Es vergeht kaum ein Tag, ohne neue Enthüllungen in der Affäre um den US-Geheimdienst NSA: Wie das Nachrichtenmagazin "Der Spiegel" unter Berufung auf Informationen des NSA-Informanten Edward Snowden berichtet, hat der US-Geheimdienst auch EU-Gebäude in Washington, New York und Brüssel verwanzt und ausspioniert.
Als "schlimmer als die NSA" bezeichnete Snowden die Abhörpraktiken des britischen Geheimdienstes GCHQ, der laut ihm eine riesige Sammlung an Telefon- und Internetverkehrs-Daten aus Glasfaser-Kabeln sammelt und mit den USA teilt. Wie man sich ein Abhören dieser Daten aus technischer Sicht vorstellen kann, hat der WebStandard einen Netzwerkspezialisten gefragt. Teemu T. Schaabl spricht über die Möglichkeiten, die Spezialisten zur Verfügung stehen.
derStandard.at: Wie könnte so eine Überwachung, wie sie aktuell dem britischen Geheimdienst nachgesagt wird, technisch bewerkstelligt werden?
Teemu T. Schaabl: Man darf sich das nicht so vorstellen wie in alten Agentenfilmen, in denen jemand mit zwei Krokodilklemmen hingeht und sich wirklich an ein Kabel hängen muss, sondern es ist in modernen Netzwerkinfrastrukturen relativ einfach möglich und auch für etwaige Problemfindung üblich, den Verkehr zum Beispiel in der sogenannten Fabric abzuzweigen.
derStandard.at: Wie kann man sich so eine Fabric vorstellen?
Schaabl: Das ist etwas technisch, aber kurz erklärt ist eine Fabric eine nicht-hierarchische, flache Topologieform aus Switches oder auch Routern. Sie hat Performance- und Skalierbarkeitsvorteile gegenüber klassischen Netzen. Ein Router leitetet Pakete von Netz A an Netz B weiter und ein Switch verteilt Ethernet Frames in diesen Netzen an die entsprechenden Interfaces. Ich habe mir sagen lassen, das man in aktuellen Fabrics bis an die 50 Prozent der Last einfach wegtunneln und an eine sogenannte "Tap Farm" schicken kann. Eine Tap Farm bestünde dann aus den Geräten, die diese Kommunikation dann aufzeichnen und weiterverarbeiten.
derStandard.at: Womit kann man so etwas denn aufzeichnen?
Schaabl: Das sind spezielle Appliances (Software und Hardware), die man quasi in den Weg der Pakete einbaut oder mit diesen füttert, die die Logik und Kapazität haben, um diese Datenströme vorzufiltern und abzulegen. Man könnte sich beispielsweise nur auf SMTP als Protokoll beschränken und verarbeitet dann nur Kommunikation, die darüber passiert. Wenn man mit solchen Datenmengen umgehen will, müsste man sich ganz genau überlegen, an welcher Art von Kommunikation man interessiert ist. Es heißt - und das hat der Guardian ja bereits geschrieben - der britische Geheimdienst soll das Datenvolumen so reduziert haben, dass sie eigentlich nur noch mit einem Bruchteil der Daten umgehen mussten. Diese Daten wurden dann zwischengspeichert, nach dem weiteren Rausfiltern der nichtgewünschten Datenströme, durch Keyword-Filter, wurde dann das für den Geheimdienst Interessante Material entgültig abgespeichert.
derStandard.at: Das heißt, es findet eine mehrfache Filterung statt?
Schaabl: Genau. Zuerst wahrscheinlich auf Protokoll-Ebene und dann eine Ebene, die überprüft, was und wer wirklich von Interesse ist. Sie haben den Heuhaufen also immer weiter verkleinert, bis sie die Nadel gefunden haben.
derStandard.at: Wie kann man sich das als Otto Normaluser vorstellen? Heißt das, dass der Geheimdienst mit einem Uboot irgendwo hingefahren ist und diese Unterwasserkabel mechanisch manipuliert haben?
Schaabl: Nein, das glaube ich nicht. Diese Kabeln kommen aus Übergaberäumen und laufen in Geräte rein. Diese Stellen werden von verschiedensten Firmen betrieben.
derStandard.at: Das heißt, wenn ein Kabel irgendwo an Land kommt, wo dann die tatsächliche "Manipulation" stattfindet?
Schaabl: Diese Kabel kommen an Land und stecken dann in Switches oder anderes Equipment.
derStandard.at: Wenn ich Sie richtig verstehe, muss diese Manipulation aber recht bald am Anfang passieren, da die Router den Verkehr sonst immer weiter aufteilen.
Schaabl: Der Ansatz, den GCHQ gewählt hat, ist topologisch sehr schlau: Man nimmt die Punkte, die neuralgisch sind, her. Das heißt: Da wo das Internet ins Land oder vom Land weg fließt. Großbritannien hat rein geographisch dafür eine sehr gute Lage. Vor allem geht fast alles aus Europa über Großbritannien - nehme ich an, dabei kommt es ja auch immer auf das Routing des Providers an.
derStandard.at: Wer ist für diese Stellen verantwortlich bzw. verwaltet sie?
Schaabl: Verschiedene Betreiberfirmen, die Geld damit machen, dass sie diese Leitungen anbieten und warten.
derStandard.at: Welches Equipment ist eingentlich dafür nötig, das auf diese Weise zu machen?
Schaabl: Die Technologien für diese Surveillance- und Monitoring-Geschichten wurden ja nicht vorrangig für Geheimdienste entwickelt. Heute hat man in jedem modernen Netzwerk mögliche Abgreifpunkte, an denen man erkennen könnte, welche Daten da fließen und analysiert diese, um Engpässe im Netzwerk, Applikationsprobleme und Informationen über das Verhalten zu bekommen. Hier geht es um die proaktive Erkennung oder Analyse von Netzwerkproblemen, um Design- und Kapazitätsänderungen durchführen zu können. Daher kommt diese ganze Technologie.
derStandard.at: Die Technik ist offensichtlich vorhanden, aber wir sprechen hier ja von anderen Größenordnungen.
Schaabl: Die Last wird aber nicht mit stärkerer Hardware beworfen, man skaliert eher vertikal, indem man einfach mehrere Maschinen parallel aufstellt.
derStandard.at: Wie kann man sich das in so einem großen Rahmen vorstellen?
Schaabl: Für richtig große Netzwerke gibt es Firmen, die "Tap Distribution" anbieten - dabei werden die Taps an verschiedenen Punkten im Netzwerk angeschlossen und sind dafür da alles zu bündeln, was von dem Netzwerk und in das Netzwerk geht und das dann Analysewerkzeugen zur Verfügung zu stellen. Da reden wir vielleicht von 100.000 bis 200.000 Euro pro Gerät. Persönlich habe ich mit so etwas noch nie gearbeitet.
derStandard.at: Wird so etwas speziell für diese Zwecke entwickelt?
Schaabl: Nein, das gibt es kommerziell für den privaten Sektor zu kaufen. Für Netzwerkdiagnostik und auch Sicherheit in Netzwerken. Damit lassen sich Anomalien entdecken. Aber es muss schon willentlich installiert werden.
derStandard.at: Kann es sein, dass Provider hier mitmachen und die Arbeit für den Geheimdienst erledigen? Verfügen die Provider nicht auch über solche Ausrüstung?
Schaabl: Klassische Provider schneiden Verkehr zwecks Analyse wahrscheinlich eher an ihren Routern oder Switches mit, wenn es notwendig ist. Ob hier Provider überhaupt im Spiel waren ist ja bisher nicht bekannt. Es ist auch keine "Rocket Science" in dem Sinn, sich einen Sniffer zu bauen, der mit grossen Volumen umgehen kann. Es kommt zwar nicht gerade ein Raspberry Pi zum Einsatz, aber mit ein paar Anpassungen kriegt man das mit normaler Serverhardware hin. Man könnte vielleicht FPGAs (Field-programmable gate array) hernehmen, die Muster in den Paketen erkennen und diese dann wegschreiben. Diese FPGAs sind auch wieder re-programmierbar, sodass man jederzeit neue Logik oder eine neue Filterliste nachschießen kann.
Das Prinzip ist ähnlich wie beim Spam-Filtern, Spam Assassin z.b. bekommt die Mail vom Mailserver - der nur ja Mail verarbeitet - und ist optimiert, genau diese zu analysieren. Er analysiert den Header und die Inhalte auf verschiedene Merkmale und klassifiziert dies, dazu kommen dann adaptive Verfahren wie Auto-Whitelisting und die Frequenz mit der die Mails kommen.
derStandard.at: Kann man sich als normaler User vor dieser Überwachung überhaupt schützen?
Schaabl: Tor ist kein schlechter Ansatz, aber Punkt-zu-Punkt-Verschlüsselung wie in VPNs (Virtuellen Privaten Netzen) wäre noch besser. Man verwendet dabei das Internet als Träger, um private Netze zu routen. Dafür wird ein verschlüsselter Tunnel zwischen zwei Gateways aufgebaut, über die dann die private Kommunikation von Netz A und Netz B läuft. Die Nutzdaten kann dabei niemand einsehen, lediglich das Gateway 1 mit Gateway 2 und vice versa spricht, bekommt man mit. Welcher Computer was, wann, in welcher Frequenz und mit wem kommuniziert bekommt man im Internet dabei nicht mehr mit.
derStandard.at: Welche Informationen bekommt man denn so aus nicht verschlüsselter Kommunikation?
Schaabl: Bei SMTP bekommt man schon sehr viel mitgeliefert, auch über die Frequenz: Reden Sie oft miteinander? Dann könnten sie in einer Planungsphase sein. Wer spricht wie oft mit wem oder wer spricht mit den meisten Peers? Ist das vielleicht der Anführer dieser Leute? Sprechen sie oft hin und her miteinander oder in welchem Volumen sprechen sie? Relativ viele kurze Nachrichten zueinander könnten vielleicht auf eine Verhandlung hindeuten. Aus dieser sogenannten Traffic-Analyse kann man schon viel deuten. Solche statistischen Verfahren werden auch verwendet, um Probleme in Netzwerken zu erkennen oder zu deuten.
derStandard.at: Wie sieht es mit der Manipulation am Gerät selbst aus?
Schaabl: Wenn der Rechner selbst kompromittiert ist - Stichwort Bundestrojaner - hilft einem auch Punkt-zu-Punkt-Verschlüsselung nicht mehr.
derStandard.at: Wie sieht eigentlich das Echo von Sicherheitsexperten zu dieser Angelegenheit aus?
Schaabl: Die sind alle nicht sonderlich überrascht. Imposant ist allerdings die Skala des Ganzen. Die Technologien sind ja vorhanden, deshalb ist es keine Überraschung. Es braucht keine spezielle Lizenz dafür um so etwas in seinem Netzwerk zu bewerkstelligen. Ein Aha-Erlebnis war für mich allerdings, dass Großbritannien hier involviert ist.
derStandard.at: Wie steht es um Echtzeitkommunikation?
Schaabl: Alle Klartextprotokolle können recht einfach mitgelesen werden, aber es gibt abhörsichere Protokolle - Jabber zum Beispiel, mit einem OTR ("Off-the-Record") Plugin, kann bei richtiger Anwendung als sicher angesehen werden. Die Verbindungsdaten gibt es hier jedoch klarerweise weiterhin und man kann Traffice-Analyse-Verfahren auch hier weiterhin anwenden.
derStandard.at: Das passiert wahrscheinlich eher selten, oder?
Schaabl: Das könnte schon relativ häufig passieren, aber bei der Menge an Kommunikation ist es auch nötig, dass ein Mensch sich das ansieht, um Gefahren auszuschließen oder eben Alarm zu schlagen. Das Recht auf diese Einsicht haben sich die Briten und Amerikaner auf rechtlicher Ebene anscheinend geschaffen.
derStandard.at: Immer wieder wird auch davon gesprochen, dass Dienste wie iMessage relativ sicher sind. Ist das glaubwürdig?
Schaabl: Naja, ob Apple hier Verbindungsdaten speichert, ist unklar. Es handelt sich ja offenbar um Punkt-zu-Punkt-Verbindungen, aber es würde theoretisch sinnvoll sein, einen zentralen Punkt zu haben, der diese Verbindungen herstellt. Damit kann festgestellt werden, wer wann online ist und im Falle von häufiger Kommunikation schaltet man Verbindungen sogar vorher, damit die Kommunikationspartner sich die verschlüsselte Verbindung schon im Hintergrund aushandeln können. Alles andere würde vielleicht lange dauern und nicht im Sinne des Users sein.
derStandard.at: Ist man in Österreich unter bestimmten Umständen sicher vor dieser Überwachung?
Schaabl: Wenn Sie ein E-Mail von der Uni Wien zur Uni Graz schicken, dann wird es mit hoher Wahrscheinlichkeit direkt übertragen, ohne Umweg über andere Punkte, die eventuell abgehört werden könnten. Es ist zwar nicht garantiert, aber die Wahrscheinlichkeit ist relativ hoch. Bei Gmail und anderen großen Anbietern ist es unsicher wie die Route verläuft - sobald mein Mail den Rechner verlässt, hab ich es nicht mehr unter Kontrolle.
derStandard.at: Was ist das Worst-Case-Szenario für den User?
Schaabl: Das ist eigentlich schon eingetreten. Den Worst Case haben wir schon. (Iwona Wisniewska, derStandard.at, 30.6.2013)