Josef Pichlmayr, Geschäftsführer der Security-Softwarefirma Ikarus, erklärt, wie die NSA an ihre Daten gelangt sein könnte.
Die Presse: Wie konnte die NSA an die Informationen kommen? Fachportale bringen mittlerweile Tier-1-Provider, also die Hauptnetzwerke des Internet, ins Spiel. Was heißt das?
Josef Pichlmayr: Das heißt, die Amerikaner zapfen direkt die Glasfaser-Kabel an, mit denen alle verbunden sind, um dort quasi eine Kopie des Internetverkehrs abzusaugen. Dort läuft ja alles zusammen. Und dann ist es einfach: Sie können auf jedes Mail, jedes Login, jedes Post, das es im Netz gibt, zugreifen.
Das klingt nach Hollywood.
Nein, das Absaugen von Daten gibt es schon seit Echelon. (Anm.: Ein von den Amerikanern und seinen Verbündeten in den 70ern gegründetes weltweites Spionagenetzwerk.) Bei Echelon war es schon so, dass direkt aus den Kommunikationsnetzen die Daten abgesaugt wurden. Das ist nicht wirklich neu.
Was ist dann neu?
Was jetzt hinzukommt – zumindest wird das vermutet – ist, dass die Amerikaner jetzt direkt auf die Server von Microsoft, Google und Apple zugreifen, die bei Tier-1-Anbietern wie „Verizon“ stehen. Für die Amerikaner wäre das angenehm. Wenn ich nämlich den gesamten Internetverkehr absauge, habe ich nämlich ein anderes Problem: Wie finde ich dann heraus, welche Daten für mich relevant sind. Wenn sie direkt auf die Server zugreifen, sind die Daten leichter zu verarbeiten.
Facebook und Co. dementieren alles. Ist es möglich, dass sie nichts gewusst haben?
Ich kann nur spekulieren. Solange die Daten über die Glasfaser abgesaugt wurden, kann Google oder Facebook de facto nichts gewusst haben. Hat die NSA tatsächlich in dem behaupteten Ausmaß auf die Server zugegriffen, die von Google und Co. betrieben werden, dann lügen sie.
Es ist ihnen vielleicht nicht aufgefallen.
Das ist im Kleinen möglich, aber sicherlich nicht im großen Stil, wie Snowden es beschrieben hat. Das würde auffallen .
Gab es über so etwas keine Gerüchte in der Branche?
Hinter vorgehaltener Hand und in Expertenkreisen wird schon längst vermutet, dass auf die Daten von Facebook und Co. zugegriffen wurde. Und „Prism“ ist sicherlich nicht das einzige Programm, das die Amerikaner laufen haben, da gibt es sicher noch mehr. Wobei das Interessante ja ist, dass die Amerikaner sich auf eine Reihe von Gesetzen stützen können, die Ihnen rechtliche Handhabe für ihr T un einräumen – so gesehen können sie leicht behaupten, nichts „Verbotenes“ zu tun.
Wie betrifft mich das?
Wenn sie sich die unterschiedlichsten Cloudnutzungsbedingungen (Anm.: Bedingungen für Datenspeicherung im Internet) - etwa von Apple ansehen, dann werden sie feststellen, dass die amerikanischen Behörden etwa im Rahmen des Patriot Acts (Anm.:amerikanisches Gesetz, um den Kampf gegen Terrorisumus zu erleichtern) Möglichkeiten haben, auf Daten, die von amerikanischen Unternehmen in der Cloud betrieben werden, zuzugreifen. Wenn sie das schon ins Kleingedruckte schreiben, warum sollten sich die Geheimdienste nicht solcher Möglichkeit bedienen? Und irgendeine Gefahr im Verzug findet man immer.
Wie weit spielen Content Delivery Networks (CDN) wie Akamai eine Rolle? Akamai speichern ja quasi die Webseiten seiner Kunden wie Facebook zwischen, damit diese schneller laden können?
Das ist alles rein spekulativ, weil grundsätzlich kann überall, wo Daten transferiert werden, mitgeschnitten werden. Sei es auf dem Kabel selbst, sei es durch die jeweiligen Provider oder andere Dienstleister. Da gibt es viele Angriffspunkte.
Was ist die Schwachstelle bei CDN?
Ein Content Delivery Network (CDN), ist ein Netz über das Internet verbundener Server, mit dem alle möglichen Daten und Inhalte zur Verfügung gestellt werden. Diese Server sind auf viele Orte auf viele verschieden Backbones (Hauptdatenstränge, Anm.) verteilt, um Anfragen nach Daten möglichst rasch abarbeiten zu können. Große CDNs unterhalten tausende Knoten mit zehntausenden Servern. Da kann es schnell mal passieren, dass man als Betreiber über den einen oder anderen Knoten den Überblick verliert und man für Nachrichtendienste zu einem Informationsgeber wird – ob gewollt oder ungewollt.
Dann verstehe ich den Unterschied zwischen Tier-1-Providern und CDN nicht.
Der Tier-1-Provider ist der, der ihnen die Autobahn baut, und CDN ist der LKW, der die Güter schneller von A nach B bringt. Einmal bauen sie eine Abzweigung auf der Autobahn, wo die LKWs geklont weiterfahren, einmal kopieren sie die LKWs und leiten sie um. Es gibt viele verschiedene Möglichkeiten, wo ein Nachrichtendienst ansetzten kann, Daten zu bekommen.
Dann ist die Schwachstelle im Internet nicht die Firma, sondern die Infrastruktur?
Da wir uns mit exponenzieller Geschwindigkeit miteinander vernetzen, haben wir auch die perfekte Voraussetzung geschaffen, dass jemand zuschauen will, was wir so treiben. Und wenn jemand die notwendigen Ressourcen für so etwas hat, sei es amerikanische oder chinesische oder russische Dienste, dann sitzen die zweifellos am längeren Ast.
Wäre das theoretisch in Österreich auch möglich, das so etwas überwacht wird?
Theoretisch schon, praktisch ist das eine andere Sache. Dafür fehlen in Österreich vor allem die rechtlichen Rahmenbedingungen.
Weil wir nicht schlau genug sind?
Nein, schlau genug wären wir schon. Aber in Amerika haben die Nachrichtendienste gesellschaftlich eine ganz andere, stärkere Position. Das ist zum Teil durch die Wurzeln im Kalten Krieg bedingt. Und dadurch sind die auch mit wesentlich mehr Mitteln und Rechten ausgestattet.
Wer könnte noch solche Daten sammeln?
Alle, die ein politisches Programm haben, und die die Möglichkeit dafür haben. China, Russland, Israel. Auch Taiwan.
Kann man sich schützen?
Nicht wirklich. Also klar kann man sagen, ich verschlüssle alles. Aber wenn sie im großen Stil anfangen ihre Daten zu schützen, dann signalisieren Sie: Hey da gibt es etwas, das schützenswert ist.
Also sollten wir gleich alles transparenter machen?
Das ist ein interessanter Ansatz, der immer wieder verfolgt wurde. Also unsere Daten zu schützen, in dem wir das Datenvolumen erhöhen. So sehr, dass man daraus keinen Schluss mehr ziehen kann.
Naiv gefragt, warum hat sich bis jetzt noch niemand aufgeregt?
Weil es immer schon so war. Weil vieles ein Gerücht ist, weil es nichts schwarz auf weiß gibt. Und jetzt springen halt wieder einige drauf an. Die Diskussion ist nicht neu. Aber die Aufmerksamkeit ist jetzt größer.
("Die Presse", Print-Ausgabe, 11.06.2013)