Mitarbeiter des Bundesamtes für Verfassungsschutz in Köln © Oliver Berg/dpa

XKeyscore ist eines der mächtigsten Werkzeuge der NSA, um Daten zu finden und zu analysieren. Als die Öffentlichkeit im Juli 2013 zum ersten Mal von ihm erfuhr, war es für deutsche Geheimdienste längst kein Geheimnis mehr. Nicht nur für den Bundesnachrichtendienst, sondern, wie jetzt belegt ist, auch für den Verfassungsschutz.

Metadaten sind nicht harmlos, auch wenn viele Politiker das immer wieder behaupten. Wer Gespräche belauscht, erfährt, was die Sprecher sagen. Wer hingegen Metadaten analysiert, erfährt, was die Belauschten tun, ja sogar was sie planen und denken. Genau deswegen war das Bundesamt für Verfassungsschutz (BfV) so scharf darauf, die amerikanische Spionagesoftware XKeyscore zu nutzen, die der Bundesnachrichtendienst bereits 2007 von der NSA bekommen hatte.

Vor XKeyscore konnte das BfV vor allem Mails, Faxe und Telefonate mitlesen. Die stets mitübertragenen Metadaten über Ort, Zeit und Dauer der Kommunikation waren für die Verfassungsschützer ein nur mühsam zugänglicher Datenschatz. Die deutsche Überwachungssoftware namens Perseus wertet diese kaum aus. Bei vielen Kommunikationsformen wie Chats, Facebook oder Voice over IP hat sie Mühe, alles zu verstehen. Wollten die Beamten mehr über die Netzwerke hinter einer Kommunikation erfahren, mussten sie die Daten von Hand durchsuchen.

XKeyscore ändert das. Mit diesem Programm lassen sich Gigabytes von Inhaltsdaten, aber eben auch von Verbindungs- oder sogenannten Metadaten in kurzer Zeit nach beliebigen Kriterien filtern, sortieren und analysieren. Der Verfassungsschutz sah das Werkzeug offenbar wirklich als Schatz: Der in Berlin-Treptow stehende Server, auf dem es läuft, heißt "Goldelse" – in Anlehnung an die Figur auf der Berliner Siegessäule, die gelegentlich so genannt wird.

Wie mächtig das Werkzeug in ihren Augen ist, belegt auch ein Zitat aus dem Brief des damaligen Verfassungsschutzpräsidenten Heinz Fromm an die NSA vom Oktober 2011: "Aus Sicht des BfV bietet diese Software einen beeindruckenden Funktionsumfang und würde die hier bestehenden Möglichkeiten zur Überwachung und Analyse von Internetverkehr hervorragend ergänzen."

Was genau ist XKeyscore?

XKeyscore ist ein Datenbanksystem. Es enthält eine Sammlung von Funktionen, um Daten zu sortieren und zu analysieren. Basis ist das Betriebssystem Red Hat Enterprise Linux 5.7. Das ist total veraltet, aktuell ist Version 7.1, aber es gilt als ausgereiftes Betriebssystem. Die NSA hat alle Funktionen darin abgeschaltet, die normalerweise dazu dienen, mit anderen Systemen und Programmen zu reden. Ungefähr so, als würde man bei einem Auto die Türen zuschweißen und die Fenster und Sitze herausnehmen, da sowieso nur der Motor gebraucht wird und niemand darin mitfährt. Die zur Analyse verwendete Datenbank nutzt das gebräuchliche Format MySQL.

Das Ganze läuft beim Verfassungsschutz in Berlin auf einem Rechner, der nicht an das Internet oder an ein anderes Netzwerk angeschlossen ist. Lediglich die Rechner der Analysten sind mit ihm verbunden. Die Datenauswerter greifen über ihren Firefox-Browser auf die Datenbank zu.

NSA und BND nutzen XKeyscore, um damit im Internet nach Hinweisen und Verdächtigen zu fahnden. Für sie ist es eine Art Super-Google, um beispielsweise Sicherheitslücken in fremden Servern zu finden. Der Verfassungsschutz darf das rechtlich nicht. XKeyscore läuft bei ihm daher als komplett geschlossenes System. Es durchsucht Daten, die zuvor bei genehmigten Abhör- und Überwachungsmaßnahmen – sogenannten G-10-Maßnahmen – gesammelt wurden. Sie werden in XKeyscore eingespeist, dann beginnt das System seine Schnüffelarbeit.

Was kann XKeyscore?

Kommunikation im Web ist kompliziert. Webmailer verwenden dazu andere Protokolle als Facebook, YouTube oder Chatprogramme. Außerdem laufen viele Programme direkt im Browser auf dem Rechner des Nutzers. Dadurch werden zwischen dem Browser und dem Server des Kommunikationsanbieters oft nur Datenfragmente und einzelne Befehle ausgetauscht und nicht unbedingt komplette Datensätze, die die ganze Kommunikation beinhalten. Das macht es mühsam, solche Fragmente aus einem Datenstrom zu filtern, sie einer Anwendung zuzuordnen und sie wie ein Puzzle zusammenzusetzen. Viele dieser Daten sind dazu noch in einem eigenständigen Datenformat geschrieben, da Plattformen wie Facebook oder WhatsApp eigene Werkzeuge entwickeln.

XKeyscore kann solche IP-Daten zuerst einmal klassifizieren, also darin die Daten von ungefähr 800 verschiedenen Applikationen, Internetanwendungen und Protokollen erkennen und zuordnen. Egal ob Chat, Voiceover-IP oder Bilder – XKeyscore erkennt und versteht selbst noch die exotischste App und die darin enthaltenen Informationen. Alle Daten werden dabei Byte für Byte im Hexadezimalsystem dargestellt und auf dieser untersten Ebene der Datenverarbeitung in einem sogenannten Hex-Editor analysiert.

Der Verfassungsschutz bezeichnet XKeyscore daher auch als "Sortierwerkzeug". Diese Analyse geht sehr schnell und mit großen Datenmengen, Gigabytes sind für die Software kein Problem. Die Geschwindigkeit ist abhängig von der Größe des verwendeten Speichers. Der Verfassungsschutz musste seinen ziemlich schnell aufstocken, da die ursprüngliche Hardware mit den eingespeisten Datenmengen zu langsam vorankam.

Das ist aber nur der Anfang. XKeyscore – oder Poseidon, wie das System beim BfV genannt wird, damit kein Rückschluss auf die NSA möglich ist – kann mehr. Diese vorsortierten Daten kann das Programm entschlüsseln, also das Datenformat, in dem sie programmiert wurden, übersetzen und den Inhalt in eine Form bringen, die die Auswerter auch lesen können.