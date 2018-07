Gibt es im Internet ein Ausland? Und wenn ja, wie erkennt man es? Oder anders formuliert: Kann der Bundesnachrichtendienst (BND) irgendwie sicherstellen, dass er beim Datenfischen im Internet nicht auch ungewollt Daten von Deutschen erwischt? Es ist eine der wichtigsten technischen Fragen, die der NSA-Untersuchungsausschuss des Bundestages seit zweieinhalb Jahren zu klären versucht. Ja, er könne das, sagen BND und Bundesregierung unisono. Ein technisches Gutachten, das der Ausschuss in Auftrag gegeben hatte und das nun vorliegt, lässt Zweifel daran aufkommen.

Das Gutachten haben Kay Rechthien, Constanze Kurz und Frank Rieger vom Chaos Computer Club (CCC) geschrieben. Rechthien ist der Chief Technology Officer des Ecix, Deutschlands zweitgrößten Internetknotens, Kurz und Rieger sind zwei der Sprecher des CCC.

Der BND kann ihrer Meinung nach ohne tief gehende Analyse der Datenpakete nicht erkennen, ob es sich um die Kommunikation eines deutschen Grundrechtsträgers handelt. Was ein Problem ist, da der Dienst ohne gesonderte Genehmigung der G10-Kommission des Bundestages keine Deutschen überwachen darf.

Ist das, was der BND am De-Cix macht, legal?

"Eine einfache Unterscheidung zwischen inländischem und ausländischem Datenverkehr ist durch die Komplexität der Netzstruktur, die Vielfalt der Dienstemodelle […] und die schnellen Veränderungen von Routing-Pfaden, Netzbelegungen, die enormen Bandbreiten und die vielfache Schachtelung der Datenverkehre auf den Glasfaserleitungen nicht mehr möglich", schreiben die Gutachter.

Das ist kein Geheimwissen. Doch aufgrund der Behauptungen von BND und Bundesregierung wollte der NSA-Ausschuss diese technische Frage genauer untersuchen, da sie so zentral für die Beurteilung ist, ob der BND rechtmäßig handelt oder nicht. Denn diese Datenfilterung ist es, was der Nachrichtendienst am Frankfurter Internetknoten De-Cix versucht – und was nicht nur die Betreiber des De-Cix für illegal halten.

Der BND darf laut Paragraf fünf des G10-Gesetzes im Rahmen der sogenannten strategischen Fernmeldeüberwachung die Internetdaten von Ausländern sammeln und durchsuchen. So soll er seinen Auftrag erfüllen: Gefahren erkennen und abwenden, die Deutschland drohen.

BND braucht Deep Packet Inspection

Doch werden im Internet sämtliche Daten in viele kleine Pakete zerlegt und auf ganz unterschiedlichen Wegen verschickt. Denn das Internet hat nichts mehr mit dem Telefonzeitalter zu tun, als zwischen zwei Gesprächspartnern während des gesamten Gesprächs noch eine direkte, konstante Verbindung bestand.

Wer erkennen will, woher die Daten genau stammen und wohin sie gehen, wer mit wem kommuniziert, muss zu einem Verfahren namens Deep Packet Inspection greifen. Das CCC-Gutachten beschreibt diese Technik – und ihre Grenzen. Sie sei aufwändig, teuer und langsam, sodass es nur schwer möglich sei, damit den gesamten Verkehr einer Internetleitung zu filtern. Zitat: "Heute verfügbare Hardware für die tiefere Analyse ist in der Regel für Bandbreiten von 100 Gbit pro Schnittstelle ausgelegt, also etwa einem Zweihundertstel der auf einem Faserpaar transportierbaren Bandbreite." Um eine einzige Glasfaser überwachen und sauber filtern zu können, müssten demnach 200 Deep-Packet-Inspection-Systeme an dieser einen Faser installiert werden. Ein großer Aufwand.