Original-URL des Artikels: https://www.golem.de/news/snowden-dokumente-die-planmaessige-zerstoerungswut-des-gchq-1508-115965.html    Veröffentlicht: 27.08.2015 12:09    Kurz-URL: https://glm.io/115965

Snowden-Dokumente

Die planmäßige Zerstörungswut des GCHQ

Warum mussten die Redakteure des Guardian auf Anweisung der GCHQ-Agenten so viele Einzelkomponenten in einem Macbook Air zerstören, auf denen die Snowden-Dokumente gespeichert waren? Nach monatelangen Recherchen wagen Experten ein erstes Fazit.

Unter Aufsicht des britischen Geheimdienstes GCHQ zerstörten Mitarbeiter der britischen Tageszeitung Guardian vor zwei Jahren ihr eigenes Notebook - auf Anweisung der Regierung. Auf dem Macbook Air befanden sich die Dokumente des Whistleblowers Edward Snowden zum US-Geheimdienst NSA. Die anwesenden Agenten des GCHQ achteten derart akribisch darauf, dass das Gerät vollständig zerstört wurde, dass der Verdacht aufkam, sie hätten eigene Spuren verwischen wollen; das Apple-Notebook sei zuvor vom Geheimdienst mit Spionagesoftware präpariert worden. Der Guardian überließ den Technikexperten bei Privacy International das zerstörte Notebook, die es untersucht haben. Für sie ist die Aktion ein Lehrstück: Wie zerstöre ich alle Daten auf einem Computer - unwiederbringlich?

Wenige Tage, nachdem der Guardian erste Artikel zu den Snowden-Dokumenten veröffentlicht hatte, wurde der GCHQ bei der Zeitung vorstellig. Er verlangte, dass die Geräte ausgehändigt würden, auf denen die Dokumente gespeichert waren. Der Guardian-Redakteur Ewen MacAskill hatte Glenn Greenwald nach Hongkong begleitet und dort Snowden getroffen, der den Journalisten die Dokumente ausgehändigt hatte. Zurück in Großbritannien, richteten sie unter anderem ein Macbook Air als Archiv ein. Es war vom Netz getrennt und lag abgeschottet in einem abhörsicheren Raum in der Redaktion - wie es Edward Snowden verlangt hatte.

Gerangel um Elektroschrott

Die britische Regierung setzte den Guardian unter Druck, die Dokumente herauszugeben. Guardian-Chefredakteur Alan Rusbridger berief sich auf die Pressefreiheit und den Quellenschutz und lehnte ab. Hätte er die Dokumente übergeben, hätten die Geheimdienste womöglich heikle Details entdeckt: wie genau und vor allem welche Dokumente in die Hände Edward Snowdens gelangt waren beispielsweise. Die USA waren schon dabei, juristisch verwertbare Beweise gegen Snowden zu sammeln. Und die britische Regierung drohte dem Guardian ebenfalls mit juristischen Konsequenzen.

Bereits mit einer empörten Öffentlichkeit konfrontiert, gab die britische Regierung nach, ordnete aber an, dass das Notebook in der Redaktion zerstört werden müsse. Den übrig gebliebenen Elektroschrott wollten die Agenten des GCHQ dann mitnehmen. Auch das verweigerte der Guardian. Die Zerstörung in einem großen Industrieschredder, wie vom Guardian zunächst vorgeschlagen, lehnte wiederum der GCHQ ab. Das Gerangel um die zerstörten Teile macht deutlich, wie gerne die Agenten den verbleibenden Elektroschrott forensisch untersucht hätten und wie vehement der Guardian das verhindern wollte.

Winkelschleifer und Entmagnetisierer

Schließlich einigte man sich: Das Gerät sollte unter Aufsicht des GCHQ in der Londoner Redaktion zerstört werden, die Restteile aber im Besitz der britischen Zeitung bleiben. Der Guardian hatte ohnehin inzwischen Kopien der Dokumente gemacht und anderswo versteckt - die britische Regierung und die Öffentlichkeit wussten längst davon.

Die Guardian-Redakteure sollten Winkelschleifer und Akkuschrauber sowie Staubmasken zum eigenen Schutz besorgen, wurde ihnen telefonisch mitgeteilt. Einen Entmagnetisierer wollte der GCHQ selbst stellen, dem Guardian war die Anschaffung zu teuer. Mit dem Werkzeug und dem unglückseligen Notebook fuhren die Guardian-Mitarbeiter in die Tiefgarage des Verlagsgebäudes. Dort begannen sie mit der aufwendigen Zerstörung des Macbook Air - unter Aufsicht zweier GCHQ-Agenten. Die Geheimdienstler filmten die Zerstörung mit ihren iPhones. Offenbar blieb es aber nicht bei einem einzigen Macbook Air. Laut den Aktivisten von Privacy International wurden insgesamt drei Notebooks und etliche USB-Sticks zerstört. Auf allen hatten die GCQH-Agenten immer die gleiche Hardware im Visier.

Zerstört, um Spuren zu verwischen?

Der Guardian überließ später die zerstörten Geräte den Technikexperten bei der Bürgerrechtsorganisation Privacy International. Sie überraschte, wie planmäßig die GCHQ-Agenten vorgegangen waren. Und sie begannen zu untersuchen, welche Chips und Controller zerstört worden waren und welche Bedeutung sie möglicherweise bei der Speicherung von Daten oder bei dem Ausspionieren gehabt haben könnten. Denn inzwischen wurde aus den Snowden-Dokumenten bekannt, dass Geheimdienste Geräte abfangen und präparieren, bevor sie ihr eigentliches Ziel erreichen. Die dafür zuständige Abteilung heißt ANT.

Mustafa Al-Bassam und Richard Tynan berichten nun über die Ergebnisse ihrer monatelangen Recherchen.

Verräterische Spuren in Controllern

Man könne von dem GCHQ lernen, wie ein Gerät so zerstört werden muss, dass dort gespeicherte Daten restlos verschwunden sind, sagen die beiden Aktivisten. Neben Festplatten und SSDs wurden auch Tastatur- und Trackpad-Controller und sogar die Elektronik für die Steuerung des Akkus zerstört. Das ist tatsächlich merkwürdig.

Zu dem Zeitpunkt aber reagierte die NSA noch ziemlich ratlos auf das Datenleck. Der US-Geheimdienst wusste offenbar nicht, wie viele und vor allem welche Dokumente Snowden mitgenommen hatte. Es folgten interne Untersuchungen und verstärkte Sicherheitsvorkehrungen für Administratoren. Snowden arbeitete bei der NSA als Administrator.

Stimmt das alles, können die Geheimdienste vor seiner Zerstörung keinen Zugriff auf das Macbook Air beim Guardian gehabt haben. Sie hätten sonst längst gewusst, was sich in Snowdens Datenfundus alles befand. Die Aktivisten halten es daher mittlerweile für unwahrscheinlich, dass der GCHQ Spuren auf dem Notebook verwischen wollte.

Überall wird gespeichert

Dennoch achteten die britischen Agenten genau darauf, dass alle Teile des Notebooks zerstört wurden, die Datenfragmente oder verräterische Datenspuren enthalten konnten. Das haben die Aktivisten inzwischen nachweisen können. Chips, die keine Daten speichern können, ließen die GCHQ-Agenten außen vor. Sie wussten offenbar ganz genau, was sie taten.

Im seriellen Controller für das Trackpad lassen sich beispielsweise 2 MBit Daten zwischenspeichern, wie die beiden Aktivisten herausfanden. Er wurde zerstört. Die anderen Chips für die Steuerung des Trackpads blieben hingegen unversehrt. Auch der Akkucontroller hat eine Firmware, Updates dafür gibt es bei Apple. Alles, was eine Firmware habe, habe auch Speicherkapazität, sagen die beiden.

Zerstörung nach Plan

Die Aktivisten verfolgten auch weitere Theorien, die im Zuge ihrer Recherchen entstanden. Zum Beispiel jene, dass der GCHQ mit der übermäßigen Zerstörung vom Skandal ablenken wollte - ein rein symbolischer Akt für die Öffentlichkeit. Oder dass sie ein Versuch war, wieder die Überhand zu gewinnen in einem Skandal, der den Geheimdienst zu überrollen drohte. Immerhin wusste der GCHQ, dass die Snowden-Dokumente längst als Kopien andernorts in Sicherheit gebracht worden waren.

Was auch immer die politischen Motive gewesen sein mögen, die Agenten folgten bei der Zerstörung offenbar strikten Richtlinien. Schon die behördlichen Vorgaben schreiben nach den Recherchen der Aktivisten vor, welche Komponenten kritische Informationen enthalten können und zerstört werden müssen - und wie.

Kaputtmachen ist IT-Grundschutz

Hinweise auf solche Vorgaben erhielten die Aktivisten zunächst über die Kommentare unter ihrem ersten Posting zu dem Thema. Ein Apple-Mitarbeiter wies darauf hin, dass er keine eigenen Tastaturen und Mäuse auf seine Arbeitsstelle mitnehmen dürfe. Sie könnten genutzt werden, um geheime Daten zu kopieren.

Ein Regierungsmitarbeiter berichtete von einer Sammlung mobiler Geräte, die unvorsichtige Mitarbeiter auch nur kurz zum Aufladen an Rechner gehängt hatten, die an einem als geheim eingestuften Netzwerk hingen. Er habe sie entmagnetisieren und mit Bohrmaschinen zerstören müssen. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik hat solche Richtlinien in seinem Grundschutzkatalog veröffentlicht, genannt: M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten.

Besondere Vorgaben für Geheimnisse

Und die Regeln für Geheimdienste könnten noch über diese Richtlinien hinausgehen, mutmaßten die Aktivisten. Sie fragten also beim GCHQ nach, ob sie eine Kopie der sogenannten HMG Information Assurance Note 5 erhalten könnten. Und erhielten eine Absage per E-Mail: Die Dokumente unterlägen der Geheimhaltung und dürften nur an Regierungsmitglieder ausgehändigt werden. Die E-Mail enthielt zum Schluss noch den Hinweis, dass "Kommunikation mit dem GCHQ überwacht und aufgezeichnet zur Steigerung der Effizienz und anderen rechtmäßigen Zwecken verwendet werden könne." Jetzt wisse er, dass er abgehört werde, merkte Al-Bassam süffisant an.

Handbücher zur korrekten Zerstörung

Bei Wikileaks entdeckten die Aktivisten das Joint Services Publication 440, ein etwa 2.400-seitiges Sicherheitshandbuch des britischen Verteidigungsministeriums. Und dort wird genau beschrieben, was mit Geräten passieren muss, wenn sie streng geheime Informationen enthalten. Sollen sie erneut verwendet oder repariert werden, müssen RAM, DRAM, EPROM und EEPROM zunächst gelöscht, anschließend mehrfach überschrieben und sogar im Falle von EPROMs mit UV-Licht behandelt werden. Bei einer Entsorgung müssen sie hingegen restlos zerstört werden - zerstückelt, verbrannt, pulverisiert, geschreddert oder geschmolzen, wie es dort in einer Fußnote heißt.

Diese Maßnahmen dienen vor allem zum Schutz von Kontakten in Ländern, für die erhöhte Sicherheitsmaßnamen gelten (Countries which Special Security Regulations Apply, CSSRA). Diese Individuen sollen vor ausländischen Geheimdiensten, Extremisten, Kriminellen oder investigativen Journalisten geschützt werden, so der Wortlaut des Dokuments.

Zertrümmern und Abschleifen

Ironischerweise sind die Briten die einzigen Mitglieder der Five-Eyes-Länder, die ihre Zerstörungsvorgaben geheim halten. Die Aktivisten stießen bei ihren Recherchen auf öffentlich zugängliche Dokumente aus Australien, Kanada und Neuseeland, die eine Entsorgung nach Behördenrichtlinien beschrieben. Dort wird beispielsweise empfohlen, magnetische Festplatten nicht zu zerschneiden. Stattdessen müssten sie entweder verbrannt, in einer Hammermühle zerstört, zertrümmert, abgeschliffen oder entmagnetisiert werden. Chips hingegen dürfen nur verbrannt oder zerstückelt werden, Schleifen, Zerschneiden und Entmagnetisieren ist nicht erlaubt.

Auch für die Zerstückelung gibt es genaue Vorgaben: Waren auf dem Gerät Informationen der obersten Geheimhaltungsstufe (Top Secret), dürfen die verbliebenen Fragmente der Chips oder USB-Sticks nicht größer als 3 Millimeter sein, damit sie entsorgt werden dürfen. Sind sie bis zu 12 Millimeter groß oder größer, bleiben sie unter der mittleren Geheimhaltungsstufe (Secret) und müssen aufbewahrt werden. Und es müssen immer zwei Agenten die Zerstörung überwachen, wie eben auch beim Guardian.

Tipps vom Geheimdienst

Aus den Unterlagen entnahmen die Experten auch zahlreiche sinnvolle Hinweise, etwa dass auf flüchtigen Medien kryptographische Schlüssel eingebrannt sein können, da sie meist an der gleichen Stelle gespeichert werden. Selbst wenn ein solcher Speicher nicht mehr mit Strom versorgt ist, könnten Abbilder des Schlüssels extrahiert werden.

Demnach befolgten die beiden GCHQ-Agenten in der Tiefgarage der britischen Zeitung nur die vorgegebenen behördlichen Richtlinien - quasi eine Zerstörung nach Anordnung: Auf dem Macbook Air sollten keine auslesbaren Daten zurückbleiben.

Alles zerstört, was speichert

Jeder Chip des Arbeitsspeichers wurde mit einer Flex bearbeitet. Die Scheiben und die Chips der Festplatte wurden ebenso behandelt und auch die Chips auf dem Festplattencontroller wurden restlos zerstört. Die Festplatten wurden zuvor noch entmagnetisiert. Der bereits erwähnte Tastaturcontroller wurde wohl auch deshalb zerstört, weil im Cache möglicherweise eingegebene Passwörter gespeichert bleiben. Ähnliches gilt für den Chip, der das Trackpad steuert.

Kopfzerbrechen bereitete den Aktivisten zunächst die Zerstörung der Chips zur Steuerung des Akkus. Inzwischen fanden sie heraus, dass anhand der dort gespeicherten Verlaufsdaten der Akkunutzung Rückschlüsse auf den Gebrauch des Notebooks gezogen werden können. Selbst vor dem Inverswandler machten die Geheimagenten nicht halt. Auch dort können bis zu 256 KBits gespeichert werden, wie die Aktivisten herausfanden. Was genau dieser Chip auf Macbook Airs macht, wollte Apple aber auf Anfrage der Aktivisten nicht mitteilen.

Millimetergroßer Elektroschrott

Die CPU wurde einfach nur durchgetrennt. Auf der SSD wurden hingegen sämtliche Komponenten zerstört. Für USB-Sticks müssen zusätzliche Maßnahmen ergriffen werden: Sie wurden zunächst mit einer Flex bearbeitet und anschließend geschreddert - bis nur noch 3 Millimeter große Fragmente übrig blieben.

Noch sind die Recherchen der Aktivisten nicht abgeschlossen. Sie wollen wissen, ob auch Rechner anderer Hersteller nur auf diese Art und Weise sicher zerstört werden können. Dell hat bereits auf eine erste Anfrage zu USB-Tastaturen geantwortet. Dort könnten keinen Daten gespeichert werden, sie seien nur als Eingabegeräte konzipiert. Weitere Informationen könne man aber nicht preisgeben. HP war zunächst sehr offen, bis es von den Aktivisten verlangte, die Informationen geheim zu halten. Da Privacy International das aber ablehnte, brach der Dialog mit dem Hardwarehersteller ab, wie die Experten berichten.

Mehr Transparenz gefordert

Privacy International verlangt mehr Transparenz von den Hardwareherstellern. Sie müssten offenlegen, was genau Komponenten in Geräten machen und wozu sie fähig sind. Aktivisten, die in unsicheren Ländern von Durchsuchungen bedroht sind und sensible Informationen gesammelt haben, müssen wissen, wie die Daten gelöscht werden können. Aber auch im Kampf gegen Rootkits und Malware seien solche Informationen unerlässlich.

Die bisher gesammelten Informationen zeigen eindeutig: Die herkömmlichen Löschvorgänge genügen offenbar nicht im mindesten. Zumindest sind die Richtlinien der Geheimdienste ein guter Leitfaden, wenn sichergestellt werden muss, dass schützenswerte Daten unwiederbringlich gelöscht werden müssen - nicht nur für Agenten, sondern auch für Aktivisten und Journalisten.  (jt)


Verwandte Artikel:
Überwachung: BND-Akten zeigen die Sorglosigkeit deutscher Diplomaten   
(02.07.2015, https://glm.io/115010 )
Facebook: Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt   
(22.05.2017, https://glm.io/127968 )
Obsoleszenz: Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr   
(30.05.2017, https://glm.io/128086 )
BND-Gesetz: Journalisten klagen gegen Überwachung   
(30.01.2018, https://glm.io/132478 )
Trotz Reform: BND lässt neues Kontrollgremium angeblich auflaufen   
(08.12.2017, https://glm.io/131561 )

© 1997–2019 Golem.de, https://www.golem.de/