Die Geheimdienste überwachten 2010 37 Millionen E-Mails und Datenverbindungen
26.2.2012 0:29
Da ging heute eine von der BILD-Zeitung initiierte Meldung durch die Presse, wonach 37 Millionen E-Mails (und andere Datenverbindungen) überwacht wurden. Mehrere Leute fragten mich, ob ich dazu was schreiben könnte.
Die Sache beruht auf dem sogenannten G10-Gesetz, das die Beschränkung des Brief-, Post- und Fernmeldegeheimnisses gegenüber den Geheimdiensten unter gewissen Voraussetzungen erlaubt. Anlaß ist ein Bericht gegenüber dem parlamentarischen Kontrollgremium, in dem die genaueren Angaben zu finden sind.
Hört sich schrecklich an, oder? Ist aber viel von Panikmache und Suggestion.
37 Millionen E-Mails und andere Datenverbindungen hört sich nach schrecklich viel an, ist es aber nicht. Das entspricht von der Größenordnung her der Zahl der Internet-Nutzer in Deutschland, macht ungefähr eine Größenordnung von 1 E-Mail pro Benutzer und Jahr. Ich weiß von einem Mail-Relay von ein paar Privatleuten, der alleine schon bei einem Durchsatz von ungefähr 10 Millionen Mails pro Jahr liegt. Und bedenkt man, daß der E-Mail-Verkehr zu über 90% aus Spam besteht (was sich durchaus auch nachteilig ausgewirkt hat, wie im Bericht erwähnt wird), relativiert sich das noch einmal.
Übrigens entfielen nur etwa 10 Millionen davon auf den Bereich Terrorismus, der Rest auf Proliferation und Rüstung (also Lieferung von Massenvernichtungswaffen usw.). (Manche Blogger wie z. B. Annalist wunderten sich, wie die Bild-Zeitung auf die Zahl 37.292.862 käme. Addiert man aber die im Bericht für die beiden Bereiche angegebenen Zahlen kommt man direkt auf das Ergebnis: 10213329 + 27079533 = 37292862) Deshalb erlaube ich mir die Nebenbemerkung, daß man sich überlegen sollte, was man eigentlich will. Man kann sich durchaus vertretbar auf den Standpunkt stellen, daß der Terrorismus übertrieben wird und für alles als Ausrede herhalten muß. (Man kann aber, was vielen nicht gefallen wird, durchaus ebenso vertretbar anderen Standpunktes sein.) Daß (insbesondere heimlicher oder krimineller) Waffenhandel nicht gut ist und bekämpft werden muß, darüber besteht aber wohl ein gesellschaftlicher Konsens. Man bedenke etwa, daß noch immer nicht klar ist, wie Gadaffis Truppen an so viele Sturmgewehre aus deutscher Produktion kommen konnten. Nun machen sie was, und es ist auch wieder nicht gut. Momentan gibt es so eine sehr staatskritische, linkstendenzielle Meinungswelle, alles was der Staat macht, als böse hinzustellen. Gleichzeitig gegen Waffenhandel und gegen Telekommunikationsüberwachung zu sein hat was von „Wasch mich, aber mach mich nicht naß!” Man kann gegen vieles sein, aber nicht plausibel gegen alles. Irgendeine Handlungsweise muß man übrig lassen, die man nicht kritisiert, sonst setzt man sich dem Vorwurf aus, willkürliches Kritisieren als Masche einzusetzen.
Eine Frage, die an mich herangetragen wurde, war
Vielleicht können Sie technisch erklären, was “gebündelte Übertragung” bedeutet, wie man dabei geheimdienstlich Suchworte findet (z.B. Bombe) und was man dann machen kann, um aus 37 Mio Emails die angeblich 12 relevanten (Drucksache 17/8639, S. 6) herauszufiltern. Und wie man die dann lesen und weiterverfolgen kann.
Ich weiß nicht, wie sie es konkret machen. Aber ich weiß, daß da eigentlich nur eine Methode übrig bleibt, eine solche Überwachung durchzuführen. Ich war über gewisse Zeit bei einem Telekomunikatiosanbieter vertretungsweise für die TKG-Angelegenheiten wie Ausleitungen zuständig, und dabei sind mir diese G10-Überwachungen nicht untergekommen. Es wäre technisch auch nicht sinnvoll, sich für Massenüberwachungen an die Endkunden-Provider zu wenden. Das wäre viel zu komplex, aufwendig und störanfällig.
Dabei ist zu beachten, daß es hier – anders als etwa bei der gezielten Überwachung einer bestimmten Person oder eines bestimmen Anschlusses – mehr um eine Stichprobenartige Überwachung des gesamten Querschnittes geht, und sowas macht man an den großen Backbones und Austauschknoten. Da wird man vermutlich die übertragenen Sprach-, Fax- und Internet-Daten einfach an die entsprechenden Überwachungseinrichtungen anschließen. (Bis vor 10 Jahren war ich Security-Heini beim ersten und damals größten deutschen Internet-Provider. Mich sprach auf einer Veranstaltung damals jemand von den Geheimdiensten an, sie würden würden das gerne überwachen, wie sie das anstellen könnten. Ich habe ihm damals lachend gesagt, daß wir gerade unsere neuen Glasfaser-Euro-Ringe fertig haben und die 77 Terabit pro Sekunde machen, und gefragt, ob sie einen Hobel hätten, der das abhören und aufzeichnen könnte. Da ist er ziemlich blaß geworden und hat nichts mehr gesagt. Heute sieht das technologisch aber anders aus. Man muß sich nur mal anschauen, was schon die öffentlich und gar nicht geheim verfügbaren Border Controller für Internet Provider so drauf haben.)
§ 5 des G10-Gesetzes bezieht sich explizit auf internationale Telekommunikationsverbindungen. Da bietet es sich geradezu an, an die Verbindungsstellen zum Ausland zu gehen (vgl. auch die sogenannte „Auslandskopfüberwachung”, die etwas ähnliches, nur eben mit genau bestimmter Kommunikation treibt).
Man wird sich also an diese Verbindungsstellen hängen. Für Telefonverbindung muß man eben eine akkustische Spracherkennung einsetzen. Für Faxe eben OCR. Und für E-Mail muß man aus dem Internet-Strom die Pakete rausfischen, die an Port 25 gehen bzw. erkennbar SMTP sprechen, um direkt den Text zu gewinnen.
Hat man solche SMTP-Pakete, kann man ohne weiteres den TCP-Strom wieder zusammensetzen und dann ganz normal den Inhalt der E-Mail gewinnen. Darin dann nach den gesuchten Stichworten zu suchen ist eine Aufgabe für die einschlägigen Algorithmen (die z. B. darauf beruhen, endliche Automaten zu bauen) oder ein cluster schneller Vergleicher an einem Schieberegister. Auf diese Weise kann man aus einem großen Strom von E-Mails sehr schnell die herausfinden, die mit einem ersten schnellen automatischen Mustervergleicher anschlagen und diese dann einer weiteren, langsameren aber genaueren Untersuchung zuführen. Und genau das beschreiben sie ja hier auch, nämlich daß sie diese 37 Millionen Verbindungen, die automatisch detektiert wurden, weiter untersucht haben und dann nur 180 übrig blieben.
Das heißt nicht notwendigerweise, daß die weitere Bewertung der 37 Millionen Verbindungen durch Menschen erfolgte, die das gelesen haben. Sondern daß man mit anderen Verfahren weitergemacht hat. Beispielsweise könnte man darauf Software mit Heuristiken und ausführlicher Textanalyse loslassen, viel zu langsam wäre, um den vollen E-Mail-Strom zu untersuchen. Und die beispielsweise kontextsensitiv arbeitet oder weitere Bewertungen vornimmt. Man wird also mit schnellen, aber ungenauen Verfahren anfangen, um eine immer engere Auslese zu erreichen und auf immer weniger Nachrichten immer bessere aber aufwendigere Verfahren anwenden, bis am Ende tatsächlich Menschen sitzen, die das lesen. Aus dem Inhalt der Mails und den Verbindungs- und Header-Daten wird man Rückschlüsse darauf ziehen können, was wann wo passiert. Suchkriterien für weitere Mails finden und so weiter. Kann man so pauschal nicht sagen, weil das sehr vom Einzelfall abhängt.
Manche Leute machen sich gerade über die Zahlenverhältnisse lustig oder geben sich schockiert, daß es eben unter 37 Millionen Nachrichten nur 180 waren, die wirklich relevant waren. Das ist aber eigentlich sehr laienhaft, um nicht zu sagen dumm, denn um aus dieser großen Menge von Nachrichten die relevanten herauszufinden, muß man notwendigerweise ein mehrstufiges Verfahren einsetzen, das in der ersten Stufe sehr einfach und schnell arbeitet und damit notwendigerweise viele False Positives liefert. Da herrscht viel Propaganda, Desinformation und Panikmache. Um sich wirklich eine Meinung zu bilden, sollte man eher überlegen, was einem die 180 Treffer dann tatsächlich qualitativ gebracht haben und ob das den Aufwand und den Eingriff in das TK-Geheimnis im Sinne rechtsstaatlicher Verhältnismäßigkeit rechtfertigen kann. Dummerweise steht aber gerade das nicht in dem Bericht. Ein wesentlicher Kritikpunkt muß meines Erachtens sein, daß sich die Berichtspflicht auf quantitative Angaben beschränkt, obwohl man die Sache meines Erachtens gerade nicht anhand der Quantität, sondern anhand des qualitativen Ergebnisses beurteilen muß. Und diese Informationen fehlen schlichtweg. Das heißt noch nicht, daß die Überwachung selbst unverhältnismäßig ist, sondern daß deren Kontrolle durch den Bundestag nicht funktioniert und man nicht feststellt ob es verhältnismäßig ist. Vielleicht tut man das auch, nur außerhalb dieses Berichtes. Vielleicht gibt es noch einen geheimen Anhang. Ich weiß es nicht.
Hüten sollte man sich aber vor den Agitatoren, die jetzt – wie auch schon bei der Vorratsdatenspeicherung – allein mit irgendwelchen Zahlenverhältnissen Meinung und Stimmung machen. Der untrainierte Mensch fällt so gut wie immer auf Zahlenverhältnisse herein. Das ist aber falsch. Wenn man von der Vorratsdatenspeicherung in einem Jahr vielleicht 10 Kriminalfälle aufdeckt, kommt es nicht auf die Zahl 10 an, sondern ob es Beleidigungen oder Kindermorde waren. Es ist aber sehr leicht, ein breites Publikum durch Zahlen zu beeindrucken, obwohl man eigentlich gar nichts gesagt hat. (Buchtipp: „So lügt man mit Statistik”.) Da hat die Bevölkerung echte Lücken im Allgemeinwissen und der Medienkompetenz. Und viele Leute machen sich Volkes Oberflächlichkeit zu Nutze.
Was mich an der Sache auch stört, ist die aufgesetzte und geheuchelte Überraschung. Seit mindestens 10 Jahren beten wir in den Medien rauf und runter, daß E-Mails ungeschützt übertragen werden, wenn sie nicht vom Absender bewußt verschlüsselt werden, und den Eintütungswert einer Postkarte haben. Man muß schon das Gemüt eines BILD-Lesers haben, um sich nun davon überraschen zu lassen, daß E-Mails abhörbar sind und abgehört werden. Millionen von Deutschen schicken jeden beliebigen Kram über Facebook, E-Mail usw. durch die Gegend, und keinen juckt’s.
Ich habe während des Studiums, weiß nicht mehr so genau, wann das war, Ende 80er, Anfang 90er irgendwann, damals noch im Studentenwohnheim mit meinem Amiga, erste Versionen von PGP ausprobiert, und am EISS haben wir damals auch Verschlüsselungssoftware entwickelt. Und damals gab es noch kein Internet außerhalb der Universitäten, und auch da nur für Eingeweihte. Trotzdem hatte ich damals mehr E-Mail-Partner, mit denen ich PGP-verschlüsselt gemailt habe, als heute. Kaum jemand hält es heute noch für angebracht, sich über die Verschlüsselung seiner Kommunikation Gedanken zu machen. In jedem noch so versifften Hotel- oder Tagungs-WLAN volles Rohr, immer drauf, und natürlich alles immer über das Ausland.
Man könnte sich schon relativ einfach gegen solche Überwachung schützen indem man TLS einschaltet. Gegen einen rein passiven Angreifer, der nur abhört und nicht eingreift, nützt es schon in der dümmsten Betriebsart ohne Verifikation der Zertifikate. Aber: Lächerlich wenige Firmen und Provider nutzen TLS. Kümmert in Deutschland kaum eine Sau. Ich habe unlängst als Security-Manager eines Telekommunikationsunternehmens (und da geht es immerhin auch um Datenschutz, Kontendaten, TKG-Angelegenheiten usw.) angeordnet, TLS für SMTP einzuschalten. Nöh, machten die nicht. Wäre ja Aufwand. Sie fanden das ganz toll und vom Aufwand her gerade noch akzeptabel, daß als äußerer Mail-Relay zum Internet hin der E-Mail-Spam/Virenscanner steht. Da nochmal was richtiges davorzuschalten wäre ja nur eine zusätzliche Fehlerquelle, meinten sie. Der Hersteller des Mail-Scanners unterstützte seinerseits aber kein TLS, weil’s dafür eigentlich auch nicht gedacht war. Und deshalb gibt es da halt kein TLS.
PGP-Verschlüsselung gab es auch nicht, weil man dort Microsoft Outlook einsetzt, und die PGP-Software für Outlook ist so übel schlecht, daß nicht mal ich damit richtig klargekommen bin, noch weniger natürlich Mitarbeiter anderer Berufsgruppen.
S/MIME wäre was gewesen. Ging aber auch nicht, weil man noch eine alte Version von Microsoft Exchange eingesetzt hatte, die mit Signaturen usw. nicht umgehen konnte. Aus rechtlichen Gründen mußte das Ding so eingestellt werden, daß er an jede Mail unten ein Impressum (Steuernummer, bei welchen Gericht, Geschäftsführer und all der Kram) dranklatschte, und damit alle Signaturen zerschlug.
Und zu kompliziert war’s den Leuten sowieso. Bestenfalls die Attachments wurden gelegentlich als ZIP-Archive mit Verschlüsselung verschickt.
Deshalb wird hier die allermeiste E-Mail-Kommunikation unverschlüsselt geführt. Obwohl seit mindestens 10 Jahren gepredigt wird, daß unverschlüsselte E-Mail Freiwild ist. Das wird ignoriert wie ein Tempo-70-Schild an einer bayerischen Landstraße. Steht aber dann in der Presse, daß abgehört wird, dann sind plötzlich alle überrascht. So wie man darüber überrascht ist, daß Facebook Daten sammelt. Der eigentliche Skandal ist nicht das Abhören, sondern die Inkompetenz des Volkes im Umgang mit modernen Medien, und die Unfähigkeit der Informatik, brauchbare Verschlüsselungssoftware zu produzieren.
Wie naiv und törricht muß man eigentlich sein, um seine Mails über Google, Hotmail, Facebook und wie sie alle heißen, abzuwickeln, die alles verwursten, und sich dann darüber aufzuregen, daß der deutsche Geheimdienst gerade mal 37 Millionen Mails untersucht hat?
Nur mal zum Vergleich: Vor 6-8 Jahren hatte ich diverse Kunden aus dem Pharmabereich, denen ich Firewalls und Mail-Relays installiert habe. Die Relays auf Basis von Postfix, selbstverständlich TLS entsprechend eingeschaltet. Das hat sie aber nicht interessiert. Vorher schon hatten sie ihre vertraulichen E-Mails unverschlüsselt über ein öffentliches Stadtnetz-WLAN rausgeblasen. Einige Monate später schloß der Vorstand einen Joint-Venture-Vertrag mit zwei amerikanischen Pharma-Firmen. Und sofort kam von den Amis eine mehrseitige präzise Anforderung, das man jede E-Mail-Konfiguration mit ihnen ausnahmslos per TLS verschlüsseln müsse. Weil’s ganz, ganz, ganz dringend und eilig war, rief man mich und verlangte, daß ich ganz, ganz, ganz schnell mache, daß das geht. Und sie haben sich wie die Schneekönige gefreut, als ich ihnen sagte, daß sie das bereits haben, daß ich nur noch schnell die Zertifikate in die Liste eintragen muß. Die Amis haben es durchgesetzt, die Deutschen hat es eigentlich nicht interessiert. Hauptsache Vertrag erfüllt, Joint-Venture kann losgehen.
Eines aber stößt mir dabei sehr sauer auf:
Ich bin mit meiner E-Mail nicht bei einem großen Massenprovider, sondern mache das mit ein paar Leuten selbst. Allerdings mit begrenztem Zeit- und Geldaufwand. Perfekte Sicherheit können wir da auch nicht liefern. IMAP gibt es nur SSL-verschlüsselt. Und aus diversen Gründen haben wir kein Zertifikat von einer offiziellen CA, sondern selbstgebastelte. Kostet halt nix, soll ja billig sein.
Unterwegs verwende ich ein Android-Handy. Zu Hause einen iPod und ein iPad. Seit dem Upgrade des iOS auf die Version 5 kann ich nicht mehr auf den IMAP-Server zugreifen, die Dinger brechen einfach die Verbindung ab. Obwohl ich die Zertifikate eingespielt habe und es mit Version 4 noch ging. Ich habe den Bug vor Monaten an Apple gemeldet, und sie haben ihn sofort als „serious” eingestuft. Und nach einiger Zeit den Bug als Doppel notiert, es handele sich um einen schon bekannten Bug. Das führte aber nur dazu, daß ich im Bug-System von Apple den früheren Bug nicht einsehen kann, weil ich an dem nicht beteiligt bin. Also sehe ich überhaupt nicht mehr, was sie da machen und woran es liegt. Ich sehe nur, daß gar nichts mehr passiert. Auch der Web-Browser kann nicht auf die HTTPS-Seiten zugreifen. Gleiches Problem.
Anfangs habe ich es für einen Bug gehalten. Bugs passieren, sowas kommt vor.
Nachdem Apple aber schon seit Monaten nicht in der Lage sein will, einen solchen fundamentalen serious bug, der ja schon länger bekannt sein soll, in Ordnung zu bringen, es inzwischen eine neue iOS-Version gab und man mich da komplett von den Informationen zum Bug abgeschnitten hat, kommt mir so langsam der Gedanke, ob da nicht vielleicht Absicht dahinterstecken könnte, um die Leute vom Einsatz selbstgebastelter Mailserver ab- und sie zur Nutzung großer Standardanbieter zu bewegen, bei denen man staatlichen Zugriff auf die Mails hat.
Vielen herzlichen Dank!
Wollen Sie nicht diese Woche mal jeden Abend in eine öffentlich-rechtliche Talkshow gehen und denen ein paar der hier aufgeschriebenen Geschichten erzählen, damit die wenigstens eine Ahnung von dem vermitteln, worum es geht?
Ich als Laie habe auch ein paar Erlebnisse mit Verschlüsselungen, die am Ende immer darauf hinaus liefen, dass es nicht geklappt hat und dann halt unverschlüsselt gehen musste.
Zum “Abhör”-Verfahren: Dem PKG-Bericht entnehme ich zumindest andeutungsweise, dass die 37 Mio. Mails keine Zufallsstichprobe sind, dass aber die G-10-Kommission auch nicht sowas sagen kann wie “ja, überwacht halt mal alles, was ihr kriegen könnt”, sondern in irgendeiner Weise Einsatzgebiete definieren muss. Wie die definiert sind, habe ich im Bericht aber auch nicht gefunden. Das kann daran liegen, dass er – wie Sie richtig feststellen – rein quantitativ (uninformativ) ist.