Was sind Anomalien? Für die NSA sind es beispielsweise Menschen, die eine für die Region, in der sie sich befinden, ungewöhnliche Sprache sprechen, oder die Verschlüsselung benutzen, oder die im Internet nach ungewöhnlichen Dingen suchen (suspicious stuff). Das ist weit gefasst und genau darum geht es. Gesammelt werden soll offenbar erst einmal alles, was mehr über die Kommunikation von Menschen im Netz verrät.
Das sogenannte HTTP-Activity-Plugin von XKeyscore speichert zum Beispiel alle HTML-Sprach-Tags, die es findet. Auch das sind Metadaten. Websites enthalten ein Kürzel, das angibt, in welcher Sprache sie verfasst sind. Damit wird es möglich, jemanden zu finden, der in Pakistan ist, aber im Netz dort auf Deutsch sucht oder sich deutschsprachige Seiten anschaut.
Das kann natürlich ein Terrorist sein, aber so viele gibt es davon auch wieder nicht. Wahrscheinlicher also ist, dass die Suche Mitarbeiter einer Hilfsorganisation zutage fördert oder Geschäftsleute oder einen deutschen Diplomaten.
Laut den Folien kann eine Suchabfrage in XKeyscore auch lauten: "Zeig mir alle, die in Iran PGP verwenden". Oder auch: "Zeige mir alle Firmen in einem Land X, die VPN (Virtual Private Networks, Anm. d. Red.) anbieten und gib mir die dazugehörenden Daten, damit ich diese entschlüsseln und die Nutzer entdecken kann".
Viele Menschen, die keine Terroristen sind, nutzen inzwischen Verschlüsselung und Anonymisierungswerkzeuge. So sind VPN bei Dissidenten beliebt, weil sich damit die regionalen Beschränkungen zum Beispiel in China umgehen lassen. Hierzulande werden sie gern genutzt, um im deutschen YouTube gesperrte Videos betrachten zu können. Verschlüsselung aber ist der NSA verdächtig, egal wofür sie eingesetzt wird.
XKeyscore speichert auch, welche Dateien sich jemand im Internet angeschaut hat. Das Programm merkt sich den Dateinamen und das Dateiformat. Ohne zu wissen, was sich in der Datei selbst wirklich befand, lassen sich damit Analysen vornehmen. Die Folie nennt als Beispiel: "Zeige mir alle Microsoft Excel Spreadsheets, die MAC-Adressen enthalten, die aus dem Irak kommen, sodass ich eine Netzwerk-Kartierung vornehmen kann."
MAC-Adressen sind so etwas wie Gerätenamen, jeder Rechner, jedes Mobiltelefon hat einen solchen 48 Bit langen Adresscode und ist damit eindeutig wiederzuerkennen. Kommunizieren zwei Geräte über das Netz miteinander, werden dabei auch die MAC-Adressen übertragen, um sicherzustellen, dass die richtigen Gesprächspartner miteinander verbunden sind.
Wenn die NSA alle MAC-Adressen kennt, die bei der Verbreitung eines bestimmten Excel-Dokumentes eine Rolle spielten, kann sie diese an anderen Stellen im Netz suchen. Damit wird es möglich, die Quelle eines Dokumentes zu finden, von der aus es sich verbreitet hat. Die Analysten können aber auch nachschauen, wo sich die Geräte und damit die Menschen befinden, zu denen die MAC-Adressen gehören und ob und wie oft sie miteinander kommunizieren. Ihr Netzwerk kann damit kartiert werden und der NSA zeigen, wer in einer Gruppe als Planer wichtig ist, wer als Kurier, wer als Leiter.
Das ist nützlich, um die Struktur beispielsweise von terroristischen Zellen zu verstehen. Allerdings ist die Gefahr hoch, dass Unbeteiligte in dieses Suchraster geraten, weil sie sich bestimmte Dokumente aus Neugier oder Zufall angeschaut haben.
Dafür gibt es noch ein Beispiel: XKeyscore beobachtet offensichtlich auch die Suchabfragen bei Google. Ein in einer Folie zitiertes Beispiel beschreibt, dass Analysten nach Menschen suchen können, die auf der pakistanischen Google-Seite in englischer Sprache nach Fotos von Islamabad suchen. Die Vorstellung, dass es sich dabei um Touristen handelt, liegt sicher näher als die, dass der Suchende ein Terrorist war.
Welche Fragen sind noch offen?
Die in den Folien gewählten Formulierungen wie die zum Enttarnen von VPN-Nutzern sind nicht detailliert genug, um daraus ableiten zu können, ob die NSA generell verschlüsselte Kommunikation via VPN überwachen und mitlesen kann. Sicherheitsexperten mutmaßen, dass die NSA allenfalls schwache Implementierungen angreifen kann.
Unklar ist auch, wie die NSA zum Beispiel an Suchbegriffe
kommt, die jemand bei Google eingibt, oder an die Inhalte aus Facebook-Chats,
zumal in Echtzeit und zumal Google
und nun auch Facebook
standardmäßig eine SSL-Verschlüsselung benutzen, um ihre Nutzer zu schützen. Facebook
betont auch noch einmal, dass es keinen direkten Zugriff der Behörden auf die
Server des Unternehmens gibt.
Schließlich stellt sich die Frage nach der Effektivität des Systems. Die Business Week weist hämisch darauf hin, dass die NSA es nicht einmal geschafft hat, die "drei Stooges des Terrorismus" – die Zarnajews, den Unterhosenbomber Umar Farouk Abdulmutallab und den Times-Square-Bomber – zu fassen, bevor sie zur Tat schritten. Gleichzeitig prahlt das Schulungsdokument aber damit, dass dank XKeyscore bereits 200 Terroristen gefunden wurden. Wie viele Unschuldige dabei im Raster des Geheimdienstes hängen blieben, sagen die Unterlagen nicht.
Was sind Anomalien? Für die NSA sind es beispielsweise Menschen, die eine für die Region, in der sie sich befinden, ungewöhnliche Sprache sprechen, oder die Verschlüsselung benutzen, oder die im Internet nach ungewöhnlichen Dingen suchen (suspicious stuff). Das ist weit gefasst und genau darum geht es. Gesammelt werden soll offenbar erst einmal alles, was mehr über die Kommunikation von Menschen im Netz verrät.
Das sogenannte HTTP-Activity-Plugin von XKeyscore speichert zum Beispiel alle HTML-Sprach-Tags, die es findet. Auch das sind Metadaten. Websites enthalten ein Kürzel, das angibt, in welcher Sprache sie verfasst sind. Damit wird es möglich, jemanden zu finden, der in Pakistan ist, aber im Netz dort auf Deutsch sucht oder sich deutschsprachige Seiten anschaut.