Mein Job beim Big Brother

Inhaltsverzeichnis

Internet-Überwacher lassen sich bei ihrer Arbeit nicht gern über die Schulter schauen. Für Technology Review gewährte ein Insider einen Blick hinter die Kulissen.

Die Überwachung der Internet-Kommunikation ist ein florierendes Geschäft, vor allem in autoritären Staaten. Wer entwickelt und implementiert solche Systeme, und wie funktionieren sie? Der IT-Berater Hermann Müller (Name von der Redaktion geändert) verrät, wie die Abhör-Industrie und ihre Auftraggeber ticken. Er verbrachte mehrere Monate im Mittleren Osten damit, ein Überwachungssystem zum Laufen zu bringen. Wolfgang Stieler protokollierte.

Der junge Mann trug eine Maschinenpistole. Er schaute cool und etwas gelangweilt, als er den Spiegel unter das Auto schob. Er fand keine Bombe unter dem Wagenboden, studierte kurz die Zugangsberechtigung, öffnete den Schlagbaum und winkte mich durch. Den Aktenkoffer auf dem Beifahrersitz ignorierte er.

Mein Ziel war das "Monitoring Center", die zentrale Anlage zur Überwachung des Internets in diesem arabischen Land – eine Light-Version der "großen chinesischen Internet-Mauer", wenn man so will. Nur dass hier nicht blockiert wird, sondern nur gelauscht. Der Datenverkehr wird mitgeschnitten, gespeichert und bei Bedarf an Polizei, Justiz oder den Geheimdienst übergeben. Alles streng nach den Buchstaben des Gesetzes und im Dienste des "Krieges gegen den Terror".

"Lawful Interception" nennt sich das, legale Überwachung. Das macht kein Staat mehr selbst – na ja, außer vielleicht Nordkorea –, sondern kauft diese Dienstleistung bei großen internationalen Herstellern ein, die ihre Systeme nur noch an die jeweiligen "legal requirements" eines Landes anpassen. Viermal im Jahr kann man solche Anlagen auf einer großen Messe besichtigen – beim ISS World Training etwa sind praktisch alle großen Hersteller vertreten. Als Privatmensch kommst du da aber nicht rein, nur wenn du in der Branche arbeitest oder für einen der staatlichen Überwachungsdienste.

Zurück zum Monitoring Center. Das kleine Problem dort war, dass die Anlage nicht funktionierte. Nicht so, wie es in den wunderschönen Hochglanzprospekten stand. Auch nicht so, dass man damit zumindest hätte improvisieren können – sondern schlicht gar nicht: Die Rechner stürzten nach einigen Stunden in schönster Regelmäßigkeit ab, in den Protokolldaten stand oft nur Müll, und einen wichtigen Teil der Internet-Kommunikation bekam das System gar nicht erst mit.

Das Projekt hatte ursprünglich eine Laufzeit von fünf Jahren, war aber, als wir einstiegen, bereits zwei Jahre überzogen. Das bedeutete, der US-Hersteller musste Vertragsstrafe zahlen – mehr als 1000 Dollar pro Tag. Und er wurde von den Arabern gezwungen, sich externe Berater zu holen. So kamen meine Partner und ich ins Spiel: Laut Vertrag sollten wir analysieren, wo die internen Probleme lagen, moderieren, Missverständnisse ausräumen und helfen, die Schwierigkeiten zu beseitigen. Aus Sicht des Herstellers sollten wir allerdings nur die Araber beruhigen. Inhaltlich wollte er auf gar keinen Fall beraten werden.

Warum das alles nicht funktioniert hat? Im Wesentlichen lag es meiner Meinung nach daran, dass die meisten Hersteller von Internet-Überwachungsanlagen aus der Telefonbranche kommen. Dort ist alles noch einigermaßen einfach: Man überwacht einen bestimmten Teilnehmer, der aus irgendwelchen Gründen verdächtig ist. Und wenn du den Absender der Nachricht hast, erwischst du automatisch auch den Empfänger. Das gesamte Gespräch geht über eine Leitung. Die Datenmenge, die ich aufzeichnen muss, bleibt überschaubar.

Aber wenn man versucht, diese Philosophie einfach auf das Internet zu übertragen, funktioniert das nicht. Denn erstens hat man nicht von Anfang an seine Verdächtigen – man will ja vielmehr die allgemeine Kommunikation belauschen, um zu sehen, ob jemand etwas Verbotenes macht. Und zweitens hat man es nicht mit einer Punkt-zu-Punkt-Verbindung zu tun, sondern mit einer paketbasierten Vermittlung.

Das Hauptproblem ist nun: So ein Abhörsystem soll zwar den laufenden Datenverkehr mitschneiden, kann aber nicht aktiv daran teilnehmen. Das heißt, es kann beispielsweise ein verloren gegangenes Datenpaket nicht noch einmal anfordern – was ja eigentlich Sinn und Zweck des Internet-Protokolls ist. Umgekehrt muss es aus dem ganzen Gewusel an – zum Teil mehrfach gesendeten – Datenpaketen, die da aus der Leitung plumpsen, die ursprüngliche Nachricht wieder zusammenbasteln. Das ist technisch nicht ganz einfach.

In unserem Fall – und ich denke, das wird immer so gemacht – wurde in einem Router ein sogenannter Spiegel-Port benutzt, auf den der gesamte Datenverkehr umgeleitet wurde. Dann musste herausgefiltert werden, was man sehen wollte – den ganzen Filesharing-Krempel beispielsweise nicht. Darüber kommt zwar eventuell verbotene Pornografie ins Land, aber dafür ist eine andere Dienststelle zuständig. Der gefilterte Datenstrom wurde dann nach Protokollen – also etwa SMTP für E-Mails oder HTTP für Webseiten – auf verschiedene Rechner aufgeteilt, die jeweils ein bestimmtes Protokoll dekodieren. Die Nachricht wurde gespeichert, die dazugehörigen Metadaten wie Betreffzeile, Sender und Empfänger nebst ihren IP-Adressen in eine Datenbank geschrieben.

Die zusätzliche Schwierigkeit besteht nun darin, diese IP-Adressen mit der Identität der Nutzer in Verbindung zu bringen. Das heißt, ich brauche zusätzlich noch die Login-Daten der Internet-Provider, und ich muss die exakte Zeit mitprotokollieren, zu der sich ein Nutzer eingeloggt hat. Dafür brauche ich aber eine sehr exakte Zeitsynchronisation, die es in diesem Land nicht gab. Dazu kam, dass die Login-Daten eine sehr schlechte Qualität hatten. Wir haben manche Logins gar nicht gesehen, einige dafür aber drei- bis viermal und Logouts bis zu 15-mal. Das führte regelmäßig dazu, dass der Server, der die Log-Protokolle verarbeiten sollte, nach ein bis zwei Tagen abgeraucht ist. Es hat mehr als drei Monate gedauert, bis wir das gefixt hatten.

Wobei wir einen Monat brauchten, bis der Hersteller überhaupt einsah, dass es sich tatsächlich um einen Fehler handelte. Der behauptete immer: Wir haben alles getestet, das funktioniert. Wenn es nicht funktioniert, liegt es an der schlechten Qualität der Daten. Das war exemplarisch: Erst den Fehler leugnen, dann war der Traffic schuld, und wenn das nicht weiterhalf, war es ein Bedienfehler des Kunden. Dann waren die Berater schuld, weil sie Unfug erzählten, dann der Projektleiter vor Ort, dann fingen wir wieder von vorn an.

Aber zurück zum Dekodieren: Das nächste Problem war, dass sämtliche Dekoder nur den ASCII-Zeichensatz verstanden, also nur lateinische Buchstaben. So etwas wie der internationale Zeichensatz UTF-8, der auch arabische Zeichen umfasst, war nicht vorgesehen. Man konnte also auf Arabisch nichts suchen. Ganz abgesehen davon, dass Suchen eh nur in den Metadaten möglich war – und nicht im Volltext. Das war ein Designfehler, den die arabischen Kunden allerdings auch im Pflichtenheft abgesegnet hatten. Das wollten sie natürlich später ändern – aber wir konnten ihnen das ausreden: Schließlich hatten sie dieses Feature ja nicht bezahlt. Aber ein echter Klopfer war das schon. Ich kann doch kein Überwachungssystem in den Nahen Osten ausliefern, in dem man nicht nach ara- bischen Zeichen suchen kann. Das sieht der Hersteller bis heute anderes: Steht nicht im Pflichtenheft, wird nicht gemacht, selbst schuld, lieber Kunde.

Trotzdem hätte man einiges intelligenter lösen können: Die Überwachungsdienste werden nicht etwa automatisch hochgefahren. Stattdessen muss jedes Mal, wenn so eine Maschine abstürzt, jemand hinfahren und sie per Hand wieder hochfahren. Das Problem dabei ist nur: Das Monitoring-Center steht auf militärischem Gelände. Da kann man nicht einfach so Tag und Nacht reinspazieren. Allein waren wir da drin zu keinem Zeitpunkt – als Ausländer wurden wir immer von einem militärischen Bewacher begleitet. Und der war halt nicht ständig verfügbar.

Selbst wenn die Anlage lief, war das Netz extrem löchrig. Wichtige Chat-Protokolle wie "Jabber" konnte man nicht erfassen, Microsofts "Live Mail" sowie verschiedene arabische Web-Mailer auch nicht und Voice over IP nur sehr eingeschränkt. Dazu kam, dass die Filterung nach den verschiedenen Protokollen sowieso nur Standard-Ports berücksichtigte. Wenn ich beispielsweise versuchte, einen Mail-Server über einen anderen Port zu erreichen, kriegte die Anlage das nicht mit.

Ein weiteres Problem: Wir hatten da nur etwa 30 Terabyte Speicherplatz. Der war in rund drei Monaten voll – die Ermittlungsbehörden hatten also im Schnitt drei Monate Zeit, um aus dem Datenwust konkrete Indizien herauszufiltern, dann wurden die Daten wieder überschrieben. Dabei gab es noch relativ wenig Datenverkehr – das gesamte Land hatte eine Internetanbindung von nur einigen Hundert Megabit pro Sekunde.

Wenn sie denn überhaupt funktionierte. Einmal haben wir diese Internet-Verbindung ja höchstpersönlich abgeschossen – und dabei gelernt, wie leicht das ist. Eigentlich wollten wir nur einen Test vorbereiten. Dazu hatten wir Dateien von unserem Testserver in Europa auf unsere Notebooks vor Ort heruntergeladen – wir hatten zwar kein DSL in der Wohnung, aber in der Nachbarschaft gab es ein offenes WLAN. Unter den Testdateien war auch eine sogenannte Zip-Bombe. Das ist eine komprimierte Datei, die nur aus Nullen besteht und in komprimierter Form sehr klein ist. Packt man das Ding aber aus, expandiert es auf ungefähr drei Gigabyte. Diese Datei hatte mein Partner heruntergezogen, aber nicht verschlüsselt. Und plötzlich ging das Internet nicht mehr.

Was war passiert? Es gibt in den islamischen Ländern überall Zwangsproxies – das sind Server, die vorgeschaltet werden, um bestimmte Inhalte zu blockieren. Die kontrollieren offenbar auch Dateien, die man sich herunterlädt. Das hat uns zwar keiner gesagt, aber nur so ist die Geschichte zu erklären. Der Proxy hatte offenbar schön brav unsere Zip-Bombe aus- gepackt – und war dann tot. Normalerweise würde ich ja erwarten, dass es eine ganze Proxy-Farm gibt, in der die Last automatisch zwischen den verschiedenen Servern verteilt wird. Aber hier gab es scheinbar für jeden DSL-Bezirk genau einen festen Proxy. Als der ausfiel, war halt das Internet weg.

Die Sache passierte uns abends so gegen 18 Uhr, und bis zum nächsten Morgen um elf hatte der komplette Botschaftsbezirk kein Internet. Was die Arbeit nach westlichen Maßstäben sehr schwierig machte, war auch die Tatsache, dass die ganze Gesellschaft dort ungeheuer hierarchisch geprägt ist. Das heißt, man kann keine Meetings planen. Die Leute rechnen nämlich ständig damit, dass ihr Chef sie anruft und etwas von ihnen will. Dann müssten sie ein Meeting wieder absagen, was ein fürchterlicher Gesichtsverlust gegenüber dem Ausländer wäre.

Es gibt also nur lose Verabredungen nach dem Motto: Wir schauen mal, ob wir uns am Samstag treffen. Das kann dann morgens um neun sein oder nachmittags um zwei. Das bringt dir natürlich sämtliche Zeitpläne durcheinander. Wir waren gerade im Monitoring-Center und hatten einen Test laufen, da kam zum Beispiel der Anruf aus der Ausländerbehörde, und es hieß, lasst mal alles stehen und liegen, ihr müsst jetzt da auflaufen. Sonst hätten wir unsere Aufenthaltsgenehmigung nicht gekriegt. Der Tag war gelaufen.

Das war für die Leute vom Anlagenhersteller regelmäßig absurdes Theater – diese Managertypen konnten damit überhaupt nicht umgehen. Die haben ja strikt mit Deadline und Zeittakt gearbeitet. Also beklagten sie sich fürchterlich darüber, dass der Kunde gar nicht mit ihnen zusammenarbeiten wolle. Deswegen kriegen die Amerikaner da auch kein Bein auf die Erde. Die sind viel zu direkt. Das ist da nicht so schlimm wie in China, aber normalerweise sagt man eben nicht direkt Nein. Und man kritisiert auch niemanden offen. Man ist nett und freundlich und spricht zwei Stunden. Das macht man am nächsten Tag wieder und wieder – so lange, bis der andere von selbst merkt, dass nichts dabei herauskommt.

Also: Gesicht wahren, Hierarchien respektieren, Regeln einhalten, höflich und geduldig bleiben hat da einen sehr, sehr hohen Stellenwert. Man braucht Geduld und ein bisschen Kulturtraining. Wobei die Araber auch durchaus nachsichtig sein können – solange sie das Gefühl haben, dass man sich bemüht.

Für uns allerdings ging es einfach irgendwann nicht mehr: Wir waren gezwungen, den Hersteller für seine Fehler zu kritisieren. Daraufhin schmissen sie uns raus und suchten sich neue Berater. Die wurden aber auch bald gefeuert. Dann haben sie ein völlig neues Konzept entwickelt und damit ein Jahr Zeit geschunden. Aber das neue Konzept funktioniert auch nicht – und jetzt zahlen sie wieder Vertragsstrafe. Beide Parteien haben sich in einer Art Endlosschleife verhakt. Ich habe zwar gehört, dass immer wieder darüber diskutiert wird, das Projekt abzuschreiben, einfach was Neues zu kaufen. Aber es fehlt wohl das Geld.

Vielleicht waren wir auch einfach nur zu früh dran: Eine der ganz mächtigen Waffen bei der Internet-Überwachung ist ja gerade, Beziehungsnetzwerke zu analysieren: Man kann sehen, wer mit wem wie lange kommuniziert, und daraus die Gruppenstruktur ableiten. Das kann man nur machen, wenn man den kompletten, ungefilterten Datenverkehr abhört. Das war damals noch nicht mal ansatzweise möglich. Mittlerweile gibt es aber Hersteller, die genau solch ein Konzept angekündigt haben. Es soll in zwei bis drei Jahren verfügbar sein. (wst)