«Die NSA wusste genau, wo sie bei Google und Yahoo suchen muss»

US-Geheimdienstler sollen bei Internetfirmen nicht nur Metadaten, sondern ganze Datenspeicher abgeschöpft haben. Hannes Lubich, Experte für Internetsicherheit, erklärt diese neue Abhördimension.

  • loading indicator
Rupen Boyadjian@RupenB

Die NSA-Affäre wurde losgetreten mit Informationen zum Abhörprogramm Prism, mit dem Nutzerdaten von Internetfirmen gesammelt wurden. Nun soll der Geheimdienst im Rahmen des Programms Muscular auch ohne das Wissen der Unternehmen Daten bei Google und Yahoo angezapft haben. Was ist nun anders?
Unter Prism wurden die Konzerne gezwungen, Metadaten an die NSA zu liefern. Sie hat aufgrund dieser Daten dann wahrscheinlich festgestellt, dass es viel mehr interessante Informationen gäbe, die in den ausgelieferten Verkehrsranddaten aber nicht enthalten waren. Ich vermute, dass die NSA annimmt, es würde zu lange dauern und sei ungewiss, ob es funktioniert, sich diese Daten auch auf dem offiziellen Weg mit einem Gerichtsbeschluss zu beschaffen. Das nun neu bekannt gewordene Programm Muscular basiert also vermutlich auf Erkenntnissen, die man ursprünglich aus Prism gewonnen hat. Die NSA wusste also dank Prism genau, wo sie bei Google und Yahoo suchen muss. Es scheint mir folgerichtig, dass das gemacht wird, denn die Randdaten gaben der NSA Hinweise, aber nicht den Grossteil des Inhalts der Daten. Die Geheimdienstler wollten aber auch an den Inhalt der Daten. Und die Chefs der beteiligten Aufklärungsdienste sehen das als normale und juristisch sauber abgedeckte Tätigkeit an, wie man bei der gestrigen Anhörung in Washington gesehen hat.

Juristisch sauber, weil im Ausland stationierte Rechenzentren angezapft werden?
Das ist das eine. Zum andern werden Abhöraktionen nach meinem Kenntnisstand durch einen speziellen Gerichtshof beantragt. Der ist allerdings geheim, und hat wohl auch eine sehr hohe Genehmigungsquote. Die Akten tauchen nirgendwo auf, der Gerichtshof wird aber vermutlich nur grob sondieren, ob die Anträge der NSA das amerikanische Recht verletzen.

Es ist nun aber davon auszugehen, dass sehr viele US-Bürger betroffen sind. Gibt es da nicht ein rechtliches Problem?
In Europa wäre das vielleicht ein Problem. In den USA sind aber die Rechtslage und das Gefühl für Datensicherheit anders gelagert. Dort ist auch sehr vieles unter dem Label der «Homeland Protection» möglich. Es geht dann um die Abwehr einer drohenden Gefahr für die Sicherheit des Staates. Dazu kommt, dass Geheimdienste immer in einer gewissen Grauzone operieren. Was jetzt noch zu prüfen ist, ist die Behauptung der US-Dienste, sie hätten die Daten gar nicht selber erhoben, sondern das seien ihre europäischen Partner gewesen. Ob das nur eine Schutzbehauptung ist oder stimmt, wird in den jeweiligen Ländern nur durch parlamentarische Untersuchungen zu klären sein. Aber ob man es dann tatsächlich herausfindet und ob es publik würde, da bin ich mir nicht sicher.

Wenn man Google und Yahoo hört, denkt man zuerst an Suchmaschine. Welche Daten könnte die NSA abgeschöpft haben?
Suchen ist ein Teil ihrer Aktivität, aber inzwischen betreiben sie ja auch Cloud-basierte Speicherdienste oder Firmenplattformen für KMU, die vielleicht tatsächlich relevante Daten dort abgespeichert haben. Bei Google sind sicher E-Mail-Accounts relevant, bei Google+ geht es um Verbindungsnetze zwischen Personen. Wer kennt wen, wer diskutiert mit wem? Ich denke, die Geheimdienste verfahren nach der Methode «wir sammeln mal», und schauen danach, wo das hinführt. Sie finden so wohl oft Dinge, von denen sie gar nicht gewusst haben, dass sie sie suchen. Sie filtern die Datenmengen also nach Schlüsselwörtern, nach Korrelationen. Daraus können sich Anhaltspunkte für die Vertiefung einer Suche ergeben. Die Geheimdienste bauen nicht umsonst grosse Rechenzentren. Ein Teil der Rechenleistung braucht man zum Dechiffrieren, einen anderen Teil, um sehr schnell und effizient grosse und unstrukturierte Datenmengen zu durchsuchen. Die Geheimdienste haben in dem Bereich auch eine grosse Tradition. Das hat man früher im Telefon, Telefax und Telexverkehr gemacht. Heute suchen sie in allen Datenströmen.

Was bedeutet es für die betroffenen Konzerne?
Ich vermute, ein gewisser Teil der Privatnutzer wird aus Protest abwandern, vor allem Nicht-Amerikaner. Das wird für die betroffenen Firmen aber wenig Auswirkung auf Volumen und Geschäftsmodell haben. Man hat vielleicht in der Presse einige negative Nennungen, aber das dürfte schnell verpuffen, denn man kommt an den Services fast nicht vorbei. Wir werden jetzt vielleicht die Gründung neuer Suchmaschinen und privater E-Mail-Anbieter sehen, aber ob die sicherer sind und wie lange sie überleben, ist ungewiss. Bei den mittelständischen Unternehmen sieht es etwas anders aus. Die werden sich nun überlegen, ob sie über diese Services noch Dinge kommunizieren wollen, die einem Geschäftsgeheimnis unterliegen oder die geistiges Eigentum darstellen. Aber auch im Bereich der KMU wird das Volumen, das Google und Yahoo verlieren, nicht so dramatisch sein, dass es sich gross in der Geschäftsbilanz auswirken würde. Es bringt die Firmen ein bisschen in Erklärungsnot, aber langfristig wird die Affäre kaum geschäftsschädigend sein.

Gibt es überhaupt Alternativen oder herrscht bei vielen Leuten ohnehin ein gewisser Fatalismus, im Sinne von «die hören ja sowieso alles ab»?
Den Fatalismus gibt es tatsächlich, und zwar in zwei Ausprägungen. Die einen sagen, «die machen eh, was sie wollen. Ich hab schon verloren», und die anderen sagen, «ich habe nichts zu verbergen, sollen sie doch mitlesen». Beide sind etwa gleich gefährlich. Ein besserer Schutz bedeutet aber immer einen grösseren Aufwand. Das kann ein Umstieg auf andere Services sein, das kann bedeuten, gewisse Dinge wieder in der Firma selber zu machen. Aber die Alternativen sind dünn gesät. Und ob sie dann gleich stabil, gleich leistungsfähig und innovativ sind, ist fraglich. Ich kann natürlich Yasni oder eine russische Suchmaschine verwenden. Aber was die mit den Daten anfangen, weiss ich noch weniger, denn dort gab es noch keinen Fall Snowden. Man muss aber auch aufpassen, nicht zu viel Aufwand zu betreiben für eine Pseudosicherheit. Es ist amüsant, wenn Leute wegen des Lauschangriffs auf Frau Merkel nun nur noch von Chiffrier-Handys reden. Denn das ist immer noch ein Gerät, das sie extern einkaufen, und dann packen sie noch eine sichere Software obendrauf. Sie haben also die Hardware nicht im Griff, sie haben das Betriebssystem nicht im Griff, sie haben nur eine sichere Applikation oben drauf gesetzt. Ich bin inzwischen so weit, dass ich den Quellcode meines Betriebssystems selber übersetze, damit ich sicher bin, was da drin ist. Aber wer macht das schon, wie viele Prozent der User können das?

Können die Europäer die Amerikaner zu mehr Zurückhaltung verpflichten?
Man muss in Europa nicht zu viel jammern. Die hiesigen Geheimdienste würden sicher sehr gerne auch mitspielen, wenn sie könnten. Aber sie haben eben kein Jahresbudget von 37 Milliarden Dollar. Es gibt den alten Grundsatz «Staaten haben keine Freunde, nur Interessen». Das war besonders im Kalten Krieg so, während der grossen Wachstumsphase der Geheimdienste. Die heutigen Chefs dieser Dienste stammen mehrheitlich aus der «Generation Kalter Krieg». Der Geheimdienst-Koordinator der USA, James Clapper, sagte gestern selber, er sei in den 60er-Jahren in die Spionageschule gegangen. Das Denken, das hinter den heutigen Geheimdienstoperationen steckt, ist immer noch das gleiche. Es geht davon aus, dass ein Staat das uneingeschränkte Recht hat sich zu wehren, wenn er militärisch oder wirtschaftlich bedroht ist. Und das heisst, dass ein Aufklärungsdienst Dinge in der Grauzone tut und nicht um Erlaubnis fragt. Sonst passiert am Ende etwas und man wirft dem Dienst vor, er hätte es ja bei besserer Aufklärung verhindern können.

baz.ch/Newsnet

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt