Tech

BND-Reform: Was der Bundestag beschlossen hat, ist technisch gar nicht umsetzbar

Über Monate liefen Verfassungsrechtler, Journalistenverbände und Wirtschaftsvertreter gegen das geplante Gesetz Sturm, genützt hat es trotzdem nichts: Heute wurde das BND-Gesetz mit den Stimmen der SPD- und CDU/CSU-Fraktion im Bundestag beschlossen. Ein alternativer Gesetzesvorschlag der Linkspartei wurde wie erwartet abgelehnt. Der SPD-Obmann im NSA-Untersuchungsausschuss, Christian Flisek, sprach von einem „Quantensprung” (im positiven Sinne).

Die neue Regelung mit dem schmucken Namen „Gesetz zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes” soll den BND dazu ermächtigen, die Bundesrepublik künftig besser und schneller vor Gefahren aus dem Ausland zu schützen. Neben einer weiteren Aushöhlung der parlamentarischen Kontrolle von Geheimdiensten, einer legalisierten Weitergabe von Metadaten an Partner wie die NSA sowie einem generellen Freibrief beim Abhören von Leitungen, erlaubt das Gesetz dem Geheimdienst, künftig auch im Inland zu spionieren—doch ein Blick in zwei technische Gutachten zeigt, dass der Plan zielsicher auf ein ziemlich unlösbares Dilemma zusteuert: Wie soll man angesichts der Masse und Geschwindigkeit der abgehörten Daten überhaupt erkennen, ob Daten von Deutschen oder von Ausländern stammen?

Videos by VICE

Im Gesetzestext heißt es zum Thema Inlandsspionage durch den Auslandsgeheimdienst, das Abhören in Deutschland könne „nicht mehr ausgeschlossen werden.” Die Begründung: Wenn die Gefahren aus dem Ausland—die abzuwehren die eigentliche Aufgabe des BND ist—nach Deutschland kommen und sich hier eine Wohnung mieten und einen Internetanschluss besorgen, muss der BND natürlich auch die Möglichkeiten zur Beobachtung haben.

Dass durch die Überwachung inländischer Internetstrukturen automatisch auch deutsche Nutzer ins Raster der BND-Fahnder geraten, liegt in der Natur der Sache. Das ist insofern ein Novum, als dem Auslandsgeheimdienst eigentlich per Grundgesetz verboten ist, die eigenen Staatsbürger abzuhören—eine Lehre aus der Zeit des Nationalsozialismus.

Folge Motherboard auf Facebook, Instagram und Twitter

Davon sollen allerdings nicht die Inhaltsdaten (also die konkreten Inhalte von E-Mails oder Suchanfragen) oder die Verkehrsdaten deutscher Nutzer (IP-Adressen, Standortangabe etc.) betroffen sein. Ein „mehrstufiges automatisiertes Filtersystem”, wie es das Gesetz vorsieht, soll Datenpakete deutscher Nutzer frühzeitig erkennen und aussortieren. Behalten darf der BND hingegen alle „sonstigen personenbezogenen Daten” von deutschen Bürgern, Unternehmen oder Organisationen, die nicht vom Artikel 10 des Grundgesetz geschützt sind.

Doch hier beginnt das Problem erst: Denn die komplexe physische Struktur des Internets macht es selbst erfahrenen Datenspionen schwer, die Herkunft einer Kommunikation zweifelsfrei festzustellen. Internetdaten haben eben keine auf den ersten Blick erkennbare Nationalität, wie erst kürzlich wieder ein Gutachten im NSA-Untersuchungsausschus zeigte: Aufgrund der „Vielfalt der Dienstmodelle, schnelle Veränderung von Routing-Pfaden, Netzbelegungen und die vielfache Verschachtelung der Datenverkehre” sei eine einfache Unterscheidung zwischen inländischen und ausländischen Datenverkehrs nicht mehr möglich, argumentiert der Cheftechniker des zweitgrößten deutschen Internetknotens Kay Rechtien. Denn um die wahre Herkunft der Kommunikationspakete zu ermitteln, müsste der Dienst eine Tiefenanalyse der Daten vornehmen und erhielte damit automatisch Zugriff auf sensible Informationen wie Inhalts- oder Metadaten, was jedoch gegen das Grundgesetz verstoßen würde. Mit anderen Worten: Das gerade beschlossene BND-Gesetz ist technisch eigentlich gar nicht möglich.

Um zumindest zu versuchen, die verdächtigen Daten auf dem großen weiten Internetfeld aufzuspüren und rauszufiltern, listen die Sachverständigen, zu denen auch die CCC-Mitglieder Constanze Kurz und Frank Rieger gehören—ebenso wie ein zweites Gutachten von Gabi Dreo Rodosek von der Bundeswehr-Uni München verschiedene Möglichkeiten auf: Neben der Abfrage bei Registrierungsdatenbanken oder Location Mapping kommerzieller Dienste, gibt es die Möglichkeit, durch die Messung bestimmter Punkte die Abstände der IP-Adressen von Sender und Empfänger abzuschätzen.

Alle diese Verfahren kranken jedoch an demselben Problem: Sie sind ungenau und störungsanfällig. Auch wenn sie mitunter hohe Erfolgsraten erzielen—die Autoren sprechen von einer bis zu 99-prozentigen Erfolgsquote—gelangen damit immer noch äußerst große Datenmengen deutscher Nutzer auf die Rechner der BND-Agenten, was schlicht daran liegt, dass das Gesamtvolumen der abgefangenen Daten so groß ist.

Detaillierte Informationen darüber, wie das „mehrstufige vollautomatisiertes Filtersystem” des BND funktioniert, liegen übrigens nicht vor. Selbst wenn der Dienst es schaffen könnte, sein ominöses System so zu präparieren, dass es eine Filterung von 99,9 Prozent erreicht, „redet man immer noch über mehrere Millionen fehlerhaft getaggter Verbindungen—jeden Tag”, meint etwa der Chef des weltweit größten Internetknotens DE-CIX in Frankfurt, der den Geheimdienst vor kurzem wegen jahrelanger Abhöraktionen verklagt hat.

Unter anderem aus diesem Grund sprechen Kritiker wie Reporter ohne Grenzen bereits von einem „Verfassungsbruch mit Ansage”. Auch Marianne Renner von der Linken kritisierte das „tolle Filtersystem” in der heutigen Parlamentsdebatte: „Es ist Augenwischerei, dass ein toller Filter den sogenannten deutschen Kommunikationsverkehr automatisch aussortieren wird. Wenn nur fünf Prozent durchrutschen, bleiben am Ende 34 Millionen Gigabyte zum Beispiel in diesem Jahr, die auch deutsche Staatsbürger betreffen können”, erklärte sie in ihrer Rede und forderte die Regierung auf: „Lesen sie die Gutachten!”

Man kann davon ausgehen, dass die Bundesregierung tatsächlich beide Gutachten sorgfältig studiert hat. Warum sie es trotzdem macht – und damit riskiert, dass das Bundesverfassungsgericht einer möglichen Klage stattgibt und das Gesetz kassiert –, darüber lässt sich nur spekulieren. Eine vorsichtige Ursachenanalyse ergebe wohl: Weil sie es kann.