Abo
  • Services:

NSA-Ausschuss: DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.

Artikel veröffentlicht am ,
Seit 2009 zapft der BND den Internetknoten DE-CIX an.
Seit 2009 zapft der BND den Internetknoten DE-CIX an. (Bild: de-cix.net)

Der Manager des Frankfurter Internetknotens DE-CIX, Klaus Landefeld, hat die Politik wegen der Überwachungspraxis des Bundesnachrichtendienstes (BND) scharf kritisiert. Es gebe keinerlei rechtliche Standards, wie die sogenannte strategische Fernmeldeüberwachung der Internetkommunikation umgesetzt werden solle, sagte Landefeld vor dem NSA-Untersuchungsausschuss des Bundestags am Donnerstag in Berlin. Der 46 Jahre alte DE-CIX-Beirat räumte in der Vernehmung ein, dass der BND im August 2008 erstmals wegen des Anzapfens von Leitungen vorstellig geworden sei. Seit 2009 greife der Geheimdienst dort Daten ab. Eine illegale Ausspähung durch einen ausländischen Dienst könne hingegen ausgeschlossen werden, wenn auch nicht hundertprozentig.

Stellenmarkt
  1. Hays AG, Frankfurt
  2. Sanacorp Pharmahandel GmbH, Planegg

Nach Ansicht Landefelds sind die rechtlichen Grundlagen für den Zugriff auf den Knoten völlig unklar, da sie die Besonderheiten paketvermittelter Kommunikation nicht berücksichtigten. So sei die vorgeschriebene Beschränkung auf 20 Prozent der Leitungskapazitäten praxisfern, da ein seriöser Anbieter aus Angst vor Datenverlust seine Leitungen ohnehin nicht mehr als 50 Prozent auslaste. Zudem wolle der BND keine bestimmten Leitungen abhören, sondern den kompletten Traffic bestimmter Autonomer Systeme (AS).

  • Im Jahr 2006 verteilte der DE-CIX den Traffic nur auf drei Standorte in Frankfurt. (Fotos: DE_CIX)
  • Der Traffic lag im Jahr 2004 noch deutlich niedriger als heute.
  • 2008 erreichte der Traffic am DE-CIX bereits Peaks von fast 500 Gigabit pro Sekunde.
  • Seit 2013 gibt es die neue Topologie. Derzeit ist der DE-CIX an 18 Rechenzentren in Frankfurt präsent.
  • Die Deutsche Telekom wirbt mit neun Standorten in Frankfurt. (Foto: Telekom-icss.com)
Im Jahr 2006 verteilte der DE-CIX den Traffic nur auf drei Standorte in Frankfurt. (Fotos: DE_CIX)

Einem Bericht des Nachrichtenmagazins Der Spiegel zufolge zapfte der BND neben 19 Netzwerken aus dem Ausland im Jahr 2011 auch die Verbindungen zu sechs deutschen Firmen an: Betroffen waren demnach die Internetprovider 1&1, Freenet, Strato AG, QSC, Lambdanet (jetzt euNetworks) und Plusserver.

Redeverbot aus dem Kanzleramt

Aufgrund der rechtlichen Bedenken habe das DE-CIX-Management nach der BND-Anfrage das Gespräch mit der zuständigen G10-Kommission gesucht, sagte Landefeld. Daraufhin habe das Kanzleramt interveniert und bei einem Treffen am 27. Februar 2009 dem Unternehmen untersagt, über die Planungen des BND zu sprechen. Schließlich sei eine Überwachungsanordnung eingetroffen, die konkrete Nummern Autonomer Systeme enthalten habe. "Bei manchen Strecken ist mir nicht klar, wo nicht G10-geschützte Verkehre sein sollen", sagte der Zeuge. Dazu zähle beispielsweise ein regionaler deutscher Internetprovider, bei dem davon auszugehen sei, dass immer eine Seite der Kommunikation geschützt sei.

Bei dem Treffen des BND mit dem DE-CIX sei es dem Geheimdienst darum gegangen, in einer Art Crashkurs möglichst viel über die Funktionsweise des Internetknotens zu erfahren. Es ist wohl kein Zufall gewesen, dass die Operation Eikonal, bei der der BND auf einen Netzknoten der Deutschen Telekom zugegriffen hatte, in den Monaten zuvor eingestellt worden war.

Der BND darf laut Artikel-10-Gesetz bis zu 20 Prozent des internationalen Fernmeldeverkehrs zwischen Deutschland und dem Ausland nach Stichworten durchsuchen. Statistiken zur Zahl der abgefragten Stichwörter und herausgefilterten E-Mails teilt der BND regelmäßig dem Parlamentarischen Kontrollgremium mit. Die Frage, ob und wie der 20-Prozent-Anteil eingehalten werde, bleibt dabei außen vor. Die Bundesregierung ist nach eigenen Angaben nicht in der Lage, das Ausmaß der Überwachung auch nur annähernd einzuschätzen. "In Ermangelung einer entsprechenden statistischen Erfassung kann daher keine Auskunft über die von Systemen des BND täglich erfassten Datensätze im angefragten Zeitraum gegeben werden", hieß es vor einem Jahr in einer Antwort auf eine Kleine Anfrage der Linken.

Auslegung nicht den BND-Juristen überlassen

Für Landefeld ist es hingegen nicht hinnehmbar, dass die Anbieter über keinerlei Kriterien verfügten, um die Überwachungsanordnungen auf ihre formale Richtigkeit zu prüfen. Bei anderen Telekommunikationsüberwachungen (TKÜ) gebe es "konkrete technische Standards für jede Ausleitung", sagte der 46-Jährige. Das sei "bis in das letzte Bit herunter dokumentiert". Zudem sei die Provider verpflichtet, die TKÜ-Anordnungen zu überprüfen. Bei den globalen G10-Anordungen sei das jedoch nicht möglich. Man dürfe die Auslegung des Gesetzes nicht den BND-Juristen überlassen.

Wie die Überwachung technisch umgesetzt wird, erläuterte Landefeld nicht im Detail. Möglich wäre beispielsweise, dass die entsprechenden Funktionen der sogenannten Core-Switches von Alcatel Lucent genutzt würden. Das Unternehmen bietet mit seinen Routern eine sogenannte rechtmäßige Überwachung (Lawful Interception) serienmäßig an. Möglicherweise wird der abgehörte Traffic dann von einem der 18 Standorte, an denen der DE-CIX präsent ist, zu einem Rechenzentrum geleitet, wo der BND in Frankfurt sein eigenes Filter-Equipement stehen hat, wie es bereits für die Operation Eikonal genutzt wurde. Von dort gehen die Daten dann zur Auswertung in die BND-Zentrale nach Pullach. Laut Landefeld werden aus Kapazitätsgründen jedoch nicht alle Überwachungsanordnungen genutzt. Theoretisch dürfte deren Anteil am Traffic bei zwei Prozent der verkauften Kapazitäten des DE-CIX liegen. Derzeit liegt der Traffic-Peak bei rund drei Terabit pro Sekunde.

Nur Ende-zu-Ende-Verschlüsselung schützt

Der Internetknoten selbst sei gegen Manipulationen von außen gut geschützt, sagte Landefeld. Die Rechenzentren seien mehrfach abgesichert, Ports ließen sich nur über die Management-Software zuschalten. Zudem werde der DE-CIX regelmäßig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft. "Für einen ausländischen Nachrichtendienst ist es sehr schwierig, eine Glasfaser ohne Genehmigung anzuzapfen", sagte Landefeld. Am einfachsten sei daher ein Datentausch mit einem Dienst, der es legal machen dürfe, antwortete er auf die Frage des Ausschussvorsitzenden Patrick Sensburg (CDU), wie man am besten an die Daten in Frankfurt herankomme.

Den sichersten Schutz gegen eine Überwachung biete jedoch eine Ende-zu-Ende-Verschlüsselung der Dateninhalte. Das sei "das einzige, was hilft. Alles andere ist illusorisch", sagte Landefeld. Wenig sinnvoll sei dagegen das vor allem von der Deutschen Telekom propagierte nationale Routing oder Schlandnet. "Schon jetzt werden 99,9 Prozent der innerdeutschen Verkehre innerhalb Deutschlands geroutet", sagte er. Damit sei ein solches Routing faktisch schon umgesetzt.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. über ARD Mediathek kostenlos streamen
  3. (2 Monate Sky Ticket für nur 4,99€)

Moe479 29. Mär 2015

naja ... lies noch mal, das was du zitiert hast! das problem hier in de und auch den usa...

Wallbreaker 29. Mär 2015

Dieser Zufallsgenerator ist nie zum Einsatz gekommen, da er schon vor den...

Moe479 29. Mär 2015

irgendeiner wird auch in bewegungsmuster auis wow terrorgefahr hineininterpretieren...

tingelchen 27. Mär 2015

Wie du das siehst und wie die rechtliche Lage ist, sind halt nur zwei Paar Schuhe...

tingelchen 27. Mär 2015

Dagegen sag ich ja nichts :) Zumal man auch nicht das halbe Parlament mit Ein Sitz...


Folgen Sie uns
       


Dell XPS 13 (9370) - Fazit

Dells neues XPS 13 ist noch dünner als der Vorgänger. Der Nachteil: Es muss auf USB-A und einen SD-Kartenleser verzichtet werden. Auch das spiegelnde Display nervt uns im Test. Gut ist das Notebook trotzdem.

Dell XPS 13 (9370) - Fazit Video aufrufen
Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
Ryzen 5 2600X im Test
AMDs Desktop-Allrounder

Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
Ein Test von Marc Sauter

  1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
  2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
  3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    SpaceX: Rundum verbesserte Falcon 9 fliegt zum ersten Mal
    SpaceX
    Rundum verbesserte Falcon 9 fliegt zum ersten Mal

    Landen, Auftanken und 24 Stunden später wieder starten. Das will SpaceX mit der neusten und endgültigen Version der Falcon-9-Rakete erreichen. In der letzten Nacht hat sie erfolgreich einen Satelliten für Bangladesch in den Orbit gebracht.
    Von Frank Wunderlich-Pfeiffer


        •  /