XKeyscore ist eines der mächtigsten Werkzeuge der NSA, um Daten zu finden und zu analysieren. Als die Öffentlichkeit im Juli 2013 zum ersten Mal von ihm erfuhr, war es für deutsche Geheimdienste längst kein Geheimnis mehr. Nicht nur für den Bundesnachrichtendienst, sondern, wie jetzt belegt ist, auch für den Verfassungsschutz.

Metadaten sind nicht harmlos, auch wenn viele Politiker das immer wieder behaupten. Wer Gespräche belauscht, erfährt, was die Sprecher sagen. Wer hingegen Metadaten analysiert, erfährt, was die Belauschten tun, ja sogar was sie planen und denken. Genau deswegen war das Bundesamt für Verfassungsschutz (BfV) so scharf darauf, die amerikanische Spionagesoftware XKeyscore zu nutzen, die der Bundesnachrichtendienst bereits 2007 von der NSA bekommen hatte.

Vor XKeyscore konnte das BfV vor allem Mails, Faxe und Telefonate mitlesen. Die stets mitübertragenen Metadaten über Ort, Zeit und Dauer der Kommunikation waren für die Verfassungsschützer ein nur mühsam zugänglicher Datenschatz. Die deutsche Überwachungssoftware namens Perseus wertet diese kaum aus. Bei vielen Kommunikationsformen wie Chats, Facebook oder Voice over IP hat sie Mühe, alles zu verstehen. Wollten die Beamten mehr über die Netzwerke hinter einer Kommunikation erfahren, mussten sie die Daten von Hand durchsuchen.

XKeyscore ändert das. Mit diesem Programm lassen sich Gigabytes von Inhaltsdaten, aber eben auch von Verbindungs- oder sogenannten Metadaten in kurzer Zeit nach beliebigen Kriterien filtern, sortieren und analysieren. Der Verfassungsschutz sah das Werkzeug offenbar wirklich als Schatz: Der in Berlin-Treptow stehende Server, auf dem es läuft, heißt "Goldelse" – in Anlehnung an die Figur auf der Berliner Siegessäule, die gelegentlich so genannt wird.

Wie mächtig das Werkzeug in ihren Augen ist, belegt auch ein Zitat aus dem Brief des damaligen Verfassungsschutzpräsidenten Heinz Fromm an die NSA vom Oktober 2011: "Aus Sicht des BfV bietet diese Software einen beeindruckenden Funktionsumfang und würde die hier bestehenden Möglichkeiten zur Überwachung und Analyse von Internetverkehr hervorragend ergänzen."

Was genau ist XKeyscore?

XKeyscore ist ein Datenbanksystem. Es enthält eine Sammlung von Funktionen, um Daten zu sortieren und zu analysieren. Basis ist das Betriebssystem Red Hat Enterprise Linux 5.7. Das ist total veraltet, aktuell ist Version 7.1, aber es gilt als ausgereiftes Betriebssystem. Die NSA hat alle Funktionen darin abgeschaltet, die normalerweise dazu dienen, mit anderen Systemen und Programmen zu reden. Ungefähr so, als würde man bei einem Auto die Türen zuschweißen und die Fenster und Sitze herausnehmen, da sowieso nur der Motor gebraucht wird und niemand darin mitfährt. Die zur Analyse verwendete Datenbank nutzt das gebräuchliche Format MySQL.

Das Ganze läuft beim Verfassungsschutz in Berlin auf einem Rechner, der nicht an das Internet oder an ein anderes Netzwerk angeschlossen ist. Lediglich die Rechner der Analysten sind mit ihm verbunden. Die Datenauswerter greifen über ihren Firefox-Browser auf die Datenbank zu.

NSA und BND nutzen XKeyscore, um damit im Internet nach Hinweisen und Verdächtigen zu fahnden. Für sie ist es eine Art Super-Google, um beispielsweise Sicherheitslücken in fremden Servern zu finden. Der Verfassungsschutz darf das rechtlich nicht. XKeyscore läuft bei ihm daher als komplett geschlossenes System. Es durchsucht Daten, die zuvor bei genehmigten Abhör- und Überwachungsmaßnahmen – sogenannten G-10-Maßnahmen – gesammelt wurden. Sie werden in XKeyscore eingespeist, dann beginnt das System seine Schnüffelarbeit.

Was kann XKeyscore?

Kommunikation im Web ist kompliziert. Webmailer verwenden dazu andere Protokolle als Facebook, YouTube oder Chatprogramme. Außerdem laufen viele Programme direkt im Browser auf dem Rechner des Nutzers. Dadurch werden zwischen dem Browser und dem Server des Kommunikationsanbieters oft nur Datenfragmente und einzelne Befehle ausgetauscht und nicht unbedingt komplette Datensätze, die die ganze Kommunikation beinhalten. Das macht es mühsam, solche Fragmente aus einem Datenstrom zu filtern, sie einer Anwendung zuzuordnen und sie wie ein Puzzle zusammenzusetzen. Viele dieser Daten sind dazu noch in einem eigenständigen Datenformat geschrieben, da Plattformen wie Facebook oder WhatsApp eigene Werkzeuge entwickeln.

XKeyscore kann solche IP-Daten zuerst einmal klassifizieren, also darin die Daten von ungefähr 800 verschiedenen Applikationen, Internetanwendungen und Protokollen erkennen und zuordnen. Egal ob Chat, Voiceover-IP oder Bilder – XKeyscore erkennt und versteht selbst noch die exotischste App und die darin enthaltenen Informationen. Alle Daten werden dabei Byte für Byte im Hexadezimalsystem dargestellt und auf dieser untersten Ebene der Datenverarbeitung in einem sogenannten Hex-Editor analysiert.

Der Verfassungsschutz bezeichnet XKeyscore daher auch als "Sortierwerkzeug". Diese Analyse geht sehr schnell und mit großen Datenmengen, Gigabytes sind für die Software kein Problem. Die Geschwindigkeit ist abhängig von der Größe des verwendeten Speichers. Der Verfassungsschutz musste seinen ziemlich schnell aufstocken, da die ursprüngliche Hardware mit den eingespeisten Datenmengen zu langsam vorankam.

Das ist aber nur der Anfang. XKeyscore – oder Poseidon, wie das System beim BfV genannt wird, damit kein Rückschluss auf die NSA möglich ist – kann mehr. Diese vorsortierten Daten kann das Programm entschlüsseln, also das Datenformat, in dem sie programmiert wurden, übersetzen und den Inhalt in eine Form bringen, die die Auswerter auch lesen können.

Sortieren, filtern, analysieren und neue Spuren finden

Außerdem kann Poseidon charakteristische Merkmale in den Daten finden und aus diesen einen "Fingerabdruck" erstellen. Das heißt, dass beispielsweise wiederkehrende Ortsangaben, bestimmte Kommunikationsmerkmale oder die Nutzung spezieller Programme dazu dienen, ein Verhaltensprofil einer Person zu entwickeln. Dieses Profil kann das Programm dann in neuen Daten wiederfinden und damit die Person darin identifizieren, selbst wenn nirgendwo ihr Name steht. Die NSA hat viele Tausende solcher Fingerabdrücke entwickelt, die wie eine maßgeschneiderte Suche funktionieren, um in unbekannten Daten bekannte Merkmale zu entdecken.

Aber auch für die inhaltliche Analyse der so sortierten Daten taugt das Programm. XKeyscore/Poseidon kann Benutzernamen, E-Mail-Adressen, Adress-Endungen oder Passwörter finden, es kann Chatkommunikation identifizieren und darstellen. Es kann bislang nicht bekannte Verbindungen zwischen bekannten Daten finden, beispielsweise einer E-Mail-Adresse und neuen Facebook-Profilen. Es kann auch alle Verbindungen anzeigen, die von einer einzelnen IP-Adresse ausgehen.

Der Verfassungsschutz nutzt XKeyscore ebenfalls, um irrelevante Daten auszufiltern, damit das Programm sich auf die Analyse der relevanten Daten beschränkt. Beispielsweise kann der Bediener festlegen, dass die Software alle YouTube-Videos ignoriert, die sich in einem Datensatz befinden – gleichzeitig aber alle Metadaten behält, die mit diesen YouTube-Videos verknüpft sind. Was in den Videos zu sehen ist, wird weggeworfen. Wer sie wann wohin herunterlud oder anschaute, wird hingegen anschließend gespeichert und analysiert. Das geht nicht nur mit Videos. Auf Basis von Applikations-IDs, von Fingerprints oder Schlüsselwörtern kann der Anwender entscheiden, welche Applikation so behandelt werden soll, also gezielt die gesuchte Applikation finden.

XKeyscore lässt außerdem einfache Suchanfragen nach einzelnen Begriffen in den Daten zu. Aber die Daten können auch mit komplexen Anfragen durchsucht werden, die viele Suchbegriffe oder eben Dateneigenschaften miteinander verbinden.

Solche Suchen können in den Metadaten, aber auch in den Inhaltsdaten erfolgen. Suchen können außerdem im gesamten bei XKeyscore gespeicherten Datenbestand, in einer bestimmten G-10-Anordnung, die mehrere Betroffene umfasst, oder in den Daten einer gezielten Person erfolgen, also nur einen überwachten Anschluss analysieren. So können beispielsweise alle Internetaktivitäten eines Beobachteten gezeigt werden, die während einer Überwachungsanordnung gesammelt wurden, um sie danach weiter zu filtern. Oder alle Videos, die heruntergeladen wurden. Das Programm kann aber auch alle Personen finden, die eine E-Mail mit einem bestimmten Betreff heruntergeladen haben.

XKeyscore erkennt in den Daten auch steganographisch veränderte Bereiche, also beispielsweise ein Bild, in dem eine andere Datei versteckt wurde.

Was will der Verfassungsschutz damit?

Vor allem zwei Szenarien sind für den Verfassungsschutz interessant. Das erste ist die Analyse von gefundenen Festplatten oder von Daten, die bei Telekommunikationsüberwachungen gesammelt wurden. Schickt das BfV einem Provider eine Überwachungsanordnung nach dem G-10-Gesetz, leiten die Anbieter sogenannte IP-Rohdaten aus, also alles, was über den Internetanschluss des Überwachten gelaufen ist.

Perseus, die eigene Software des Verfassungsschutzes zur Überwachung von Telekommunikation, sucht darin nach Inhalten, nach Mails oder Faxen. Poseidon, die XKeyscore-Version der Deutschen, analysiert dann die Metadaten. Poseidon ist kein Ersatz, sondern ein zusätzliches Werkzeug. Laut internen Akten des Verfassungsschutzes sollen so vor allem "technisch versierte Verdachtspersonen" untersucht werden, um deren Kommunikationsverhalten besser zu verstehen und zu analysieren. Es ist vorstellbar, dass der Verfassungsschutz alle Daten aus früheren Überwachungen, die er noch gespeichert hat, von Poseidon rastern lässt, um bislang unentdeckte Hinweise zu finden. Belege dafür finden sich in den Akten nicht, aber für das System wäre es kein Problem.

Im zweiten Szenario dient Poseidon dazu, die technischen Lücken der eigenen Überwachungsinstrumente zu erkennen und anschließend neue Werkzeuge zu entwickeln. Wenn Perseus etwas nicht findet, Poseidon aber schon, dann weiß der Verfassungsschutz, wo er seine eigene Software verbessern muss.

Was wurde bislang analysiert?

Aus den Akten, die DIE ZEIT und ZEIT ONLINE sehen konnten, ist nicht ersichtlich, welche und wie viele Daten insgesamt untersucht und ob sie an die NSA weitergeleitet wurden. Erwähnt sind mehrere Überwachungsanordnungen, die man während der Testphase im Jahr 2013 eingespeist hat. Insgesamt waren es demnach mindestens 800 Gigabyte Daten, die durch Poseidon/XKeyscore liefen.

Das klingt nicht viel. In einer Mitteilung des BfV an das Bundesinnenministerium vom August 2013 steht, dass allein am Internetknoten De-CIX in Frankfurt "pro Sekunde 176 Gigabyte an Daten" durchgeleitet werden. Aber der Vergleich ist irreführend. Durch den De-CIX laufen die Daten von Hunderten von Telekommunikationsanbietern und somit von vielen Millionen von Kunden. Überwachungen des BfV betreffen hingegen pro Anordnung immer nur wenige Menschen, manchmal fünf, manchmal 20, je nach Größe der überwachten Gruppe oder Organisation. Wenn von jedem davon auch nur 20 Gigabyte Kommunikationsdaten analysiert werden, was durchaus realistisch ist, genügt das, um so gut wie alles über das Leben des Betroffenen zu erfahren.

Poseidon/XKeyscore ist also nicht nur ein "Sortierwerkzeug", wie des das BfV nennt, es ist ein Werkzeug, um Menschen komplett zu durchleuchten.

Noch mehr Fakten zu den Funktionen und Fähigkeiten zu XKeyscore und wie die NSA es einsetzt, hat die Seite The Intercept hier veröffentlicht.

Verfassungsschutz - Der Preis sind unsere Daten Das Bundesamt für Verfassungsschutz hat die Spionagesoftware XKeyscore von der NSA erhalten – und sendet dieser dafür die Daten deutscher Bürger. ZEIT-ONLINE-Redakteur Kai Biermann kommentiert den Deal.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.