"XKeyscore": Die Infrastruktur der totalen Überwachung
in Kooperation mit Spiegel Online

Gegen XKeyscore sind Prism und Tempora nur Fingerübungen. Neuen Snowden-Enthüllungen im "Guardian" zufolge ist das NSA-System eine Art allsehendes Internet-Auge. Es bietet weltweit Zugriff auf beliebige Netzkommunikation. Auch deutsche Dienste haben Zugang zu XKeyscore.
Von Konrad Lischka


Hamburg/London - Der Journalist Glenn Greenwald hatte es angekündigt: Mehr NSA-Enthüllungen würden kommen, die alles bisher Veröffentlichte übertreffen würden. Nun hat Greenwald weitere Dokumente aus dem Fundus des NSA-Whistleblowers Edward Snowden publiziert - und in der Tat wird da eine neue Dimension der Internetüberwachung deutlich, die über Prism und das britische Programm Tempora noch hinausgeht.

Die nun veröffentlichte Präsentation gibt, zusammen mit weiteren neuen Folien, einen genaueren Einblick als alle bisherigen Veröffentlichungen, wie die Überwachungsinfrastruktur der NSA funktioniert - beziehungsweise wie sie schon im Jahr 2008 funktionierte.

Wir beantworten die wichtigsten Fragen zum allsehenden Internet-Auge der NSA.
Was ist XKeyscore?

Den nun veröffentlichten Folien zufolge ist XKeyscore ein "System zur Ausnutzung von Digital Network Intelligence / Analysestruktur". Es ermöglicht es, Inhalte digitaler Kommunikation nach sogenannten starken Suchkriterien zu durchsuchen (zum Beispiel einer konkreten E-Mail-Adresse), aber auch nach "weichen Kriterien" (etwa der benutzten Sprache oder einem bestimmten Such-String).

Promotion

Das System erlaubt zudem die Erfassung von "Ziel-Aktivität in Echtzeit" und bietet einen "durchlaufenden Pufferspeicher", der, Zitat, "ALLE ungefilterten Daten" umfasst, die das System erreichen. Am Ort der Datenerfassung werden demzufolge alle Internetinhalte erfasst und auf Basis ihrer Metadaten indexiert - so dass sie anschließend bequem mit entsprechenden Suchanfragen durchforstet werden können.

Für "gängige Dateiformate" hält XKeyscore zudem Betrachtungssoftware bereit, so dass der Analyst das System nicht verlassen muss, um sich E-Mails oder andere Inhalte direkt anzusehen. Mit einer einzigen Suchanfrage könnten "alle Standorte" abgefragt werden, heißt es in dem Dokument. Wo diese Standorte zu finden sind, zeigen offenbar die roten Punkte auf der oben gezeigten Weltkarte. Insgesamt gab es demnach bereits 2008 150 Standorte für die Vollerfassung des internationalen Internet-Traffics, an denen 700 Server beheimatet waren. Das System "kann linear skalieren", heißt es später im gleichen Dokument, "man fügt dem Cluster einfach einen neuen Server hinzu".
Welche Art von Anfragen kann XKeyscore beantworten?

Ein paar konkrete Beispiele für Abfragen aus der Präsentation:

"Zeige mir alle verschlüsselten Word-Dokumente in Iran." "Zeige mir die gesamte PGP-Nutzung in Iran." PGP ist ein System zur Verschlüsselung von E-Mails und anderen Dokumenten. "Zeige mir alle Microsoft-Excel-Tabellen, mit MAC-Adressen aus dem Irak, so dass ich Netzwerke kartieren kann."

Weitere Beispiele für das, was XKeyscore aus dem Traffic fischen und noch leisten kann:

Telefonnummern, E-Mail-Adressen, Logins Nutzernamen, Buddylisten, Cookies in Verbindung mit Webmail und Chats Google-Suchanfragen samt IP-Adresse, Sprache und benutztem Browser jeden Aufbau einer verschlüsselten VPN-Verbindung (zur "Entschlüsselung und zum Entdecken der Nutzer") Aufspüren von Nutzern, die online eine in der Region ungewöhnliche Sprache nutzen (als Beispiel genannt wird Deutsch in Pakistan) Suchanfragen nach bestimmten Orten auf Google Maps und darüber hinaus alle weiteren Suchanfragen dieses Nutzers sowie seine E-Mail-Adresse Zurückverfolgen eines bestimmten online weitergereichten Dokuments zur Quelle alle online übertragenen Dokumente, in denen zum Beispiel "Osama bin Laden" oder "IAEO" vorkommt, und zwar auch auf "Arabisch und Chinesisch"

Unklar ist, bei wie vielen Staaten die NSA eine solche Komplettkopie des Traffics zieht. Denkbar ist, dass nur für einige besonders interessante Staaten mit nicht allzu hohem Datenaufkommen vollständige Aufzeichnungen des Datenverkehrs angefertigt werden. Wenn ein NSA-Mitarbeiter mehr und länger überwachen und speichern will, muss er entsprechende Suchaufträge formulieren - dann wird seinen Anforderungen zufolge gespeichert. "Was kann gespeichert werden?", heißt es auf einer Folie, die Antwort lautet: "Alles, was Sie extrahieren wollen."

Der "Guardian" berichtet unter Berufung auf andere Dokumente und Quellen über weitere Überwachungsmöglichkeiten:

NSA-Mitarbeiter können die Inhalte von privater Facebook-Kommunikation nachträglich einsehen. Sie müssten dazu lediglich den Nutzernamen eines Facebook-Mitglieds eingeben und auswählen, aus welchem Zeitraum sie all seine Privatgespräche lesen wollen. XKeyscore-Nutzer können abfragen, von welcher IP-Adresse beliebige Websites aufgerufen worden sind.
Wer ist verdächtig?

Mit XKeyscore suchen US-Agenten nach Verdächtigen, die ihnen bislang unbekannt waren und die fortan genauer überwacht werden. Das Verfahren wird als besondere Eigenschaft dieses Systems gepriesen. Wie man dabei vorgehen kann, beschreibt die Präsentation detaillierter. Man müsse im Datenstrom nach "abweichenden Ereignissen" suchen. Zum Beispiel nach:

"jemandem, dessen Sprache deplaziert an dem Ort ist, wo er sich aufhält" (Deutsch in Pakistan) "jemandem, der Verschlüsselungstechnik nutzt" (PGP im Iran) "jemandem, der im Web nach verdächtigen Inhalten sucht" (Google-Suchen nach Islamabad, Suche nach dem Begriff "Musharraf" auf der Website der BBC) Menschen, die "Dschihadisten-Dokumente" weiterschicken

Potentiell verdächtig ist demnach praktisch jeder. Jeder Journalist, der über den Nahen Osten schreibt, jeder deutsche Entwicklungshelfer oder Diplomat in Pakistan, der einen Gruß an seine Frau mailt und auf Deutsch schreibt.
Verzeichnis weltweit angreifbarer Rechner

In den Dokumenten finden sich erstmals konkrete Hinweise darauf, dass US-Geheimdienste systematisch Angriffe auf Computersysteme im Ausland planen. In einer Folie der Präsentation heißt es, man könnte über XKeyscore eine Liste aller angreifbaren Rechner in einem Staat aufrufen. Laut den sehr knapp gehaltenen Unterlagen verwaltete offenbar die Geheimorganisation TAO (Tailored Access Operations) der NSA eine Datenbank von Schwachstellen auf Computersystemen weltweit. Dieses Verzeichnis der TAO lasse sich mit XKeyscore abgleichen.

Mehr als 1000 TAO-Agenten hacken weltweit Computer und Telekom-Infrastrukturen. Sie brechen Gesetze, stehlen Passwörter, zweigen Datenverkehr ab, kopieren Informationen, berichtet das US-Magazin "Foreign Policy". XKeyscore gibt NSA-Analysten offenbar Zugriff auf die Früchte der Arbeit der NSA-Hacker.
Woher stammen all die Daten?

Die Daten an allen NSA-Speicherorten weltweit lassen sich über XKeyscore offenbar zentral durchsuchen. Auf einer der Folien ist aufgeführt, auf welche Datenquellen das System genau zugreifen kann:

"F6-Hauptquartiere" und "F6-Standorte" - F6 steht, etwa dem US-Magazin "The Week" zufolge, für den Special Collection Service, eine gemeinsame Organisation von NSA und CIA. Sie hat den Auftrag, Informationen dort zu sammeln, wo sie besonders schwer zu bekommen sind - etwa, indem Botschaften verwanzt werden. "Fornsat-Standorte" - Fornsat steht für Foreign Satellite Collection, also das Abfangen von Satellitenkommunikation. "SSO-Standorte" - SSO steht für Special Source Operations, die NSA-Unterorganisation, die dem "Guardian" zufolge unter anderem für die gigantische Sammlung von Telekommunikations-Metadaten zuständig ist, die der US-Geheimdienst anlegt.

XKeyscore kann den Folien zufolge auch auf die Marina-Datenbank zugreifen, die der Auswertung von Internetverbindungsdaten dient.

Was nun folgt, ist Spekulation, wenn auch auf Basis der vorliegenden Dokumente sehr plausibel: Den gesamten Internet-Traffic eines Staates wie Pakistan mal eben in die USA zu kopieren, dürfte nicht so einfach möglich sein. Im Dokument heißt es mehrmals: "Die Datenmenge ist zu hoch, wir können die Daten nicht zurück weiterleiten." Die Analysten können aber Metadaten-Suchanfragen an die jeweiligen Standorte schicken und sich "bei Bedarf einfach die interessanten Inhalte vom Standort herüberholen", wie es in der Präsentation heißt.

Schon 2012 seien in einem einzigen Zeitraum von 30 Tagen 41 Milliarden Einträge in der XKeyscore-Datenbank enthalten gewesen, so der "Guardian". Die Datenbanken Trafficthief (gezielt ausgewählte Metadaten), Pinwale (Inhalte auf Basis von Stichwort-Suchvorgängen) und Marina (Internet-Metadaten) seien allesamt kleiner als XKeyscore.

Nach SPIEGEL-Informationen wurden von 500 Millionen Datensätzen aus Deutschland, auf die die NSA monatlich Zugriff hat, rund 180 Millionen von XKeyscore erfasst. Mehr dazu im aktuellen SPIEGEL.
Kaum Schranken für die Überwacher

Insbesondere was die Überwachung von Personen angeht, die sich nicht in den USA aufhalten, scheinen NSA-Analysten kaum Grenzen gesetzt zu sein. Ein vom "Guardian" veröffentlichtes Dokument zeigt einen Nutzerdialog für eine Überwachungsmaßnahme. Aus einem simplen Drop-Down-Menü wählt der Nutzer zunächst den Zweck der Überwachung, dann den "Ausländer-Faktor" der Zielperson. Zur Wahl steht zum Beispiel: "Die Telefonvorwahl weist auf einen Aufenthaltsort außerhalb der USA hin." Dem Dokument zufolge reicht sogar dies als Angabe: "Steht in direktem Kontakt mit (anderer, d. Red) Zielperson im Ausland, keine Information weist darauf hin, dass sich die Zielperson in den USA befindet."

Sobald die entsprechenden Angaben aus den Menüs ausgewählt worden seien, so der "Guardian", "ist die Zielperson für elektronische Überwachung markiert, und der Analyst kann sich die Inhalte ihrer Kommunikation ansehen".
Und all das können die deutschen Dienste auch?

Auch der deutsche Auslandsgeheimdienst BND und das im Inland operierende Bundesamt für Verfassungsschutz (BfV) setzen XKeyscore ein. Das geht aus geheimen Unterlagen des US-Militärgeheimdienstes hervor, die DER SPIEGEL einsehen konnte. Das BfV soll damit den Dokumenten aus dem Fundus von Edward Snowden zufolge die NSA bei der gemeinsamen Terrorbekämpfung unterstützen. Der Verfassungsschutz erklärte, man teste das System lediglich und habe keinen Zugriff auf die Datenbanken.

Es ist zudem unklar, auf welche Daten und Funktionen BND und BfV Zugriff haben. XKeyscore lässt sich durch mehrere Module für bestimmte Suchen (Plugins) erweitern. Es ist nicht bekannt, welche davon die deutschen Geheimdienste nutzen. Außerdem dürfte die NSA den deutschen Kollegen kaum Zugang zu allen Datenbanken geben.

© SPIEGEL ONLINE

weiter lesen: http://www.gmx.net/themen/nachrichten/ausland/24aj9ss-xkeyscore-infrastruktur-totalen-ueberwachung#.A1000146 (Archiv-Version vom 03.08.2013)