Gibt es im Internet ein Ausland? Und wenn ja, wie erkennt man es? Oder anders formuliert: Kann der Bundesnachrichtendienst (BND) irgendwie sicherstellen, dass er beim Datenfischen im Internet nicht auch ungewollt Daten von Deutschen erwischt? Es ist eine der wichtigsten technischen Fragen, die der NSA-Untersuchungsausschuss des Bundestages seit zweieinhalb Jahren zu klären versucht. Ja, er könne das, sagen BND und Bundesregierung unisono. Ein technisches Gutachten, das der Ausschuss in Auftrag gegeben hatte und das nun vorliegt, lässt Zweifel daran aufkommen.

Das Gutachten haben Kay Rechthien, Constanze Kurz und Frank Rieger vom Chaos Computer Club (CCC) geschrieben. Rechthien ist der Chief Technology Officer des Ecix, Deutschlands zweitgrößten Internetknotens, Kurz und Rieger sind zwei der Sprecher des CCC.

Der BND kann ihrer Meinung nach ohne tief gehende Analyse der Datenpakete nicht erkennen, ob es sich um die Kommunikation eines deutschen Grundrechtsträgers handelt. Was ein Problem ist, da der Dienst ohne gesonderte Genehmigung der G10-Kommission des Bundestages keine Deutschen überwachen darf.

Ist das, was der BND am De-Cix macht, legal?

"Eine einfache Unterscheidung zwischen inländischem und ausländischem Datenverkehr ist durch die Komplexität der Netzstruktur, die Vielfalt der Dienstemodelle […] und die schnellen Veränderungen von Routing-Pfaden, Netzbelegungen, die enormen Bandbreiten und die vielfache Schachtelung der Datenverkehre auf den Glasfaserleitungen nicht mehr möglich", schreiben die Gutachter.

Das ist kein Geheimwissen. Doch aufgrund der Behauptungen von BND und Bundesregierung wollte der NSA-Ausschuss diese technische Frage genauer untersuchen, da sie so zentral für die Beurteilung ist, ob der BND rechtmäßig handelt oder nicht. Denn diese Datenfilterung ist es, was der Nachrichtendienst am Frankfurter Internetknoten De-Cix versucht – und was nicht nur die Betreiber des De-Cix für illegal halten.

Der BND darf laut Paragraf fünf des G10-Gesetzes im Rahmen der sogenannten strategischen Fernmeldeüberwachung die Internetdaten von Ausländern sammeln und durchsuchen. So soll er seinen Auftrag erfüllen: Gefahren erkennen und abwenden, die Deutschland drohen.

BND braucht Deep Packet Inspection

Doch werden im Internet sämtliche Daten in viele kleine Pakete zerlegt und auf ganz unterschiedlichen Wegen verschickt. Denn das Internet hat nichts mehr mit dem Telefonzeitalter zu tun, als zwischen zwei Gesprächspartnern während des gesamten Gesprächs noch eine direkte, konstante Verbindung bestand.

Wer erkennen will, woher die Daten genau stammen und wohin sie gehen, wer mit wem kommuniziert, muss zu einem Verfahren namens Deep Packet Inspection greifen. Das CCC-Gutachten beschreibt diese Technik – und ihre Grenzen. Sie sei aufwändig, teuer und langsam, sodass es nur schwer möglich sei, damit den gesamten Verkehr einer Internetleitung zu filtern. Zitat: "Heute verfügbare Hardware für die tiefere Analyse ist in der Regel für Bandbreiten von 100 Gbit pro Schnittstelle ausgelegt, also etwa einem Zweihundertstel der auf einem Faserpaar transportierbaren Bandbreite." Um eine einzige Glasfaser überwachen und sauber filtern zu können, müssten demnach 200 Deep-Packet-Inspection-Systeme an dieser einen Faser installiert werden. Ein großer Aufwand.

Überwachungslotto auf der Glasfaserleitung

Die BND-Beamten im NSA-Ausschuss sagten, man wähle die Internetleitungen, die anschließend überwacht werden sollten, vorher sehr genau aus. So vergrößere man die Chance, darin relevante Kommunikation von Terroristen oder Waffenschiebern zu finden. Und verkleinere die Gefahr, Deutsche zu erwischen.

Doch laut dem Gutachten lässt sich kaum vorhersagen, welche Daten auf einer ausgewählten Glasfaser ankommen werden. Man könne mit sogenannten Samplingtechniken und statistischen Analysen lediglich näherungsweise bestimmen, was gerade über eine Leitung laufe. Das ergebe aber nur "einen groben Durchschnitt der Arten des Verkehrs", schreiben die Autoren. So lasse sich erkennen, ob viele Videodaten darunter seien oder viele verschlüsselte Verbindungen. Damit das aufgrund der hohen Datenmengen überhaupt funktioniere, werde aber beispielsweise nur jedes 16.000. Datenpaket ausgeleitet und seine Metadaten analysiert.

Die Autoren des Gutachtens schreiben, es sei kaum möglich, "globale Aussagen über die Zusammensetzung des Internetverkehrs zu machen". Denn sie ändere sich ständig, sei abhängig vom Punkt des Datenabgriffs, von der Uhrzeit, vom Kommunikationsanbieter und vielen anderen Faktoren. Mit anderen Worten: Da alle Daten im Netz über immer neue Wege geleitet werden, garantiert die Auswahl einer bestimmten Leitung nicht, dass der BND auch die Informationen findet, die er sucht.

Das vom BND eingesetzte System bleibt ein Mysterium

Leider geht das Gutachten nicht auf die Technik ein, die der BND nach eigener Aussage einsetzt, um sicherzustellen, dass er keine Deutschen abhört. Man habe dazu ein dreistufiges Filtersystem entwickelt, sagten verschiedene BND-Leute im Ausschuss aus. Es heißt Dafis – was nichts weiter ist als die Abkürzung für Datenfiltersystem.

Demnach werden erst einmal alle Daten einer Glasfaserleitung ausgeleitet und in einen temporären Zwischenspeicher gepackt. Anschließend sortiert Dafis die Datenpakete aus, die mutmaßlich von Deutschen stammen. Der Rest, der übrig bleibt, ist in den Augen des BND "Routineverkehr" und darf von ihm verwertet, also durchsucht werden. Die genaue Funktion von Dafis ist geheim. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Dafis nie gesehen, dessen Hard- und Software nie geprüft. Trotzdem erlaubte das BSI, Dafis einzusetzen. Die Prüfung erfolgte allein aufgrund von Dokumenten und Beschreibungen des Systems. Wie der BSI-Prüfer im NSA-Ausschuss aussagte, wüssten nur zwei Instanzen, was Dafis genau tue: der Herrgott und der BND.

Damit es funktioniert, muss Dafis aber eben die Deep Packet Inspection nutzen – was den Filter langsam macht. Laut dem Gutachten müssen also schon aufgrund der schieren Menge an Daten Fehler passieren. Auch der BND gibt zu, dass Dafis nicht zu einhundert Prozent funktioniert. Zuletzt hatte die Bundesbeauftragte für den Datenschutz, Andrea Voßhoff (CDU), dem BND "schwerwiegende Rechtsverstöße" attestiert und dabei auch Dafis gemeint. Ihren als geheim eingestuften Prüfbericht hatte netzpolitik.org Anfang September veröffentlicht.

Derzeit bestimmt die Technik die Regeln, nicht das Gesetz

Noch ein Problem: Internetanbieter optimieren ihre Datenströme mit verschiedenen Techniken, um die Auslastung der Leitungen zu verbessern. Das kann dazu führen, dass die Datenpakete keine aussagekräftigen Beschreibungen mehr darüber enthalten, woher sie kommen und wohin sie wollen. In solchen Fällen ließen sich "praktisch keine verwertbaren Aussagen mehr über den Routingpfad oder die Geolokation von Start- und Zieladressen treffen", schreiben die Autoren.

Der BND weiß, was er tut und findet, was er sucht. Zumindest legen das die technischen Erläuterungen der BND-Leute im Ausschuss nahe. Die Zeit, als der Dienst als verschnarcht galt, ist lange vorbei. Dank der Hilfe der amerikanischen NSA hat auch der BND gelernt, das Internet auszuwerten. Darum aber geht es nicht. Die Gesetze müssen die Regeln festlegen, was der Geheimdienst suchen und finden darf, nicht die Technik. Das aber tun sie nicht – weder das alte BND-Gesetz noch das neue, das demnächst verabschiedet werden soll.

Der wahre Adressat des Gutachtens ist die Bundesregierung

Daher richtet sich das Interneterklärgutachten des CCC auch eher an die Bundesregierung. Denn die plant, dem BND einfach zu erlauben, was er sowieso schon tut: Daten massenhaft abzugreifen. In dem Gesetzentwurf wird die Überwachung von Auslandsdaten faktisch nicht geregelt, obwohl der Name des geplanten Gesetzes behauptet, das zu tun. Doch argumentiert die Bundesregierung, es brauche kein Gesetz, da für Ausländer der Schutz des Kommunikationsgeheimnisses nicht gelte, den Deutsche genießen.

Der Entwurf schafft sogar eine technische Beschränkung der Überwachung ab, die bislang galt. Mit der Begründung, der BND sei technisch sowieso nicht in der Lage, alle Internetkommunikation zu überwachen, wurde die sogenannte Zwanzigprozentregel entfernt. Der frühere Verfassungsrichter Hans-Jürgen Papier sagte vor Kurzem, es genüge nicht, technische Hürden anzunehmen. Die Ausstattung könne sich ändern. "Es müssen rechtliche Vorkehrungen getroffen werden."

Daher ist der Adressat des CCC-Gutachtens auch nicht der Bundesnachrichtendienst. Sondern es ist der Gesetzgeber. Er muss die Überwachung beschränken, nicht der BND.