News : Weitere Details über NSA-Attacke auf Google und Yahoo

, 15 Kommentare

Den Vorwurf, dass die NSA die Cloud-Netzwerke von Google und Yahoo anzapft, hat die Washington Post mit weiteren Dokumenten aus dem Fundus von Edward Snowden belegt. Kurz nach der Veröffentlichung hatte NSA-Chef Keith Alexander die Berichte dementiert.

Es wäre illegal, wenn die NSA heimlich die Datenbanken der Unternehmen geknackt hätte, sagte Alexander im Rahmen eines Cybersecurity-Events. Man habe keinen direkten Zugriff auf die Server von Google und Yahoo. Diese Aussagen widersprechen allerdings nicht dem Bericht der Washington Post über das „Muscular“-Programm. Demzufolge greift die NSA nicht direkt auf Server zu, sondern zapft mit Hilfe des britischen Geheimdienstes GCHQ die von Google und Yahoo betriebenen Glasfaserkabel an. Diese verbinden die weltweit verteilten Rechenzentren der Internetdienste.

Dass die NSA auf den internen Datenverkehr zugreifen kann, verdeutlicht die Washington Post mit zusätzlichen Dokumenten über das „Muscular“-Programm. Diese beinhalten unter anderem eine Auflistung der von Google genutzten Datenformate, die Google zum Teil innerhalb des Cloud-Netzwerks einsetzt. Andere Dokumente zeigen Datenformate, die nur von Google-Servern verarbeitet werden. „Das ist kein Traffic, dem man außerhalb von Googles internen Netzwerk begegnen würde“, sagte ein von der Washington Post befragter Experte. Solche Datenstrukturen würden im offenen Internet niemals unverschlüsselt übermittelt werden.

Ob die NSA mit „Muscular“ gegen die rechtlichen Vorgaben verstößt, ist dennoch äußerst zweifelhaft. Bereits im ersten Bericht beschreibt die Washington Post das Heer von NSA-Anwälten, die in den Gesetzen gezielt nach Lücken suchen, um das massenhafte Sammeln von Daten zu ermöglichen. In diesem Fall ist es der Umweg über den britischen Partnerdienst GCHQ, der die Glasfaserkabel von Google und Yahoo außerhalb der USA anzapft. Letztlich erhält die NSA also nur das Rohdaten-Material. Dieses wird mit Filterprogrammen den gesetzlichen Vorgaben entsprechend bearbeitet, damit die Datensammlung beispielsweise keine Datensätze von US-Bürgern enthält.