Wie der BND die Kommunikation in Österreich überwacht

Die Datenströme aus Österreich werden an der wichtigsten Verbindung zum Frankfurter Knoten DE-CIX komplett auf Leitungen des BND kopiert. Ausgewählte Ergebnisse der Auswertung gehen vom BND an das Heeresnachrichtenamt in Wien zurück.

von Erich Möchel

Die Reaktion der österreichischen Regierung auf die Veröffentlichung einer Liste von Zielen des deutschen Bundesnachrichtendiensts (BND) in Österreich hat unter Geheimdienstkennern Befremden und Belustigung ausgelöst. Der Tenor: Entweder habe man tatsächlich keine Ahnung, wie der Datenaustausch zwischen deutschen und österreichischen Geheimdiensten funktioniert, oder es sei ein innenpolitisches Manöver.

Wirklich getroffen aber wurden die heimischen Geheimdienste, die über den BND an Erkenntnisse aus österreichischen Netzen kommen, zu denen etwa das Heeresnachrichtenamt (HNaA) selbst keinen Zugang hat. Die Kommunikation der österreichischen Ziele wird an Glasfasern mit einem Durchsatz von bis zu 100 Gigabit/sec am Frankfurter Knoten DE-CIX abgezapft. Abzustellen ist das keineswegs, denn der BND hat dafür einen gesetzlichen Auftrag, das HNaA in Österreich hingegen nicht.

Tatort Frankfurt Internet-Exchange

Im BMI in Wien ist man seit 1999 über die Datenzapferei in Frankfurt informiert. Damals wurden die Österreicher noch öffentlich davor gewarnt.

Am weltgrößten Internetknoten in Frankfurt laufen die Netze der internationalen Datentransporteure zusammen, einer davon ist die A1-Telekom. Über die DE-CIX werden Internetverkehr, Telefonate und Metadaten zu anderen Carriern weitergeleitet, es handelt sich also in erster Linie um Auslandskommunikation. Die Grafik zeigt von links die Zentrale der A1-Telekom (AS8562), bereits der zweite Knoten (AS8447) befindet sich an der Frankfurter Internet-Exchange.

hurricane electric

Die Spitze des fett eingezeichneten Pfeils markiert in etwa den Abzapfpunkt des BND, denn dort kommen noch alle ausgehenden Daten der A1-Telekom vorbei, dasselbe trifft auch auf alle eingehenden Daten zu. Erst danach werden sie je nach Destination auf andere Carrier aufgeteilt, die in der Domäne anderer Geheimdienste liegen. Zwei der durchsatzstärksten Verbindungen von AS8447 führen in die Netze der US-Carrier NTT America (AS2914) und Level3 (AS3356). Diese Leitungen filtert die NSA, in deren Maschinen damit immerhin alle Kommunikationen der österreichischen Überwachungsziele mit ihren Gegenparts in den USA landen.

div

Wie die Glasfaserüberwachung funktioniert

Die dritte, durchsatzstarke Verbindung führt in das Netz des schwedischen Carriers Telia (AS1299) und auch dort wird abgezapft und ausgewertet, da der schwedische Militärgeheimdienst FRA seit 2008 über die nötige Lizenz zum Abzapfen verfügt. Es sind also gleich mehrere Geheimdienste hinter den Datenströmen aus Österreich her, aber nur der deutsche BND hat Zugang zu allen Daten, die vom A1-Netz in Frankfurt angeliefert werden. Abgegriffen und gefiltert werden diese Datenströme aber überall nach derselben Methode.

Die gesamte Glasfaserleitung wird über einen sogenannten Splitter auf einen zweiten Faserstrang kopiert. Sehr verkürzt gesagt, werden an ultraschnellen Switches rein transportbezogene, also irrelevante Daten aussortiert, die relevanten Daten werden je nach Protokoll (E-Mail, http, VoIP etc) auf Serverbatterien aufgeteilt und dort gespeichert. Erst dann treten die „Selektoren“ der jeweiligen Geheimdienste auf den Plan, das sind Telefonnummern, E-Mail-Adressen, Chat-IDs usw., die den Überwachungszielen zugeordnet werden.

div

Die Datenökomomie der Dienste

Die abgefangenen Daten werden zur Extrahierung von Erkenntnissen genutzt, die allerdings nicht in der alleinigen Domäne der jeweiligen Geheimdienste bleiben. Deren Verbindungen untereinander sind nämlich weitaus enger als gemeinhin angenommen wird und zwar aus technisch-praktischen Gründen. Wie das obige Beispiel zeigt, ist auch die übermächtige NSA auf Kooperationen angewiesen, wenn sie an bestimmte Datensätze etwa aus Österreich gelangen will. Die Datenökonomie der Dienste besteht nämlich zu einem Gutteil aus Tauschgeschäften mit anderen Geheimdiensten.

Dem schwedischen Militärgeheimdienst FRA wurde die Lizenz zum Filtern aller Auslandsverbindungen im Jahr 2008 erteilt

Nur wer selbst über genügend abgefangene Datensätze verfügt, bekommt auch Daten von Geheimdienstpartnern. Im Auftrag des Heeresnachrichtenamts ist das etwas verklausuliert so dargestellt: „Das HNaA ... hat sicherheitspolitisch relevante Informationen über Regionen und Akteure, welche Auswirkung auf die nationale Sicherheit Österreichs und somit der EU haben, zu beschaffen, aufzubereiten und der obersten politischen und militärischen Führung der Republik in Form von Lageberichten und Lagevorträgen darzustellen.“ Neben den „Bedarfsträgern“ in Österreich werde auch der „EU-Militärstab durch bedarfsgerechte Nachrichten“ unterstützt.

div

„Empörung der Regierung lächerlich“

Deswegen bezeichnete der Grazer Geheimdienstexperte Siegfrid Beer die öffentliche Empörung der Bundesregierung über die Abzapftätigkeit des BND an österreichischen Datensätzen auch in mehreren Interviews als „lächerlich“. Als ehemaliger Außenminister, nunmehriger Bundeskanzler und oberster Adressat der geheimen Briefings des HNaA müsste Sebastian Kurz nämlich wissen, wie eng BND und HNaA verbunden sind und wie der Datenaustausch zwischen den Geheimdiensten in etwa funktioniert.

Genau dieses Thema hatte der ehemalige Außenminister Kurz mit seinem deutschen Kollegen Frank-Walter Steinmeier bereits 2015 mehrfach eingehend besprochen. Seit damals ist die Abzapftätigkeit des BND an Leitungen aus Österreich DE-CIX samt einiger weniger Überwachungsziele, die sich auch der Liste finden, hierzulande nämlich bereits bekannt.

Selektoren mindestens verzehnfacht

Damit soll die Recherche der Kollegen von „Der Standard“ und „Profil“ keineswegs herabgewürdigt werden. Was Michael Nikbakhsh und Fabian Schmid da ausgegraben haben, stammt zwar aus der Frühzeit der Glasfaserüberwachung und endet bereits 2006. Dabei handelt es sich allerdings um Selektoren, die direkt auf die Überwachungsziele verweisen. Deshalb gehören die eigenen Selektoren auch zu den bestgehüteten Geheimnissen eines jeden Dienstes. Auch befreundeten Diensten wird in der Regel nur anlassbezogen und in selektiven Auszügen Einsicht gewährt.

Sachdienliche Informationen, Metakritiken et al. können hier verschlüsselt und anonym beim Autor eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.

Insofern ist diese Liste also durchaus eine Rarität und sie lässt Rückschlüsse auf heute zu. Wenn es bis 2006 etwa 2.200 Selektoren waren, dann sind es 2018 mindestens zehnmal soviel. Mit den rasanten Zuwächsen in der mobilen Kommunikation und im Datenverkehr insgesamt wächst auch die Zahl der Selektoren. Wien wiederum gilt als Welthauptstadt der Spionage, weil es hier allein an die 18.000 akkreditierte Diplomaten gibt. Die Zahl der jetzt vom BND verwendeten Selektoren für Österreich sollte also weit eher im mittleren bis hohen fünfstelligen Bereich angenommen werden. Die Frankfurter Internet-Exchange hat im Übrigen Klage gegen die Datenabzapfungsmaschine eingereicht, die mittlerweile auf dem Weg zum Bundesverfassungsgerichtshof ist.