Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

NSA-System Treasuremap: "Jedes Gerät, überall, jederzeit"

Von , Christian Grothoff und

Folie aus einer internen NSA-Präsentation: SPIEGEL ONLINE veröffentlicht die Dokumente Zur Großansicht

Folie aus einer internen NSA-Präsentation: SPIEGEL ONLINE veröffentlicht die Dokumente

Die NSA und ihre Verbündeten sammeln unzählige Informationen über das Internet. In der Datenbank Treasuremap tragen sie alles ein, was sie wissen - zum Spionieren und Angreifen. Es ist die Generalstabskarte für den Cyberwar.

Es gibt vermutlich keine andere Organisation auf dem Planeten, die so viel über das Internet weiß, wie die NSA. Der US-Geheimdienst verfügt über eine riesige Datenbank, die Informationen aus Hunderten NSA-Programmen miteinander verbindet, um daraus eine "Schatzkarte" zu machen. So heißt das Programm: Treasuremap.

Als die "New York Times" im November 2013 erstmals über Treasuremap berichtete, kommentierte die NSA dies gewohnt schmallippig: Das Programm diene nicht der Überwachung, sondern um "Computernetzwerke zu verstehen".

Doch in Wahrheit geht es hier weder um Schatzsuche noch um bloße Wissbegierde. Die Schöpfer der Treasuremap haben vielmehr das getan, was Feldherren unternehmen, bevor sie in eine Schlacht ziehen. Die vermeintliche Schatzkarte ist, so ist es im aktuellen SPIEGEL formuliert, "so etwas wie die Generalstabskarte für den Cyberwar".

Was bringt dem Geheimdienst so eine Karte?

Die NSA hat vielfältige Aufgaben, die mit dem Internet zu tun haben:

  • Sie zapft weltweit beliebige Rechner auf Wunsch an - das nennt man beim US-Geheimdienst "Active Sigint", also aktive technische Aufklärung.
  • Sie nimmt gewaltige Datenmengen, die immerzu durchs Netz fließen, auf, speichert sie zwischen und durchsucht sie nach bestimmten Stichwörtern, Personen, Gerätesignaturen.
  • Sie schmuggelt die Informationen, die sie überall in der Welt aus dem Netz zieht, unauffällig zurück nach Hause und muss dafür sorgen, dass den übrigen Teilnehmern des Internets nicht auffällt, was da eigentlich durch ihre Infrastruktur geschleust wird und wohin.
  • Und nicht zuletzt soll sie dafür sorgen, dass die USA - und bei Bedarf auch ihre Verbündeten - auf dem Schlachtfeld der Zukunft, dem Schauplatz eines potenziellen Cyberkriegs, einen besseren Überblick haben als alle anderen.
  • Zu all diesen Aufgaben leistet das Treasuremap genannte Programm einen wichtigen Beitrag. Die Karte enthält Informationen darüber, wie Netzwerke aufgebaut sind, wo ihre Engpässe und Schwachstellen liegen - und wie man Daten unauffällig von A nach B bringt. Eingesetzt werden könne sie beispielsweise für "die Planung von Computerangriffen und Spionageaktionen", heißt es in einer Präsentation des Geheimdienstes. "Sie zeigt Ihnen das öffentliche Internet, überall, so wie es heute aussieht", heißt es in dem NSA-Dokument, das der SPIEGEL und SPIEGEL ONLINE nun veröffentlichen (siehe Kasten). Die Treasuremap ist eine ständig aktualisierte Informationsquelle, die all das abbildet, was die NSA über das Internet weiß, von der Makro- bis hin zur Detailebene. Und das ist eine ganze Menge. Man könnte es auch so formulieren: Wenn die Datenbankanwendung XKeyscore das Google der NSA ist, dann ist die Treasuremap ihr Google Maps.

    Die Snowden-Dokumente zur Treasuremap
    Lesen Sie hier als geheim eingestufte Dokumente von NSA und GCHQ zur Treasuremap und über den Zugriff auf deutsche Telekommunikationsunternehmen. Die Dokumente wurden redaktionell bearbeitet, besonders sensible Informationen wurden geschwärzt.
    Ein weiteres Ziel der Treasuremap-Dienstleister, so die Präsentation, sei es, "Cyber Personas" mit realen Personen zu verknüpfen. Das heißt konkret: Wenn von einer Zielperson lediglich eine IP-Adresse oder Informationen über benutzte Geräte vorliegen, können die Spione mithilfe der Schatzkarte ermitteln, von wo aus diese Zielperson ins Netz geht. Bei Bedarf lässt sich so auch der Aufenthaltsort der Person ermitteln und eine gezielte Attacke auf ihren Rechner oder ihr Handy planen.

    Was ist in der Karte eingezeichnet?

    In einer internen Präsentation zur Treasuremap-Datenbank findet sich ein Slogan, der fast an einen Werbespruch erinnert: "Kartografiert das gesamte Internet, jedes Gerät, überall, jederzeit." Von den groben bis hin zu den feinsten Strukturen des Netzes und seiner Zehntausenden Unternetze soll die Karte möglichst alles abbilden.

    Aufgeführt sind wichtige Netzverbindungsstellen, auch einzelne Router sind visualisiert - sogar Informationen über einzelne Endgeräte wie Rechner, Smartphones und Tablets, die mit dem Internet verbunden sind, soll die Karte enthalten. Mit viel Aufwand versucht die NSA, IP-Adressen mit geografischen Informationen zu verknüpfen, damit die Karte anzeigt, wo genau sich ein bestimmtes Gerät höchstwahrscheinlich gerade befindet.

    Die Schatzkarte enthält zudem Informationen über VPN-Netze, also verschlüsselte private Netzwerke, wie sie Firmen verwenden. Außerdem über "Konfigurationsdaten" zu bestimmten Routern und zu "IP-Adressen mit bekannten TAO-Sicherheitslücken"- TAO steht für Tailored Access Operations, maßgeschneiderte Operationen. Diese Einheit ist die Hackertruppe der NSA. Mit anderen Worten: Auf der Treasuremap ist im Zweifel auch verzeichnet, für welche Türen die NSA bereits einen Nachschlüssel besitzt. Auch Daten über W-Lan-Netzwerke sind auf der Schatzkarte verzeichnet.

    Woher weiß die NSA das alles?

    Die Karte enthält Informationenen aus vielen Quellen. Teils handelt es sich um öffentlich zugängliche Daten, teils um Ergebnisse eigener Scans oder die Früchte der umfassenden Ausspähung des Geheimdienstes, "aus Spionageaktivitäten und passiver Sigint", wie es in einer NSA-Präsentation heißt. Also Informationen über Rechner, Kabel und Router, auf die sich die NSA Zugriff verschafft hat.

    Eine wichtige Datenquelle sind sogenannte Traceroutes. Der Begriff bezeichnet eine Art roten Faden fürs Internet: Wenn ein Rechner Kontakt zu einem anderen aufnimmt, der ans Netz angeschlossen ist, bildet die Traceroute den Weg ab, den die Datenpakete von Rechner eins zu Rechner zwei nehmen. Inklusive aller Zwischenschritte, also der dabei durchquerten Netzwerk-Knotenpunkte.

    Die Daten stammen teils von öffentlich zugänglichen Traceroute-Sites - oder aus einem NSA-System namens Packagedgoods ("verpackte Waren"): Mindestens 13 geheime Server sind an verschiedenen Orten rund um den Globus verteilt. Sie führen ständig derartige Traceroute-Abfragen durch und schicken die Ergebnisse zurück zur Treasuremap. Einer der Server steht übrigens in Deutschland, in einem "ahnungslosen Rechenzentrum", wie es in der Präsentation heißt.

    Eine weitere Datenquelle ist das sogenannte Border Gateway Protocol (BGP). Dieses Protokoll ist für die reibungslose Abwicklung von Datenverkehr zwischen den einzelnen Netzen zuständig, aus denen sich das Internet als Ganzes zusammensetzt. Es liefert etwa Informationen darüber, welche Netzwerke miteinander verbunden sind. Diese Daten sind in der Regel öffentlich verfügbar.

    Weitere Quellen, aus denen die Treasuremap befüllt wird, sind eine ganze Reihe von geheimen Programmen der NSA und ihrer Verbündeten. Jede Form von netzwerkrelevanter Information, über die die Dienste verfügen, wird eingebaut: Ortsinformation, Daten über Betriebssystem-Konfigurationen, Informationen über geschützte Intranets, abgezapft aus mit Spionagesoftware verseuchten PC. Auch Informationen über Satellitenverbindungen und Funknetze werden auf der Karte verzeichnet.

    All das ergibt ein detailliertes Gesamtbild. Die NSA bemüht auf einer ihrer Folien gar Aristoteles: "Das Ganze ist größer als die Summe seiner Teile".

    Was hat das mit uns zu tun?

    Wie brisant die Treasuremap gerade auch für Deutschland ist, geht aus weiterem Material aus dem Snowden-Fundus hervor, das SPIEGEL und SPIEGEL ONLINE jetzt veröffentlichen.

    Darunter ist eine NSA-Präsentation mit interessanten roten Markierungen. Diese verweisen auf Netzwerke, auf die sich die NSA Zugriff verschafft hat. Und dazu gehören, wie einem weiteren Dokument aus dem Fundus von Edward Snowden zu entnehmen ist, auch die Deutsche Telekom und der Kölner Provider Netcologne.

    Beide Anbieter sind auf einer Art Vernetzungsdiagramm, das Verknüpfungen zwischen den Netzwerken einzelner Provider darstellt, mit einem roten Punkt markiert. Einem weiteren Dokument zufolge bedeutet das: In diesem Netzwerk gibt es einen "Sigint collection point", also einen Zugriffspunkt für die Cyberspione. Sollte das stimmen, hieße das: Die Telekom, Deutschlands größter Provider, ist gehackt. Die Telekom versorgt allein in Deutschland 60 Millionen Kunden mit Mobilfunk, Internet und Festnetzanschlüssen.

    Die Snowden-Dokumente zur Treasuremap
    Lesen Sie hier als geheim eingestufte Dokumente von NSA und GCHQ zur Treasuremap und über den Zugriff auf deutsche Telekommunikationsunternehmen. Die Dokumente wurden redaktionell bearbeitet, besonders sensible Informationen wurden geschwärzt.

    Diesen Artikel...
    Forum - Diskutieren Sie über diesen Artikel
    insgesamt 95 Beiträge
    Alle Kommentare öffnen
        Seite 1    
    1. Cyberwar
    Untertan 2.0 17.09.2014
    ... und wir befinden uns bereits mittendrin.
    2. NSA is watching U
    Flying Rain 17.09.2014
    Da wünscht man soch zeitweise Internetlose zurück ....harte Infos welche die früheren Verschwörungsanhänger schon früh vermuteten....der einzige Weg ist soviel zu verschlüsseln wie nur irgend möglich, aber wer weis ob das nicht auch schon problemlos knacken können....schöne neue Welt
    3.
    soalso 17.09.2014
    es war schon vor snowden klar, dass es rein technisch möglich ist, bis tief in die privatsphäre eines jeden einzelnen vorzudringen. staatliche institutionen verfügen zudem über zugang zu sensiblen informationen relevanter infrastruktur. es war daher eigentlich klar, dass geheimdienste diese möglichkeiten nutzen. dass die nsa skrupellos diese möglichkeit voll ausschöpft, darf daher nicht überraschen. wie weit der bnd geht? im gesetzlichen rahmen wäre es wohl nicht... fragen sie dazu mal nur müller-maguhn. ;) etwas beruhigendes gibt es vielleicht doch noch. trotz aller noch so ausgefeilter techniken wie data mining etc., ist doch eine menschliche sichtung notwendig. bei der quasi unendlichen datenmenge, die gesammelt wird, eine nicht lösbare aufgabe.
    4.
    soalso 17.09.2014
    vielleicht noch als ergänzung. aufklärung tut in der bevölkerung not. und das betrifft nicht nur die aufdeckung der geheimdienstlichen aktivitäten. das betrifft vor allem die bildung in diesem bereich. wie kann man sich also gegen solche spionage wehren?
    5. Wieso...
    dherr 17.09.2014
    meinen sie, dass das nicht schon längst geschehen ist? Es gelangt nur nicht an die Weltöffentlichkeit... und wird es auch wohl nie. Denn so, wie man alles ausforschen kann, kann auch im Gegenzug alles verheimlicht oder verfälscht veröffentlicht werden.
    Alle Kommentare öffnen
        Seite 1    

    © SPIEGEL ONLINE 2014
    Alle Rechte vorbehalten
    Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




    Anzeige
    • Marcel Rosenbach / Holger Stark:
      Der NSA-Komplex

      Edward Snowden und der Weg in die totale Überwachung.

      Deutsche Verlags-Anstalt; 384 Seiten; 19,99 Euro.

    • Bei Amazon bestellen.
    Interaktive Grafik

    NSA-Geheimdokumente
    • Zur Quantum-Familie gehört auch QFIRE. Das ist ein im Jahr 2011 ausgearbeitetes Pilotprojekt der NSA, um eine weltweite Struktur zum aktiven Angreifen von Internetverbindungen zu schaffen. Das System soll der NSA erlauben, Internetverbindungen zu unterbrechen und umzuleiten sowie die Kontrolle über Botnetze zu übernehmen.
    • Fotostrecke: "Vorwärtsverteidigung" mit QFIRE


    Anzeige
    • Christian Stöcker:
      Spielmacher

      Gespräche mit Pionieren der Gamesbranche.

      Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

      SPIEGEL E-Book; 2,69 Euro.

    • Bei Amazon kaufen.
    Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: