Erstellt am: 10. 6. 2013 - 15:46 Uhr
Wie Soziale Netze in Europa überwacht werden
In Europa wurden die jüngsten Enthüllungen, dass der US-Geheimdienst National Security Agency (NSA) über routinemäßige Zugriffsmöglichkeiten auf die Daten der US-Internetkonzerne hat, mit einer Mischung aus Erschrecken, Wut und Achselzucken registriert.
Doch auch in Europa überwachen Geheimdienste routinemäßig Facebook-Chats und andere "Web 2.0"-Angebote, die europäische Öffentlichkeit hat dies nur noch nicht registriert. Die Methoden unterscheiden sich dabei erheblich, weil die europäischen Geheimdienste diese Daten nicht einfach anfordern können, sondern andere Wege finden müssen.
Update 2013 08 23
Der Artikel wurde in einzelnen Details der technischen Abläufe etwas modifiziert und mit zusätzlichen Erläuterungen versehen, um Missverständnisse auszuschließen. An der Gesamtaussage des Artikels hat sich dadurch nichts verändert.
Cloud-Überwachung in Europa
Während die NSA die Datensätze ihrer Wahl massenhaft direkt bei den US-Internetkonzernen abzieht, werden die sozialen Netze von Europäischen Geheimdiensten über die jeweiligen Internetprovider angezapft, das sind in der Regel Mobilfunker und Telekomunternehmen.
Im European Telecom Standards Institute (ETSI) werden seit 2011 laufend neue Versionen einer kommenden technischen Überwachungsnorm für verschlüsselte "Cloud-Services" erstellt, wobei unter "Cloud" alle nur denkbaren Webdienste verstanden werden.
Das hier gezeigte ist bereits die Polizeivariante der Cloud-Überwachung, auch wenn genug Geheimdienstpersonal bei der Erstellung der Dokumente beteiligt ist.
Das Dokument ist im Volltext auf einem Server des "Third Generation Partners Projects" (3GPP) erhältlich. Neben dem ETSI sind auch Norminstitute aus den USA bis Japan dabei.
SA3 LI
Die Briten und die NSA
Aktuell dazu bei ORF.at
Der Techniker Edward Snowden, dessen Informationen offenbar den ganzen Fall ins Rollen gebracht haben, versteckt sich seit drei Wochen in Hongkong und fürchtet mittlerweile um sein Leben.
Die betreffende Arbeitsgruppe zur Überwachung der "mobilen Cloud" hat das Kürzel "SA3 LI", Sekretär des Gremiums ist ein Mann namens Ian Cooper, der eine Organisation namens NTAC vertritt. Das ist die "nationale technische Assistenzabteilung" des Militärgeheimdienstes GCHQ, dem britischen Gegenstück und Partner der NSA.
Ebenso vertreten sind der deutsche Bundesverfassungsschutz, die holländische Geheimdienstplattform PIDS ("Platform Interception, Decryption and Ѕignal Analysis") sowie auch als "Tridea" bezeichnete Tarnfirma des militärisch-elektronischen Komplexes der USA namens TPS.
"Technische Assistenz"
Die "Assistenzleistungen" beziehen sich auf die Polizeibehörden, zumal die elektronische Überwachung technisch-operativ in Großbritannien und anderen Staaten bei den Geheimdiensten angesiedelt ist. Der gesamte, kommende ETSI-Standard zum Zugriff auf soziale Netzwerke ist für Einheiten von Polizei und Strafverfolgern gedacht. Die den Geheimdiensten schon länger bekannte Methoden haben nämlich auch auf dem alten Kontinent längst auf die Polizeiapparate übergegriffen.
Von den nunmehr bekanntgewordenen (militärischen) NSA-Methoden unterscheidet sich der europäische Überwachungsansatz in mehrfacher Hinsicht, gemeinsam ist beiden, Verschlüsselung ausgetrickst bzw. umgangen wird. Im Folgenden geht es um solche "indirekten" Man-in-the-Middle-Attacks auf die Verschlüsselung des Endbenutzers, die Verschlüsselung selbst wurde nicht geknackt, sondern wirkungslos gemacht, weil sie schon im Voraus berechenbar gemacht wurde.
Seitenfenster statt Hintertür
Die eiligen Dementis von Google und Facebook, dass die NSA direkten Zugang oder gar Vollzugriff zu ihren Firmennetzen habe, sind durchaus glaubhaft, verschweigen jedoch das Wichtigste. In den Datenzentren der Internetindustrie werden die Daten mit einer Bandbreite im zweistelligen Gigabitbereich pro Sekunde prozessiert. Es ist technisch völlig unmöglich, hier mit Überwachungsequipment einzugreifen, weil das weitaus langsamer arbeitet.
Die von Snowden veröffentlichten Dokumente über das "Prism" genannte Überwachungsprogramm der NSA stammen von der Beraterfirma Booz Allen. Vom ehemaligen NSA-Direktor Mike McConnell angefangen sind reihenweise hochrangige Ex-Geheimdienstleute in der Führungsetage vertreten.
Darum hatte die NSA auch nie vor, selbst über eine "Hintertür" in den Liveverkehr der großen Internetfirmen einzugreifen. Man zog es vor, die Daten leicht zeitversetzt sozuѕagen über ein "Seitenfenster" en Gros geliefert zu bekommen und das funktioniert in etwa so.
Das Prozedere
Auf Basis einer "National Security Letters" genannten, einstweiligen Verfügung auf administrativer Basis, also ohne Beschluss eines ordentlichen Gerichts, werden die Internetkonzerne verpflichtet, laufend neue Serien von verschiedenen Datensätzen auf eine Glasfaserleitung der NSA zu kopieren.
Wie die Enthüllungen des nach Hongkong geflohenen "Whistleblowers" und Technikers Edward Snowden zeigen, betreffen diese einstweiligen Verfügungen ganze Weltgegenden. Daher werden auch so große Datenmengen abgesaugt, dass die NSA ein Rechenzentrum von gigantischen Ausmaßen nahe Salt Lake City errichtet.
Der europäische Zugang
Die Überwachungsnormen für Soziale Netze in Europa auf polizeilicher Ebene über Mobilfunknetze sehen notgedrungen ganz anders an. Die US-Internetkonzerne stellen ihren Datenverkehr ja nur der eigenen Regierung zur Verfügung, weil sie durch die US-Gesetze dazu verpflichtet sind. Im Zusammenspiel des sogenannten "Patriot Act", dem Notstandsgesetzpaket der Regierung G.W.Bush und dem "Foreign Intelligence Surveillance Act"(FISA) sind solche Datenweitergaben für amerikanische Firmen verpflichtend.
In Europa muss hingegen die Verschlüsselung bei ihrem Aufbau geknackt werden, weil die Geheimdienste offenbar nur so an die Daten kommen. Der Datenabgriff findet beim Internetprovider statt, also in den Netzen von Telekoms und Mobilfunkern. Wie bei allen Überwachungsstandards des ETSI für die Strafverfolgung seit 1997, soll auch die kommende Norm der "Lawful Interception" dienen, also den Strafverfolgern, auf Anordnung eines Gerichts.
Dieses Diagramm zeigt (im unteren Teil) Kommunikation eines Handys mit öffentlichen Cloud-Services, wie Facebook-Chats und ihre Überwachung. Facebook muss auf Anordnung eines europäischen Gerichts, Daten zu überwachender User auf diese Schnittstelle spielen. Das Diagramm von "Prism" sieht strukturell genau so aus, nur werden an die NSA über eine solche Schnittstelle die Daten ganzer Weltregionen übermittelt.
ETSI
Verschlüsselung
Wer sich mit dem "https"-Protokoll bei Facebook oder anmeldet, stellt über den Webbrowser eine verschlüsselte Verbindung zur Bank oder zu Facebook her. Dieser "End to End"- verschlüsselte Verkehr ist eine Art hermetisch abgeschirmter Tunnel, der beim Internetprovider selbst nicht eingesehen werden kann.
Die USA umgehen dieses Problem, in dem sie die Daten möglichst am anderen Ende abholen, wo die gesuchten Daten bereits wieder unverschlüsselt sind: aus den Datenzentren der eigenen Internetkonzerne. Die kommende ETSI-Norm basiert hingegen darauf, dass die Betreiber von Informationsnetzen den Strafverfolgern Zugriffsmöglichkeiten auf ihre Netze einräumen müssen. Seit 1997 wurden die entsprechenden technischen Überwachungsnormen erst für GSM-Netze, dann für mobiles Breitband entlang der technischen Entwicklung fortgeschrieben
Diese Grafik zeigt den Angriff beim Verbindungsaufbau. In diesem Fall sind zwei Handys dargestellt, die über einen externen Schlüsselserver in einem Telekomnetzwerk eine direkte verschlüsselte Verbindung untereinander aufbauen und dabei kompromittiert werden. Neben dem Mobilfunker muss dabei auch der Betreiber des jeweiligen Schlüsselservers dabei kooperieren. Für diese Art der "Mittelsmann-Attacke", sind also zwei "Konspirateure" nötig..
xxx
Blackboxes bei den Providern
Wie mehrfach berichtet ist man seit 2011 dabei, das Lesbarmachen verschlüsselter Verbindungen während ihres Aufbaus für die Polizei zu standardisieren, wobei der Internetprovider dabei natürlich kooperieren muss, wie die
Im geheimdienstlichen Bereich liegt folgende Möglichkiet auf der Hand. Beim ersten Anzeichen des Aufbaus einer verschlüsselten Verbindung wird der betreffende Verkehr auf einen "Blackbox" genannten, speziellen Rechner umgeleitet, den nicht der Interprovider sondern die Überwacher kontrollieren.
Über diesen Rechner läuft dann der Aufbau der verschlüsselten Verbindung zwischen Banksystem und Kunden, wobei der gesamte Datenverkehr im Klartext über die Blackbox geht und kopiert wird. Auf diese Weise lässt sich nicht nur mitverfolgen, wie und mit wem Kevin und Sandra Normalbenutzer gerade auf Facebook chatten. Genauso können Firmenaccounts angegriffen werden, wie auch die "https"-basierten Systeme zum Online-Banking.
Die Voraussetzung ist allerdings, dass die geheimdienstlichen Angreifer dabei über ein gültiges Zertifikat einer internationalen Zertifizierungstelle verfügen, mit dem sie sich beim Verschlüsselungsaufbau gegenüber beiden Seiten ausweisen können.
Unterschiedliche Dimensionen
Mit dieser Methode ist es allerdings längst nicht möglich, Datensätze in den Dimensionen abzuziehen, wie es seitens der NSA geschieht. Experten sagen, dass derartige Angriffe früher oder später auffallen müssten, wenn sie auf breiter Basis statfänden. Während in Europa jede einzelne Verbindung solchermaßen beim Internetprovider einzeln anzugreifen ist, lässt sich die NSA von Facebook, Google und Co mit den gewünschten, unverschlüsselten Datensätzen en Gros beliefern.
Über einen Splitter wird der gesamte Datenverkehr aus einer ganzen Weltrregion auf eine zweite Glasfaserleitung für die NSA kopiert. Dahinter werken schnelle Switches, die ähnlich wie Mülltrennungsanlagen funktionieren, allerdings in rasender Geschwindigkeit.
Metadaten, Auswertung
Alle nur für Transportzwecke benötigten Metadaten werden aussortiert und weggeworfen. Die relevanten Metadaten werden dann je nach Protokoll auf Batterien von Auswertungsrechnern verteilt. Für die Auswertung von E-Mail-Services bis Internettelefonie, Chats, Tauschbörsenprotokolle usw. ist jeweils eine eigene Serverkaskade vorgesehen.
In diesen Metadaten sind alle Informationen darüber enthalten, wer mit wem wann wo wie kommuniziert hat. Die aus den Metadaten erstellten, individuellen Kommunikationsprofile sind um Zehnerpotenzen aussagekräftiger als etwa ein Mitschnitt aller so ausgetauschten Inhalte wäre.
In den Kommunikationsprofilen sind auch Metainformationen über individuelle Gewohnheiten, Kommunikationsrhythmen und -muster enthalten, die der betreffenden Person selbst überhaupt nicht bewusst sind.