Geheimakte BND & NSA: Operation Eikonal – das Inland als "virtuelles Ausland"

Inhaltsverzeichnis

Im Rahmen der Geheimoperation Eikonal erschloss sich der Bundesnachrichtendienst mithilfe der NSA die weite Welt der Internetüberwachung im großen Stil. Rechtlich ging er dabei in vielerlei Hinsicht über Leichen, die Grundrechte und mehrere nachgeordnete Gesetze blieben auf der Strecke. Im Kern geht es um die Überwachung ganzer Internetknoten und darüber ausgetauschter immenser Datenmengen mit juristischen Befugnissen, die allenfalls auf den leitungsgebundenen, deutlich überschaubaren Telefonverkehr oder allenfalls noch auf einzelne Satellitenverbindungen ausgerichtet sind.

Die Süddeutsche Zeitung und der WDR zerrten erste Umrisse des Projekts ein Jahr nach den Snowden-Enthüllungen Anfang Oktober 2014 ans Licht der Öffentlichkeit. Der BND begann demnach zwei Jahre nach dem 11. September 2001 mit den Probebetrieb und zapfte von 2004 an zunächst "leitungsvermittelte" Telefongespräche an einem Frankfurter Netzknoten ab. Wie erst später bekannt wurde, handelte es sich um einen Übermittlungspunkt der Deutschen Telekom und anfangs noch nicht um Ressourcen des großen Knotens De-Cix, an dem zahlreiche Provider ihre Daten untereinander austauschen.

Mehr Infos

Geheimakte NSA-Ausschuss

Der NSA-Ausschuss des Bundestags beleuchtet seit 2014 die Überwachungspraxis vor allem der deutschen Geheimdienste und macht dabei auch die Verschleierungsversuche der Regierung deutlich. heise online blickt in einer ausführlichen Serie zurück.

Die einzelnen Kapitel erscheinen im Wochenrhythmus und zwar in der folgenden Gliederung:

• 1. Verpuffter Skandal
• 2. Schockwellen in Deutschland
• 3. Das Merkel-Handy als Katalysator
• 4. Wie der NSA-Ausschuss tagt und tickt
• 5. Hilfe für den US-Drohnenkrieg
• 6. Bad Aibling und die "Weltraumtheorie"
• 7. Grundrechte adé
• 8. Operation Eikonal
• 9. Die rätselhafte Supergeheim-Operation Glotaic
• 10. Der BND am größten Internetknoten
  
• 11. Achtung, Freund hört mit
• 12. Ansätze für eine demokratische Geheimdienstkontrolle

Im November 2005 folgte an gleicher Stelle der Testbetrieb der Internetüberwachung und damit der eigentliche Sündenfall. "Abgefangen werden die Millionen Daten mithilfe von US-Technik", schrieben die Enthüller. Doch die brenzlige Kooperation, bei der im Gegenzug Informationen auch an die NSA flossen, habe von Anfang an unter keinem guten Stern gestanden. So habe der BND als Juniorpartner laut einem eigenen Vermerk angesichts seiner "technischen Unterlegenheit" gar nicht überprüfen können, ob der "große Bruder" sein Versprechen einhielt, sich "auf deutschem Boden an deutsches Recht" zu halten. Es sei "real nicht möglich" gewesen, die "volle Kontrolle" über das Projekt zu behalten.

Überwachung mit dem Staubsauger

Um zu ermessen, wie heikel die Operation Eikonal war, ist ein Blick auf die Rechtsgrundlagen nötig, auf denen der BND prinzipiell agiert. Als größte Hürde für die Spione beziehungsweise als Schutzmantel für die Bürger kommt immer wieder Artikel 10 des Grundgesetzes ins Spiel, der ein umfassendes Telekommunikationsgeheimnis etabliert. Wie weit das reicht, ist jedoch umstritten. Zunächst bildet der grundsätzliche Schutz der Telekommunikation aber einen Block, an dem auch Sicherheitsbehörden nur unter engen Umständen auf Basis eigener, gesetzlich verankerter Befugnisse vorbeikommen können.

Eine wichtige Regel für den BND ist das sogenannte G10-Gesetz, das Artikel 10 einschränkt. Es erlaubt den Geheimdiensten zum einen Überwachungsmaßnahmen gegen einzelne Personen beim begründeten Verdacht auf schwere Straftaten wie Hoch- oder Landesverrat, Gefährdung des demokratischen Rechtsstaats oder der äußeren Sicherheit, Terrorismus oder Sabotage von IT-Infrastrukturen. 2014 genehmigte das Parlamentarische Kontrollgremium (PKGr) insgesamt 218 solche Beschattungen. Der Großteil davon entfiel mit 148 Anordnungen auf das Bundesamt für Verfassungsschutz, auf Rang 2 folgte der BND mit 67 Genehmigungen.

Den deutlich größeren Part spielt die viel breiter gestreute und damit sensiblere zweite vom G10-Gesetz vorgesehen Überwachungsvariante allein für den Auslandsgeheimdienst. Sie hört auf den Titel "strategische Fernmeldeaufklärung". Der sperrige Begriff beschreibt eine Art Datenstaubsauger, mit dem der BND internationale Telekommunikation anlasslos, also ohne Verdacht auffangen, sieben und durchsuchen darf. Dies galt zunächst für Satelliten- und Funkverbindungen, später für die leitungsgebundene Telefonie und inzwischen auch für die paketvermittelte Internetkommunikation.

Auf der Suche nach Selektoren

Der BND durchforstet mit dem Überwachungsinstrument die internationale Telekommunikation nach tausenden genehmigten Suchbegriffen alias Selektoren in drei Gefahrenbereichen. Der größte davon ist in der Regel der Sektor "Internationaler Terrorismus". Allein dort blieben 2014 auf Basis von rund 960 Suchwörtern 14.604 Verkehre hängen, die meisten davon aus dem Bereich Internet und E-Mail. Im Bereich "Proliferation und konventionelle Rüstung" ließen die parlamentarischen Aufseher im ersten Halbjahr 2014 11.670 Suchbegriffe zu, im zweiten Halbjahr aber nur noch 2087. Der Sektor "Illegale Schleusung" spielt traditionell keine so große Rolle. Hier "qualifizierten" sich 2014 anhand 28 Suchbegriffen 17 Kommunikationsakte, von denen aber keiner als Basis für eine eigene "Meldung" der Agenten herangezogen wurde.

Kontrolliert wird die strategische Telekommunikationsüberwachung, die einen Schwerpunkt der Technischen Aufklärung alias Sigint ("Signal Intelligence") darstellt, von einer speziellen, ans PKGr angebundenen Instanz, der G10-Kommission. Sie setzt sich zusammen aus einem Vorsitzenden, der die Befähigung zum Richteramt haben muss, drei Beisitzern sowie vier stellvertretenden Mitgliedern. Dies tagt in der Regel nur einmal im Monat, wobei wenig Zeit bleibt, dem BND auf die Finger zu schauen und dessen mannigfaltige Überwachungsmaßnahmen im Blick zu halten.

Das eigentliche "Kerngeschäft" des BND stellt ein anderer Bereich dar, der weder vom PKGr noch von der G10-Kommission geprüft oder bewilligt wird. Dabei geht es um die gesamte Telekommunikation, die keinen Bezug zu Deutschland hat und allein im Ausland stattfindet. Die Bundesregierung und der Geheimdienst sehen diese Form der Spionage legitimiert durch das BND-Gesetz. Staats- und Verfassungsrechtler halten davon jedoch gar nichts.

Unkontrollierte Auslandsüberwachung

Fakt ist, dass die Behörde beim Abfangen der sogenannten Ausland-Ausland-Verkehre derzeit weitgehend freie Hand hat. Solange keine deutschen Grundrechtsträger betroffen seien, "sind die Daten zum Abschuss freigegeben", meinte der BND-Techniker T. B. im November 2014 im Ausschuss. Ein gewisses Ziel müsse aber dahinterstecken, ergänzte er rasch, als viele Abgeordnete mit den Augen rollten. Zudem gälten Grundprinzipien des Datenschutzes an sich natürlich generell.

Trotzdem geht der Auslandsgeheimdienst bei Überwachungsmaßnahmen in fremden Ländern sehr freizügig zu Werke. Dies zeigt sich schon an dem Begriff, der für dabei abgefangene Kommunikation im eigenen Hause üblich ist: "Routineverkehre" ist der BND-Jargon dafür. Das Unwort steht für Kommunikation und Daten Dritter, die en passant ständig anhand täglicher Muster eingefangen, analysiert und ohne Auflagen auch an Partner wie die NSA weitergegeben werden können. Auch sensible Verbindungsdaten wie IP-Adressen oder Standortangaben aus dem Mobilfunk fallen für die Agenten darunter, da sie diesen in der Regel einen Personenbezug absprechen.

BND verharmlost massive Auslandsüberwachung

Zurück zur Operation Eikonal, die für den BND in vielerlei Hinsicht ein Novum darstellte. Erstmals wollte der Geheimdienst nach den Anschlägen in New York und Washington an einen Internetknoten heran mit einer Datenleitung in einer Größe, die im Hause gewohnte Maßstäbe deutlich überschritt. Technisch war die Behörde so größtenteils auf die NSA angewiesen, die bei der Netzspionage schon deutlich weiter war.

Doch auch rechtlich galt es, zahlreiche Fallstricke zu überwinden. Dies fing schon damit an, dass der BND mit seinem Datenstaubsauger nur internationale Verkehre abhören darf, keine rein innerdeutsche Kommunikation. Die Agenten mussten Frankfurt so mit einer weiteren "Theorie" ins "virtuelle Ausland" verlagern. Dahinter verbarg sich die Idee, dass die Daten von "Transit-Kabelstrecken" erfasst werden, die zwischen zwei Punkten im Ausland verlaufen und Deutschland nebst die Mainmetropole nur durchqueren. Ein Zugriff an dem Knoten der Telekom sei daher genauso zulässig wie einer jenseits der Grenzen der Bundesrepublik.

Weiter gingen die Schwierigkeiten trotz dieses Konstrukts mit der Rechtsgrundlage für die damals ungewöhnliche Maßnahme, die dem Bonner Telekommunikationskonzern gegenüber doch irgendwie angegeben werden musste. Mit welchen Genehmigungsvorbehalten würde der einstige Staatsbetrieb sich zufriedengeben, lautete die spannende Frage. Schließlich war auch das angenommene Ausland nicht wirklich Ausland, auch wenn das große Interesse des mit zu versorgenden US-Partners auf "Routineverkehren" lag. Auch die Basis für die Datenweitergabe musste sich der BND irgendwie zurechtzimmern. Insgesamt eine schwierige Aufgabe, die von vornherein nicht ohne Abstriche zu bewältigen sein schien.

Kein Auftrag zum Gesetzesbruch

Im NSA-Ausschuss äußerte sich mit W. K. erstmals ein Unterabteilungsleiter der BND-Einheit "Technische Aufklärung" im November 2014 zu Eikonal. Die Operation sei für den BND selbst im Sinne einer "technischen Ertüchtigung" im Anti-Terror-Kampf wichtig gewesen, gab der Insider zu Protokoll. Die Deutschen seien aber nicht beauftragt worden, in Frankfurt etwas zu tun, was der NSA dort nicht erlaubt gewesen wäre. Keiner der Partner habe nationale Gesetze durch einen "Ringtausch" von Daten umgangen.

Ausgeleitete Daten seien im Zuge des Projekts auch nicht direkt an den US-Partner weitergeleitet worden, behauptete W. K. Vielmehr habe die NSA pro Jahr etwa 100 ausgewählte Inhaltsdaten in Form relevanter Telefonate oder E-Mails beispielsweise erhalten. Die kolportierten 500 Millionen Verbindungs- und Standortdaten, die der BND allein im Dezember 2012 in Krisenregionen wie Afghanistan erfasst und an die NSA weitergeleitet haben soll, stammten aus der Satellitenaufklärung von Bad Aibling.

"Da ist ein Bruchteil davon aus Afghanistan. Das ist unsere gesamte Erfassung.. Das ist nicht anlasslos. Das ist selektiv." BND-Unterabteilungsleiter W.

Die US-Seite hatte sich von der Zusammenarbeit laut dem Zeugen viel mehr versprochen, was der BND aufgrund der Gesetzeslage aber nicht hätte liefern können: Die Enttäuschung beim Gegenüber sei daher "natürlich enorm" gewesen. Letztlich habe die NSA aber akzeptiert, dass sich der BND von seinen Vorgaben nicht habe "wegbewegen" können. Im Endeffekt sei die Operation eingestellt worden, ohne dass die NSA deswegen aber ersichtlich "weniger hilfsbereit" geworden wäre. Über Nachfolgeprojekte wollte sich W. K. öffentlich nicht äußern.

Abhören schier um jeden Preis

Umfassender berichtete wenig später der einstige BND-Jurist Stefan Burbaum, wie sich der Geheimdienst nach dem 11. September 2001 an eine ausgeweitete Internetüberwachung herantastete. Der "spannende Punkt" war aus seiner Sicht damals, ob die "Ableitung von Routineverkehren" aus einer gesetzlich prinzipiell zulässigen, aber zugleich beschränkten Maßnahme rechtmäßig gewesen sei. BND-Rechtsexperten waren also durchaus bewusst, dass sie einen Vorwand brauchten, um am Telekom-Knoten nicht nur gezielt konkrete "Gefährder" zu überwachen, sondern im großen Stil Kommunikation auszuleiten, zu durchsuchen und gegebenenfalls an Partner weiterzuleiten.

Um an die Internetdaten eines Netzbetreibers heranzukommen, braucht der Auslandsgeheimdienst in der Regel eine Anordnung nach dem Gesetz zur Beschränkung des in Artikel 10 garantierten Fernmeldegeheimnisses. Sonst käme es auf die Kooperationsbereitschaft des Telekommunikationsanbieters an, erläuterte Burbaum. Von einer solchen ist in der Regel nicht auszugehen, da bei einer "freiwilligen" Zusammenarbeit für den Provider keine Rechtssicherheit besteht.

Der BND unterscheide zu einem "sehr frühen Zeitpunkt", ob es sich bei einer eingesaugten Kommunikation um einen "G10-geschützten Verkehr" handle, konstatierte der Zeuge, der als Sachgebietsleiter für genau diesen Punkt im Bereich Technische Aufklärung in der damaligen BND-Zentrale in Pullach zuständig war. Sei dies nicht der Fall, kämen die Daten in "Routineprofile". Diese unterlägen nur dem allgemeinen Datenschutz, während das G10-Gesetz demgegenüber "grundrechtsfreundlicher", also strenger sei.

Diskussion um Rechtsgrundlage

Prinzipiell steht für den Juristen außer Frage, dass der Dienst auch entsprechende Routineverkehre erheben darf. Hier gelte ein "Erst-recht-Schluss": Wenn der BND Kommunikation verarbeiten dürfe, aus der deutsche Grundrechtsträger ausgefiltert wurden, sei es ihm auch erlaubt, weniger sensible Daten von Ausländern auf Basis des BND-Gesetzes zu erheben. Zu dieser Frage entspann sich eine heftige Diskussion zwischen Burbaum und André Hahn von den Linken. Letzterer betonte, dass es gar keine gesetzliche Grundlage gebe für den BND, um an Netzknoten heranzugehen.

Bei der Satellitenaufklärung oder dem Erfassen von leitungsgebundener Kommunikation wie Sprachtelefonie habe es mit diesem Ansatz nie Probleme gegeben, meinte der Zeuge. Zu seiner BND-Zeit sei dann aufgrund Bedenken der Telekom die Diskussion geführt worden, ob eine gängige G10-Anordnung überhaupt für die Überwachung des paketvermittelten Datenverkehrs im Internet gelte und ob in diesem Fall auch Routineverkehre auszuleiten und nutzbar seien.

Der BND habe diese Frage in einem Rechtsgutachten für das damals von Frank-Walter Steinmeier (SPD) geführte Kanzleramt bejaht, erklärte Burbaum. Offenbar seien die dortigen Juristen zu einer vergleichbaren Auffassung gekommen und hätten dem Betreiber schriftlich mitgeteilt, dass die gewünschten Verkehre ausgeleitet werden dürften. Dass sich darunter auch die in Umfang und Art nicht begrenzten "Routinedaten" befanden, wertete der Praktiker als Teil "anderer erwünschter Nebeneffekte" beim Nutzen gesetzlicher Befugnisse. Ein "Entweder-oder" dürfe es an diesem Punkt nicht geben.

"Es ist kein Trick, das zu tun, sondern es ist die Nutzung gesetzlicher Befugnisse, und das hat der BND gemacht mit dem Zweck, auf den diese gesetzlichen Befugnisse zielen." Ex-BND-Jurist Stefan Burbaum

Burbaum bestätigte, dass im "Routinebereich" ein Austausch mit ausländischen Geheimdiensten "üblich" sei: Sie "informierten" sich gegenseitig. Speziell zu behandelnde "G10-Daten" seien von einer solchen Weitergabe ins Ausland ursprünglich gänzlich ausgenommen gewesen; nach einer Rechtsänderung könne diese Auflage inzwischen unter bestimmten Umständen aber ausgehebelt werden.

Händische Prüfung

Prinzipiell finde eine Vorselektion statt, da ohne Suchkriterien überhaupt keine Daten herauskommen. Das Konzept, das zu seiner Zeit erstellt worden sei, habe zudem vorgesehen, dass Daten vor einem Transfer ins Ausland auf eine noch mögliche Relevanz für Grundrechtsträger händisch überprüft werden sollten.

Wie hoch der Anteil von Informationen über verfassungsrechtlich geschützte Personen nach dem automatischen Filterprozess gewesen sein könnte, vermochte der Jurist nicht zu sagen. Der BND habe von Anfang an versucht, IP-Adressen bestimmten Staaten zuzuordnen. Es sei aber klar gewesen, dass er damit allein nicht weiterkomme und eine "Kombination aus verschiedenen Selektionskriterien" benötige. Dabei sei es etwa darum gegangen, nach der Art der Kommunikation zu unterscheiden, also etwa nach einem paketvermitteltem Fax oder einer E-Mail.

Generell selektiert der BND Burbaum zufolge Daten schon beim Betreiber. Zunächst werde ein Übertragungsweg gedoppelt, die Kopie noch vor Ort in dort aufgestellte Systeme der Behörde eingeleitet und "im Fluss" bearbeitet. Erst wenn anhand formaler Kriterien kontrolliert worden sei, dass es sich um legal zu bekommende Verkehre handle, würden diese an BND-Niederlassungen übermittelt. Von einer "massenhaften Abfrage" von Informationen wollte der Zeuge dabei nicht sprechen. Was nach der G10-Selektion übrig bleibe, werde "vernichtet". Dabei handle es sich um den "größten Teil" von dem, was reinkomme.

Interpretationsspielraum bieten die gesetzlichen Vorgaben für den BND auch an anderer Stelle, wie Burbaum deutlich machte. Dies bezieht sich etwa auf die Schranke für die Spione, höchstens 20 Prozent der Übertragungskapazität einer Leitung fürs Rastern der internationalen Telekommunikation auswählen zu dürfen. Der Zeuge hielt fest: Wenn bei einem Glasfaserbündel normalerweise nur zehn Prozent der Gesamtkapazität ausgelastet seien, "kann ich sie zu hundert Prozent mitnehmen". Die vom Bundesverfassungsgericht aufgestellte Grenze wird damit völlig ausgehebelt.

In Wärme verrauchende Datenströme

Anfang Dezember führte der einstige Leiter der Operation Eikonal unter dem Kürzel S. L. die Parlamentarier in die Technik hinter dem Projekt ein. Demnach geht der BND beim Überwachen von Internetleitungen mit einem Splitter an ein Kabel. "Das können Sie sich eigentlich so vorstellen, wie wenn Sie daheim an die Fernsehantenne oder an den Kabelanschluss einen zweiten Fernseher anschließen", führte der Zeuge aus. Ein Teil des ausgeleiteten Spektrums gehe über den Splitter weiter an den Betreiber, der Rest zum BND über einen gesonderten Betriebsraum, der in der Regel angemietet wird. Dort bereite ein Multiplexer beziehungsweise ein Router bei Internetpaketen das Signal technisch so auf, dass es von einem gängigen Computer entlang der Protokollschichten des Netzverkehrs verarbeitet werden könne.

Daten deutscher Grundrechtsträger würden im Rahmen einer "mehrstufigen Filterkaskade" einschließlich technischer Vorarbeit und "betrieblicher" Nachsorge ausgesiebt, um dem in Artikel 10 Grundgesetz verankerten Fernmeldegeheimnis gerecht zu werden, unterstrich S. L. Dabei "versuchen wir so schnell wie möglich Material, das für uns nicht relevant ist, nicht weiterzuverarbeiten". Der entsprechende Signalanteil werde nicht gelöscht, sondern sei "einfach weg". Derlei Datenströme "verrauchen in Wärme in den Erfassungsgeräten", gab sich der Zeuge lyrisch. Die übrig gebliebenen "Ausland-Ausland-Verkehre" bezeichnete S. L. als den eigentlichen "Benefit" für die gesamte Operation.

Generell habe der Grundsatz gegolten, im Zweifel bei einem möglichen Bezug zu Grundrechtsträgern Daten zu löschen. Die US-Seite habe daher bereits seit Ende des Eikonal-Probebetriebs ihre Enttäuschung über die Ergebnisse geäußert mit dem Wortlaut: "Da muss doch mehr bei rauskommen." Da der BND die letztlich von Bad Aibling durchgeführte Filterung nicht verändert habe, sei die Kooperation 2008 nach vier Jahren eingestellt worden.

Den ersten Multiplex habe der BND von der NSA erhalten, da er die Glasfasererfassung vom US-Partner erst habe lernen müssen, befand S. L. Später wurde dies weitgehend mit kommerziell verfügbaren Geräten durchgeführt, die von der Bundesnetznetzagentur beziehungsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft worden seien.

Die typische Rohdatenrate einer angezapften Leitung habe bei "zweimal 5 Gigabit pro Sekunde" gelegen, gab S. L. zu Protokoll. Zum Vergleich: Gängige private Internetanschlüsse über Kabel bieten derzeit Download-Geschwindigkeiten von rund 100 Megabit pro Sekunde (MBit/s) an. "Abgelegt" wurden die Daten dem Projektchef zufolge, "wenn unser Zielprofil, unsere Selektoren über die gesamte Prozesskette erfüllt sind" und alles gepasst habe, "was in den Protokollen drin ist". So kämen "relativ wenig Daten" heraus. Das ausgewählte Material sei dann zunächst an die bisherige BND-Zentrale nach Pullach gegangen. Von dort seien die Daten nach Bad Aibling zur Kooperationsstelle mit der NSA mit einer Kapazität von 2 MBit/s übermittelt und sortiert worden.

Keine Zeit für Denkpausen

Kurz vor Weihnachten 2014 versuchte mit Reinhardt Breitfelder der "Vater" der geheimdienstlichen Internetüberwachung in Deutschland im Ausschuss, den Bundesnachrichtendienst gegen "ätzende Polemik" und "Totalopposition" zu verteidigen. Ihm zufolge hat die Behörde auch in der Kooperation mit der NSA beim Projekt Eikonal nicht große Teile der hiesigen Bevölkerung verdachtsunabhängig überwacht. Die Behörde habe den Regierungsauftrag zur Internetaufklärung vielmehr "nach besten Kräften erfüllt", nur mit dem Segen des Bundeskanzleramts mit der NSA zusammengearbeitet und sich "stets im Recht gewähnt".

Der langjährige Leiter der Abteilung Technische Aufklärung beim BND räumte ein, dass der BND in der Vorbereitung des Gemeinschaftsprojekts mit der NSA eine "Wunschliste Massenerfassung" in die USA geschickt habe. Für den Begriff "können Sie auch Internet nehmen", spielte der Zeuge den kniffligen Begriff aber herunter: "Wir haben nach allem gefragt, was gut und teuer ist und was wir nicht können." Der entsprechende "Honigtopf" sei dem BND dann für den Zeitpunkt zugesichert worden, wenn er die Überwachungsgeräte der NSA einsetzen könnte.

In Pullach habe sich damals die Einsicht verbreitet, dass die Welt der Nachrichtentechnik im raschen Wandel begriffen und das Internet "als Aufklärungsziel dominant" geworden sei. Es sei um die Fähigkeit gegangen, "riesige Datenmengen" in einer "rechtskonformen Analyse" zu beherrschen, also Informationen über Deutsche möglichst vollständig im Einklang mit Artikel 10 Grundgesetz zum Fernmeldegeheimnis auszufiltern.

Zum Erfolg verpflichtet

"Wir waren zum Erfolg verpflichtet", erinnerte sich der frühere Abteilungsleiter an die hohen von der Politik an die Behörde gerichteten Erwartungen. Die Technik zum Anzapfen von Glasfaserkabeln habe aber "große Probleme" bereitet, gestand er ein. Der ein oder andere Makel sei nicht auszuschließen gewesen: "Wer mit Technik umgeht, der muss sich damit abfinden, dass es absolut sichere Fehlerfreiheit nicht gibt." Die Entwicklungsfähigkeit beim BND habe vorne und hinten nicht gereicht wegen unzureichender personeller Kapazitäten. Da die NSA zwanzigmal so viele Mitarbeiter für die Netzspionage eingesetzt habe, "waren wir um Jahre in der Entwicklung zurück".

Um die Aufholjagd zu starten, kam die aufgefrischte Kooperation mit der US-Seite gerade recht. Diese sei "passgenau" entwickelt worden, gab Breitfelder zu Protokoll. "Do ut des", habe das Prinzip gelautet, wobei die NSA Technik und Know-how geliefert habe und dafür "an Ergebnissen" des geplanten Datenabgriffs an einem "Transitkabel" in Frankfurt "partizipieren" wollte. Ausgewählt worden sei extra eine Leitung, "wo Auslandsverkehre drüber laufen". Dass auch ein hoher Anteil an Daten deutscher Bürger darunter sein könnte, habe die Telekom dem BND nicht direkt mitgeteilt. Hier trübten den damals 69-Jährigen aber seine Erinnerungen.

Den Obmann der Grünen im Ausschuss, Konstantin von Notz, machten die Aussagen auf Basis der den Abgeordneten vorliegenden Akten rasch stutzig. Er konfrontierte den pensionierten Brigadegeneral mit einem internen BND-Vermerk zu Warnungen des Netzbetreibers. Auf mehrere Nachfragen hin erklärte Breitfelder schließlich im Widerspruch zu seiner früheren Aussage: "Der Provider hat uns gesagt, das bis zu 90 Prozent des Verkehrs unter das G10-Gesetz fallen." Der Anteil auszufilternder Kommunikation war also sehr groß und damit auch die Gefahr, dass doch Daten deutscher Bürger "durchrutschen" und an die NSA gelangen könnten.

Für von Notz war mit derlei absehbaren Grundrechtsverstößen klar: Der BND habe versucht, seinen Datenstaubsauger an die Internetleitung anzulegen trotz offensichtlicher Hinweise, dass "das Gesetz nicht passt". Anfangs hätten die Pullacher es sogar vermeiden wollen, eine G10-Anordnung für den Zugriff einzuholen, um sich den damit verknüpften erhöhten technischen und juristischen Aufwand zu ersparen

Mit Bauchschmerzen ins Neuland

Er habe "Bauchschmerzen" gehabt bei dem "damals schon recht heiklen" Vorstoß in Neuland, erläuterte Breitfelder. Es habe aber keine Zeit gegeben, "intellektuelle Turnübungen zu machen". Bei der Kooperation mit anderen Diensten im Ausland "konnten wir sonst machen, was wir wollten", gab der Ex-Offizier offen zu. Es sei den BND-Beteiligten aber klar geworden, dass dies in Deutschland nicht gehen würde. Es habe die Furcht bestanden, dass besonders geschütztes "G10-Material" mit abfließen könnte. Die Hausleitung habe die Zusammenarbeit mit der NSA generell gefördert, aber immer mit dem Hinweis, nicht gegen deutsches Recht zu verstoßen.

Das Konzept, das er in Rücksprache mit zwei ihm unterstellten Volljuristen erstellt habe, hat Breitfelder nach eigenen Angaben bei einem Abendessen im Haus des damaligen BND-Präsidenten August Hanning in Anwesenheit von Steinmeier vorgestellt, also des amtierenden Kanzleramtschefs. Die Telekom habe nach einiger Zeit aber offenbar "kalte Füße" bekommen und so sei die Idee geboren worden, eine G10-Anordnung zur strategischen Fernmeldeaufklärung zu erwirken. Damit habe der BND auch den sogenannten Routineverkehr erhalten, den die NSA haben wollte. Nach einem Brief vom Kanzleramt an den Betreiber seien so alle Parteien zufrieden gewesen. Parlamentarische Kontrollgremien hätten nicht nachgefragt und seien daher über das Vorhaben auch nicht informiert worden.

Mit dem Erfassen des Internetverkehrs unter strengen Filtervorgaben mit einem "Separator" möglicherweise weiterzuleitender Kommunikation sei dann 2006 begonnen worden, sagte Breitfelder. Außerdem habe es Pläne für das Anzapfen weiterer Kabel gegeben. Immer wieder sei von US-Seite moniert worden, dass der Test zu lange dauere und "magere Ergebnisse" bringe. Dazu habe wohl die restriktive Haltung beim BND geführt. In den Wirkbetrieb ging Eikonal dann nur kurz und wurde bald wieder eingestellt.

Schwachsinnige Anweisungen

Ende Januar 2015 bestätigte ein unter dem Kürzel A. S. firmierender BND-Zeuge vor den parlamentarischern Untersuchern im Kern die These der Opposition, dass die geheimdienstliche Wirklichkeit des Datenabsaugens nicht mehr mit der Rechtslage übereinstimmt. Es sei im Geheimdienst selbst angesprochen worden, dass ein neues Gesetz nötig sei, führte der technische Leiter des Projekts Eikonal aus. Er persönlich habe dies verspürt, nachdem beim paketvermittelten Internetverkehr "schwachsinnige" Empfehlungen gekommen seien, um Auflagen zum Grundrechtsschutz nach dem G10-Gesetz einzuhalten.

Ein Vorschlag habe beim Übertragen der Regeln von der Telefonie aufs Internet gelautet, nur jedes fünfte Datenpaket zu verwerten, erinnerte sich A. S. Dies hätte aber keinen Sinn gemacht, da so etwa eine E-Mail aufgrund der fehlenden Bestandteile nie mehr hätte zusammengesetzt werden können. Der BND sei schließlich dazu übergegangen, sich auf zwei Leitungen zu beschränken, wenn es zehn auf einer anvisierten "Strecke" gegeben habe. Diese beiden Kanäle seien dann vollständig erfasst worden.

Was die Sache rechtlich so schwierig machte: Während der Operation Eikonal, die bei der Telekom unter dem Namen "Transit" lief und damit noch auf die "alte" Kommunikationswelt anspielte, vollzog sich ein nicht im Handumdrehen zu bewerkstelligender Paradigmenwechsel in der Fernmeldeaufklärung. Während es im traditionellen, leitungsgebundenen Telefonsektor noch recht einfach war, reine Auslandsstrecken für die geheimdienstliche Überwachung auszuwählen und so Kommunikation deutscher Bürger von Anfang an weitgehend außen vor zu halten, ist im paketvermittelten IP-Verkehr eine solche Trennung kaum mehr zu bewerkstelligen.

Früher habe es im Rahmen der Geheimdienstüberwachung vor allem G10-Anordnungen gegeben, wenn Deutsche von der Spionage betroffen sein könnten mit entsprechenden Filterauflagen, ließ sich Wolfgang Alster, Ex-Leiter der Dienststelle für staatliche Sonderaufgaben im Januar 2015 entlocken. Das Abschöpfen von "Ausland-Ausland-Verkehren" sei gleichzeitig wohl allein mit Befugnissen aus dem BND-Gesetz begründet worden, mit dem weniger strenge Kontrollen verknüpft sind. Auf dieser Basis schloss die Telekom anfangs auch den "Transit"-Vertrag für Eikonal mit dem BND.

Seit 2004 habe die Telekom aber parallel zum Start des BND-NSA-Anzapfprojekts neue Netzstrukturen aufgebaut mit "immer stärker paketvermittelter Kommunikation", erläuterte der Oberamtsrat im Ruhestand. Auf diese passe der Begriff "Transit" nicht mehr, konstatierte er. Die Telekom wisse hier nicht, was auf einer Leitung liege und zu welchem Anteil Verkehre von Deutschen dabei seien.

Bedenken bei der Telekom

Bernd Köbele, damals Jurist bei der Telekom im Bereich staatliche Sonderaufgaben, berichtete wenig später den Abgeordneten, dass die Konzernzuständigen verblüfft gewesen seien, als der BND 2003 erstmals an "Transitleitungen" heran wollte. Sie hätten Bedenken vorgebracht wegen eines möglichen Verstoßes gegen das Fernmeldegeheimnis.

Bernd Köbele, Deutsche Telekom: Ich war – sage ich ganz gerne – erst mal etwas überrascht, aber ich habe dann mit einigem Nachdenken schon gesagt: Wenn ich die Konstruktion des Verwaltungshelfers bemühe – um jetzt mal juristisch zu argumentieren; das sollte Ihnen ja bekannt sein –, dann liegt die Verantwortlichkeit letztlich für die Rechtmäßigkeit nicht mehr bei der Deutschen Telekom.

Ein halbes Jahr später sei ein Schreiben aus dem Bundeskanzleramt gekommen, mit dem dieses die Einwände zurückgewiesen habe, sagte Köbele. Damit seien diese erledigt gewesen, was auch der Telekom-Vorstand so gesehen habe. Juristisch liege damit die Verantwortung ganz oben. Die Regierungszentrale sei ja nicht irgend ein "Dorfsheriff".

Anfang 2004 sei dann in einem ersten Schritt ein Vertrag zum Ausleiten leitungsgebundener Kommunikation ausgehandelt worden, gab Köbele zu Protokoll. Der Techniker Martin Helfrich, der ebenfalls bei der Telekom für "staatliche Sonderaufgaben" mit zuständig ist, hatte zuvor schon im Ausschuss zugegeben, dass für "Transit" zunächst keine offizielle G10-Anordnung eingeholt worden sei. Die für die BND-Kontrolle zuständige G10-Kommission hatte die Operation in ihrer Frühphase also nicht genehmigt.

Freibrief aus dem Kanzleramt

Mit einem reichlich lapidar wirkenden Satz brachte der frühere Geheimdienstkoordinator im Bundeskanzleramt, Ernst Uhrlau, am 30. Dezember 2003 das Projekt im "Neuland" ins Rollen, wie der österreichische Grünen-Abgeordnete Peter Pilz im Oktober 2015 publik machte. "Der vom Bundesnachrichtendienst in Ihrem Unternehmen geplante Aufklärungsansatz steht aus hiesiger Sicht in Einklang mit geltendem Recht", faxte der spätere BND-Präsident kurz und bündig an den damaligen Telekom-Chef Kai-Uwe Ricke sowie an den Leiter der zu diesem Zeitpunkt noch existierenden Festnetzsparte T-Com, Josef Brauner.

"Das Bundeskanzleramt ist sehr interessiert, dass der Bundesnachrichtendienst im Rahmen seines gesetzlichen Auftrages kabelgestützte Transitverkehre aufklärt", konstatierte Uhrlau laut dem Schreiben. Er dürfe daher auf diesem Weg "die Anregung" der Spitzel weitergeben, die Durchführung der "erforderlichen Maßnahmen zu beauftragen". Uhrlau selbst sprach bei seiner Vernehmung vor den Parlamentariern von einem "Freibrief", den auch der damalige Kanzleramtschef Steinmeier befürwortet habe.

"Die T-Com ist sich der Bedeutung eines gut funktionierenden Nachrichtendienstes für das Gemeinwesen der Bundesrepublik Deutschland – insbesondere vor dem Hintergrund der terroristischen Angriffe des 11. September 2001 – bewusst", schrieb Brauner dem Schriftverkehr nach am 13. Januar 2004 an Uhrlau zurück. T-Com werde daher die geplanten BND-Aktivitäten unterstützen.

Helfrich informierte den Geheimdienst im Februar laut den Papieren, dass der Konzern eine Multiplexleitung mit einer Übertragungsrate von 155 MBit/s "zugeschaltet", also zum Ausleiten und Duplizieren freigegeben habe. Darauf befänden sich vier der Strecken zwischen Luxemburg und Wien sowie Ankara, Prag und Moskau, die der Geheimdienst mit hoher Priorität erbat. Insgesamt soll die Leitung 63 Kanäle mit vergleichbaren Auslandsverbindungen umfasst haben.

Tragweite nicht erkannt

Erst deutlich später sei der Vertrag auf Drängen der Telekom durch G10-Anordnungen ersetzt worden, befand Köbele im Ausschuss. Leitungsvermittelte Telefonknoten habe der Bonner Konzern damals zum alten Eisen gelegt und ersetzt durch reine Internetkabel. Diese seien von vornherein von "Mischverkehren" geprägt gewesen, die naturgemäß Kommunikation deutscher Nutzer enthalten können. Wenn er damals über den Deal mit der NSA im Bilde gewesen wäre, meinte Köbele, hätte er die Sache wohl sensibler behandelt und zumindest noch einmal in den Vorstand gebracht. Das mit dem Datentransfer habe er aber kürzlich der Presse entnommen.

"Wir sind aber da an der Ecke dann hart geblieben, und dann hat man sich dazu wohl durchgerungen und hat entsprechend G-10-Anordnungen beigebracht. Damit fanden wir uns dann erst mal wieder in, ich sage mal, sicherem Terrain wieder, weil wir dann schlicht und einfach zur Umsetzung verpflichtet waren." Bernd Köbele (Deutsche Telekom)

Der BND habe jenseits des Frankfurter Knotens auch an die Seekabel-Endstelle im ostfriesischen Norden heran gewollt, fügte Köbele hinzu. Dieses Projekt sei aber nicht umgesetzt worden. Die entsprechende Glasfaserleitung soll der britische Geheimdienst GCHQ laut den Snowden-Papieren mit der Operation Tempora angezapft haben.

Ricke, der Ex-Vorstandsvorsitzende der Telekom, versicherte den Volksvertretern im Oktober 2014, nichts von "Transit" alias Eikonal mitbekommen zu haben. Mit dem Bereich Sicherheit sei der Chef in einem so großen Unternehmen zu seinen Zeiten nicht befasst gewesen, beteuerte der Spitzenmanager. Er konnte sich nur noch dunkel an das Fax aus dem Kanzleramt erinnern. Auf dieser Grundlage habe sein Konzern "die Kooperation wahrgenommen", solange es noch keine rechtliche Anordnung gegeben habe, auch Internetverkehr auszuleiten. Er selbst habe das an ihn gerichtete Schreiben aber gar nicht zu Gesicht bekommen.

Hätte Ricke die Unbedenklichkeitserklärung von ganz oben bewusst wahrgenommen, hätte er die Zusammenarbeit nach eigenen Angaben nicht einfach gebilligt. Er wäre stutzig geworden und hätte sich den Fall wohl zumindest genauer angeschaut, meinte er. Ein Abendessen mit dem damaligem BND-Chef August Hanning in einem Bonner Restaurant habe es gegeben, räumte Ricke ein. Diesen Termin habe er in seiner Stellung "zum Kennenlernen" wahrnehmen müssen. Ob es ein vorheriges Briefing gegeben habe, war ihm entfallen. Selbst der Name Hannings sagte ihm zu einem späteren Zeitpunkt des Kreuzverhörs nichts mehr.

Interner "Schwachstellenbericht"

Ganz geheuer war Eikonal der BND-Spitze wohl nicht. Zumindest erhielt die hauseigene Technikerin K. L. nach eigenen Angaben im Ausschuss im Februar 2007 den Auftrag von oben, eine "Dokumentation" über das Projekt zu verfassen. Die Anweisung, die sich seltsamerweise nicht in den Akten der Abgeordneten finden ließ, sei "sehr knapp gehalten" gewesen, ließ sich die Behördenmitarbeiterin Ende 2014 aus der Nase ziehen. Es sei darum gegangen, das Unterfangen gemeinsam mit vier Mitarbeitern neutral, ergebnisoffen und auch für Nicht-Techniker verständlich zu beschreiben. Die "G10-Problematik", Daten deutscher Kommunikationspartner im Sinne des Fernmeldegeheimnisses ausfiltern zu müssen, sei in der Aufgabenbeschreibung erwähnt worden.

Zu den Inhalten ihres geheim eingestuften Reports wollte die Insiderin sich in öffentlicher Sitzung so gut wie gar nicht äußern. Ihr Kollege S. L. hatte zuvor davon gesprochen, dass K. L. in ihrem Bulletin Fehler des Projekts sehr "drastisch" geschildert habe. Daher war intern nur vom "Schwachstellenbericht" die Rede.

"Ich habe versucht, sehr klar auf den Punkt zu kommen", kommentierte die Erwähnte die Darstellung nur kurz. Als sie Metadaten prüfte, die während der Operation angefallen und ihr zugemailt worden seien, sei ihr "etwas aufgefallen", teilte K. L. mit. Sie habe zwar nicht konkrete Daten deutscher Grundrechtsträger gesehen, die vorab auf jeden Fall hätten ausgefiltert werden müssen. Anhand der begutachteten Textdateien, die nach bestimmten Strukturen aufgebaut gewesen seien, habe sie aber entdeckt, dass einige Parameter grundrechtlich sehr heikel sein könnten. Dies habe sie "sofort gemeldet". Eine von ihr vorgeschlagene Abhilfe sei dann umgesetzt worden, bevor sie mit ihrer Arbeit fertig war.

"Ich hatte noch ein paar mehr Erkenntnisse", deutete die Zeugin düster an. Insgesamt habe es sich um eine komplexe Materie gehandelt, die sie erst Schritt für Schritt durchdrungen habe. Dazu habe sie sich eine eigene Methodik ausgedacht, die vor allem auf Interviews beruhte. Eingesetzte Hard- und Software habe sie sich "nicht direkt angeschaut", auch den Eikonal-Betriebsraum in Frankfurt bei der Telekom nicht. Sie habe nicht einmal gewusst, ob die Operation damals im Probe- oder im Wirkbetrieb war. Ihr sei es wichtiger gewesen, von den Beteiligten zu hören, "was sie tun". Anfang August 2007 habe sie das Werk abgegeben und offiziell nichts mehr dazu gehört.

Anzeichen von Zeugenbeeinflussung

Für Unmut bei den Abgeordneten sorgte das Eingeständnis von K. L., dass sie kurz vor ihrer Vernehmung bei Klaus-Dieter Fritsche (CSU) gewesen sei, dem Beauftragten für die Geheimdienste im Bundeskanzleramt. Diesem und seiner "Entourage" von etwa acht Leuten habe sie verständlich machen sollen, welche Schlussfolgerungen aus dem Bericht zu ziehen gewesen seien. Der damalige BND-Präsident Gerhard Schindler sei bei dem von Freitag auf Montag anberaumten einstündigen Termin dabei gewesen.

"Das riecht nach Zeugenbeeinflussung", monierte Hans-Christian Ströbele von den Grünen. Es sei gegebenenfalls sogar strafrechtlich problematisch, "wenn sich Zeugen zur Interpretation von Dokumenten abstimmen", legte die Linke Martina Renner nach. Fritsche sei schließlich zu diesem Zeitpunkt schon selbst als Zeuge "benannt" gewesen. Der Geheimdienstbeauftragte unterstrich im Juni 2016, dass im Rahmen der BND-NSA-Kooperation "gegen vorliegende Vereinbarungen gearbeitet wurde". Es dürfe nicht sein, dass bedeutende Fehlentwicklungen dem Kanzleramt nicht mitgeteilt worden seien. Vom Schwachstellenbericht habe er erst im März 2015 erfahren.

Klaffende Kontrolllücken

Von außen fiel die Kritik von Fachleuten an Eikonal noch deutlich stärker aus. Er sei über die Vorgänge in Frankfurt erst über die Medien im Nachgang informiert worden, wunderte sich der ehemalige Bundesdatenschutzbeauftragte Peter Schaar Anfang 2015 in dem Untersuchungsgremium. Die genauen Umstände des Projekts kenne er so nicht. Sollte es aber tatsächlich in erster Stufe auf Basis einer Absprache zwischen der Telekom und dem BND und ohne Anordnung nach dem eigentlich maßgeblichen G10-Gesetz zustande gekommen sein, sei es als rechtswidrig einzustufen: "Eine rein vertragliche Grundlage kann es nicht geben."

Für die mit der entsprechenden Überwachung verknüpften Grundrechtseingriffe reiche auch das BND-Gesetz nach "herrschender Meinung" nicht aus, betonte Schaar. Die verantwortlichen Telekom-Mitarbeiter könnten sich gar "strafrechtlich verantwortlich gemacht haben". Äußerst skeptisch beäugte der Experte die Praxis des Dienstes, nur Daten mit Bezug zu Bundesbürgern aus abgefischten Kommunikationsvorgängen herauszufiltern und die verbleibenden "Routineverkehre" an Partnerdienste weiterzugeben. Das G10-Gesetz spreche allgemein von "internationalen Datenverkehren", die alle geschützt seien. Ein "Umdefinieren" führe nicht dazu, dass der BND "aus dem Bereich des einschlägigen Rechts heraustreten kann".

Generell sei der nachrichtendienstliche Bereich "extrem schwierig zu kontrollieren", seufzte der Zeuge. Dies gelte speziell für Außenstellen und komplexe Dateisysteme, über die zunächst Kenntnis zu haben nötig sei. Beim BND seien Datenbanken aber mehrfach ohne formal nötige Einrichtungsanordnung aufgebaut und damit den Überwachern der Überwacher entzogen worden.

Vielfach haben der BND und die Bundesregierung laut Schaar Prüfungen durch die Datenschutzbehörde mit dem Hinweis verweigert, dass die G10-Kommission des Bundestags zuständig sei. Damit habe sich aber immer wieder eine "Schnittstellenproblematik" ergeben, besonders gravierend bei "Transitverkehren". Nach Ansicht der Bundesregierung falle diese Kommunikation nämlich nicht unter die strategische Fernmeldeaufklärung. Letztlich werde der Ausland-Ausland-Bereich so gar nicht geprüft.

Höchst unredlich

Hans de With, früherer Vorsitzender der G10-Kommission, bestätigte diese Kontrolllücke im März 2015 vor den Volksvertretern. Auch er uns die übrigen Mitglieder der Institution seien über Eikonal im Unklaren gelassen worden, empörte sich der SPD-Politiker. Wenn deutsche Telekommunikationsverkehre betroffen sind, bedürfte es einer Genehmigung der Kommission, "egal, was für ein Rattenschwanz noch dranhängt". Prinzipiell sei es also richtig gewesen, in zweiter Stufe auf Drängen der Telekom eine G10-Anordnung für das Vorhaben einzuholen.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

• Mehr zum Feuilleton "Missing Link"

Allerdings hat der BND seine parlamentarischen Kontrolleure über das brisante "Anhängsel" nicht informiert, also das Abgreifen und den Transfer der Ausland-Ausland-Kommunikation. Dabei wäre er an diese ohne das Plazet der Kommission nicht herangekommen. Eine solche "Verquickung von Maßnahmen hätte uns mitgeteilt werden müssen", betonte der düpierte de With. Der BND hätte das ungewöhnliche Verfahren ihm und seinen Mitstreitern "differenziert darlegen müssen". Sollte der Auslandsgeheimdienst in der Tat eine "vorgeschobene Genehmigung" genutzt haben, um an das Kabel heranzukommen, "wäre das im höchsten Maße unredlich".

Berichten zufolge funktionierte der vom BND bei Eikonal eingesetzte Filter nicht gut genug; rund fünf Prozent Daten Deutscher sollen zeitweise durchgerutscht sein. "Das wäre der Knackpunkt gewesen", meint der Sozialdemokrat. Der Geheimdienst habe dem Kontrollgremium seine Filtersysteme nie vorgestellt. Er sei davon ausgegangen, dass es mit den BND-Überwachungsanträgen "seine Richtigkeit" habe: "Wir hatten keine Hinweise auf Tricksereien."

Insgesamt plädierte de With für eine Generalrevision der Gesetzesgrundlagen für die Spionageaktivitäten des BND. Er persönlich sei dafür, das Abhören und Datensammeln im "offenen Himmel" vom Schutz des Fernmeldegeheimnisses erfasst zu sehen und der Kontrolle der G10-Kommission zu unterstellen. Zu klären sei etwa auch, wie die Weitergabe personenbeziehbarer Daten wie IP-Adressen an Dritte durch den BND besser überprüft werden könne.

Gefühlsbetonter Systemsicherheitscheck

Wie sich im Januar 2015 herausstellte, war es mit der von den Agenten vielfach ins Feld geführten Zertifizierung von Überwachungstechnik für Eikonal und andere Internetoperationen ebenfalls nicht weit her. Martin Golke vom zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte den Abgeordneten, dass die eingesetzten, teils von der NSA gelieferten Gerätschaften nur auf Grundlage von Dokumenten wie Powerpoint-Folien oder einem Handbuch freigegeben würden, die der BND den Prüfern selbst zur Verfügung stelle. Am Einsatzort werde das Equipment nicht getestet: "Das läuft an vielen Stellen auf Treu und Glauben hinaus."

Der Check zeigt laut Golke im Prinzip nur auf, wie theoretisch eine Vereinbarkeit des Überwachungsgeräts mit den gesetzlichen Grundlagen erreicht werden könne. Die Umsetzung der Vorgaben liege in der Verantwortung der geprüften Stelle. Beim Laborbesuch beim BND habe es daher vor allem eine Rolle gespielt, "Vertrauen aufzubauen", dass "die das so machen, wie in den Dokumenten beschrieben". Viel hänge davon ab, "welches Gefühl ich da habe". Der BSI-Vertreter plädierte selbst für ein erweitertes Prüfmandat auch für die Betriebsphase. "Da müsste ich einen anderen Hebel haben."

Bei der Ausleitung in Frankfurt sei es um die "strategische IP-Aufklärung" gegangen, erläuterte Golke. Die Rohdaten seien mittels eines T-Stücks an der Kopfstelle ins BND-Netz übernommen und "der ersten Verarbeitungsstufe zugeführt" worden. Schon dabei werde "unheimlich viel weggeschmissen", etwa anhand voreingestellter IP-Adressbereiche für bestimmte geografische Regionen.

Dieser sogenannte Separator hat dem Techniker zufolge zwei Eingänge und zwei Ausgänge. Den einen davon nenne der BND "Routine", da es um Daten aus der "reinen Auslandsaufklärung" gehe, bei denen "keine deutschen Staatsbürger involviert" seien. Alles andere müsse durch den Zweig, der für die Verkehre eingerichtet werde, für die Anordnungen nach dem G10-Gesetz zum Einschränken des Fernmeldegeheimnisses mit besonderen Anforderungen bestünden.

Golke räumte ein, dass sich IP-Adressen mit der Zunahme vernetzter Geräte "immer weiter fragmentieren" und es immer schwieriger werde, ganze Reihen dieser Internetkennungen vorschriftsmäßig auszusondern, die einen deutschen Bezug haben. Ob der BND wirklich sauber trenne, sei außerhalb seines Prüfauftrags gewesen. Wer hier auf eine 100-Prozent-Garantie dränge, nähme dem Geheimdienst jegliche Möglichkeiten zur strategischen Fernmeldeaufklärung. Für die eigentliche G10-Filterung werde in der nächsten Bearbeitungsstufe ein spezielles Datenfiltersystem ("Dafis") verwendet. Dieses übersetze die G10-Anordnungen und die darin gestatteten Suchbegriffe in Code. Mit dem Betrachten dieser Komponente sei die BSI-Analyse beendet gewesen.

Der Zeuge erstellte nach eigenen Angaben im Anschluss einen Prüfbericht mit einzelnen Empfehlungen etwa zum strikteren Begrenzen des abzuschöpfenden Datenvolumens, zum Deaktivieren von Möglichkeiten zum Ansteuern des Routers oder zum Einhalten von Löschpflichten. Insgesamt habe er dem Gerät bescheinigt, dass es "in ausreichendem Maß den Anforderungen" der Telekommunikations-Überwachungsverordnung (TKÜV) genüge. Ob der BND die erteilten Ratschläge befolgt habe, sei ihm nicht bekannt.

Die Opposition attestierte der Zertifizierung gravierende Lücken: "Der Prüfmodus irritiert mich", sagte die Linke Renner. Der Grüne von Notz sprach von einer reinen "Schlüssigkeitsprüfung", die mit einem TÜV-Verfahren wie beim Auto wenig gemein habe. (mho)