A parabolic reflector with a diameter of 18.3 metres (60 ft.) is pictured at the former monitoring base of the National Security Agency (NSA) in Bad Aibling © Michaela Rehle/Reuters

Der Bundesnachrichtendienst (BND) hat jahrelang für die NSA in Europa spioniert. Er sammelte Daten aus Internetleitungen und Satellitenverbindungen und suchte darin mit Suchbegriffen der NSA nach Informationen. Er war ein "Wurmfortsatz" der Amerikaner, wie es ein ehemaliger NSA-Mann im Untersuchungsausschuss des Bundestages nannte. Als Gegenleistung für diese Auftragsdatenverarbeitung bekamen die Deutschen die dafür notwendige Technik geschenkt und das Wissen, wie sich das Internet effektiv überwachen lässt.

Das klingt nach einem guten Geschäft. Doch die Beamten stellten bald fest, dass sie missbraucht wurden – und ließen es zu. Die NSA ließ die Deutschen nämlich auch nach Informationen über europäische Politiker und Rüstungsunternehmen wie EADS suchen. Was sie fanden, gaben sie zum Teil an die NSA weiter – ohne dem Kanzleramt etwas von den Vorgängen zu erzählen, wie der Spiegel berichtet.

Wie das Ganze technisch ablief, lässt sich anhand der Aussagen von BND-Mitarbeitern im NSA-Untersuchungssauschuss des Bundestages weitgehend rekonstruieren:

Was sind Selektoren?

Selektoren sind so etwas wie Suchbegriffe. Das können IP-Adressen, Telefonnummern, E-Mail-Adressen sein, genauso wie Geokoordinaten, MAC-Adressen, URLs. Aber auch einzelne Suchbegriffe können ein Selektor sein, also Namen oder Kürzel von Firmen und Behörden, oder Ausdrücke wie "Eurocopter".

In die Datenbanken des BND werden somit drei Dinge eingespeist: Die abgehörten Daten aus den Leitungen, die von der NSA gelieferten Selektoren und die Selektoren, die der BND selbst erstellt hat – denn auch er wühlt selbstverständlich in den Daten und sucht nach Interessantem. Als Ergebnis liefern die Rechner alle Informationen, die irgendetwas mit einem solchen Suchbegriff zu tun haben: Wen der Inhaber einer Telefonnummer angerufen hat, wer sich an einem bestimmten Ort aufgehalten hat und so weiter. Das sind die sogenannten Positiv-Selektoren, mit denen aktiv nach etwas gesucht wird.

In der Sprache des BND gibt es aber auch noch Negativ-Selektoren, die wie vorgeschaltete Filter funktionieren. Tauchen die Negativ-Selektoren in einem Suchergebnis auf, soll die weitere Analyse an dieser Stelle abgebrochen werden.

Wie hat die NSA ihre Selektoren an den BND übermittelt?

Der Prozess lief vollautomatisch: Mehrmals am Tag hat sich ein BND-Server mit einem Server der NSA verbunden und neue Selektoren heruntergeladen. Das passiert "zwei-, drei- viermal täglich", wie ein Zeuge sagte.

Was hat der BND mit diesen Selektoren gemacht?

Im NSA-Untersuchungsausschuss sagte der Zeuge W.K., Unterabteilungsleiter in der Abteilung Technische Aufklärung in Pullach, jeder einzelne Selektor sei darauf geprüft worden, ob er mit dem G-10-Gesetz und dem Kooperationsvertrag mit den USA vereinbar gewesen sei. Nur wenn das der Fall war, sei der Selektor wirklich verwendet worden. (Nachzulesen im Protokoll von netzpolitik.org im Abschnitt "Fragerunde 2: SPD")

Das klingt eindeutig. Doch es gibt auch abweichende Darstellungen. Klar ist: Den Selektoren war der sogenannte G-10-Filter vorgeschaltet. Das bedeutet, dass zuerst geprüft wurde, ob in den Daten Informationen von deutschen Staatsbürgern sind, die der BND nicht belauschen darf. War das der Fall, wurden sie aussortiert und gelöscht, erst danach wurde in den übrigen Daten nach den Selektoren gesucht. Klar ist auch, dass der G-10-Filter nicht perfekt funktionierte. Mehrere Beamte haben zugegeben, dass es Probleme damit gab und diese erkannt wurden. In dem bis heute geheimen "Schwachstellenbericht" zum Projekt Eikonal ist das ebenfalls festgehalten. Klaus Landefeld, Chef des Internetknotens De-CIX, beschrieb im Ausschuss, es sei technisch nahezu unmöglich, Daten von Deutschen sauber zu filtern.

War der G-10-Filter nun ein komplett automatisierter Vorgang oder nicht? Brigadegeneral Dieter Urmann, ehemals Leiter der BND-Abteilung Technische Aufklärung, sagte im Ausschuss, in manchen Operationen sei die G-10-Filterung nur händisch, in anderen maschinell mit zusätzlichen manuellen Stichproben durchgeführt worden. Dass dabei etwas durchrutschte, was nicht durchrutschen durfte, ist nicht auszuschließen. (Nachzulesen im Protokoll von netzpolitik.org im Abschnitt "Fragerunde 3: CDU/CSU") 

In welches System hat der BND die Selektoren eingespeist?

Die Datenbank heißt VeraS, das steht für Verkehrsanalysesystem. Sie beinhaltet Metadaten, also nicht die Inhalte von Gesprächen, E-Mails oder SMS, sondern alles, was als Daten um diese Kommunikation herum anfällt: Wer kommunizierte mit wem, wann und wo tat er das, wie lange und womit und so weiter.

Die Daten für VeraS stammen aus verschiedenen Quellen des BND. Eine davon war der Internetknoten De-CIX in Frankfurt. Von den Antennen in Bad Aibling abgefangene Satellitenkommunikation eine zweite, in Ländern wie Afghanistan mitgeschnittene Kommunikation eine dritte. Es gibt aber noch weitere Quellen, so viel ist sicher. Welche genau, dagegen nicht.

Was geschah nach der Datenbankabfrage?

Die Ergebnisse, also die Rohdaten, wurden in die BND-Zentrale nach Pullach geschickt, wo sie ausgewertet und zum Teil auch an die NSA weitergeleitet wurden.

Über wie viele Selektoren reden wir hier?

Nach Informationen von ZEIT ONLINE hat sich der BND im Rahmen der Operation Eikonal insgesamt rund 800.000 Selektoren vom NSA-Server in seine Außenstelle in Bad Aibling geholt.

Ob es weitere Operationen an den anderen Standorten des BND gegeben hat, in denen US-Geheimdienste und der BND ähnlich vorgegangen sind, ist unklar.

Wann ist dem BND aufgefallen, dass Selektoren darunter waren, die sich auf Ziele in Deutschland und Europa beziehen?

Das war erstmals im Jahr 2005 der Fall. Damals erkannte der BND Selektoren, die sich auf EADS und Eurocopter bezogen. 

2008 ist "einigen Mitarbeitern noch mehr" aufgefallen, wie ZEIT ONLINE erfuhr.

2013, nach Veröffentlichung der Snowden-Dokumente, stellte der BND eine Liste aller möglicherweise fragwürdigen Suchbegriffe zusammen. Sie umfasste 2.000 Selektoren. Die wurden allesamt auch eingesetzt, also nicht vorher aussortiert.

Im März 2015, nach einem Beweisbeschluss des NSA-Untersuchungsausschusses, stellte der BND eine weitere Liste zusammen. Sie umfasste jene Selektoren, die der BND im Laufe der Jahre rechtzeitig als problematisch erkannt und aussortiert hatte. Problematisch meint: Ihre Verwendung war nicht vom G-10-Gesetz oder Datenschutzgesetzen gedeckt. Diese Liste umfasste 40.000 Selektoren. Ob das alle problematischen Selektoren waren, ist unklar. Es waren nur die, die dem BND aufgefallen sind, möglicherweise gab es mehr.

Wann hat der BND die Bundesregierung informiert?

Entweder hat er es bis vor wenigen Wochen gar nicht getan, was schlimm wäre. Es würde bedeuten: Der Nachrichtendienst hat drei Mal bemerkt, dass die NSA versucht, ihn für Spionagetätigkeiten zu instrumentalisieren, die den Interessen der Bundesrepublik zuwiderlaufen. Und er hat es trotzdem nicht für nötig gehalten, seine zuständige Aufsichtsbehörde, das Bundeskanzleramt, zu informieren. 

Oder der BND hat es der Bundesregierung doch früher gesagt, als diese bisher zugibt. Dann hätte die Regierung zugelassen, dass der BND gegen deutsche und europäische Interessen arbeitet.