Schlagwort: Facebook-Chats

Cyberwar, Internet, news, Politik

XKeyscore: So funktioniert die geheime, weltweit schnüffelnde Riesenkrake

Was ist der Unterschied zwischen einer Verschwörungstheorie und der Wahrheit?

Der Beweis.

Immer mehr Beweise kommen in diesen Tagen ans Licht: Beweise dafür, wie gläsern wir alle schon sind. „Unsere“ Geheimdienste, unterwegs mit der Fahne der „Freiheit“, schnüffeln, spitzeln, konstruieren Netzwerke, speichern eine (noch) unbekannte Menge an Detaildaten aus Privatleben, Berufswelt und Wirtschaft. Richtig genutzt ist das eine unvorstellbare Fülle an Macht. Nicht nur Anschläge können im Vorfeld vereitelt oder im Nachhinein aufgeklärt werden, wie man uns zurzeit so bemüht ist, weis zu machen.

Allein aus dem Telefon- und Internet-Verhalten von Menschen können Schlüsse gezogen werden, die Existenzen vernichten, Unternehmen zerschlagen, ja im Extremfall Kriege auslösen könnten. Dazu biegt die Methode Riesen-Schleppnetz enorme Gefahren, ungerechtfertig verdächtigt und nie wieder frei davon zu werden.

Grund genug also, sich mehr als unwohl zu fühlen und misstrauisch zu werden: Im Interesse „übergeordneter Staatsraison“ wird hier Unrecht zu Recht gemacht. Warum? Weil es nicht mehr wirklich eine Kontrolle darüber zu geben scheint, wer was ausschnüffelt und zu welchem Zweck weiter verwendet.

Diese fünf Jahre alte Präsentation, veröffentlicht vom britischen Guardian mit Hilfe des Whistleblowers Edward Snowden, hat diese Woche eingeschlagen wie eine Bombe. Sie diente bereits im Jahr 2008 als Trainingsunterlage für das Programm XKeyscore, mit dem die Geheimdienste der USA – und niemand weiß wirklich, wie vieler weiterer Länder – die Kommunikation der Internet-User in Echtzeit überwachen.

Der Spiegel war nach dem Guardian  einer der ersten, der detailliert berichtete: „NSA-System XKeyscore: Die Infrastruktur der totalen Überwachung“ titelte er nach Auswertung der Snowden-Dokumente, die der brasilianische Journalist Glenn Greenwald in Großbritannien veröffentlichte. Die folgende Zusammenstellung bündelt Informationen aus dem Guardian, dem Spiegel, von Hardwareluxx,  von heute.de, aus der ZEIT, der Welt und der Wirtschaftswoche.

XKeyscore soll auf australischem und neuseeländischem Territorium betrieben werden und über 700 Server in fünf Anlagen in Beschlag nehmen. Bereits 2008, so weist oben stehende Karte aus, gab es weltweit 150 Standorte für die Vollerfassung des internationalen Internet-Traffics, an denen 700 Server beheimatet waren. Mit einem einzigen Suchauftrag können alle Standorte abgefragt werden. Dabei kann sowohl nach Metadaten, als auch nach Inhalten wie Mailtexten oder dem Browserverlauf gesucht werden. Zum Aufspüren der gesuchten Person wird wahlweise unter anderem nach dem Namen, der E-Mail- oder IP-Adresse, einem Nutzernamen, der Telefonnummer, Schlüsselwörtern oder selbst der Sprache und dem genutzten Browser gesucht.

31-07-2013 23-51-46

Um beispielsweise Facebook-Chats und private Nachrichten zu lesen muss einfach nur der Nutzername und ein Zeitfenster in ein Suchformular eingegeben werden. Weiter lassen sich auch Surfaktivitäten wie die Sucheingaben des Überwachten verfolgen. Um nach den E-Mails einer bestimmten Person zu suchen, gibt man  die fragliche Mail-Adresse in ein Online-Suchformular ein. Ein Feld ist für die Begründung der Suchanfrage vorgesehen, weitere Felder ermöglichen eine zeitliche Eingrenzung. Die gefundenen E-Mails können anschließend  in einem Leseprogramm angezeigt werden.

Alternativ können Zielpersonen auch festgelegt und fortlaufend überwacht werden oder man zeichnet die IP-Adressen aller Nutzer auf, die eine bestimmte Internetseite besuchen. Suchanfragen können beispielsweise so aussehen:

  • „Zeige mir alle verschlüsselten Word-Dokumente in Iran.“
  • „Zeige mir die gesamte PGP-Nutzung in Iran.“ PGP ist ein System zur Verschlüsselung von E-Mails und anderen Dokumenten.
  • „Zeige mir alle Microsoft-Excel-Tabellen, mit MAC-Adressen aus dem Irak, so dass ich Netzwerke kartieren kann.“

Weitere Beispiele für das, was XKeyscore aus dem Traffic fischen und noch leisten kann:

  • Telefonnummern, E-Mail-Adressen, Logins
  • Nutzernamen, Buddylisten, Cookies in Verbindung mit Webmail und Chats
  • Google-Suchanfragen samt IP-Adresse, Sprache und benutztem Browser
  • jeden Aufbau einer verschlüsselten VPN-Verbindung (zur „Entschlüsselung und zum Entdecken der Nutzer“)
  • Aufspüren von Nutzern, die online eine in der Region ungewöhnliche Sprache nutzen (als Beispiel genannt wird Deutsch in Pakistan)
  • Suchanfragen nach bestimmten Orten auf Google Maps und darüber hinaus alle weiteren Suchanfragen dieses Nutzers sowie seine E-Mail-Adresse
  • Zurückverfolgen eines bestimmten online weitergereichten Dokuments zur Quelle
  • alle online übertragenen Dokumente, in denen zum Beispiel „Osama bin Laden“ oder „IAEO“ vorkommt, und zwar auch auf „Arabisch und Chinesisch“

Mit XKeyscore suchen US-Agenten nach Verdächtigen, die ihnen bislang unbekannt waren und die fortan genauer überwacht werden. Das Verfahren wird als besondere Eigenschaft dieses Systems gepriesen. Wie man dabei vorgehen kann, beschreibt die Präsentation detaillierter. Man müsse im Datenstrom nach „abweichenden Ereignissen“ suchen. Zum Beispiel nach:

  • „jemandem, dessen Sprache deplaziert an dem Ort ist, wo er sich aufhält“ (etwa deutsch in Pakistan)
  • „jemandem, der Verschlüsselungstechnik nutzt“ (PGP im Iran)
  • „jemandem, der im Web nach verdächtigen Inhalten sucht“ (Google-Suchen nach Islamabad, Suche nach dem Begriff „Musharraf“ auf der Website der BBC)
  • Menschen, die „Dschihadisten-Dokumente“ weiterschicken

In einer Folie der Präsentation heißt es, man könnte über XKeyscore eine Liste aller angreifbaren Rechner in einem Staat auflisten. Laut der sehr knapp gehaltenen Unterlagen verwaltete 2008 offenbar die Geheimorganisation TAO (Tailored Access Operations) der NSA eine Datenbank von Schwachstellen auf Computersystemen weltweit. Dieses Verzeichnis der TAO lasse sich mit XKeyscore abgleichen.

Mehr als 1000 TAO-Agenten hacken weltweit Computer und Telekom-Infrastrukturen. Sie brechen Gesetze, stehlen Passwörter, zweigen Datenverkehr ab, kopieren Informationen, berichtet das US-Magazin Foreign Policy. XKeyscore gibt NSA-Analysten offenbar Zugriff auf die Früchte der Arbeit der NSA-Hacker.

31-07-2013 23-52-44

Woher stammen all die Daten?

Die Daten an allen NSA-Speicherorten weltweit lassen sich über XKeyscore offenbar zentral durchsuchen. Auf einer der Folien ist aufgeführt, auf welche Datenquellen das System genau zugreifen kann:

  • „F6-Hauptquartiere“ und „F6-Standorte“ – F6 steht, so das US-Magazin The Week, für den Special Collection Service, eine gemeinsame Organisation von NSA und CIA. Sie hat den Auftrag, Informationen dort zu sammeln, wo sie besonders schwer zu bekommen sind – etwa, indem Botschaften verwanzt werden.
  • „Fornsat-Standorte“ – Fornsat steht für Foreign Satellite Collection, also das Abfangen von Satellitenkommunikation.
  • „SSO-Standorte“ – SSO steht für Special Source Operations, die NSA-Unterorganisation, die, so der Guardian unter anderem für die gigantische Sammlung von Telekommunikations-Metadaten zuständig ist, die der US-Geheimdienst anlegt.

XKeyscore kann demnach auch auf die Marina-Datenbank zugreifen, die der Auswertung von Internetverbindungsdaten dient.

In den Dokumenten finden sich erstmals konkrete Hinweise darauf, dass US-Geheimdienste systematisch Angriffe auf Computersysteme im Ausland planen. In einer Folie der Präsentation heißt es, man könnte über XKeyscore  alle angreifbaren Rechner in einem Staat auflisten. Die Geheimorganisation TAO (Tailored Access Operations) der NSA verwaltete zum Zeitpunkt der Präsentation eine Datenbank von Schwachstellen auf Computersystemen weltweit. Dieses Verzeichnis der TAO lasse sich mit XKeyscore abgleichen.

Auch der deutsche Auslandsgeheimdienst BND und das im Inland operierende Bundesamt für Verfassungsschutz (BfV) setzen XKeyscore ein. Das geht aus geheimen Unterlagen des US-Militärgeheimdienstes hervor, die DER SPIEGEL einsehen konnte. Das BfV soll damit den Dokumenten aus dem Fundus von Edward Snowden zufolge die NSA bei der gemeinsamen Terrorbekämpfung unterstützen. Der Verfassungsschutz erklärte, man teste das System lediglich und habe keinen Zugriff auf die Datenbanken. Es ist zudem unklar, auf welche Daten und Funktionen genau nun BND und BfV Zugriff haben. XKeyscore lässt sich in Modulen erweitern. Es ist nicht bekannt, welche davon die deutschen Geheimdienste nutzen.

Schon 2007 sollen mit Xkeyscore täglich 1-2 Milliarden Datensätze abgespeichert worden sein. 2012 wurden innerhalb von 30 Tagen mindestens 41 Milliarden Datensätze erfasst. Welche Massen aktuell zusammenkommen, ist nicht genau bekannt. Es sollen so viele Daten erfasst werden, dass sie nur kurzfristig gespeichert werden können. Inhalte würden deshalb angeblich nur für drei bis fünf Tage gesichert, Metadaten für 30 Tage. Ein NSA-System ermöglicht es allerdings, relevante Daten in andere Datenbanken auszulagern und dort teilweise für bis zu fünf Jahre zu speichern.

Rechtfertigungsversuche

Der Sprecher von US-Präsident Barack Obama, Jay Carney, erklärte, XKeyscore sei nur ausgewählten Personen zugänglich und unterliege strengsten „gegenseitigen Kontrollen“ gegen Missbrauch. „Der Vorwurf flächendeckender, ungeprüfter Zugriffe auf NSA-Daten ist falsch.“

Die NSA selbst erklärte: „Der Vorwurf, dass die NSA willkürlich und unkontrolliert Daten sammelt, ist falsch.“ Zum Schutz gegen einen gezielten Missbrauch des Systems gebe es mehrere technische Sicherungen und eine Kontrolle durch Vorgesetzte.

Zugang zu XKeyscore hätten nur geschulte Mitarbeiter, die das Programm für ihre Arbeit brauchen. In einem Interview vom Juni hatte Edward Snowden allerdings behauptet, er, der als Angestellter einer anderen Firma für die NSA tätig war, habe praktisch jeden Internetnutzer überwachen können. „Ich an meinem Schreibtisch hatte die Berechtigungen, jeden anzuzapfen – Sie, ihren Buchhalter, einen Bundesrichter oder den Präsidenten, sobald ich eine private E-Mail-Adresse hatte“, sagte er damals.

„Sie sind die talentiertesten Technikexperten weltweit. Helfen Sie uns!“, forderte NSA-Chef Alexander gar die Hacker auf der Konferenz Black Hat in Las Vegas auf. Die NSA-Mitarbeiter wollten Terroristen finden und beobachten und nicht normale Amerikaner, betonte er. Die Medien stellten Fakten über NSA-Programme falsch dar. Der Ruf der Mitarbeiter des Geheimdienstes sei beschädigt, weil nicht alle Tatsachen auf dem Tisch lägen. Die Sammlung von Telefon- und Internetdaten habe dazu beigetragen, seit 1993 insgesamt 54 Pläne für Terroranschläge zu enttarnen, sagte Alexander. 13 davon hätten die USA betroffen, 25 Europa, fünf Afrika und elf Asien. Im Einzelnen nannte der NSA-Chef einen 2009 vereitelten Bombenanschlag auf die U-Bahn in New York. Zu den übrigen gab er keine Details preis.

31-07-2013 23-52-18

Alle jetzigen Erkenntnisse stützen sich auf die selbe Präsentation des Jahres 2008.  Die dort gewählten Formulierungen wie die zum Enttarnen von VPN-Nutzern sind nicht detailliert genug, um daraus ableiten zu können, ob die NSA generell verschlüsselte Kommunikation via VPN überwachen und mitlesen kann.

Unklar ist auch, wie die NSA zum Beispiel an Suchbegriffe kommt, die jemand bei Google eingibt, oder an die Inhalte aus Facebook-Chats, zumal in Echtzeit und zumal Google und nun auch Facebook standardmäßig eine SSL-Verschlüsselung benutzen, um ihre Nutzer zu schützen. Facebook betont auch noch einmal, dass es keinen direkten Zugriff der Behörden auf die Server des Unternehmens gibt.

Schließlich stellt sich die Frage nach der Effektivität des Systems. Die Business Week weist hämisch darauf hin, dass die NSA es nicht einmal geschafft hat, die „drei Stooges des Terrorismus“ – die Zarnajews, den Unterhosenbomber Umar Farouk Abdulmutallab und den Times-Square-Bomber – zu fassen, bevor sie zur Tat schritten.

Aber eines darf man angesichts der schnellen Entwicklungen in der IT-Branche getrost als sicher annehmen: In den Fünf Jahren, die seit der Erstellung der Schulungs-Präsentation  vergangen sind, haben sich kreative Köpfe mit Sicherheit noch viel mehr Wege der Überwachung einfallen lassen.

Siehe auch: Alle wissen es, doch niemand spricht es aus: Deutschland ist nicht souverän, sowie

Warum wir nicht schweigen dürfen

und die Updates an beiden Stellen

Update: Staubsauger-Techniken werden Konsens

Update: BND nutzt XKeyscore seit 2007 in Bad Aibling

Update: X-NSA-Chef: Terroristen bevorzugen Gmail

Update: Wie die chinesische Datenkrake arbeitet

Update: Tor-Netzwerk im Visier