Geheimakte BND & NSA: Der BND spioniert am größten Internetknoten der Welt

Dass der größte Internetknoten der Welt in Deutschland liegt, war für den BND verlockend. Viel versuchte der Geheimdienst, um dort Daten abzuschnorcheln. Ob das rechtmäßig war, darf nicht zuletzt nach einem verheerenden Rechtsgutachten bezweifelt werden.

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen
Geheimakte BND & NSA: Der BND spioniert am größten Internetknoten der Welt
Lesezeit: 10 Min.
Inhaltsverzeichnis

Eikonal und die Netzspionage bei der Telekom sowie die Glotaic-Episode waren nur der Anfang, wenig später nahm sich der BND ein deutlich größeres Ziel erneut in Frankfurt vor und wandelte dabei weiter auf den Spuren der NSA. Im Visier hatten die Agenten nichts weniger als die Internet-Drehscheibe De-Cix, die gemessen am Durchsatz den größten Austauschpunkt für Datenpakete weltweit darstellt. Durch den Knoten konnten schon 2015 theoretisch 12 Terabit pro Sekunde (TBit/s) fließen, rund 3,5 TBit/s wurden damals in der Regel tatsächlich übertragen.

Mehr Infos

Geheimakte NSA-Ausschuss

Der NSA-Ausschuss des Bundestags beleuchtet seit 2014 die Überwachungspraxis vor allem der deutschen Geheimdienste und macht dabei auch die Verschleierungsversuche der Regierung deutlich. heise online blickt in einer ausführlichen Serie zurück.

Die einzelnen Kapitel erscheinen im Wochenrhythmus und zwar in der folgenden Gliederung:

Den ersten Versuch des Auslandsgeheimdiensts, im Inland "direkt an den Knoten zu gehen", gab es 2008, berichtete Klaus Landefeld, Aufsichtsrat bei der De-Cix-Betreibergesellschaft, im März 2015 im Ausschuss. Die Agenten hätten von mehreren angeschlossenen Providern Internetverkehr ausleiten wollen, wie sie es zuvor unweit von dem Austauschpunkt in einem Telekom-Rechenzentrum geübt hatten.

"Wir haben Diskussionsbedarf gesehen", erinnerte sich Landefeld. Das G10-Gesetz, das die rechtliche Grundlage für eine solche Einschränkung des Fernmeldgeheimnisses bildet, stamme nämlich aus der Zeit vor der paketvermittelten Netzkommunikation und sage nichts zu den "Mischverkehren" mit Daten deutscher und ausländischer Bürger, die in der Regel über Internetleitungen flössen.

Die Probleme fangen dem Zeugen zufolge bei der Streckenwahl an. So sei bei einer anvisierten Leitung zwischen Frankfurt und Karlsruhe "nicht ganz klar, wo die nicht G10-geschützten Verkehre liegen sollen", die der Auslandsgeheimdienst hauptsächlich auswerten dürfe. Wenn der BND auch an innerdeutsche Zugangsanbieter heran wolle, die nur Anschlussleitungen in der Bundesrepublik betrieben, sei "mindestens ein Kommunikationspartner immer im Inland". Die zugehörigen Daten müssten so bei der strategischen Überwachung eigentlich von vornherein aussortiert werden ohne konkrete Verdachtsmomente gegen einzelne Nutzer.

Landefeld betonte, dass es sich bei seinen Schilderungen nicht um theoretische Beispiele handle. Der BND interessiere sich keineswegs nur für Leitungen etwa in den arabischen Raum oder nach Zentralasien, wie man vielleicht erwarten könnte. Teils seien Leitungen dabei, auf denen 90 Prozent des Verkehrs oder mehr besonders grundgesetzlich geschützt seien. Es ließe sich nämlich "absolut nicht trennscharf" entscheiden, was im Netz "deutsch ist oder nicht".

Auch die 20-Prozent-Regel, auf deren Basis der BND ein Fünftel der Leitungskapazität ausleiten dürfen, passe nicht auf den Internetverkehr, meinte der Techniker. Wenn man die "theoretische Leistungskapazität" als Maßstab dafür nehme, bleibe vom Ansatz der rein strategischen, also nicht auf reine Masse setzenden Überwachung nicht mehr viel übrig. Schließlich legten die Provider ihre Leitungen so an, dass sie meist nur zu 30 oder 40 Prozent ausgelastet seien. Mit der 20-Prozent-Bestimmung lande man so bei 50 bis 60 Prozent des insgesamt durchgeleiteten Verkehrs.

Landefeld appellierte an die Politik, hier klare Grenzen und Standards zu setzen. Derzeit sei es für die Zuständigen beim De-Cix oder bei einzelnen Providern gar nicht möglich, einschlägige G10-Anordnungen für die Netzüberwachung formal ernsthaft zu prüfen. Es sei völlig unklar, wie ein Gesuch umgesetzt werden müsse, wie zugegriffen werde und wie eine Maßnahme dokumentiert werden dürfe. "Wir können nur physikalisch sagen: es ist die richtige Leitung", meinte der Zeuge. Im Anschluss müssten die Anbieter den Zugriff auf ihre Anlagen "erdulden".

Die erste formelle Anforderung des BND zur Datenausleitung ging 2009 an den De-Cix, sagte Landefeld. Da die Wünsche sehr weit gegangen seien, hätten die Zuständigen versucht, Kontakt mit der G10-Kommission des Bundestags aufzunehmen, die einschlägige Anträge genehmigen muss. Bis auf ein Mitglied habe sich aber niemand zu einem Gespräch bereit erklärt. Im Anschluss habe das Bundeskanzleramt klargestellt, dass der De-Cix bei Erhalt einer Anordnung schweigen müsse und auch danach Geheimhaltungsvorschriften unterliege.

"Besonders interessant finden wir es dann, wenn der Druck dann in einer Form aufgebaut wird, wenn man sagt: 'Wir wollen das nicht umsetzen', und das Erste, was dann passiert, ist, dass man eine Einladung ins Kanzleramt bekommt." (De-Cix-Vorstand Klaus Landefeld)

Auch beim letztlich ergangenen formellen Ausleitungsgesuch "hatten wir Zweifel an der Rechtmäßigkeit", gab Landefeld zu Protokoll. Der Betreiber sei aber nicht gerichtlich dagegen vorgegangen, da die Regierungsseite immer wieder auf die hohe Terrorgefahr verwiesen habe. Nach den Enthüllungen des NSA-Whistleblowers Edward Snowden seien aber neue rechtliche Fragen aufgetaucht, sodass man nun wieder der Rechtsweg gegen die Anordnungen geprüft werde.

Zugriffe auf den De-Cix, an den 2015 rund 650 Provider angeschlossen waren, ohne Kenntnis des Betreibers schloss der Zeuge weitgehend aus. Funktionen zum "rechtmäßigen Abhören" seien in die auf 18 Datenzentren verteilten großen Router in Form sogenannter Switche zwar eingebaut. Um diese zu aktivieren, müsste ein Angreifer aber "Managementzugriff" auf die Geräte haben und dafür "unser gesamtes technisches Team kompromittieren". Zudem sei eine Leitung mit gleicher Anschlussgeschwindigkeit nötig zum Abtransportieren der Verkehre. Eine solche könne man hierzulande nicht so einfach legen.

Viele Maßnahmen sollten verhindern helfen, dass sich ausländische Geheimdienste wie die NSA direkt an dem Austauschpunkt zu schaffen machten, erklärte Landefeld. Es habe auch keine Sicherheitsbehörde aus dem Ausland versucht, "mit uns ins Geschäft zu kommen". Wenn angeschlossene Tochterfirmen von US-Konzernen Anordnungen aus ihrer Heimat bekämen, könne der De-Cix aber nicht die Hand dafür ins Feuer legen, dass sich diese dann an deutsches Recht hielten. In diesem Fall wäre die Datensicherheit also kaum zu gewährleisten.