Geheimakte BND & NSA: Der BND spioniert am größten Internetknoten der Welt
Dass der größte Internetknoten der Welt in Deutschland liegt, war für den BND verlockend. Viel versuchte der Geheimdienst, um dort Daten abzuschnorcheln. Ob das rechtmäßig war, darf nicht zuletzt nach einem verheerenden Rechtsgutachten bezweifelt werden.
Eikonal und die Netzspionage bei der Telekom sowie die Glotaic-Episode waren nur der Anfang, wenig später nahm sich der BND ein deutlich größeres Ziel erneut in Frankfurt vor und wandelte dabei weiter auf den Spuren der NSA. Im Visier hatten die Agenten nichts weniger als die Internet-Drehscheibe De-Cix, die gemessen am Durchsatz den größten Austauschpunkt für Datenpakete weltweit darstellt. Durch den Knoten konnten schon 2015 theoretisch 12 Terabit pro Sekunde (TBit/s) fließen, rund 3,5 TBit/s wurden damals in der Regel tatsächlich übertragen.
Geheimakte NSA-Ausschuss
Der NSA-Ausschuss des Bundestags beleuchtet seit 2014 die Überwachungspraxis vor allem der deutschen Geheimdienste und macht dabei auch die Verschleierungsversuche der Regierung deutlich. heise online blickt in einer ausführlichen Serie zurück.
Die einzelnen Kapitel erscheinen im Wochenrhythmus und zwar in der folgenden Gliederung:
- 1. Verpuffter Skandal
- 2. Schockwellen in Deutschland
- 3. Das Merkel-Handy als Katalysator
- 4. Wie der NSA-Ausschuss tagt und tickt
- 5. Hilfe für den US-Drohnenkrieg
- 6. Bad Aibling und die "Weltraumtheorie"
- 7. Grundrechte adé
- 8. Operation Eikonal
- 9. Die rätselhafte Supergeheim-Operation Glotaic
- 10. Der BND am größten Internetknoten
- 11. Achtung, Freund hört mit
- 12. Ansätze für eine demokratische Geheimdienstkontrolle
Den ersten Versuch des Auslandsgeheimdiensts, im Inland "direkt an den Knoten zu gehen", gab es 2008, berichtete Klaus Landefeld, Aufsichtsrat bei der De-Cix-Betreibergesellschaft, im März 2015 im Ausschuss. Die Agenten hätten von mehreren angeschlossenen Providern Internetverkehr ausleiten wollen, wie sie es zuvor unweit von dem Austauschpunkt in einem Telekom-Rechenzentrum geübt hatten.
Neue Probleme
"Wir haben Diskussionsbedarf gesehen", erinnerte sich Landefeld. Das G10-Gesetz, das die rechtliche Grundlage für eine solche Einschränkung des Fernmeldgeheimnisses bildet, stamme nämlich aus der Zeit vor der paketvermittelten Netzkommunikation und sage nichts zu den "Mischverkehren" mit Daten deutscher und ausländischer Bürger, die in der Regel über Internetleitungen flössen.
Die Probleme fangen dem Zeugen zufolge bei der Streckenwahl an. So sei bei einer anvisierten Leitung zwischen Frankfurt und Karlsruhe "nicht ganz klar, wo die nicht G10-geschützten Verkehre liegen sollen", die der Auslandsgeheimdienst hauptsächlich auswerten dürfe. Wenn der BND auch an innerdeutsche Zugangsanbieter heran wolle, die nur Anschlussleitungen in der Bundesrepublik betrieben, sei "mindestens ein Kommunikationspartner immer im Inland". Die zugehörigen Daten müssten so bei der strategischen Überwachung eigentlich von vornherein aussortiert werden ohne konkrete Verdachtsmomente gegen einzelne Nutzer.
Das Kanzleramt macht Druck
Landefeld betonte, dass es sich bei seinen Schilderungen nicht um theoretische Beispiele handle. Der BND interessiere sich keineswegs nur für Leitungen etwa in den arabischen Raum oder nach Zentralasien, wie man vielleicht erwarten könnte. Teils seien Leitungen dabei, auf denen 90 Prozent des Verkehrs oder mehr besonders grundgesetzlich geschützt seien. Es ließe sich nämlich "absolut nicht trennscharf" entscheiden, was im Netz "deutsch ist oder nicht".
Auch die 20-Prozent-Regel, auf deren Basis der BND ein Fünftel der Leitungskapazität ausleiten dürfen, passe nicht auf den Internetverkehr, meinte der Techniker. Wenn man die "theoretische Leistungskapazität" als Maßstab dafür nehme, bleibe vom Ansatz der rein strategischen, also nicht auf reine Masse setzenden Überwachung nicht mehr viel übrig. Schließlich legten die Provider ihre Leitungen so an, dass sie meist nur zu 30 oder 40 Prozent ausgelastet seien. Mit der 20-Prozent-Bestimmung lande man so bei 50 bis 60 Prozent des insgesamt durchgeleiteten Verkehrs.
Landefeld appellierte an die Politik, hier klare Grenzen und Standards zu setzen. Derzeit sei es für die Zuständigen beim De-Cix oder bei einzelnen Providern gar nicht möglich, einschlägige G10-Anordnungen für die Netzüberwachung formal ernsthaft zu prüfen. Es sei völlig unklar, wie ein Gesuch umgesetzt werden müsse, wie zugegriffen werde und wie eine Maßnahme dokumentiert werden dürfe. "Wir können nur physikalisch sagen: es ist die richtige Leitung", meinte der Zeuge. Im Anschluss müssten die Anbieter den Zugriff auf ihre Anlagen "erdulden".
Weitgehende Wünsche
Die erste formelle Anforderung des BND zur Datenausleitung ging 2009 an den De-Cix, sagte Landefeld. Da die Wünsche sehr weit gegangen seien, hätten die Zuständigen versucht, Kontakt mit der G10-Kommission des Bundestags aufzunehmen, die einschlägige Anträge genehmigen muss. Bis auf ein Mitglied habe sich aber niemand zu einem Gespräch bereit erklärt. Im Anschluss habe das Bundeskanzleramt klargestellt, dass der De-Cix bei Erhalt einer Anordnung schweigen müsse und auch danach Geheimhaltungsvorschriften unterliege.
"Besonders interessant finden wir es dann, wenn der Druck dann in einer Form aufgebaut wird, wenn man sagt: 'Wir wollen das nicht umsetzen', und das Erste, was dann passiert, ist, dass man eine Einladung ins Kanzleramt bekommt." (De-Cix-Vorstand Klaus Landefeld)
Auch beim letztlich ergangenen formellen Ausleitungsgesuch "hatten wir Zweifel an der Rechtmäßigkeit", gab Landefeld zu Protokoll. Der Betreiber sei aber nicht gerichtlich dagegen vorgegangen, da die Regierungsseite immer wieder auf die hohe Terrorgefahr verwiesen habe. Nach den Enthüllungen des NSA-Whistleblowers Edward Snowden seien aber neue rechtliche Fragen aufgetaucht, sodass man nun wieder der Rechtsweg gegen die Anordnungen geprüft werde.
Zugriffe auf den De-Cix, an den 2015 rund 650 Provider angeschlossen waren, ohne Kenntnis des Betreibers schloss der Zeuge weitgehend aus. Funktionen zum "rechtmäßigen Abhören" seien in die auf 18 Datenzentren verteilten großen Router in Form sogenannter Switche zwar eingebaut. Um diese zu aktivieren, müsste ein Angreifer aber "Managementzugriff" auf die Geräte haben und dafür "unser gesamtes technisches Team kompromittieren". Zudem sei eine Leitung mit gleicher Anschlussgeschwindigkeit nötig zum Abtransportieren der Verkehre. Eine solche könne man hierzulande nicht so einfach legen.
Viele Maßnahmen sollten verhindern helfen, dass sich ausländische Geheimdienste wie die NSA direkt an dem Austauschpunkt zu schaffen machten, erklärte Landefeld. Es habe auch keine Sicherheitsbehörde aus dem Ausland versucht, "mit uns ins Geschäft zu kommen". Wenn angeschlossene Tochterfirmen von US-Konzernen Anordnungen aus ihrer Heimat bekämen, könne der De-Cix aber nicht die Hand dafür ins Feuer legen, dass sich diese dann an deutsches Recht hielten. In diesem Fall wäre die Datensicherheit also kaum zu gewährleisten.
Jetzt sollen die Gerichte sprechen
Insgesamt hat der BND bei der Internetüberwachung am weltweit größten Datenknoten laut Landefeld weitgehend freie Hand. Im April 2015 kündigte die De-Cix-Betreibergesellschaft daher an, Klage gegen die einschlägige BND-Spionage beim Bundesverwaltungsgericht einzureichen, im Herbst 2016 ließ er dem Taten folgen. "Wir bezweifeln die Rechtmäßigkeit der Maßnahmen und halten sie für unzulässig", begründete Landefeld den Schritt. Notfalls werde man auch vor das Bundesverfassungsgericht ziehen. Die Betreiber wollen dabei auch prüfen lassen, ob das Ausspähen von Ausländern schier ohne jede Einschränkung mit deutschen Gesetzen vereinbar ist.
Der Geheimdienstkoordinator im Bundeskanzleramt, Günther Heiß, konnte sich bei seinem Auftritt in dem Untersuchungsgremium im Juli 2015 nicht daran erinnern, dass mit Eikonal vergleichbare Projekte am De-Cix bislang Thema in der Regierungszentrale gewesen seien. Der BND habe auf eine entsprechende Frage "keine einschlägige Antwort" gegeben, meinte der Beauftragte, nachdem dortige Experten alle Snowden-Veröffentlichungen überprüft hätten. Heiß bestätigte aber, Landefeld in einem Telefonat davon abgeraten zu haben, gegenüber den Medien Auskunft über G10-Überwachungsmaßnahmen an der Datendrehscheibe zu geben.
Die De-Cix-Betreiber beauftragten im Rahmen ihrer Klage den einstigen Präsidenten des Bundesverfassungsgerichts, Hans-Jürgen Papier, ein Rechtsgutachten anzufertigen. Der renommierte Verfassungsrechtler verschärft in seiner Analyse, welche die Neue Zeitschrift für Verwaltungsrecht im August 2016 veröffentlichten, seine zuvor auch schon im Ausschuss geübte Kritik an der strategischen Telekommunikationsüberwachung des Bundesnachrichtendienstes. Insgesamt kommt er zu dem Ergebnis, dass einschlägige BND-Zugriffe auf Netzknoten wie den De-Cix "insgesamt rechtswidrig" sind.
BND-Zugriffe "hochgradig illegal"
(Bild: heise online/Stefan Krempl)
Wenn die Agenten an einem Internetkabel im großen Stil Datenpakete ausleiteten, könne schon "sowohl in rechtlicher als auch in tatsächlicher Hinsicht nicht sichergestellt werden", dass die Voraussetzungen für einen derart massiven Eingriff ins Telekommunikationsgeheimnis etwa nach dem G10-Gesetz gewahrt blieben, legt Papier dar. Zudem würden auch die verfassungsrechtlichen Hürden dafür "missachtet" beziehungsweise "überschritten".
So gebe es für die umstrittenen BND-Aktivitäten keine "normenklare und bereichsspezifischen Ermächtigungsgrundlage", erläutert der Jurist. Zudem unterbleibe "der absolute Schutz des Menschenwürdekerns", den Artikel 10 Grundgesetz erforderlich mache. Auch das Prinzip, dass Eingriffe in Grundrechte verhältnismäßig sein müssten, werde nicht beachtet.
"Vom Gesetzgeber ist zu verlangen, dass er durch geeignete Vorschriften sicherstellt, dass die Daten der Telekommunikationsverkehre des höchstpersönlichen Bereichs schon nicht erhoben, jedenfalls nicht gespeichert und nicht verwendet, sondern – wenn sie schon unvermeidbar erhoben seien sollten – unverzüglich gelöscht werden." (Hans-Jürgen Papier: )
Eine Überwachung der Telekommunikation zu Zwecken der Auslandsaufklärung ohne jede Voraussetzung und Begrenzung könne generell verfassungsrechtlich nicht gerechtfertigt werden, unterstreicht das CSU-Mitglied. Das ganze Konstrukt der "strategischen" Überwachung passe nicht mehr auf die Internetkommunikation, da die herangezogenen Leitungskapazitäten dabei kaum mehr im Einklang mit den Vorgaben aus Karlsruhe begrenzt werden könnten. Auch falle eine Unterscheidung zwischen in- und ausländischem Verkehr schwer. Allgemein sei die Kommunikation im Ausland zwischen Ausländern ebenfalls grundrechtsgeschützt.
"Das Grundrecht auf Schutz des Telekommunikationsgeheimnisses nach Art. 10 I Grundgesetz ist unzweifelhaft ein Menschenrecht, es steht mithin nicht nur Deutschen zu." (Hans-Jürgen Papier: )
Schwer zu Gericht geht der Experte auch mit den BND-Filtermethoden zum Schutz von Bundesbürgern. Die vielbeschworene Dafis-Technik sei wohl weitgehend unwirksam, schreibt der Jurist. Das beziehe sich auch auf die geografische Eingrenzung der zu erfassenden Telekommunikationsströme. Bekanntermaßen könnten IP-Adressen, Länder-Code-Domains in E-Mail-Adressen wie die Endung .de, Dienste und Suchbegriffe nur unzureichend dazu beitragen, ein räumliches Gebiet einzugrenzen. So werde man etwa davon auszugehen haben, dass bei einer Filterung anhand von IP-Adressen allenfalls eine Genauigkeit von 90 bis 95 Prozent rund um die geografische Zielregion erreicht werde. Daher stellten sich durchaus Fragen nach der Qualität, Quantität und Genauigkeit dieser angeblichen "(Filter-)Systeme".
Juristische Ohrfeige
Papier spricht dem BND ferner die Befugnis ab, abgefischte Daten "umfassend oder eventuell sogar automatisiert" an Partner wie die NSA weiterzugeben. Soweit ausländische Geheimdienste der deutschen Spionagebehörde Selektorenlisten bereitstellten und diese im Weiteren damit gewonnene Informationen an die Gehilfen weiterreichten, sei dies "sehr problematisch". Ein solcher Einsatz von Suchmerkmalen sei auf jeden Fall "nicht zulässig", wenn die erlangten Ergebnisse nicht vor einem Transfer auf Basis des hiesigen Rechts bewertet würden. Schallender könnte eine juristische Ohrfeige kaum ausfallen. (mho)
