Überwachung mit PRISM: Nur die Spitze des Eisbergs

Während die Existenz eines Überwachungsprogramms von den US-Behörden bestätigt wurde, sind Ausmass und Art der gesammelten Daten noch unklar. Das PRISM-Programm ist dabei nur eines von mehreren.

Schil der National Security Agency (NSA) am Hauptsitz in Fort Meade im Bundesstaat Maryland. Bild in Lightbox öffnen.

Bildlegende: Im Zentrum des Skandals: Die National Security Agency (NSA) mit ihrem Hauptsitz in Fort Meade in Maryland steht im Zentrum des Skandals. Keystone

Etwas Gewissheit gibt es nun im Skandal um die Überwachung durch US-amerikanische Geheimdienste. Der Systemadministrator Edward Snowden hat sich selbst als Informant enttarnt. Und Präsident Barack Obama und der Director of National Intelligence James Clapper haben in den Grundzügen die Existenz des Programmes unter der Bezeichnung «PRISM» bestätigt. Sie vertreten aber die Ansicht, im Rahmen der Gesetze zu handeln.

In den ersten Berichten der «Washington Post» und des «Guardian» war die Rede von einer aktiven Mitarbeit der betroffenen Unternehmen wie Facebook, Google oder Yahoo. Diese Unternehmen haben dies vehement verneint. Sie sagen in teilweise sehr ähnlichen Formulierungen, dass sie weder ein Programm namens «PRISM» kennen noch den US-Behörden direkten Zugriff auf ihre Server gewährt hätten. Im gleichen Atemzug räumen sie aber ein, selbstverständlich im Rahmen der gesetzlichen Vorgaben vereinzelt Auskunft zu geben.

PRISM: Halb-automatische Detailabfrage

So zeichnet sich ein plausibles Bild ab, wie PRISM funktionieren könnte: Es scheint ein halb-automatischer Vorgang zu sein, um von einem Betreiber Kommunikations-Daten anzufordern. Die gesetzliche Grundlage dafür ist der «Foreign Intelligence Surveillance Act (Fisa)», die vom US-Kongress mehrfach bestätigt wurde. Voraussetzung ist eine gezielte Anfrage zu spezifischen Personen, die zudem keine amerikanischen Bürger sein dürfen. Das grosse Schleppnetz – grosse, nicht genauer spezifizierte Datenmengen – wäre unter Fisa nicht zulässig.

Mit PRISM kann also ein NSA-Analyst eine Anfrage stellen, eine bestimmte Person zu überwachen. Ein speziell dafür vorgesehenes Gericht muss die Anfrage genehmigen; dann wird sie an ein Unternehmen wie Google, Facebook oder Yahoo weitergeleitet und dort beantwortet. Diese Lesart würde bedeuten, dass die Unternehmen in ihren Stellungnahmen nicht gelogen haben, da sich solche Anfragen im Rahmen der Gesetze bewegen – auch wenn die Betreiber durch technische und personelle Massnahmen bei der Beantwortung der Anfragen aktiv mithelfen.

Die Menge dieser Anfragen ist bekannt: Das Gericht, das sie bewilligen muss, hat im letzten Jahr rund 1'800 genehmigt.

BLARNEY: Breit mitschneiden

PRISM wird aber gemäss der vom Informanten Edward Snowden publik gemachten Präsentation von weiteren Programmen unterstützt. Eines davon heisst «BLARNEY», und dort geht es nicht um gezielte Abfragen einzelner Nachrichten, sondern um ein grossflächiges Mitschneiden von Internet-Kommunikation.

Es wird seit Jahren vermutet, dass die NSA Internet-Verkehr mitschneidet, der durch die USA fliesst. Das ist plausibel, weil nach wie vor viel des globalen Internetverkehrs durch Backbones (grosse Haupt-Leitungen) in den USA geleitet wird. Eine weitere zentrale Schnittstelle wären grosse Speicherplatz-Anbieter (sogenannte «Content Distribution Networks») wie Amazon oder Akamai – auch hier könnte die NSA auf Dienste in den USA zugreifen, die einen grossen Teil des globalen Internetverkehrs abwickeln. Es ist denkbar, dass die NSA das auch ohne Mitwissen der betroffenen Unternehmen tun könnte.

Grenzenloses Meta-Daten-Mining

Die Menge der so gesammelten Information wird im Programm «Boundless Informant» sichtbar. Gemäss dem «Guardian» visualisiert die Software, wie viele Datensätze aus welchem Land bei der NSA gespeichert werden. Im März allein sollen es total 100 Milliarden Datensätze gewesen sein. Rund die Hälfte davon stamme laut Guardian aus vier Ländern: Iran, Pakistan, Jordanien und Ägypten.

Grob geschätzt entspricht das etwa einem Milliardstel des Volumens des gesamten Internetverkehrs. Es muss also stark gefiltert werden. Gespeichert werden wohl in erster Linie Meta-Daten: Nicht die gesamte E-Mail, sondern lediglich Zeitpunkt, Sender und Empfänger. Das Gleiche gilt für Telefon-Gespräche oder Chat-Unterhaltungen: Wer wann mit wem, nicht was.

Diese Daten können nun mit modernen Data-Mining-Algorithmen analysiert werden. Dabei geht es eben genau nicht darum, auf bestimmte Stichworte wie «Bombe» oder «Jihad» zu reagieren. Sondern darum, Beziehungsnetze und Aktivität zu erkennen: Wer redet mit wem? Wer ist wie aktiv?

Die NSA-Zentrale in Fort Meade beschäftigt hunderte Mitarbeiter. Bild in Lightbox öffnen.

Bildlegende: Kooperation mit grossen Internetfirmen: Die NSA-Zentrale in Fort Meade beschäftigt hunderte Mitarbeiter. Reuters

Würde also beispielsweise eine E-Mail-Adresse in Pakistan plötzlich sehr aktiv im Zusammenhang mit bereits bekannten Personen auftauchen, ginge gewissermassen ein rotes Lämpchen an. In einem weiteren Schritt könnten dann Analysten über PRISM gezielt diese Kommunikation lesen, um nicht nur zu wissen, wer da mit wem spricht, sondern auch den Inhalt.

Bei solchen Datenmengen spucken auch die besten Algorithmen zwingend mehr Fehlalarme als echte Treffer aus. Da ein Alarm für die betroffene Person gravierende Folgen haben kann, ist die Trefferquote dieser Systeme eine wesentliche Frage, die bisher unbeantwortet blieb. Ebenso unklar ist, ob eine so breite Daten-Sammelei wirklich auf Nicht-Amerikaner beschränkt werden kann.

Dass die US-Geheimdienste die Versäumnisse vor 9/11 unter keinen Umständen wiederholen wollen und alle ihnen zur Verfügung stehenden technischen Mittel bis an und über die Grenzen ausnutzen, darf nicht überraschen. Die Verschiebung weg vom «professionellen» Terror der Al-Kaida hin zu den Amateuren von Boston und London ist eine weitere Rechtfertigung für die stete Ausweitung der Überwachung. Die USA werden durch den Skandal jetzt aber gezwungen, die politische Diskussion zu führen, ob das Ausmass der Überwachung in einem Verhältnis zur erzielten Sicherheit steht.