Abo
  • Services:
Anzeige
Die Baustelle der BND-Zentrale in Berlin
Die Baustelle der BND-Zentrale in Berlin (Bild: Martin Wolf/Golem.de)

Gutachten zu BND-Spionage: CCC erklärt dem Bundestag das Internet

Die Baustelle der BND-Zentrale in Berlin
Die Baustelle der BND-Zentrale in Berlin (Bild: Martin Wolf/Golem.de)

Kann der Bundesnachrichtendienst deutschen Traffic sicher aus dem Internetverkehr herausfiltern? Auch der CCC hat da so seine Bedenken.

Wie funktioniert eigentlich das Internet? In einem Gutachten für den NSA-Ausschuss des Bundestags versucht der Chaos Computer Club (CCC) den Abgeordneten zu erklären, warum beim Abhören von paketvermittelter Kommunikation nicht so einfach zwischen ausländischen und deutschen Gesprächspartnern unterschieden werden kann wie bei früheren Telefonleitungen. Dabei kommt der CCC zu dem Schluss, dass der Bundesnachrichtendienst (BND) bei seiner Massenüberwachung von Internettraffic nicht zwischen in- und ausländischen Datenverkehren unterscheiden kann, ohne detailliert Inhalte der Kommunikation zu analysieren.

Anzeige

Dass dem so ist, dürfte selbst der BND einräumen. Schließlich heißt es im geplanten neuen BND-Gesetz zur Trennung von inländischer und ausländischer Kommunikation: "Der BND setzt hierfür ein mehrstufiges automatisiertes Filtersystem ein, um solche Verkehre zu erkennen und unverzüglich und unwiederbringlich zu löschen, wenn keine Beschränkungsmaßnahme nach dem Artikel 10-Gesetz vorliegt." Dass der BND dafür auch eine sogenannte Deep Packet Inspection (DPI) für die Filterung anwendet, dürfte auf der Hand liegen. So könnte der Geheimdienst von vornherein Inhalte wie Videos löschen, an deren Auswertung er nicht interessiert ist.

Geolokalisierung von IP-Adressen schwierig

Die Frage stellt sich jedoch, ob bei dem übrigbleibenden Traffic - wie E-Mails oder Messengernachrichten - garantiert werden kann, dass er nicht aus dem Inland stammt. Denn der Gesetzentwurf der großen Koalition verbietet in Artikel 6, Absatz 4 eine "Erhebung von Daten aus Telekommunikationsverkehren von deutschen Staatsangehörigen, von inländischen juristischen Personen oder von sich im Bundesgebiet aufhaltenden Personen".

Nach Ansicht des CCC ist es aber selbst auf der Basis von Geolokalisationstechniken schwierig, eine IP-Adresse zu lokalisieren. Kommerzielle Datenbanken seien oft veraltet und ungenau. So könne eine IP-Adresse, die seit Monaten in Berlin genutzt werde, immer noch einem anderen Provider zugeordnet sein, der sich beispielsweise im Ausland befinde. Eine Triangulierung auf Latenzbasis könne zwar in Echtzeit durchgeführt werden, sei aber sehr anfällig für äußere Einflüsse. So könnten beispielsweise Verkehrsbelastungen in Weitverkehrsnetzen dazu führen, dass Abweichungen oder Ungenauigkeiten entstünden. "Diese Ungenauigkeiten können dazu führen, dass eine geographische Abweichung von mehreren hundert Kilometern entsteht", schreibt der CCC.

Traceroutes nicht immer aussagekräftig

Problematisch sei es zudem, anhand der Einträge in Routingtabellen, Registrierungs-Datenbanken (RIPE etc.) und Traceroutes auszulesen, wo ein Netz genutzt werde. Wenn beispielsweise ein multinationaler Konzern mit Tochterunternehmen in mehreren Ländern IP-Adressblöcke tausche, dann können diese Einträge schnell irreführend werden. Das komme nicht selten vor.

Auch die Zuordnung über Traceroutes funktioniere nur, wenn es sich dabei um öffentlich erreichbare IP-Netzwerke handele, die Hostnamen aussagefähig und keine Filter implementiert worden seien. "Wenn innerhalb des ISPs Methoden zur Verkehrsleitung wie Multiprotocol Label Switching (MPLS) implementiert sind und die Hostnamen keine aussagekräftigen Beschreibungen enthalten, lassen sich praktisch keine verwertbaren Aussagen mehr über den Routingpfad oder die Geolokation von Start- und Zieladresssen treffen", schreibt der Gutachter Kay Rechthien, CTO am Berliner Internetknoten Ecix.

Auch der CCC darf Dafis nicht prüfen

Wie zuverlässig das BND-Filtersystem Dafis wirklich ist, kann aber auch der CCC nicht beurteilen. Nach Ansicht von Klaus Landefeld, Beirat beim weltgrößten Internetknoten DE-CIX in Frankfurt am Main, entzieht sich das Filtersystem "jeder Form der Kontrolle, auch der parlamentarischen Kontrolle". Selbst wenn der BND mit Dafis eine Genauigkeit von 99,9 Prozent erreichen würde, "redet man immer noch über mehrere Millionen fehlerhaft getaggter Verbindungen, jeden Tag", sagte Landefeld, auch Vorstand im IT-Branchenverband Eco, vor wenigen Wochen in einem Fachgespräch im Bundestag.

Ebenso wie der Eco kritisiert der CCC daher die BND-Reform der Regierung. Es lasse sich nicht erkennen, "ob die übermittelten Inhalte von deutschen Grundrechtsträgern oder von zum Belauschen freigegebenen Ausländern stammen", heißt es in der Pressemitteilung. Bevor der Bundestag wie geplant im Oktober den Gesetzentwurf beschließe, sollten besser die Ergebnisse des NSA-Untersuchungsausschusses abgewartet werden. "Das Parlament sollte die Erkenntnisse des NSAUA endlich zur Kenntnis nehmen und zumindest dessen Empfehlungen abwarten, bevor eine Gesetzesnovelle die bisherigen, nachweislich illegalen Machenschaften des BND zu geltendem Recht macht", fordert der Hackerverein.


eye home zur Startseite
Trollversteher 10. Okt 2016

Wenn's wenigstens nur das linke Lager gewesen wäre... Aber irgendwie haben sich dort am...

grslbr 07. Okt 2016

Ist doch schon geschrieben. Wird nur keiner lesen von den Pappnasen, die nachher drüber...



Anzeige

Stellenmarkt
  1. Schwarz Business IT GmbH & Co. KG, Neckarsulm
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. Daimler AG, Sindelfingen
  4. Gemeinnützige Werkstätten und Wohnstätten GmbH, Gärtringen


Anzeige
Spiele-Angebote
  1. 99,99€ mit Vorbesteller-Preisgarantie
  2. 8,99€
  3. 14,99€ + 1,99€ Versand (für alle die kein NES Classic ergattern konnten)

Folgen Sie uns
       


  1. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  2. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  3. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  4. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  5. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  6. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  7. Raspberry Pi

    Raspbian auf Stretch upgedatet

  8. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  9. Nvidia

    Keine Volta-basierten Geforces in 2017

  10. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

  1. Re: Ach Bioware....

    Ember | 17:18

  2. Re: Es gibt einen grundsätzlichen Denkfehler bei...

    derdiedas | 17:17

  3. Re: Viele Hersteller würden sich freuen,

    DonKamillentee | 17:17

  4. Re: Danke Electronic Arts...

    gaym0r | 17:08

  5. Re: Finde ich gut

    User_x | 17:07


  1. 13:33

  2. 13:01

  3. 12:32

  4. 11:50

  5. 14:38

  6. 12:42

  7. 11:59

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel