In zwei unabhängigen Gutachten kamen Experten zu dem Schluss, dass man bei IP-Paketen nicht eindeutig unterscheiden kann, ob sie aus dem In- oder Ausland stammen. Der BND darf ohne spezielle Genehmigung keine Deutschen abhören, kann aber auch nicht alle Deutschen ausfiltern, wenn er Internetverkehre abschnorchelt – und das ist rechtswidrig.

Der BND ist ein Auslandsnachrichtendienst. Er soll Informationen außerhalb Deutschlands beschaffen. Will er Deutsche abhören, braucht er – im Regelfall vorher – eine sogenannte G-10-Anordnung, eine Genehmigung. Aber wie kann der BND ausschließen, dass er Deutsche mitabhört, wenn er an Glasfasern lauscht, über die sowohl deutsche als auch ausländische Internetverkehre laufen?

Das ist eine der immer wieder aufkommenden Fragen im NSA-Untersuchungsausschuss. Daher hat der Ausschuss nun zwei Gutachten angefordert, um zu verstehen, ob der BND anhand der IP-Adresse eines Datenpaketes eindeutig bestimmen kann, woher es kommt, ob er dadurch zuverlässig deutsche Kommunikation ausfiltern kann und ob man ohne weiteres Inhalte auf einer Leitung unterscheiden kann.

Eines der beiden Gutachten stammt von Kay Rechthien, Frank Rieger und Constanze Kurz vom Chaos Computer Club (CCC). Das zweite wurde von Prof. Dr. Gabi Dreo Rodosek vom Lehrstuhl für Kommunikationssysteme und Netzsicherheit an der Bundeswehr-Universität München erstellt. Beide Gutachten kommen im Kern zum gleichen Ergebnis:

Es ist unmöglich, mit einhundertprozentiger Sicherheit zu bestimmen, ob ein Datenpaket sich vom Inland aus zu einem Ziel im Inland bewegt oder nicht. Genausowenig kann man ohne einen tiefen Einblick in den Inhalt der Datenpakete die Art der transportierten Daten unterscheiden. Wir fassen die wichtigsten Punkte zusammen.

Das Internet ist kein Telefonnetz

Im Zeitalter der leitungsvermittelten Telefonie ließ sich einfach ermitteln, wo sich die beiden Gesprächspartner befinden. Während des ganzen Gespräches bestand eine konstante Verbindung zwischen beiden Seiten. Wenn wir über das Internet und IP-Verkehr reden, ändert sich die Situation. Das stellte bereits ein Zeuge in einer Sitzung des NSA-Untersuchungsauschusses sehr bildhaft dar.

Er verglich die klassische Telefonie mit einer alten Apotheke:

Jedes Telefonat ist eine Pille, die Pillen sind in einem Blister, die Blister sind in einer Schachtel, die Schachtel ist in einer Schublade.

Also eindeutig sortiert. Im Internet sieht das anders aus, dort sind „alle Pillen am Fußboden verteilt“. Aus diesen Pillen sollen nun die deutschen aussortiert werden. In der Realität sieht es noch schwieriger aus: Denn die vielen Datenpakete, die zu einem Kommunikationsvorgang gehören, können vom Sender zum Empfänger und zurück ganz unterschiedliche Wege nehmen und auch noch in unterschiedlicher Reihenfolge ankommen – um das Zusammensetzen kümmert sich dann der Rechner des Empfängers. Wenn also ein Kommunikationsvorgang überwacht werden soll, reicht es eventuell nicht aus, auf nur einer Leitung zu lauschen. Man muss die einzelnen Pakete aus verschiedenen Leitungen zusammensetzen.

Anhaltspunkte für die Art der Daten

Es gibt Anhaltspunkte dafür, zu welcher Art von Kommunikation ein IP-Paket gehört, aber auch die sind nicht eindeutig. Um herauszufinden, ob gerade ein Paket gesendet wird, das zu einem Webseitenaufruf oder einer E-Mail gehört, kann man zuerst auf die verwendeten Ports schauen. Ist es Port 80 oder 443, liegt der Aufruf einer Webseite nahe. Port 25 und 143 deuten – neben anderen – auf Mail-Kommunikation hin. Geheimdienste interessieren sich kaum für den Download von Musikdateien, daher sind sie auf die Ausfilterung bestimmter Datentypen angewiesen, um nicht in Daten zu ersticken.

Portnummern können zwischen 0 und 65535 liegen und nur diejenigen bis 1023 sind eindeutig bestimmten Diensten zuzuordnen. Rodosek resümiert:

Der Port-basierte Ansatz kann einen Anhaltspunkt auf vorhandene Kommunikationsarten in Datenverkehr geben, liefert aber nicht zwangsläufig zuverlässige Ergebnisse.

Genauer wäre Deep Packet Inspection, das heißt, direkt in den Inhalt der Pakete hereinzuschauen. Aber das ist zum ersten aufwändig und bei großen Datenmengen nicht zu bewältigen und zweitens auch rechtlich nicht möglich, da in diesem Moment bereits Kommunikationsinhalte analysiert werden. Und wenn die Kommunikation – idealerweise – verschlüsselt ist, steht man mit Deep Packet Inspection vor großen Problemen.

Die im praktischen Betrieb von Internetknotenpunkten genutzten Techniken, um Statistiken über die Art der Verkehre und die Nutzung zu erstellen, werden als flow-basierte Verfahren oder Sampling bezeichnet. Sie analysieren stichprobenartig Verkehre auf ihren Typ und erhalten so Ergebnisse, die sie zur Steuerung des eigenen Betriebsablaufes benötigen.

Identifikation von „deutschen Paketen“ niemals fehlerfrei

Pakete werden von der IP-Adresse des Senders zur IP-Adresse des Empfängers geschickt. Um herauszufinden, ob ein Paket von Deutschland nach Deutschland oder von Deutschland ins Ausland und umgekehrt geschickt wird, müsste man ermitteln, ob die Sender- und/oder Empfänger-IP aus Deutschland stammen. Das ist wichtig, denn wenn mindestens ein Endpunkt in Deutschland liegt, darf der BND die Kommunikation nur mit einer G-10-Anordnung abhören.

Doch wie geht diese Lokalisation oder besser: Funktioniert sie überhaupt? Die Autorinnen und Autoren der beiden Gutachten zählen mehrere Möglichkeiten auf, hier exemplarisch drei davon:

Latenzmessung: Ein Paket passiert mehrere Punkte, wenn es durchs Netz wandert, an denen es auf die jeweils nächste Teilstrecke geleitet wird. Kennt man für manche dieser Punkte die Geolokation, lassen sich durch Latenzmessungen die Abstände zu Sender und Empfänger schätzen. Diese Methode ist störanfällig, durch eine hohe Netzauslastung zum Beispiel.

Ein Paket passiert mehrere Punkte, wenn es durchs Netz wandert, an denen es auf die jeweils nächste Teilstrecke geleitet wird. Kennt man für manche dieser Punkte die Geolokation, lassen sich durch Latenzmessungen die Abstände zu Sender und Empfänger schätzen. Diese Methode ist störanfällig, durch eine hohe Netzauslastung zum Beispiel. Registrierungsdatenbanken: Es lässt sich nachvollziehen, wer eine bestimmte IP-Adresse registriert hat. Mit dem „whois„-Befehl erhält man zu einer Domain oder IP einen Namen und auch eine Adresse. Auch hier bestehen Verwechslungsmöglichkeiten. Im Gutachten des CCC heißt es:

Wenn nun aber – was nicht selten vorkommt – ein multinationaler Konzern mit Tochterunternehmen in mehreren Ländern IP-Adress-Blöcke tauscht, dann können diese Einträge schnell irreführend werden.

Es lässt sich nachvollziehen, wer eine bestimmte IP-Adresse registriert hat. Mit dem „whois„-Befehl erhält man zu einer Domain oder IP einen Namen und auch eine Adresse. Auch hier bestehen Verwechslungsmöglichkeiten. Im Gutachten des CCC heißt es: Kommerzielle Datenbanken: Manche kommerzielle Datenbanken bieten Location Mapping an. Sie sammeln Informationen, wo eine IP-Adresse registriert ist. Das ist unzuverlässig, wie ein Beispiel eindrücklich zeigt: Ein niederländischer Staatsbürger füllte sein Einreiseformular für eine USA-Reise von seinem Rechner in den Niederlanden aus. Da die Einreisebehörde die zugehörige IP-Adresse mit einer augenscheinlich veralteten Datenbank abglich, kam sie zu dem Ergebnis, der Mann habe das Formular von Jordanien aus ausgefüllt – und durchsuchte und befragte ihn gleich zweimal intensiv am Flughafen.

Nutzt man Anonymisierungswerkzeuge wie Tor und Virtual Private Networks, wird es beinahe unmöglich, den Ursprung eines Pakets nachzuverfolgen – selbst die NSA hat mit dem Knacken von Tor größere Probleme. Rodosek kommt im Vergleich mehrerer Methoden auf eine Durchschnittsabweichung von 134 bis zu 770 Kilometern bei der IP-Lokalisierung.

„Mehrere Millionen fehlerhaft getaggter Verbindungen – jeden Tag“

Das Fazit: Auch wenn es Methoden gibt, mit denen man schätzen kann, ob ein Datenpaket aus Deutschland stammt oder nicht: Absolut sicher kann man sich nie sein. Frank Rieger, Sprecher des CCC, kommentiert:

Wenn man den Geheimdiensten besser auf die Finger schauen und nicht nur Beteuerungen glauben will, hilft das Verständnis der tatsächlichen technischen Vorgänge im Netz. Niemand sollte sich weiterhin vorgaukeln, der BND würde beim Abhören zwischen in- und ausländischen Datenverkehren sicher unterscheiden können, ohne dabei tief in die Inhalte hineinzuschauen.

Rosodek merkt an einer Stelle an, dass Verfahren wie Geodatenbanken mit 96 bis 98 Prozent Genauigkeit ausreichend „zur Lokalisation einer IP-Adresse auf Landesebene“ sind. Klaus Landefeld, Betreiber des – in Puncto Datendurchsatz – größten Internetknotens der Welt DE-CIX in Frankfurt am Main, führte in einem Expertengespräch (in der Audiodatei etwa ab 1:19:00) aus, dass die besten Filtersysteme etwa 99,5 Prozent der deutschen Verkehre erkennen können. Die BND-Filter erreichen nach seiner Einschätzung Werte von 95 bis 96 Prozent. Aber selbst wenn wir annähmen, „dass der BND das weltbeste Filtersystem bauen könnte, dass 99,9 Prozent erreicht, dann redet man immer noch über mehrere Millionen fehlerhaft getaggter Verbindungen – jeden Tag“, allein am DE-CIX.

Martina Renner, Obfrau der Linken im Untersuchungsausschuss, kommentiert:

Die von uns beantragten Gutachten zeigen: es ist kompliziert. Und ehrlich gestanden: Wir hatten nichts anderes erwartet. Die Behauptung des BND, die Trennung von deutscher und nicht-deutscher digitaler Kommunikation sei möglich und durch Filtersysteme realisierbar, ist damit ad Absurdum geführt. Damit ist auch klar, dass jede automatisierte Weiterleitung von Kommunikationsdaten an die Five Eyes gegen das Grundgesetz verstößt – gerade in der Interpretation der Bundesregierung, die an der Auffassung festhält, Artikel 10 schütze nur Deutsche. Die Konsequenz muss sein, dass endlich anerkannt wird, dass jede digitale Kommunikation den gleichen Schutz genießt. Weil Grundrechte nicht teilbar sind und weil es technisch auch gar nicht anders möglich ist.

Die Bundesregierung ist anderer Meinung. Im Entwurf für eine Reform des BND-Gesetzes unterscheidet sie zwischen Deutschen, EU-Bürgern und Ausländern und impliziert damit, dass das Grundgesetz für letztere nur beschränkt anzuwenden ist. Dem widersprechen viele, unter anderem der Wissenschaftliche Dienst des Bundestages und der ehemalige Präsident des Bundesverfassungsgerichtes Hans-Jürgen Papier.

Update: Konstantin von Notz, Obmann der Grünen im Untersuchungsausschuss kommentiert: