Das Bundesamt für Verfassungsschutz packt die NSA-Software XKeyscore, mit der sich Verbindungs- und Inhaltsdaten in großen Mengen erfassen und analysieren lassen, angeblich vorsichtiger an als der Bundesnachrichtendienst (BND). "Wir wissen nicht, was das Ding tut, wenn es ans Internet angeschlossen wird", räumte die Leiterin der XKeyscore-Projektgruppe bei dem Inlandsgeheimdienst am Donnerstag im NSA-Untersuchungsausschuss des Bundestags ein. Das liege vor allem daran, dass "wir den Quellcode" der vom BND bezogenen Software "nicht kennen".

Seit Jahren im Probebetrieb

Die unter dem Pseudonym "Doreen Delmdahl" auftretende Juristin versuchte damit zu begründen, wieso XKeyscore beim Verfassungsschutz seit Jahren in einem "Probe-Wirkbetrieb" laufe. Solange nicht herauszufinden sei, "was das Gerät so alles machen könnte", müsse es speziell abgesichert werden. Die Software komme daher momentan nur in einem kleinen Büro in der Berliner Niederlassung des Amtes auf einem "Stand-alone-System" ohne Internetzugang und digitale Exportmöglichkeit zum Einsatz. Vermutungen, dass der Verfassungsschutz die Software gezielt in einem Beta-Lauf halte, um eine BSI-Zertifizierung zu umgehen, wies die Zeugin zurück, man wolle natürlich weg vom Testbetrieb.

Der BND ist beim Einsatz von XKeyscore weniger zimperlich und arbeitet mehr oder weniger vollumfänglich damit, auch zur Datenerfassung. Dessen Entwurf für ein Sicherheitskonzept sei "unseren Experten" aber "so nicht genehm" gewesen, erläuterte Delmdahl. Diese wollten daher ein eigenes erstellen, was sich aber schwieriger gestalte, als gedacht. Die Anforderungen vom BSI seien nämlich "vergleichsweise umfangreich". Dass sich der BND offenbar mit weniger Sicherheitsvorkehrungen zufrieden gebe, liege eventuell auch daran, dass dieser im Gegensatz zum Verfassungsschutz nicht als geheim eingestufte Aufklärungsdaten damit verarbeite.

Analyse sensibler Daten

Trotz der fehlenden umfassenden Sicherheitslösung speisen die Staatsschützer sehr sensible personenbezogene Informationen in ihre XKeyscore-Anlage ein. Es handle sich um Daten, die aus sogenannten G10-Überwachungen stammten, führte die Zeugin aus. Es geht also um Eingriffe in das Kommunikationsgeheimnis von Grundrechtsträgern, die die "G10-Kommission" des Bundestags abgesegnet hat. Die Daten gewinnt der Verfassungsschutz laut Delmdahl über die eigene Anlage zur Telekommunikationsüberwachung: "Perseus". Dafür gibt es demnach es eine formale Dateianordnung namens "Poseidon", die in einem Passus um "externe Systeme" wie XKeyscore erweitert worden sei.

Die NSA-Software selbst habe der Verfassungsschutz vom BND "auf elektronischem Weg" erhalten. Soweit ihr gesagt worden sei, könne diese Version "nur analysieren", nicht jedoch Daten erfassen, meinte die Zeugin: "Wir haben das verwendet, was wir bekommen haben." Sie glaube aber nicht, dass das Programm für den Inlandsgeheimdienst speziell angepasst worden sei. Offenbar wurde die besonders heikle Erfassungskomponente also doch nicht herausgenommen.

Die Daten aus den Bereichen Sprache, Internet und SMS seien bei der Aufnahme des Tests 2013 über einen speziellen Kurier gekommen: Zwei BND-Mitarbeiter führen dazu jeweils gemeinsam "durch die Lande", um verschlüsselte Festplatten zu transportieren. Dieser Transport habe insgesamt schon mal "zwei, drei Wochen" gedauert, berichtete Delmdahl. Sie könne nicht sagen, "wo die Zeit verschütt gegangen ist". Angelernt und betreut worden sei ihr kleines Team durch einen BND- und einen NSA-Mitarbeiter. Die Kooperation sei auf den Import von Daten beschränkt gewesen.

Mittlerweile würden aber mit der NSA "alle Vermerke, die wir auf G10-Basis gewonnen haben, auf Grundlage der gesetzlichen Regelungen geteilt", gab die Zeugin zu Protokoll. Es handle sich dabei um Gefährdungshinweise vor allem im Bereich Terrorismus, die teils auch an andere befreundete Geheimdienste gingen. Weitergehende Verpflichtungen rund um den Betrieb von XKeyscore oder Auflagen der NSA gebe es nicht. Delmdahl betonte: "Wir haben es geschenkt bekommen."

Lesen Sie zu XKeyscore auch bei c't:



(mho)