Original-URL des Artikels: https://www.golem.de/news/de-cix-wie-sich-der-internetknoten-frankfurt-abhoeren-laesst-1411-110344.html    Veröffentlicht: 06.11.2014 12:01    Kurz-URL: https://glm.io/110344

DE-CIX

Wie sich der Internetknoten Frankfurt abhören lässt

Immer wieder gibt es Berichte, wonach die Geheimdienste den Frankfurter Internetknoten abhören. Wo, wann und wie das geschehen soll, ist aber alles andere als sicher. Indizien deuten aber auf mindestens zwei bekannte Anbieter hin.

Die Spekulationen sind so alt wie die NSA-Affäre selbst. Kaum hatten die Enthüllungen Edward Snowdens begonnen, gab es Berichte, wonach auch der Frankfurter Internetknoten DE-CIX von den Geheimdiensten abgehorcht würde. Dass der weltweit größte Internetknoten ein attraktives Ausspähziel darstellt, ist ebenso einleuchtend, wie die tatsächliche Überwachung offiziell unbestätigt ist. Was häufig übersehen wird: Über den DE-CIX läuft nur ein kleiner Teil des deutschen Internettraffics. Selbst in Frankfurt am Main gibt es genügend andere Zugriffspunkte für den Bundesnachrichtendienst (BND) oder die NSA. Dass eine solche Alternative neben dem DE-CIX beispielsweise für die Operation Eikonal genutzt wurde, deutet die Arbeit des NSA-Untersuchungsausschusses an.

Wie intensiv in Frankfurt mit Daten gearbeitet wird, zeigt ein Blick auf die Seiten von Datacentermap.com. Dort werden derzeit 48 Rechenzentren von rund 30 Anbietern innerhalb der Stadt und im nahen Umkreis gelistet. Das sind mehr als in Hamburg, Berlin und München zusammen. Laut einer Studie vom Mai 2014 gilt Frankfurt als die Stadt mit der höchsten Rechenzentrumsdichte in Kontinentaleuropa. Die sieben Rechenzentren von Interxion sind gemessen an der Zahl der Connectivity-Partner die größten in Europa. Mit mehr als 300 Partnern liegen sie noch vor Telehouse London mit rund 260 und den vier Frankfurter Equinix-Rechenzentren mit rund 180 Kunden. Weitere wichtige Anbieter am Main sind die Deutsche Telekom, Level 3, Telecity und Colt. Untereinander sind die Rechenzentren mit Glasfaserleitungen verschiedener Anbieter verbunden. Neben dem DE-CIX sind in Frankfurt noch die Internetknoten Ecix, Kleyrex, NetIX, Interlan (Rumänien), Ocix und DataIX (Russland) präsent. Für Geheimdienste gäbe es daher reichlich Möglichkeiten, Daten abzugreifen. Die Frage ist nur, wo und bei welchem Anbieter.

Traffic in zehn Jahren um das 250-Fache gestiegen

Vor gut zehn Jahren wäre die komplette Ausleitung der DE-CIX-Daten noch eine verhältnismäßig einfache Sache gewesen. Einer internen Präsentation des Internetknotens zufolge setzte sich die Topologie im Jahr 2006 aus zwei Cisco-Switches für den Anschluss der damals knapp 200 Provider sowie drei Cisco-Switches für den Datenaustausch zusammen. Die Switches standen damals in drei verschiedenen Rechenzentren von Telecity und Interxion. Untereinander waren sie mit Leitungen à 10 und 30 Gigabit verbunden. Erstaunlich gering erscheint für heutige Verhältnisse ein Spitzentraffic von rund 12 Gigabit pro Sekunde im Februar 2004. Innerhalb von zwei Jahren verfünffachte sich dieser Wert auf 61 Gigabit pro Sekunde. Im Juli 2008 lag der Peak bereits bei 500 Gigabit pro Sekunde. Derzeit beträgt er rund drei Terabit. Das ist 250-mal so viel wie vor zehn Jahren.

Dieser Anstieg spiegelt sich auch in der Topologie des DE-CIX wider. Der Traffic wird über die sogenannte Apollon-Plattform auf vier Standorte verteilt. Herzstück der Topologie sind jeweils vier Edge- und Core-Switches von Alcatel Lucent, die über ein optisches Netzwerk von Adva miteinander verbunden sind. Die Kundendaten werden aber noch von weiteren fünf Standorten zugeführt. Nach eigenen Angaben ist der DE-CIX derzeit sogar in 18 Frankfurter Rechenzentren vertreten. Laut der Datenbank von Peeringdb.com nutzt er dabei die Dienste von acht Anbietern, vor allem von Equinix und Interxion. Ein komplettes Abhören würde daher einen recht großen Aufwand für Geheimdienste bedeuten, der sicher nicht verborgen bliebe. Klaus Landefeld vom DE-CIX-Betreiber Eco hatte im Juli 2013 versichert: "Am DE-CIX können nicht unbemerkt Port-Spiegelungen stattfinden, dort kennt man jeden Port der Infrastruktur - das würde sofort auffallen und kann ausgeschlossen werden." Dies widerspricht aber Berichten, wonach der Traffic einzelner Provider am DE-CIX abgehört wird.

Telekom in Frankfurt sehr präsent

Die bisherigen Medienberichte und Ergebnisse des NSA-Untersuchungsausschusses zur Operation Eikonal legen nahe, dass der BND sich damals nicht am DE-CIX bediente, sondern direkt bei einem großen Telekommunikationsunternehmen. Anbieten würden sich dafür Tier-1-Provider wie Level 3 und Deutsche Telekom. Nach Angaben der SZ ist der Name des Providers in den Eikonal-Akten für den Untersuchungsausschuss geschwärzt. Insider wüssten aber, dass die Telekom dem Dienst behilflich sein müsse - was allerdings für jeden anderen Provider auch gilt. Für monatlich 6.000 Euro sei dem BND ein Datenzugang in Frankfurt zur Verfügung gestellt worden. Für den Betrag ließ sich nach Angaben von Branchenkennern damals auch eine Glasfaserleitung von Frankfurt nach Pullach mieten, wo die Daten vor der Weitergabe an die NSA gefiltert worden sein sollen. Der NSA-Untersuchungsausschuss will von der Telekom nun sämtliche Unterlagen zu dem angeblichen Vertrag sowie zu dessen Zustandekommen und Beendigung anfordern.

Auch wenn die Telekom bekanntlich nicht am DE-CIX peert, ist sie dennoch am Main sehr präsent. Die Telekom-Tochter International Carrier Sales & Solutions (ICSS) listet auf ihrer Website neun Standorte in Frankfurt auf, wo sie Daten abholen kann. Laut Peeringdb.com bietet die Telekom bei Equinix, Interxion und Telecity privates Peering an. Nach Angaben des DE-CIX gibt es in Frankfurt schätzungsweise über 5.000 solcher Private Interconnects. Ein Telekom-Sprecher sagte auf Anfrage von Golem.de, dass das Unternehmen mehrere Rechenzentren in Frankfurt betreibe und dort auch mit den großen Backbone-Providern peere. Die Adressen wollte die Telekom aus Sicherheitsgründen nicht nennen, den Peak-Traffic will man aus Wettbewerbsgründen nicht preisgeben.

Nur Ex-Telekom-Chef Ricke wird vernommen

Die Kooperation mit der Telekom dürfte sich für die Geheimdienste jedoch lohnen. Schließlich muss ein Großteil des deutschen Internettraffics irgendwann durch das Netz der Telekom. Eine Präsenz am DE-CIX ist dazu gar nicht erforderlich. Wegen der hohen Telekom-Preise und der restriktiven Peering-Politik kommt der Traffic deutscher Provider häufig über den Umweg von ausländischen Anbietern dann doch bei der Telekom an. Das Unternehmen hat mögliche Kooperationen bislang nie dementiert und verweist stets darauf, laut G10-Gesetz zur Kooperation verpflichtet zu sein, jedoch keine Details preisgeben zu dürfen.

Klar ist inzwischen: Über die Datenableitung in Frankfurt wussten alle relevanten deutschen Behörden Bescheid. Der NSA-Ausschuss hat nach Angaben der Grünen inzwischen weitere 30 Ordner mit mehreren Tausend Seiten zu dem Thema erhalten. Die Unterlagen stammen demnach vom BND, vom Bundesamt für Sicherheit in der Informationstechnik (BSI), vom Bundesinnenministerium, vom Bundeskanzleramt und von der Bundesnetzagentur. Dabei habe das Bundeswirtschaftsministerium zunächst behauptet, dass die Bundesnetzagentur keine Akten dazu besitze. Auch das Kanzleramt soll nachträglich noch Unterlagen entdeckt haben. Laut Grünen-Ausschussobmann Konstantin von Notz steht in den vorliegenden Akten "Brisantes zur Operation des BND" in Frankfurt. Es werde derzeit geprüft, "inwiefern es sich um ein rechts- oder gar verfassungswidriges Vorgehen des BND, des Kanzleramtes und den beteiligten Telekommunikationsunternehmen handelt", sagte Notz.

DE-CIX dementiert Ausleitung weiterhin nicht

Details zu den beteiligten Unternehmen wollte Notz mit Verweis auf die Geheimhaltungspflicht nicht nennen. Allerdings deutet einiges darauf hin, dass an der Operation Eikonal die Telekom beteiligt war. Denn der Ausschuss, der in den kommenden Wochen diesen Vorgang aufklären will, hat dazu lediglich einen einzigen Unternehmensvertreter eingeladen: Kai-Uwe Ricke, von Ende 2002 bis Ende 2006 Vorstandschef der Telekom, soll am 4. Dezember 2014 dem Ausschuss Rede und Antwort stehen. SPD-Ausschussobmann Christian Flisek sagte am Mittwoch: "Wir werden erst einmal mit Herrn Ricke den Aufschlag machen, weil der wesentliche Punkt der Initiierung in seinen Verantwortungszeitraum fiel." Je nach Aktenlage würden weitere Firmen eingeladen.

Die Aufklärung der 2008 beendeten Operation Eikonal beantwortet jedoch nicht die Frage, ob seitdem weiterhin Daten in Frankfurt für Geheimdienstzwecke ausgeleitet werden. Schließlich ging es bei Eikonal nur um die Weiterleitung von Daten an die NSA und nicht um die sogenannte strategische Fernmeldeaufklärung des BND, für die 20 Prozent der Übertragungskapazität überwacht werden darf. Medienberichten zufolge soll sich der Auslandsgeheimdienst seit mindestens 2011 das Anzapfen von Kommunikationsleitungen deutscher Internetprovider am DE-CIX genehmigen lassen. Neben 19 Netzwerken aus dem Ausland listete der BND damals auch die Verbindungen zu sechs deutschen Firmen auf: Betroffen sind demnach die Internetprovider 1&1, Freenet, Strato AG, QSC, Lambdanet (jetzt euNetworks) und Plusserver. Der Zugriff könnte dabei in den Rechenzentren von Equinix, Interxion und Itenos erfolgt sein, wo die genannten Provider auch private Interconnects anbieten.

Der DE-CIX hat diese Datenweitergabe nie dementiert. Eco schließt lediglich aus, "dass irgendein ausländischer oder inländischer Geheimdienst im genannten Zeitraum von 2004 bis 2008" einen Zugang zu dem von ihm betriebenen Internetknoten oder Glasfasernetzen hatte. Weitere Statements will der Verband zu diesem Thema nicht abgeben. Dies bedeutet jedoch nicht, dass neben der Telekom und dem DE-CIX nicht auch andere Anbieter in den vergangenen Jahren in Frankfurt mit dem BND kooperiert haben könnten. Ohnehin müsste ein Telekommunikationsanbieter die Daten vom DE-CIX zum BND weiterleiten. Da Provider wie die Telekom an den wesentlichen DE-CIX-Standorten ebenfalls präsent sind, dürfte das sicherlich kein Problem darstellen. Offen bleibt hingegen, ob Geheimdienste möglicherweise heimlich einzelne Glasfaserleitungen in Frankfurt abhören.

Auf Basis der bisherigen Medienberichte und der Arbeit des NSA-Ausschusses lässt sich ein Zugriff auf Internetverbindungen in Frankfurt wohl nicht leugnen. Allerdings zeigt sich, dass dieser "Frankfurter Internetknoten" eigentlich ein weit verzweigtes Netz ist und an vielen Punkten gezielt, aber insgesamt wohl nur sehr unvollständig, abgehört werden kann. Entscheidend für die Aufklärung der NSA-Affäre ist aber die Frage, ob die Daten deutscher Bürger, die dort zweifellos in großem Umfang geroutet werden, tatsächlich nach dem Ableiten ausreichend gefiltert und geschützt werden. Die Antworten darauf können aber nicht die Netz- und Netzknotenbetreiber geben, sondern nur der BND selbst.  (fg)


Verwandte Artikel:
BND-Gesetz: Journalisten klagen gegen Überwachung   
(30.01.2018, https://glm.io/132478 )
Bundeshack: Ausländischer Geheimdienst soll Regierung gewarnt haben   
(02.03.2018, https://glm.io/133112 )
Selektorenaffäre: BND soll ausländische Journalisten ausspioniert haben   
(24.02.2017, https://glm.io/126381 )
Datenrate: Verbraucherschützer verklagen 1&1 wegen LTE   
(01.02.2018, https://glm.io/132536 )
Arbeitskampf: Warnstreiks bei Service und Technik der Telekom   
(09.03.2018, https://glm.io/133252 )

© 1997–2019 Golem.de, https://www.golem.de/