Erstellt am: 17. 5. 2015 - 19:00 Uhr

Das Überwachungsnetz über den Dächern Wiens

Die Dachaufbauten auf den Botschaften der USA und Großbritanniens sind Knoten eines Netzes zur Mobilfunküberwachung, das große Teile Wiens abdeckt.

Bei den vier bis jetzt bekannten Überwachungsstationen über den Dächern Wiens handelt es sich nicht um isolierte "Horchposten". Die Häuschen auf Botschaften und Außenstellen sind vielmehr vier Knoten eines Netzes zur Mobilfunküberwachung, das große Teile Wiens abdeckt. Dieses Netz ist auch bereits weitaus länger in Betrieb als angenommen. 2014 wurde die Tarnverkleidung der Station auf der US-Botschaft komplett erneuert, zwei andere Stationen zeigen deutliche Verwitterungsspuren.

Wie topografische Messungen ergeben haben, besteht zwischen den drei bekannten US-Stationen sehr gute Sichtverbindung. Breitbandige Richtfunkstrecken sind auch mit kleinen Schüsseln problemlos umzusetzen, während die tiefer liegende britische Station nur vom IZD-Tower in Wien 22 erreichbar ist. Das in einem Schlüsseldokument des "Special Collectіon Service", einem Joint Venture von NSA und CIA, dargelegte Überwachungskonzept für Mobilfunknetze in Metropolen rund um die Welt beschreibt denn auch ein autonomes Funknetzwerk mit eigener Datenverarbeitung vor Ort.

CC BY-SA 2.0 Seb Hoch

Die Höhenmessungen wurden mit zwei kommerziellen Programmen durchgeführt, für das Diagramm wurde Open Street Maps verwendet. Die Verbindung vom IZD zur Britischen Botschaft ist gestrichelt eingezeichnet, da sie in 1030 nur ein bis zwei Meter über der Dachkante verläuft. Es ist davon auszugehen, dass es mindestens eine weitere Station gibt, die freie Sicht auf die Britische Botschaft sowie auf einen weiteren Punkt des Netzes hat.

Wie das Netz tickt

Mit einem solchen Überwachungsnetz werden die Kennzahlen von Funkzellen, deren Kontrollstationen und weitere wichtigen Parameter der drei Mobilfunknetze in Österreich erhoben. Diese Daten bilden die Ausgangsbasis für Angriffe auf ausgewählte Endgeräte, wobei die Überwachung der Handynetze vor Ort dem Muster der Glasfaserüberwachung folgt. Hier wie dort werden die abgefangenen Metadaten laufend mit Listen von "Selektoren" oder "Identifiers" abgeglichen, in Handynetzen sind das vor allem die IMSI- und IMEI-Kennzahlen von SIM-Card bzw. dem Endgerät.

Sobald sich ein Handy, das auf dieser Selektorenliste steht, in einem so überwachten Funkzellenverbund anmeldet, wird Alarm geschlagen. Das geschieht ebenso automatisch wie die dann folgenden Überwachungsschritte, im Schlüsseldokument des SCS dazu wird diese Automatisierung auch als ein Kernfeature des Systems erwähnt. Dieser Status muss in Wien bereits seit spätestens 2007 bestehen.

CC BY-SA 2.0 FM4/Nomen Nescio

Die neue Verkleidung ist aus einem anderen Material als die ursprüngliche, graue Hülle. Die Renovierung wurde Frühjahr 2014 durchgeführt.

Passende Akronyme, Panoramablick

Die Folien, die das SCS-System so einleuchtend beschreiben, stammen von einer Konferenz namens SIGDEV, die Titelfolie verweist jedoch auf interne Schulungsunterlagen der NSA von 2007, die für die SIGDEV-Konferenz 2011 umgearbeitet wurden. "Signals Developers" sind eigene Abteilungen der Geheimdienste, die für die Erschließung neuer Datenquellen zuständig sind. Das erklärt auch die vergleichsweise einfache Interpretierbarkeit dieses Dokuments, das die Funktionsweise des von NSA und GCHQ entwickelten Systems nicht für Insider, sondern für Mitarbeiter von Partnerdiensten aufbereitet.

Hinweise auf den Namen des Systems finden sich jedoch nicht in diesem Dokument, sondern in einem nicht datierten, aller Wahrscheinlichkeit nach jedoch späteren Dokument aus dem Snowden-Fundus. Es handelt sich nur um das Glossar zu einem weit umfangreicheren Dokument zu "Stateroom", jedenfalls wurde ein passendes Akronym gefunden, denn als "state rooms" werden Kabinen mit Panoramablick auf Kreuzfahrschiffen bezeichnet. Zudem werden diese Häuschen als Teil des eigenen Staatsgebiets angesehen, da sie ausschließlich auf Gebäuden mit diplomatischem Status stehen. Botschaften sind zwar rechtlich gesehen nicht exterritorial, haben aber einen ähnlichen De-Facto-Status, der durch die diplomatische Immunität bedingt ist.

Dieses nur zwei Seiten umfassende Dokument - der gesamte SCS-Komplex ist in einer Handvoll Folien dokumentiert - schildert einen neueren Status von "Stateroom" mit plakativer Deutlichkeit.

Public Domain

Das Equipment ist getarnt, um die SIGINT-Aktivität zu verbergen, heißt es da, die Antennen seien hinter falschen Fasssaden und Wartungshäuschen auf dem Dach versteckt. Die solchermaßen getarnten Überwachungspunkte fallen allerdings durch die rundum positionierten Überwachungskameras auf.

Das SCS-"Musterhäuschen"

Das System ist mittlerweile hochentwickelt, von den "Wartungshäuschen" angefangen über die breitbandigen Antennenanlagen sind diese Anlagen über den Hauptstädten rund um die Welt durchnormiert. Da sie ein Netz bilden, müssen die einzelnen Komponenten aufeinander abgestimmt sein, durch die Verwendung standardisierter, programmierbarer Antennenanlagen ist dasselbe System in jedem Mobilfunknetz der Welt einsetzbar. "SCS Modernization" ist der Titel einer der Folien. Eine andere listet die neuen Stateroom-Features auf: "moderne IT-Services und Infrastruktur zur Unterstützung eines netzwerkzentrischen Arbeitsmodell, Verbesserung der Sicherheit und Wartung". Letzteres wurde durch die Standardisierung des Equipments erreicht.

Standardisierung vereinfacht nicht nur die Logistik - der technische Support ist zentralisiert - sondern auch das Training des Bedienungspersonals. Im europäischen Hauptquartier des SCS in Wiesbaden, wo gerade ein "Consolidated Intelligence Center" gebaut wird, wurde sogar ein "Musterhäuschen" für Ausbildungszwecke aufgestellt. Auch deren genaue Größe konnte inzwischen ermittelt werden, mit 20 Quadratmetern sind sie etwas größer als anfangs eingeschätzt.

Public Domain

Wie diese Liste der neuen Features zeigt, handelt es sich um lokal vermaschte, netzwerkzentrische Systeme, die autonom arbeiten. Offenbar gibt es auch einen Mechanismus zur Selbstzerstörung.

Angezapfte Controller

Auf diesem Raum lässt sich eine ganze Batterie dieser kleinen Parabolantennen aufstellen, in erster Linie ist das System nicht hinter einzelnen Funkzellen her, sondern deren Kontrollstationen. Diese Base Station Controllers (GSM) bzw. Radio Network Controllers (UMTS) haben im Stadtgebiet typischerweise mehr als hundert Funkzellen unter sich, das ganze Netzѕegment nennt sich "Location Area" und hat dieselbe Funktion wie eine "Routing Area" im Internet.

Diese Kontrollstationen sammeln von allen Funkzellen permanent Metadaten ab und listen die Standortdaten, IMSI, letzte bekannte Funkzelle etc. aller Handys, die sich in irgendeiner Zelle in der jeweiligen "Location Area" befinden. Die Liste wird dabei permanent aktualisiert, da die Endgeräte ja mobil, also in Bewegung sind. Dabei fallen beträchtliche Datenmengen an, die verarbeitet werden müssen.

CC BY-SA 2.0 FM4/Nomen Nescio

Dieses Foto aus dem Frühjahr 2015 zeigt auch hier einen fortgeschrittenen Verwitterungszustand. Das Häuschen selbst dürfte seinen Betrieb bereits direkt nach der Fertigstellung des IZD-Towers um 2002 aufgenommen haben. Der Start erfolgte offenbar noch mit einem älteren System, da es zu dieser Zeit nur GSM-Netze gab.

Mikrowellen

Diese Daten werden von den Stateroom-Stationen laufend abgefangen und über das Netz an eine zentrale Stelle zur Verarbeitung transportiert. Da Stateroom nahe an Echtzeit arbeitet, gelangen die Daten aller Wahrscheinlichkeit nach über Richtfunkstrecken dorthin, denn das "Einstein/Castanet" genannte Antennensystem des SCS ist auch dafür geeignet. Dahinter kann beliebiges Funkequipment angeschlossen werden, auch solches für "Microwave", damit sind in diesem Fall nicht Mikrowellenherde, sondern Richtfunkstrecken im Bereich um zwei GHz gemeint. Da das Einstein/Castanet-Antennensystem auch sendetauglich ist, können mit denselben Universalantennen zwischen zwei Punkten Richtfunkstrecken aufgebaut werden, Sichtkontakt ist naturgemäß Voraussetzung dabei. Ebenso lassen sich Funkstrecken der Mobilfunker anzapfen

Public Domain

Diese programmierbaren, gerichteten Antennen sind fernsteuerbar, vergleichbares Equipment muss sich auch in dem Hüttchen im IZD-Tower befinden.

Als Standort für die Auswertung kommt am ehesten die NSA-Villa in Frage, denn die Analysten sind bei den Militärs in der Regel in Außenstellen angesiedelt. Die Villa in Pötzleinsdorf ist ein nachgerade prototypischer Standort für eine solche Auswertungsstelle, während der IZD-Tower in Wien 22, wo die US-Vertretung bei den Vereinten Nationen offiziell angesiedelt ist, der wahrscheinlichste Standort für das Gros der technischen Verarbeitung der von Stateroom abgefangenen Daten ist.

Durch den Auszug mehrerer Firmen sind mehrere Stockwerke direkt unter der US-Vertretung freigeworden, dazu finden Aus- und Umbauarbeiten statt, wie mehrere Quellen übereinstimmend berichten. Auch dort fand im Dezember 2013 ein Upgrade statt, nach 12 Jahren Betriebszeit wurde mithilfe eines Lastenhelikopters die zentrale Klimaanlange des Gebäudes ausgetauscht. Die neue Anlage ist mit einer Kühlleistung von 4,2 MW um ein Drittel leistungsfähiger als das Vorgängermodell, der Bedarf an Kühlleistung im IZD-Tower muss während der letzten paar Jahre deutlich angestiegen sein.

Public Domain

Das Hauptquartier des Special Collection Service nahe Beltsville im US-Bundesstaat Maryland.

Wo die Daten landen

Nicht nur die lokalen Netze zur Überwachung arbeiten autonom, des gesamte System verfügt auch über eine eigene Zentrale nahe Beltsville, Maryland. Im Hauptquartier des SCS werden die Topografien der Mobilfunknetze in den Hauptstädten der Welt systematisch gesammelt und ständig aktualisiert. Diese Daten stehen nicht nur Personal von NSA und CIA für Angriffszwecke zur Verfügung, sondern auch den Geheimdiensten der US-Streitkräfte und allen anderen "Agencies" des US-Geheimdienstkomplexes.

Was das SCS-Netz in Wien betrifft, so zeigt das obige Diagramm nur das Backbone und auch das nicht vollständig, denn es fehlt zumindesten eine Station, die über guten Sichtkontakt zur Britischen Botschaft wie auch zu mindestens einem der anderen drei bekannten Knoten aufweist. Wie alle militärischen Netzwerke folgt auch dieses Überwachungsnetz dem Regelwerk des "Network-Centric Warfare", seit Mitte der 90er Jahre ist das die offizielle US-Militärdoktrin.