Wikimedia, Public Domain

Die US-Regierung lagerte sogar die Administration und Überwachung von Geheimdienstrechnern an Dienstleister aus. Nach nur drei Monaten bekam so der externe Berater Edward Snowden Zugriff auf die NSA-Über-wachungsdaten. Ein Blick auf die rechtlichen Hintergründe der Fernmeldeüberwachung.

Richard “Dick” Cheney hat kürzlich die Wireless-Schnittstelle seines Herzschrittmachers deaktivieren lassen [1]. Angeblich aus Angst, ein Hacker könne das lebenswichtige Helferlein umprogrammieren. Der Ex-US-Vizepräsident hat sich während seiner Amtszeit viele Feinde gemacht. Eine der wesentlichen “Errungenschaften” von Cheney war es, in Regierungsbehörden konsequentes Outsourcing durchzusetzen, auch in sicherheitskritischen Zonen, bei Geheimdiensten und angeschlossenen Bereichen. Nicht selten bekamen gute Freunde den Zuschlag. Dass ausgerechnet der Hardliner Cheney damit den Weg bereitete für einen der größten Enthüllungsskandale, entbehrt nicht einer gewissen Komik.

Problemfall Outsourcing

Als Mitte 2013 ein junger Linux-Consultant namens Edward Snowden erst ab- und dann auftauchte, erfuhr die US-Öffentlichkeit wie vermutlich auch weite Teile der US-Regierung erstmals vom Ausmaß des Outsourcing, das sowohl nachrichtendienstlich höchst schützenswerte Inhalte als auch den Datenschutz betrifft.

Gerade mal drei Monate war Snowden beim Red-Hat-Vorzeigepartner Booz Allen Hamilton [2] beschäftigt, als er Zugriff auf sensible Daten aus den weltweiten Quellen der National Security Agency (NSA) erhielt. Derlei Karrieren sind offenbar nichts Außergewöhnliches: Externe Dienstleister brüsten sich damit, innerhalb weniger Jahre “zuverlässig über vier Millionen Background-Checks”, also die nachrichtendienstliche Unbedenklichkeitsprüfung von Personen, absolviert zu haben [3].

Die vom Whistleblower via “Guardian” und “Washington Post” nach und nach enthüllten Dokumente legten den technischen Stand der geheimdienstlichen Überwachung durch US-Nachrichtendiente offen. Nach Echelon (Abbildung 1, [4]), den UKUSA- und Five-Eyes-Enthüllungen 2009 [5] konnte allenfalls das Ausmaß der Überwachung den informierten Beobachter überraschen.

Bereits vor anderhalb Jahrzehnten hatte das Europaparlament im Echelon-Sonderausschuss nachgewiesen, dass die “Five Eyes” – das Vereinigte Königreich, die USA, Neuseeland, Australien und Kanada – gemeinsam Telefonverbindungen, Satellitenkommunikation und anderes mehr abgreifen und auch zur Wirtschaftsspionage nutzen. Auf den weiter unten beschriebenen Xkeyscore-Folien (Abbildung 2) von 2008 spiegelt sich das in den Kürzeln der fünf Länder.

Abbildung 2: Edward Snowden leakte die Xkeyscore-Folien an den “Guardian”.

Andererseits sind die Prism-Enthüllungen aber auch ein Dokument des technischen Fortschritts: Nach dem 9/11-Terrorschock hat die Bedeutung der Satellitenkommunikation dramatisch abgenommen und spielt nur mehr auf Schiffen oder mit Kabeln oder Mobilfunk schlecht versorgten Gebieten (zum Beispiel via Iridium-Satellitentelefon) eine Rolle. An ihre Stelle traten die interkontinentalen Übersee-Glasfaserkabel.

Gleichzeitig nahm die digitale Kommunikation enorm zu, konsequentes Least-Cost-Routing lässt heute einzelne Teile von Datenübertragungen, beispielsweise Teile von E-Mails, auch mal über andere Kontinente und somit durch fremde Rechtsräume laufen. Nicht zuletzt die rapide Verbreitung von Smartphones, das sprunghaft gestiegene Datenvolumen vor allem im mobilen Internet und fortgeschrittene Auswertungsmethoden (Big Data) machten neue, konkurrenzfähige IT-Infrastrukturen notwendig – und dem trugen die US-Geheimdienste Rechnung.

Anlassbezogen: Prism

Auf der rechtlichen Grundlage des FISA-Gesetz (Foreign Intelligence Surveillance Act, [6]) und des USA Patriot Act zwingen die amerikanischen Geheimdienste die Top-Webkonzerne zur Kooperation. Zwar dürfen sie nur die Kommunikation von Nicht-US-Bürgern im Ausland, innerhalb der USA dagegen nur mit FISA-Genehmigung (“Home Grown Terrorists”) ausforschen. Doch nur das Geheimgericht FISC – das C steht für Court – überwacht die Einhaltung des FISA.

Im Detail funktioniert das bei Prism so: Ein Mitarbeiter der NSA stellt einen Antrag, sein Vorgesetzter prüft ihn. Gibt er grünes Licht, dann steht die wie in Deutschland (SINA-Box) auch ohnehin vorhandene FBI-Technik beim Provider bereit und kann die Daten spiegeln. Anbieter wie Facebook zwingt ein National Security Letter zu kooperieren und verpflichtet sie zur Verschwiegenheit gegenüber dem überwachten Kunden.

Die Inhalte werten dann – so glauben Experten – ebenfalls automatische Systeme wie Nucleon (gesprochene Sprache, Kommunikation) und Marina (Surfverhalten) aus. Prism ermöglicht also eine automatische, verdachtsabhängige und komplette, aber auf eine Person beschränkte Einzelüberwachung. Erst nach diesem Filter sichten menschliche Auswerter die von den Programmen als relevant betrachteten Inhalte.

Das ganze Prozedere lief im Jahr 2011 117000-mal ab, wahrscheinlich nur so vergleichweise selten, weil die Manpower im letzten Schritt für mehr Überwachung nicht ausreicht. Allein Facebook hat über eine Milliarde Mitglieder.

Full Take: Tempora

Ganz anders funktioniert Tempora: Hier greifen britische Behörden (zusammen mit US-amerikanischen) an den Knoten der interkontinentalen Glasfaserkabel die gesamten Daten der Kommunikation ab und speichern sie drei Tage lang als Full Take in einem Fifo-Ringpuffer. Die zugehörigen Metadaten speichert das GCHQ, das Hauptquartier der britischen SIGINT-Aufklärung [7], 30 Tage lang.

An dieser Stelle kommt auch das oben angesprochene Auswertetool Xkeyscore ins Spiel. Wie aus den vom Guardian veröffentlichten Folien (Abbildung 2, [8]) hervorgeht, können die Schlapphüte darin teils lokal, teils global nach Personen (Strong Selection) oder Sachverhalten (Soft Selection) suchen. Auch regionale Beschränkungen sind möglich, so zum Beispiel die Frage: “Zeige mir alle VPN-Verbindungsaufbauten [SSL-Handshakes] im Iran!” – immer bezogen auf die (Meta-)Daten des Tempora-Ringpuffers.

Die US-Gesetzgebung ist recht eindeutig und unterscheidet klar zwischen US-Bürgern und Nicht-US-Bürgern, wobei bei der Überwachung der Letzteren kaum Beschränkungen gelten. Die UN-Grundrechte-Charta, der Internationale Pakt für Bürgerliche Freiheiten oder der UN-Menschenrechtsausschuss schützt nur auf dem Papier, ähnlich wie Artikel 7 der EU-Charta der Grundrechte. Die ist zwar seit dem Lissabon-Vertrag (2009) Gesetz, gilt aber nur für das Handeln der EU-Organe, oder wenn Mitgliedsstaaten EU-Recht umsetzen. Großbritannien und Polen haben sich dem ohnehin durch Opt-Out entzogen. Für die Fernmeldeüberwachung durch Nachrichtendienste und polizeiliche Ermittlungen gilt das jeweils nationale Recht, die EU bietet also keinen wirksamen Schutz.

Ja, die dürfen das!

In Deutschland regelt gleich eine ganze Reihe von Gesetzen die strategische Fernmeldeüberwachung: Militärischer-Abschirmdienst-Gesetz (MADG), Verfassungsschutzgesetz (VerfSchG), Bundesnachrichtendienstgesetz (BNDG) und vor allem das Artikel-10-Gesetz [9], kurz G-10. In dessen 18 Paragrafen finden sich detaillierte Vorgaben, die gar nicht so weit von denen des FISA entfernt liegen.

So wird beispielsweise nach § 17 mit bis zu zwei Jahren bestraft, wer etwa als Provider einem Überwachten mitteilt, dass der BND gerade seine Daten abschnorchelt. Der § 3 regelt die Voraussetzungen, also den Katalog der Sachverhalte, die die Überwachung durch den Geheimdienst rechtfertigen. § 3b beschreibt den Umgang mit Zeugnisverweigerungs-Berechtigten, § 15 die Funktion der so genannten G-10-Kommission, deren Zustimmung zum Abhören notwendig ist.

Auch die Polizei überwacht

Neben der Tätigkeit der Geheimdienste, die auch in Deutschland im Zuge des Terrorismus-Bekämpfungsgesetzes deutlich mehr politisches Gewicht bekam, gibt es natürlich Überwachungsmaßnahmen, die direkt der Verbrechensbekämpfung dienen. Auch die Polizei darf überwachen, Daten abgreifen und mehr – sie braucht dafür jedoch immer einen richterlichen Beschluss. Den gibt es zwar nur in einem eng umgrenzten Rahmen von Straftaten, allerdings sehr häufig bis zu drei Tage nachträglich.

Die Details regelt der § 100a StPO. Doch änderte sich hier in den vergangenen Jahren einiges, nicht erst seit den Novellen des Telekommunikationsgesetz (§ 113 TKG), dem Terrorismusbekämpfungsgesetz (“Otto-Katalog”), den Neuerungen des Thüringer Polizeigesetzes oder dem Hin und Her um eine Vorratsdatenspeicherung und den entsprechenden Urteilen des Bundesverfassungsgerichtes.