Als die britische Zeitung »The Guardian« im Juni die ersten Enthüllungen über die elektronischen Internet-Spionageaktivitäten der USA und Großbritannien brachte, war auch klar: es wird noch mehr kommen. Jetzt ist es soweit. Basierend auf weiteren Dokumenten aus dem Fundus des NSA-Whistleblowers Edward Snowden rückt nun »XKeyscore« in den Fokus. Dieses Überwachungsprogramm geht augenscheinlich über Prism (vom NSA) und Tempora (vom britischen Geheimdienst GCHQ) hinaus.

Das vom »Guardian« jetzt veröffentlichte Dokument ist anscheinend eine Präsentation für NSA-Mitarbeiter über die Möglichkeiten von Xkeystore. Das Erschreckende daran: Die Präsentation stammt vom Februar 2008 – und zeigt weitreichende Möglichkeiten auf, über die man sich sogar heute, fünfeinhalb Jahre später, die Augen reiben muss. Man war offensichtlich damals schon in der Lage, unvorstellbare Datenmassen in relativ kurzer Zeit – in Minutenschnelle – auszuwerten. »Big Data in Echtzeit« sozusagen. Also etwas, was die IT-Industrie erst seit kurzem ihren normalen kommerziellen Kunden verkaufen will.

Xkeystore kann die weltweite digitale Kommunikation nach vielerlei Abfragekriterien durchsuchen. Es gibt sogenannte starke Suchkriterien wie eine konkrete E-Mail-Adresse sowie weiche Suchkriterien wie zum Beispiel die benutzte Sprache oder ein bestimmter Such-String. Das System erlaubt anscheinend die Erfassung von »Ziel-Aktivität in Echtzeit«, heißt es in der Präsentation.

»Was kann gespeichert werden?« – »Alles was sie extrahieren wollen«

Beim Durchsuchen und Analysieren der Daten fallen logischerweise viele neue Daten an, die die NSA-Mitarbeiter natürlich erneut speichern müssen. Auf einer Präsentationsseite heißt unter der Überschrift »Was kann gespeichert werden?« einer der Antwortpunkte: »Alles was sie extrahieren wollen«. Natürlich mit spezifischen Speicherzeiten.

2008 gab es dem Dokument zufolge bereits 150 Standorte mit 700 Servern. Das System könne »linear skalieren«, heißt es, dem Cluster müsse einfach ein neuer Server hinzugefügt werden.

Es ist wirklich erstaunlich, was ein NSA-Mitarbeiter mit Xkeyscore alles kann. Er kann sich »alle verschlüsselten Word-Dokumente im Iran« anzeigen lassen. Oder die »gesamte PGP-Nutzung in Iran«. Oder die Nutzernamen, Buddylisten, Cookies in Verbindung mit Webmail und Chats. Oder die Google-Suchanfragen samt IP-Adresse, Sprache und benutztem Browser. Oder jeden Aufbau einer verschlüsselten VPN-Verbindung (zur »Entschlüsselung und zum Entdecken der Nutzer«). Das lässt darauf schließen, dass die NSA einen Generalschlüssel für jedwede VPN-Technologie hat.

Deutsch in Pakistan – und Xkeyscore schlägt Alarm

Interessant ist auch, wie sich Internetnutzer aufspüren lassen, die von der Normalität abweichen. So lässt sich eine verknüpfte Suchanfrage nach einer Region nebst ungewöhnlicher Sprache einstellen. Kurioserweise wird in dem Dokument als Beispiel Deutsch in Pakistan genannt (»My target speaks German but is in Pakistan – how can I find him?«). Mitarbeiter von deutschen Firmen in Pakistan, die also beispielsweise E-Mail-Kontakt zu ihren Angehörigen zuhause halten, fallen somit bereits ins Verdächtigenraster.

In den Dokumenten finden sich überraschenderweise auch Hinweise darauf, dass US-Geheimdiensten offensichtlich der Angriff auf Computersysteme im Ausland möglich wäre. So heißt es in einer Folie der Präsentation, man könne eine Liste aller angreifbaren Rechner in einem Staat aufrufen (»Show me all the exploitable machines in country X«).

Anscheinend gibt es von der Geheimorganisation TAO (Tailored Access Operations) der NSA eine separate Datenbank von Schwachstellen auf Computersystemen weltweit. Dieses Verzeichnis scheint sich mit der Datenbank von Xkeyscore abgleichen zu lassen (»Data is tagged and databased«).

Xkeyscore und TAO kennen alle Computerschwachstellen weltweit

Schon 2012 seien in einem einzigen Zeitraum von 30 Tagen 41 Milliarden Einträge in der Xkeyscore-Datenbank enthalten gewesen, berichtet der »Guardian«. Die Datenbanken »Trafficthief« (gezielt ausgewählte Metadaten), »Pinwale« (Inhalte auf Basis von Stichwort-Suchvorgängen) und »Marina« (Internet-Metadaten) seien allesamt kleiner als Xkeyscore. »Der Spiegel« berichtet darüber hinaus, dass von 500 Millionen Datensätzen aus Deutschland, auf die die NSA monatlich Zugriff hat, rund 180 Millionen von Xkeyscore erfasst wurden.

Mit den neuerlichen Enthüllungen dürfte klar sein: Auf den Geschäftskundenvertrieb und den Kundendienst von Microsoft, Oracle, IBM, VMware, Amazon, möglicherweise sogar von SAP und weiteren, international aufgestellten Cloud-Anbietern wie Google, Nirvanix, Rackspace, NTT Communications dürften in den nächsten Wochen und Monaten unangenehme Gespräche zukommen. Großkunden werden klare Aussagen über den aktuellen Stand der Datensicherheit und Zusicherungen über deutlich verschärfte Verschlüsselungs- und Storage-Konditionen verlangen.

.