BND zapft Datenströme deutscher Provider an

Der Bundesnachrichtendienst (BND) zapft die Datenleitungen von 25 Providern am Frankfurter Internet-Knotenpunkt De-CIX an, um die internationale Kommunikation zu überwachen. Allerdings sind auch sechs deutsche Provider betroffen, die in erster Linie innerdeutschen Datenverkehr übermitteln.

Konkret handelt es sich um Leitungen von 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver. Das geht aus einer Anordnung zur „Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ hervor, die dem Spiegel vorliegt. Diese schickt der BND, legitimiert vom Kanzleramt und dem Innenministerium, an den Verband der Internetwirtschaft eco, der den De-CIX betreibt. Die betroffenen Provider haben offenbar keine Kenntnisse von den Anordnungen des BND.

Zumindest 1&1 bestreitet in einem Blog-Beitrag, jemals eine „Anordnungen bezüglich der Überwachung von Kommunikationsinhalten am DE-CIX erhalten“ zu haben. Der Internetanbieter geht davon aus, dass die Maßnahmen sich ausschließlich gegen die De-CIX-Betreiber richten. „Damit wären der gesamte über den DE-CIX laufende Netzverkehr und damit alle Provider betroffen, die ihre Daten an diesem Verbindungsknoten austauschen“, lautet das Fazit von 1&1.

Erneut steht also die Frage im Raum, ob der BND bei der Filterung der Datenströme die gesetzlichen Vorgaben einhält. Im Rahmen der strategischen Fernmeldeaufklärung ist es gemäß des Geheimdienst-Gesetzes G10 grundsätzlich legal, dass der BND bis zu 20 Prozent des internationalen Datenverkehrs analysiert, um ausländische Kommunikation mit potentiell verdächtigen Inhalten herauszufiltern. Zu diesem Zweck wird der Datenstrom kopiert und etwa nach E-Mails mit bestimmten Begriffen aus Themengebieten wie Terrorismus, organisierte Kriminalität und illegaler Waffenhandel durchsucht.

Im Zuge der Snowden-Enthüllungen wurde bereits bekannt, dass der BND dafür die NSA-Überwachungssoftware XKeyscore einsetzt – allerdings mit begrenztem Funktionsumfang.

Kommunikation von deutschen Staatsbürgern darf der deutsche Auslandsgeheimdienst allerdings nicht erfassen. Dennoch ist es prinzipiell legal, dass der BND gezielt die Leitungen von deutschen Providern anzapft – sofern nur die Kommunikation von ausländischen Anschlüssen überwacht wird. Wie die Kommunikation von deutschen Staatsbürgern aus den Datenströmen herausgefiltert werden, ist nach wie vor nur in Grundzügen bekannt. Bislang hat der BND lediglich mitgeteilt, ein mehrstufiges Verfahren einzusetzen. Das bereinigt die Datenströme um personenbezogene Daten von deutschen Staatsbürgern, indem etwa E-Mail-Adressen mit .de-Endung oder Telefonanschlüsse mit der Landesvorwahl 0049 herausgefiltert werden.

Offene Fragen, Kritik und fehlende Antworten

Dass der BND die Leitungen deutscher Provider anzapft, verstärkt die die ohnehin bestehenden Zweifel. Diese Maßnahmen wären mit hoher Sicherheit rechtswidrig, erklärt der IT-Fachanwalt Thomas Stadler in seinem Blog Internet-Law. „Denn über deutsche Provider wie 1&1 läuft überwiegend Kommunikation mit Inlandsbezug. Es ist technisch unmöglich, wie vom Gesetz gefordert, sicherzustellen, dass ausschließlich solche Kommunikation erfasst wird, die ausländische Anschlüsse betrifft.“ Es reiche nicht aus, E-Mail-Adressen mit .de-Endung herauszufiltern, wenn selbst deutsche E-Mail-Anbieter wie etwa GMX eine .net-Endung nutzen. Dasselbe gelte für Unternehmen und Privatpersonen, die bei globalen Anbietern wie Google oder Hotmail registriert sind.

Laut Stadler werde deutlich, dass es bei „absoluter Geheimhaltung gepaart mit einer fehlenden (gerichtlichen) Kontrolle“ zu Problemen komme. Kontrolliert wird die strategische Fernmeldeaufklärung des BND durch die G10-Kommission des Bundestags. Diese prüft aber nur auf juristischer Basis, ob die Netz-Überwachung im Rahmen der Gesetze erfolgt, berichtet Zeit Online. Für eine technische Kontrolle fehlt dem Gremium die Expertise, weswegen es letztlich darauf angewiesen ist, dass die Aussagen der BND-Vertreter zutreffen. „BND und Bundesregierung agieren hier faktisch im rechtsfreien Raum“, so Stadler.

Den De-Cix-Betreibern sind derweil die Hände gebunden, wenn der BND mit einer Anordnung komme, habe der eco keinen Spielraum. „Für die Industrie gibt es keine Chance, sich dagegen zu wehren, hier sind die Politik und die Aufsichtsbehörden gefragt“, sagte eco-Vorstandsvorsitzender Michael Rotert gegenüber Zeit Online. Auskünfte, wie und in welchen Ausmaß der Datenverkehr von deutschen Geheimdiensten angezapft wird, sind ebenfalls tabu. Per Gesetz ist der Verband zur Verschwiegenheit verpflichtet.

Auf Anfrage des Spiegel verteidigte der BND die Maßnahmen, diese würden sich im gesetzlichen Rahmen bewegen. Details wurden aber wie üblich nicht genannt. Viel mehr Offenheit ist auch nicht von der Aufklärung der Bundesregierung zu erwarten, zuletzt hielt diese sich auch bei parlamentarischen Anfragen äußerst bedeckt. Bei einer kleinen Anfrage (PDF-Datei) der Grünen über die Geheimdienstkooperationen der deutschen Dienste war der Großteil der Antworten entweder nicht öffentlich zugänglich oder die Fragen wurden überhaupt nicht beantwortet.

Daher ist offenbar selbst für Bundestagsabgeordnete nur schwer nachzuvollziehen, wie der BND beim Anzapfen der Datenströme im Einzelnen vorgeht. Der Grünen-Netzpolitiker Konstantin von Notz kritisiert angesichts der jüngsten Berichte, der BND wäre im „Inland weitaus aktiver als bislang zugegeben“, während die „bislang erfolgten Erklärungen zum Filterverfahren (...) vage bis unverständlich“ bleiben.