagnahme). Die Vorgänge um die gerichtlich erzwungene Schlüsselherausgabe beim ehemaligen Verschlüsselungsmailanbieter Lavabit (dessen Kunde auch Snowden sein soll) zeigen, dass dies durchaus Praxisrelevanz hat[29]. Abhilfe kann mittels Verwendung von PFS (Perfect Forward Secrecy) durch die Webserverbetreiber (z.B. Google) geschaffen werden, allerdings auch nicht vollständig, da eine sehr oft verwendete SSL-Erweiterung (Verwendung von Session Tickets - z.B. über Cookies) auch PFS aushebelt[30]. Auch Mails könnten per SSL bei der Übertragung geschützt werden, die Intitiative "E-Mail made in Germany" versucht in Deutschland dies zu etablieren. Das besonders sichere PFS wollen Telekom GMX und Web.de aber erst ab Frühjahr 2014 einsetzen.

Neben dieser doch sehr auffälligen Variante gäbe es noch die Möglichkeit, im Rahmen einer Man-In-the-Middle-Attacke den Datenstrom abzugreifen und zu entschlüsseln. Allerdings müsste dann das zur SSL-Kommunikation notwendige Zertifikat des Webservers manipuliert bzw. das Wurzelzertifikat ausgehändigt werden. Das Wurzelzertifikat besitzt aber nicht der Webserver-Betreiber selbst, sondern nur die ausgebende Zertifizierungsstelle. Zwar gab es in der Vergangenheit schon einige Einbrüche in solche Zertifizierungsstellen, angesichts der weitweiten Verteilung der Zertifizierungsstellen und des großen Presseechos bei festgestellten Manipulationen erscheint aber diese Variante als unwahrscheinlich. Einzige Ausnahme ist Microsoft, dass durch seinen dynamischen Update-Mechanismus für die Zertifikatsdatenbank bei Windows-Rechnern eine solche Möglichkeit hätte. Alle auf dem Recher installierte Software inklusive Browser sind davon betroffen. Die Browser Firefox und Googles Chrome verwenden zwischenzeitlich eigene Krypto-Infrastrukturen bzw. eigene, zentrale Zertifikats-Widerrufslisten (CRLSets) und können so diese Sicherheitslücke selbst schließen.

Im September 2013 wurden Teile der Geheimdokumente des ehemaligen Geheimdienstmitarbeiters Edward Snowden bekannt, die zeigen, dass die Geheimdienste NSA und GCHQ versuchen,Verschlüsselungen zu umgehen, zu unterminieren und teilweise auch zu knacken[31][32]. Betroffen sollen verschlüsselte Verbindungen zu Webservern per SSL, Virtual Private Networks (VPNs), Voice over IP (VoIP) und auch GSM-Netze für Smartphone sein. Hierzu soll es ein Arsenal an Maßnahmen und Techniken geben, dies geschieht oft auch in Zusammenarbeit mit den IT-Herstellern (z.B. mit RSA; die Firma bestritt dies zunächst, gab dann aber doch eine Zusammenarbeit zu[33][34]). So wurde beispielsweise bekannt, dass Zufallszahlengeneratoren, die bei Verschlüsselungen eine wesentliche Rolle spielen, doch nicht so zufällig arbeiten. In Verdacht stehen hier hardwareseitig Intels Secure Key und softwareseitig SSL sowie das RSA-Produkt BSAFE. Insbesondere durch letzteres sollen Internet-Standards mit speziellen Schwächen (z.B. ECC-Verfahren) versehen worden sein, um so die Arbeit zu erleichtern.

Sofern solche Angriffe erfolglos sein sollten, versucht die NSA, gleich in das Endgerät einzudringen und die Daten vor der Verschlüsselung abzugreifen. Dazu wurde bekannt, dass die NSA fast alle gängigen Betriebssysteme von Smartphones geknackt haben soll und sich damit jederzeit Zugang zu Nutzerdaten von iPhones, Android-Smartphones und BlackBerry-Geräten verschaffen kann[35].

Im Februar 2015 wurde bekannt, dass die Geheimdienste bereits seit 2010 in das Netz des Weltmarktführers Gemalto, eines Herstellers von Sicherheitschips, eingebrochen sind [36][37]. Allerdings soll nach Gemalto-Darstellung nur ein Büronetz betroffen gewesen sein[38]. Die hergestellen Sicherheitschips werden in Ausweisen, Reisesepässen, Krankenversicherungskarten, EC- und Kreditkarten, Handy-SIM-Karten, drahtlose Türöffner und Autoschlüssel usw. verwendet. Damit ist davon auszugehen, dass die Geheimdienste auch die dazu gehörenden Algorithmen, elektronischen Schlüssel und Zertifikate kopiert haben. Dies soll auf dem Transportweg, beispielsweise zu den Mobilfunkanbietern, erfolgt sein. Damit wäre eine Dechiffrierung einer aufgezeichneten Netzkommunikation (ohne Einsatz zusätzlicher Verschlüsselungen wie https, PGP oder S/MIME) trotz GSM-Verschlüsselung auch nachträglich problemlos möglich.

Angeblich wurde auch in die internen Netze von anderen Firmen und Behörden eingebrochen, so u.a. in das Netz des größten brasilianischen Erdölunternehmens Petrobras, in die Netze von Google und SWIFT (über das alle länderübergreifenden Finanztransaktionen laufen) sowie in ein internes Netz des französischen Außenministeriums[39].

Insgesamt erscheint es aus heutiger Sicht also einfacher, bei Verschlüsselungen an die Schlüssel selbst zu gelangen oder die Kommunikation vor einer Krypierung abzufangen(Staatstrojaner) als die Verschlüsselung selbst zu knacken.


Schlandnet bzw. Schengen-Routing

Eine weitere Debatte wird in Deutschland um das Schlandnet bzw. Schengen-Routing geführt. Der interne Datentransport über Internet soll dabei das Hoheitsgebiet Deutschlands bzw. den Schengen-Raum nicht verlassen. Zu den Befürwortern zählen u.a. Sandro Gaycken (Professor für IT-Sicherheit an der FU Berlin), zu den Gegnern beispielsweise Gesche Jost (Digitalbotschafterin der Bundesregierung bei der EU, siehe Spiegelbeitrag 28/2014: "Schlandnet?Furchtbar!").

Unabhängig von der meist akademischen Debatte über den freien Netzzugang und Netzneutralität ist es aus Sicherheitssicht immer besser, auf mehrere Sicherheitsmechanismen zu setzen. Ein Resultat der NSA-Ausspähaffäre ist es ja gerade, dass eine sichere Verschlüsselung in der Praxis schwierig umzusetzen ist. Allein nur auf die Verschlüsselung beim Datentransport über Internet zu setzen wäre also zu wenig. Es dürfte dem Bürger zudem auch schwierig zu vermitteln sein, seine Daten bei deutschen IT-Dienstleistern oder allenfalls in Clouds im Schengen-Raum zu speichern, den Datentransport dahin aber nicht zu begrenzen. Eine Umsetzung an sich behindert nicht unbedingt die Technik, sondern eher wirtschaftliche Interessen, die ggf. regularisch zu lösen sind.


Sichere Kommunikation trotz NSA (serverseitig)

Die großen US-Internetkonzerne betreiben derzeit einen beachtlichen Aufwand, um das Vertrauen in die sichere Internetkommunikation wiederherzustellen und damit ihre Geschäftsmodelle zu retten. Im Hauptfokus steht die Verschlüsselung; andere Begrenzungstechniken (z.B. Schlandnet bzw. Schengen-Routing) werden dagegen nicht progagiert, da sie die amerikanischen Internetunternehmen von der Kommunikation abkoppeln würden.

Verschlüsselungstechniken
Dienst Protokolle Beispiele
VPN IPv6+IPSec
Mail1 TLS+PFS - perspektivisch mit DANE/TLSA BSI TR-03180, bund.de, De-mail,

Intitiative "E-Mail made in Germany"

WWW TLS (https) mit CA und/oder DANE/TLSA

HTTP/2 mit OE als Web-Grundverschlüsselung

https://bsi.bund.de (DANE/TLSA)

Firefox, mod_spdy für Apache-Webserver

Soziale Medien https (siehe WWW) https://facebook.com,

https://twitter.com

Messenger Krypto-Messenger WhatsApp2, Telegram Messenger (auch für Windows Phone), Threema, Signal (alle aufbauend auf dem Verschlüsselungsprotokoll von Moxie Marlinspike)

1 in Entwickung zusätzliche Applikationsverschlüsselung per DNSSEC/DANE für S/MIME und PGP

2 vollständig ab Anfang April 2016


Sichere Kommunikation trotz NSA (nutzerseitig)

In Auswertung der bekannt gewordenen Dokumente können einige Programme benannt werden, die dem Geheimdienst NSA nutzerseitig massive Probleme bereiten. Neben dem Anonymisierungsnetzwerk Tor sind das insbesondere das Open-Source-Verschlüsselungsprogramm GnuPG, die Festplattenverschlüsselung TrueCrypt (welches sogar einer unabhängigen Prüfung standhielt[40]) und das Linux-basierte Betriebssystem TAILS. Auch Web-Maildienste können durchaus sehr sicher eingerichtet sein. Zudem kann ein Spionage-Angriff durchaus erkannt werden (Zemana Anti-Keylogger). Weitere wirksame Schutzmechanismen sind in einem durch den Spiegel veröffentlichten Dokument aufgeführt.


Sichere Kommunikation trotz NSA (vertragsseitig)

Die Bundesregierung hat ihr Ziel, eine No-Spy-Garantie auch ohne Zusage der USA oder anderer Länder zu erreichen, ein weiteres Stück vorangebracht. Das Bundesinnenministerium hat dazu neue Bedingungen für den Kauf von Hardware und Standardsoftware (sogenannten "Ergänzenden Vertragsbedingungen" - EVB-IT) veröffentlicht. Darin enthalten sind nun Vertragsklauseln, die höhere Anforderungen an die Zusicherung der Hersteller stellen, dass die ausgelieferten Produkte frei von Backdoors sind. Die EVB-IT sind zunächst verpflichtend für Bundesbehörden, werden jedoch auch von Ländern und Kommunen analog angewendet[41][42].


Aktuelles

campact-Kampagne: Türschild "Ein Bett für Snowden"

Als Hauptfigur der Enthüllungen fungierte der Whistleblower Edward Snowden, ein ehemalige NSA-Sysadministrator. Snowden ist derzeit auf der Flucht. Dabei erhält er Unterstützung durch WikiLeaks, u.a. in Fragen der möglichst effizienten Entziehung vor US-Strafverfolgungsbehörden. So hattte er bereits politisches Asyl in Ecuador beantragt (analog dem ebenfalls geflüchteten WikiLeaks-Gründer Assange). Da Ecuador nach anfänglicher Zustimmung auf Druck der USA jedoch von einer Asylgewährung abrückte, hat Snowden in weiteren Ländern einen Asylantrag gestellt[43]. Zwischenzeitlich hatte Venezuela Snowden Asyl angeboten. Snowden hatte aber zunächst in Russland Asyl beantragt und später auch angenommen. Die deutsche Bundesregierung hatte einen solchen Asylantrag abgelehnt. Über die Internetplattform campact wurde daraufhin eine Unterstützerkampagne gestartet. Später wurde diese Debatte neu entfacht, da der Grünen-Politiker Hans-Christian Ströbele sich in Moskau mit Snowden traf [44] und die NSA-Spähaffäre nach Berichten über die Ausspähung des Handys der Bundeskanzlerin einem neuen Höhepunkt zustrebte.

Gleichzeitig erklärte der Bundesinnenminister Friedrich bei einer CDU-Fachkonferenz über "Cybersicherheit" am 09.Juli 2013, er habe "keine Hinweise der deutschen Sicherheitsbehörden und Nachrichtendienste, dass der amerikanische Geheimdienst NSA den zentralen Internetknoten in Frankfurt angezapft hat"[45]. Auch ein Vertreter des Betreibers dieses größten deutschen Internetknotens (De-Cix GmbH) erklärte, dass "sich amerikanische und britische Geheimdienste bei uns keinen Zugang verschafft haben"[46]. Allerdings haben einige der Rechenzentren, in dem die Internetknoten der De-Cix GmbH aufgestellt sind, US-amerikanische bzw. britische Muttergesellschaften. Zudem soll der BND, getarnt über einen großen deutschen Provider, alle Daten abgreifen können.

Nach Angaben von Verfassungsschutz-Präsident Maaßen war das US-Ausspähprogramm PRISM den deutschen Behörden nicht bekannt[47].

Auf einer Sondersitzung am 5. Juli 2013 hat sich auch der Nationale Cyber-Sicherheitsrat mit dieser Thematik beschäftigt. "Am meisten Sorge bereitet uns bei den aktuellen Ereignissen der Vertrauensverlust der Bürgerinnen und Bürger aber auch der Unternehmen in die elektronische Kommunikation." - so lautete nach der entsprechenden Pressemitteilung ein Kernsatz der vorsitzenden Staatssekretärin Rogall-Grothe. Sie verwies als Schutz auf Verschlüsselungs-Produkte der deutschen Kryptoindustrie, u.a. auch auf die De-Mail. Allerdings ist die Sicherheit von De-Mail umstritten; insbesondere können einige deutsche Behörden entsprechend des Telekommunikations-Gesetzes auch ohne richterlichen Beschluss auf De-Mail-Konten zugreifen.

Über die in der zweiten Juliwoche 2013 durch Bundesinnenminister Friedrich vorgenommene Reise in die USA zur Klärung der Spionagevorwürfe ist ein heftiger politischer Streit entbrannt[48]. Friedrich hatte erklärt, dass durch das Programm 45 Attentate weltweit verhindert worden sind, davon 5 Attentate in Deutschland. Es wurde keine flächendeckende Überwachung betrieben, es gab auch keine Industriespionage. Zukünftig soll über einen "Deklassifizierungs-Prozess" die Unterrichtung deutscher Behörden verbessert werden. Die Opposition und Bürgerrechtler waren mit dieser Erklärung unzufrieden, da nach einem Spiegel-Bericht[49] in Deutschland täglich durchschnittlich die Verbindungsdaten von rund 15 Millionen Telefongespräche und rund 10 Millionen Internetverbindungen (in der Spitze sogar 60 Millionen Kommunikationsverbindungen) abgegriffen werden sollen und dies eher einer strukturierten Kompletterfassung ähnele. Mitte August 2013 erklärte der Geheimdienstkoordinator im Bundeskanzleramt Pofalla das Ende der NSA-Ausspähaffäre, dass später zurückgenommen bzw. als Fehlinterpretation bezeichnet wurde und für "Erheiterung in der Bundespressekonferenz" sorgte.[50].

NSA (Nasweiser, Spicker und Ausspecht) sogar in Entenhausen

Zwischenzeitlich wurde nun doch eine seit mehreren Jahren (insbesondere seit 2001) bestehende sehr enge Kooperation zwischen dem US-Nachrichendienst NSA und den deutschen Gemeindiensten BND und Verfassungsschutz bekannt[51]. Ob deutsche Gesetze verletzt wurden, bleibt weiter offen.

Die deutsche Bundesregierung hat mit einem 8-Punkte-Plan auf die Affäre reagiert[52]. Dieser Plan beinhaltet den stärkeren Einsatz von (deutschen) Sicherheitsprodukten vertrauenswürdiger Hersteller unter Einbeziehung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch wurden zwei alte Vereinbarungen mit den USA, Großbritannien und Frankreich (als ehemalige Besatzungsmächte) zur Überwachung der Telekommunikation in Deutschland aufgehoben. Allerdings gibt es auch weiterhin eine faktische Zusammenarbeit zwischen deutschen und amerikanischen Geheimdiensten.

Als Endziel soll mit den USA eine No-Spy-Abkommen abgeschlossen werden. Nach deutschen Vorstellungen soll auf Industriespionage sowie auf die Überwachung des Regierungschefs verzichtet und auf deutschem Boden keine technische Aufklärung betrieben werden.

Ende Oktober 2013 wurde bekannt, dass auch das Handy der Bundeskanzlerin abgehört worden sein soll. Merkel soll seit 2002 auf einer entsprechenden Liste der NSA mit Aufklärungszielen stehen, auch ihr Vorgänger Schröder soll schon abgehört worden sein. Zudem soll der derzeitige US-Präsident von dieser Ausspähaktion seit 2010 wissen. Als Abhörstelle soll die US-Botschaft in Berlin gedient haben. Beschwerden über Abhörpraktiken waren zuvor von Seiten des ehemaligen UNO-Generalsekretärs, der Präsidenten von Brasilien und Mexico und von Frankreich erhoben worden, insgesamt sollen ca. 35 Spitzenpolitiker abgehört worden sein. Bei dem Abhörfall der Bundeskanzlerin handelte es sich allerdings um unverschlüsselte Telefongespräche; ob die neuen abhörsicheren Geräte der Bundesregierung geknackt wurden, ist derzeit noch offen. Der Hersteller verweist in einer Twitter-Nachricht darauf, dass die im Produkt verwendeten standardisierten Verschlüsselungen vor allen bekannten Angriffen sicher seinen[53].

Auch Großbritannien (als EU-Mitgliedsland) steht (neben Russland, China und Nordkorea) zwischenzeitlich in Verdacht der Handy-Spionage aus der Botschaft in Berlin[54].

Im Koalitionsvertrag der "Großen Koalition" 2013 in Deutschland ist als weitere Konsequenz aus der NSA-Affäre die Nachverhandlung der Safe Harbor- und SWIFT-Abkommen auf EU-Ebene enthalten.

Als Reaktion auf die schleppende Aufklärung und die bisher ablehnende Haltung der US-Regierung zu einem No-Spy-Abkommen hat der Bundestag im März 2014 einen Untersuchungsausschuss eingesetzt[55]. In einer Expertenanhörung wurden zur Verbesserung der Situation nutzerunabhängige zentrale Maßnahmen gefordert[56]:

Im Sommer 2014 wurde bekannt, dass Internetnutzer, die sich mit dem Anonymisierungs-Tool Tor beschäftigen, automatisch in den Datenbanken der NSA landen und dort als Extremisten markiert werden. Dafür reicht schon eine einfache Google-Suche mit entsprechenden Suchbegriffen (z.B. www.google.com/?q=tails+usb). In diesem Zusammenhang wurde als Überwachungsopfer, neben der Bundeskanzlerin Merkel, ein zweiter Deutscher namentlich bekannt[57].

Kurz nach dieser Enthüllung markierte das Auspionieren des deutschen NSA-Untersuchungsausschusses durch US-Geheimdienste (vermutlich CIA) mit Hilfe eines BND-Mitarbeiters einen weiteren Höhepunkt der Ausspähaffäre. Verschärft wurde diese Krise durch die Entdeckung eines weiteren mutmaßlichen Spitzel im Verteidigungsministerium durch den MAD. Als Reaktion wies die Bundesregierung den obersten Geheimdienstler der US-Nachrichtendienste an der amerikanischen Botschaft in Berlin aus. Zusätzlich wurden nach Presseberichten die deutschen Geheimdienste angewiesen, die Zusammenarbeit mit den US-Partnern auf das notwendigste zu beschränken. Alle Kooperationen sollen demnach gestoppt werden, die nicht den unmittelbaren Sicherheitsinteressen Deutschlands dienen.

Das Bundesinnenministerium (BMI) hat am 30. April 2014 für das Beschaffungsamt des BMI (BeschA) einen sogenannten "No-Spy-Erlass" erstellt, der den Zugriff von Nachrichtendiensten auf die IT- und Kommunikationssysteme ausschließen soll. Der Erlass musste aber Anfang August auf Grund einer ablehnenden Entscheidung die Bundes-Vergabekammer mit einer "Handreichung" nachgebessert werden. Diese Handreichung soll die aufgeworfenen praktischen Fragen bei der Anwendung und Auslegung des "No-Spy-Erlasses" zu klären; allerdings wird von Fachseite befürchet, dass die Bedarfsträger bei der Prüfung der "Sicherheitsrelevanz" allein gelassen werden und in unabsehbar häufigen Fällen nun das Beschaffungsamt konsultieren müssen.

Zusätzlich sollen, neben dem Kanzerhandy, auch die Mobiltelefone zweier Bundestagsabgeordneter und Mitglieder des NSA-Untersuchungsausschusses bzw. des parlamentarischen Kontrollgremiums zur Kontrolle der Geheimdienste ausgespäht worden sein. Auch das Handy des Vorsitzenden des NSA-Untersuchungsausschusses soll wurde offenbar aus einer abgesicherten Postsendung entnommen und eventuell ausgelesen worden sein. Der Generalbundesanwalt bezeichnete allerdings den in der Presse veröffentlichten Überwachungsauftrag für das Kanzlerhandy als nicht authentisch, da es sich lediglich um eine Abschrift handelt.

Als deutsches Gegenstück zur US-Spionage soll der BND als "Beifang" 2 Gespräche von US-Außenministern abgehört haben. Die Deutsche Telekom unterstützte dabei, indem sie nichtdeutsche Transitkommunikation weiterleitet. Weiterhin sollen die Nato-Partner Albanien und Türkei auf einer Liste der Ausspähziele deutscher Geheimdienste stehen. Die Türkei will nun wissen, ob auch der Ministerpräsident Erdogan abgehört wurde.

Ein neuer Höhepunkt der NSA-Affäre zeichnete sich Ende April 2015 ab. Hier wurde bekannt, dass der BND die öffentlich gewordenen Spähaktionen des US-Geheimdienstes NSA unterstützte. Seit 2005 gab es sogar Hinweise, dass die NSA über sogenannte "Selektoren" auch versuchte, Informationen über hochrangige französische Diplomaten, EU-Institutionen und europäische Rüstungsfirmen zu erlangen. Der BND und die NSA kooperierten am internationalen Datenknotenpunkt Frankfurt (De-Cix GmbH) bis ca. dem Jahr 2008. Der BDI-Chef Grillo bezeichnet daraufhin das Vertrauensverhältnis zwischen Staat und Industrie als "erheblich belastet"[58]. Der Hauptgeschäftsführer des Deutschen Industrie- und Handelskammertages (DIHK), Martin Wansleben, fürchtet um das Vertrauen der Unternehmen und damit um einen effektiven Wirtschaftsschutz[59]. Da seit 2008 angeblich das Kanzleramt von diesem Vorgängen wusste, geriet der damalige Kanzleramtschef und heutige Bun­desin­nen­mi­nis­ter de Maizière in Erklärungsnöte[60], die sich jedoch als unbegründet herausstellten[61].

Der NSA-Untersuchungsausschuss des Bundestags versucht nun, Einblick in die "Selektoren"-Liste zu erlangen. Die Bundesregierung hatte dazu einen Sonderermittler vorgeschlagen, dem stellvertretend für den NSA-Untersuchungsausschuss Einsicht in die "Selektoren"-Liste gewährt wird. Die US-Regierung lehnte den Vorschlag der Bundesregierung ab[62]. Dabei hat der BND nicht nur die problematische "Selektoren" der NSA verwendet, sondern auch selbst welche formuliert und damit sogar "Freunde" (französische und US-amerikanische Ziele) ausspioniert. Dies sei nicht mit dem Auftrag an den Geheimdienst vereinbar[63].

Ende Juni 2015 wurden auf WikiLeaks neue Dokumente veröffentlicht, die auf eine Überwachung französischer Spitzenpolitiker (inklusive der drei letzten französischen Präsidenten) sowie flächendeckend der französischen Großunternehmen hindeuten. Die Quelle ist aber vermutlich nicht Edward Snowden[64]. Einige Tage später wurden auf WikiLeaks Dokumente veröffentlicht, denen zufolge die NSA nicht nur das Handy der Bundeskanzlerin Angela Merkel ausgespäht hat, sondern auch deren aktuelles Umfeld sowie die Vorgänger-Regierungen Gerhard Schröder und Helmut Kohl[65] und Außenminister Steinmeier[66].

Im Herbst 2015 erklärte der nun doch von der Bundesregierung eingesetzte Sonderermittler Kurt Graulich nach Einblick in geheime "Selektoren"-Liste, der Hauptverstoß bei der Kooperationsvereinbarung zwischen NSA und BND sei, dass europäische Ziele nicht eingeschränkt und anlassbezogen, sondern pauschal und flächendeckend erfasst wurden[67].

Mit der im Oktober 2016 vom Bundestag beschlossenen BND-Reform (Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes) wird für Deutschland ein erster Schlussstrich gezogen. EU-Bürger werden deutschen Bürgern gleichgestellt und dürfen nicht mehr flächendeckend überwacht werden. Auch Wirtschaftsspionage wird dem BND verboten. Allerdings kann nun der BND auch offiziell vom Inland aus spionieren, bei besonderen Gefahren wie eines bewaffneten Angriffs oder eines internationalen terroristischen Anschlags hierzulande sowie bei Proliferation, Geldwäsche oder anderen Straftaten der organisierten Kriminalität können weiterhin Einzelüberwachungen angeordnet werden. Verbindungs- und Standortdaten können sechs Monate auf Vorrat gespeichert werden. Auch ist es erlaubt, Informationen mit ausländischen Geheimdiensten austauschen. Neu ist, dass das Kanzleramt die Spionage in internationalen Telekommunikationsnetzen genehmigen muss. Die Opposition prophezeite das Scheitern des Gesetzes vor dem Europäischen Gerichtshof und dem Bundesverfassungsgericht; der CCC bemängelt die Unmöglichkeit der sicheren Unterscheidung zwischen in- und ausländischen Datenverkehren, ohne detailliert Inhalte der Kommunikation zu analysieren[68].

Der NSA-Untersuchungsausschuss des Bundestags hat nach Feststellungen der beiden Koalitionsfraktionen CDU/CSU und SPD im Abschlussbericht Mitte 2017 keine Hinweise dafür gefunden, dass Deutsche auf deutschem Boden massenhaft überwacht wurden: "Weder habe sich aus der Beweisaufnahme eindeutig ergeben, dass der Bundesnachrichtendienst (BND) in Kooperation mit amerikanischen Diensten in großem Umfang das Fernmeldegeheimnis verletzt habe, noch habe sich der Verdacht einer massenhaften illegalen Ausspähung deutscher Kommunikationsdaten durch Dienste verbündeter Staaten bestätigt...". Dagegen haben in einem Sondervotum die Oppositionsfraktionen Die Linke und Bündnis 90/Die Grünen den BND als Teil einer "weltweiten Überwachungsstruktur" und "willfährigen Dienstleister" der NSA bezeichnet und die Vorwürfe anlassloser Massenüberwachung durch die Ermittlungen des Ausschusses im Wesentlichen bestätigt[69].


Weblinks


Einzelnachweis

  1. "US-Behörden belauschen WhatsApp-Kommunikation" in heise security vom 10.Juni.2015
  2. "Forensik-Tool-Hersteller: Apple speichert iPhone-Anrufprotokolle in iCloud – für viele Monate" in heise security vom 17.November.2016
  3. "Alle Mails gescannt: Yahoo arbeitete für Geheimdienste" in heise security vom 05.Oktober.2016
  4. "Google vs. NSA: "Fuck you - ab jetzt verschlüsseln wir"" in heise security vom 07.November.2013
  5. "NSA-Skandal: Auch Yahoo verschlüsselt internen Datenverkehr" in heise security vom 18.November.2013
  6. "NSA-Affäre: Auch Microsoft will wohl internen Traffic verschlüsseln" in heise security vom 27.November.2013
  7. "Reaktion auf NSA-Affäre: Microsoft plant Transparenzzentrum in Brüssel" in heise security vom 03.Februar.2014
  8. "NSA und GCHQ spionieren Anti-Viren-Hersteller aus" in heise security vom 22.Juni.2015
  9. "NSA sammelt täglich Milliarden Handy-Standortdaten" in heise security vom 09.Dezember.2013
  10. "Snowden-Papiere: NSA spähte Mobilfunk-Anbieter aus" in heise security vom 04.Dezember.2014
  11. "NSA/GHCQ und die Mobilfunk-Verschlüsselung" in heise security vom 04.Dezember.2014
  12. "Die NSA und Mobil-Apps: Geheimdienste schnüffeln Angry Birds aus" in heise security vom 28.Januar.2014
  13. "Boundless Informant: the NSA's secret tool to track global surveillance data" in theguardian vom 11.Juni.2013
  14. "NSA-Spionage gegen Huawei und die chinesische Regierung" in heise online vom 22.März.2014
  15. "PRISM: US-Regierung verspricht EU Aufklärung im Überwachungsskandal" in heise online vom 01.Juli.2013
  16. "NSA-Spionage: Europas Politiker verlangen Antworten" in heise online vom 01.Juli.2013
  17. "Freedom Act beschlossen: NSA darf auch wieder US-Telefone überwachen" in heise online vom 03.Juni.2015
  18. "Tempora-Schnüffelei: Briten verweigern Antwort auf deutsche Fragen" in heise online vom 26.Juni.2013
  19. "Snowden-Dokumente: Britische Geheimdienste könnten über Vodafone deutsche Kunden abhören" in heise online vom 21.November.2014
  20. "NSA/GCHQ-Skandal: Massiver Cyberangriff auf Belgacom mit "hochentwickelter Malware"" in heise security vom 04.Oktober.2013
  21. "GCHQ und NSA stecken angeblich hinter ausgefeilter Spyware Regin" in heise security vom 25.November.2014
  22. "Cyberwaffe Regin: Beweise für Verantwortlichkeit von NSA und GCHQ" in heise security vom 27.Januar.2015
  23. "NSA-Skandal: iPhone-UDID als Tracking-Tool für das GCHQ" in heise security vom 19.Januar.2015
  24. "Deutsche Post fotografiert Briefe für interne Zwecke" in Die Welt vom 06.Juli.2013
  25. "NSA manipuliert per Post versandte US-Netzwerktechnik" in heise security vom 13.Mai.2014
  26. "NSA-Skandal: Cisco beschwert sich über manipulierte Postsendungen" in heise security vom 15.Mai.2014
  27. "DLD: Drei Gesetze gegen die Überwachung" in heise online vom 20.Januar.2014
  28. "US-Behörden fordern angeblich geheime SSL-Schlüssel von Internet-Dienstleistern" in heise online vom 26.Juli.2013
  29. "NSA-Affäre: E-Mail-Anbieter Lavabit lieferte sich Katz-und-Maus-Spiel mit US-Justiz" in heise security vom 04.Oktober.2013
  30. "Black Hat: TLS-Erweiterung schwächt Sicherheit der Verschlüsselung" in heise online vom 01.August.2013
  31. "NSA und GCHQ: Großangriff auf Verschlüsselung im Internet" in heise online vom 06.September.2013
  32. "NSA entschlüsselt Webserver-Daten angeblich in Echtzeit" in heise.de/Security vom 07.November.2013
  33. "NSA zahlte 10 Millionen US-Dollar für Krypto-Backdoor" in heise.de/Security vom 21.Dezember.2013
  34. "RSA-Boss: "Ja, wir haben mit der NSA zusammengearbeitet"" in heise.de/Security vom 26.Februar.2014
  35. "Kein großes Smartphone-Betriebssystem vor US-Geheimdienst sicher " in heise online vom 08.September.2013
  36. "Geheimdienste unterwandern SIM- und Kreditkarten" in heise.de/Security vom 20.Februar.2015
  37. "SIM-Karten-Hack: Die Kompromittierung der Mobilfunknetze durch NSA/GCHQ" in heise.de/Security vom 20.Februar.2015
  38. "Gemalto: Verschlüsselungcodes von SIM-Karten nicht gestohlen" in heise.de/Security vom 25.Februar.2015
  39. "NSA hat angeblich Infrastruktur von Google und SWIFT gehackt" in heise online vom 09.September.2013
  40. "Audit abgeschlossen: TrueCrypt 7.1 weitgehend sicher" in heise online vom 03.April.2015
  41. SecuPedia Aktuell: "No backdoors"-Klausel für Hardware-Beschaffung der öffentlichen Hand
  42. "IT-Planungsrat beschließt No-Spy-Klausel für Hardware-Beschaffungen" in heise online vom 17.März.2016
  43. "PRISM-Whistleblower Snowden beantragt Asyl in Russland" in heise online vom 01.Juli.2013
  44. "Ströbele hat mit Edward Snowden über mögliche Aussage gesprochen" in heise online vom 31.Oktober.2013
  45. "Bundesregierung lehnt Asylantrag von Edward Snowden ab" in heise online vom 02.Juli.2013
  46. "Auf der Suche nach der undichten Stelle im Netz" in faz.net vom 02.Juli.2013
  47. "Verfassungsschutz: Ausspähprogramm PRISM war nicht bekannt" in heise online vom 03.Juli.2013
  48. "Friedrichs PRISM-Aufklärungstrip: Innenminister verteidigt Überwachung und erntet scharfe Kritik" in heise online vom 13.Juli.2013
  49. "Deutschland im Fokus der US-Datenspionage – Empörung in Berlin" in heise online vom 30.Juni.2013
  50. "Bundesregierung will NSA-Affäre nie für beendet erklärt haben" in heise online vom 25.Oktober.2013
  51. "PRISM-Überwachungsskandal: Verfassungsschutz und BND unter Druck" in heise online vom 22.Juli.2013
  52. "Bundesregierung arbeitet "Acht-Punkte-Programm gegen PRISM" ab" in heise online vom 14.August.2013
  53. Secusmart-Twitternachricht (@SwenjaKremer) auf Twitter vom 29.Juni.2014
  54. "Auch Großbritannien spioniert angeblich aus der Botschaft in Berlin" in heise online vom 05.November.2013
  55. "Untersuchungsausschuss: Bundestag will NSA-Skandal aufklären" in heise online vom 20.März.2014
  56. "NSA-Ausschuss: Experten fordern Ende-zu-Ende-Verschlüsselung ein" in heise online vom 26.Juni.2014
  57. "XKeyscore-Quellcode: Tor-Nutzer werden von der NSA als Extremisten markiert und überwacht" in heise online vom 03.Juli.2014
  58. "BDI-Chef über BND-Affäre: Verhältnis zwischen Staat und Industrie ist erheblich belastet" in spiegel online vom 30.April.2015
  59. SecuPedia Aktuell: BND-Affäre verunsichert Wirtschaft
  60. SecuPedia Aktuell: de Maizière: Vorwürfe gegen BND und Kanzleramt "sind nicht wahr"
  61. SecuPedia Aktuell: de Maizière zu BND und NSA
  62. "Selektoren-Streit: USA angeblich auch gegen Sonderermittler" in heise online vom 22.Juni.2015
  63. "BND hat wohl auch selbst "Freunde" ausspioniert" in heise online vom 15.Oktober.2015
  64. "NSA-Skandal: Auch Frankreichs Präsidenten ausspioniert" in heise online vom 24.Juni.2015
  65. "Wikileaks-Dokumente: Merkel, Schröder, Kohl im Visier der NSA" in heise online vom 08.Juli.2015
  66. "NSA-Skandal: Außenminister Steinmeier von der NSA überwacht" in heise online vom 21.Juli.2015
  67. SecuPedia Aktuell: Sondergutachter wirft NSA Vertragsverletzung vor
  68. "BND-Reform: Bundestag beschließt Internetüberwachung à la NSA" in heise online vom 21.Oktober.2016
  69. SecuPedia Aktuell: Keine Massenüberwachung


Siehe auch



Diese Seite wurde zuletzt am 5. Juli 2017 um 12:17 Uhr von Oliver Wege geändert.

Anzeigen