NSA-Abhörskandal PRISM: Internet-Austauschknoten als Abhörziele
Mindestens ein Teil des über den Internet-Knoten De-CIX laufenden Datenverkehrs wird für den BND und andere "Bedarfsträger" ausgeleitet. Ein Zugriff ausländischer Dienste sei aber ausgeschlossen; eine Gesamtausleitung könne nicht unbemerkt bleiben.
Mindestens ein Teil des über den Internet-Knoten De-CIX laufenden Datenverkehrs wird für den BND und andere "Bedarfsträger" ausgeleitet. Das bestätigte ein Experte aus dem Umfeld des deutschen Austauschknotens gegenüber heise online. Am DE-CIX, das sich selbst als der weltgrößte Internet-Austauschknoten bezeichnet, werden derzeit als Spitzenlast insgesamt 2,5 TBit/s gemessen. Mit derzeit über 700 10/Gbit/s- und über 200 GBit/s-Ports sind über 500 Peering-Partner, darunter die meisten der großen Internet-Provider, zusammengeschlossen. Die Peering-Plattform des De-CIX soll in den nächsten Monaten auf 100 GBit/s ausgebaut werden.
Wie und in welchem Ausmaß deutsche Dienste auf die Datenströme in Frankfurt zugreifen, darüber darf der De-CIX laut dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10-Gesetz) keine Auskunft geben, sagte Klaus Landefeld, Vorstand Infrastruktur und Netze beim Interneptrovider-Verband eco. Aus Sicht des Verbandes fände man es sehr schade, dass die Politik die Betreiber mit den Knebelparagraphen allein lasse, sagte Landefeld.
Sowohl Justizministerien Sabine Leutheusser-Schnarrenberger als auch der Vorsitzende der G10-Kommission Hans De With haben die Abhörtätigkeit der deutschen Dienste bestätigt. De With hat sogar Aussagen zum Umfang gemacht: Im Rahmen der strategischen Aufklärung werde durchschnittlich auf rund 5 Prozent des Datenverkehrs zugegriffen, die vereinbarte Obergrenze von 20 Prozent des Datenverkehrs werde fast nie ausgeschöpft.
"Wie sollen De-CIX und eco reagieren, wenn solche Zahlen veröffentlicht werden", fragte Landefeld nun. Es fehle an einer Sprachregelung: "Wir sind zu einem Eiertanz gezwungen." Frühere Dementis wollte Landefeld in dieser Situation nicht wiederholen. Den Zugriff ausländischer Dienste, etwa der NSA, auf die De-CIX-eigene Infrastruktur schloss Landefeld dabei ebenso wie die niederländischen Kollegen vom AMS-IX aber erneut aus. Eine Gesamtausleitung aller Daten über die De-CIX-Switches könne nicht unbemerkt bleiben, versicherte er.
Das Kabelmanagement an den Switches wird dokumentiert. Die Gesamtüberwachung per Portspiegelung würde aber für jeden abgehörten 10-GBit/s-Port zwei weitere 10-GBit/s-Ports erforderlich machen – das ist nicht unbemerkt möglich. Sammlungen des gesamten Streams etwa durch das Splitten der Glasfaser (wie es etwa der britische Geheimdienst laut Guardian durchs Belauschen der Seekabel tut) sind aufwändig, weil parallel mächtige Glasfaserstrecken zur Ableitung notwendig sind. Geheimhaltung eines solchen Paralleluniversums wäre enorm kostspielig, Speicherung, Filterung und spätere Analyse noch nicht eingerechnet, meint Landefeld.
Technisch wesentlich einfacher, auch wegen der handlicheren Datenmengen, ist demgegenüber die Weitergabe von Verbindungsdaten per im RFC3954 standardisierten Netflow. Doch die erfordert eine Zusammenarbeit zwischen Diensten und Betreiber – nach deutschem Recht illegal.
In einer heiklen Situation befinden sich laut Landefeld und anderen Experten die am De-CIX peerenden und Carrier-Dienste anbietenden US-Unternehmen. Klopft die NSA mit einer Anordnung auf der Basis des Foreign Intelligence Surveillance Act (FISA) an, müssen sie entscheiden, ob sie gegen deutsches oder doch lieber gegen US-Recht verstoßen. Im Prinzip muss die NSA nur ein Rack weiter gehen, um auf De-CIX-Datenverkehre zuzugreifen, betonte ein Experte.
Würden sich die US-Betreiber – oder der De-CIX, sofern er von solchen Lauschaktionen wüsste – strafbar machen? Das wäre durchaus justiziabel, sagt der Grazer Jurist Matthias Kettemann. Es gebe sowohl einen zivilrechtlichen Anspruch, wenn ein Unternehmen die Daten seiner Kunden nicht gut schützt, als auch eine strafrechtliche Relevanz. Auch die Bundesanwaltschaft sieht das so. Sie untersucht jetzt die Vorgänge am De-CIX, bestätigte Landefeld.
Gegen deutsche Dienste vorzugehen, die Daten im Zuge der strategischen Aufklärung absaugen, sei schwieriger. Gehen also dem BND deutsche Bürger ins große Fangnetz, könnte der Verfassungsweg beschritten werden, meint Kettemann. Eine grundsätzliche Infragestellung der Praxis der strategischen Aufklärung im Internetbereich wegen mangelnder Verhältnismässigkeit (und überstrapazierter Überwachungsgesamtrechnung) sei dagegen nicht nur rechtlich, sondern auch faktisch ganz schön schwierig.
Die besten Erfolgsaussichten gebe es für zwischenstaatliche Klagen vor dem Europäischen Gerichtshof für Menschenrechte in Straßburg. Eine Klage Deutschlands gegen die Überwachungsmethoden der britischen Dienste etwa wäre durchaus möglich. Gegen die USA nütze dies aber nichts. Möglich ist allenfalls eine Beschwerde beim Menschenrechtsausschuss der Vereinten Nationen. Dort hatte sich die USA noch im vergangenen Jahr an die Spitze derer gestellt, die die Verabschiedung einer Erklärung von Cyber-Grundrechten durchgedrückt hatten.
Im Europaparlament wollen sich die Grünen für einen Resolutionsentwurf stark machen, der die Aussetzung der Datenweitergabe auf der Basis verschiedener Abkommen mit den USA ermöglichen. Auch das Safe-Harbour-Abkommen soll ausgesetzt und der Verhandlungsstart für das bilaterale Handelsabkommen mit den USA aufgeschoben werden. "Wir hoffen, dass wir dafür heute eine Mehrheit im Parlament bekommen", teilte der Grüne Jan Philip Albrecht auf Anfrage von heise online mit.
[Update 02.07.2013 15:55]:
Zur Klarstellung teilt Klaus Landefeld vom Eco-Vorstand nochmals mit:
Am DE-CIX können nicht unbemerkt Portspiegelungen stattfinden, dort kennt man jeden Port der Infrastruktur – das würde sofort auffallen und kann ausgeschlossen werden. Zu den Fragen, ob und in welchem Umfang für eine potentielle Ausleitung Ports benötigt würden und ob es zutrifft, das zwei Ports für jeden 10-Gbit/s-Port benötigt werden, kann ich keine Stellung nehmen. (jk)