Total exklusiv: BND hat Zugriff auf deutschen Internetknoten DE-CIX (Update)

Rack at DE-CIX. Bild: Stefan Funke. Lizenz: Creative Commons BY-SA 2.0.

Frontal21 berichtet vorab exklusiv, dass der Bundesnachrichtendienst am DE-CIX mithört: Spitzeln für Amerika. In aller Freundschaft. Wir mussten zweimal nachschauen, ob das Datum falsch ist, denn diese Information hatten netzpolitik.org-Leser z.B. schon vor fast genau einem Jahr: BND hat Zugriff auf deutschen Internetknoten DE-CIX.

Nach Recherchen von Frontal21 soll der Bundesnachrichtendienst seit 2009 über eine eigene Datenleitung ständigen Zugang zu allen Kommunikationsströmen haben, die den weltweit größten Internetknoten in Frankfurt am Main durchlaufen.

Soweit, so exklusiv. Auch die nächste Information ist bereits seit einem Monat publik: RAMPART-A: Die NSA schnorchelt mehr als 3 Terabit pro Sekunde von Glasfasern ab – und der BND macht mit.

Papiere des Whistleblowers Edward Snowden legen nahe, dass deutsche Nachrichtendienste die in Deutschland abgezapften Daten an US-Geheimdienste weitergeben.

Auch keine Neuigkeit ist die, dass wahrscheinlich die Deutsche Telekom dem BND helfen muss (und nicht darüber reden darf):

Der BND-Datenzugang erfolge unter der Tarnung eines großen deutschen Telekomanbieters, so ein Insider. Die Deutsche Telekom erklärte auf Anfrage, sie dürfe „keine Auskunft zu möglichen Überwachungsmaßnahmen geben“.

Skurril finden wir das zumindest dadurch, dass die Deutsche Telekom am DE-CIX nicht peert, aber wahrscheinlich trotzdem dorthin Leitungen gelegt haben muss.

Mal schauen, ob in dem Frontal21-Bericht heute Abend neue Informationen kommen, die über bereits bekanntes wirklich exklusiv sind.

Die spannende Frage bleibt: Wer wusste eigentlich davon?

Apropos 2009: Das klingt ja so als ob das die letzte Große Koalition noch eingefädelt hatte. Dort waren Thomas de Maiziere (Kanzleramtsminister) und wahrscheinlich Frank-Walter Steinmeier (Außenminister) dafür zuständig. VIelleicht erinnern sie sich ja noch daran?!

Update: Der Beitrag selbst brachte für unsere Leserinnen und Leser keine neuen Informationen. Selbst das Zitat aus einem Snowden-Dokument hatten wir bereits im November vergangenen Jahres gebloggt.

30 Ergänzungen

  1. „Skurril finden wir das zumindest dadurch, dass die Deutsche Telekom am DE-CIX nicht peert, aber wahrscheinlich trotzdem dorthin Leitungen gelegt haben muss.“

    Naja die Telekom verkauft nicht nur Zugang zum Internet sondern da kann man auch dedizierte Leitungen mieten. Also sooooo ungewöhnlich ist das ja nun nicht

      1. Der TK-Dienstleister von BND und Verfassungsschutz ist T-Systems International … in Rechtsnachfolge der Deutschen Bundespost.

      2. Vermutlich war es technisch nie korrekt, dass die Deutsche Telekom am DE-CIX nicht vertreten ist. Ihre eigenen Netze peert die Mutter wohl nicht am DE-CIX, aber die Tochter T-Systems betreibt ja auch (ziemlich viele) Leitungen, die gar nicht von der Deutschen Telekom genutzt, sondern exklusiv an Kunden vermietet werden. Und wenn diese Kunden im DE-CIX peeren wollen, dann betreibt die T-Systems (und damit die Deutsche Telekom) auch Leitungen bzw. Leitungsendpunkte im DE-CIX.

        Aber das geht jetzt wirklich sehr in die Details…

  2. Ja Wahnsinn! Gerade nur 1,5 Monate nach der Veröffentlichung hat der Zensor die Meldung für den Öff.Rechtlichen schon freigegeben. Respekt, ging ja flott :-)

    http://www.haerting.de/neuigkeit/bundesverfassungsgericht-soll-e-mail-ueberwachung-des-bnd-pruefen

    196 vom BND überwachte Länder
    Wieso sollten „Investigativjournalisten“ oder SpiOn daraus auch eine Schlagzeile machen…

    Naja. Muss das ZDF halt wieder die Drecksarbeit erledigen.
    Vielleicht nach der WM jetzt auch besser so, so zündet die Meldung besser.

    1. Die Leute wollen ja Geschichten über konkrete Einzelpersonen hören.
      EINHUNDERTSECHSUNDNEUNZIG LÄNDER würde sich nicht verkaufen.

  3. bitte lernt erstmal das carrier business

    die telekom peert lediglich nicht oeffentlich am decix, das bedeutet aber nicht dass sie da nicht andere teilnehmer oder den decix selber mit fasern versorgt usw usw

    es sind so viele unterschiedliche firmen und nutzungsscenarien und technische ebenen und schnittstellen am werk. und das hat jetzt noch nichtmal etwas mit abhoeren zu tun.

    die dtag ist in deutschland ein riesiger glasfaserlieferant (darkfibre, litfibre, usw usw.) ebenso versch. gasversorger und viele andere.

    netzpolitik bitte erstmal grundlegende dinge recherchieren und verstehen und die hausaufgaben machen bevor wild in der gegend herumgehalbwahrheitet wird

    eure berichterstattung ist nicht sehr professionell wenn ihr jetzt schwadroniert dass die telekom ja jetzt scheinbar doch am decix sein muesste

    sie ist es schon seiht mehr als einem jahrzehnt.

    der decix ist auch kein singulaerer ort oder raum oder gebaeude, das ding ist ein moloch und ueber ganz frankfurt verteilt.

    und es gibt noch weitaus mehrere carrier die fibre an die decix pops liefern und dort von den decix kunden gemietet werden.

    lernt endlich die basics bevor ihr euch journalisten oder sogar fach.journalisten nennen wollt.

    oder bleibt einfach bei den simplen themen die fussball und sonstigen laecherlichkeiten.

    ein hoch auf merkel.

    1. Es gab ja früher mal diese Vorstellung von Leserkommentaren, die Artikel sinnvoll ergänzen, mit Informationen anreichern, gegebenenfalls korrigieren. Dass das ständig in diesem beschissenen Tonfall („da hättet ihr eben vorher“, „recherchiert erstmal“) passieren würde konnte ja keiner bzw. jeder ahnen.

      1. Echt jetzt? Satzzeichen und Grammatik erfüllen durchaus einen Zweck und ich habe mich ja nicht über irgendwelche Kleinigkeiten beklagt. So einen Text lesen zu müssen, ist aber leider eine Zumutung, die vom eigentlichen Inhalt ablenkt. Die aggressive Sprache tut ihr übriges.

    2. in der „Über Uns“ Nachricht auf netzpolitik.org gibt es den schönen Satz:
      Wir verstehen uns als journalistisches Angebot, sind jedoch nicht neutral. . Hier genau lesen: Nicht „Wir sind ein journalistisches Angebot“, sondern „Wir verstehen uns als journalistisches Angebot“. Und das leider sehr deutlich.

      1. Im Gegensatz zu manchen Kommentatoren gehen wir transparent damit um, welche Interessen wir vertreten und für wen für beruflich (auch in Kommentaren) unterwegs sind.

      2. @Markus, ich hab kein Problem mit der Nicht-Neutralität. Ich hab ein Problem damit, das ihr (wiederholt) eure Meinung als Tatsachen hinstellt (siehe „die Telekom ist am DE-CIX nicht vertreten“) selbt in den Fällen in denen ihr Dokumente angebt, die ihr anscheinend nicht vollständig gelesen habt. Man kann mittels 1 Klick feststellen, wer am DE-CIX vertreten ist, und wie dort gepeert wird.

        Netzpolitik.org hat eine starke Marke und ist (manchmal, siehe Fernsehinterviews) eine starke Stimme. Das hat ein grosses Potenzial Eindruck zu erzeugen, den macht man sich aber mit mangelndem journalistischem Handwerk und der Haltung: Der Zweck heiligt die Mittel relativ schnell kaput.

        Und zu dem alten Vorwurf, Kommentatoren würden Interesse vertreten und das nicht öffentlich machen: ihr erlaubt anoyme (oder pseudonyme) Kommentare, dann müsst ihr damit leben.

        Ich habe mal dir in einer email erläutert, an welcher Stelle der Informationsverteilenden Industrie ich sitze, was mein Job ist und welche Einsichten ich daraus gewinne. Ich vertrete hier (wenn ich mal Meinung zeige und nicht nur Verständnisfragen stelle) meine Privatmeinung (lustigerweise, gibt’s zu ganz vielen Themen hier, gar keine Firmenmeinung, da man darauf vertraut, das das unsere Kunden schon wissen werden) und werde nicht dafür bezahlt.

        Ich kann allerdings nicht abstellen, mir im Kopf auszumalen, was technisch passieren muss, wenn man das und das haben möchte. Und den Wissenschaftler, der nach jedem Aussagensatz auf den Beleg oder die Quelle wartet, kann ich auch nicht abstellen.

  4. Was hier als exklusive Top-Nachricht verkauft wird, ist eher eine aus den Fingern gesogene Geschichte nach dem Prinzip: „Ich glaube, dass es so ist also ist es halt so“.
    Der „Experte“ hat ja klar gesagt, der gesamte De-CIX-Traffic geht zu BND.
    Aha, wie soll denn bei der Topologie (https://www.de-cix.net/about/topology/) der der gesamte Verkehr, in der Spitze bei 3,5 TB/s ausgeleitet werden? Insbesondere ohne das das Routing zu ändern? Wohin gehen die Daten? Das gesamte De-CIX-Personal schweigt?
    Also bleibt noch die Theorie von „leute lernt mal das carrier business“: Die Telekom hat die Leitungen aller 505 Peers angezapft und betreibt ein gesamtes „Schatten-De-CIX“ um dem BND die Daten zu liefern. Ok, technisch möglich, aber ziemlich aufwändig. Und von einer sochen Rieseninstallation, die auch nicht wenige Leute zum Betrieb benötigt, ist bis jetzt nicht die kleinste Spur in der reellen Welt gefunden worden?

    1. Der Traffic wird vor Ort vorgefiltert. Wenn man die ganzen YouTube-Videos, Video-On-Demand, Software-Downloads, Musik-Streaming/Downloads und selbstverständlich Porn von vorneherin filtert bzw. nur die Metadaten dazu speichert, bleibt von den 3,5 Tbit/s Peak bzw. 1,7 Tbit/s Durchschnitt nicht mehr viel übrig.

      Ich denke da z.B. an Raum 641A und diese NSA-Folie https://netzpolitik.org/wp-upload/2014-06-18_Deutschland-Akte/media-34042.pdf , in der von „commercial consortium personnel“ gesprochen wird, das zufällig die Hardware entdeckt hat. Der DE-CIX wird von einer Tochter-GmbH des eco-Verbands betrieben, in dem alle großen Telekomanbieter vertreten sind – die Wortwahl würde recht gut passen.

      William Binney hat mehrfach gesagt, dass die eingesetzten Narus Geräte zu seiner Zeit (bis 2001) bereits in der Lage waren mehrere GBit/s zu verarbeiten.

      1. Die Gründer von Narus arbeiten laut Wikipedia seit März 2013 für die Deutsche Telekom – bestimmt nur ein blöder Zufall.

      2. Das Hauptproblem ist ja bereits die Erfassung: Da müssen *50* 100GB/s-Leitungen unbemerkt an der De-CIX-Installation angebracht werden. Alternativ *über 500* geheime Leitungssplitter an den Zuleitungen der Peering-Partner und die gesamte Infrastruktur zur Weiterleitung in ein Analysezentrum.
        Die Verarbeitung ist ja auch problematisch: Ich glaube nicht, dass die Leistungsfähigkeit der Spionagetechnik in den letzten zehn Jahren um den Faktor 1000 gestiegen sein soll, während die sonstige Computertechnik nur eine 20-fache Leistungssteigerung erreicht hat. Man braucht immer noch ein ganzes Rechenzentrum und viel Personal um einen 3,5TB/s-Datenstrom komplett zu durchforsten.
        Trotzdem dürfte De-CIX sicherlich keine TKÜ-freie Zone sein. Dort gibt es sicherlich die Möglichkeit, den Verkehr von oder zu einem IP-Adressenbereich mitzuschneiden. Soweit die dazu rechtlich nötige Legitimation vorgewiesen wird, dürfte das De-CIX personal die Datensammlung veranlassen.
        Genau hier sehe ich den entscheidenden Knackpunkt: Wieso gibt das DeCIX keinen „transparency report“ aus, in dem summarisch zusammenstellt wird, welche TKÜ-Maßnahmen in der Vergangenen Periode ausgeführt wurden?

        1. Das Hauptproblem ist ja bereits die Erfassung: Da müssen *50* 100GB/s-Leitungen unbemerkt an der De-CIX-Installation angebracht werden. Alternativ *über 500* geheime Leitungssplitter an den Zuleitungen der Peering-Partner und die gesamte Infrastruktur zur Weiterleitung in ein Analysezentrum.

          Wo ein Wille ist, kann auch ein Weg sein. Der GCHQ hat in Snowden-Folien den BND für seine Fähigkeiten gelobt, riesige Datenmengen in Echtzeit verarbeiten zu können. Das klang als ob der BND besser ist als der GCHQ, der Tempora betreibt.

    2. Much of that ‚Topology‘ is a sketch. And it’s ‚werbung‘. So what.

      Perhaps you should learn something about PR.

      The ‚topology‘ that interests me looks like:
      http://www.deutschetelekom-icss.com/ournetwork
      http://www.hiberniaatlantic.com/images/HA_NetworkMaps_0509.jpg
      https://www.tat-14.com/tat14/stations.jsp
      https://www.sprint.net/images/network_maps/full/Europe-MPLS.png (used to surf the dark here)
      http://en.wikipedia.org/wiki/File:CANTAT-3-route.png (maybe sorta, just cause I’m an old canuck).

      Ach. It’s a longer list than when it was fun to surf it. In any case, the point is, that the ‚local‘ peering is not exactly the point. That’s just an Achilles heel if there’s a practical monopoly. Even if it’s a ‚consortium‘. Unless you blindly believe that the ISO is a ‚good thing‘.

    3. Also wenn es mein Job wäre und ich mal spekuliere…

      http://de.wikipedia.org/wiki/DE-CIX#mediaviewer/Datei:DE-CIX_Topology_2008.svg

      …würde ich den Traffic aus dem Dark Fiber Backbone zwischen den Decix Standorten ausleiten und dann über eigene Fasern auf dem Frankfurter Glasfaserring zum Ziel, dem „Wharpdrive“ schicken.

      Wo könnte das „Wharpdrive“ stehen?

      Da fällt mir jetzt mal so spontan das FBC Hochhaus ein (ehem. MFS/Worldcom HQ, damals Standort des MAE-FFM, De-Cix Konkurrent), ein alter Bunker wie der DB-Mitarbeiter Bunker unter dem Hauptbahnhof, Nebenräume/bunker/tunnel der unterirdischen Zeil B-Ebene, der alte NSA Standort Am Hauptbahnhof 6 oder via Flughafen über alte Airbase Kabel-Kanäle direkt nach Darmstadt, August Euler Flughafen. Dort war mal eine Raketen-Flugabwehrstellung, da gibt es Anbindungen, auch nach Wiesbaden und natürlich in den Dagger Complex rein.

      Wenn sie kurze Fasern brauchen wegen hoher Datenraten, dann vielleicht ein Mix Speichersystem in Ffm Innenstadt mit Steuerung aus Darmstadt via Fraport Anbindung.

      http://www.spiegel.de/spiegel/print/d-13494509.html

      1. Keine Ursache, bin selbst seit 98 aus dem Providerbereich raus und betreue seitdem Mittelständler, MFS/MAE-Ffm und den westlichen Glasfaserknoten im FBC habe ich noch vor Ort in Betrieb erlebt, man wurde da herumgeführt als technischer Entscheider. Und fragt sich heute warum keiner mal was durchsucht. Vermutlich weil sie das „Wharpdrive“ nicht mal erkennen würden, wenn sie davor stünden.

        Und ich vermute mal auch für Geheimdienst -Rocketscientists gelten die Gesetze der Physik und da eine Kabelstecke selten mal zurückgebaut wird werden die alten Strecken der US Basen Vernetzung auch noch im Boden liegen. Und daneben natürlich auch die neueren der europäischen GF Ringe.

        Ich frage mich in der Snoden Debatte schon lange warum unser Oberjäger in KA nicht einfach mal an den bekannten Knotenpunkten nachschauen lässt. Aber die lassen den Kopf lieber im Sand. Vermutlich haben die schlicht nicht das notwendige qualifizierte Personal und die notwendige technische Ausstattung für diese Art Durchsuchungen, man denke an das lustige Deko-NCAZ Die müssten ja selbst mal in die Strippen reinhören, da ihnen kaum ein Geheimdienst sagen wird was genau auf welchem Adernpaar stattfindet und für solche Herausforderungen dürfte es im deutschen Beamtenapparat schlicht nicht langen.

  5. Lieber Markus Beckedahl,
    Sie beschäftigen sich seit einigen Tagen mit der Frontal21-Berichterstattung zu NSA/CIA/BND und kritisieren, dass diese nicht neu und nicht exklusiv sei. Ich möchte noch einmal das Neue darlegen:
    Wir haben aufgrund von Informationen hochrangiger Quellen Neues veröffentlicht, aber nur in dem Maße, dass diese Quellen nicht gefährdet werden.
    Wir haben gestern berichtet, dass der Zugriff auf den Knoten seit 2013 bekannt ist. Neu ist hingegen, dass der Bundesnachrichtendienst offenbar seit 2009 durch einen direkten Zugang bei einem von 600 Carriers jederzeit auf Daten aus den Knoten in und um Frankfurt zugreifen kann. Berichte in anderen Medien über das Ausleiten von Daten am Frankfurter Knoten 2004 bis 2007 treffen nach unseren Recherchen nicht zu.
    Nach unseren neuen Informationen werden ganze Datenleitungen vollständig ausgeleitet, nicht nur Teile. Der Datenzugang des BND soll von einem großen deutschen Provider/Carrier im Raum Frankfurt gehosted, also getarnt werden.
    Ferner hat Frontal 21 ab Freitag, 11. Juli 2014, über die Identität des mutmaßlichen US-Spions im Verteidigungsministerium berichtet und hat versucht, ihn und seinen ehemaligen Vorgesetzen, einen US-Amerikaner, zu einer Stellungnahme zu bewegen. Das wurde im Film dokumentiert.
    Ich freue mich, dass Netzpolitik.org unsere Berichterstattung kritisch begleitet. Ich sehe uns aber nicht als Gegner, sondern als Kollegen mit der gleichen Zielrichtung. Denn Medien wie Netzpolitik.org und Frontal 21 haben das gemeinsame Interesse, möglichst viel zur Aufklärung der Spitzelaffären um die NSA beizutragen. Da ist es sicher gut, wenn auch 2,8 Millionen Frontal21-Zuschauer das erfahren.
    Beste Grüße
    Ulrich Stoll
    ZDF Frontal 21

    1. In einem der Telekom Rechenzentren in Frankfurt hat der BND einen eigenen Cage, dort haben nichtmal die Telekom Mitarbeiter selbst Zugang (zumindest nicht das Fussvolk).
      Die Telekom hat ja nicht nur die fünf POP’s am DECIX, sondern noch den ein oder anderen. RedBus z.B. ;-)

  6. For all the adamant pseudo Experts demanding we ack what an IX is… the fact is, it’s irrelevant how the peering is accomplished (especially between local parties) if it leads over the pop, over the pond. At some point there is a concentration of traffic since there is a limited amount of fiber leading out of the country. These are the vulnerable points, and the obvious ones to mirror. This is not news.

    The problem with the DE-CIX is not peering. It’s concentration of power. I liked having a web server at MAE-WEST in the early 90’s. It was fun. There’s nothing quite like being that close to the water. Do the providers ‚really do‘ reciprocity. Well, the experts suggest, ‚it’s more complicated than that‘. So, ‚peering is a myth’… well, yes and no. But it’s not relevant.

    The news is a question of culpability. Who has been willing to take responsibility for their actions in public. As such, it IS NOT a technical question. But then, since when have corporations been innocent of political (and legal) gymnastics to attain what economical (and technical) advantage they could. What np is about is trying to ‚force the hand‘ of those who prefer to deal behind closed doors to their advantage. But that’s not news either.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.