BND-Techniker zu Operation Eikonal: Internetüberwachung sprengt den Gesetzesrahmen

Der technische Leiter der Operation Eikonal beim Bundesnachrichtendienst hat eingeräumt, dass sich die geheimdienstlichen Praktiken der Netzüberwachung nicht mehr im Einklang mit der Rechtlage befänden.

In Pocket speichern vorlesen Druckansicht 90 Kommentare lesen
Der Skandal erreicht den Bundestag
Lesezeit: 5 Min.
Inhaltsverzeichnis

Die gesetzlichen Vorgaben zur "strategischen Telekommunikationsüberwachung" sind nicht mit den internationalen Datenverkehren im Internet vereinbar: In dieser Ansicht konnte sich die Opposition bestätigt fühlen, nachdem am Donnerstag die Vernehmung eines unter dem Kürzel A. S. firmierenden Zeugen des Bundesnachrichtendienstes (BND) im NSA-Untersuchungsausschuss des Bundestags anstand. Es könne gut sein, erklärte der BND-Techniker auf eine Frage des grünen Obmanns Konstantin von Notz, dass die Wirklichkeit des Datenabsaugens nicht mehr mit der Rechtslage zusammenpasse.

Es sei im Geheimdienst selbst angesprochen worden, "dass man ein neues Gesetz bräuchte", führte der technische Leiter der Operation Eikonal aus, in deren Rahmen der BND einen Frankfurter Netzknoten der Deutschen Telekom anzapfte und einen Teil der abgezogenen Daten an die NSA weiterleitete. Er selbst habe diese Notwendigkeit verspürt, nachdem beim paketvermittelten Internetverkehr "schwachsinnige" Empfehlungen zum Einhalten der Auflagen zum Grundrechtsschutz nach dem G10-Gesetz gekommen seien.

NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dazu hat Edward Snowden enthüllt.

Den Vorgaben zufolge darf der BND 20 Prozent der internationalen Telekommunikation einsaugen und nach vorab genehmigten Begriffen durchsuchen. Ein Vorschlag habe beim Übertragen der Regel aufs Internet gelautet, nur jedes fünfte Datenpaket zu verwerten, erinnerte sich der Zeuge. Dies hätte aber keinen Sinn gemacht, da so etwa eine E-Mail aufgrund der fehlenden Bestandteile nie mehr hätte zusammengesetzt werden können. Der BND sei schließlich dazu übergegangen, sich auf zwei Leitungen zu beschränken, wenn es zehn auf einer anvisierten "Strecke" gegeben habe. Diese beiden Kanäle seien dann vollständig erfasst worden.

Im Internetsektor habe es der BND üblicherweise mit 10-GBit/s-Leitungen zu tun gehabt in Zeiten des Eikonal-Starts 2004, erläuterte A.S. Dieses Volumen sei mit handelsüblichen Geräten nicht auszuleiten gewesen, sodass der BND eine eigene Lösung mit einem Separator und einem G10-Filter gebaut habe. Von den "Auslandsverkehren" sei nach dem ersten Sortierverfahren "etwa ein Prozent der Datenrate übrig geblieben". Besondere Aufforderungen etwa zum Erfassen von Metadaten habe es nicht gegeben. Dass es um eine Datenweitergabe an die NSA gehen sollte, sei ihm bewusst gewesen. Eine Kooperation mit der US-Behörde beim direkten Ausleiten habe aber nicht bestanden.

Bei leitungsgebundenen Telefonverkehren sind dem Zeugen zufolge "ungefähr 622 MBit/s" angelandet und dann gefiltert worden. "Niemand außer dem BND kommt an die Daten ran", versicherte er. Man hätte auch alle acht Sekunden eine CD brennen müssen, wenn man den Verkehr jenseits der offiziellen Kanäle hätte abzweigen wollen. Sogenannte Snapshots zum Aufzeichnen eines Signals direkt am Kabel seien nur erstellt worden, um die Parameter zu bestimmen, "die wir für die Einstellung der Geräte brauchen".

Beim Zertifizieren des Erfassungssystems für Eikonal durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe "Einvernehmen geherrscht", dass nur eine "Typ-Prüfung" durchgeführt werde. Den einschlägigen BSI-Bericht und dessen Empfehlungen für Korrekturen habe er nicht gesehen. Für die Kooperation mit der Prüfstelle sei die Projektentwicklung beim BND zuständig gewesen. Die angeratenen Maßnahmen seien aber bestimmt umgesetzt worden: "Es ist unsere Philosophie, das Vertrauen des BSI nicht zu missbrauchen."

Zugleich räumte A. S. aber ein, dass ein Teil des Erfassungssystems "Geräte von den Amerikanern" gebildet hätten und der BND dies "dem BSI nicht gesagt" habe. Eine weitergehende Überprüfung dieser Komponenten wäre aber möglich gewesen: er selbst habe "die Sachen auseinandergebaut". Demnach handelte es sich mehr oder weniger um handelsübliche Bestandteile: "Die kochen auch nur mit Wasser."

Bernd Köbele, bis vor Kurzem Jurist bei der Telekom im Bereich staatliche Sonderauflagen, berichtete anschließend, die Konzernzuständigen seien überrascht gewesen, als der BND 2003 erstmals an "Transitleitungen" heran wollte. Sie hätten Bedenken vorgebracht wegen eines möglichen Verstoßes gegen das Fernmeldegeheimnis, das der Experte zu diesem Zeitpunkt auch durch massive Anfragen von Strafverfolgern entwertet sah. Ein halbes Jahr später sei ein Schreiben aus dem Bundeskanzleramt gekommen, mit dem dieses die Einwände zurückgewiesen habe. Damit seien diese erledigt gewesen, was auch der Telekom-Vorstand so gesehen habe. Juristisch liege damit die Verantwortung ganz oben. Das Kanzleramt sei ja nicht irgend ein "Dorfsheriff".

Anfang 2004 sei dann der umstrittene Vertrag zum Ausleiten leitungsgebundener Kommunikation ausgehandelt und dieser später beim Anzapfen von Internetleitungen mit "Mischverkehren", die Kommunikation deutscher Nutzer enthalten können, auf Drängen der Telekom durch G10-Anordnungen ersetzt worden, gab Köbele zu Protokoll. Wenn er damals über den Deal mit der NSA im Bilde gewesen wäre, wäre die Sache wohl sensibler behandelt und zumindest noch einmal in den Vorstand gebracht worden. Das mit dem Datentransfer habe er aber erst Jahre später der Presse entnommen. Der BND habe jenseits des Frankfurter Knotens auch an die Seekabel-Endstelle im ostfriesischen Norden heran gewollt. Dieses Projekt sei aber nicht umgesetzt worden. Die entsprechende Glasfaserleitung selbst soll der britische Geheimdienst GCHQ mit der Operation Tempora angezapft haben. (jk)