Sicherheit

„PRISM“ – Globales Kommunikationsüberwachungsprogramm von NSA und FBI

© fotolia.com

„PRISM“ – Das geheime globale Kommunikationsüberwachungsprogramm der National Security Agency (NSA) und des Federal Bureau of Investigations (FBI)
„Presidential Policy Directive – PPD-20″

Mit der streng geheimen (TOP SECURITY– NO FOREIGNERS) Presidential Policy Directive – 20-U.S.-Cyber Operations vom Oktober 2012 werden erstmals Grundzüge der US-amerikanischen Cyber-Politik, insbesondere die globale Kommunikationsüberwachung durch die National Security Agency (NSA) im nationalen US-Interesse deutlich. Das Dokument beschreibt die nationalen Rechtsgrundlagen für alle regierungsamtlichen Aktivitäten im digitalen Raum:


  • Definition des digitalen Raumes,

  • Netzwerkverteidigung,

  • schädliche Cyber-Aktivitäten,

  • Effekte im Cyber-Raum,

  • Informationsgewinnung im Cyber-Raum,

  • Cyber-Verteidigungsoperationen,

  • Defensive und Offensive Verteidigungsmaßnahmen,

  • Cyber-Operationen und Notfall-Cyber-Operationen,

  • signifikante Konsequenzen und nationale Interessen.


Die Direktive beschreibt weiter die Anwendung bereits implementierter Verfahren im Bereich Aufklärung, Abwehr und Gegenspionage, Fernmelde- und elektronische Aufklärung, die Gewinnung von Informationen aus offenen Quellen (Open Sources Intelligente-OSI), Netzwerkverteidigung, traditionelle Aktivitäten der Elektronischen Kampfführung (Electronic Warfare-EW), Unterstützung von Irreführungs- und Täuschungsoperationen, sowohl militärische als auch nachrichtendienstliche. Dabei sind die nationale Politik und auswärtige Interessen der Vereinigten Staaten zu berücksichtigen, insbesondere bei verdeckten nachrichtendienstlichen Operationen der US-Nachrichtendienste, die möglicherweise auch andere Interessengebiete berühren könnten.

Die Vereinigten Staaten sollten bei ihren Cyber-Operationen die Unterstützung von anderen Staaten, die Server im US-Besitz betreiben, suchen, ausgenommen für den Fall militärischer oder anderer Operationen im betroffenen Land. Abschließend werden die Grundlagen der Cyber-Defense-Politik der Vereinigten Staaten umfassend beschrieben, auf die hier aber nicht weiter eingegangen werden soll. Zusätzlich werden die US-Dienste eine Zielliste der weltweit zu überwachenden IT-Systeme erstellen, um die Kommunikation im nationalen Interesse zu überwachen.

NSA-Überwachungssystem „PRISM“

Bereits seit 2007 hat das US-Unternehmen MICROSOFT im Rahmen gesetzlicher Verpflichtungen (US-Patriot Act, FISA u.a.) auf Grund eines als geheim eingestuften Gerichtsbeschlusses der NSA Zugriff auf seine Server gewähren müssen. Im Rahmen des NSA-Programms „PRISM“ werden täglich weltweit über 2.0 Mio Gigabyte über Systeme der NSA (vermutlich in das neu errichtete Utah-Data-Center der NSA) geleitet. In der Folge mussten offenbar auch YAHOO, GOOGLE, FACEBOOK, AOL, SKYPE, YOU TUBE, APPLE, PATTALK, DROP BOX und VERIZON die auf deren Systemen gehaltenen Daten der NSA verfügbar machen. Im Rahmen des Passenger Name Record (PNR) beim Department of Homeland Security anfallende Daten der Fluggäste werden im Rahmen von Vereinbarungen an die NSA weitergegeben.

Im Rahmen der Überwachung der Verbindungsdaten der Telefonüberwachung können Nutzerprofile erstellt werden. Das US-Telekommunikationsunternehmen VERIZON musste auf Grund eines Gerichtsbeschlusses die Verbindungsdaten von Nutzern in den USA und von Ferngesprächen zu Zielen außerhalb der USA weitergeben. Nicht auszuschließen ist auch, dass auch Daten europäischer Bankkunden im Rahmen des Programms SWIFT an die US-amerikanischen Nachrichtendienste gelangen und dort verwendet werden. Inwieweit die Dienste der USA bereits auf bei der EU und ihren Mitgliedsstaaten verfügbare Daten wie: SIS III /EUROPOL / EURODAC / CIS / FIDE / ENTRY-EXIT-System, FRONTEX / EUROSUR / OLAF / PRÜM-DATEI / ECRIS / EPRIS / API / VISION / VISA / FIUNET / ARO / CYBERCRIME-PLATFORM / VIS / EUROPOL AWF / RISER / EUCARIS und andere, weniger bekannte Systeme zugreifen oder sich Zugriff verschafft haben könnten, muss unbeantwortet bleiben. Dies kann natürlich auch für nationale Systeme gelten, auf die im Rahmen bilateraler Vereinbarungen zugegriffen werden könnte.

Im Rahmen von „PRISM“ werden alle auf den Servern verfügbaren Informationen wie: Audiodateien, Videodateien, Fotografien, E-Mails, Dokumente und Verbindungsdaten erfasst und gespeichert. Ob ausgewählte Telefonverbindungen aufgezeichnet und die Stimmen in Datenbanken erfasst werden, erscheint möglich. Dies kann sicherlich auch für die in der CLOUD gespeicherten Informationen aller Art auf Servern in den USA und anderswo gelten, sofern es sich um US-amerikanische Unternehmen handelt, die der US-Jurisdiktion unterliegen. Auch gewinnen die Anstrengungen interessierter Kreise im Zusammenhang mit der Generierung großen Datenmengen im Zusammenhang mit „Big Data“ eine völlig neue Dimension. In diesem Fall wird der Zugriff auf große, sensitive Datenbestände durch die „Dienste“ ungemein erleichtert, da dieser bereits an der Quelle stattfindet.

Bearbeitung von Daten durch die NSA

Im META-Model (DM2) der National Security Agency vom 3.Oktober 2011 werden die Vorgehensweise und Arbeitsschritte zur Auswertung der mit dem System „PRISM“ zu bearbeitenden umfangreichen Datenbestände beschrieben. Mit einer einheitlichen System-Architektur zur Auswertung von Metadaten können eine Vielzahl von Nutzern zeitgleich auf die Datenbestände zugreifen und diese für ihre Zwecke nutzen.

Das System wird vom US-amerikanischen Verteidigungsministerium initiiert und von der NSA betrieben. Es steht allen angeschlossenen Nutzern im Rahmen des „Intelligente Sharing Evironment (ISE)“ offen, sofern entsprechende Berechtigungen vorliegen. Vorschläge für Erweiterungen des Systems können im Rahmen einer Working Group von allen Nutzern eingebracht werden.







Bewertung

Der US-Präsident hat sich ausweichend zu diesem Komplex geäußert. Allerdings wurden dem Fachpublikum diesbezügliche Bemühungen der US-Nachrichtendienste spätestens nach Implementierung des „Information Sharing Environment“ durch den Präsidenten klar, dass die USA zur Bekämpfung des weltweiten Terrorismus und zur Erreichung anderer Ziele die Kommunikationsüberwachung verstärken würden.

Offenbar hat sich die EU zu diesem Problem noch nicht festgelegt. Nach einer Meldung des „Standard“ aus Wien vom 8. Juni 2013 will sich die Bundesregierung im Innenausschuss des Deutschen Bundestages damit befassen, da die Rechtsgrundlagen unklar sind.






Quellen:

Presidential Policy Directive – PPD-20, Subject: U.S. Cyber Operations Policy (U) –TOP SECRET/NO FOREIGNERS, Washington, October 2012;

Department of Defense Office of the Assistant Secretary of Defense (OASD) for Network Infrastructure and Integration (NII) Configuration Management Plan for The DoD Architecture Framework (DoDAF) and DoDAF Meta Model (DM2);

Weiße, Günther K.: Totale Überwachung – Staat, Wirtschaft und Geheimdienste im Informationskrieg des 21. Jahrhunderts, Graz, 2011;

http://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.