Hinweise im NSA-Untersuchungsausschuss

Kommerzielle Helfer des BND bei der strategischen TKÜ

31. Januar 2015 | Von | Kategorie: POLITISCHE KONTROLLE

Am Donnerstag war wieder einmal Sitzung im NSA-Untersuchungsausschuss. Als Zeuge geladen war Herr Golke („wie Wolke“) ein langjähriger Mitarbeiter des BSI, dort zuständig für die Prüfung und Zertifizierung von Systemen und Komponenten nach der Telekommunikationsüberwachungsverordnung (TKÜV). Herr Golke ist Techniker – durch und durch – und kennt sich mit Nachrichtentechnik und Kryptierung mit Sicherheit exzellent aus. Herr Golke ist auch langjähriger Mitarbeiter einer Bundesbehörde, welche ursprünglich aus dem Bundesamt für Verfassungsschutz 1991 aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervorgegangen ist, deren Vorgängerbehörde die dem BND unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war *).

Nähe zu den Diensten und Kenntnis zu dem, was dort getan wird, wird man ihm daher unterstellen müssen. Was auch sein Dienstherr und die Regierung weiß und daher vorzubauen versucht hat vor allzu vielen Erkenntnissen, die Herr Golke den Ausschussmitgliedern mitteilen könnte mit einer anscheinend sehr restriktiven Aussagegenehmigung.

Damit er die auch nicht vergisst und vor allem weiß, was ihm also blühen kann, wenn er seine Aussagekompetenz überschreitet, saßen hinter (!) Herrn Golke

  • auf der linken Seite: Mitarbeiter des Innenministeriums, des Verteidigungsministeriums, des Auswärtigen Amtes und des Wirtschaftsministeriums, sowie „Herr Wolff“ aus dem Bundeskanzleramt, der einen Kommentar zum Recht parlamentarischer Untersuchungsausschüsse demonstrativ vor sich liegen hatte
  • und auf der rechten Seite mindestens ein Aufpasser aus dem BSI

Als Beobachter hatte ich nicht den Eindruck, dass Herr Golke das Gefühl hätte, dass ihm diese Phalanx den Rücken stärkt, sondern eher dass man ihm hinterher ins Kreuz springen würde, wenn er seine Aussagebefugnis überschreitet. Doch das mag ein persönlicher Eindruck gewesen sein … Dies muss vorausgeschickt werden, um deutlich zu machen, dass eine Aussage eines kundigen Behördenmitarbeiters vor dem Untersuchungsausschuss für diesen ein Ritt auf der Rasierklinge ist.

Aggressivität, wie sie bei der Befragung durch den einen oder anderen Abgeordneten zu bemerken war oder auch Amüsement bei den meisten Anwesenden über die mitunter merkwürdig anmutenden Antworten bzw. überlangen Pausen von Herrn Golke haben nach meinem Geschmack dieser besonderen Situation für den Zeugen nicht Rechnung getragen. Dies gilt umso mehr, als der Zeuge im Rahmen seiner Möglichkeiten deutliche Aussagen und Hinweise gegeben hat. Man musste allerdings hinhören …

Alles aus dem Kabel der Deutschen Telekom landet beim BND

Sehr klar war seine Beschreibung der Systemkonfiguration in den Räumen der Deutschen Telekom beim De-CIX: Demnach hat der BND in diesen Räumen (und nicht etwa sonderlich abgegrenzt davon) eine Kopfstelle stehen, die den Eingang in das „Netz des BND“ darstellt. Diese Kopfstelle wird beliefert von einem (Glasfaser-) Kabelstrang. Und der trägt den gesamten Datenstrom, den auch die Telekom erhält. Alles, was durch das Kabel geht, das für die Telekom bestimmt ist, wird demnach aufgeteilt: Ein Strang geht „rückwirkungsfrei“, wie Herr G. betonte, zum Provider, ein zweiter Strang zum BND. Dort werden die Daten in mehreren Stufen verarbeitet.

Skizze der vom Zeugen beschriebenen Systemkonfiguration

Skizze der vom Zeugen beschriebenen Systemkonfiguration

Stufe I: Der „Separator“

Ein so genannter Separator ist zuständig für die erste Verarbeitungsstufe. Herr Golke sollte sich gerade zu diesem Teil äußern, denn dies war der Gegenstand seiner Prüfung und Zertifizierung im Jahr 2005. Die etwas sperrige BND-Bezeichnung für dieses Teil lautet „EVN G-10 III“, was vermutlich für ‚Erfassungs- bzw. Eingangs-Verarbeitung Netz‘ steht [Herr G. war nicht immer gut zu verstehen / d. Verf.].

Dieser EVN G-10 III war nun dafür zuständig, den gesamten Verkehr aufzuteilen in zwei Teilstränge: Einen „G10-Strang“ der, die „Grundrechtsträger“ betrifft, also deutsche Staatsbürger bzw. Unternehmen und Organisationen [siehe dazu auch den Beitrag in [1]]. Und einen so genannten Routine-Strang, der nur Verkehre enthält, bei denen Grundrechtsträger nicht involviert sind.

Wie funktioniert der Separator?

Herr Golke wurde bei der Beschreibung der genauen Funktionsweise recht einsilbig. Ließ aber durchaus einige Versatzstücke fallen. Daraus kann man zusammensetzen, dass hier ein Netzwerk-Protokoll-Analyse-Gerät (Forensic Network Analysis Tool) am Werk ist, welches die IP-Adressen im Datenstrom auswertet.

Dazu muss man wissen, dass die Daten für die Übermittlung im Internet in Datenpakete zerlegt werden. Jedes Datenpaket besteht aus Kopfdaten und Nutzdaten. In den Kopfdaten jedes Datenpakets stehen (unter anderem) zwei wichtig Informationen: Nämlich die vollständige IP-Adresse des Absenders dieses Pakets und die ebenso vollständige Adresse des Empfängers dieses Pakets.

Um also den gesamten Datenstrom auf dem Kabel separieren zu können, muss jedes Paket „beim Vorbeikommen“ gelesen werden und dann sortiert werden. In den G10-Teilstrang kommen alle Pakete, deren IP-Senderadresse von einem „deutschen“ Absendern stammt bzw. deren IP-Empfängeradresse auf „deutsche“ Empfänger hinweist. Und alle anderen sind „Routine“ und werden – tja: das führte Herr Golke nicht so genau aus, was mit denen passiert … … …
Ihn und uns interessiert ja zunächst auch „nur“ der G10-Teilstrang.

Und da stellt sich noch eine wichtige Frage: Woher weiß eine Komponente, wie dieser Separator, was eine „deutsche“ und was eine „nicht-deutsche“ IP-Adresse ist?! Erneut müssen wir auf Versatzstücke zurückgreifen, die Herr Golke fallen ließ: Er erwähnte zum einen „diesen dicken Ordner mit den Listen“. Und ließ sich aus über „IP-Ranges“, also Bereiche von zusammen gehörenden IP-Adressen, die in solchen Listen gespeichert sind. Und dass diese IP-Ranges immer weiter fragmentieren. Man könne sich das vorstellen wie eine Festplatte, deren Datenblöcke immer weiter fragmentieren. Daher entstünden viele kleine IP-Adress-Bereiche, quasi also Lückenfüller für frei werdende Segmente. Und daher würde die Liste der IP-Adressbereiche immer größer …

Aus diesen Informationen formte sich bei mir ein Bild. Und mir fiel ein, wer mich, einige Monate vor der Zeit als Herr Golke das BND-Gerät prüfte, mehrfach kontaktiert und sich zu einem Gespräch förmlich aufgedrängt hatte, ein gewisser Richard Buchanan und ein ‚Geschäftspartner‘ von ihm, der dem BND sehr nahe stand. Doch dazu unten mehr … und zurück zum Netzwerk-Protokoll-Analyse-Gerät: Natürlich kann ein solches Teil gefüttert werden mit den (Bereichen von) IP-Adressen, die für die Beobachtung oder Überwachung interessant sind. Und im Extremfall, wenn der Datenverkehr eines ganzen Landes überwacht werden soll, kann man auch die Informationen zur Verfügung stellen, die auch jeder große Router bzw. IP-Adressverzeichnisse, wie RIPE, im Internet zur Verfügung haben: Nämlich: Welche IP-Adresse gehört zu welchem Bereich von zusammen gehörenden IP-Adressen und welchem Provider ist dieser IP-Range zugeordnet. Herr Golke war zwar nicht sonderlich mitteilsam zu diesem Thema, erwähnte jedoch immerhin, dass solche Geräte parametriert bzw. konfiguriert werden können. Wir sprechen hier zwar von sehr großen Adressräumen und damit sehr vielen in Frage kommenden IP-Adressen. Andererseits ist es für leistungsfähige, spezialisierte Systeme kein Problem, mit solchen Volumina an Adressen bzw. Datenmengen „auf dem Eingangskabel“ klar zu kommen.

Warum sollte der BND solche Komponenten entwickeln?! Er kann die einsatzfertig kaufen …

Und hier kommen wir zum großen Missverständnis, das den weiteren Verlauf der Befragung des Herrn Golke bestimmte und die Aufklärung nicht unbedingt voranbrachte. In mehreren Fragerunden löcherten die Ausschussmitglieder den Zeugen, verfolgten dabei aber vor allem zwei Stoßrichtungen:

  1. Wie ungut ist es doch, dass das BSI die Geräte nicht im tatsächlichen Einsatz prüft, sondern nur in einer Testumgebung. Das ist, gab der Zeuge, leise aber vernehmbar, zu verstehen, eine Folge der derzeitigen Gesetzeslage (TKÜV) und kann nicht von ihm geändert werden. Da nützte es auch wenig, ihm gegenüber als dem ausführenden Prüfer ziemlich vorwurfsvoll bzw. scharf zu werden … [Diesen Aspekt, obwohl durchaus interessant, werde ich im weiteren Verlauf dieses Artikels nicht weiter beleuchten / d. Verf.]
  2. Wesentlich interessanter ist nämlich die zweite Stoßrichtung der Fragen der Abgeordneten: Stammte das von ihm geprüfte Gerät mit der Typenbezeichnung EVN G-10 III tatsächlich „vom BND“ oder war es ein Gerät „im Besitz“ des BND, das tatsächlich „von der NSA“ stammte.

Diese Fragen lassen erkennen, dass die Abgeordneten, die sich hier um Aufklärung bemühen, in ihrer Denkwelt noch weit weg sind von der Welt der Techniker und auch von praktischen und haushalterischen Überlegungen: Denn warum sollte ein BND oder eine NSA solche Komponenten selbst entwickeln? Es wäre dies fachlich, technisch, personell und finanziell unsinnig und im Übrigen auch kaum genehmigungsfähig und würde – angesichts der rasanten Geschwindigkeit der technischen Weiterentwicklung – der aktuellen technischen Situation auch immer hinterher hinken. Und ferner wäre es überflüssig: Es gibt nämlich längst COTS – das magische Wort für Beschaffer aus Behörden, die sich bei Commercial-off-the-shelf Produkten bedienen können.

Und eine solche Aufgabe, wie sie hier zur Debatte steht, das Splitting oder Filtern von Datenverkehren nach den darin enthaltenen IP-Adressen, ist keineswegs eine Anforderung, die nur von Nachrichtendiensten kommt: Vielmehr trifft diese Aufgabe viele – z.B. multinationale Konzerne – die ihre Verkehre entsprechend filtern und lenken müssen.

Und ein zweites Argument kommt hinzu: Selbst wenn es Aufgaben gibt, die – aufgrund ihrer Mengen- und Kapazitätsanforderungen – vor allem für Nachrichtendienste gelten: Man sollte nicht vergessen, dass es mehr als 180 Staaten mit jeweils mehreren Nachrichtendiensten auf diesem Planeten gibt und die daher ein eigenes Marktsegment darstellen. Das für kommerzielle Anbieter sehr lukrativ ist!

Kommerzielle Anbieter

Und daher gibt es für Aufgaben, wie den oben beschriebenen Separator mit seiner BND-internen Typenbezeichnung auch längst kommerzielle Produkte von extrem hoher Leistungsfähigkeit. Der BND muss also weder selbst entwickeln. Noch ist er für solche technische Standardaufgaben darauf angewiesen, sich Systemkomponenten „von der NSA“ liefern zu lassen, wie es von einem Ausschussmitglied in der Fragerunde insinuiert wurde. Es genügt vollkommen, sich auf dem Markt umzusehen, zu testen, sich beliefern zu lassen und dann zu bezahlen.

Wildpackets

Die Zahl der Hersteller auf diesem Marktsegment ist überschaubar. Zu ihnen gehört die kalifornische Firma Wildpackets [2], nach eigener Darstellung einer der weltweit führenden Entwickler und Anbieter von „Hardware und Software-Lösungen für die Analyse, Fehlersuche und -Behebung, und Absicherung von leitungsgebundenen und drahtlosen Netzwerken“. Die Produkte werden in mehr als 60 Ländern verkauft und in allen Industriesegmenten eingesetzt. Zu den großen Kunden von Wildpackets zählen Boeing, Chrysler und mehr als 80 Prozent der Fortune 1000-Unternehmen, ferner zahlreiche US-Forschungs- und -Regierungsorganisationen, die NSA und – von den deutschen Unternehmen – die Deutsche Telekom und T-Mobile.

2004, ein Jahr bevor Herr Golke den Separator mit der BND-Bezeichnung EVN G-10 III zu zertifizieren hatte, machte ich die Bekanntschaft mit der Firma Wildpackets. Der Kontakt kam zustande, weil ein gewisser „Felix J.“ dringenden Wunsch nach einem Gesprächstermin mit unserer Firma hatte. Ich schlug einen Termin in München vor, bei dem Herr „Felix J.“ begleitet wurde von einem gewissen Richard Buchanan. Der wiederum stellte sich vor als eine Art Vertriebsrepräsentant für die Firma Wildpackets und erläuterte auch freimütig, wer die Kunden und was das Geschäft seines Unternehmens ist. Im Internet finden sich zahlreiche Dokumente über Buchanan und seine Zugehörigkeit zu Wildpackets. Am 1. März 2004 war er als ‚Strategic Business Director for Europe‘ von der Firma ernannt worden [3].

Der Begleiter von Buchanan, den wir hier als „Felix J.“ abkürzen, ließ keinen Zweifel daran, dass sein bisheriges berufliches Wirken mit einer Behörde in der Münchener Nachbargemeinde Pullach eng verbunden ist. Bei weiteren Treffen, die beiden Herren traten dabei immer im Doppelpack auf, ging es ständig um neue Firmen, mal deutsche GmbHs, mal englische oder amerikanische Firmen, mit teilweise martialischen Namen oder Bebilderungen (wie dem Eingangsbild zu diesem Artikel: Es wurde als Logo einer dieser Firmen verwendet).

Dumm nur: Wenn man nach diesen Firmen recherierte, waren sie im zuständigen Handelsregister nicht zu finden. „Noch nicht“, wie man mir dann z.B. erklärte. Für uns erhärtete sich die Vermutung, dass die beiden vor allem darauf aus waren, den aktuellen Stand der Polygon-Entwicklung in die Hand zu bekommen. [Zu den bis dahin schon schlechten Erfahrungen mit dem BND im Geschäfts- und Rechtsverkehr siehe unsere Artikelserie ‚2+2=5‚]. Wir brachen den Kontakt daraufhin ab und wandten uns an das Bayerische Landesamt für Verfassungsschutz als die für unsere Firma zuständige Geheimschutzbetreuungsbehörde. Daraufhin endeten die Kontaktversuche, die zuletzt ziemlich drängend gewesen waren. Vom Begleiter des Mr. Buchanan, jenem „Felix J.“ war danach noch mehrfach in den Medien die Rede und fanden sich auch Spuren in den Dokumenten des Deutschen Bundestages, so z.B. hier [4].

Hypothese: EVN G-10 III ist ein kommerzielles Produkt und stammt von Wildpackets

Dass es sich bei dem Separator um eine „kommerzielle Komponente“ handelt, hat der BSI-Prüfer Golke mehrfach erwähnt. Bei seiner Vernehmung hat leider keiner der Abgeordneten diesen Hinweis aufgegriffen und nach dem Hersteller gefragt. Bei der Befragung eines weiteren Zeugen wurde diese Frage gestellt, dieser weitere Zeuge wollte sie jedoch nur im nicht-öffentlichen Teil beantworten.

Dass die Wildpackets-Produkte für diese Anforderung der Separierung von Verkehrsströmen geeeignet sind, steht u.a. im Datenblatt über ‚Omnipeek‘ das Flaggschiff der WP-Produktfamilie. „Omnipeek unterstützt diverse IP-Adressen und / oder die Filterung nach IP-Adressbereichen“ heißt es dort.

Was folgt daraus?

Der BND muss vieles nicht mehr selbst entwickeln. Er ist auch nicht (in allen Punkten) darauf angewiesen, dass der große Bruder NSA ihm technische Hilfestellung leistet. Vielmehr haben sich neben, zwischen und für die Dienste Firmen entwickelt, die entwickeln und liefern, was Dienste benötigen. Oder die in kurzer Zeit aus einem Produkt für rein kommerzielle Zwecke eine Varianten für den nachrichtendienstlichen Gebrauch ableiten können. Reines Schwarz-Weiß-Denken – hier die privaten Anbieter, dort die Dienste – wird dieser Tatsache nicht gerecht. Die Dienste waren schon immer und sind weiterhin aktiv über Tarnfirmen, wir haben damit selbst sehr kostspielige, negative Erfahrungen gemacht. Und neben Tarnfirmen gibt es Anbieter, die Kunden vor allem am Umsatzpotenzial messen. Und keine Probleme damit haben, den Diensten das zu entwickeln und zu verkaufen, was von denen nachgefragt wird.

Zurück zum Zeugen Golke: Die Stufe II und weitere Verarbeitungsstufen im BND-Netz

Doch der Zeuge Golke hatte auch davon gesprochen, dass nach dem Eingang in das BND-Netz mehrere Verarbeitungsstufen zu durchlaufen sind, von denen nach der ersten Stufe – der Separierung in G10-relevante und -Routine-Verkehre – noch weitere folgen. Direkt hinter dem Separator sollte eine – wohl tatsächlich vom BND selbst entwickelte Komponente namens DAFIS (phon.) folgen. Deren Aufgabe bestand nun darin, aus dem herausgefilterten G-10-relevanten Datenstrom in mehreren Teilschritten die Verkehre herauszufiltern, die tatsächlich für die strategische Telekommunikationsüberwachung durch den BND zulässig waren. Die Öffentlichkeit weiß inzwischen aus anderen Sitzungen des NSA-Untersuchungsausschusses, dass dieses Problem nie befriedigend gelöst werden konnte und das gesamte Projekt – in dieser Form – daher ab 2008 eingestellt wurde.

Die vielen offenen Fragen

Das kann jedoch sicher keine Beruhigung darstellen: Denn zum einen ist ohnehin schon ungeheuerlich, dass und wie lange der BND den gesamten Datenverkehr des Providers Telekom abgreift und in sein eigenes Netz einspeisen läßt. Und, wie auch der Prüfer Golke beklagte, keiner überprüfen kann, was dort damit tatsächlich geschieht. Dass Vertrauen in den BND in keiner Weise mehr gerechtfertigt ist, beweist jede neue Enthüllung über dessen Arbeitsweise.

Hinzu kommt, dass bisher die Frage weder gestellt ist, geschweige denn beantwortet ist, was der BND seit 2008 und bis heute treibt, um strategische Telekommunikationsüberwachung durchzuführen und dabei die Grundrechte der Betroffenen zu wahren. Denn die technischen Probleme, die sich dabei für jede Form von Internet-Kommunikation stellen, sind nach wie vor die gleichen wie damals. Und wir haben leider nichts davon gehört, dass der BND diesen Teil seiner Aufgaben nicht mehr wahrnehmen würde.

*) Danke für den Hinweis an das FIfF

_____________________________________________________________________

Quellen und Links zu diesem Beitrag

[1]     WILDPACKETS APPOINTS STRATEGIC BUSINESS AND SALES DIRECTORS FOR EUROPE, 03.12.2014, Internet-Law
[2]     Homepage von Wildpackets unter Computergestützte Kriminaltechnik bei Polizeibehörden
[3]     WILDPACKETS APPOINTS STRATEGIC BUSINESS AND SALES DIRECTORS FOR EUROPE, 01.03.2004, Sourcewire.com
[4]     Computergestützte Kriminaltechnik bei Polizeibehörden, DBT-Drs 17/8544 (neu), Antwort der Bundesregierung vom 06.02.2012 auf eine Kleine Anfrage, dort ab Seite 27 unten

Verwandte Beiträge auf diesem Blog

Erfahrungen mit dem Bundesnachrichtendienst im Geschäfts- und Rechtsverkehr

Aktualisiert am 01.02.2015 um 07.00 Uhr
Aktualisiert am 03.02.2015 um 11.02 Uhr

Kommentare sind geschlossen