Daten im Internet

Mit Vierkantschlüssel und Biege-Koppler

Von Peter Welchering
17.07.2013
, 15:40
Sammeln, speichern, spionieren
In der Internetüberwachung gibt vor allem der amerikanische Geheimdienst NSA den Ton an. Beim Einsammeln der Daten aus dem Internet verwenden alle weltweit tätigen Dienste ähnliche Methoden.

In der Internetüberwachung geben vor allen Dingen der technische amerikanische Geheimdienst National Security Agency (NSA) und die in der Lingshui-Anlage auf der Insel Hainan stationierte Netz-Nachrichtentruppe der chinesischen Volksbefreiungsarmee den Ton an. Das britische Government Communications Headquarters (GCHQ) und die netztechnische Abteilung im Nachrichtendienst des russischen Präsidenten (früher SSSI) liegen im Mittelfeld. Ziemlich abgeschlagen nehmen der Bundesnachrichtendienst (BND) und die französische Direction Générale de la Sécurité Extérieure (DGSE) hintere Plätze auf der Rangliste der Netzspione ein.

Beim Einsammeln der Daten aus dem Internet verwenden alle weltweit tätigen Dienste ähnliche Methoden. Eine der wichtigsten ist das Anzapfen von Glasfaserkabeln. Telekommunikations- und Kabelgesellschaften stellen dafür sogar eigene „Ausleitungsschnittstellen“ - zum Beispiel an den Übergabepunkten von Seekabeln - zur Verfügung. Diese Ausleitungsschnittstellen sind im Wesentlichen standardisiert und machen wenig Arbeit. Deshalb sind sie bei den Geheimdiensten auch so beliebt. Die Methode hat allerdings den Nachteil, dass sie uneingeschränkt nur auf eigenem Hoheitsgebiet und mit mehr oder weniger großen Einschränkungen auf dem Staatsgebiet befreundeter Dienste funktioniert.

Leichtes Spiel für Datenspione

Glasfaserkabel lassen sich leicht anzapfen. Agenten im Feldeinsatz gehen dazu einfach zu den Glasfaserverteilerkästen, die sich in Abständen von drei bis fünf Kilometern auf der Übertragungsstrecke befinden. In diesen Verteilerkästen werden die Glasfasern in sogenannten Spleißkassetten miteinander verbunden und die Signale verstärkt. Praktischerweise sind oftmals auch die einzelnen Leitungen genau gekennzeichnet, so dass der Datenspion nicht lange nach dem richtigen Anschluss suchen muss. Vierkantschlüssel für den Verteilerkasten, ein Overall für das vermeintliche Wartungspersonal und ein sogenannter Biege-Koppler zur Umleitung der Glasfaser gehören zur Grundausstattung der Lauscher. Vom Biege-Koppler wird der Datenstrom dann auf einen PC geleitet, gespeichert und analysiert. Wenn Glasfasern leicht gebogen werden, tritt ein Teil des Lichts aus, das die Daten transportiert.

Moderne Lauschgeräte benötigen nur weniger als zwei Prozent der optischen Leistung der Glasfaser, um das komplette Signal abzugreifen und in Bits umzuwandeln. Häufig ist aber nicht einmal die direkte Arbeit an der Glasfaser nötig, um Daten abzufangen. Denn auf vielen Glasfaserstrecken ist eine sogenannte Y-Brücke für Wartungszwecke geschaltet. An diese muss sich der Datenspion mit seinem Empfänger nur ankoppeln, um alle Daten, die über dieses Leitungsbündel gehen, abhören zu können.

Außerdem verliert jedes Glasfaserkabel immer etwas Licht, denn die Kabel lecken. Fotodetektoren können diese „Rayleigh-Streuung“ genannte Lichtmenge auffangen und in digitale Signale verwandeln. Das von der Deutschen Telekom beim Europäischen Patentamt angemeldete Verfahren zur Aufzeichnung von „Signalen aus einer Glasfaser“ erfreut sich bei allen Geheimdiensten großer Beliebtheit.

Internet-Knotenrechner extrem anfällig

Aufwendiger ist das Einsammeln von Datenpäckchen auf den Internet-Knotenrechnern. Wird zum Beispiel eine Mail von Stuttgart nach Frankfurt geschickt, so wird der Text dieser Mail auf verschiedene Datenpäckchen aufgeteilt. Im Kopf des Datenpäckchens stehen die sogenannten Metadaten, also zum Beispiel die Internet-Protokolladresse des Absenders, des Empfängers, welches Datenpäckchen diesem Päckchen folgt und welches ihm vorhergeht. So kann ein Teil der Datenpäckchen von Stuttgart über Mannheim nach Frankfurt geschickt werden, ein anderer Teil vielleicht über München und Berlin. Das hängt von den jeweils verfügbaren Kapazitäten der Datenleitungen und der Internet-Knotenrechner ab. Solche Knotenrechner sind entweder einfache Router oder aber Austauschpunkte mit Vermittlungsrechnern und -servern, an denen sich mehrere Internet-Dienstleister zusammengeschlossen haben und an denen teilweise sogar der Datenverkehr zwischen verschiedenen Netzen ausgetauscht wird.

„Die Datenpäckchen, die auf solchen Internet-Knotenrechnern für die Weiterleitung zwischengespeichert werden, sind mit sehr einfachen Mitteln abzuschöpfen und auszuspionieren, sogar zu manipulieren“, sagt der Sicherheitsberater und Informatik-Professor Hartmut Pohl. Das erfolgt automatisch mit frei erhältlicher Überwachungssoftware.

„Der Zugriff auf solche Internet-Knotenrechner ist von jedem Rechner mit Internetverbindung möglich“, sagt Pohl. Dem abschöpfenden Geheimdienst muss allerdings die Internet-Protokolladresse (IP-Adresse) des Knotenrechners bekannt sein. Aber die lasse sich über eine IP-Rückverfolgung leicht ermitteln. Auch dafür gebe es Standardsoftware. Allerdings müssen die so abgeschöpften Datenpäckchen wie in einem Puzzle zur ursprünglichen Datei, beispielsweise einer Mail oder einem Konstruktionsplan, zusammengesetzt werden. Das erledigt eine Analysesoftware.

Geheimdienste umgehen Verschlüsselungen

Da allerdings Abermillionen von Datenpäckchen nach ihren Meta- oder Kopfdaten dafür ausgewertet werden müssen, benötigen die Geheimdienste hohe Rechenkapazitäten. Deshalb baut die NSA in Bluffdale im Bundesstaat Utah ein Rechenzentrum, dessen Server einmal bis zu einer Trillion Terabyte verarbeiten und auswerten sollen. Begonnen werden soll im Herbst 2013 mit etwas mehr als einer Billion Terabytes.

Das ist immer noch erheblich mehr, als die Briten mit ihrem Rechenzentrum in Cheltenham schaffen. Dort arbeiten sie mit Auswertungsservern, die gerade einmal eine Million Terabyte analysieren können und deshalb an die Grenze ihrer Analysekapazitäten gelangt sind.

Immer häufiger werden Mails oder andere im Internet versandten Daten verschlüsselt. Dabei ist dann nur der eigentliche Datenteil des Datenpäckchens, nicht aber der Datenkopf mit den Angaben zu den IP-Adressen verschlüsselt. Eine solche Verschlüsselungsmethode wird zum Beispiel beim Online-Banking verwendet, aber auch, um verschlüsselte Mails zu versenden. Um diese Datenpäckchen entschlüsseln zu können, benötigt der Empfänger eine Entschlüsselungserlaubnis, ein sogenanntes Zertifikat. Die ersetzen bei dieser Art der Verschlüsselung die für die Entschlüsselung benötigten Passwörter. Die Geheimdienste besorgen sich solche Zertifikate entweder direkt von den Providern oder fälschen sie - und können anschließend direkt mitlesen.

Letzte Möglichkeit Supercomputer

Etwas schwieriger wird es, wenn direkt über Passwörter Dateien verschlüsselt werden. Hier muss allerdings der Empfänger das Passwort für die Entschlüsselung der verschlüsselten Datei, die über das Internet verschickt wurde, kennen. Deshalb werten Geheimdienste Mail-Verkehr, Briefpost und Telefongespräche intensiv daraufhin aus. Die so ermittelten Passwörter können dem Empfänger dann direkt zugeordnet werden.

Funktioniert auch dieses Verfahren nicht, so bleibt den Nachrichtendiensten die Möglichkeit, verschlüsselte Dateien mit Supercomputern zu knacken. Im Hauptsitz der NSA in Fort Meade stehen Superrechner mit einer Rechenleistung von durchschnittlich 15 Billiarden Gleitkommaoperationen pro Sekunde. Für sehr aufwendige Entschlüsselungen rechnet ein solcher Supercomputer dann schon einmal einige Stunden.

Quelle: F.A.Z.
  Zur Startseite
Verlagsangebot
Verlagsangebot