Verrat oder Naivität: Die NSA-EU-Connection

Die Ausmaße der in Brüssel herrschenden Unsicherheitskultur werden immer deutlicher. Während nach dem Bekanntwerden der engen Zusammenarbeit des Verschlüsselungsexperten der EU-Kommission mit dem amerikanischen Supergeheimdienst NSA (National Security Agency) Ende vergangener Woche in Brüsseler Direktionsbüros Krisenstimmung herrscht und Journalisten nur noch an die Pressestelle der Kommission verwiesen werden, will das Europäische Parlament nun den Schleier rund um die "Sicherheitspraktiken" lüften. Schon jetzt zeichnet sich ab, dass die politischen Lenker der Europäischen Union gravierende Schwächen beim Geheimnisschutz haben und bei ihrer externen Kommunikation im "Mittelalter" des Informationszeitalters stecken geblieben sind.

Der Regensburger Europa-Abgeordnete Gerhard Schmid stellte gegenüber heise online zunächst klar, dass die sich mit bunten Programmen rund um eEurope schmückende Kommission beim "geheimen" Informationsaustausch mit Außenstellen und Weltorganisationen bisher grundsätzlich nicht auf E-Mail zurückgreift: "Die gesamte Kommunikation mit Washington, Russland oder Genf wird zunächst ausgedruckt und dann in ein Kryptofax gesteckt." Pläne zur Umstellung auf verschlüsselte E-Post gebe es frühestens für das nächste Jahr. "Der Stand der Kommunikation ist nicht auf der Höhe der Zeit", kritisiert der SPD-Politiker. Selbst das auch nicht immer als Schneller Brüter bekannte Auswärtige Amt kommuniziere mit Botschaften in aller Welt inzwischen per verschlüsselter Mail.

Nun mag ein Kryptofax ja vielleicht sogar mehr Vertraulichkeit bieten als eine von der Stange gekaufte E-Mail-Verschlüsselungssoftware. Doch die beiden bei der Kommission in Brüssel ihre Dienst verrichtenden Siemens-Geräte sind gut zehn Jahre alt und arbeiten hauptsächlich mit dem reichlich angestaubten Chiffriersystem Saville. Wirklich hanebüchen wird der bereits damit so gut wie ausgehebelte Dokumentenschutz bei der EU aber durch die Tatsache, dass der bei der Kommission über die Verschlüsselungstechnik wachende Beamte Desmond Perkins damit prahlte, das System von der NSA regelmäßig checken zu lassen – und zwar just vor einer Anhörung des Echelon-Ausschusses des EU-Parlaments Anfang Februar. In der Sitzung wollten sich die Abgeordneten eigentlich von einem Fachmann darüber aufklären lassen, wie man das globale Spionagesystem der NSA überlisten könnte.

Für Schmid, der den Echelon-Ausschuss leitet, stellt sich daher nun die Frage, wie groß das Sicherheitsloch der Kommission in Brüssel wirklich ist. Zwei Möglichkeiten sieht der Abgeordnete: Zum einen könnte der 65-jährige Perkins die Geräte wirklich für 14 Tage in die USA zur NSA gebracht haben. "Das käme eigentlich einem Verrat gleich, da der Geheimdienst dann Hintertüren hätte einbauen können", fürchtet Schmid. Andererseits könnte der alte Haudegen der Royal Navy nur den verschlüsselten Text der NSA zugespielt haben und seine Freunde dort zum Knacken der Botschaft aufgefordert haben. "Das würde einen Abgrund an Naivität aufzeigen, aber nicht sofort auf ein echtes Sicherheitsproblem hinweisen", urteilt der Ausschuss-Leiter.

Die drängenden Fragen will das Parlament in einer Anhörung mit dem kurz vor der Pensionierung stehenden Perkins am kommenden Dienstag besprechen. "Wir erwarten von der Kommission eine genauere Erklärung", verlangt Parlamentssprecher David Harley in einer Stellungnahme gegenüber heise online. Die bisher bekannt gewordenen Fakten ließen auf eine grobe "Insensibilität" der Kommissionsmitglieder schließen – "um es mal vorsichtig auszudrücken". Der britische Kryptochef der Kommission ist inzwischen zurückgerudert und behauptet nun, dass die Amerikaner die Verschlüsselungssysteme weder physisch noch regelmäßig überprüfen. Gleichzeitig pflegt er allerdings die Laissez-faire-Haltung, dass die NSA mit ihren Abhörsatelliten sowieso "alles mitlese".

Kommissionssprecher Jonathan Faull bemüht sich gleichzeitig um Schadensbegrenzung. Er bezeichnet die ganze Angelegenheit als "größeres Missverständnis" und betont immer wieder, dass "die Kommission zu keinem Zeitpunkt ihr System Dritten gegenüber geöffnet" habe. Außerdem würden die Maschinen ständig mit neuer Software auf den aktuellen Stand der Technik gebracht, um Sicherheitsbrüche zu vermeiden. Warum die Amerikaner in der Vergangenheit allerdings beispielsweise schon vor GATT-Verhandlungsrunden im Rahmen der Welthandelsorganisation über die Position der Europäer Bescheid wussten, kann der eifrige PR-Doktor nicht erklären.

Die bisherigen Reaktionen aus Deutschland zu dem Security-Snafu der sonst immer so auf Sicherheit im Internet pochenden und scharf gegen Cybercrime vorgehenden EU-Kommission sind von Unverständnis und Kritik geprägt. Nach Ansicht von Jörg Tauss, Beauftragter für neue Medien der SPD-Bundestagsfraktion, schielt die Kommission seit langem in Sicherheitsfragen zu stark nach Amerika. Gleichzeitig würde für die europäische Kryptoindustrie zu wenig getan. Spätestens die Diskussion um die den großen Lauschangriff auf die Surfer fordernden Enfopol-Papiere, die in enger Zusammenarbeit von europäischen und amerikanischen Polizeistellen hinter verschlossenen Türen ausgearbeitet wurden, hätten gezeigt, aus welcher Richtung der Wind wehe.

Andere Beobachter bemühen sich gleichzeitig um Schadenbegrenzung: Um das Vertrauen der Mitgliedsstaaten in die Kommission wiederherzustellen, schlägt Helga Schumacher, Sprecherin des Bundesdatenschutzbeauftragten, die Einrichtung eines Begleitgremiums mit Vertretern nationaler Experten vor. Es solle die Sicherheit der Kommunikationssysteme in Brüssel überprüfen. Otto Ulrich, Mitglied des Kollegiums der Europäischen Akademie zur Erforschung von Folgen wissenschaftlich-technischer Entwicklungen in Bad Neuenahr-Ahrweiler, geht noch einen Schritt weiter. Der langjährige Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert in Analogie zum neuen Verbraucherschutzministerium ein "Minsterium zum Schutz vor Überwachung durch befreundete Dienste". Von dort aus sollten "unabhängige Tigerteams die Prüfung der Sicherheitsfeatures der Kommission" angehen.

Siehe dazu auch Big Brother NSA in der EU-Kommission und den Artikel Das Ohr der NSA in der Europäischen Kommission in Telepolis. (Stefan Krempl) / (jk)