Wie der BND die Kommunikation in Österreich überwacht
von Erich Möchel
Die Reaktion der österreichischen Regierung auf die Veröffentlichung einer Liste von Zielen des deutschen Bundesnachrichtendiensts (BND) in Österreich hat unter Geheimdienstkennern Befremden und Belustigung ausgelöst. Der Tenor: Entweder habe man tatsächlich keine Ahnung, wie der Datenaustausch zwischen deutschen und österreichischen Geheimdiensten funktioniert, oder es sei ein innenpolitisches Manöver.
Wirklich getroffen aber wurden die heimischen Geheimdienste, die über den BND an Erkenntnisse aus österreichischen Netzen kommen, zu denen etwa das Heeresnachrichtenamt (HNaA) selbst keinen Zugang hat. Die Kommunikation der österreichischen Ziele wird an Glasfasern mit einem Durchsatz von bis zu 100 Gigabit/sec am Frankfurter Knoten DE-CIX abgezapft. Abzustellen ist das keineswegs, denn der BND hat dafür einen gesetzlichen Auftrag, das HNaA in Österreich hingegen nicht.
Tatort Frankfurt Internet-Exchange
Im BMI in Wien ist man seit 1999 über die Datenzapferei in Frankfurt informiert. Damals wurden die Österreicher noch öffentlich davor gewarnt.
Am weltgrößten Internetknoten in Frankfurt laufen die Netze der internationalen Datentransporteure zusammen, einer davon ist die A1-Telekom. Über die DE-CIX werden Internetverkehr, Telefonate und Metadaten zu anderen Carriern weitergeleitet, es handelt sich also in erster Linie um Auslandskommunikation. Die Grafik zeigt von links die Zentrale der A1-Telekom (AS8562), bereits der zweite Knoten (AS8447) befindet sich an der Frankfurter Internet-Exchange.
hurricane electric
Die Grundgrafik stammt vom US-Carrier Hurricane Electric die Retro-Spooks wurden wurden von Pia Reiser (FM4) hineinmontiert
Die Spitze des fett eingezeichneten Pfeils markiert in etwa den Abzapfpunkt des BND, denn dort kommen noch alle ausgehenden Daten der A1-Telekom vorbei, dasselbe trifft auch auf alle eingehenden Daten zu. Erst danach werden sie je nach Destination auf andere Carrier aufgeteilt, die in der Domäne anderer Geheimdienste liegen. Zwei der durchsatzstärksten Verbindungen von AS8447 führen in die Netze der US-Carrier NTT America (AS2914) und Level3 (AS3356). Diese Leitungen filtert die NSA, in deren Maschinen damit immerhin alle Kommunikationen der österreichischen Überwachungsziele mit ihren Gegenparts in den USA landen.
div
Dieser Screenshot stammt aus den Protokollen des NSA-Untersuchungsauschusses im Deutschen Bundestag. Das Dokument wurde von Netzpolitik.org 2017 öffentlich gemacht
Wie die Glasfaserüberwachung funktioniert
Als die Glasfaserüberwachung der NSA 2006 durch ein Gerichtsverfahren aufflog, wurden bereits 10-Gbit-Leitungen nahe an Echtzeit analysiert. Die dabei verwendete, damals nicht bekannte Hardware wurde parallel dazu in der FuZo vorgestellt
Die dritte, durchsatzstarke Verbindung führt in das Netz des schwedischen Carriers Telia (AS1299) und auch dort wird abgezapft und ausgewertet, da der schwedische Militärgeheimdienst FRA seit 2008 über die nötige Lizenz zum Abzapfen verfügt. Es sind also gleich mehrere Geheimdienste hinter den Datenströmen aus Österreich her, aber nur der deutsche BND hat Zugang zu allen Daten, die vom A1-Netz in Frankfurt angeliefert werden. Abgegriffen und gefiltert werden diese Datenströme aber überall nach derselben Methode.
Die gesamte Glasfaserleitung wird über einen sogenannten Splitter auf einen zweiten Faserstrang kopiert. Sehr verkürzt gesagt, werden an ultraschnellen Switches rein transportbezogene, also irrelevante Daten aussortiert, die relevanten Daten werden je nach Protokoll (E-Mail, http, VoIP etc) auf Serverbatterien aufgeteilt und dort gespeichert. Erst dann treten die „Selektoren“ der jeweiligen Geheimdienste auf den Plan, das sind Telefonnummern, E-Mail-Adressen, Chat-IDs usw., die den Überwachungszielen zugeordnet werden.
div
Nachdem die Staatsanwaltschaft in Wien im Zuge der Enthüllungen Edward Snowdens ermitteln musste - Spionage ist ein Offizialdelikt- trafen die damaligen Außenminister Frank-Walter Steinmeiner und Sebastian Kurz zu Gesprächen zusammen.
Die Datenökomomie der Dienste
Die abgefangenen Daten werden zur Extrahierung von Erkenntnissen genutzt, die allerdings nicht in der alleinigen Domäne der jeweiligen Geheimdienste bleiben. Deren Verbindungen untereinander sind nämlich weitaus enger als gemeinhin angenommen wird und zwar aus technisch-praktischen Gründen. Wie das obige Beispiel zeigt, ist auch die übermächtige NSA auf Kooperationen angewiesen, wenn sie an bestimmte Datensätze etwa aus Österreich gelangen will. Die Datenökonomie der Dienste besteht nämlich zu einem Gutteil aus Tauschgeschäften mit anderen Geheimdiensten.
Dem schwedischen Militärgeheimdienst FRA wurde die Lizenz zum Filtern aller Auslandsverbindungen im Jahr 2008 erteilt
Nur wer selbst über genügend abgefangene Datensätze verfügt, bekommt auch Daten von Geheimdienstpartnern. Im Auftrag des Heeresnachrichtenamts ist das etwas verklausuliert so dargestellt: „Das HNaA ... hat sicherheitspolitisch relevante Informationen über Regionen und Akteure, welche Auswirkung auf die nationale Sicherheit Österreichs und somit der EU haben, zu beschaffen, aufzubereiten und der obersten politischen und militärischen Führung der Republik in Form von Lageberichten und Lagevorträgen darzustellen.“ Neben den „Bedarfsträgern“ in Österreich werde auch der „EU-Militärstab durch bedarfsgerechte Nachrichten“ unterstützt.
div
So wird die Weitergabe von Daten an den BND und andere Dienste im Auftrag des HNaA umschrieben. Der EU Militärstab untersteht zwar formal der EU-Kommission, besteht aber aus Militärattaches der Mitgliedsstaaten.
„Empörung der Regierung lächerlich“
Deswegen bezeichnete der Grazer Geheimdienstexperte Siegfrid Beer die öffentliche Empörung der Bundesregierung über die Abzapftätigkeit des BND an österreichischen Datensätzen auch in mehreren Interviews als „lächerlich“. Als ehemaliger Außenminister, nunmehriger Bundeskanzler und oberster Adressat der geheimen Briefings des HNaA müsste Sebastian Kurz nämlich wissen, wie eng BND und HNaA verbunden sind und wie der Datenaustausch zwischen den Geheimdiensten in etwa funktioniert.
Genau dieses Thema hatte der ehemalige Außenminister Kurz mit seinem deutschen Kollegen Frank-Walter Steinmeier bereits 2015 mehrfach eingehend besprochen. Seit damals ist die Abzapftätigkeit des BND an Leitungen aus Österreich DE-CIX samt einiger weniger Überwachungsziele, die sich auch der Liste finden, hierzulande nämlich bereits bekannt.
Selektoren mindestens verzehnfacht
Damit soll die Recherche der Kollegen von „Der Standard“ und „Profil“ keineswegs herabgewürdigt werden. Was Michael Nikbakhsh und Fabian Schmid da ausgegraben haben, stammt zwar aus der Frühzeit der Glasfaserüberwachung und endet bereits 2006. Dabei handelt es sich allerdings um Selektoren, die direkt auf die Überwachungsziele verweisen. Deshalb gehören die eigenen Selektoren auch zu den bestgehüteten Geheimnissen eines jeden Dienstes. Auch befreundeten Diensten wird in der Regel nur anlassbezogen und in selektiven Auszügen Einsicht gewährt.
Sachdienliche Informationen, Metakritiken et al. können hier verschlüsselt und anonym beim Autor eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.
Insofern ist diese Liste also durchaus eine Rarität und sie lässt Rückschlüsse auf heute zu. Wenn es bis 2006 etwa 2.200 Selektoren waren, dann sind es 2018 mindestens zehnmal soviel. Mit den rasanten Zuwächsen in der mobilen Kommunikation und im Datenverkehr insgesamt wächst auch die Zahl der Selektoren. Wien wiederum gilt als Welthauptstadt der Spionage, weil es hier allein an die 18.000 akkreditierte Diplomaten gibt. Die Zahl der jetzt vom BND verwendeten Selektoren für Österreich sollte also weit eher im mittleren bis hohen fünfstelligen Bereich angenommen werden. Die Frankfurter Internet-Exchange hat im Übrigen Klage gegen die Datenabzapfungsmaschine eingereicht, die mittlerweile auf dem Weg zum Bundesverfassungsgerichtshof ist.
Publiziert am 24.06.2018
