Die NSA und ihre Verbündeten sammeln unzählige Informationen über das Internet. In der Datenbank Treasuremap tragen sie alles ein, was sie wissen – zum Spionieren und Angreifen. Es ist die Generalstabskarte für den Cyberwar.
Es gibt vermutlich keine andere Organisation auf dem Planeten, die so viel über das Internet weiß, wie die NSA. Der US-Geheimdienst verfügt über eine riesige Datenbank, die Informationen aus Hunderten NSA-Programmen miteinander verbindet, um daraus eine “Schatzkarte” zu machen. So heißt das Programm: Treasuremap.
Als die “New York Times” im November 2013 erstmals über Treasuremap berichtete, kommentierte die NSA dies gewohnt schmallippig: Das Programm diene nicht der Überwachung, sondern um “Computernetzwerke zu verstehen”.
Doch in Wahrheit geht es hier weder um Schatzsuche noch um bloße Wissbegierde. Die Schöpfer der Treasuremap haben vielmehr das getan, was Feldherren unternehmen, bevor sie in eine Schlacht ziehen. Die vermeintliche Schatzkarte ist, so ist es im aktuellen SPIEGEL formuliert, “so etwas wie die Generalstabskarte für den Cyberwar”.
Was bringt dem Geheimdienst so eine Karte?
Die NSA hat vielfältige Aufgaben, die mit dem Internet zu tun haben:
- – Sie zapft weltweit beliebige Rechner auf Wunsch an – das nennt man beim US-Geheimdienst “Active Sigint”, also aktive technische Aufklärung.
Sie nimmt gewaltige Datenmengen, die immerzu durchs Netz fließen, auf, speichert sie zwischen und durchsucht sie nach bestimmten Stichwörtern, Personen, Gerätesignaturen.
– Sie schmuggelt die Informationen, die sie überall in der Welt aus dem Netz zieht, unauffällig zurück nach Hause und muss dafür sorgen, dass den übrigen Teilnehmern des Internets nicht auffällt, was da eigentlich durch ihre Infrastruktur geschleust wird und wohin.
– Und nicht zuletzt soll sie dafür sorgen, dass die USA – und bei Bedarf auch ihre Verbündeten – auf dem Schlachtfeld der Zukunft, dem Schauplatz eines potenziellen Cyberkriegs, einen besseren Überblick haben als alle anderen.
Zu all diesen Aufgaben leistet das Treasuremap genannte Programm einen wichtigen Beitrag. Die Karte enthält Informationen darüber, wie Netzwerke aufgebaut sind, wo ihre Engpässe und Schwachstellen liegen – und wie man Daten unauffällig von A nach B bringt. Eingesetzt werden könne sie beispielsweise für “die Planung von Computerangriffen und Spionageaktionen”, heißt es in einer Präsentation des Geheimdienstes. “Sie zeigt Ihnen das öffentliche Internet, überall, so wie es heute aussieht”, heißt es in dem NSA-Dokument, das der SPIEGEL und SPIEGEL ONLINE nun veröffentlichen (siehe Kasten). Die Treasuremap ist eine ständig aktualisierte Informationsquelle, die all das abbildet, was die NSA über das Internet weiß, von der Makro- bis hin zur Detailebene. Und das ist eine ganze Menge. Man könnte es auch so formulieren: Wenn die Datenbankanwendung XKeyscore das Google der NSA ist, dann ist die Treasuremap ihr Google Maps.
Ein weiteres Ziel der Treasuremap-Dienstleister, so die Präsentation, sei es, “Cyber Personas” mit realen Personen zu verknüpfen. Das heißt konkret: Wenn von einer Zielperson lediglich eine IP-Adresse oder Informationen über benutzte Geräte vorliegen, können die Spione mithilfe der Schatzkarte ermitteln, von wo aus diese Zielperson ins Netz geht. Bei Bedarf lässt sich so auch der Aufenthaltsort der Person ermitteln und eine gezielte Attacke auf ihren Rechner oder ihr Handy planen.
Was ist in der Karte eingezeichnet?
In einer internen Präsentation zur Treasuremap-Datenbank findet sich ein Slogan, der fast an einen Werbespruch erinnert: “Kartografiert das gesamte Internet, jedes Gerät, überall, jederzeit.” Von den groben bis hin zu den feinsten Strukturen des Netzes und seiner Zehntausenden Unternetze soll die Karte möglichst alles abbilden.
Aufgeführt sind wichtige Netzverbindungsstellen, auch einzelne Router sind visualisiert – sogar Informationen über einzelne Endgeräte wie Rechner, Smartphones und Tablets, die mit dem Internet verbunden sind, soll die Karte enthalten. Mit viel Aufwand versucht die NSA, IP-Adressen mit geografischen Informationen zu verknüpfen, damit die Karte anzeigt, wo genau sich ein bestimmtes Gerät höchstwahrscheinlich gerade befindet.
Die Schatzkarte enthält zudem Informationen über VPN-Netze, also verschlüsselte private Netzwerke, wie sie Firmen verwenden. Außerdem über “Konfigurationsdaten” zu bestimmten Routern und zu “IP-Adressen mit bekannten TAO-Sicherheitslücken”- TAO steht für Tailored Access Operations, maßgeschneiderte Operationen. Diese Einheit ist die Hackertruppe der NSA. Mit anderen Worten: Auf der Treasuremap ist im Zweifel auch verzeichnet, für welche Türen die NSA bereits einen Nachschlüssel besitzt. Auch Daten über W-Lan-Netzwerke sind auf der Schatzkarte verzeichnet.
Woher weiß die NSA das alles?
Die Karte enthält Informationenen aus vielen Quellen. Teils handelt es sich um öffentlich zugängliche Daten, teils um Ergebnisse eigener Scans oder die Früchte der umfassenden Ausspähung des Geheimdienstes, “aus Spionageaktivitäten und passiver Sigint”, wie es in einer NSA-Präsentation heißt. Also Informationen über Rechner, Kabel und Router, auf die sich die NSA Zugriff verschafft hat.
Eine wichtige Datenquelle sind sogenannte Traceroutes. Der Begriff bezeichnet eine Art roten Faden fürs Internet: Wenn ein Rechner Kontakt zu einem anderen aufnimmt, der ans Netz angeschlossen ist, bildet die Traceroute den Weg ab, den die Datenpakete von Rechner eins zu Rechner zwei nehmen. Inklusive aller Zwischenschritte, also der dabei durchquerten Netzwerk-Knotenpunkte.
Die Daten stammen teils von öffentlich zugänglichen Traceroute-Sites – oder aus einem NSA-System namens Packagedgoods (“verpackte Waren”): Mindestens 13 geheime Server sind an verschiedenen Orten rund um den Globus verteilt. Sie führen ständig derartige Traceroute-Abfragen durch und schicken die Ergebnisse zurück zur Treasuremap. Einer der Server steht übrigens in Deutschland, in einem “ahnungslosen Rechenzentrum”, wie es in der Präsentation heißt.
Eine weitere Datenquelle ist das sogenannte Border Gateway Protocol (BGP). Dieses Protokoll ist für die reibungslose Abwicklung von Datenverkehr zwischen den einzelnen Netzen zuständig, aus denen sich das Internet als Ganzes zusammensetzt. Es liefert etwa Informationen darüber, welche Netzwerke miteinander verbunden sind. Diese Daten sind in der Regel öffentlich verfügbar.
Weitere Quellen, aus denen die Treasuremap befüllt wird, sind eine ganze Reihe von geheimen Programmen der NSA und ihrer Verbündeten. Jede Form von netzwerkrelevanter Information, über die die Dienste verfügen, wird eingebaut: Ortsinformation, Daten über Betriebssystem-Konfigurationen, Informationen über geschützte Intranets, abgezapft aus mit Spionagesoftware verseuchten PC. Auch Informationen über Satellitenverbindungen und Funknetze werden auf der Karte verzeichnet.
All das ergibt ein detailliertes Gesamtbild. Die NSA bemüht auf einer ihrer Folien gar Aristoteles: “Das Ganze ist größer als die Summe seiner Teile”.
Was hat das mit uns zu tun?
Wie brisant die Treasuremap gerade auch für Deutschland ist, geht aus weiterem Material aus dem Snowden-Fundus hervor, das SPIEGEL und SPIEGEL ONLINE jetzt veröffentlichen.
Darunter ist eine NSA-Präsentation mit interessanten roten Markierungen. Diese verweisen auf Netzwerke, auf die sich die NSA Zugriff verschafft hat. Und dazu gehören, wie einem weiteren Dokument aus dem Fundus von Edward Snowden zu entnehmen ist, auch die Deutsche Telekom und der Kölner Provider Netcologne.
Beide Anbieter sind auf einer Art Vernetzungsdiagramm, das Verknüpfungen zwischen den Netzwerken einzelner Provider darstellt, mit einem roten Punkt markiert. Einem weiteren Dokument zufolge bedeutet das: In diesem Netzwerk gibt es einen “Sigint collection point”, also einen Zugriffspunkt für die Cyberspione. Sollte das stimmen, hieße das: Die Telekom, Deutschlands größter Provider, ist gehackt. Die Telekom versorgt allein in Deutschland 60 Millionen Kunden mit Mobilfunk, Internet und Festnetzanschlüssen.
Quelle: spiegel.de