Aus Le Monde diplomatique: Software für Diktatoren

Von Peking bis Damaskus spionieren Geheimdienstler das Netz aus. Das System "Deep Packet Inspection" (DPI) aus dem Hause der kalifornischen Firma Narus hilft dabei.

Aber die Gedanken sind frei: Idlib (Syrien) am 17. Januar 2012. Bild: reuters

Nach der Eroberung von Tripolis besichtigte die Journalistin Margaret Coker vom Wall Street Journal eine Geheimdienstzentrale in der libyschen Hauptstadt. Dort stellte sie fest, dass tatsächlich alles überwacht worden war: Internet, Handys und Satellitenverbindungen. In den Aufzeichnungen fand sie unter anderem E-Mails und Auszüge aus Onlinechats zwischen Gaddafi-Oppositionellen.

An den Wänden des Spionagezentrums klebten Etiketten des Unternehmens, das die Überwachungsanlage installiert hatte: Amesys, eine Tochterfirma des französischen Computerkonzerns Bull.1 Das Satiremagazin Le Canard enchaîné enthüllte später, dass Libyen den französischen Nachrichtendienst DRM um Unterstützung bei der Ausbildung von Überwachungsleuten gebeten hatte.2

In Syrien zensiert Baschar al-Assad das Internet mit US-amerikanischer Technik und ermittelt nach Belieben die Adressen und Passwörter der Bürger, um ihre Mailprogramme oder Facebook- und Twitter-Accounts auszuschnüffeln – und die Verbindungen zwischen Oppositionellen und deren in- oder ausländischen Unterstützern zu rekonstruieren.

Indiskret und übergriffig

Die verwendete Netzwerktechnologie trägt den harmlosen Namen Deep Packet Inspection (DPI). Wenn wir eine Mail abschicken, werden dutzende Rechner gebraucht, um sie zum Empfänger zu bringen. Sie sehen nur nach der Adresse, kümmern sich nicht um den Inhalt und übermitteln sie direkt an den nächsten Rechner. Jonathan Zittrain, Harvard-Professor für Internetrecht, zieht zur Veranschaulichung den Vergleich mit einer Abendgesellschaft unter höflichen Menschen heran.

„Wenn Sie weit weg von der Bar stehen und es sehr voll ist, bitten Sie Ihren Nachbarn, Ihnen ein Bier zu besorgen. Der bittet dann seinen Nachbarn, der etwas näher an der Bar steht und so weiter. Am Ende kommt Ihre Bestellung zur Bar, und irgendwann kommt das Bier tatsächlich bei Ihnen an. Da alle höflich sind, hat zwischendurch niemand aus Ihrem Glas getrunken.“ (3)

Mit DPI kommt ein anderer, weniger höflicher Stil ins Internet. Was würden Sie sagen, wenn Ihr Nachbar Ihre Bestellung analysiert und Ihnen eine Moralpredigt hält? Oder wenn er den Inhalt Ihres Glases gegen Wasser oder Schnaps austauscht? So ähnlich sind die Prozeduren, die dank DPI möglich werden: den Inhalt von Mails lesen, sie verändern oder an jemand anderen schicken.

Eine neue geheime Industrie

Der französische Hersteller Amesys ist auf diesem Markt nicht allein. Qosmos, ein anderes französisches Unternehmen, hat sich jüngst von Bloomberg erwischen lassen. Die US-Presseagentur hat aufgedeckt, dass Qosmos DPI-Sonden an ein Konsortium geliefert hat, das Syrien mit der gleichen Technologie ausrüsten soll wie Gaddafis Libyen.(4) Auch in China ist DPI das Herzstück der Installationen, mit denen die Regierung die Internetkommunikation zensieren und die Bürger ausspionieren kann.

Wie jüngste Enthüllungen von Wikileaks zeigen, ist die Überwachung der Kommunikationsnetze „eine neue, geheime Industrie, die 25 Länder umfasst. […] In den traditionellen Spionagegeschichten hören Geheimdienste wie der britische MI5 die Telefone von ein oder zwei interessanten Personen ab. In den letzten zehn Jahren ist die massive, wahllose Überwachung zum Standard geworden.“(5) Kurz zuvor hatte das Wall Street Journal mehr als 200 Marketingdokumente von 36 Unternehmen veröffentlicht, die den US-Antiterrorbehörden Überwachungs- und Piraterietechnologie aller Art anboten.(6 )

Vom Sonntagspiraten bis zum Profiagenten

In den Vereinigten Staaten erlebte DPI im Mai 2006 eine Sternstunde: Mark Klein, ein ehemaliger IT-Spezialist beim US-Internetprovider AT & T, enthüllte die Installation von Produkten der Firma Narus bei seinem früheren Arbeitgeber, also im Herzen des amerikanischen Internets. Auftraggeberin war der US-Geheimdienst, die National Security Agency (NSA), die in den 1980er und 1990er Jahren das globale Abhörsystem Echelon entwickelt hatte. Die Devise von Narus lautet: „See clearly. Act swiftly“ (Erkenne deutlich. Handle schnell). Narus, der 1997 gegründete DPI-Technologieentwickler mit 150 Angestellten, brachte 2006 30 Millionen Dollar ein und wurde 2010 von Boeing aufgekauft. Seine Produkte sollen unter Mubarak in Ägypten installiert worden sein.(7 )

Die meisten Daten, die per E-Mail, Chat, Internettelefonie, Videokonferenz oder asynchrone Diskussion hin und her gehen, sind unverschlüsselt und folglich sowohl für jeden Sonntagspiraten als auch für staatliche Sicherheitsdienste leicht abzuhören.

Einige private Akteure haben ein ganz anderes Interesse an den Spionagetechnologien. Die Telekommunikationsanbieter beklagen sich zunehmend, dass sie in ihren Netzen gigantische Datenmengen vorbeiziehen sehen, deren Absender nicht für den Transport bezahlen. Die Provider stören sich zum Beispiel daran, für YouTube-Videos zu zahlen, die sie ihren Abonnenten ausliefern müssen. Deshalb versuchen sie verstärkt, entweder der Datenquelle oder dem Endnutzer einen Aufschlag zu berechnen oder bestimmte Datenströme selektiv zu verlangsamen und andere bevorzugt zu behandeln. Dafür muss man allerdings genau feststellen können, was durch die Leitungen fließt.

Die Konsumindustrie ist auch dabei

Um ihre Infrastrukturkosten zu begrenzen, haben die Mobilfunkbetreiber beschlossen, ihren Nutzern nur einen bandbreitenlimitierten Internetzugang zu gewähren. Sie verbieten den Nutzern „intelligenter“ Telefone den kollektiven Peer-to-Peer-Austausch von Dateien (Filme, Musik oder auch Pornos werden auf diesem Wege über ein Rechnernetzwerk ausgetauscht) oder die Nutzung von Video- oder Stimmübertragungsdiensten wie Skype.

Auch hier ermöglicht DPI den Betreibern die Überwachung und Steuerung der Datenströme und für bestimmte Dienste (zum Beispiel ihre eigenen) die Zuweisung einer höheren Übertragungsrate von Daten. Das alles steht jedoch im Widerspruch zur „Netzneutralität“, die verlangt, dass der Provider alle Daten diskriminierungsfrei weiterleitet.

Wer mit DPI im Netz navigiert, kann die Spur von allem verfolgen, was die Leute dort machen. Da können Marketingspezialisten sich schon freuen, diese Daten eines Tages auswerten zu können. France Télécom Orange hat erst kürzlich das auf DPI beruhende Angebot „Orange préférence“ lanciert, das verspricht, mit Zustimmung des Abonnenten die von ihm besuchten Websites zu analysieren und ihm dann gezielte Angebote zu machen. Dadurch wollen die Provider so rentabel werden wie Facebook und Google. Man fragt sich, ob diese Kundenbindungs- und -überwachungsprogramme Abonnenten finden, aber die Provider müssen nur behaupten, die Daten würden anonymisiert, um daraus ein vermarktbares Produkt zu machen.

Neugierige Leser können die Seite Data Privacy der Gesellschaft für Konsumforschung (GFK), ebenfalls ein Aktionär von Qosmos, konsultieren. Dort werden allerdings nur die Cookies der Webbrowser erwähnt, also die kleinen Datenpakete, die den Nutzern auf die Festplatte gespielt werden. Man verschweigt jedoch, dass eine angeblich „anonymisierte“ DPI-Technologie auch genutzt wird, um Besucher von Websites zurückzuverfolgen. Die in Nürnberg ansässige GFK, das größte deutsche Marktforschungsinstitut und weltweit die Nummer vier in der Branche, ist in mehr als 150 Ländern präsent, und nicht nur in großen Demokratien.

Praxistest im Unrechtsstaat

DPI lockt auch Verwertungsgesellschaften und Copyright-Eigentümer an, die den „illegalen“ Peer-to-Peer-Austausch von Dateien oder Downloadsites wie Megaupload bekämpfen wollen, auf denen Nutzer Dateien hochladen und als Link zum Herunterladen wieder verschicken können. Um herauszubekommen, welcher Internetnutzer welchen Film oder welche Musik herunterladen möchte, und ihm dann seinen Zugang zu blockieren, braucht man auch eine verschärfte Überwachung an allen Datenaustauschpunkten, also bei den Providern.

Ein anderer Markt von DPI betrifft die legale Überwachung, wenn beispielsweise im Rahmen polizeilicher Ermittlungen Telefonverbindungen abgehört und aufgezeichnet werden. Das geschieht in den westlichen Demokratien unter richterlicher Kontrolle und ist natürlich kein attraktiver Massenmarkt. Solange also bei den Budgets für die Terrorbekämpfung keine gigantischen Erhöhungen in Aussicht stehen, empfiehlt es sich für die Unternehmen, sich auf die Suche nach anderen Absatzmärkten zu machen.

Hier treten die Regierungen von Polizeistaaten auf den Plan, die am liebsten ihre gesamte Bevölkerung abhören würden. In solchen Ländern kann die Überwachungssoftware ihren Praxistest durchlaufen. Große Rabatte bekam Ben Alis Tunesien für Systeme, in denen noch Softwarefehler steckten. Für Amesys bot sich Libyen zum Praxistest an, um herauszufinden, was mit seinem Vorzeigeprodukt, der Software Eagle Glint(,8) möglich ist und was nicht. So ging auch Alcatel in Birma vor.(9) Selbstverständlich vereinfacht die Auswertung der mittels DPI gesammelten Daten, Oppositionelle zu verhaften. Den Rest erledigt die Folter, hier bleiben die Schergen bei den bewährten Methoden, die immer Ergebnisse bringen.

Das Europaparlament hat offenbar mit Erschrecken die massive Präsenz europäischer Unternehmen in Unrechtsstaaten zur Kenntnis genommen und eine Resolution verabschiedet. Sie will den Verkauf von Überwachungssystemen für Telefongespräche und SMS beziehungsweise von Systemen, die eine gezielte Überwachung im Internet ermöglichen, künftig nur noch zulassen, wenn sie weder gegen demokratische Prinzipien verstoßen noch die Menschenrechte oder die Redefreiheit missachten.(10 )

Am 1. Dezember 2011 hat der Rat der Europäischen Union mit der Verschärfung der Sanktionen gegen das syrische Regime „den Export von Anlagen und Software für die Überwachung von Internet und Telefongesprächen“ verboten.

Aber der Export von Abhörtechnologie bleibt eine juristische Grauzone. Es ist immer noch leicht für die Hersteller, zwischen den Maschen hindurchzuschlüpfen, zumal die Gesetze von Land zu Land unterschiedlich sind. Hinzu kommt, dass die von den Regierungen erteilten Genehmigungen nicht veröffentlicht werden – und dass Software nicht in einem engeren Sinne als Waffe gilt.

Fußnoten:

(1) Paul Sonne und Margaret Coker, „Firms Aided Libyan Spies“, The Wall Street Journal, New York, 30. August 2011.

(2) „Des experts des services secrets français ont aidé Kadhafi à espionner les Libyens“, "Le Canard enchaîné, Paris, 7. September 2011, sowie „Secret militaire sur le soutien à Kadhafi“, Le Canard enchaîné, Paris, 12. Oktober 2011.

(3) Jonathan Zittrain, „The Web as random acts of kindness“, TED-Konferenz, Juli 2009.

(4) „Syria Crackdown Gets Italy Firm’s Aid With U.S.-Europe Spy Gear“, Bloomberg, 3. November 2011.

(5) Wikileaks, „The Spy Files“, 1. Dezember 2011; wikileaks.org/The-Spyfiles.

(6) Jennifer Valentino-Devries, Julia Angwin und Steve Stecklow, „Document Trove Exposes Surveillance Methods“, The Wall Street Journal, 19. November 2011.

(7) Timothy Karr, „One U.S. Corporation’s Role in Egypt’s Brutal Crackdown“, The Huffington Post, 28. Januar 2011.

(8) Siehe Amesys-Dossier auf Reflets.info.

(9) Diane Lisarelli und Géraldine de Margerie, „Comment Alcatel se connecte à la junte birmane“, Les Inrockuptibles, Paris, 26. März 2010.

(10) „Le Parlement européen interdit la vente de technologies de surveillance aux dictatures“, 11. Oktober 2011: www.fhimt.com.

Aus dem Französischen von Claudia Steinitz

aus Le Monde diplomatique vom 13.1.2012

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.