Für das Abhören regulärer Telekommunikation gibt es klare technische Standards, für die umstrittene "strategische Fernmeldeaufklärung" des Bundesnachrichtendienstes jedoch nicht. Dabei darf der BND 20 Prozent von Übertragungswegen mit dem Datenstaubsauger einfangen und nach gewissen Stichworten durchsuchen. Das kritisierte Klaus Landefeld, Aufsichtsrat beim Frankfurter Netzknoten De-Cix, am Donnerstag im NSA-Untersuchungsauschuss des Bundestags.

Diskussionsbedarf über BND-Forderung

Den ersten Versuch des BND, "direkt an den Knoten zu gehen" hat es Landefeld zufolge 2008 gegeben. Der Geheimdienst habe von mehreren Providern Internetverkehr ausleiten wollen. "Wir haben Diskussionsbedarf gesehen", erinnerte sich der Zeuge. Das G10-Gesetz, das die rechtliche Grundlage für eine solche Einschränkung des Fernmeldgeheimnisses bildet, stamme aus einer Zeit vor der paketvermittelten Kommunikation und sage nichts zu den "Mischverkehren" mit Daten deutscher und ausländischer Bürger, die in der Regel über Internetleitungen flössen.

Die Probleme fangen laut Landefeld bei der Streckenwahl an. So sei bei einer Leitung etwa zwischen Frankfurt und Karlsruhe "nicht ganz klar, wo die nicht G10-geschützten Verkehre liegen sollen", die der Auslandsgeheimdienst hauptsächlich auswerten dürfe. Wenn der BND auch an innerdeutsche Zugangsanbieter heran wolle, die nur Anschlussleitungen in seiner Region betrieben, sei "mindestens ein Kommunikationspartner immer im Inland". Die zugehörigen Daten müssten so eigentlich von vornherein aussortiert werden.

Keine theoretischen Probleme

Der Zeuge betonte, dass es sich nicht um theoretische Beispiele handle. Der BND interessiere sich keineswegs nur für Leitungen etwa in den arabischen Raum, wie man vielleicht erwarten könnte. Teils seien Leitungen dabei, auf denen 90 Prozent des Verkehrs oder mehr besonders geschützt seien. Es ließe sich "absolut nicht trennscharf" entscheiden, was im Netz "deutsch ist oder nicht".

Auch die 20-Prozent-Regel, nach der Geheimdienste ein Fünftel der Leitungskapazität ausleiten dürfen, passe nicht auf den Internetverkehr, meinte Landefeld. Wenn man die "theoretische Leistungskapazität" als Maßstab dafür nehme, bleibe vom Ansatz der strategischen Überwachung nicht mehr viel übrig. Schließlich legten die Provider ihre Leitungen so an, dass sie in der Regel nur zu 30 oder 40 Prozent ausgelastet seien. Mit der 20-Prozent-Regel lande man bei 50 bis 60 Prozent des durchgeleiteten Verkehre.

Der Zeuge forderte von der Politik, hier Grenzen zu setzen etwa für die erlaubte Speicherdauer. Derzeit sei es für die Zuständigen beim De-Cix oder bei einzelnen Providern gar nicht möglich, einschlägige G10-Anordnungen für die Netzüberwachung formal ernsthaft zu prüfen. Es sei völlig unklar, wie ein Gesuch umzusetzen sei, wie zugegriffen werde und wie eine Maßnahme dokumentiert werden dürfe. "Wir können nur physikalisch sagen: es ist die richtige Leitung", meinte Landefeld. Im Anschluss müssten die Anbieter den Zugriff auf ihre Anlagen "erdulden".

"Zweifel an der Rechtmäßigkeit"

Die erste Anforderung des BND ging 2009 an den De-Cix, führte Landefeld aus. Da die Wünsche sehr weit gegangen seien, hätten die Zuständigen versucht, Kontakt mit der G10-Kommission des Bundestags aufzunehmen, die einschlägige Anträge genehmigen muss. Bis auf ein Mitglied habe sich aber kein Abgeordneter zu einem Gespräch bereit erklärt. Im Anschluss habe das Bundeskanzleramt klargestellt, dass der De-Cix vor Erhalt einer Anordnung schweigen müsse und auch danach Geheimhaltungsvorschriften unterliege.

Auch beim letztlich ergangenen formellen Ausleitungsgesuch "hatten wir Zweifel an der Rechtmäßigkeit", gab Landefeld zu Protokoll. Der Betreiber sei aber nicht gerichtlich dagegen vorgegangen, da die Regierungsseite immer wieder auf die hohe Terrorgefahr verwiesen habe. Nach den Enthüllungen des NSA-Whistleblowers Edward Snowden seien aber neue rechtliche Fragen aufgetaucht, sodass man nun wieder prüfe, ob man gegen die Anordnungen den Rechtsweg beschreiten will.

Ausländische Angriffe ausgeschlossen?

An den De-Cix sind derzeit 650 Peering-Partner angeschlossen. Durch den Knoten können theoretisch 12 TBit/s fließen, rund 3,5 TBit/s werden in der Regel tatsächlich genutzt. Die Switche sind auf 18 Datenzentren im Frankfurter Raum verteilt, die laut Landefeld "nicht alle das gleiche Schutzniveau haben". Um Leitungen anzuzapfen, wäre es die technisch einfachste Lösung, dort "ganze Ports auszuleiten". Entsprechende Funktionen zum "rechtmäßigen Abhören" seien in die zugehörigen Switche auch eingebaut.

Um diese zu aktivieren, müsste ein Angreifer aber "Managementzugriff" auf die Geräte haben und dafür "unser gesamtes technisches Team kompromittieren". Zudem sei eine Leitung mit gleicher Anschlussgeschwindigkeit nötig zum Abtransportieren der Verkehre. Eine solche könne man hierzulande nicht so einfach legen. Der Techniker hält es so für weitestgehend ausgeschlossen, dass sich ausländische Geheimdienste direkt am De-Cix zu schaffen machen: "Wir führen alle möglichen Maßnahmen durch, um das zu verhindern."

Dies gehe bis zur Kontrolle der Zählerstände, "was rein- und rausgeht auf den Ports". Regin oder ähnlich ausgeklügelte Schadsoftware, habe man in den eigenen Systemen nicht gefunden. Es habe auch keine Sicherheitsbehörde aus dem Ausland versucht, "mit uns ins Geschäft zu kommen". Wenn angeschlossene Tochterfirmen von US-Konzernen Anordnungen aus ihrer Heimat bekämen, könne der De-Cix aber nicht die Hand dafür ins Feuer legen, ob sich diese dann an deutsches oder US-Recht hielten. (mho)