Die NSA hört mit. Offenbar nicht nur bei Telefonaten von Privatbürgern, sondern auch bei der deutschen Bundeskanzlerin. Am Mittwochabend teilte der Sprecher der Bundesregierung, Steffen Seibert, mit, dass „die Bundesregierung Informationen erhalten [hat], dass das Mobiltelefon der Bundeskanzlerin möglicherweise durch amerikanische Dienste überwacht wird. Wir haben umgehend eine Anfrage an unsere amerikanischen Partner gerichtet und um sofortige und umfassende Aufklärung gebeten.“
Der Verdacht ist so konkret, dass sich die Bundeskanzlerin genötigt sah, noch am Abend bei US-Präsident Barack Obama anzurufen, um sich zu beschweren. Der Vorgang sei „völlig inakzeptabel“, so Merkel. Der US-Präsident gab sich wortkarg. Er erklärte, dass die deutsche Bundeskanzlerin „derzeit nicht überwacht” und auch in Zukunft „nicht überwacht“ werde. Ob das aber in der Vergangenheit passiert ist, ließ Washington offen.
Aus Protest gegen die mutmaßlichen US-Spähangriffe auf das Handy von Kanzlerin Angela Merkel hat Außenminister Guido Westerwelle am Donnerstag den amerikanischen Botschafter John B. Emerson einbestellt. Die Affäre soll auch beim EU-Gipfel am Donnerstag zur Sprache kommen. „Ich denke, dass wir das teilweise im (Europäischen) Rat diskutieren werden“, sagte die litauische Staatspräsidentin Dalia Grybauskaite am Donnerstagmittag in Brüssel. Litauen führt derzeit die EU-Ratspräsidentschaft.
Mittlerweile scheint zumindest der Verdacht ausgeräumt, dass sogar das neue, hochverschlüsselte Diensthandy der Kanzlerin von der Abhöraktion betroffen ist. Gegenüber Golem teilte ein Sprecher des Bundesamt für Sicherheit in der Informationstechnik (BSI) mit, dass es "sehr unwahrscheinlich" sei, dass ein vom BSI zugelassenes Smartphone abgehört wurde.
Der Grund dafür liegt in der Technik begründet, die die Kanzlerin nutzt. Die wichtigsten Fakten im Überblick:
Wie kommuniziert Merkel überhaupt?
Die Bundeskanzlerin besitzt zwei Handys – ein privates und ein dienstliches. Bei dem privaten Smartphone handelt es sich um ein LG Optimus One, ein nicht extra abgesichertes Standardgerät. Das Diensthandy wurde erst vor wenigen Monaten ausgetauscht. In Umlauf sind sowohl das Telekom-Smartphone „SIMKo 3“ als auch das Blackberry Z10.
Bei dem „SIMKo 3“ handelt es sich um ein speziell angepasstes Samsung Galaxy 3. Es wurde nach den Anforderungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und ist damit offiziell für die Geheimhaltungsstufe „Verschlusssache - Nur für den Dienstgebrauch“ freigegeben. Der Nachteil des Telefons: Es verschlüsselt ausschließlich Textnachrichten. Telefonieren ist damit noch nicht abhörsicher.
Zwar verfügt die Telekom über eine Sprachverschlüsselungsvariante, die beispielsweise Unternehmenskunden nutzen. Aber für die Bundesbehörden verlangt das BSI einen anderen Standard – und der soll erst Mitte des kommenden Jahres für die SIMKo-Geräte verfügbar sein.
Daher wird derzeit unter Regierungsmitgliedern vor allem das Blackberry genutzt. Seit Anfang Oktober wird die jüngste Weiterentwicklung der Sicherheitssoftware von der darin verbauten Sicherheitssoftware Smartsecure ausgeliefert. Das auf dem Blackberry Z10 basierende System verfügt über eine spezielle SIM-Card und eine zusätzliche Sicherheitssoftware, die alle Sprach- und Datenübertragungen in Verbindung mit einem speziellen Krypto-Chip auf einer ins Gerät eingeschobenen Smart-Card verschlüsselt.
Dabei handelt es sich um einen sogenannte Ende-zu-Ende-Verschlüsselung, die unter anderem verhindert, dass die Datenströme auf dem Weg von Endgerät zu Endgerät (also beispielsweise in Vermittlungsstellen oder auf Knotenrechnern im Internet) mitgeschnitten und ausgewertet werden. Damit soll dann zumindest zwischen entsprechend ausgerüsteten Smartphones auch das abhörsichere Telefonieren möglich sein.
Welche Schwachstelle konnte die NSA nutzen?
Allem Anschein nach hat der amerikanische Geheimdienst in der Vergangenheit private Telefonate der Kanzlerin mitgehört. Das berichtet zumindest der „Spiegel“, durch dessen Recherche der Abhörverdacht öffentlich wurde. Die Frankfurter Allgemeine Zeitung meldete, dass Merkels Parteihandy abgehört worden sei. Merkel soll dieses vor allem in ihrer Funktion als CDU-Vorsitzende genutzt haben.
Beide Handys sind deutlich schlechter gesichert, als die neuen Diensthandys. So konnte die NSA problemlos mithören. Welche Informationen die NSA letztlich den abgehörten Gesprächen genau entnommen haben könnte, ist bisher nicht klar.
Fakt ist, dass mit den Praktiken des Geheimdienstes Milliarden Daten gesammelt und dank umfassender Big-Data-Analysen ausgewertet werden können. Die Praktiken hat der Whistle-Blower Edward Snowden bereits vor Monaten in einem umfangreichen Bericht offengelegt. Danach soll die amerikanische Bundespolizei FBI Telekommunikationsdaten direkt von den großen Internetfirmen wie Google, Yahoo, Facebook, Apple und Microsoft abgreifen. Gleichzeitig werden Vorratsdaten von Providern abgegriffen, Glasfaserkabel angezapft und Router gehackt.
Haupteinfallstor aller Angriffe sind sind jedoch Software-Schwachstellen in den Betriebssystemen von Smartphones oder Computern der auszuspähenden Politiker oder Manager. Diese Bugs, die in den immer komplexeren, oft Millionen von Codezeilen umfassenden, Programmen so gut wie nicht zu vermeiden sind, sind das Einbruchswerkzeug für Online-Betrüger und Cyber-Spione.
Und längst hat sich eine lukrative Industrie entwickelt, die nichts Anderes zum Geschäftszweck hat, als genau diese Stolperstellen im Code zu entdecken – noch bevor die Programmanbieter selbst darauf stoßen und sie beheben können – und dieses Wissen zu versilbern. Auch Deutsche mischen auf diesem grauen Markt mit, in dem auch staatliche Einkäufer, etwa von Geheimdiensten, für gute Ware teils astronomische Summer zahlen: Laut einer im vergangenen Frühjahr veröffentlichten Übersicht reichen die gebotenen Preise für solche Schwachstellen von 5000 Dollar – bei älteren Versionen von Adobes Dokumentensoftware Acrobat Reader – bis zu 250.000 Dollar für einen funktionierenden Angriff auf Apples Smartphone-Betriebssystem iOS.
Wer besitzt die sicheren Smartphones?
Insgesamt sollen nach und nach etwa 4000 Beamte im Berliner Politbetrieb mit dem Smartphone ausgestattet werden. Im Regierungsviertel ist die Nachfrage nach den Blackberrys in den letzten Wochen stark gestiegen. Bundesministerien haben inzwischen mehr als 1000 Smartphones des Modells Z10 bestellt.
Auch im Ausland gibt es Interesse. "Wir sind mit anderen europäischen Ländern im Gespräch", sagt Secusmart-Chef Hans-Christoph Quelle. Ein Auftrag könnte schon in den nächsten Wochen abgeschlossen werden, für das kommende Jahr sind Tests in drei weiteren Ländern geplant.
Darüber hinaus ist das Interesse bei Wirtschaftsbossen groß. Verschiedene Großunternehmen, auch Dax-30-Konzerne, testen das Gerät oder haben es schon bestellt.
Kann jeder die Merkel-Handys nutzen?
Ja, die Geräte kann jeder kaufen. Etwa 2500 Euro kostet das Z10 von Blackberry mit der Zusatzausstattung des Düsseldorfer IT-Sicherheitsdienstleisters SecuSmart. Die entsprechend „gehärteten“ Geräte vertreiben die Düsseldorfer und der kanadische Smartphone-Hersteller gemeinsam. Dabei war die Entwicklung der Sicherheitslösung von Anfang an darauf angelegt nicht nur Behördenbedürfnisse zu befriedigen, sondern ausdrücklich auch Systeme für sicherheitsbedürftige Unternehmen anbieten zu können. Das passt zudem perfekt in die inzwischen primär auf Firmenkunden fokussierte Geschäftsstrategie, der angeschlagenen Kanadier.
Die SIMKo-Geräte sind mit 1700 Euro zwar ein Drittel günstiger, dafür ist das Telefonieren aber auch nicht nach den Anforderungen des Bundesamt für Sicherheit in der Informationstechnik verschlüsselt.
Wenn Merkel ausgespäht wird, kann man dann noch sicher kommunizieren?
Statt Fatalismus ist nun Realismus gefragt: Selbst wenn es Hackern – egal, ob in staatlichem oder kriminellem Auftrag – gelänge, hoch gesicherte Kommunikationsmittel wie das Handy der Kanzlerin abzuhören, heißt das noch lange nicht, dass sensible Personendaten oder geschäftskritische Unternehmensinformationen nicht mehr geschützt werden müssten. Denn tatsächlich ist es immer eine Frage des technischen Aufwands den es kostet, um an die Daten zu gelangen. Und das führt letztlich immer zu der ökonomischen Überlegung, wie viel Geld und Zeit Angreifer aufwenden wollen, um an die Informationen zu gelangen.
Umgekehrt heißt das, wer sich beispielsweise vor Industriespionage schützen will, kann mit vergleichsweise geringem Aufwand für die Absicherung der mobilen Kommunikation (und auch der drahtgebundenen) schon die Kosten eines Angriffs für Hacker so weit in die Höhe treiben, dass sich die Spione möglicherweise zunächst einmal leichter ausspähbaren Zielen zuwenden.
Analog zu der Wohnzimmerlampe daheim, die mancher einschaltet, wenn er abends das Haus verlässt. Will der Einbrecher dennoch genau in dieses Haus einbrechen, wird er einigen Aufwand betreiben, um herauszufinden, ob vielleicht trotz des Lichts niemand daheim ist. Wer aber nur auf einen schnellen Raubzug aus ist, sucht sich dann doch lieber die leichte Beute, ein paar Häuser weiter, wo es dunkel ist.
Genauso ist es bei der sicheren digitalen Kommunikation. Natürlich ist für die Geheimdienste von mehr bis minder freundlich gesonnenen Staaten hochspannend, was die Kanzlerin denkt und mit wem sie telefoniert. Und selbst wenn die NSA aktuell nicht lauscht, was Frau Merkel so an Vertraulichem über ihr Telefon kommuniziert, es wäre naiv zu glauben, dass die Schlapphüte es nicht mindestens früher versucht haben. Und vermutlich ist es genauso naiv, davon auszugehen, dass sie es nicht doch in Zukunft wieder versuchen werden.
Umso mehr ist der Aufwand, den Bundes- und Länderbehörden betreiben, um ihre Sprach- und Datenverbindung zu sichern, eher Beleg für die Notwendigkeit auch für Unternehmen und Privatleute, sich vor elektronischen Spähattacken zu schützen. Nur weil hier und da ein Einbruch in ein Haus oder eine Wohnung gelingt, würde ja auch niemand ernsthaft damit aufhören, seine Haustür beim Weggehen nicht mehr abzuschließen, sondern gleich sperrangelweit offen stehen zu lassen.
Wie groß ist der politische Schaden der möglichen Abhöraktion?
Die Bundeskanzlerin machte aus ihrer Verärgerung keinen Hehl. Der mutmaßliche Lauschangriff sei „völlig inakzeptabel“ und gehöre sich nicht unter Partnern. „Das ist nicht hinzunehmen“, findet auch Verteidigungsminister Thomas de Maizière.
Deutlich verhaltener sind die Reaktionen in den USA. Hier taugt weder die Überwachung von ausländischen Bürgern noch Lauschangriffe auf internationale Regierungschefs zum Aufreger. Nach den Anschlägen vom 11. September 2001 ist die innere Sicherheit das vorrangige Ziel jedweden politischen Handelns. Dass dadurch die Freiheitsrechte eingeschränkt werden, ist den US-Amerikanern mehrheitlich egal. Erst recht, da die Gefahr von Terrorangriffen nicht gebannt ist, wie die Anschläge auf den Boston Marathon am 15. April zeigten.
Die US-Sicht ist wichtig, um die Dinge einordnen zu können. Akzeptieren muss man die NSA-Praktiken deshalb noch lange nicht. Der Bekämpfung des Terrorismus darf nicht alles untergeordnet werden. Die massenhafte Ausspähung von Bürgern (und Politikern) geht zu weit. Nur in begründeten Verdachtsfällen sind solche Praktiken angemessen. Prophylaktische Lauschangriffe sind nicht hinnehmbar.
Die USA sind zu weit gegangen und dürften einen hohen Preis bezahlen. Das Verhältnis zur Bundeskanzlerin ist beschädigt. Das ist für Washington umso bitterer, da Deutschland stets ein treuer Verbündeter war und die Vereinigten Staaten auch öffentlich verteidigte.
Die Verhandlungen über eine transatlantische Freihandelszone, die die USA dringender brauchen als Europa, dürften über Jahre ins Stocken geraten. Und mit der Aussetzung des Swift-Abkommens, das den Austausch von Informationen zwischen den US- und EU-Behörden über internationale Überweisungen regelt, für das das EU-Parlament votierte, hat Europa ein Zeichen gesetzt, dass es auf Konfrontationskurs zu den USA geht.
Das gilt nicht nur für Europa. Auch einer der wichtigsten US-Verbündeten in Südamerika, Brasilien, ist durch die NSA-Praktiken verstimmt. Telefonate und E-Mails der Präsidentin Dilma Rousseff sollen ausgespäht worden sein. „Illegale Praktiken“ empörte sich die Brasilianerin, und sagte einen lange geplanten Staatsbesuch in die USA kurzerhand ab.