Die Überwachungsprogramme der National Security Agency (NSA) namens Prism und Tempora waren offensichtlich nur die Spitze des Berges. Es gibt, wie Edward Snowden nun im britischen Guardian enthüllte, ein Programm, das noch viel mehr sieht und speichert: XKeyscore. Es bedient sich aus vielen Datenbanken und Quellen der NSA und analysiert vor allem Metadaten – also weniger die genauen Inhalte einer Kommunikation, sondern vielmehr, wer mit wem wann und wo kommunizierte oder wer was im Internet tat.

Es ist wieder eine Schulungspräsentation, die zeigt, was das Projekt XKeyscore kann. Und wer sich die Seiten durchliest, bekommt schnell den Eindruck, dass es das eigentliche Überwachungsprogramm ist. Snowden sprach in seinen ersten Berichten immer davon, dass er von seinem Arbeitsplatz aus jeden in Echtzeit überwachen konnte, wenn er nur dessen E-Mail-Adresse hatte. XKeyscore scheint das Programm zu sein, mit dem das geschieht.  

Was ist XKeyscore?

In einer offiziellen, von Snowden und dem Guardian enthüllten Präsentation sowie in einem dazugehörigen Artikel wird XKeyscore als System zum Analysieren und Ausnutzen digitaler Informationen bezeichnet (DNI Exploitation System/Analytic Framework). Das klingt recht allgemein, aber die Folien zeigen anhand vieler Beispiele, was für ein mächtiges Werkzeug zur Überwachung der Internetkommunikation sich die NSA da gebaut hat.

XKeyscore besteht aus einer Art Suchmaschine oder Eingabemaske für die NSA-Analysten, einer Benutzeroberfläche zum Betrachten der Informationen sowie einer gigantischen Datenbank. In dieser befinden sich Inhalte und Verbindungsdaten aus der Internetkommunikation sowie aus Telefongesprächen von Abermillionen Menschen. Es ist die größte Datenbank für Kommunikationsdaten der NSA.

Geheimdienstmitarbeiter können damit entweder einzelne Menschen gezielt überwachen, indem sie etwa bestimmte E-Mail-Adressen als Suchkriterium verwenden. Oder sie versuchen, bislang unbekannte Verdächtige zu entdecken, indem sie mithilfe breit gefasster Kriterien nach bestimmten Mustern und Auffälligkeiten im weltweiten Datenverkehr suchen.

Alle Daten, die das System sammelt, werden ungefiltert etwa drei Tage lang aufbewahrt. In dieser Zeit müssen die NSA-Mitarbeiter entscheiden, was sie für weitere Analysen langfristig speichern wollen. Sogenannte Metadaten werden darüber hinaus bis zu 30 Tage vorrätig gehalten. XKeyscore ermöglicht zudem eine Echtzeit-Überwachung von Internetaktivitäten.

Woher kommen die Daten für XKeyscore?

Im Jahr 2008, als die Präsentation erstellt wurde, bestand XKeyscore schon aus 500 bis 700 Servern an 150 verschiedenen Standorten in aller Welt. Diese Schnüffelpunkte sammeln Telefonnummern, E-Mail-Adressen, Daten zu Internetaktivitäten wie Log-ins, Inhalte aus Chats und Mail, Informationen über die verwendete Software von Internetnutzern, IP-Adressen, versendete Dokumente und Dateien, Suchbegriffe aus Suchmaschinen oder Gooogle Maps, Informationen über eingesetzte Verschlüsselungstechnik und vieles mehr.

Die Annahme, dass die NSA inzwischen sehr viel mehr dieser Sammelserver hat, ist nicht unwahrscheinlich. In den Folien steht, dass sich das System problemlos linear erweitern lasse. Es können also weitere Server dazugeschaltet werden.

All diese Daten werden zum einen vom Special Collection Service (SCS) beschafft, einer geheimen Kooperation  von NSA und CIA. Der Codename dieser Unterorganisation der Geheimdienste lautet F6, und dieser steht im nun veröffentlichten Dokument. Der SCS hat ein geheimes Budget und wurde mehrfach als eine Art Sondereinheit beschrieben, die für das Überwachen, Abhören und das Eindringen in fremde Computer zuständig ist, auch für das Verwanzen ausländischer Botschaften.

Zum anderen stammen die Daten für XKeyscore aus der Überwachung von Satellitenkommunikation (Fornsat) und von der NSA-Unterorganisation Special Source Operations (SSO). Die SSO ist für die Sammlung von Metadaten zuständig, diese bekommt sie unter anderem vom britischen Geheimdienst GCHQ, der die transatlantischen Glasfaserkabel anzapft.

Wer ist das Ziel von XKeyscore?

Normalerweise steht eine E-Mail-Adresse am Anfang einer Recherche in XKeyscore, in den Folien "strong selector" genannt.

Doch lässt das Programm auch völlig frei gewählte Recherchen zu. Bis zu 30 Tage zurück können die Analysten nach Auffälligkeiten suchen. Es geht dabei um Mustererkennung. In einer der nun veröffentlichten Folien steht: "Große Teile des Datenverkehrs im Netz sind anonym, können aber auf Anomalien hin untersucht werden, die sich dann mit anderen Methoden genauer beobachten lassen."

"Zeig mir alle, die in Iran PGP verwenden"

Was sind Anomalien? Für die NSA sind es beispielsweise Menschen, die eine für die Region, in der sie sich befinden, ungewöhnliche Sprache sprechen, oder die Verschlüsselung benutzen, oder die im Internet nach ungewöhnlichen Dingen suchen (suspicious stuff). Das ist weit gefasst und genau darum geht es. Gesammelt werden soll offenbar erst einmal alles, was mehr über die Kommunikation von Menschen im Netz verrät.

Das sogenannte HTTP-Activity-Plugin von XKeyscore speichert zum Beispiel alle HTML-Sprach-Tags, die es findet. Auch das sind Metadaten. Websites enthalten ein Kürzel, das angibt, in welcher Sprache sie verfasst sind. Damit wird es möglich, jemanden zu finden, der in Pakistan ist, aber im Netz dort auf Deutsch sucht oder sich deutschsprachige Seiten anschaut.

Das kann natürlich ein Terrorist sein, aber so viele gibt es davon auch wieder nicht. Wahrscheinlicher also ist, dass die Suche Mitarbeiter einer Hilfsorganisation zutage fördert oder Geschäftsleute oder einen deutschen Diplomaten. 

Laut den Folien kann eine Suchabfrage in XKeyscore auch lauten: "Zeig mir alle, die in Iran PGP verwenden". Oder auch: "Zeige mir alle Firmen in einem Land X, die VPN (Virtual Private Networks, Anm. d. Red.) anbieten und gib mir die dazugehörenden Daten, damit ich diese entschlüsseln und die Nutzer entdecken kann".

Viele Menschen, die keine Terroristen sind, nutzen inzwischen Verschlüsselung und Anonymisierungswerkzeuge. So sind VPN bei Dissidenten beliebt, weil sich damit die regionalen Beschränkungen zum Beispiel in China umgehen lassen. Hierzulande werden sie gern genutzt, um im deutschen YouTube gesperrte Videos betrachten zu können. Verschlüsselung aber ist der NSA verdächtig, egal wofür sie eingesetzt wird.

XKeyscore speichert auch, welche Dateien sich jemand im Internet angeschaut hat. Das Programm merkt sich den Dateinamen und das Dateiformat. Ohne zu wissen, was sich in der Datei selbst wirklich befand, lassen sich damit Analysen vornehmen. Die Folie nennt als Beispiel: "Zeige mir alle Microsoft Excel Spreadsheets, die MAC-Adressen enthalten, die aus dem Irak kommen, sodass ich eine Netzwerk-Kartierung vornehmen kann." 

MAC-Adressen sind so etwas wie Gerätenamen, jeder Rechner, jedes Mobiltelefon hat einen solchen 48 Bit langen Adresscode und ist damit eindeutig wiederzuerkennen. Kommunizieren zwei Geräte über das Netz miteinander, werden dabei auch die MAC-Adressen übertragen, um sicherzustellen, dass die richtigen Gesprächspartner miteinander verbunden sind.

Wenn die NSA alle MAC-Adressen kennt, die bei der Verbreitung eines bestimmten Excel-Dokumentes eine Rolle spielten, kann sie diese an anderen Stellen im Netz suchen. Damit wird es möglich, die Quelle eines Dokumentes zu finden, von der aus es sich verbreitet hat. Die Analysten können aber auch nachschauen, wo sich die Geräte und damit die Menschen befinden, zu denen die MAC-Adressen gehören und ob und wie oft sie miteinander kommunizieren. Ihr Netzwerk kann damit kartiert werden und der NSA zeigen, wer in einer Gruppe als Planer wichtig ist, wer als Kurier, wer als Leiter.

Das ist nützlich, um die Struktur beispielsweise von terroristischen Zellen zu verstehen. Allerdings ist die Gefahr hoch, dass Unbeteiligte in dieses Suchraster geraten, weil sie sich bestimmte Dokumente aus Neugier oder Zufall angeschaut haben.

Dafür gibt es noch ein Beispiel: XKeyscore beobachtet offensichtlich auch die Suchabfragen bei Google. Ein in einer Folie zitiertes Beispiel beschreibt, dass Analysten nach Menschen suchen können, die auf der pakistanischen Google-Seite in englischer Sprache nach Fotos von Islamabad suchen. Die Vorstellung, dass es sich dabei um Touristen handelt, liegt sicher näher als die, dass der Suchende ein Terrorist war.

Welche Fragen sind noch offen?

Die in den Folien gewählten Formulierungen wie die zum Enttarnen von VPN-Nutzern sind nicht detailliert genug, um daraus ableiten zu können, ob die NSA generell verschlüsselte Kommunikation via VPN überwachen und mitlesen kann. Sicherheitsexperten mutmaßen, dass die NSA allenfalls schwache Implementierungen angreifen kann.

Unklar ist auch, wie die NSA zum Beispiel an Suchbegriffe kommt, die jemand bei Google eingibt, oder an die Inhalte aus Facebook-Chats, zumal in Echtzeit und zumal Google und nun auch Facebook standardmäßig eine SSL-Verschlüsselung benutzen, um ihre Nutzer zu schützen. Facebook betont auch noch einmal, dass es keinen direkten Zugriff der Behörden auf die Server des Unternehmens gibt.

Schließlich stellt sich die Frage nach der Effektivität des Systems. Die Business Week weist hämisch darauf hin, dass die NSA es nicht einmal geschafft hat, die "drei Stooges des Terrorismus" – die Zarnajews, den Unterhosenbomber Umar Farouk Abdulmutallab und den Times-Square-Bomber – zu fassen, bevor sie zur Tat schritten. Gleichzeitig prahlt das Schulungsdokument aber damit, dass dank XKeyscore bereits 200 Terroristen gefunden wurden. Wie viele Unschuldige dabei im Raster des Geheimdienstes hängen blieben, sagen die Unterlagen nicht.