Klaus Landefeld im Geheimdienst-Untersuchungsausschuss: Wie der BND seit 2009 den Internet-Knoten DE-CIX anzapft

Seit 2009 zapft der BND Internet-Verkehr beim Internet-Knoten DE-CIX in Frankfurt am Main an, als Nachfolge der Operation Eikonal bei der Deutschen Telekom. Das berichtete der Betreiber des DE-CIX im Geheimdienst-Untersuchungsausschuss des Bundestages. Das Bundeskanzleramt hat mehrmals interveniert und sowohl die G-10-Kommission als auch die Bundesnetzagentur davon abgehalten, die Abhöraktion zu untersuchen.

Dies ist die Zusammenfassung der Aussagen von Klaus Landefeld im Geheimdienst-Untersuchungsausschuss am letzten Donnerstag.

There is also an English translation of this article.

Erst Eikonal, dann DE-CIX

Der Zeuge Klaus Landefeld ist als Vorstand des eco Betreiber des Internet-Knotens DE-CIX in Frankfurt am Main. Der Spiegel berichtete im Oktober 2013, dass der BND am DE-CIX 25 Internet-Service-Provider anzapfen darf, darunter: „1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver“.

Der BND führte mit dem DE-CIX am 14. August 2008 in den DE-CIX-Geschäftsräumen ein erstes „Planungsgespräch“ zum Anzapfen von Kommunikations-Leitungen, zwei Wochen vorher gab es eine erste Termin-Anfrage seitens des BND. Das war genau zum Ende der Operation Eikonal bei der Telekom in Frankfurt, offensichtlich suchte man „einen neuen Partner“. Das war „das erste Mal, dass der BND an den DE-CIX wollte“.

BND wollte „Generalzugriff“

Der BND wollte „auf einmal an den Knoten und die Verkehre von mehreren Anbietern, im Idealfall mit einer einzelnen Maßnahme“. Der „BND wollte Zugriff auf den Knoten und sagen können: heute die Leitung, morgen die“. Der DE-CIX ging davon aus, „einzelne, konkrete Leitungen benennen zu müssen“. Der BND wollte „alles“, einen „Generalzugriff“.

Der DE-CIX hatte daraufhin die Rechtslage geprüft und kam zu dem Ergebnis, dass das „in dieser Form unzulässig“ sei. Das betraf unter anderem die Umsetzung der 20-Prozent-Regel des G-10-Gesetzes: Der DE-CIX war der Rechtsauffassung, dass der BND nur 20 Prozent der tatsächlich anfallenden Verkehre pro Leitung bekommen dürfe, der BND wollte aber alle. Zudem gab es „2009 noch andere Vorstellungen von Filtersystemen“ zum Herausfiltern von deutschen Grundrechtsträgern. Fazit DE-CIX: „Wir wollten das nicht umsetzen.“

Rechtliche Bedenken ignoriert

In dem „Vorgespräch“ mit dem BND am 14. August 2008 wurden die Bedenken des DE-CIX ignoriert: „Wenn wir als Betreiber ignoriert werden, weil wir das nicht für rechtlich zulässig halten, ist das nur einseitige Informationsabschöpfung.“ In dem Treffen ging es um Anbieter, Standorte und wie ein Knoten funktioniert. Der BND wollte keine einzelnen Leitungen, sondern „Autonome Systeme (AS), was mehrere Leitungen betraf“. Trotz der Kritik vom DE-CIX drängte der BND auf eine Umsetzung.

Daraufhin kontaktierte der DE-CIX Mitglieder der G-10-Kommission. Von denen „wollte keiner darüber reden“, auch nicht der nachfolgende Zeuge in der Ausschuss-Sitzung, Hans de With. Nur Max Stadler willigte in ein Treffen ein, aber sagte, „er kann nichts machen“.

Einschüchterung vom Kanzleramt

„Das führte zu Termin mit Kanzleramt, die uns sagten, dass wir uns mit G-10-Kommission noch nicht mal unterhalten dürften, weil die Maßnahme noch nicht angeordnet war.“ Das war eine „sehr ungewöhnliche Vorgehensweise“, es wurde „Druck aufgebaut“. „Wenn ich dann ins Kanzleramt geladen werde, ist das nicht Rechtsstaatlichkeit, sondern Power-Play.“ Dieses Treffen im Bundeskanzleramt war am 27. Februar 2009.

Dann passierte „lange gar nichts“. Der BND hatte „technische Umsetzungsschwiergkeiten“, das „war für die auch neu“.

Auslandsgeheimdienst überwacht inländische Provider

„Dann kam eine G-10-Anordnung, die einzelne Anbieter betraf, aber bei weitem nicht alle“, das war „deutlich geringer, als was 2008 besprochen wurde“. Auf diesen ersten Anordnungen „waren auch deutsche Anbieter darauf“ und „innerdeutsche Leitungen“, zum Beispiel eine „Leitung von Frankfurt nach Karlsruhe mit 95 Prozent deutschen Verkehren“. „Innerdeutsche Access-Netz-Provider, dessen einziger Geschäftszweck Anschlussleitungen in der Region ist, also immer mindestens ein Anschluss in Deutschland. Da sehe ich nicht, wo Nicht-G-10-Verkehre sein sollen.“

Der BND wollte am DE-CIX Verkehre von deutschen Anbietern, deren Verkehre sie auch direkt bekommen können. „Wir waren aber gleich der Meinung, dass der BND sich an die Betreiber der jeweiligen Leitungen wenden soll. Das war von Anfang an Streitpunkt.“ Der DE-CIX „hatte Diskussionen mit Unternehmen, die von unserer Anordnung betroffen waren, die fragten sich auch, warum die nicht selbst kontaktiert wurden, sondern DE-CIX.“

Darüber hinaus wollte der BND auch Internet-Verkehre „anderer europäische Länder und Anbieter“. Und „Transit-Verkehre“ betrachtet der BND ohnehin als „vogelfrei“.

BND zapft DE-CIX seit 2009 an

Der DE-CIX fragte sich weiterhin, „warum das geht“ und „ob das alles Sinn macht“, setzte die Anordnung dennoch Anfang 2009 um. Seit 2009 zapft der BND damit den DE-CIX in Frankfurt an, in der Höhe von circa „zwei Prozent“ der verkauften und theoretisch möglichen Daten-Kapazität.

Die Bundesregierung hält das nicht für relevant für den Untersuchungsausschuss, weil das nicht in direkter Kooperation mit den Five Eyes passiere.

Dabei wird in der Regel „die gesamte Leitung gespiegelt. Was da passiert, ob z. B. die Beschränkungen eingehalten werden, ist für die Anbieter nicht prüfbar.“ Der DE-CIX hat „eine formale Prüfungspflicht, können wir aber gar nicht durchführen.“ Landefeld wünscht sich eine Technische Richtlinie für G-10-Maßnahmen, analog zur Telekommunikations-Überwachungsverordnung bei klassischer Telekommunikationsüberwachung. Dort ist das „bis in das letzte Bit runter dokumentiert. Bei G-10 gibt es nichts.“ Landefeld denkt „nicht, dass das Gesetz, so wie es geschrieben ist, den Anforderungen der modernen Kommunikationsnetze gerecht wird“.

20-Prozent-Regel hintertrieben

Wenn heute jemand Internet-Telefonie überwacht, „muss er aus technischen Gründen sämtliche VoIP-Verbindungen erstmal aufzeichnen und speichern“. „Wie lange darf das gespeichert werden“ ist undefiniert. „Kann man 100 Prozent der Telefonverkehre abhören, weil das innerhalb der 20 Prozent ist? Meine Definition ist anders.“

Die Bundesnetzagentur machte dazu einen Vorschlag, die 20-Prozent-Regel „auf der Applikationsebene anzuwenden, indem z. B. die Anzahl der E-Mail, Webseiten, usw. […] nach einem Zufallsprinzip durch automatisches Löschen reduziert wird.“ Landefeld findet das „gut“: „Genau diese technische Lösungen suche ich.“

Auch andere Kommunikations-Knoten abgeschnorchelt

Bisher finden „Kontrollen außerhalb der Dienste gar nicht statt“. „Im Moment“ werden solche Fragen nur von den „Hausjuristen des BND“ definiert: „Das kann doch nicht sein.“

„Früher“ gab es auch an Kommunikations-Knoten in Düsseldorf und Hamburg Ausleitungen an den BND. Dort lief der gesamte Sprach-Auslandsverkehr über die alten Auslandsköpfe der Bundespost/Telekom.

Der DE-CIX hatte „Zweifel an der Rechtmäßigkeit von G-10-Anordnungen“, Landefeld wollte aber nicht sagen, ob man „den Rechtsweg bestritten“ hat. Der eco hat „mehrere Rechtsanwälte, die sich damit beschäftigen. Auch externe Rechtsanwälte. Seit Mitte letzten Jahres laufende Diskussionen.“ Aber die „etablierte Rechtsprechung ist sehr dünn, Entscheidungszahl verschwindend gering. Kann man noch nicht von etablierter Rechtsmeinung sprechen.“

Geheimdienste betreiben „Handel mit Daten“

Der BND vertritt die „Rechtsauffassung, dass Transitverkehre weitergegeben werden können“, zum Beispiel an ausländische Geheimdienste wie die NSA, das „Google der Geheimdienste“. Geheimdienste betreiben einen „Handel mit Daten“, ein „Geschäft wie jedes andere auch“. „In Techniker-Kreisen wurde da öfter mal drüber gesprochen“, dass Geheimdienste „ganze Verkehre tauschen“. „Jeder in der Szene hat gehört, dass Geheimdienste Verkehre tauschen“, das ist ein „offenes Geheimnis“.

„Was man USA vorwirft, passiert auch in Deutschland“

Am 14. Juni 2013 wurde Landefeld von der damaligen Justizministerin Sabine Leutheusser-Schnarrenberger und Wirtschaftsminister Philipp Rösler ins Wirtschaftsministerium eingeladen, die sich nach den Enthüllungen über PRISM „erstmal informiert haben“: „Die ganze Problematik war gar nicht bekannt in den Ministerien. Überhaupt keine Kenntnis, was in Deutschland passiert und übliche Praxis ist. Hat uns sehr verwundert.“ Denn: „Was man den USA vorgeworfen hat, passiert so ähnlich auch in Deutschland.“

Anfang Juli 2013 rief Landefeld beim Geheimdienstkoordinator im Kanzleramt, Günter Heiß, an und fragte, was er bei Medienanfragen überhaupt sagen darf, denn „bei ‚kein Kommentar‘ habe ich es auch bestätigt“. Der Geheimdienstkoordinator „sagte, ich müsse nichts erfinden und nicht lügen“. Er wünscht sich dennoch mehr Rederecht, denn „wenn eine Maßnahme gesetzlich gedeckt ist, sollte man auch allgemein darüber reden dürfen, konkret natürlich nicht“. Anderswo geht das auch: „In Großbritannien kann ich offen darüber reden. Die stört das offensichtlich nicht.“ In Deutschland darf man „ja nicht mal sagen, dass man Kontakt mit BND hatte. Das Selbstverständnis der Dienste ist bisschen seltsam.“

Deutsche Behörden wollten eigenes PRISM

Am 16. und 24. Juli 2013 gab es „Gespräche bei der Bundesnetzagentur mit allen möglichen Bedarfsträgern und dem Generalbundesanwalt“.

„Am 24. Juli [2013] wollten einige Bedarfsträger wissen, warum sie den [bekannt gewordenen] Zugriff [der NSA] nicht auch haben und warum nicht auch für innerdeutsche Verkehre. Die Begehrlichkeiten der Bedarfsträger waren das schnell geweckt.“ Über den Abgriff am DE-CIX in Frankfurt wurde da noch nicht geredet, „2013 war da noch eher der Deckel drauf“.

Bundeskanzleramt stoppt Bundesnetzagentur

Am 09. August 2013 veranstaltete die Bundesnetzagentur eine Anhörung von Telekommunikations-Unternehmen. Im Vorfeld verschickte sie einen Fragebogen an die Unternehmen, unter anderem mit den Fragen „Betreibt ihr Unternehmen Überwachungseinrichtungen […[ zur Umsetzung sogenannter strategischer Beschränkungen nach § 5 und § 8 G-10-Gesetz?“ und „werden hierfür auch die Regelungen zur Protokollierung der Nutzungen dieser Einrichtungen sowie die Kontrolle dieser Protokollierungen eingehalten?“ Landefeld rief daraufhin wieder im Bundeskanzleramt an und fragte, „wie ich die Fragen beantworten soll“. Daraufhin rief das Bundeskanzleramt bei Bundesnetzagentur-Vizepräsidentin, Iris Henseler-Unger, an und sagte, „dass Unternehmen die Fragen nicht beantworten sollen“, die „Bundesnetzagentur durfte das die Unternehmen nicht fragen“.

Ausländische Geheimdienste haben den DE-CIX noch nicht angesprochen: „Es gab von niemanden einen Kontaktversuch. Hätten wir aber auch sofort abgelehnt.“

Internationale Firmen im „Zwei-Seiten-Krieg“

Der DE-CIX-Knoten in New York wird betrieben von der DE-CIX North America Inc., ein Tochterunternehmen der deutschen Firma. Diese „unterliegt US-Recht. Wenn es dort Anordnungen gibt, darf darüber nicht geredet werden.“ Bei DE-CIX North America hat es FISA-Anordnungen noch „nicht gegeben, darüber kann ich reden, weil es gerade keine Anordnungen gegeben hat.“ Würde das stattfinden, unterläge das dann aber auch der Geheimhaltung.“ Auch der DE-CIX-Knoten UAE-IX in Dubai muss sich „an die Rechtsvorschriften des jeweiligen Landes halten“.

Ausländische Unternehmen in Deutschland wären rechtlich wohl zur Ausleitung nach ihren Gesetzen verpflichtet, „auch deutsche Tochterfirmen“. „Zwei-Seiten-Krieg: Nach deutschem Recht darf man nicht, nach US-Recht muss man. Anbieter müssen kleineres Übel auswählen.“ Landefeld gab zu bedenken: „Router in Deutschland werden oft nicht aus Deutschland betrieben, sondern aus dem Network Operations Center (NOC) in den USA.“ Diese unterliegen damit „nur eingeschränkt dem Einflussbereich der Mitarbeiter vor Ort“.

Geheimer Zugriff technisch möglich

Technisch wäre es möglich, dass Geheimdienste unbemerkten Zugriff bekommen: „Wenn Switch oder Betriebssystem kompromittiert wäre, ginge das eventuell.“ Das „setzt aber noch voraus, dass sie eine Leitung für den Abfluss der Daten haben.“ Das könnte man theoretisch mit einer „Leitung unter Legende“ tun. Der Ausschuss-Vorsitzende deutete an, dass das auch passieren könnte.

Landefeld hat im Rahmen seiner Tätigkeit bei diversen Anbietern schon Geheimdienst-Zugriffe mit und ohne Kooperation des jeweiligen Netz-Betreibers gesehen.

„Jeder größere Switch unterstützt eine solche [Ausleitungs-]Funktion und hat Lawful-Interception-Funktionalität“, zum Beispiel auch wegen des US-Gesetzes Communications Assistance for Law Enforcement Act (CALEA). In den USA passieren „Einleitung von Überwachungsmaßnahmen“ „vollautomatisiert“ von den Behörden. Auch das ist bereits technisch in den Systemen integriert. In Deutschland wird das „im Moment nur dadurch verhindert, dass sie einen Einzelnachweis der Maßnahmen brauchen“, daher werden die hierzulande vom Anbieter „noch per Mausklick bestätigt“.

Wirtschaftsspionage mit ausgetauschtem Switch

Der DE-CIX hat ein vierköpfiges Sicherheits-Team, das Hard- und Software überprüft. Zudem wird der DE-CIX IT-Grundschutz-zertifiziert und wird jährlich vom BSI geprüft. Seit Snowden arbeitet DE-CIX auch daran, „genau diese Szenarien auszuschließen“. Derzeit implementiert man „Zählerstände auf einzelnen Ports“, dass in den Knoten genauso viel Traffic rein- wie rausgeht.

Als Experte zu seinen Erfahrungen im Sicherheitsbereich befragt, berichtete Landefeld von einem konkreten Fall von „Wirtschaftsspionage gegen ein Maschinenbauunternehmen“: Ich „habe Fälle kennengelernt, wo bei Geschäftskunden Leute aufgetaucht sind und behauptet haben, sie wären von einem TK-Anbieter. Das gibt es, das hatte ich auch bei Kunden.“ Das „ging teilweise so weit, dass man Leitungswege unterbrochen hat, um Störung zu produzieren. Dann tauchte jemand auf, der das reparierte und dabei auch Router gegen kompromittierte ausgetauscht hat.“

[Hinweis: Auch die Aussagen des Zeugen Hans de With von der G-10-Kommission sind interessant und aufschlussreich.]

10 Kommentare
  1. Peer Köster 31. Mrz 2015 @ 16:23
  2. GustavMahler 1. Apr 2015 @ 11:03
    • Milde Sahne 1. Apr 2015 @ 11:50
      • Milde Sahne 1. Apr 2015 @ 12:11
  3. Klaus D. Ebert 2. Apr 2015 @ 11:17
      • Bernd Schneiter 2. Apr 2015 @ 15:39
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden