Einige erstaunliche Fähigkeiten bei der Internetüberwachung hat der BND, wie der Untersuchungsausschuss nun weiß. Beunruhigend ist die mangelnde Kontrolle des Dienstes.
Empfangsanlage in der BND-Außenstelle in Bad Aibling nahe der Mangfall-Kaserne | © Stephan Jansen / dpa
Der Bundesnachrichtendienst (BND) überwacht den Internetverkehr, so viel ist schon länger klar. Aber was für Daten saugt er dabei eigentlich ab? Und was passiert mit ihnen? Der Untersuchungsausschuss des Bundestages hat diese Fragen zumindest zum Teil beantworten können.
Hier die bisher bekannten und teils beunruhigenden Fakten:
Der BND hat mindestens zwei große und mehrere kleinere Datenbanken. Die erste große heißt InBe, ein Akronym von Inhaltliche Bearbeitung. Darin werden Telefongespräche, E-Mails und Faxe gesammelt, in denen vor allem Ausländer Dinge besprochen haben, die aus Sicht des BND für Deutschland gefährlich und relevant sind. Wie groß diese Datenbank ist und wie viele einzelne Gespräche darin liegen, ist nicht bekannt. Einzige Aussage dazu: Aktuell seien „mehrere Hunderttausend Daten“ darin gespeichert, auch von deutschen Staatsbürgern. Was „Daten“ in diesem Zusammenhang bedeutet, ist unklar.
Welche Schlüsse aus diesen Daten gezogen werden, wurde zumindest umrissen. Demnach wird darin automatisch nach bestimmten Schlagwörtern, Hinweisen, Punkten gesucht. Von der Software als auffällig identifizierte Mitschnitte werden dann von einem Mitarbeiter mit entsprechenden Sprachkenntnissen angesehen und ausgewertet. Sind sie nach seiner Meinung interessant, erstellt er oder sie daraus ein „Meldungsvorprodukt“, eine Art Zusammenfassung des Inhalts. Die geht nach Pullach, wo sie von Auswertern weiterverarbeitet wird.
Man kann dabei den Eindruck gewinnen, dass der BND der Menge an Kommunikationsinhalten nicht Herr wird. Es sind zu viele, der Nachrichtendienst hat offenbar nicht genug Leute mit den entsprechenden Sprachkenntnissen, um alles zu analysieren. Inhaltsanalyse scheint daher beim BND seit einiger Zeit kein Schwerpunkt mehr zu sein.
Das führt zur zweiten großen Datenbank, zu VerAS. Die Abkürzung steht für Verkehrsanalysesystem. Darin werden Metadaten gesammelt. Also nicht die Inhalte von Gesprächen, E-Mails oder SMS, sondern alles, was als Daten um diese Kommunikation herum anfällt: Wer kommunizierte mit wem, wann und wo tat er das, wie lange und womit et cetera.
Es ist das gleiche Prinzip, nachdem die Vorratsdatenspeicherung funktionieren sollte. Wenn man weiß, wer mit wem wie oft redete, kann man Beziehungen erkennen, auf Pläne schließen, ja ganze Netzwerke aufklären. Ziel ist es, entweder auf noch unbekannte Menschen aufmerksam zu werden, die möglicherweise etwas planen, oder mehr über bereits bekannte Verdächtige zu erfahren. Beispielsweise soll VerAS jemanden anhand seines Kommunikationsprofils wiederfinden können, auch wenn er ein Handy benutzt, dessen Nummer der BND noch gar nicht kennt.
Metadaten lügen nicht
VerAS beweist, wie aussagekräftig Metadaten sind und wie viel mit ihnen möglich ist. Allein dadurch, dass Metadaten strukturiert vorliegen und sich leichter bearbeiten lassen als Kommunikationsinhalte, ergibt sich ein Vorteil. Denn es muss niemand den Zusammenhang verstehen, um daraus Schlüsse ziehen zu können. Metadaten lügen nicht. Projekte wie die Visualisierung der Vorratsdaten des Grünen-Politikers Malte Spitz oder der Metadaten des Bits-of-Freedom-Anwalts Ton Siedsma haben das schon öffentlich demonstriert. Der BND nutzt so etwas längst für seine tägliche Arbeit.
Er geht dabei auch weiter, als es beispielsweise die NSA tut. In den Daten kann bis in die vierte und fünfte Kontaktebene gesucht werden, also beispielsweise nach dem Lebensgefährten der Mutter der Freundin des Anwalts des Verdächtigen. Wie sinnvoll das ist und wie oft das tatsächlich getan wird, ist nicht klar. Aber es ist technisch möglich. Das ist erstaunlich genug: Der NSA ist es nur erlaubt, drei Ebenen tief zu suchen (also bis zur Freundin des Anwalts des Verdächtigen), künftig soll es sogar auf zwei Ebenen beschränkt werden, also auf den Anwalt des Verdächtigen.
Die NSA entscheidet, wonach gesucht wird
Die Software des BND sucht dazu in dieser Datenbank nach bestimmten Selektoren, wie sie intern genannt werden, also nach einzelnen Merkmalen. Das kann eine Handynummer sein, eine IP-Adresse, ein Name, ein Datum, ein Ort.
Solche Selektoren können vom BND selbst kommen. Der große Teil aber kommt wohl von der NSA. Mehrmals am Tag lade der BND von einem Server der NSA Selektoren herunter und gebe sie in seine Datenbank ein, hieß es im Untersuchungsausschuss. Anschließend werden die Ergebnisse nach Pullach zur Auswertung geschickt und von dort aus zum Teil auch weiter an die NSA. Auftragsdatenverarbeitung für die Amerikaner also.
Woher kommen die Daten für VerAS? Wie bei InBe sind nicht alle Quellen bekannt. Sicher ist dass sie ebenfalls aus dem Abhören von Kommunikationssatelliten und dem Belauschen „leitungsgebundener Kommunikation“ stammen, also aus Internetkabeln. Der Internetknoten De-CIX in Frankfurt war eine Quelle. Von den Antennen Bad Aiblings abgefangene Satellitenkommunikation eine zweite, in Ländern wie Afghanistan mitgeschnittene Kommunikation eine dritte. Aber es gibt ? soviel ist sicher ? noch weitere Quellen. Es scheint, dass der BND direkt oder indirekt auch Zugang zu Seekabeln besitzt und dort Internetkommunikation in unbekannter Größenordnung mitschneidet.
lesenswerte Info zum Thema News im Blickpunkt