BSI: Keine Sicherheitslücken für NSA-Überwachung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wehrt sich gegen den Vorwurf, mit der NSA bei der Überwachung des weltweiten Datenverkehrs kooperiert zu haben. Die Süddeutsche hatte vor einer Woche über Dokumente von Edward Snowden berichtet, in denen das BSI als „Schlüsselpartner“ der NSA bezeichnet wird.
Demnach ist der US-Geheimdienst an einer Zusammenarbeit interessiert, weil das BSI „IT-Systeme hinsichtlich ihrer Sicherheitseigenschaften“ bewertet und zertifiziert. Dabei erhalten die BSI-Mitarbeiter im Rahmen des Prüfverfahrens Einblicke in den jeweiligen Programm-Code, um nach potentiellen Sicherheitslücken Ausschau zu halten. Unabhängig von der finalen Bewertung eines IT-Produkts, der BND hat zusätzliche Detail-Kenntnisse über die jeweiligen Schwachpunkte. Das sind Informationen, nach denen sich die NSA-Analysten die Finger lecken.
Das BSI dementierte allerdings den Vorwurf, geheime Erkenntnisse über Sicherheitslücken übermittelt zu haben. „Eine Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste durch das Bundesamt für Sicherheit in der Informationstechnik im Zusammenhang mit den Ausspähprogrammen Prism und Tempora findet nicht statt“, heißt es in dem Statement. Man habe weder die NSA noch andere ausländische Geheimdienste unterstützt, um „Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten DE-CIX oder an anderen Stellen in Deutschland auszuspähen“. Informationen und Erkenntnisse über zertifizierte IT-Produkte und -Dienstleistungen gebe man nicht an andere Behörden, Geheimdienste oder sonstige Dritte weiter.
Kooperationen mit Polizeibehörden und Geheimdiensten erfolgen lediglich „im Rahmen der präventiven Aufgabenwahrnehmung des BSI“, etwa bei der Abwehr von IT- und Cyber-Angriffen. Für denselben Zweck arbeite man im Rahmen der Nato-Bündnispartnerschaften auch mit ausländischen Geheimdiensten wie der NSA zusammen. Diese umfasse jedoch „ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit“.
Wie erhält die NSA monatlich rund 500 Millionen Verbindungsdaten?
Konkret handelt es sich laut dem Bericht der Süddeutschen Zeitung um Informationen über den Internet-Knotenpunkt DE-CIX in Frankfurt a.M.. Bei diesem handelt es sich um einen der weltweit größten Knotenpunkte, an dessen Traffic die Geheimdienste ein entsprechendes Interesse haben und der mit einem Zertifikat vom BSI ausgestattet ist. Sollte also trotz des Dementis eine geheime Partnerschaft zwischen der deutschen IT-Sicherheitsbehörde und der NSA bestehen, hätte diese mit Hilfe der BSI-Hinweise den Frankfurter Knotenpunkt hacken können. Das wäre zumindest für den US-Geheimdienst eine elegante Lösung, mit der man ohne Umweg über die deutsche Bürokratie einen direkten Zugriff den globalen Datenverkehr in Frankfurt erhalten würde.
Soweit die Theorie, die immerhin erklärt, wie die NSA monatlich an rund 500 Millionen Verbindungsdaten aus Deutschland gelangt. Für diese Spekulationen sprechen die Hinweise in den von Snowden enthüllten Dokumenten, dagegen das Dementi vom BSI sowie die Aussagen der DE-CIX-Betreiber. Diese versichern, dass keine „ausländischen Geheimdienste an unsere Infrastruktur angeschlossen sind“, berichtet die Süddeutsche Zeitung. Als praktisch gesichert gilt allerdings, dass der BND beim DE-CIX den globalen Datenverkehr direkt anzapft. Legitimiert ist die sogenannte „strategische Aufklärung“ durch die entsprechenden Klauseln im Geheimdienst-Gesetz G10. Das verbietet allerdings auch den DE-CIX-Betreibern, sich darüber zu äußern.
Es besteht also auch die Möglichkeit, dass der BND den globalen Datenverkehr anzapft und die ungefilterten Rohdaten an die NSA übermittelt, ohne diese zuvor zu analysieren. Das würde zumindest nicht den jüngsten Aussagen von BND-Chef Schindler widersprechen, wonach der BND im Jahr 2012 lediglich zwei Datensätze über deutsche Staatsbürger an die NSA geliefert habe. Bei den gesammelten Daten handelt es sich dann nicht um präzise Datensätze, die man an die NSA liefern würde, sondern lediglich um ungefiltertes Rohmaterial.
All' das sind aber auch nur Mutmaßungen, basierend auf den verfügbaren Daten und den widersprüchlichen Stellungnahmen. Mit welchen Mitteln die NSA tatsächlich die Verbindungsdaten aus Deutschland sammelt, bleibt letztlich eine der zahlreichen Fragen, die bis dato nicht aufgeklärt wurden.