Gutachten zu BND-Spionage: CCC erklärt dem Bundestag das Internet

Kann der Bundesnachrichtendienst deutschen Traffic sicher aus dem Internetverkehr herausfiltern? Auch der CCC hat da so seine Bedenken.

Artikel veröffentlicht am ,
Die Baustelle der BND-Zentrale in Berlin
Die Baustelle der BND-Zentrale in Berlin (Bild: Martin Wolf/Golem.de)

Wie funktioniert eigentlich das Internet? In einem Gutachten für den NSA-Ausschuss des Bundestags versucht der Chaos Computer Club (CCC) den Abgeordneten zu erklären, warum beim Abhören von paketvermittelter Kommunikation nicht so einfach zwischen ausländischen und deutschen Gesprächspartnern unterschieden werden kann wie bei früheren Telefonleitungen. Dabei kommt der CCC zu dem Schluss, dass der Bundesnachrichtendienst (BND) bei seiner Massenüberwachung von Internettraffic nicht zwischen in- und ausländischen Datenverkehren unterscheiden kann, ohne detailliert Inhalte der Kommunikation zu analysieren.

Stellenmarkt
  1. Softwareentwickler (m/w/d) mit Schwerpunkt Regelungstechnik/DSP
    KOSTAL Automobil Elektrik GmbH & Co. KG, Dortmund
  2. Assistenz IT-Leitung (m/w/d)
    NOWEDA eG Apothekergenossenschaft, Essen
Detailsuche

Dass dem so ist, dürfte selbst der BND einräumen. Schließlich heißt es im geplanten neuen BND-Gesetz zur Trennung von inländischer und ausländischer Kommunikation: "Der BND setzt hierfür ein mehrstufiges automatisiertes Filtersystem ein, um solche Verkehre zu erkennen und unverzüglich und unwiederbringlich zu löschen, wenn keine Beschränkungsmaßnahme nach dem Artikel 10-Gesetz vorliegt." Dass der BND dafür auch eine sogenannte Deep Packet Inspection (DPI) für die Filterung anwendet, dürfte auf der Hand liegen. So könnte der Geheimdienst von vornherein Inhalte wie Videos löschen, an deren Auswertung er nicht interessiert ist.

Geolokalisierung von IP-Adressen schwierig

Die Frage stellt sich jedoch, ob bei dem übrigbleibenden Traffic - wie E-Mails oder Messengernachrichten - garantiert werden kann, dass er nicht aus dem Inland stammt. Denn der Gesetzentwurf der großen Koalition verbietet in Artikel 6, Absatz 4 eine "Erhebung von Daten aus Telekommunikationsverkehren von deutschen Staatsangehörigen, von inländischen juristischen Personen oder von sich im Bundesgebiet aufhaltenden Personen".

Nach Ansicht des CCC ist es aber selbst auf der Basis von Geolokalisationstechniken schwierig, eine IP-Adresse zu lokalisieren. Kommerzielle Datenbanken seien oft veraltet und ungenau. So könne eine IP-Adresse, die seit Monaten in Berlin genutzt werde, immer noch einem anderen Provider zugeordnet sein, der sich beispielsweise im Ausland befinde. Eine Triangulierung auf Latenzbasis könne zwar in Echtzeit durchgeführt werden, sei aber sehr anfällig für äußere Einflüsse. So könnten beispielsweise Verkehrsbelastungen in Weitverkehrsnetzen dazu führen, dass Abweichungen oder Ungenauigkeiten entstünden. "Diese Ungenauigkeiten können dazu führen, dass eine geographische Abweichung von mehreren hundert Kilometern entsteht", schreibt der CCC.

Traceroutes nicht immer aussagekräftig

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Problematisch sei es zudem, anhand der Einträge in Routingtabellen, Registrierungs-Datenbanken (RIPE etc.) und Traceroutes auszulesen, wo ein Netz genutzt werde. Wenn beispielsweise ein multinationaler Konzern mit Tochterunternehmen in mehreren Ländern IP-Adressblöcke tausche, dann können diese Einträge schnell irreführend werden. Das komme nicht selten vor.

Auch die Zuordnung über Traceroutes funktioniere nur, wenn es sich dabei um öffentlich erreichbare IP-Netzwerke handele, die Hostnamen aussagefähig und keine Filter implementiert worden seien. "Wenn innerhalb des ISPs Methoden zur Verkehrsleitung wie Multiprotocol Label Switching (MPLS) implementiert sind und die Hostnamen keine aussagekräftigen Beschreibungen enthalten, lassen sich praktisch keine verwertbaren Aussagen mehr über den Routingpfad oder die Geolokation von Start- und Zieladresssen treffen", schreibt der Gutachter Kay Rechthien, CTO am Berliner Internetknoten Ecix.

Auch der CCC darf Dafis nicht prüfen

Wie zuverlässig das BND-Filtersystem Dafis wirklich ist, kann aber auch der CCC nicht beurteilen. Nach Ansicht von Klaus Landefeld, Beirat beim weltgrößten Internetknoten DE-CIX in Frankfurt am Main, entzieht sich das Filtersystem "jeder Form der Kontrolle, auch der parlamentarischen Kontrolle". Selbst wenn der BND mit Dafis eine Genauigkeit von 99,9 Prozent erreichen würde, "redet man immer noch über mehrere Millionen fehlerhaft getaggter Verbindungen, jeden Tag", sagte Landefeld, auch Vorstand im IT-Branchenverband Eco, vor wenigen Wochen in einem Fachgespräch im Bundestag.

Ebenso wie der Eco kritisiert der CCC daher die BND-Reform der Regierung. Es lasse sich nicht erkennen, "ob die übermittelten Inhalte von deutschen Grundrechtsträgern oder von zum Belauschen freigegebenen Ausländern stammen", heißt es in der Pressemitteilung. Bevor der Bundestag wie geplant im Oktober den Gesetzentwurf beschließe, sollten besser die Ergebnisse des NSA-Untersuchungsausschusses abgewartet werden. "Das Parlament sollte die Erkenntnisse des NSAUA endlich zur Kenntnis nehmen und zumindest dessen Empfehlungen abwarten, bevor eine Gesetzesnovelle die bisherigen, nachweislich illegalen Machenschaften des BND zu geltendem Recht macht", fordert der Hackerverein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /