BND hat Zugriff auf deutschen Internetknoten DE-CIX

Wie der Spiegel am Wochenende berichtete hat die NSA systematisch deutsche Internetnutzer überwacht. Der Spiegel spricht von „bis zu 20 Millionen Telefonverbindungen und um die 10 Millionen Internetdatensätze“ an einem „normalen Tag“. Unklar ist aber immer noch, wie genau die NSA diese Überwachung vornimmt. Dabei stand das Gerücht im Raum, die NSA habe Zugriff auf den deutschen Internetknoten DE-CIX in Frankfurt und leite darüber den Datenverkehr zur Analyse auf eigene Server. Dieses Vorgehen wird nun vom Betreiber des DE-CIX selbst und Vertretern der Internetwirtschaft ausgeschlossen. Stattdessen wurde allerdings bekannt, dass zumindest Teile des Datenverkehrs welcher über DE-CIX läuft für den BND ausgeleitet wird. Das bestätigte ein Experte aus dem Umfeld des DE-CIX gegenüber heise.

Ich welchem Maße und auf welche Art und Weise die Daten ausgeleitet werden, darf vom DE-CIX nicht veröffentlicht werden. Schuld daran ist das „Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ (G10-Gesetz), wie Klaus Landefeld, Vorstand Infrastruktur und Netze beim Interneptrovider-Verband eco, gegenüber heise erläuterte. Auch die Politik hat den Zugriff des BND bereits bestätigt:

Sowohl Justizministerien Sabine Leutheusser-Schnarrenberger als auch der Vorsitzende der G10-Kommission Hans De With haben die Abhörtätigkeit der deutschen Dienste bestätigt. De With hat sogar Aussagen zum Umfang gemacht: Im Rahmen der strategischen Aufklärung werde durchschnittlich auf rund 5 Prozent des Datenverkehrs zugegriffen, die vereinbarte Obergrenze von 20 Prozent des Datenverkehrs werde fast nie ausgeschöpft.


Da nun eingeräumt wurde, dass der BND Zugriff auf den Internetknoten DE-CIX hat, stellt sich die Frage, ob nicht auch die NSA oder andere Geheimdienste Zugriff haben. Landefeld erteilt diesen Gerüchten eine Absage, da er sie schlicht für zu aufwändig hält:

Das Kabelmanagement an den Switches werde dokumentiert. Die Gesamtüberwachung per Portspiegelung würde aber für jeden abgehörten 10-GBit/s-Port zwei weitere 10-GBit/s-Ports erforderlich machen – das sei nicht unbemerkt möglich. Sammlungen des gesamten Streams etwa durch das Splitten der Glasfaser (wie es etwa der britische Geheimdienst laut Guardian durchs Belauschen der Seekabel tut) sind aufwändig, weil parallel mächtige Glasfaserstrecken zur Ableitung notwendig sind. Geheimhaltung eines solchen Paralleluniversums wäre enorm kostspielig, Speicherung, Filterung und spätere Analyse noch nicht eingerechnet, meint Landefeld.

Und auch Harald Summa, Geschäftsführer der DE-CIX Management, sagte gegenüber der Leipziger Volkszeitung, wie golem berichtet:

Wir können ausschließen, dass ausländische Geheimdienste an unsere Infrastruktur angeschlossen sind und Daten abzapfen.

Interessant an Summas Aussage ist, wie er explizit ausschließt, dass ausländische Geheimdienste an die Infrastruktur angeschlossen sind und somit indirekt bestätigt, dass deutsche Behörden sehr wohl Zugriff haben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Wenn man sich die Pressemitteilung des DE-CIX vom 26.06.2013 ansieht, dann war das schon sehr deutlich. Dort wurde explizit ausgeschlossen, dass „angelsächsische Dienste“ Zugriff haben. Dieses Wortkonstrukt ist so offensichtlich eine Notlösung, dass ein „aber andere“ förmlich auf dem Satz herausschreit.

    1. Das geht doch viel eleganter, „Wir können ausschließen, dass ausländische Geheimdienste an unsere Infrastruktur angeschlossen sind und Daten abzapfen“ sagt ja nichts darüber aus, ob sie wissen, was ausländische Transitprovider auf ihrer Seite des Ports duplizieren und via VPN an “angelsächsische Dienste”, denen ihre Konzernmütter auskunftspflichtig sind, so alles rausleiten.

      Der DECIX kennt nur seine eigenen Router, beim Rest an Provider-Equipment hilft nur aktives Wegsehen! ;)

  2. Hat jemand denen schon eine ZIP-Bombe geschickt?

    Ach, ich muss wegen #BDA ja aufpassen…

  3. Man kann auch genau nachlesen wie der BND das macht, denn die ETSI Standards für Lawful Interceptionhttp://www.etsi.org/index.php/technologies-clusters/technologies/security/lawful-interception gibt es nur für diesen Zweck.

  4. 5% des Datenverkehrs klingt wenig, aber spannend wäre zu wissen, wie viel % des Datenverkehrs Emails sind… Ich vermute nicht so viel – dann sind es nämlich plötzlich 50% der Emails….

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.