"Die Verteidigung muss Vorrang haben"

John Inglis, bis Januar 2014 stellvertretender Direktor der NSA, über die Fähigkeiten Edward Snowdens, ungenutzte Möglichkeiten eines legalen Whistleblowings und die Spannung zwischen Aufklärung und Datensicherheit.

Über ein Jahr nach Beginn der Enthüllungen über die NSA-Überwachung ist immer noch noch nicht ganz klar, wie Edward Snowden an die Unmengen Dokumente gelangen konnte. Ganz zu schweigen vom wahren Ausmaß der Überwachung und der dafür eingesetzten Technologien. Am Rande der Black-Hat-Konferenz in Las Vegas konnte Technology Review John Inglis, bis Januar stellvertretender Direktor der NSA, für ein kurzes Gespräch gewinnen. Inglis ist seit Juni Berater bei Securonix. Die Firma aus Los Angeles verkauft Software, mit deren Hilfe Unternehmen ihre Mitarbeiter bei unautorisierten Datenoperationen aufspüren können.

Technology Review: Edward Snowden hat nach Aussage von NSA-Funktionären als administrativer Kontraktarbeiter eines Vertragspartners der NSA gearbeitet. Dennoch konnte er auf diverse als „streng geheim“ klassifizierte Informationen zugreifen. Wie konnte das passieren?

John Inglis: Snowden war ein Systemadministrator, deshalb hatte er prinzipiell mehr Zugriffsrechte. Die Frage ist: Entblößt dies eine Schwachstelle im System? Rückblickend kann man sagen, dass Snowden viel weiter ging, als wir von ihm je erwartet hätten. Das Problem ist, wie man denjenigen Vertrauen entgegenbringen kann, die man mit viel Zeit und Mühe ausgesucht hat – und wie man ihnen erlaubt, innovativ, kreativ und klug tätig zu sein. Wir müssen unser Spiel auf den neuesten Stand bringen, ohne die 99,9 Prozent der Mitarbeiter fallen zu lassen, die vertrauensvoll mit uns gearbeitet haben.

Wir müssen uns auf Verhalten konzentrieren – auf den Datenzugriff in Echtzeit statt auf die Abwehrmechanismen, Betriebssysteme oder Artefakte. Man muss nach Verhaltensänderungen suchen, die eine Anomalie darstellen und einer gründlichen Untersuchung bedürfen.

TR: Nachdem, was Sie über die technischen Fähigkeiten anderer Geheimdienste wissen: Ist es möglich, dass sie bereits ohne Snowdens Wissen auf all die unzensierten Dokumente in seinem Besitz zugreifen konnten?

Inglis: Ich würde sagen, das ist sehr wahrscheinlich. Snowden ist ein kluger Kopf. Er weiß einiges über Sicherheit und Verschlüsselung. Wir haben aber aus 70 Jahren kryptologischer Geschichte gelernt, dass ein einzelner Kopf nie gegen eine Menge unterschiedlicher Köpfe gewinnen kann. Zu glauben, eine einzige Person könnte Informationen gegen entschlossene Operationen anderer und ziemlich fähiger Dienste absichern, ist sehr viel verlangt. Da steckt schon eine gewisse Hybris drin.

TR: Was antworten Sie Snowden, wenn er sagt, es gebe keine rechtlichen Möglichkeiten für NSA-Kontraktarbeiter, sich als Whistleblower zu betätigen?

Inglis: Es gibt Gesetze und Richtlinien, die Mitarbeitern erlauben, Whistleblower-Prozeduren durchzuführen. Die Aufzeichnungen zeigen, dass er es nicht einmal versucht hat. Er hätte eine private Mitteilung an Kongress-Abgeordnete schicken können, oder an die Presse. Er sagt, er habe sich im April 2013 schriftlich beschwert. Doch handelte es sich dabei nicht um eine Beschwerde, es war eine direkte Frage zu etwas, was er gerade in einem Kurs erfahren hatte. Er bekam am selben Tag Antwort von einem NSA-Anwalt. Das war allerdings vier Monate nachdem er – nach eigener Aussage – begonnen hatte, Informationen an Reporter weiterzugeben. Ich kann darin keinen Versuch erkennen, sich als Whistleblower zu betätigen.

TR: Wie bekommt die NSA ihre doppelte Mission unter einen Hut – einerseits Aufklärung und Beschaffung fremder Daten, andererseits Schutz von US-Daten? Die NSA ist beispielsweise beschuldigt worden, den unzureichenden Verschlüsselungsstandard Dual_EC_DRBG zu fördern.

Inglis: Die Verteidigung muss Vorrang haben. Wenn wir den Schutzauftrag vom Aufklärungsauftrag abtrennen würden, würde das meines Erachtens ziemlich sicher dazu führen, dass die Erkenntnisse schlechter würden, die die Abwehrspezialisten über die tatsächlichen Sicherheitslücken im Cyberspace gewinnen. Sie würden von denjenigen abgeschnitten, die diese Lücken aufspüren. Der allergrößte Teil dessen, was die NSA entdeckt, wird an die Verteidiger des Systems weitergeleitet.

TR: Könnte man Programme zur Massenüberwachung technisch so anlegen, dass sie die Privatsphäre stärker respektieren? Der ehemalige NSA-Kryptograph William Binney sagt, dass er an einem System mit solchen Sicherheitsvorkehrungen gearbeitet habe, dieses aber von der Führung der NSA verworfen worden sei.

Inglis: Es wäre unklug von der NSA, eine Technologie zurückzuweisen, die zugleich der nationalen Sicherheit dient und die bürgerlichen Freiheiten verteidigt. Ich weiß, dass es die Prüfung nicht bestand. Es gibt eine zufällige Sammlung von Daten – so wie es immer zwei Seiten bei jedem Kommunikationsvorgang in der Welt gibt –, aber Recht und Gesetz schreiben vor, Unschuldige als Unschuldige zu behandeln, solange keine überzeugenden Informationen über das Gegenteil vorliegen. Wenn Sie NSA-Mitarbeiter fragen würden, wie sie die Balance zwischen Privacy und nationaler Sicherheit halten, würden sie Ihnen sagen, dass die Frage falsch gestellt sei, weil sie beides beachten müssen. (nbo)