Blog

Die Sache mit den Selektoren

Momentan kreisen die Geier um das Kanzleramt. Der BND hat der NSA bei der Überwachung von Wirtschaft, möglicherweise Wirtschaftsspionage, und europäischen Politikern geholfen. Verantwortliche in den Diensten und im Kanzleramt sollen das gewusst haben. Soweit, so schlecht.

Doch was hat es eigentlich mit den Selektoren, um die es hier geht, auf sich?

Die Selektoren sind Suchbegriffe, die der NSA dem BND mitgeteilt hat. Nach diesen Suchbegriffen wird in den abgehörten bzw. abgefangengen Telekommunikationsdaten gesucht. Wird etwas gefunden und berührt es möglicherweise nicht deutsche Befindlichkeiten und Gesetze, werden die Daten in irgendeiner Form angeblich weitergeleitet an die NSA. Wenn alles gut geht.

Der BND ging immer davon aus, dass er bis zu 20% des Datentraffics einer Leitung abhören bzw. nach Suchbegriffen durchforsten darf. Dazu gibt es auch andere Stimmen. Wie kommen die Jungs jetzt aber an die zu selektierenden Daten? Da gibt es eigentlich nur zwei Möglichkeiten.

Arbeit Ihr mit Datenbanken? Nun, der BND wird wie jedes andere datenverarbeitende Unternehmen seine Daten auch speichern. Gehen wir mal von grundlegender Funktionsweise aus. Einmal eine Tabelle oder Datenbank mit den Selektoren. Um jetzt mit den Selektoren irgendwas zu bewerkstelligen, benötigen sie eine weitere Tabelle oder Datenbank. Und zwar die mit den gespeicherten 20% Internetkommunikation. Es gibt aber auch Stimmen, die befürchten, dass bis zu 100% abgesaugt werden. Sie zapfen die Leitungen bspw. beim DE-CIX an und leiten eine Kopie der Kommunikation um. Vergleichbar mit einem Mirror-Port auf einem Switch. Sowas kann jederzeit in jedem Unternehmen auf kleiner Ebene nachgebaut werden. Oder auch zuhause. Aber wie stellen die Jungs jetzt die 20% fest? Rein von der Logik her tun sie folgendes:

Leite 100% um -> Speichere 100% in einer Datenbank zwischen -> Lösche 80% (gezielt, zufällig) aus dieser Datenbank -> 20%

Das wäre die Sache mit den Datenbanken. Wäre möglich. Hier gibt es jedoch ein großes Problem. Eine Leitung, wenn sie denn zu 100% ausgelastet wäre, ist jede Sekunde zu sagen wir auch 100% ausgelastet. Also müsste für jede Sekunde oder eine andere festzulegende Zeiteinheit der komplette Internetverkehr in eine Datenbank geschrieben werden. Ein riesiger technischer Aufwand. Wenn die Zahlen ungefähr stimmen, werden durchschnittlich 3,2 TBit Daten je Sekunde durch die Leitungen geschickt (Durchschnitt niedrigster Wert und höchster Wert nach kowabit berechnet). Also benötigen wir für dieses Datenbankmodell bei 86.400 Sekunden (ein Tag) insgesamt eine Speicherkapazität von 276.480 Terabyte pro Tag. Da der BND kein eigenes riesiges Rechenzentrum am DE-CIX betreibt, ist diese Datenmenge wohl eher zu groß für die Jungs. Eine dauerhafte 100% Speicherung sehe ich deshalb nicht als wahrscheinlich an. Sie bräuchten die Menge jeden Tag. Wenn sofort nach dem 100% Speichervorgang 80% gekillt werden, bleiben immer noch 55.296 TB pro Tag über. Der BND verarbeitet ja nicht nur Metadaten, sondern auch Inhalte. Damit schließe ich auch eine vollumfassende Speicherung aus. (Momentan! Die bekommen ja mehr Geld! Man, was könnte ich mit so einem Haushalt Gutes tun!)

Was ist die eher wahrscheinlichere Möglichkeit? In den Räumen der Knotenbetreiber hat der BND eigene Räumlichkeiten. Beste Möglichkeit wäre, dass dort ein tatsächlich umfangreiches System steht. Mehrere leistungsstarke Rechnersysteme, deren Software ein mehrschichtiges Filtersystem besitzen und auch entsprechend hohes Trafficaufkommen verarbeiten können. Wer bspw. schon mal mit Wireshark gearbeitet hat, weiß, dass er den Traffic eines gesamten Netzwerkes mitlesen kann. Und hier könnten die Jungs angesetzt haben. Dieses System müsste erstmal den gesamten Internetverkehr mitlesen. Anschließend müssten eher technische Filter zum Arbeiten kommen. Beispielsweise unnötiger Traffic wie PINGs oder verschlüsselter Traffic müssten raus. Auch DNS-Verkehr und NTP-Daten werden sie sterben lassen, da das nicht zur Auswertung, sondern zum Angreifen der Ziele wichtiger wäre. Das wird gleich verworfen, und nach dem ersten Verarbeitungsvorgang ins Nirvana geschickt. Der Rest geht in einen weiteren Filter. Hier können dann die deutschen Ansprüche an Recht und Gesetz geklärt werden. Bspw. der Ausschluss von de-Domains oder eu-Domains. Auch Telefonverbindungen innerhalb Deutschlands. Wichtigster Punkt aber: Sie müssten nicht nur Domains, sondern maßgeblich Kommunikation zwischen und von IP-Adressen aus IP-Adressbereichen deutscher Provider löschen. Die Bereiche sind kein Geheimnis. Das ist nämlich der umfangreiche Inhalt aus Deutschland. Das können sie definitiv rausfiltern und alle Deutschen wäre unangetastet. Domains alleine rauszufiltern ist Käse. Anschließend wird der wieder entstehende Rest in einen weiteren Filter geleitet, der bspw. die Selektoren beinhaltet, die als Arbeitsanweisung aus Washington eingetroffen sind. Das was übrig bleibt, wird zu einer BND-Einrichtung geschafft, die dann manuell weitere Daten rausnimmt. Also Geheimnisträger, wie Politiker oder so. 😉 Die Jungs müssen dann aber schon ziemlich manuell sichten und bekommen natürlich Einblicke in das was da geschrieben steht. Bei französischen Politikern machen wir zwar scheinbar eine Ausnahme, aber das sind ja auch nicht unsere Freunde (?). *sarkasmus*

internetknoten_bnd

Wenn die Jungs sicher gehen wollten, dass sie keine falschen Daten an die Washingtoner Leitungsebene weitergeben, müssten sie zur Sicherheit die automatisierten Filter, die beim direkten Auslesen am Internetknoten eingesetzt wurden, nochmal arbeiten lassen. Schlicht, weil auch bei der Datenverarbeitung Fehler passieren können.

In einigen Medien wurde kritisiert, dass andere TopLevelDomains, wie bspw. .net , .com oder .cc nicht von den Filtern erfasst werden. Damit können Deutsche, die diese Domains nutzen, illegal überwacht werden. Das wäre nur der Fall, wenn, wie bereits geschrieben, die Jungs vom BND die IP-Adressbereiche deutscher Provider nicht ausfiltern würden. Dazu habe ich aber noch nichts gelesen. Wir wissen nur, dass IP-Adressen wohl zu den Selektoren gehören. Formal gesehen, dürften keine deutschen IP-Adressen an die NSA herausgegeben worden sein. Falls Ihr was dazu habt, bitte zu mir senden.

Hier könnte noch interessant sein, welche Auswirkungen es hat, wenn man bspw. in einer Firma (Zweigstelle) arbeitet, deren Hauptunternehmen im Ausland sitzt und bspw. der E-Mail-Verkehr deutscher Kollegen über eine gesicherte Verbindung zu E-Mail-Servern im Ausland verläuft und von dort versendet wird. Wiederum nach Deutschland zu den Kunden hier. Bei nicht gefilterter Domainendung, wären deutsche Bürger und Firmen dann trotzdem betroffen.

ipadressproblemBND

Grundsätzlich kann ein Geheimdienst relativ umfangreich innerdeutsche Kommunikation ausschließen. Auch Kommunikation von Deutschen “nach draußen”. Wenn jemand seinen Server im Ausland stehen hat und dementsprechend eine ausländische IP-Adresse nutzen muss, würde ich ohne juristische Sichtweise mal annehmen, dass man dann wohl Pech hat. Immerhin ist man dann im Ausland aktiv. Aber wie bei dem E-Mail-Beispiel ist es niemals 100% möglich in einer vernetzten Welt nur ein Staatsgebiet und einen Betroffenenkreis auszunehmen. Ein solcher gesetzlicher Anspruch kann nicht umgesetzt werden. Die Prüfungsverfahren wären schlicht zu umfangreich.

Wenn ich da jetzt vollkommen zukunftsweisend denken würde, bräuchte man eine namentliche Registrierung aller weltweiten Nutzer inklusive namensgebundener IP-Adresse und schon kann der eigene Geheimdienst den nicht abschnorchelbaren Personenkreis namentlich ausfiltern. Böser Gedanke. Ganz böser Gedanke. Geh aus meinem Kopf! Da hat wohl ein Gabriel auf meiner Schulter gesessen.

Was nehmen wir als Lernergebnis mit?

1. Wenn Du einen Server oder eine Webseite betreibst, dann erledige das in Deutschland.

2. Etwas weiter gedacht wegen den IP-Adressbereichen: Wenn Du per VPN-Tunnel surfst, kommunizierst oder was auch immer, rufe keine deutschen Webseiten auf, da Du technisch gesehen ein Ausländer bist. Das betrifft dann auch E-Mails, die du per Mail-Client versendest, da beim VPN-Tunnel auch Deine IP maßgeblich sein könnte etc.!

3. Wenn Ihr facebook nutzt, seid Ihr immer im Ausland. Auch bei der de-Domain. Wobei zur Kommunikation dieser Plattform .com maßgeblich ist. (Wer interessante Webseiten findet, die im Ausland gehostet sind und deren Inhaber kein Interesse haben können ausgeforscht zu werden, sendet mir mal bitte einen Link!)

Für das eigene Kommunikationsverhalten sind diese Details durchaus wichtig. Für die Aufklärung und den zukünftigen Arbeitsmöglichkeiten der Geheimdienste ist das auch wichtig.

Tagged , , , , , , , ,