Mein Job beim Big Brother

Internet-Überwacher lassen sich bei ihrer Arbeit nicht gern über die Schulter schauen. Für Technology Review gewährte ein Insider einen Blick hinter die Kulissen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 13 Min.
Inhaltsverzeichnis

Internet-Überwacher lassen sich bei ihrer Arbeit nicht gern über die Schulter schauen. Für Technology Review gewährte ein Insider einen Blick hinter die Kulissen.

Die Überwachung der Internet-Kommunikation ist ein florierendes Geschäft, vor allem in autoritären Staaten. Wer entwickelt und implementiert solche Systeme, und wie funktionieren sie? Der IT-Berater Hermann Müller (Name von der Redaktion geändert) verrät, wie die Abhör-Industrie und ihre Auftraggeber ticken. Er verbrachte mehrere Monate im Mittleren Osten damit, ein Überwachungssystem zum Laufen zu bringen. Wolfgang Stieler protokollierte.

Der junge Mann trug eine Maschinenpistole. Er schaute cool und etwas gelangweilt, als er den Spiegel unter das Auto schob. Er fand keine Bombe unter dem Wagenboden, studierte kurz die Zugangsberechtigung, öffnete den Schlagbaum und winkte mich durch. Den Aktenkoffer auf dem Beifahrersitz ignorierte er.

Mein Ziel war das "Monitoring Center", die zentrale Anlage zur Überwachung des Internets in diesem arabischen Land – eine Light-Version der "großen chinesischen Internet-Mauer", wenn man so will. Nur dass hier nicht blockiert wird, sondern nur gelauscht. Der Datenverkehr wird mitgeschnitten, gespeichert und bei Bedarf an Polizei, Justiz oder den Geheimdienst übergeben. Alles streng nach den Buchstaben des Gesetzes und im Dienste des "Krieges gegen den Terror".

"Lawful Interception" nennt sich das, legale Überwachung. Das macht kein Staat mehr selbst – na ja, außer vielleicht Nordkorea –, sondern kauft diese Dienstleistung bei großen internationalen Herstellern ein, die ihre Systeme nur noch an die jeweiligen "legal requirements" eines Landes anpassen. Viermal im Jahr kann man solche Anlagen auf einer großen Messe besichtigen – beim ISS World Training etwa sind praktisch alle großen Hersteller vertreten. Als Privatmensch kommst du da aber nicht rein, nur wenn du in der Branche arbeitest oder für einen der staatlichen Überwachungsdienste.

Zurück zum Monitoring Center. Das kleine Problem dort war, dass die Anlage nicht funktionierte. Nicht so, wie es in den wunderschönen Hochglanzprospekten stand. Auch nicht so, dass man damit zumindest hätte improvisieren können – sondern schlicht gar nicht: Die Rechner stürzten nach einigen Stunden in schönster Regelmäßigkeit ab, in den Protokolldaten stand oft nur Müll, und einen wichtigen Teil der Internet-Kommunikation bekam das System gar nicht erst mit.

Das Projekt hatte ursprünglich eine Laufzeit von fünf Jahren, war aber, als wir einstiegen, bereits zwei Jahre überzogen. Das bedeutete, der US-Hersteller musste Vertragsstrafe zahlen – mehr als 1000 Dollar pro Tag. Und er wurde von den Arabern gezwungen, sich externe Berater zu holen. So kamen meine Partner und ich ins Spiel: Laut Vertrag sollten wir analysieren, wo die internen Probleme lagen, moderieren, Missverständnisse ausräumen und helfen, die Schwierigkeiten zu beseitigen. Aus Sicht des Herstellers sollten wir allerdings nur die Araber beruhigen. Inhaltlich wollte er auf gar keinen Fall beraten werden.

Warum das alles nicht funktioniert hat? Im Wesentlichen lag es meiner Meinung nach daran, dass die meisten Hersteller von Internet-Überwachungsanlagen aus der Telefonbranche kommen. Dort ist alles noch einigermaßen einfach: Man überwacht einen bestimmten Teilnehmer, der aus irgendwelchen Gründen verdächtig ist. Und wenn du den Absender der Nachricht hast, erwischst du automatisch auch den Empfänger. Das gesamte Gespräch geht über eine Leitung. Die Datenmenge, die ich aufzeichnen muss, bleibt überschaubar.

Aber wenn man versucht, diese Philosophie einfach auf das Internet zu übertragen, funktioniert das nicht. Denn erstens hat man nicht von Anfang an seine Verdächtigen – man will ja vielmehr die allgemeine Kommunikation belauschen, um zu sehen, ob jemand etwas Verbotenes macht. Und zweitens hat man es nicht mit einer Punkt-zu-Punkt-Verbindung zu tun, sondern mit einer paketbasierten Vermittlung.