BND-Projekt ANISKI: 150 Mio. Euro zum Knacken von Messengern wie WhatsApp
Der Bundesnachrichtendienst (BND) will in den kommenden Jahren insgesamt 150 Millionen Euro ausgeben, um verschlüsselte Messenger-Dienste wie WhatsApp zu knacken. Das geht aus den Haushaltsunterlagen des Bundestags hervor, die Netzpolitik.org vorliegen.
Konkret geht es dabei um das Projekt ANISKI, die „Aufklärung nicht-standardisierter Kommunikation und Daten“. Damit zielt der BND in erster Linie auf verschlüsselte Messenger-Dienste. Viele davon haben seit den Snowden-Enthüllungen aufgerüstet und verfügen nun über eine Ende-zu-Ende-Verschlüsselung, sodass Geheimdienste die Inhalte nicht mehr ohne weiteres abgreifen können.
Im Fall des BND bedeutet das laut den Haushaltsunterlagen: „Von aktuell weit über 70 verfügbaren Kommunikationsdiensten mit entsprechender Verbreitung“ kann der deutsche Geheimdienst „nur weniger als zehn (zumeist ältere) erfassen und inhaltlich erschließen“. Probleme bereiten dabei nicht nur die Inhalte, ebenso schwierig sei es, „nachrichtendienstlich relevante Nutzer“ zu identifizieren. Dabei geht es nicht nur um den Anti-Terror-Kampf, sondern auch weitere Bereiche wie die organisierte Kriminalität und illegale Migration.
Budget für „Entzifferungs-Hardware“
Um auf die technologische Entwicklung bei den verschlüsselten Messenger-Diensten zu reagieren, will der BND nun das ANISKI-Budget nutzen, um neue Hard- und Software anzuschaffen. Bestehende Erfassungs- und Bearbeitungssysteme sollen aufgerüstet werden, zudem will der Geheimdienst Hardware kaufen, die explizit auf die „Entzifferung“ von verschlüsselten Inhalten ausgelegt ist.
Auf der Agenda steht auch noch eine operative Infrastruktur für „aktive Erfassungsansätze“. Neben eigenen und angemieteten Servern zählen dazu auch Legendenunterkünfte und -firmen. Sichergestellt werden müsse auch, dass der BND an notwendige Informationen wie Zertifikate und Krypto-Schlüssel gelangt. Das soll etwa durch IT-Operationen und HUMINT-Operationen gelingen, was in der Praxis bedeutet: Wenn die Technik nicht ausreicht, um die sensiblen Informationen zu erhalten, müssen menschliche Quellen angezapft werden.
Projekt ANISKI ergänzt die staatliche Aufrüstung
Die 150 Millionen Euro für Projekt ANISKI sind Teil des Budgetplans bis zum Jahr 2025. Für dieses Jahr wurden 5,4 Millionen Euro bewilligt, 2017 sind es 15,9 Millionen Euro, die restliche Summe ist für das Jahr 2018 und darüber hinaus veranschlagt. Es ergänzt die Strategische Initiative Technik (SIT), die der BND ohnehin vorantreibt, um technisch aufzurüsten. Dabei geht es aber um „standardisierte Übertragungs- und Verschlüsselungsprotokolle“, also die klassische Überwachung von Telefon- und Internetkommunikation.
Hinzu kommt noch das Projekt URAn/OS, bei dem der BND offen zugängliche Informationsquellen wie etwa soziale Netzwerke systematisch auswerten will. Das Ziel: Auftragsbezogene Lagebilder erstellen sowie Trends und krisenhafte Entwicklungen frühzeitig erkennen. Veranschlagt sind dafür in den kommenden Jahren insgesamt 7,7 Millionen Euro. Im Rahmen einer Studie mit der Universität der Bundeswehr prüfe der BND derzeit aber noch, ob „eine automatisierte und anonymisierte zeitnahe Analyse offen verfügbarer Datenquellen im Internet“ für diesen Zweck geeignet ist. Bisherige Ergebnisse werden aber als vielversprechend bezeichnet.
Neben dem BND rüstet der Staat noch an weiteren Stellen auf. Ab Januar 2017 nimmt etwa die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) die Arbeit auf. Eine der Aufgaben ist, Technologie für Polizei und Geheimdienste zu entwickeln, um Verschlüsselungen zu umgehen.
Kritik: BND-Programm ist „exzessiv und nicht zu rechtfertigen“
Dass der BND die Verschlüsselung von praktisch allen Messenger-Diensten knacken will, bezeichnet Frank Rieger, Sprecher vom Chaos Computer Club, gegenüber Netzpolitik.org als „exzessiv und nicht zu rechtfertigen“. Wenn es um Sicherheitslücken gehe, müsse der Staat die jeweiligen Risiken abwägen. Der Schutz der Bürger habe seiner Ansicht nach aber eine höhere Priorität als die Interessen von Geheimdiensten und Strafverfolgungsbehörden.
Denn das Kernproblem ist: Sobald die Behörden selbst Sicherheitslücken ausnutzen, stehen diese auch für Dritte wie Kriminelle offen. „Wenn etwa der Staat aktiv Sicherheitslücken gegen mobile Endgeräte entwickelt, ist davon auszugehen, dass diese Lücken auch von anderen Angreifern genutzt werden – auch solchen, gegen die der Staat eine Schutzpflicht hat“, so Rieger.