Original-URL des Artikels: https://www.golem.de/news/neue-snowden-dokumente-was-die-nsa-unter-fingerspitzengefuehl-versteht-1412-111376.html    Veröffentlicht: 29.12.2014 13:46    Kurz-URL: https://glm.io/111376

Neue Snowden-Dokumente

Was die NSA unter Fingerspitzengefühl versteht

Der Spiegel hat 44 neue Dokumente der Geheimdienste NSA und GCHQ aus dem Fundus von Edward Snowden veröffentlicht. Sie zeichnen ein noch genaueres Bild des Ansatzes, alles über jeden wissen zu wollen - und zeigen auch, dass die Spione an guter Verschlüsselung fast verzweifeln.

Deutschland ist nicht nur eines der vorrangigen Spionageziele des US-Geheimdienstes NSA, auch um ein typisches deutsches Wort kommt die Agentur in einer ihrer Präsentationen nicht herum. Auf Seite 31 dieses PDFs findet sich der Begriff "Fingerspitzengefühl". Wer vermutet, es ginge um die sorgfältige Auswahl einer Person, die überwacht werden soll, der irrt: Die NSA versteht darunter, so unsere Übersetzung, "die Fähigkeit eines militärischen Befehlshabers, schnell zu reagieren".

Die Folie stammt aus einer Präsentation zur Geheimdienstkonferenz Sigdev aus dem Jahr 2012 und wurde vom Spiegel zusammen mit 43 weiteren PDF-Dateien veröffentlicht. Die Unterlagen stammen aus dem Fundus von Edward Snowden, die Veröffentlichung erfolgte zeitgleich mit einem Vortrag von Jacob Appelbaum und Laura Poitras auf dem Hackerkongress 31C3 in Hamburg am Abend des 28. Dezember 2014. Auf Cryptome sind alle PDFs auch als 188 MByte großes Rar-Archiv verfügbar.

Die Dokumente stammen vorwiegend von der NSA, aber auch einige PDFs des britischen Gegenstücks GCHQ finden sich. Durch alle Unterlagen ziehen sich zwei Aspekte der Geheimdienstarbeit: Zum einen müssen alle möglichen Daten erfasst und für spätere Auswertungen gespeichert werden, zum anderen wird jeder Sicherheitsmechanismus zum Angriffsziel. Was heute noch nicht entschlüsselt werden kann, wird für die spätere Bearbeitung gespeichert.

Die NSA betrachtet dabei aber nicht nur Verschlüsselung, auch Anonymität von Internetnutzern ist verdächtig. Dafür gibt es eine eigene Präsentation (PDF), welche den Stand der Anonymisierung im Jahr 2011 beschreibt. Darin erkennt die NSA zwar an, dass es berechtigte Interessen gibt, im Netz unerkennbar zu sein - etwa für Menschenrechtsaktivisten oder bei statistischen Erhebungen zu Krankheiten.

Anonymität im so wörtlich "schlechten" Sinn erstreben aber laut der NSA vor allem Copyright-Verletzer, Betrüger, Pädophile, fremde Geheimagenten und Terroristen. Letztere sind das vorrangige Ziel der US-Überwachung. Bemerkenswert ist, dass die Agenten hier außer Betrug alle anderen Formen der Onlinekriminalität ausklammern. Dabei gehört die NSA auch als Dienstleister in der sogenannten Intelligence Community der USA zu insgesamt 17 bekannten Behörden, zu denen auch die Bundespolizei FBI zählt.

Anonymität ist für die Spione nicht nur ein Problem, weil sich die Personen nicht sofort identifizieren lassen. Wenn jemand mehrere Identitäten verwendet, kommt auch die Zuordnung der Metadaten durcheinander. Dies erwähnt die NSA gesondert, weil sie offenbar großen Wert auf die Transparenz der persönlichen Vernetzung ihrer Zielpersonen legt.

Tor und verschlüsselte Mails helfen

In der Präsentation zur Sigdev-Konferenz findet sich auch eine Übersicht der Schwierigkeitsgrade, auf welche die NSA beim Entschlüsseln von Kommunikation trifft. Als "gravierend" oder gar "katastrophal" wird dort unter anderem der deutsche Anbieter web.de erwähnt, der verschlüsselte Verbindungen zu Maildiensten anbietet - eine weitere Erläuterung dazu gibt es nicht. Als gleich schwer zu knacken ordnet der Dienst auch das Tor-Netz und Truecrypt ein. Die Angaben befinden sich aber auf dem Stand von 2012, Mitte 2014 kündigte das Truecrypt-Projekt unter mysteriösen Umständen ein Ende der Entwicklung an.

Neben solchen allgemeinen Übersichten, mit denen sich die Geheimdienste untereinander austauschen, zeigen die Dokumente auch Beispiele aus der praktischen Arbeit. Darunter ist ein Protokoll eines überwachten Chats (PDF), das nur teilweise entschlüsselt werden konnte. Dabei kam für manche Nachrichten laut der NSA das Verfahren Off-the-record (OTR) zum Einsatz, das starke Verschlüsselung bietet. Andere Teile des Chats konnten aber decodiert werden. Ob dabei auch OTR verwendet wurde, bleibt unklar.

Der Einsatz von mehreren Verfahren zur Verschlüsselung stellt die NSA vor die größten Probleme, als Beispiel nennen die Unterlagen einen Chat mit dem Messenger CSpace, der durch das Tor-Netz läuft. Wohl auch daher gibt es mehrere Dokumente, in denen sich die Geheimdienste mit Tor beschäftigen. Ein Vorschlag des GCHQ (PDF) setzt unter anderem dabei an, sowohl die Übertragung zum Client zu überwachen als auch einen der Exit-Nodes unter die Kontrolle der Agenten zu bekommen.

Ein ebenso großes Feld, in dem die Agenten forschen, ist die Verwendung von VPNs. Hierzu gibt es in den aktuellen Veröffentlichungen alleine 17 Dokumente. Mindestens seit dem Jahr 2010, aus dieser Zeit stammt eine Präsentation (PDF), betreibt die NSA ein eigenes "VPN Exploitation Team". Dabei setzen die Geheimdienst-Entwickler aber nicht nur bei verbreiteter Software an, sie beschreiben in ihrer Präsentation auch erfolgreiche Angriffe auf Router, womit wohl die Geräte in Firmennetzwerken gemeint sind - im konkreten Fall ging es um die Überwachung einer Bank. Mindestens zwei Jahre lang soll das funktioniert haben.

Unklar ist, inwiefern weit verbreitete Protokolle wie TLS/SSL, SSH, HTTPS oder IPSec kompromittiert sind. Schon im September 2013 hatten mehreren Medien über das Programm Bullrun berichtet, das Internetverschlüsselungen knacken soll. Auf Bitten der Geheimdienste hatten die Medien die Details des Programms verschwiegen, die nun aus den Dokumenten zum Teil hervorgehen. So heißt es in einer Präsentation des GCHQ: Der Geheimdienst verfügt über "unspezifische Fähigkeiten gegen Techniken zur Netzwerksicherheit wie TLS/SSL, HTTPS, SSH, VPNs, IPSec". Diese Fähigkeiten bedeuteten jedoch nicht unbedingt Möglichkeiten zur Entschlüsselung.

Manche verschlüsselte Verbindung kann die NSA mitlesen

Als "streng geheim" wird jedoch der Fakt eingestuft, dass der GCHQ und dessen Partnerdienste "einige Fähigkeiten gegen die Verschlüsselung" der genannten Protokolle und Verfahren sowie gegen verschlüsselte Chats und VoIP entwickelt haben. Details gehen jedoch nicht daraus hervor. Der Spiegel berichtet zudem unter Berufung auf ein NSA-Dokument, dass Ende 2012 zehn Millionen HTTPS-Verbindungen pro Tag geknackt worden seien.

Besonders interessierten sich die Überwacher für den Moment, in dem ein Nutzer sein Passwort eintippe: 20.000-mal im Monat sollte das System Ende 2012 jeweils "mindestens 100 Passwort-basierte Verschlüsselungsanwendungen entdecken". Um Verschlüsselungen knacken zu können, sammelten die Dienste große Mengen von Daten, zum Beispiel SSL-Handshakes. Eine Kombination von Metadaten der Verbindungen und Metadaten der Verschlüsselungsprotokolle helfe dann dabei, an die Schlüssel zu kommen. Das wiederum ermögliche schließlich das Mitlesen.

Insgesamt bestätigen die neuen Unterlagen den Eindruck von NSA und GCHQ, den schon die bisherigen Snowden-Veröffentlichungen machten: Jede Form von Anonymität oder Verschlüsselung von Kommunikation ist Ziel der Angriffe von Geheimdiensten. Dabei denken die Spione weit in die Zukunft. Mehrfach findet sich der Hinweis, man solle Daten auf jeden Fall speichern, denn was heute noch nicht geknackt werden kann, ist vielleicht später zugänglich.  (nie)


Verwandte Artikel:
BND-Gesetz: Journalisten klagen gegen Überwachung   
(30.01.2018, https://glm.io/132478 )
Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben   
(07.01.2018, https://glm.io/131999 )
Snowden-Dokumente: Wie die NSA den Mobilfunk infiltriert   
(04.12.2014, https://glm.io/110973 )
Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer   
(04.11.2017, https://glm.io/130970 )
Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches   
(30.01.2018, https://glm.io/132470 )

© 1997–2020 Golem.de, https://www.golem.de/