Die NSA geht tief in die Telekommunikationsinfrastruktur ein

Neuen Untersuchungen zufolge reichen die Spionagewerkzeuge der National Security Agency (NSA) tief in die US-amerikanische Telekommunikationsinfrastruktur hinein. Damit verfügt die Behörde über eine Überwachungsstruktur, die den Großteil des Internetverkehrs im Land abdecken kann, sagen aktuelle und ehemalige US-Beamte sowie andere mit dem System vertraute Personen.

Obwohl der Schwerpunkt des Systems auf der Erfassung ausländischer Kommunikation liegt, umfasst es auch den Inhalt von E-Mails und anderen elektronischen Nachrichten von Amerikanern sowie „Metadaten“, zu denen Informationen wie die „An“- oder „Von“-Zeilen von E-Mails oder die von den Benutzern verwendeten IP-Adressen gehören.

An wichtigen Punkten der US-amerikanischen Internetinfrastruktur hat die NSA mit Telekommunikationsanbietern zusammengearbeitet, um Geräte zu installieren, mit denen große Mengen des durchlaufenden Verkehrs kopiert, gescannt und gefiltert werden können.

Dieses System entstand vor den Angriffen von 11 September 2001 und wurde seitdem erweitert.

Frühere Berichte deuteten darauf hin, dass sich die Überwachung der Telekommunikationsleitungen in den USA durch die NSA auf internationale Gateways und Landepunkte konzentrierte. Andere Berichte deuteten darauf hin, dass die Überwachung des US-Telekommunikationsnetzes lediglich dazu diente, Metadaten im Rahmen eines Programms zu sammeln, das laut NSA 2011 endete.

Die Journal-Berichterstattung zeigt, dass die NSA in Zusammenarbeit mit Telekommunikationsunternehmen ein System aufgebaut hat, das tief in das US-amerikanische Internet-Backbone hineinreicht und 75% des Verkehrs im Land abdeckt, einschließlich nicht nur Metadaten, sondern auch des Inhalts der Online-Kommunikation. Der Bericht erklärt auch, wie die NSA sich auf Wahrscheinlichkeiten, Algorithmen und Filtertechniken stützt, um die Daten zu sichten und Informationen im Zusammenhang mit Ermittlungen ausländischer Geheimdienste zu finden.

Was ist das für ein Überwachungssystem?

NSA hat mit Telekommunikationsunternehmen zusammengearbeitet, um ein Überwachungssystem zu entwickeln, das ungefähr 75% der US-Telekommunikation abdeckt. Ausgerüstet mit einem Gerichtsbeschluss kann die NSA dieses System anweisen, die angeforderten Informationen bereitzustellen.

Die Telekommunikationsunternehmen verfügen über ein System, das zumindest eine anfängliche Filterung vornimmt und die Datenströme, die am ehesten auf die Anfrage der NSA reagieren, an die NSA-Rechner sendet. Diese filtern dann diesen Datenstrom nach „Selektoren“ – zum Beispiel einer Reihe von IP-Adressen – und filtern die passenden Daten heraus.

Die NSA hat keinen Zugriff auf die ungefilterten Systeme von Telekommunikationsunternehmen oder anderen Unternehmen. Im Allgemeinen kann sie sich aber aus dem System holen, was sie braucht.

Wie funktioniert das?

Die genaue verwendete Technologie hängt von dem beteiligten Telekommunikationsanbieter, dem Zeitpunkt der Installation des Geräts und anderen Faktoren ab.

Das System kopiert im Allgemeinen den Datenverkehr des US-Internets und lässt ihn anschließend durch eine Reihe von Filtern laufen. Diese Filter sollen Kommunikationen aussortieren, an denen mindestens eine Person außerhalb der USA beteiligt ist und die für die Auslandsaufklärung von Wert sein könnten. Die Informationen, die die Filter passieren, gehen an die NSA; Informationen, die den Kriterien der NSA nicht entsprechen, werden verworfen.

Insbesondere gibt es zwei gebräuchliche Methoden, die den mit dem System vertrauten Personen bekannt sind.

Bei einem dieser Verfahren wird eine Glasfaserleitung an einer Kreuzung aufgespalten und der Datenverkehr auf ein Verarbeitungssystem kopiert, das mit den Systemen der NSA interagiert und Informationen auf der Grundlage von NSA-Parametern durchsucht.

In einem anderen Fall programmieren Unternehmen ihre Router so, dass sie zunächst Metadaten aus Internet-Paketen filtern und kopierte Daten mitschicken. Dieser Datenfluss gelangt an ein Verarbeitungssystem, das die Daten anhand von NSA-Parametern weiter eingrenzt.

Welche Arten von Informationen werden vom System aufbewahrt oder verworfen?

Anfängliche Filter können sich mit Dingen wie der Art der gesendeten Kommunikation befassen. Beispielsweise sind von YouTube heruntergeladene Videos möglicherweise nicht von großem Interesse, sodass sie herausgefiltert werden können.

Die Filter untersuchen auch IP-Adressen, um die an der Übertragung beteiligte geografische Region zu bestimmen. Dies geschieht, um sich auf ausländische Kommunikation zu konzentrieren.

Die NSA entscheidet letztlich anhand sogenannter „starker Selektoren“, welche Informationen sie speichert, wie etwa bestimmte E-Mail-Adressen oder Internet-Adressbereiche von Organisationen. Sie erhält jedoch einen breiteren Datenstrom aus dem Internet, aus dem sie Daten heraussucht, die mit den Selektoren übereinstimmen.

Bedeutet dies, dass NSA-Analysten alle Ihre E-Mails lesen und Ihnen beim Surfen im Internet zusehen?

Nein. Das würde einen enorm hohen Personal- und Zeitaufwand erfordern. Die Regierung darf jedoch in einigen Fällen die über dieses System gesammelten Daten von Amerikanern durchsuchen.

Wie viel Internetverkehr erhält die NSA?

Das NSA-Telekommunikationsüberwachungssystem deckt ungefähr 75% der US-Kommunikation ab, aber die tatsächlich von der NSA gespeicherte Menge ist ein kleiner Teil davon, sagen aktuelle und ehemalige Regierungsbeamte.

Warum hat die NSA dieses System?

Die NSA nutzt dieses System, um Ermittlungen ausländischer Geheimdienste durchzuführen.

Solche Ermittlungen schließen solche ein, die Angriffe internationaler terroristischer Gruppen verhindern sollen. Da die Personen, die an diesen Gruppen beteiligt sind, in den USA sein können, möchten die Ermittler einen Blick auf Kommunikationen werfen, an denen Personen in Amerika beteiligt sind, insbesondere Personen, die mit Personen außerhalb der USA kommunizieren.

Darüber hinaus fließt ein beträchtlicher Teil des internationalen Verkehrs durch die USA oder zu Internetdiensten, und nationale Sicherheitsermittler möchten in der Lage sein, diese Informationen zu überwachen.

Warum können sie sich nicht einfach auf die internationalen Unterseekabel konzentrieren?

Die NSA konzentrierte sich zunächst auf Kabel, die internationalen Datenverkehr unter Wasser von und zu den USA transportieren. Inzwischen deckt der Geheimdienst jedoch auch ein System ab, das den Großteil des inländischen Datenverkehrs abwickelt.

Das Abhören nur an den Kabelanlandungspunkten birgt einige logistische Probleme, sagt Jennifer Rexford, Informatikprofessorin an der Princeton University und forscht zum Internet-Routing. Erstens bewältigen diese Kabel enorme Datenmengen mit sehr hohen Geschwindigkeiten. Das bedeutet, dass es wahrscheinlicher ist, dass dort Datenpakete, aus denen die Internetkommunikation besteht, verloren gehen. Zweitens ist Internet-Routing kompliziert: Nicht alle Teile einer Internetkommunikation laufen über denselben Weg. Daher könnte es schwierig sein, alles wieder zusammenzufügen, wenn sich die Abhörmaßnahmen nur auf diesen Leitungen befinden.

Durch den Zugriff auf inländische Kommunikationsnetze verfügt das System über Redundanz und kann die von der NSA benötigten Informationen besser bereitstellen.

Darüber hinaus nutzen viele Menschen in Übersee Internetdienste in den USA, und die NSA möchte auf diesen Verkehr zugreifen können. Beispielsweise könnte sich eine Person in Übersee bei einem in den USA ansässigen Online-E-Mail-Dienst anmelden und eine E-Mail an das Konto einer anderen Person senden, die eine andere US-E-Mail verwendet. Diese E-Mail würde tatsächlich von einem Server in den USA zu einem anderen Server in den USA übertragen, selbst wenn die Personen, die kommunizieren, sich außerhalb des Servers befinden.

Ist das legal?

Dieses System basiert derzeit hauptsächlich auf einem 2008 verabschiedeten Gesetz zur Änderung des Foreign Intelligence Surveillance Act. Dieser Teil des Gesetzes wird manchmal als „Absatz 702“ bezeichnet.

Abschnitt 702 gestattet der NSA und dem FBI die gezielte Überwachung von Personen, von denen „hinreichend davon ausgegangen werden kann“, dass sie sich außerhalb der USA aufhalten. Die Vorschriften, die regeln, wie die NSA im Rahmen dieses Gesetzes Daten sammelt, werden vom geheimen Foreign Intelligence Surveillance Court (FISC) genehmigt. Danach ist jedoch für jede weitere Überwachung keine richterliche Genehmigung mehr erforderlich.

NSA und FBI müssen dem Gericht darlegen, welche Schritte sie unternehmen, um sicherzustellen, dass die von ihnen gesammelten Kommunikationsdaten „mit hinreichender Wahrscheinlichkeit“ einen ausländischen Bezug aufweisen. Außerdem müssen sie darlegen, welche Maßnahmen sie ergreifen, um die Zahl der unbeabsichtigt gesammelten Kommunikationsdaten von Amerikanern zu minimieren.

Es gibt auch einige andere rechtliche Autoritäten in Bezug auf diese Sammlung:

Vor der Verabschiedung des Gesetzes von 2008 war das System aufgrund eines kurzlebigen Übergangsgesetzes zulässig, das im Wesentlichen dasselbe erlaubte. Zuvor war das System Teil des Überwachungsprogramms von Präsident George W. Bush ohne richterliche Genehmigung.

Darüber hinaus ermöglichte dieselbe Infrastruktur bis Ende 2011 ein leicht abgewandeltes Programm, das massenhaft Metadaten aus der US-amerikanischen Inlandskommunikation sammelte. Dieses Programm war durch einen Teil des Foreign Intelligence Surveillance Act möglich, der sogenannte „Pen Registers“ zur Metadatensammlung erlaubte. US-Behörden sagen, dieses Programm sei unter anderem deshalb eingestellt worden, weil es keine wertvollen Informationen lieferte.

Einige Teile des Systems werden auch von ausländischen Spionagebehörden durchgeführt. Die Nachrichtendienste konnten seit langem Haftbefehle gemäß Titel 1 des Foreign Intelligence Surveillance Act beantragen. Diese Haftbefehle ähneln weitgehend den in der Strafverfolgung eingesetzten Haftbefehlen, mit der Ausnahme, dass sie aufgrund ihrer Geheimhaltung von der FISC genehmigt wurden. In einigen Fällen können Abgriffe in Internet-Netzwerken verwendet werden, um diese Garantien zu erfüllen.

Welche Einschränkungen gibt es für dieses Programm?

Die NSA muss die vom geheimen FISA-Gericht genehmigten Verfahren befolgen, um ihre Ziele einzugrenzen und die über Amerikaner gesammelten Informationen zu minimieren oder zu verwerfen. Dokumente, die der ehemalige NSA-Mitarbeiter Edward Snowden durchsickern ließ, skizzierten die Vorgehensweise im Jahr 2009.

Ein Absatz in diesen Dokumenten ist besonders relevant für die Datenerfassung im Inland. In diesem als streng geheim gekennzeichneten Absatz erklärt die Regierung, sie werde „einen Internetprotokollfilter einsetzen“ oder „Internetverbindungen, die im Ausland enden, gezielt prüfen“. Dies deutet darauf hin, dass die Regierung sich nach den Vorschriften entweder darauf verlassen kann, dass das Kabel ins Ausland führt, oder auf ihre IP-Filter, um hinreichende Sicherheiten dafür zu bieten, dass an der Kommunikation ein Ausländer beteiligt ist.

Die NSA prüft ihre Ziele auch mit traditionelleren Methoden, etwa mit bereits vorhandenen Daten – und Informationen von anderen Behörden wie dem Human Intelligence oder Kontakten mit ausländischen Strafverfolgungsbehörden – um zu entscheiden, ob „begründete Annahmen“ vorliegen, dass sie sich außerhalb der USA befinden.

Darüber hinaus können Anwälte bei den Telekommunikationsanbietern, die mit dem Rechtsverfahren vertraut sind, als Kontrolle des Systems dienen.

Nachdem Informationen gesammelt wurden, hat die NSA Regeln, um Informationen über Menschen in den USA zu minimieren

Es gibt jedoch mehrere Ausnahmen von diesen Minimierungsregeln. Die NSA darf Informationen von Amerikanern speichern und an das FBI weitergeben, wenn der begründete Verdacht besteht, dass sie wichtige Informationen über ausländische Geheimdienste, „Beweise für ein Verbrechen“ oder Informationen über Schwachstellen in der Kommunikationssicherheit enthalten, heißt es in den Dokumenten. Auch verschlüsselte Kommunikation von Amerikanern darf gespeichert werden, heißt es in den Dokumenten.

Wie passt dieses System zu Prisma?

Das Prism-Programm sammelt gespeicherte Internetkommunikation auf Grundlage von Anforderungen, die gemäß Paragraph 702 an Internetunternehmen wie Google Inc. gestellt werden. Mehrere Unternehmen haben erklärt, dass die Anforderungen im Rahmen dieses Programms nicht zu einer Massenerfassung führen und somit enger gefasst sind als das Filtersystem des inländischen Internet-Backbones.

Mit diesen Prism-Anforderungen kann der NSA auf Kommunikationen abzielen, die beim Durchlaufen des Internet-Backbones verschlüsselt wurden, um sich auf gespeicherte Daten zu konzentrieren, die die Filtersysteme zuvor verworfen haben, und um Daten zu erhalten, die unter anderem einfacher zu verarbeiten sind.

Welche Datenschutzprobleme wirft dieses System auf?

Eine davon ist die Nutzung algorithmischer Filter, um die inländische Kommunikation herauszufiltern. Solche Algorithmen können kompliziert sein, und die IP-Adressen von Computern geben nicht immer einen guten Hinweis auf den geografischen Standort einer Person.

Schon kleine Änderungen an den Algorithmen könnten zu einer übermäßigen Erfassung von Daten amerikanischer Bürger führen, die dann von der NSA gespeichert werden könnten, sagen ehemalige US-Beamte. Und aktuelle Beamte sagen, die NSA habe in ihren Systemen auch rein inländische Kommunikationen gespeichert.

Dokumente, die von Herrn Snowden enthüllt und kürzlich veröffentlicht wurden, weisen darauf hin, dass die NSA aufgrund technischer Fehler Fehler begangen hat. Einige mit den Systemen vertraute Personen geben an, besorgt darüber zu sein, dass die enorme Menge an US-Informationen, auf die diese Filtersysteme zugreifen können, in Verbindung mit der komplizierten Natur der Filter dazu führen könnte, dass die Kommunikation im Inland leicht abgewickelt werden kann.

In 2011 befand das FISA-Gericht einen Teil des inländischen NSA-Telekommunikationssystems für verfassungswidrig. Sie sagen, die NSA habe die Filter für die Programme in 2008 nicht richtig eingestellt, und das Problem wurde von der NSA in 2011 entdeckt und gemeldet.

„Die Aktivitäten der NSA zur Auslandsaufklärung werden intern und extern kontinuierlich geprüft und überwacht“, sagt NSA-Sprecherin Vanee Vines. „Wenn uns bei der Durchführung unserer Auslandsaufklärungsmission ein Fehler unterläuft, melden wir den Vorfall intern und den zuständigen Behörden und gehen der Sache energisch auf den Grund.“

Ein weiteres mögliches Problem ist die Fähigkeit der Aufsichtsbehörden, darunter des geheimen FISA-Gerichts, solche technischen Systeme angemessen zu überwachen. Das Gericht wurde in den 1970er Jahren gegründet, um Haftbefehle gegen Personen in Ermittlungen zur nationalen Sicherheit zu überwachen, und nicht, um „hochtechnische Erhebungsverfahren zu genehmigen“, sagte ein ehemaliger Regierungsbeamter, der mit dem Rechtsverfahren vertraut ist.

Präsident Obama und andere Unterstützer der Programme erklärten, die NSA-Programme würden von allen drei Regierungsgewalten sorgfältig überwacht. „Wir haben die Aufsicht des Kongresses und der Justiz“, sagte Obama. „Und wenn die Menschen nicht nur der Exekutive, sondern auch dem Kongress und den Bundesrichtern nicht vertrauen können, dass sie die Verfassung, die Rechtsstaatlichkeit und die Einhaltung der Rechtsstaatlichkeit gewährleisten, dann werden wir hier Probleme bekommen.“

Eine mit dem Rechtsweg vertraute Person erklärte gegenüber dem Journal, das System verlasse sich teilweise auf die Telekommunikationsunternehmen selbst, um sich gegen die ihrer Ansicht nach problematische Überwachung zu wehren. Die entsprechenden Regeln seien aufgrund der Komplexität des Internet-Routings und der Überwachung nicht immer klar, so die Person.

Ein US-Beamter sagte, Anwälte in diesen Unternehmen dienten als unabhängige Kontrolle darüber, was die NSA erhält.

Aufgrund der Ausnahmen von den Mindestanforderungen könnten die über Amerikaner gesammelten Informationen gemäß den vom FISA-Gericht genehmigten Regeln für normale strafrechtliche Ermittlungen verwendet werden. NSA-Beamte sagten, sie seien vorsichtig, die Informationen in Übereinstimmung mit den Regeln zu verwenden.

Teile diesen Artikel: