Der Whistleblower Edward Snowden hat den US-Geheimdienst NSA (National Security Agency) bloßgestellt, indem er einen Teil seiner weltweiten Überwachungspraktiken enthüllt hat. Nach und nach kommen immer mehr Details zu den Fähigkeiten der NSA ans Licht. Auch Bundesbürger sind davon betroffen, auch wenn das ganze Ausmaß noch immer unklar ist.

ZEIT ONLINE beantwortet an dieser Stelle die wichtigsten Fragen zum Skandal.

 Was ist Prism?

Prism ist ein System, mit dessen Hilfe die NSA die Onlinekommunikation von Menschen aus aller Welt überwachen kann. Genauer gesagt: die E-Mails, Bilder, Videos und andere Daten all jener, die  Produkte und Dienstleitungen von Google, YouTube, Facebook, Microsoft, Skype, PalTalk, AOL, Yahoo und Apple nutzen. Aufgedeckt hat es der Whistleblower Edward Snowden, der geheime Dokumente über Prism an den Guardian und die Washington Post übergeben hat.

Prism ist nicht allein eine Software oder ein Datenzentrum. Prism besteht aus mehreren Komponenten. Der Kern ist dabei eine Ausleitungsschnittstelle, über die Daten von den Firmen an die Dienste übergeben werden. Die wurde als "direkter Zugriff" auf die Server bezeichnet, aber sie funktioniert eher wie ein elektronischer Briefträger. In Deutschland gibt es solche Übergabepunkte bei Telekomanbietern auch, sie heißen hier Sina-Boxen. Das Prinzip ist das gleiche: Die Behörde schickt einen Gerichtsbeschluss mit der Datenanforderung, das Unternehmen prüft den und gibt anschließend die Daten frei. Die werden dann über die Schnittstelle automatisch an den Dienst übertragen.

Hat die NSA direkten Zugriff  auf die Server der US-Unternehmen?

Während der Guardian bei seiner Darstellung bleibt, die NSA habe direkten und einseitigen Zugang, ist die Washington Post klammheimlich von dieser Version abgerückt. Die entsprechende Aussage lässt sich aus Folie Nummer fünf der Powerpointpräsentation ableiten, die Snowden öffentlich gemacht hat. "Collection directly from the servers of these U.S. Service Providers" steht darauf. 

Die betroffenen Firmen selbst wie auch Informanten der New York Times und mehrere US-Politiker widersprechen dem. Zuletzt hat Google erläutert, wie der Zugriff der NSA auf die Kundendaten abläuft. Demnach muss die NSA, wenn sie Kundendaten einsehen will, zunächst einen Gerichtsbeschluss vorlegen, aus dem hervorgeht, welche Daten benötigt werden. Der wird vom Unternehmen geprüft. Dann kopiert das Unternehmen die entsprechenden Daten auf einen Server der Behörde. Ein direkter und beliebiger Zugriff wäre das nicht.

Allerdings hat der Informant des Guardian und der Washington Post, Edward Snowden, in Interviews die Fähigkeiten der NSA etwas anders dargestellt. Er selbst hätte jederzeit jeden Menschen heimlich überwachen können, sagte er dem Guardian, "vom Anwalt über einen Bundesrichter bis zum Präsidenten". Der South China Morning Post sagte er, die NSA hacke sich in die Backbones des Internets, was der Behörde Zugang zu Hunderttausenden Kommunikationsvorgängen gleichzeitig verschaffe.

Gibt es neben Prism noch ähnliche Systeme?

Prism ist offenbar nur eines von mehreren Überwachungssystemen der NSA. Prism hat drei "Brüder", sie heißen Mainway, Marina und Nucleon. Das jedenfalls schreibt die Washington Post.

Mainway sammelt laut Washington Post nur Telefonverbindungsdaten. Wie das geschieht, ist auch schon bekannt: Der Guardian hatte einen Gerichtsbeschluss veröffentlicht, nach dem der US-Mobilfunkbetreiber Verizon verpflichtet ist, der NSA die Verkehrsdaten aller seiner Kunden zu übergeben. Diesen mit "Top Secret" gekennzeichneten Gerichtsbeschluss hat Snowden dem Guardian übergeben, es war der Auftakt der gesamten Enthüllungsserie. Neu ist jetzt nur, dass dieses Programm den Namen Mainway tragen soll.

Marina wiederum sammelt solche Metadaten für Internetverbindungen. Es handelt sich also um Informationen darüber, wer wem wann eine E-Mail geschickt hat, oder wer wann und wie lange online war und welche Internetseiten er dabei aufgerufen hat.

Nucleon ist dazu da, Telefongespräche abzuhören, also deren Inhalt auszuwerten. Und mithilfe von Prism überwacht die NSA die Inhalte von Internetnutzern aus aller Welt.

Warum hört man davon so viel weniger als von Prism?

Das liegt an den Quellen. Die Washington Post hat keine Dokumente veröffentlicht, aus denen die Existenz der Prism-"Brüder" hervorgeht. In der Zeitung kommen nur anonyme Geheimdienstmitarbeiter zu Wort, die darüber berichten. Somit lassen sich die Informationen kaum durch andere überprüfen.

Überwacht die NSA wirklich jeden Menschen im Internet?

Um es mit den Worten des ehemaligen US-Verteidigungsministers Donald Rumsfeld zu sagen: "Es gibt bekanntes Bekanntes; es gibt Dinge, von denen wir wissen, dass wir sie wissen. Wir wissen auch, dass es bekannte Unbekannte gibt: Das heißt, wir wissen, es gibt Dinge, die wir nicht wissen. Aber es gibt auch unbekannte Unbekannte – Dinge also, von denen wir nicht wissen, dass wir sie nicht wissen."

Soll heißen: Was genau die NSA kann und tut, ist nur teilweise bekannt. Die Dokumente, die der Guardian und die Washington Post bisher veröffentlicht haben, können zum Teil unterschiedlich interpretiert werden. Das gilt vor allem für die PowerPoint-Präsentation zu Prism, die 41 Folien umfassen soll, von denen bisher aber nur fünf bekannt sind. Die ersten vier sind hier zu sehen, die fünfte hier.

Ehemalige NSA-Angestellte wie William Binney und Thomas Drake haben schon früher behauptet, die NSA könne und wolle alles und jeden überwachen und alle Daten aus Online- und Telefonverbindungen speichern, die von US-Bürgern eingeschlossen – auch wenn das gegen die Verfassung der Vereinigten Staaten verstoße.

Geheime Gerichtsverfahren

Ist das Ganze jetzt legal oder nicht?

In den USA ist es legal, jedenfalls nach Interpretation der US-Regierung. Denn auf dem Papier gibt es entsprechende Gesetze, einen Richtervorbehalt und eine parlamentarische Kontrolle.

Die notwendigen Gerichtsbeschlüsse für die Überwachung bekommt die NSA vom geheim tagenden FISA-Gericht (FISC). FISA steht für Foreign Intelligence Surveillance Act, das ist neben dem Patriot Act von 2001 und dem Protect America Act von 2007 die gesetzliche Grundlage für die Überwachung. Im Fall von Prism geht es um Abschnitt 702 des Gesetzes.

Doch auch wenn es legal ist, transparent ist es nicht: Die Beschlüsse des FISC zum Beispiel sind ebenso geheim wie die Verhandlungen. Die betroffenen Unternehmen dürfen also nicht darüber reden und ihre Kunden nicht informieren.

Und die Beschlüsse werden kaum überwacht. Zumindest hat das FISA-Gericht in den vergangenen beiden Jahren nicht einen Antrag der NSA abgelehnt. 2012 etwa hat es alle 1.856 Anträge abgesegnet. Wie breit die Anträge gefasst sind, ist auch nicht bekannt. Aber aus dem FISA-Abschnitt 702 geht hervor, dass Nicht-US-Bürger bis zu ein Jahr lang überwacht werden dürfen – ein Hinweis auf das mögliche Ausmaß der NSA-Schnüffelei.

Die parlamentarische Kontrolle funktioniert offenbar ebenfalls nicht. Der Director of National Intelligence, James Clapper, hatte noch im März in einer Anhörung im zuständigen Senate Intelligence Committee gesagt, die NSA sammle keine Daten von US-Bürgern – "zumindest nicht willentlich". Für viele ist klar: Der Mann hat die Senatoren dreist belogen. Clapper selbst sagt mittlerweile, er habe "die am wenigsten unwahre" Antwort gewählt. 

Da vor allem auch Nicht-Amerikaner betroffen sind, stellt sich zudem die Frage, ob die Spionagepraxis mit den Gesetzen anderer Länder vereinbar sein kann. Datenschützer glauben zum Beispiel, dass US-Unternehmen, die Nutzerdaten von Europäern an die NSA geben, gegen europäische Datenschutzgesetze verstoßen.

Was sagen deutsche Politiker dazu?

Offiziell kennen weder deutsche Sicherheitsbehörden noch Politiker die Details zu den Überwachungsprogrammen der NSA. Sie haben verschiedene Briefe an den US-Justizminister, die US-Botschaft und die Deutschlandvertretungen der US-Konzerne geschrieben, mit der Bitte um Aufklärung. Angela Merkel dürfte das Thema mit US-Präsident Barack Obama ansprechen, wenn der in dieser Woche in Berlin ist. Aber selbst wenn das passiert, heißt das noch lange nicht, dass sich etwas am Vorgehen der NSA ändern wird.

Wie hilflos deutsche Volksvertreter sind, zeigt der Aufruf von CSU-Innenpolitiker Hans-Peter Uhl und seinem SPD-Pendant Dieter Wiefelspütz in der Frankfurter Allgemeinen Sonntagszeitung vom 16. Juni, Deutschland und Europa müssten eigene Konkurrenten zu Google und den anderen führenden US-Unternehmen entwickeln, um die Dominanz der Amerikaner und die Abhängigkeit von ihrer Infrastruktur zu verringern.

Google, Facebook und die anderen sind Marktführer, eben weil sie sich ohne Einmischung der Politik entwickeln konnten.  Was passiert, wenn Regierungen Einfluss auf die Entwicklung solcher Angebote nehmen, wird an den europäischen beziehungsweise deutschen Suchmaschinen-Projekten Quaero und Theseus deutlich, die der breiten Bevölkerung bis heute völlig unbekannt sind.

Sind Google, YouTube, Facebook, Microsoft, Skype, PalTalk, Yahoo und AOL willfährige Helfershelfer der NSA?

Die Unternehmen beteuern, Behörden nur dann Nutzerdaten zu übergeben, wenn sie dazu spezifische Anfragen stellen, einen Gerichtsbeschluss vorlegen und die Hausjuristen davon überzeugen können, dass die Anfrage legitim ist. Dann aber sind sie gezwungen, die Daten herauszugeben.

Vorwerfen kann man den Unternehmen, dass sie es der NSA leichter machen als unbedingt nötig, indem sie den technischen Vorgang der Datenabfrage (s.o.) vereinfacht haben. Andere Unternehmen, darunter zum Beispiel Twitter, weigern sich, das zu tun. Allerdings gibt es solche Schnittstellen wie gesagt auch in Deutschland. Mobilfunkbetreiber zum Beispiel leiten Daten zur Funkzellenabfrage automatisiert an Behörden weiter. Die Bezeichnung für solche Systeme ist lawfull interception, erlaubte Überwachung.

Dass die erzwungene Kooperation das Vertrauen der Nutzer in die Dienste von Google, Facebook, Microsoft und den anderen beschädigen kann, ist den Unternehmen klar. Wohl auch deshalb wollen sie die Erlaubnis vom Justizministerium haben, in ihren regelmäßigen Transparenzberichten zumindest auch die Anzahl der geheimen FISA-Anträge zu nennen.

Mittlerweile haben Facebook, Microsoft und Apple erste Zahlen zu solchen Anfragen veröffentlicht. 

Auch EU-Politiker geraten in Erklärungsnot

Was ist das Neue an den Enthüllungen von Edward Snowden?

Für Amerikaner stellt sich die Frage, ob auch sie massiv von der NSA überwacht und dabei auch noch angelogen werden. Das ursprüngliche FISA-Gesetz aus dem Jahr 1978 verbot es kategorisch, Kommunikation zu überwachen, wenn daran Amerikaner beteiligt sind oder das auch nur vermutet wird. Während der Regierungszeit von George W. Bush wurde das jedoch aufgeweicht. Seitdem dürfen Amerikaner überwacht werden, wenn sie mit Ausländern reden oder sich im Ausland befinden.

Viele Amerikaner fühlen sich nun allerdings belogen. Sie haben den Eindruck, systematisch ausspioniert zu werden, obwohl ihre Verfassung genau das verbietet – und das möglicherweise auch noch ohne richterliche Erlaubnis. Es geht für die USA also darum, ihre Sicherheitsgesetze zu überprüfen.

Außerdem werden im Zuge der Enthüllungen immer mehr Details bekannt, die auch europäische Politiker in Erklärungsnot bringen. So berichtet die Financial Times, Obamas Diplomaten hätten erfolgreich bei der EU-Kommission lobbyiert, um einen bestimmten Passus aus dem Entwurf für die kommende Datenschutzgrundverordnung entfernen zu lassen. Dieser intern "Anti-FISA-Absatz" genannte Passus hätte es Mobilfunk- und Internetprovidern verboten, dem US-Geheimdienst Daten von europäischen Nutzern zu übergeben. Nun ist das Verbot verschwunden. Die große Mehrheit der EU-Kommissare habe dafür gestimmt, den Absatz zu streichen, schreibt die Zeitung – "um Komplikationen an dieser Front zu vermeiden."

Wer ist Edward Snowden und wie kam er an die geheimen NSA-Informationen?

Der Whistleblower ist erst 29 Jahre alt und war zuletzt bei einem Dienstleister der NSA beschäftigt. Booz Allen Hamilton heißt die Firma, sie analysiert große Datenmengen für ihre Auftraggeber. Snowden war Techniker, Administrator. Er hatte dadurch Zugang zu vielen geheimen und vertraulichen Dokumenten, da er an den Programmen arbeitete, die die Daten verwalten. So sah er viel mehr, als wenn er in einer normalen Abteilung des Geheimdienstes gearbeitet hätte, wo er nur auf ein bestimmtes Thema angesetzt gewesen wäre.

Dass selbst Geheimdienste wichtige Arbeit an Privatfirmen auslagern, ist in den USA nicht ungewöhnlich. Einem Bericht der Washington Post aus dem Jahr 2010 zufolge ist fast jeder Dritte, der für einen US-Geheimdienst arbeitet, bei einem Privatunternehmen angestellt. Rund 700.000 dieser Angestellten haben nach offiziellen Angaben Zugang zu Dokumenten, die als "streng geheim" eingestuft sind. Ähnlich ist es bei der Armee. Selbst der Hubschrauber des US-Präsidenten wird von einer privaten Firma gewartet, nicht mehr direkt von der Regierung.

Was passiert mit Snowden?

Noch haben die US-Behörden keine offizielle Anklage erhoben. Sollten sie das tun, dürfte das mit einem Auslieferungsgesuch einhergehen. Mit Hongkong, wo sich Snowden versteckt hält, haben die USA auch ein Auslieferungsabkommen. Snowden selbst sucht Asyl "in jedem Land, das an Redefreiheit glaubt und dagegen eintritt, die weltweite Privatsphäre zu opfern". In Interviews hatte er angedeutet, dass er selbst eine Verschleppung durch die CIA nicht ausschließt.

Bei einer freiwilligen oder unfreiwilligen Rückkehr in die USA droht Snowden zumindest eine lange Gefängnisstrafe. Aus Sicht der Regierung hat er wohl Hochverrat begangen und gegen den Espionage Act verstoßen. Das FBI zumindest ermittelt schon gegen ihn. Man werde "alle notwendigen Schritte" unternehmen, um Snowden zur Verantwortung zu ziehen, sagte FBI-Chef Robert Mueller.

Auch andere Länder spionieren Nutzer im Internet aus

Machen andere Geheimdienste nicht das Gleiche wie die NSA?

Sie versuchen es zumindest. Die Ressourcen der NSA dürften allerdings unübertroffen sein. Das ist schon seit den 1960er Jahren so. Schon damals verfügte die Behörde über die weltweit leistungsfähigsten Computer zur Analyse abgefangener Nachrichten. Sie soll einer der am besten finanzierten Geheimdienste der Welt sein, die genaue Höhe ihres Etats ist allerdings geheim.

Die deutschen Geheimdienste zum Beispiel durchsuchen im Rahmen der sogenannten Strategischen Fernmeldeaufklärung E-Mails, SMS und andere Kommunikationswege nach bestimmten Schlüsselbegriffen. Hauptsächlich soll es sich um Nachrichten von Nicht-Deutschen handeln. 37 Millionen solcher Botschaften waren es im Jahr 2010 (weil außergewöhnlich viel Spam darunter war), im Jahr darauf nur noch 2,9 Millionen. Die rechtliche Grundlage dafür ist das G-10-Gesetz. Darin ist geregelt, wie und wann Geheimdienste in das nach Artikel 10 des Grundgesetzes garantierte Brief-, Post- und Fernmeldegeheimnis eingreifen dürfen. 

Der Bundesnachrichtendienst (BND) will seine entsprechenden Fähigkeiten ausbauen. Das berichtet der Spiegel. Demnach ist es das Ziel der Behörde, den grenzüberschreitenden Datenverkehr möglichst umfassend zu überwachen. Bislang werte der Geheimdienst knapp fünf Prozent der Kommunikation per E-Mail, Internettelefonie oder Chat aus, erlaubt wären laut G-10-Gesetz bis zu 20 Prozent.

Deutsche Behörden greifen aber auch gerne auf die Daten oder Informationen ihrer US-Kollegen zurück. Im Fall der verhinderten Sauerland-Attentäter war das so. Deutsche Geheimdienste profitieren also von den Überwachungsmaßnahmen der NSA. Das gilt auch für andere Länder, die Niederlande und Belgien etwa.

Kann sich ein normaler Internetnutzer wehren?

Nur in Ansätzen. Ein Boykott von Apple, Google, Facebook, Microsoft, Skype und all den anderen Anbietern wäre ein erster Schritt, dürfte für die meisten Menschen aber nicht infrage kommen. Aber selbst wenn sie nur noch andere Anbieter nutzen würden, könnten sie indirekt von Überwachungsmaßnahmen betroffen sein: Es reicht schon, wenn sie mit jemandem in Kontakt treten, der auf diese Dienste vertraut.

Immerhin kann ein Nutzer seine Inhalte verschlüsseln, seien es E-Mails oder Daten, die er bei einem Cloud-Speicherdienst ablegt. Ein heimliches Mitlesen durch Geheimdienste ist dann wahrscheinlich ausgeschlossen. Metadaten und Verkehrsdaten – also wer wann mit wem kommuniziert hat – bleiben davon aber unberührt. Auch diese Spuren zu verschleiern, ist schwierig. Selbst Menschen, die sich mit der Technik auskennen, machen früher oder später einen Fehler, der ihnen zum Verhängnis wird. Das war bei David Petraeus und seiner Geliebten so, und auch beim LulzSec-Hacker Hector Monsegur alias "Sabu".

Wie hat der Skandal begonnen?

Am 6. Juni veröffentlichte der Guardian einen mit "Top Secret" gekennzeichneten Gerichtsbeschluss, nach dem der US-Mobilfunkbetreiber Verizon verpflichtet ist, der NSA die Verkehrsdaten aller seiner Kunden aus drei Monaten zu übergeben. 

Die US-Senatorin Dianne Feinstein räumte später ein, dass der Gerichtsbeschluss seit sieben Jahren alle drei Monate erneuert wird. Faktisch heißt das, die US-Regierung hat das, was wir unter Vorratsdatenspeicherung verstehen, durch die Hintertür eingeführt. Ohne ein spezielles Gesetz dafür. Stattdessen beruft sie sich auf Sektion 215 des Patriot Act. Laut diesem Abschnitt dürfte aber eigentlich nur die Bundespolizei FBI solche Daten bekommen, und auch das nur unter bestimmten Umständen.

Laut Wall Street Journal müssen auch die anderen großen US-Anbieter Sprint Nextel und AT&T ihre Verkehrsdaten an die NSA übergeben. Insider hätten das bestätigt.

Passiert ist das allerdings auch schon vor Obamas Machtübernahme. Bereits 2006 berichtete USA Today über die massenhafte Abfrage von Telefonverbindungsdaten der US-Bürger durch die NSA.