NSA-Ausschuss: Zertifizierung der BND-Überwachung in der Kritik

Die Opposition hält die Prüfung der Ausleitungstechnik des Bundesnachrichtendienstes durch das zuständige Bundesamt für unzureichend, da der operationale Einsatz gar nicht begleitet wird.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Telekom-Rechenzentrum

(Bild: dpa, Jens Wolf)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Zertifizierung von Überwachungsausrüstung des Bundesnachrichtendiensts (BND) durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist nach Ansicht der Opposition gravierende Lücken auf. "Der Prüfmodus irritiert mich", sagte Martina Renner, die für die Linke im Ausschuss sitzt, am Donnerstag bei der Vernehmung des zuständigen BSI-Technikers Martin Golke. Die Gerätschaften würden auf Grundlage von Dokumenten freigegeben, die der BND selbst zur Verfügung stelle. Am Einsatzort werde das Equipment nicht getestet. "Das läuft an vielen Stellen auf Treu und Glauben hinaus."

Konstantin von Notz (Grüne) sprach von einer reinen "Schlüssigkeitsprüfung", was Golke nach einer seiner vielen Überlegenspausen bejahte. Letztlich wisse nur der BND selbst, ob die tatsächlich eingesetzte Maschine dieselbe sei wie die im Entwicklungsstadium begutachtete: "Man muss sich eh auf die überprüfte Stelle verlassen." Hinterher könnten Geräte beliebig zusammengestöpselt werden. Ihm fehlten Rechte für spätere Inspektionen beim BND.

NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dazu hat Edward Snowden enthüllt.

Die Prüfung zeigt laut Golke im Prinzip auf, wie eine Vereinbarkeit des Überwachungsgeräts mit den gesetzlichen Grundlagen erreicht werden könne. Es gehe nicht darum, ob die vor Ort hergestellt werde, das liege in der Verantwortung der geprüften Stelle. Beim Laborbesuch beim BND habe es eine wichtige Rolle gespielt, "Vertrauen aufzubauen", dass "die das so machen, wie in den Dokumenten beschrieben". Es sei wichtig, "welches Gefühl ich da habe". Der BSI-Vertreter plädierte selbst für ein erweitertes Prüfmandat auch für die Betriebsphase. "Da müsste ich einen anderen Hebel haben."

Der Zeuge hatte zunächst geschildert, dass er vom BND Powerpoint-Folien und ein Handbuch für das Gerät zum Ausleiten von Internetverkehr in einer frühen Version bekommen habe. Die Prüfung sei hauptsächlich auf dieser Grundlage erfolgt. Bei einer Zertifizierung müsse der Hersteller oder die Einsatzbehörde zeigen, dass sie "selbst geprüft" hätten. Dazu komme ein Termin vor Ort in der Entwicklungsphase.

Bei der Ausleitung sei es um die "strategische IP-Aufklärung" gegangen, erläuterte Golke. Die Rohdaten seien mittels eines T-Stücks an der Kopfstelle ins BND-Netz übernommen und "der ersten Verarbeitungsstufe zugeführt" worden. Schon dabei werde "unheimlich viel weggeschmissen", etwa anhand voreingestellter IP-Ranges für bestimmte geographische Bereiche.

Dieser sogenannte Separator hat dem Techniker zufolge zwei Eingänge und zwei Ausgänge. Den einen davon nenne der BND "Routine", da es um Daten aus der "reinen Auslandsaufklärung" gehe, bei denen "keine deutschen Staatsbürger involviert" seien. Alles andere müsse durch den Zweig, der für die Verkehre eingerichtet werde, für die Anordnungen nach dem G10-Gesetz zum Einschränken des Fernmeldegeheimnisses mit besonderen Anforderungen bestünden. Datenschützer und Verfassungsrechtler bezeichnen bereits diese Aufteilung in weniger und mehr geschützte personenbezogene Informationen als äußerst bedenklich.

Golke räumte ein, dass sich IP-Adressen mit der Zunahme vernetzter Geräte "immer weiter fragmentieren" und es immer schwieriger werde, ganze Reihen von Netzkennungen vorschriftsmäßig auszusondern, die einen deutschen Bezug haben. Ob der BND wirklich sauber trenne, sei außerhalb seines Prüfauftrags gewesen. Wer hier auf eine 100-Prozent-Garantie dränge, nähme dem Geheimdienst jegliche Möglichkeiten zur strategischen Fernmeldeaufklärung. Inwiefern der BND im Folgegang bei der umstrittenen Operation Eikonal "Routineverkehre" an die NSA weitergegeben habe, habe nie zur Debatte gestanden.

Das erste Filtergerät bestehe aus kommerziellen Hard- und Firmware, dazu komme eine Software vom BND, führte der Zeuge aus. Es gebe einen LAN-Port fürs Management, der passive Zugriffe erlaube. Damit könne der Dienst etwa zu schauen, ob die Geräte noch reagieren. Ein weiterer Fernzugriff sei ausgeschlossen und es gebe keinen Datenabfluss "ohne Wissen des BNDs". Für die eigentliche G10-Filterung werde in der nächsten Bearbeitungsstufe das System Davis verwendet, erläuterte Golke. Diese übersetze quasi die G10-Anordnungen und die darin gestatteten Suchbegriffe in Code. Mit dem Betrachten dieser Komponente sei die BSI-Analyse beendet gewesen.

Der Zeuge erstellte nach eigenen Angaben im Anschluss einen Prüfbericht mit einzelnen Empfehlungen etwa zum strikteren Begrenzen des abzuschöpfenden Datenvolumens, zum Deaktivieren von Möglichkeiten zum Ansteuern des Routers oder zum Einhalten von Löschpflichten. Insgesamt habe er dem Gerät bescheinigt, dass es "in ausreichendem Maß den Anforderungen" der einschlägigen Telekommunikations-Überwachungsverordnung (TKÜV) genüge. Ob der BND die erteilten Ratschläge befolgt habe, sei ihm nicht bekannt. (mho)