Abo
  • Services:
Anzeige
Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft.
Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Certify and go: BSI räumt lasche Kontrolle von BND-Überwachungsgeräten ein

Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft.
Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Das BSI muss die vom BND eingesetzten Überwachungsgeräte zertifizieren. Die Kontrolle erfolgt jedoch sehr oberflächlich, da die Behörde ohnehin keine Möglichkeiten hat, Änderungen zu überprüfen.

Anzeige

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine äußerst oberflächliche Prüfung von Überwachungsgeräten des Bundesnachrichtendienstes (BND) eingeräumt. Die Hard- und Software für die sogenannte Operation Eikonal sei nicht praktisch geprüft worden, sagte der verantwortliche BSI-Mitarbeiter Martin Golke in der Vernehmung durch den NSA-Ausschuss des Bundestags am Donnerstag in Berlin. "Für Misstrauen habe ich keine Hebel", sagte der 53-Jährige. Das BSI könne so viel prüfen, wie es wolle, "die können da hinten zusammenstöpseln, was sie wollen".

Laut Telekommunikations-Überwachungsverordnung (TKÜV) müssen die vom BND eingesetzten Geräte vom BSI geprüft werden. Dabei sollen mehrere Punkte eingehalten werden, darunter das Verbot eines Fernzugriffs, die zuverlässige Löschung von nicht benötigten Daten und die Filterung von Daten nach den Anforderungen des G10-Gesetzes. Laut Golke setzte der BND zunächst einen Separator ein, der anhand bestimmter IP-Adressbereiche die Daten der Deutschen Telekom in Auslandsdaten oder deutsche Daten aufteilte. Anschließend seien die deutsche Daten noch durch den Filter Dafis gelaufen, wo die Daten entsprechend den gesetzlichen Anforderungen aussortiert wurden.

Überprüfung lohnt sich nicht

Der Zeuge hatte nach der mehrmonatigen Prüfung einen Bericht verfasst, der verschiedene Empfehlungen an den BND enthielt. Allerdings verfügt das BSI nicht über das Recht, die Einhaltung dieser Empfehlungen zu überprüfen. "Tiefe Prüfungen gibt es nur dort, wo es sich lohnt", sagte Golke. Das sei dort, "wo ich eine Chance habe, das Gerät noch einmal zu Gesicht zu bekommen". Die Prüfung sei nach dem Motto erfolgt: Certify and go. Mehr gäben auch die Prüfvorschriften nach TKÜV nicht her.

Aus diesem Grund verließ sich das BSI bei der Prüfung vor allem auf die schriftlichen Unterlagen des BND und deren Plausibilität. Zwar besuchte Golke auch den Nachrichtendienst persönlich, um sich die Geräte anzusehen. Doch dabei wurden die Geräte noch nicht einmal darauf hin untersucht, ob sie beispielsweise vom US-Geheimdienst NSA zur Verfügung gestellt wurden.

Trojaner können nichts anrichten

Für den Zeugen war das ohnehin irrelevant. "Bei Nordkorea würde es einen Unterschied machen, aber nicht bei der NSA", sagte Golke. Da die Geräte keinen direkten Zugang zum Internet hätten und innerhalb des BND-Netzes eingekapselt seien, könnten auch Trojaner keinen Schaden anrichten. Allerdings könnte Nordkorea beispielsweise eine DDoS-Attacke von dem Router aus starten.

Ungeprüft durch das BSI blieb auch die angebliche Fähigkeit der Geräte, den deutschen Datenverkehr ausfiltern zu können. Diese Aufsplittung sei auf der Basis von IP-Adressräumen erfolgt, die inzwischen jedoch so fragmentiert seien, dass sie nicht mehr eindeutig bestimmten geografischen Gebieten zugeordnet werden könnten. Aus dem Prüfbericht geht zudem hervor, dass die gesetzlich vorgeschriebene Beschränkung der Durchsuchung auf 20 Prozent der Leitungskapazität nicht technisch umgesetzt worden sei. Der BND begründete diesen Verzicht offenbar damit, dass die abgegriffene Telekom-Leitung nur einen geringen Anteil am gesamten Datenstrom gehabt habe.

Ströbele: Vertrauen in BSI erschüttert

Der Grünen-Abgeordnete Hans-Christian Ströbele zeigte sich nach der Vernehmung "erschüttert" über die Aussagen. Offenbar könne man bei einer Zertifizierung durch das BSI nicht davon ausgehen, dass die Funktion von Geräten tatsächlich auf Herz und Nieren geprüft worden seien.

Der Untersuchungsausschuss beschäftigt sich seit einigen Monaten mit der sogenannten Operation Eikonal, einer Kooperation des BND mit der NSA. Dazu zapfte der Geheimdienst Leitungen der Telekom in Frankfurt an. Die Daten wurden anschließend ausgewertet und zum Teil an die NSA weitergeleitet.

Nachtrag vom 29. Januar 2015, 18:45 Uhr

In einer anschließenden Vernehmung bestätigte der BND-Mitarbeiter A.S. weitgehend die Aussagen des BSI-Zeugen. S. war im Bundesnachrichtendienst im Bereich der Kabelerfassung tätig und Projektleiter für Eikonal bis Oktober 2005. Er war somit Vorgänger des bereits vernommenen BND-Kollegen S.L. Seiner Aussage zufolge teilte der Separator den Datenstrom in vier Kategorien: G10-Verkehr, Nicht-G10-Verkehr, nicht identifizierbare Herkunft und Spam. Dies diente dazu, das Datenaufkommen möglichst stark zu reduzieren.

Laut S. wurden die Vorgaben des BSI für das IP-Erfassungssystem umgesetzt, um das Vertrauen der Behörde nicht zu missbrauchen. Dazu gehörte beispielsweise, dass der Router nicht per Inbandsteuerung gewartet werden sollte. Ebenfalls sollten mögliche Datenträger mit Daten von Bundesbürgern rückstandsfrei gelöscht werden. Die Vorgabe, wonach nur 20 Prozent der Datenkapazität überwacht werden dürfen, sei dadurch erfüllt worden, dass von zehn Leitungen nur zwei ausgewählt worden seien. Diese seien jedoch komplett abgezweigt worden. Zuvor hatte es laut S. Überlegungen gegeben, dass nur jedes fünfte Paket genutzt werden dürfe. Dies sei bei Datenpaketen jedoch sinnlos. Aus diesem Grund sei eine gesetzliche Klarstellung erforderlich, sagte der BND-Mitarbeiter. "Es gibt eine Unschärfe aus unserer Sicht", ergänzte er auf Nachfrage des CDU-Abgeordneten Tankred Schipanski.

Der Zeuge räumte ein, dass dem BSI die Herkunft der Geräte aus dem Fundus der NSA nicht mitgeteilt worden sei. Er selbst habe sich die Geräte jedoch genauer angesehen, die auf kommerziellen Modellen beruht haben sollen. "Die NSA kocht auch nur mit Wasser", sagte S. Für das konkrete Projekt will der Zeuge nicht mit dem BSI zusammengearbeitet haben. Allerdings habe er bei zwei vorangegangenen Projekten mit Golke zusammengearbeitet. Auch dabei sei es um den Datenabgriff an Leitungen gegangen. Laut S. wurde die leitungsvermittelte Kommunikation mit einer Datenrate von 622 MBit/s abgegriffen.


eye home zur Startseite
zilti 30. Jan 2015

Genau bei dem Satz liegt der grosse Denkfehler: "Bei Nordkorea würde es einen Unterschied...

manitu 29. Jan 2015

Oder wollte er sagen, dass die NSA sowas niemals machen würde? Wie kommt man zu dem Schluss?

Prinzeumel 29. Jan 2015

Text lohnt nicht

sskora 29. Jan 2015

Och, die NAS scheint sehr gut zu können... Bei der CDU geb ich dir recht

sskora 29. Jan 2015

was hätte er sagen sollen. "Ja war klar, meine wie hätte der BND sonst so viel scheiße...



Anzeige

Stellenmarkt
  1. eins energie in sachsen GmbH & Co. KG, Chemnitz
  2. über Ratbacher GmbH, München
  3. B. Metzler seel. Sohn & Co. Holding AG, Frankfurt
  4. NRW.BANK, Düsseldorf


Anzeige
Spiele-Angebote
  1. 9,49€ statt 19,99€
  2. 14,99€
  3. 239,95€

Folgen Sie uns
       


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

  1. Re: 4000¤ - WTF?

    Nawo | 21:17

  2. Re: Ein Sprung in den Hyperspace macht knapp 90...

    Komischer_Phreak | 21:13

  3. Re: total spannend

    motzerator | 20:57

  4. Re: [OT] Golem pur Banner

    It's me, Mario | 20:52

  5. Re: Mehhh....

    User_x | 20:50


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel