Abo
  • Services:

Certify and go: BSI räumt lasche Kontrolle von BND-Überwachungsgeräten ein

Das BSI muss die vom BND eingesetzten Überwachungsgeräte zertifizieren. Die Kontrolle erfolgt jedoch sehr oberflächlich, da die Behörde ohnehin keine Möglichkeiten hat, Änderungen zu überprüfen.

Artikel veröffentlicht am ,
Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft.
Das BSI hat die Überwachungsgeräte des BND nur oberflächlich geprüft. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine äußerst oberflächliche Prüfung von Überwachungsgeräten des Bundesnachrichtendienstes (BND) eingeräumt. Die Hard- und Software für die sogenannte Operation Eikonal sei nicht praktisch geprüft worden, sagte der verantwortliche BSI-Mitarbeiter Martin Golke in der Vernehmung durch den NSA-Ausschuss des Bundestags am Donnerstag in Berlin. "Für Misstrauen habe ich keine Hebel", sagte der 53-Jährige. Das BSI könne so viel prüfen, wie es wolle, "die können da hinten zusammenstöpseln, was sie wollen".

Stellenmarkt
  1. Endress+Hauser Wetzer GmbH + Co. KG, Nesselwang
  2. operational services GmbH & Co. KG, Dienstsitz Leinfelden-Echterdingen, Einsatzort Mettingen

Laut Telekommunikations-Überwachungsverordnung (TKÜV) müssen die vom BND eingesetzten Geräte vom BSI geprüft werden. Dabei sollen mehrere Punkte eingehalten werden, darunter das Verbot eines Fernzugriffs, die zuverlässige Löschung von nicht benötigten Daten und die Filterung von Daten nach den Anforderungen des G10-Gesetzes. Laut Golke setzte der BND zunächst einen Separator ein, der anhand bestimmter IP-Adressbereiche die Daten der Deutschen Telekom in Auslandsdaten oder deutsche Daten aufteilte. Anschließend seien die deutsche Daten noch durch den Filter Dafis gelaufen, wo die Daten entsprechend den gesetzlichen Anforderungen aussortiert wurden.

Überprüfung lohnt sich nicht

Der Zeuge hatte nach der mehrmonatigen Prüfung einen Bericht verfasst, der verschiedene Empfehlungen an den BND enthielt. Allerdings verfügt das BSI nicht über das Recht, die Einhaltung dieser Empfehlungen zu überprüfen. "Tiefe Prüfungen gibt es nur dort, wo es sich lohnt", sagte Golke. Das sei dort, "wo ich eine Chance habe, das Gerät noch einmal zu Gesicht zu bekommen". Die Prüfung sei nach dem Motto erfolgt: Certify and go. Mehr gäben auch die Prüfvorschriften nach TKÜV nicht her.

Aus diesem Grund verließ sich das BSI bei der Prüfung vor allem auf die schriftlichen Unterlagen des BND und deren Plausibilität. Zwar besuchte Golke auch den Nachrichtendienst persönlich, um sich die Geräte anzusehen. Doch dabei wurden die Geräte noch nicht einmal darauf hin untersucht, ob sie beispielsweise vom US-Geheimdienst NSA zur Verfügung gestellt wurden.

Trojaner können nichts anrichten

Für den Zeugen war das ohnehin irrelevant. "Bei Nordkorea würde es einen Unterschied machen, aber nicht bei der NSA", sagte Golke. Da die Geräte keinen direkten Zugang zum Internet hätten und innerhalb des BND-Netzes eingekapselt seien, könnten auch Trojaner keinen Schaden anrichten. Allerdings könnte Nordkorea beispielsweise eine DDoS-Attacke von dem Router aus starten.

Ungeprüft durch das BSI blieb auch die angebliche Fähigkeit der Geräte, den deutschen Datenverkehr ausfiltern zu können. Diese Aufsplittung sei auf der Basis von IP-Adressräumen erfolgt, die inzwischen jedoch so fragmentiert seien, dass sie nicht mehr eindeutig bestimmten geografischen Gebieten zugeordnet werden könnten. Aus dem Prüfbericht geht zudem hervor, dass die gesetzlich vorgeschriebene Beschränkung der Durchsuchung auf 20 Prozent der Leitungskapazität nicht technisch umgesetzt worden sei. Der BND begründete diesen Verzicht offenbar damit, dass die abgegriffene Telekom-Leitung nur einen geringen Anteil am gesamten Datenstrom gehabt habe.

Ströbele: Vertrauen in BSI erschüttert

Der Grünen-Abgeordnete Hans-Christian Ströbele zeigte sich nach der Vernehmung "erschüttert" über die Aussagen. Offenbar könne man bei einer Zertifizierung durch das BSI nicht davon ausgehen, dass die Funktion von Geräten tatsächlich auf Herz und Nieren geprüft worden seien.

Der Untersuchungsausschuss beschäftigt sich seit einigen Monaten mit der sogenannten Operation Eikonal, einer Kooperation des BND mit der NSA. Dazu zapfte der Geheimdienst Leitungen der Telekom in Frankfurt an. Die Daten wurden anschließend ausgewertet und zum Teil an die NSA weitergeleitet.

Nachtrag vom 29. Januar 2015, 18:45 Uhr

In einer anschließenden Vernehmung bestätigte der BND-Mitarbeiter A.S. weitgehend die Aussagen des BSI-Zeugen. S. war im Bundesnachrichtendienst im Bereich der Kabelerfassung tätig und Projektleiter für Eikonal bis Oktober 2005. Er war somit Vorgänger des bereits vernommenen BND-Kollegen S.L. Seiner Aussage zufolge teilte der Separator den Datenstrom in vier Kategorien: G10-Verkehr, Nicht-G10-Verkehr, nicht identifizierbare Herkunft und Spam. Dies diente dazu, das Datenaufkommen möglichst stark zu reduzieren.

Laut S. wurden die Vorgaben des BSI für das IP-Erfassungssystem umgesetzt, um das Vertrauen der Behörde nicht zu missbrauchen. Dazu gehörte beispielsweise, dass der Router nicht per Inbandsteuerung gewartet werden sollte. Ebenfalls sollten mögliche Datenträger mit Daten von Bundesbürgern rückstandsfrei gelöscht werden. Die Vorgabe, wonach nur 20 Prozent der Datenkapazität überwacht werden dürfen, sei dadurch erfüllt worden, dass von zehn Leitungen nur zwei ausgewählt worden seien. Diese seien jedoch komplett abgezweigt worden. Zuvor hatte es laut S. Überlegungen gegeben, dass nur jedes fünfte Paket genutzt werden dürfe. Dies sei bei Datenpaketen jedoch sinnlos. Aus diesem Grund sei eine gesetzliche Klarstellung erforderlich, sagte der BND-Mitarbeiter. "Es gibt eine Unschärfe aus unserer Sicht", ergänzte er auf Nachfrage des CDU-Abgeordneten Tankred Schipanski.

Der Zeuge räumte ein, dass dem BSI die Herkunft der Geräte aus dem Fundus der NSA nicht mitgeteilt worden sei. Er selbst habe sich die Geräte jedoch genauer angesehen, die auf kommerziellen Modellen beruht haben sollen. "Die NSA kocht auch nur mit Wasser", sagte S. Für das konkrete Projekt will der Zeuge nicht mit dem BSI zusammengearbeitet haben. Allerdings habe er bei zwei vorangegangenen Projekten mit Golke zusammengearbeitet. Auch dabei sei es um den Datenabgriff an Leitungen gegangen. Laut S. wurde die leitungsvermittelte Kommunikation mit einer Datenrate von 622 MBit/s abgegriffen.



Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 5,75€, For Honor 8,99€, Mad Max 4,25€)
  2. 19,49€
  3. 699€ (PCGH-Preisvergleich ab 755€)

zilti 30. Jan 2015

Genau bei dem Satz liegt der grosse Denkfehler: "Bei Nordkorea würde es einen Unterschied...

manitu 29. Jan 2015

Oder wollte er sagen, dass die NSA sowas niemals machen würde? Wie kommt man zu dem Schluss?

Prinzeumel 29. Jan 2015

Text lohnt nicht

sskora 29. Jan 2015

Och, die NAS scheint sehr gut zu können... Bei der CDU geb ich dir recht

sskora 29. Jan 2015

was hätte er sagen sollen. "Ja war klar, meine wie hätte der BND sonst so viel scheiße...


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

      •  /