„SWEDUSA“: Schwedischer Geheimdienst attackiert im Programm „Quantum“ mit NSA und GCHQ fremde Rechnersysteme

Wappen des schwedischen Geheimdienstes "National Defence Radio Establishment" (Bild: Wikipedia, Lokal_Profil, CC-BY-SA-2.5)
Wappen des schwedischen Geheimdienstes „National Defence Radio Establishment“ (Bild: Wikipedia, Lokal_Profil, CC-BY-SA-2.5)

Der Schwedische Geheimdienst FRA ist nicht nur mit der Abwehr von Cyberangriffen befasst, sondern attackiert selbst fremde Computer. Dies geht aus Recherchen der Journalisten Sven Bergman, Fredrik Laurin und Joachim Dyfvemark zurück, die sich nach eigenen Angaben in Rio de Janeiro mit Glenn Greenwald getroffen haben. Ihre Ergebnisse haben sie auf dem Portal des Senders Uppdrag Granskning veröffentlicht.

Die drei schreiben etwa über die Erfolgsmeldung des schwedischen Dienstes, Zugang zu „Kabeln“ nach Russland zu haben. Wie deutsche Partnerdienste habe die FRA auch Zugriff auf das Spionageprogramm XKeyscore. Es kann überwacht werden, welche Rechner bestimmte Webseiten besuchen.

Berichtet wird zudem von einem streng geheimen Programm namens „WINTERLIGHT“, das von dem US-Geheimdienst NSA initiiert worden sei. Im April diesen Jahres habe es dazu ein hochrangiges Treffen in den USA gegeben. Eine schwedische Delegation des Swedish National Defence Radio Establishment, wie das FRA genannt wird, wurde vom NSA-Chef Keith Alexander zu einer „strategischen Planungskonferenz“ empfangen. Die Kooperation firmiert demnach unter dem Namen „SWEDUSA“.

Exakt neutral

In einem US-Dokument, das offensichtlich wenige Tage vor der Konferenz erstellt wurde, ist die Beziehung der US-amerikanischen Dienste mit schwedischen Partnern ausführlicher beschrieben. Demnach begann die Zusammenarbeit mit Großbritannien und den USA 1954 unter dem „UKUSA agreement“. Das britische GCHQ war demzufolge für das Abhören der Kommunikation („COMINT information“) zuständig, während die NSA den Austausch zum Abhören elektronischer Quellen („ELINT exchange“) übernahm. 2004 wurde diese Aufteilung allerdings über den Haufen geworfen. Die Kooperation ging aber unverdrossen weiter, seitens der NSA heißt es dazu:

NSA’s relationship with the FRA, an extremely competent, technically innovative, and trusted Third Party partner, continues to grow. The FRA provided NSA with access to its cable collection in 2011, providing unique collection on high-priority Russian targets such as leadership, internal politics, and energy.

Zukünftig hat die NSA ohne Umweg über das GCHQ Zugang zu von Schweden abgehörter Kommunikation. Diese Abkommen müssten laut der NSA aber unbedingt geheim bleiben, da sich Schweden offiziell als politisch neutral darstellt.

Gelobt wird, dass der Auslandsgeheimdienst seit Januar 2013 seine Zusammenarbeit mit dem Inlandsgeheimdienst SAPO verbessert habe. Die FRA verfüge über etliche Anlagen, die eine „ganze Bandbreite an Kommunikation“ erfassen könnten. Bald könnte die FRA überdies für die staatliche „Cyberabwehr“ zuständig sein. Erfreut zeigt sich die NSA, dass die FRA in ganz Europa gegen den „Terrorismus“ aktiv sei. So hätte der Dienst auch schwedische Analysten zur NSA nach Darmstadt entsandt, wo diese im „European Cryptologie Center“ (ECC) bei der Auswertung abgehörter schwedischer Sprachverkehre helfe.

„WINTERLIGHT“ als „man in the middle“-Angriff

„WINTERLIGHT“ gehört laut einem geleakten Dokument zum US-Projekt „Quantum“, mit dem die NSA fremde Systeme hackt. „Quantum“ wiederum ist eines der Werkzeuge für die NSA-Abteilung für „maßgeschneiderte Operationen“ („Tailored Access Operations“). Das System filtert den Internetverkehr offenbar nach jenen IP-Adressen, deren Systeme infiltriert werden sollen. Deren Verkehre werden auf Server der Geheimdienste umgeleitet, um in die Computer einzudringen – ein „man in the middle“-Angriff. Der Journalist Ryan Gallagher beschreibt „Quantum“ folgendermaßen:

Quantum inserts is a kind of hacking where they can infect a computer with a kind of malware, or a kind of spyware, in order to get access to their computer and take control of their data and then exfiltrate that data. You would normally see these kind of tactics being adopted by criminal hackers. But spy agencies use it for a different purpose; they use a similar tactic to infiltrate computers to gather intelligence. Usually particular targets – people. That’s what this quantum process is.

Attackiert würden laut Uppdrag Granskning jene „Ziele“, die eine Gefahr für die Sicherheit Schwedens oder der USA darstellten. Um welche es sich handelt ist unklar. Die Rede ist nicht nur von „Terroristen“, sondern auch von der Ausforschung des TOR-Netzwerkes.

Die Infektion wird in den Dokumenten als „Shots“ beschrieben. Daraus geht ebenfalls hervor, dass die benötigten Server zum Umleiten des Traffic vom britischen Geheimdienst GCHQ betrieben werden:

Last month, we received a message from our Swedish partner that GCI-IQ received FRA QUANTUM tips that led to 100 shots, five of which were successfully redirected to the GCHQ server.

Ryan Gallagher beschreibt die Bedeutung des Wortes „tip off“ als Infizieren der Zielsysteme und Auslesen von Informationen. Dass der schwedische Geheimdienst dies selbst vornahm, und nicht nur half, bestätigt den Journalisten auch Bruce Schneier:

The fact that Sweden is involved in these programmes means that Sweden is involved in active attacks against internet users. It is not just passive monitoring. This is an active attack. […] Yeah, without any doubt! That document shows that the FRA is doing active attacks.

„Cyberübungen“ mit USA und Deutschland

Ausweislich einer anderen Folie ist Schweden Mitglied eines Geheimdienstnetzwerks namens „SSEUR“. Dabei handelt es sich vermutlich um die sogenannten „14 Eyes“, an denen auch Deutschland beteiligt ist. Im Dokument ist die Rede von „Trainings“ im Rahmen des „SSEUR“, die aber nicht näher benannt werden.

Auf diese Übungen angesprochen werden die schwedischen Dienste vermutlich behaupten, diese dienten lediglich der Abwehr von „Cyberangriffen“, keinesfalls aber eigenen Attacken. Wie beim Militär wird mit diesem Begriff einer „Verteidigung“ aber unterschlagen, dass die derart erlangten Fähigkeiten genauso defensiv wie offensiv genutzt werden können. So sind auch die zahlreichen „Cyberübungen“ der Europäischen Union und der NATO grundlegend für den Aufbau entsprechender Kapazitäten.

Schweden, aber auch Deutschland nahm gerade an der US-Übung „Cyberstorm IV“ teil. Federführend ist zwar das Heimatschutzministerium, beteiligt sind aber alle Teilstreitkräfte samt ihrer Geheimdienste, darunter natürlich auch die NSA. In der Antwort auf eine Kleine Anfrage behauptet die Bundesregierung, wie schon bei „Cyberstorm III“ lediglich an einem nicht-militärischen „Strang“ teilgenommen zu haben. Dort wurden auch Angriffe mit Schadsoftware trainiert, natürlich lediglich zur Verteidigung.

Die Bundesregierung behauptet, bei derartigen Trainings noch nie ein „Einspielen von Schadsoftware“ vorgenommen zu haben. Stattdessen würde hierfür „marktverfügbare Schadsoftwaresimulation“ eingesetzt. Welche Hersteller und Produkte gemeint sind, bleibt unklar.

7 Ergänzungen

    1. ich weiß nicht genau, was sie die letzten sechs monate so gemacht und gelesen haben, dass sie jetzt hier solche fragen stellen. genau darum geht es doch seit monaten: offenbar gibt es kaum etwas, was nicht gespeichert und analysiert wird. da wird nicht nur beobachtet und olfaktorisch beurteilt, mit ihren worten lässt sich das eher als automatisiert abheften und maschinell durchsuchbar machen bezeichnen.

      wäre ihnen das vor monaten schon klar gewesen, könnte ich ihren einwand zu ihrem entertainment-gefühl vielleicht zustimmen. ich habe aber eher den verdacht, dass sie das ausmaß des grundrechtsverlustes quasi der gesamten spezies immer noch nicht für möglich halten.

      langeweile ist was anderes.

      .~.

  1. Der Name
    „SS EUR“
    des Projekts mit deutscher Beteiligung ist ja schon etwas seltsam oder sehe nur ich das so?

  2. Krass ja – und ich hielt Schweden immer für höchst kompetent und sogar anti USA so bissel wegen Wikilaks und Pirate Bay und Assange usw. aber ist genauso ein elender Drecksladen und Arschkriecher und transatlantischer Speichellecker wie zig andere Länder … Widerlich – abartig !

    Snowden soll mal paar Quellcodes rausrücken von den ganzen NSA Proggies – das wäre teils mehr Wert als die Tatsache DASS spioniert wird denn so würden paar Nerds und Hacker das Teil zerlegen und Gegenmaßnahmen treffen oder funktionierende Tools schreiben und die ganzen Multi Milliarden von der NSA wären in paar Tagen fürn Arsch 8-)

  3. Kleine Korrektur:
    Uppdrag granskning ist keine eigener Sender, sondern nur eine Sendung öffentlich rechtlichen TV-Senders SVT1.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.