Post NDG Technische Grenzen Der Kabelaufklärung

Die Kabelaufklärung stellt einen auffälligen Abschnitt im neuen Nachrichtendienstgesetz (NDG) dar. Aus einer technisch neugierigen Perspektive wundert man sich bald, wie ein solches System – zur Spionage des Internets – überhaupt realisiert werden kann. Dieser Artikel betrachtet die Kabelaufklärung auf einer technischen Ebene und versucht aufzuzeigen, weshalb sie nicht nur sinnlos, sondern für eine freie Gesellschaft so gefährlich ist.

Dass es bei der Kabelaufklärung um die Spionage von Internetverkehr geht wird schnell klar, obwohl das Wort «Internet» im ganzen Gesetzestext kein einziges Mal vorkommt. Allgemein erweckt das Gesetz den Eindruck, man habe das Internet und dessen Funktionsweise der Einfachheit halber auf ein Netz von Kabeln, ähnlich früherer Telefonnetze, reduziert. Diese Abstraktion funktioniert technisch nicht, sondern verdeutlicht nur, dass der ganze Gesetzesabschnitt zur Kabelaufklärung einige Fragen und Probleme mit sich bringt. Diese, aber auch die Gefährlichkeit eines solchen Überwachungssystems, sollen in diesem Artikel behandelt werden.

Bewusst aussen vor lasse ich den Auftragsbewilligungsprozess sowie die Kontrolle des Nachrichtendienstes des Bundes (NDB), um mich vielmehr auf die technischen Aspekte der Kabelaufklärung zu konzentrieren.

Die Kabelaufklärung – ein Prozess

Die Kabelaufklärung ist als mehrteiliger Prozess zu verstehen, welcher, etwas vereinfacht, in folgender Grafik aufgezeigt wird. Hauptaugenmerk liegt hier beim NDB und beim Zentrum elektronische Operation (ZEO) sowie bei den Fernmeldedienstanbieterinnen und Telekommunikationsdienstleisterinnen (nachfolgend unter «Provider» zusammengefasst).

«Kabelaufklärung gesamt Prozess» von Pascal lizenziert unter CC BY 2.0 (generisch)-Lizenz

  1. Aufgrund von Hinweisen ergibt sich ein Verdacht, welcher den NDB zur Entscheidung für die Kabelaufklärung bewegt.

  2. Zuhanden des Bundesverwaltungsgerichts und des VBS stellt der NDB den Antrag mit folgenden Informationen:

    • Auftragsbeschreibung für das ZEO
    • Begründung der Notwendigkeit des Auftrages
    • Suchbegriffskategorien
    • Namen aller beteiligten Provider
    • Start und Ende des Auftrages
  3. Bei Freigabe erteilt der NDB via des Informationssystems COMINT (ISCO) den Kabelaufklärungsauftrag an das ZEO. Eine erste Genehmigung kann für bis zu sechs Monate erteilt werden. Danach kann eine Weiterführung der Kabelaufklärung nur noch für drei Monate genehmigt werden.

  4. Das ZEO beauftragt wiederum die genannten Provider mit der Ausleitung der notwendigen Signale.

  5. Die Signale werden aus dem regulären Datenverkehr gespiegelt und dem ZEO zugänglich gemacht.

  6. Das ZEO wandelt die Signale in auswertbare Daten um, filtert den Verkehr aus und durchsucht den Rest anhand der aktuellen Auftragskategorien.

  7. Die Suchergebnisse sowie direkte Hinweise auf eine Gefährdung der inneren Landessicherheit als auch anonymisierte Angaben zu Personen aus dem Inland, welche zum Verständnis eines Vorgangs notwendig sind, leitet das ZEO an den NDB zurück.

  8. Der NDB analysiert die Daten aus dem «Restdatenspeicher» genannten Datenbanksystem und erstellt Analysen im integralen Analysesystem (IASA).

Anhand der vereinfacht dargestellten Prozessgrafik wird klar, dass das ZEO als Proxy zwischen den Providern und dem NDB agiert. In dieser Position sieht das ZEO sämtlichen von den Providern ausgeleiteten Datenverkehr, wohingegen der NDB dann «nur» noch die vorgefilterten Sekundärdaten sieht.

Selektoren: Suchbegriffe und Kategorien

Das Konzept der Kategorisierung von Suchbegriffen dient dazu, weitere genehmigungspflichtige Anträge zu umgehen und funktioniert so: Statt im initialen Antrag die konkreten Suchbegriffe aufzulisten, wird eine Kategorie in Form von beispielsweise «Terrorverdächtige der Gruppe XY» angegeben. Der NDB kann nun dynamisch während der laufenden Kabelaufklärung Daten hinzufügen – in diesem Beispielfall Namen neuer «Terrorverdächtiger» – ohne dafür eine neue Genehmigung einzuholen.

Als Beispiel möglicher Suchbegriffe wird im Gesetzestext von «konkreten Personalien ausländischer Terrorverdächtigen» oder «Fernmeldeanschlüsse» gesprochen. Das bedeutet, auch während eines laufenden Kabelaufklärungsauftrages muss das ZEO die dynamischen Suchbegriffe periodisch im ISCO abgleichen.

Die betroffenen Provider

Wer genau mit «Betreiberinnen von leitungsgebundenen Netzen und die Anbieterinnen von Telekommunikationsdienstleistungen» gemeint ist, geht aus dem Gesetzestext nicht hervor. In der Botschaft wird von den «Betreiberinnen von öffentlichen Leistungen im Sinne des Fernmeldegesetz (FMG)» gesprochen.

Ausleitung von Signalen – hier beginnt die Überwachung

Gerade beim Umstand, dass nur «grenzüberschreitender Verkehr» von der Kabelaufklärung betroffen sein soll, wird klar, dass die Verfassenden unter einem Kabel eher einen gewöhnlichen Kupferdraht vor Augen haben anstelle eines mehradrigen Glasfaserkabels. Das Internet lässt sich nicht auf nationale Territorien vereinfachen: Aus der Art und Weise wie das globale Netzwerk konzipiert ist, ist es auf physischer Ebene nicht möglich lediglich bestimmte Glasfaserkabel anzuzapfen.\nErschwerend kommt hinzu, dass ein Glasfaserkabel aus mehreren Fasern besteht, von denen jede in verschiedenen Lichtspektren Daten an unterschiedliche Ziele sendet. Um also grenzüberschreitenden Verkehr erkennen zu können, muss tief in die Daten geblickt werden.

In Deutschland wird im Moment gegen ein ähnliches Gesetz gekämpft. Das lesenswerte Gutachten des CCC für den NSA-BND-Untersuchungsausschuss bringt die Glasfaserproblematik gut auf den Punkt: Hört man eine Glasfaser ab, kann man den Verkehr von vielen Hundert verschiedenen Diensten, Tausenden von Firmen und Millionen Endkunden mitlesen. Um jedoch die Inhalte zu differenzieren, muss man sehr tief in den Verkehr hineinschauen.

Überwacht wird was bearbeitet wird, nicht erst was nach den Filtermechanismen übrig bleibt. Der an das ZEO zur weiteren Bearbeitung – und somit Überwachung – gespiegelte Verkehr ist massgebend. Der Datenverkehr nach dem Filtermechanismus ist lediglich die kleinere Teilmenge des überwachten Datenverkehrs.

Filtersysteme und «Leitweg»

Ein weiteres Problem dürfte die riesige Datenmasse von mehreren Terabits pro Sekunde (Tbps) sein, welche bei der Überwachung zu bearbeiten ist. Filtersysteme auf Seite von Provider und/oder ZEO müssen aufgrund grober Merkmale grosse Mengen des Datenverkehrs aussortieren. Solche Verfahren sind sehr ungenau, weil detailliertere Filtermechanismen – beispielsweise Deep Paket Inspection (DPI) – auf solche Datenmengen nicht skalieren. Dass das ZEO auch «rein schweizerische Kommunikationen» und somit gemäss NDG unzulässige Daten vom Provider erhält, kann nicht verhindert werden.

Als «rein schweizerisch» beschreibt das Gesetz Kommunikation, in welcher sich sowohl «Sender als auch der Empfänger in der Schweiz» befinden. Dabei geht es wohl weniger um den Standort der physischen Person. In der Gesetzeserläuterung wird vom «Leitweg von IP-Datenpaketen» gesprochen. Wie man sich diesen «Leitweg» vorstellt, bleibt der Fantasie überlassen.

Das Internet, als Paket vermittelndes Netzwerk, ist komplex. Datenpakete können unterschiedliche Wege zum Ziel verwenden und Kommunikation zwischen zwei Teilnehmern kann in beide Kommunikationsrichtungen wiederum über unterschiedliche Wege verlaufen. Prinzipiell ist es egal, welche Wege die Pakete nehmen, Hauptsache sie kommen an; nicht einmal die korrekte Reihenfolge ist dabei wichtig.

Selbst wenn das ZEO tiefer in die Datenpakete hineinblickt, kann es nicht vollständig ausschliessen, dass Daten Schweizer Bürgerinnen und Bürger an den NDB weitergeleitet werden.

Verschlüsselter Verkehr

Provider werden mit dem NDG verpflichtet, «von ihnen angebrachte Verschlüsselungen» vor der Weiterleitung an das ZEO zu entfernen. Dies ist gefährlich und sinnlos zugleich: Gefährlich weil gesetzlich verankert wird, dass eine Verschlüsselung eines Datenstroms – falls denn möglich – entfernt werden muss, was einen Eingriff in den Schutz der Privatsphäre darstellt. Ausserdem ist nicht klar, welche Dienste alle unter den Begriff «Telekommunikationsdienstleistungen» fallen. Dies könnte jetzige und zukünftige Dienstleisterinnen von Schweizer Verschlüsselungsangeboten gefährden. Nutzlos dürfte dieser Paragraph deshalb sein, weil die häufigsten Verschlüsselungen wohl Transportverschlüsselungen wie TLS, SSH sowie VPNs und ähnliche sein werden, die zwischen Client und Server ausgehandelt werden und von einem Provider dazwischen nicht entfernt werden können. Dasselbe gilt auch für Ende-zu-Ende Verschlüsselungen wie beispielsweise PGP und S/MIME für Mails aber auch verschlüsselte Chatkommunikation mit Apps wie Signal.

Resumé

Das Zentrum elektronische Operation ZEO rückt, durch seine Tätigkeit zwischen Provider und Nachrichtendienst, stärker in den Fokus. Es sieht als Proxy viel mehr Dateninhalte als der NDB.

Die Suchbegriffskategorien, mit welchen der Datenverkehr gefiltert werden soll, sind nicht klar definiert. Über einen Kabelaufklärungsantrag müssen das Bundesverwaltungsgericht und das VBS auf einer eher abstrakten Ebene entscheiden.

Schwammig ist auch, wer im Moment in die kooperierende Pflicht als Provider fällt und vor allem wer zukünftig ebenfalls unter Geheimhaltung zur Kooperation gezwungen wird, Daten an das ZEO auszuleiten und Verschlüsselungen zu entfernen.

Was genau mit grenzüberschreitenden Leitungen gemeint ist und wie sichergestellt werden will, dass keine rein schweizerische Kommunikation in der Überwachungsmaschinerie landet, ist nicht nur völlig unklar, sondern kann technisch nicht vernünftig umgesetzt werden.

Der versprochene Schutz der Privatsphäre existiert nicht. Systembedingt kann ein solcher Schutz technisch gar nicht realisiert werden, zu gross das zu durchsuchende Datenvolumen und zu fehleranfällig die Filtermechanismen.

Ein schwerwiegender Grundrechtseingriff und somit eine Verletzung der universellen Menschenrechte erfolgt immer schon bei der Ausfilterung der Daten an das ZEO.

Hinzu kommt, dass der ganze Aufwand auf keinerlei Grundlage von einem effektiven Erkenntnisgewinn beruht. Weder die befürwortenden Politikerinnen und Politiker, noch der NDB oder der Bundesrat haben eine Idee, ob die Kabelaufklärung überhaupt verwendbare Hinweise liefert. Die Art und Weise wie das Internet funktioniert und der Umstand, dass immer mehr Kommunikation stark verschlüsselt wird, lassen an einem effektiven Nutzen stark zweifeln.

Auf der anderen Seite wird mit der Kabelaufklärung ein Überwachungssystem unbefristet installiert, welches dem Nachrichtendienst des Bundes ermöglicht, Teile des Internetverkehrs jederzeit und nahezu nach Belieben zu überwachen. Obwohl diese Überwachung mit dem Fokus aufs Ausland begründet wird, betrifft sie letztlich die Massen und ist ein weiteres Instrument zur Kontrolle eben dieser.

Wie der Name, Kabelaufklärung, schon vermuten lässt, scheint man in einer Zeit stehen geblieben zu sein, in welcher Kommunikation noch in Form von elektrischen Signalen von Punkt zu Punkt verlaufen ist. Die im Gesetzestext verwendete Sprache scheint dies zu bestätigen. Eine die Massen überwachende Kabelaufklärung ist ein Ideenkonstrukt aufgrund mangelnden technischen Sachverstands und kurz gedachtem politischen Tatendrang – einen Terroristen wird der NDB damit nicht stoppen und schon gar nicht fassen.

Weiterführend

Quellen