Abo
  • Services:
Anzeige
Seit 2009 zapft der BND den Internetknoten DE-CIX an.
Seit 2009 zapft der BND den Internetknoten DE-CIX an. (Bild: de-cix.net)

NSA-Ausschuss: DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

Seit 2009 zapft der BND den Internetknoten DE-CIX an.
Seit 2009 zapft der BND den Internetknoten DE-CIX an. (Bild: de-cix.net)

Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.

Anzeige

Der Manager des Frankfurter Internetknotens DE-CIX, Klaus Landefeld, hat die Politik wegen der Überwachungspraxis des Bundesnachrichtendienstes (BND) scharf kritisiert. Es gebe keinerlei rechtliche Standards, wie die sogenannte strategische Fernmeldeüberwachung der Internetkommunikation umgesetzt werden solle, sagte Landefeld vor dem NSA-Untersuchungsausschuss des Bundestags am Donnerstag in Berlin. Der 46 Jahre alte DE-CIX-Beirat räumte in der Vernehmung ein, dass der BND im August 2008 erstmals wegen des Anzapfens von Leitungen vorstellig geworden sei. Seit 2009 greife der Geheimdienst dort Daten ab. Eine illegale Ausspähung durch einen ausländischen Dienst könne hingegen ausgeschlossen werden, wenn auch nicht hundertprozentig.

Nach Ansicht Landefelds sind die rechtlichen Grundlagen für den Zugriff auf den Knoten völlig unklar, da sie die Besonderheiten paketvermittelter Kommunikation nicht berücksichtigten. So sei die vorgeschriebene Beschränkung auf 20 Prozent der Leitungskapazitäten praxisfern, da ein seriöser Anbieter aus Angst vor Datenverlust seine Leitungen ohnehin nicht mehr als 50 Prozent auslaste. Zudem wolle der BND keine bestimmten Leitungen abhören, sondern den kompletten Traffic bestimmter Autonomer Systeme (AS).

  • Im Jahr 2006 verteilte der DE-CIX den Traffic nur auf drei Standorte in Frankfurt. (Fotos: DE_CIX)
  • Der Traffic lag im Jahr 2004 noch deutlich niedriger als heute.
  • 2008 erreichte der Traffic am DE-CIX bereits Peaks von fast 500 Gigabit pro Sekunde.
  • Seit 2013 gibt es die neue Topologie. Derzeit ist der DE-CIX an 18 Rechenzentren in Frankfurt präsent.
  • Die Deutsche Telekom wirbt mit neun Standorten in Frankfurt. (Foto: Telekom-icss.com)
Im Jahr 2006 verteilte der DE-CIX den Traffic nur auf drei Standorte in Frankfurt. (Fotos: DE_CIX)

Einem Bericht des Nachrichtenmagazins Der Spiegel zufolge zapfte der BND neben 19 Netzwerken aus dem Ausland im Jahr 2011 auch die Verbindungen zu sechs deutschen Firmen an: Betroffen waren demnach die Internetprovider 1&1, Freenet, Strato AG, QSC, Lambdanet (jetzt euNetworks) und Plusserver.

Redeverbot aus dem Kanzleramt

Aufgrund der rechtlichen Bedenken habe das DE-CIX-Management nach der BND-Anfrage das Gespräch mit der zuständigen G10-Kommission gesucht, sagte Landefeld. Daraufhin habe das Kanzleramt interveniert und bei einem Treffen am 27. Februar 2009 dem Unternehmen untersagt, über die Planungen des BND zu sprechen. Schließlich sei eine Überwachungsanordnung eingetroffen, die konkrete Nummern Autonomer Systeme enthalten habe. "Bei manchen Strecken ist mir nicht klar, wo nicht G10-geschützte Verkehre sein sollen", sagte der Zeuge. Dazu zähle beispielsweise ein regionaler deutscher Internetprovider, bei dem davon auszugehen sei, dass immer eine Seite der Kommunikation geschützt sei.

Bei dem Treffen des BND mit dem DE-CIX sei es dem Geheimdienst darum gegangen, in einer Art Crashkurs möglichst viel über die Funktionsweise des Internetknotens zu erfahren. Es ist wohl kein Zufall gewesen, dass die Operation Eikonal, bei der der BND auf einen Netzknoten der Deutschen Telekom zugegriffen hatte, in den Monaten zuvor eingestellt worden war.

Der BND darf laut Artikel-10-Gesetz bis zu 20 Prozent des internationalen Fernmeldeverkehrs zwischen Deutschland und dem Ausland nach Stichworten durchsuchen. Statistiken zur Zahl der abgefragten Stichwörter und herausgefilterten E-Mails teilt der BND regelmäßig dem Parlamentarischen Kontrollgremium mit. Die Frage, ob und wie der 20-Prozent-Anteil eingehalten werde, bleibt dabei außen vor. Die Bundesregierung ist nach eigenen Angaben nicht in der Lage, das Ausmaß der Überwachung auch nur annähernd einzuschätzen. "In Ermangelung einer entsprechenden statistischen Erfassung kann daher keine Auskunft über die von Systemen des BND täglich erfassten Datensätze im angefragten Zeitraum gegeben werden", hieß es vor einem Jahr in einer Antwort auf eine Kleine Anfrage der Linken.

Auslegung nicht den BND-Juristen überlassen

Für Landefeld ist es hingegen nicht hinnehmbar, dass die Anbieter über keinerlei Kriterien verfügten, um die Überwachungsanordnungen auf ihre formale Richtigkeit zu prüfen. Bei anderen Telekommunikationsüberwachungen (TKÜ) gebe es "konkrete technische Standards für jede Ausleitung", sagte der 46-Jährige. Das sei "bis in das letzte Bit herunter dokumentiert". Zudem sei die Provider verpflichtet, die TKÜ-Anordnungen zu überprüfen. Bei den globalen G10-Anordungen sei das jedoch nicht möglich. Man dürfe die Auslegung des Gesetzes nicht den BND-Juristen überlassen.

Wie die Überwachung technisch umgesetzt wird, erläuterte Landefeld nicht im Detail. Möglich wäre beispielsweise, dass die entsprechenden Funktionen der sogenannten Core-Switches von Alcatel Lucent genutzt würden. Das Unternehmen bietet mit seinen Routern eine sogenannte rechtmäßige Überwachung (Lawful Interception) serienmäßig an. Möglicherweise wird der abgehörte Traffic dann von einem der 18 Standorte, an denen der DE-CIX präsent ist, zu einem Rechenzentrum geleitet, wo der BND in Frankfurt sein eigenes Filter-Equipement stehen hat, wie es bereits für die Operation Eikonal genutzt wurde. Von dort gehen die Daten dann zur Auswertung in die BND-Zentrale nach Pullach. Laut Landefeld werden aus Kapazitätsgründen jedoch nicht alle Überwachungsanordnungen genutzt. Theoretisch dürfte deren Anteil am Traffic bei zwei Prozent der verkauften Kapazitäten des DE-CIX liegen. Derzeit liegt der Traffic-Peak bei rund drei Terabit pro Sekunde.

Nur Ende-zu-Ende-Verschlüsselung schützt

Der Internetknoten selbst sei gegen Manipulationen von außen gut geschützt, sagte Landefeld. Die Rechenzentren seien mehrfach abgesichert, Ports ließen sich nur über die Management-Software zuschalten. Zudem werde der DE-CIX regelmäßig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft. "Für einen ausländischen Nachrichtendienst ist es sehr schwierig, eine Glasfaser ohne Genehmigung anzuzapfen", sagte Landefeld. Am einfachsten sei daher ein Datentausch mit einem Dienst, der es legal machen dürfe, antwortete er auf die Frage des Ausschussvorsitzenden Patrick Sensburg (CDU), wie man am besten an die Daten in Frankfurt herankomme.

Den sichersten Schutz gegen eine Überwachung biete jedoch eine Ende-zu-Ende-Verschlüsselung der Dateninhalte. Das sei "das einzige, was hilft. Alles andere ist illusorisch", sagte Landefeld. Wenig sinnvoll sei dagegen das vor allem von der Deutschen Telekom propagierte nationale Routing oder Schlandnet. "Schon jetzt werden 99,9 Prozent der innerdeutschen Verkehre innerhalb Deutschlands geroutet", sagte er. Damit sei ein solches Routing faktisch schon umgesetzt.


eye home zur Startseite
Moe479 29. Mär 2015

naja ... lies noch mal, das was du zitiert hast! das problem hier in de und auch den usa...

Wallbreaker 29. Mär 2015

Dieser Zufallsgenerator ist nie zum Einsatz gekommen, da er schon vor den...

Moe479 29. Mär 2015

irgendeiner wird auch in bewegungsmuster auis wow terrorgefahr hineininterpretieren...

tingelchen 27. Mär 2015

Wie du das siehst und wie die rechtliche Lage ist, sind halt nur zwei Paar Schuhe...

tingelchen 27. Mär 2015

Dagegen sag ich ja nichts :) Zumal man auch nicht das halbe Parlament mit Ein Sitz...



Anzeige

Stellenmarkt
  1. Sparda-Datenverarbeitung eG, Nürnberg
  2. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  3. über Ratbacher GmbH, München
  4. INTENSE AG, Würzburg, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Vier Fäuste für ein Halleluja, Zwei bärenstarke Typen,Vier Fäuste gegen Rio)
  2. 125,00€
  3. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Memristor fehlt noch

    Ach | 04:40

  2. Re: Noch umständlicherer Kopierschutz

    regiedie1. | 04:20

  3. Re: Wurde hier eigentlich schon darüber...

    MSW112 | 03:31

  4. Re: Genau sowas steht in den...

    LinuxMcBook | 03:04

  5. Re: Pervers... .

    Tunkali | 02:51


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel