Fr

15

Mai

2015

Daten sammeln mit dem Schlapphut - Die Nachrichtendienste sind das größte Sicherheitsrisiko

In der Internet-Überwachung geben vor allen Dingen der technische amerikanische Geheimdienst National Security Agency und die in der Lingshui-Anlage auf der Insel Hainan stationierte Netz-Nachrichtentruppe der chinesischen Volksbefreiungsarmee den Ton an. Das britische Government Communications Headquarters und die netztechnische Abteilung im Nachrichtendienst des russischen Präsidenten (früher SSSI) liegen im Mittelfeld. Ziemlich abgeschlagen nehmen der Bundesnachrichtendienst und die französische Direction Generale de la Securite Exterieure (DGSE) hintere Plätze auf der Rangliste der Netzspione ein.

 

Beim Einsammeln der Daten aus Internet verwenden die weltweit tätigen Dienste alle ganz ähnliche Methoden. Ganz oben auf der Einsatzliste steht das Anzapfen von Glasfaserkabeln. Telekommunikations- und Kabelgesellschaften stellen dafür sogar eigene „Ausleitungsschnittstellen“ zum Beispiel an den Übergabepunkten von Seekabeln zur Verfügung.

 

Diese Ausleitungsschnittstellen sind im wesentlichen standardisiert und machen wenig Arbeit. Deshalb sind sie bei den Datenbeschaffern mit den Schlapphüten auch so beliebt. Die Methode hat allerdings den Nachteil, dass sie uneingeschränkt nur auf eigenem Hoheitsgebiet und mit mehr oder weniger großen Einschränkungen versehen auf dem Staatsgebiet befreundeter Dienste funktioniert.

 

Doch Glasfaserkabel lassen sich zum Glück für die Geheimdienste leicht anzapfen. Das erledigen Agenten im Feldeinsatz. Die gehen einfach zu den Glasfaserverteilerkästen, die sich in Abständen von drei bis fünf Kilometern auf der gesamten Übertragungsstrecke befinden. In diesen Verteilerkästen werden die Glasfasern in sogenannten Spleisskassetten miteinander verbunden und die Signale verstärkt.

 

Praktischerweise sind oftmals auch die einzelnen Leitungen genau gekennzeichnet, so dass der Datenspion nicht lange nach dem richtigen Anschluss suchen muss. Vierkantschlüssel für den Verteilerkasten, ein Overall für das vermeintliche Wartungspersonal und ein sogenannter Biege-Koppler zur Umleitung der Glasfaser gehören zur Grundausstattung der Lauscher. Vom Biege-Koppler wird der Datenstrom dann auf einen PC geleitet, gespeichert und analysiert.

 

Wenn Glasfasern leicht gebogen werden, tritt ein Teil des Lichts aus, das die Daten transportiert. Moderne Lauschgeräte benötigen nur weniger als zwei Prozent der optischen Leistung der Glasfaser, um das komplette Signal abzugreifen und in Bits umzuwandeln.

 

Häufig ist aber nicht einmal die direkte Arbeit an der Glasfaser nötig, um Daten abzufangen. Denn auf vielen Glasfaserstrecken ist eine sogenannte Y-Brücke für Wartungszwecke geschaltet. An die muss sich der Datenspion mit seinem Empfänger nur ankoppeln, um alle Daten, die über dieses Leitungsbündel gehen, abhören zu können.

 

Außerdem verliert jedes Glasfaserkabel immer etwas Licht. Die Kabel lecken. Fotodetektoren können diese „Rayleigh-Streuung“ genannte Lichtmenge auffangen und in digitale Signale verwandeln. Das von der Deutschen Telekom AG  beim Europäischen Patentamt angemeldete Verfahren zur Aufzeichnung von „Signalen aus einer Glasfaser“ erfreut sich bei allen Geheimdienst großer Beliebtheit.

 

Aufwändiger in rechentechnischer Hinsicht ist das Einsammeln von Datenpäckchen auf den Internet-Knotenrechnern. Wird zum Beispiel eine Mail von Stuttgart nach Frankfurt geschickt, so wird der Text dieser Mail auf verschiedene Datenpäckchen aufgeteilt. Im Kopf des Datenpäckchens stehen die sogenannten Metadaten, also zum Beispiel die Internet-Protokolladresse des Absenders, des Empfängers, welches Datenpäckchen diesem Päckchen folgt und welches ihm vorhergeht.

 

So kann ein Teil der Datenpäckchen von Stuttgart über Mannheim nach Frankfurt geschickt werden, ein anderer Teil vielleicht über München und Berlin. Das hängt von den jeweils verfügbaren Kapazitäten der Datenleitungen und der Internet-Knotenrechner ab. Solche Knotenrechner sind entweder einfache Router oder aber regelrechte Austauschpunkte mit regelrechten Vermittlungsrechnern und -Servern, an denen sich mehrere Internet-Dienstleister zusammengeschlossen haben und an denen teilweise sogar der Datenverkehr zwischen verschiedenen Netzen ausgetauscht wird.

 

„Die Datenpäckchen, die auf solchen Internet-Knotenrechnern für die Weiterleitung zwischengespeichert werden, sind mit sehr einfachen Mitteln abzuschöpfen und auszuspionieren, sogar zu manipulieren“, meint der Sicherheitsberater und Informatik-Professor Hartmut Pohl. Das erfolgt automatisch mit frei erhältlicher Überwachungssoftware.

 

 „Der Zugriff auf solche Internet-Knotenrechnern ist von jedem Rechner mit Internet-Verbindung möglich“, zeigt Pohl auf. Dem abschöpfenden Geheimdienst muss allerdings die Internet-Protokolladresse (IP-Adresse) des Knotenrechners bekannt sein. „Aber die lässt sich über eine IP-Rückverfolgung leicht ermitteln“, meint Sicherheitsberater Pohl. Auch dafür gibt es Standardsoftware.

 

Allerdings müssen die so abgeschöpften Datenpäckchen wie in einem Puzzle zur ursprünglichen Datei, beispielsweise einer Mail oder einem Konstruktionsplan, zusammengesetzt werden. Das erledigt eine Analysesoftware. Da allerdings Aber-Millionen von Datenpäckchen nach ihren Meta- oder Kopfdaten dafür ausgewertet werden müssen, benötigen die Geheimdienste ziemlich hohe Rechenkapazitäten.

 

Deshalb hat die National Security Agency in Bluffdale, im US-Bundesstaat Utah, ein Rechenzentrum gebaut, dessen Server im Endausbau bis zu einer Trillion Terabyte verarbeiten und auswerten können sollen.

 

Das ist erheblich mehr als die Briten mit ihrem Rechenzentrum in Cheltenham schaffen. Dort arbeiten sie mit Auswertungsservern, die gerade einmal eine Million Terabyte analysieren können und deshalb an eine Grenze der Anaylsekapazitäten gelangt sind.

 

Immer häufiger werden Mails oder andere per Internet versandten Daten verschlüsselt. Dabei ist dann nur der eigentliche Datenteil des Datenpäckchens, nicht aber der Datenkopf mit den Angaben zu den Internet-Protokoll-Adressen verschlüsselt. Eine solche Verschlüsselungsmethode wird zum Beispiel beim Online-Banking verwendet, aber auch, um verschlüssselte Mails zu versenden.

 

Um diese Datenpäckchen entschlüsseln zu können, benötigt der Empfänger eine Entschlüsselungserlaubnis, ein sogenanntes Zertifikat. Die ersetzen bei dieser Art der Verschlüsselung sozusagen die für die Entschlüsselung sonst benötigten Passwörter.

 

Die Geheimdienste besorgen sich solche Zertifikate entweder direkt von den Providern, oder sie fälschen sie. Und dann können sie mit der Berechtigung, sich verschlüsselte Datenpäckchen im Klartext anzeigen zu lassen, direkt mitlesen.

 

Etwas schwieriger wird es, wenn direkt über Passwörter Dateien verschlüsselt werden. Hier muss allerdings der Empfänger das Passwort für die Entschlüsselung der verschlüsselten Datei, die über das Internet verschickt wurde, kennen.

 

Deshalb werten Geheimdienste Mailverkehr, Briefpost und Telefongespräche sehr intensiv daraufhin aus. Die so ermittelten Passwörter können dem Empfänger dann auch direkt zugeordnet werden.

 

Funktioniert auch dieses Verfahren nicht, so bleibt den Nachrichtendiensten noch die Möglichkeit, verschlüsselte Dateien mit Supercomputern zu knacken. Im Hauptsitz der National Security Agency, im amerikanischen Fort Meade, stehen deshalb auch Superrechner mit einer Rechenleistung von durchschnittlich 15 Billiarden Gleitkommaoperationen pro Sekunde. Für sehr aufwändige Entschlüsselungen rechnet ein solcher Supercomputer dann schon einmal einige Stunden.

 

Kommentar schreiben

Kommentare: 1
  • #1

    Harald Milz (Freitag, 15 Mai 2015 11:25)

    Nun hat allerdings die Floating-Point-Leistung solcher Installationen nur sehr wenig mit ihrer Fähigkeit zu tun, Codes gewaltsam zu knacken (a.k.a. brute force). Klingt aber natürlich toll. Social Engineering geht einfacher.

    Zwei, drei Absätze zur vermeintlichen Ende-2-Ende-Verschlüsselung bsp. von PGP-Mail vs. Sammeln und Auswerten von Metadaten (in dem Fall Mailheadern) wären noch nett... Siehe auch https://hmilz.wordpress.com/2013/08/27/prism-tempora-co-reicht-es-aus-mail-zu-verschlusseln/ ...

Was kann ein Comiccast?