Eikonal: Weiterer Provider neben Telekom überwacht
Beim Eikonal-Programm hat der Bundesnachrichtendienst (BND) nicht nur die Leitungen der Telekom, sondern auch die von einem anderen Netzbetreiber angezapft. Das sagte der ehemalige Projektleiter von Eikonal während der letzten Sitzung des NSA-Untersuchungsausschuss.
Zunächst roch es in der Sitzung erneut nach einem Eklat: Der Linken-Abgeordnete André Hahn hatte dem als BND-Zeuge geladenen Ex-Projektleiter von Eikonal vorgeworfen, dass bestimmte Aussagen in der öffentlichen Sitzung nicht mit dem Inhalt der Akten übereinstimmen würden. Der CDU-Abgeordnete Roderich Kiesewetter bewertete das zwar als Skandalisierung, doch Hans-Christian Ströbele von den Grünen stimmte Hahn zu. Dem Live-Ticker von Netzpolitik.org zufolge sagte Ströbele: „Kollege Hahn hat recht und könnte das auch vorführen, wenn Bundesregierung nicht immer einschreitet.“ In der öffentlichen Verhandlung müssten immer wieder Widersprüche zu den Akten hingenommen werden. Zudem werde bei spannenden Punkten regelmäßig das Mikrofon abgeschaltet.
BND-Zeuge wiegelt ab
Thematisch befasste sich die Sitzung vor allem mit Eikonal. Im Rahmen dieses Programms hatte der BND zwischen 2004 und 2008 Daten vom Frankfurter Internetknotenpunkt DE-CIX mit der NSA ausgetauscht, wie Süddeutsche Zeitung (SZ), NDR und WDR Anfang Oktober enthüllt hatten. Bei der Anhörung nannte der BND-Zeuge nun einige weitere Details. Demnach wurden die bei Eikonal gewonnenen Daten mit Hilfe eines „kaskadenartigen Filtersystems“ bereinigt, damit keine Informationen über „Grundrechtsträger“ – also Bundesbürger – weitergeleitet werden. Aus diesem Grund habe die NSA jährlich „nur wenige hundert Meldungen“ erhalten. Dies habe unter den anfangs hohen Erwartungen der NSA gelegen, sodass die US-Dienste letztlich aus dem Projekt ausgestiegen sind.
Konstantin von Notz von den Grünen merkte allerdings an, dass „Hunderte Meldungen“ womöglich auch Millionen von Metadaten bedeuten könnten. Der BND-Zeuge antwortete allerdings nur äußerst vage, er wisse nicht, wie viele Metadaten übermittelt wurden. Kritisch äußerte sich auch die Linken-Abgeordnete Martina Renner, da bei Eikonal im ersten Schritt durchaus Millionen von Daten „automatisiert und massenhaft“ erfasst worden sind, um sie überhaupt auswerten zu können. Nach Ansicht des BND-Zeugen könne aber von einer Erfassung im Sinne des Datenschutzrechts keine Rede sein, weil der Zugriff auf die Daten nur kurzfristig und in einem frühen Stadium erfolge. Informationen über Bundesbürger würden mittels der mehrstufigen Filterung aussortiert und die übrigen Daten erst danach ausgewertet.
Theoretisch sei es zwar möglich, so der BND-Zeuge, dass in diesen Zwischenphasen auf die Daten zugegriffen werde. In der Praxis sei das aber nicht vorgekommen, der BND habe sich „streng an Recht und Gesetz gehalten“. Ebenso soll es bei Eikonal keinen Ringtausch von Daten gegeben haben. BND und NSA hätten sich also keine Informationen zugespielt, die die Dienste im jeweiligen Heimatland aufgrund rechtlicher Vorgaben nicht erheben dürfen. Auf Nachfrage erklärte er allerdings, dass er dies nur „im technischen Bereich und für Eikonal“ ausschließen könne – darüber hinaus habe er keine Erkenntnisse. Zudem handele es sich um seine eigene Definition von Ringtausch, der BND habe ihm keine Vorgaben für diese Aussage gemacht.
Der Zeuge erklärte, er gehe nicht davon aus, dass ausländische Geheimdienste wie etwa die NSA das Equipment des BND infiltriert haben, um den Datenverkehr direkt überwachen zu können. Laut dem Live-Ticker von Netzpolitik.org fragte etwa der Ausschussvorsitzende Patrick Sensburg: „Welche Marke hat Router, fängt Marke mit “C” an? [Anm: Cisco]“ Eine konkrete Antwort wollte der Zeuge daraufhin nicht geben. Allerdings versicherte er, die eingesetzten Geräte würden zunächst im Labor aufgebaut und überwacht, sodass festgestellt werden kann, ob diese irreguläre Verhaltensmuster aufweisen.
Kooperation mit Telekom und weiterem Netzbetreiber
Darüber hinaus erklärte der BND-Zeuge, dass Eikonal zunächst nur auf Telefondaten abgezielt hatte. Weil die entsprechenden Daten von Bundesbürgern und Ausländern über separate Leitungen laufen würden, habe der BND keine Erlaubnis der G10-Kommission eingeholt – diese sei nur notwendig, wenn die Daten von Bundesbürgern – die sogenannten G10-Daten – betroffen sind. Da Netzbetreiber allerdings nur durch einen Beschluss der G10-Kommission zur Kooperation gezwungen sind, habe man anfangs auf freiwilliger Basis mit der Deutschen Telekom zusammengearbeitet. Der Konzern habe zunächst zwar rechtliche Bedenken angemeldet, diese sollen aber durch eine Unbedenklichkeitserklärung des Kanzleramts ausgeräumt worden sein.
Als Eikonal auf die Überwachung von Internet-Kommunikation ausgeweitet wurde, ließ sich der BND das Anzapfen der Leitungen offiziell von der G10-Kommission absegnen, sodass die Telekom zur Kooperation gezwungen war. Nötig wurde dieser Schritt laut dem BND-Zeugen, weil es bei der Internet-Kommunikation problematisch sei, „ausländische“ und „deutsche“ Daten zu trennen. Die Abgeordneten aus den Reihen der Opposition vermuten allerdings, der BND habe sich diese G10-Genehmigung nur geholt, um ausländische Kommunikationsströme anzuzapfen und darauf hin gemeinsam mit der NSA auszuwerten.
Die Telekom ist allerdings nicht der einzige Netzbetreiber, der Datenverkehr im Rahmen von Eikonal an den BND übermitteln musste. Einen Namen nannte der BND-Zeuge allerdings nicht. Auf Anfrage der Linken-Abgeordneten Renner erklärte er laut Netzpolitik.org lediglich: „Es gab noch einen weiteren Ansatz, bei dem Meldungen an einen ausländischen Nachrichtendienst weitergeleitet wurden.“
Keine Hinweise vom Ex-Chef der Telekom
Am Ende der Sitzung sollte Kai-Uwe Ricke, von 2002 bis 2006 Vorstandsvorsitzender der Deutschen Telekom, über die Zusammenarbeit mit dem BND berichten. Auf die Fragen der Abgeordneten konnte Ricke allerdings kaum konkrete Details nennen. 2002 wären Kooperationen mit den Geheimdiensten noch kein Thema auf Vorstandsebene gewesen. Dementsprechend habe er keine Kenntnisse über Programme wie Eikonal.