NSA-Dokumente So knackt der Geheimdienst Internetkonten

Zum Arsenal der NSA gehört eine Methode, mit der sich nahezu jeder Rechner unbemerkt mit Spähsoftware bestücken lässt. "QuantumInsert" basiert auf geheimen, superschnellen NSA-Servern. Streng geheime Dokumente zeigen, wie das System genau funktioniert - das keineswegs nur gegen Terrorverdächtige zum Einsatz kommt.
1 / 14

Startfolie einer Präsentation über das Texas Cryptologic Center der NSA, in dem auch viele Agenten der Abteilung Tailored Access Operations (TAO) untergebracht sind. Links unten eine Abwandlung des Intel-Logos: "tao inside" statt "Intel Inside". Die pinken Balken verdecken die Namen von NSA-Personal.

Foto: SPIEGEL ONLINE
2 / 14

Erste Folie einer NSA-Präsentation aus dem Snowden-Fundus über das "Foxacid"-System. Ein Fuchs wird in Säure aufgelöst, und dann als "Spam" (eigentlich britisches Frühstücksfleisch) in eine Dose verpackt. "Aus Fuchs gemacht, in Säure gepackt", steht auf der gezeichneten Dose, offenbar aus der Feder eines NSA-Spaßvogels. Unter "Inhaltsstoffe" sind "Sadismus" ("50 Prozent") und "Totaler Mist" ("100 Prozent") aufgeführt. Spam-E-Mails waren die ursprüngliche Methode, mit der die NSA-Abteilung TAO die Rechner von Zielpersonen zu infizieren versuchte. Mittlerweile hat sie eine effektivere Methode namens "Quantumtheory" zur Verfügung.

Foto: SPIEGEL ONLINE
3 / 14

So funktioniert das "Quantumtheory"-System: Folien aus einer streng geheimen Präsentation für NSA-Techniker und Analysten, erstellt vom NSA-Dienstleister Booz Allen. Zentrale Rollen spielen in dieser Erläuterung der Rechner einer Zielperson ("Target"), das Internet-Unternehmen Yahoo, eine zentrale Schaltstelle im Internet ("Internet Router"), und ein Standort der NSA-Abteilung Special Source Operations (SSO). Diese Abteilung ist unter anderem für das Anzapfen internationaler Internet-Verbindungskabel zuständig, entweder durch Zusammenarbeit mit großen Telekommunikationsunternehmen oder durch verdeckte Operationen.

Foto: SPIEGEL ONLINE
4 / 14

Schritt 1: Die Zielperson versucht, sich in ihren Yahoo-Account einzuloggen.

Foto: SPIEGEL ONLINE
5 / 14

Schritt 2: Ein Server, den die Abteilung SSO an einer zentralen Schaltstelle der Internet-Infrastruktur platziert hat, entdeckt ein Datenpaket mit einem "Selector", also einem Datenpunkt, der auf eine Zielperson hinweist, die auf der NSA-Wunschliste steht (die Person ist "tasked"). In diesem Fall ist der "Selector" das Yahoo-Login der Zielperson. Der Hinweis, dass die Zielperson gerade versucht, sich in ihren Yahoo-Account einzuloggen, wird an einen Server der NSA-Abteilung für "maßgeschneiderte Operationen" (TAO) weitergereicht. Diese Server tragen den Codenamen "Foxacid". Mehr über die Abteilung TAO lesen Sie in der aktuellen Ausgabe des SPIEGEL.

Foto: SPIEGEL ONLINE
6 / 14

Schritt 3 und 4: Der "Foxacid"-Server schickt ein Datenpaket zum Rechner der Zielperson, das als Yahoo-Datenpaket getarnt ist. Es enthält einen Verweis auf eine von TAO mit Schadsoftware präparierte Internetadresse (URL). Gleichzeitig erreicht das Datenpaket vom Rechner der Zielperson den eigentlich angesprochenen Yahoo-Server.

Foto: SPIEGEL ONLINE
7 / 14

Schritt 5: Das gefälschte Datenpaket vom "Foxacid"-Server kommt vor dem echten Yahoo-Datenpaket auf dem Rechner der Zielperson an. Das entsprechende Yahoo-Datenpaket kommt zu spät und wird zurückgewiesen. Das funktioniert nur, weil die benutzten Server und Verbindungen extrem schnell sind. Nicht immer gewinnt das "Foxacid"-System das Rennen, manchmal sind einige Versuche nötig.

Foto: SPIEGEL ONLINE
8 / 14

Schritt 6: Die Zielperson sieht auf ihrem Rechner die angeforderte Yahoo-Seite, doch gleichzeitig wird der Browser unbemerkt zu einer "Foxacid"-URL umgeleitet.

Foto: SPIEGEL ONLINE
9 / 14

Schritt 7: Die "Foxacid"-Server prüft noch einmal, dass der benutzte Browser tatsächlich die gewünschte Sicherheitslücke aufweist, damit der Rechner der Zielperson mit Schadsoftware infiziert werden kann. Die passende Schadsoftware wird nun auf den Weg gebracht.

Foto: SPIEGEL ONLINE
10 / 14

Schritt 8: Die Schadsoftware erreicht ihr Ziel, der Rechner der Zielperson ist nun mit einer NSA-Hintertür ausgestattet. Sie erlaubt erste Manipulationen des Rechners und gestattet es, weitere, spezialisierte Spähsoftware nachzuladen.

Foto: SPIEGEL ONLINE
11 / 14

"Quantum"-Fähigkeiten der NSA: All diese "Selektoren" kann die NSA einsetzen, um den Rechner einer Zielperson mit Spähsoftware zu infizieren. Besonders effektiv funktioniert die Methode dieser Präsentation zufolge mit Yahoo, Facebook und statischen IP-Adressen. Aber auch YouTube, Twitter und das Business-Netzwerk LinkedIn gehören zu den Angeboten, die der US-Geheimdienst auf diese Weise missbrauchen kann. LinkedIn kam etwa beim Eindringen in Rechner von IT-Personal des halbstaatlichen belgischen Telekommunikationskonzerns Belgacom zum Einsatz. Durchgeführt wurde diese "Operation Socialist" vom britischen GCHQ, mit Unterstützung der NSA.

Foto: SPIEGEL ONLINE
12 / 14

"Quantumtheory"-Fähigkeiten des GCHQ: Dieser Präsentation zufolge haben die Staatshacker des britischen Geheimdienstes GCHQ auch noch andere Dienste im Angebot als die Kollegen von der NSA. Dazu gehören etwa die E-Mail-Dienste von Google (Gmail) und dem russischen Suchmaschinenbetreiber Yandex, aber auch AOL.

Foto: SPIEGEL ONLINE
13 / 14

NSA-Schadsoftware "Validator": Dieses Dokument aus dem Jahr 2004 beschreibt die damals gebräuchliche Variante der Standard-Hintertür, die die NSA unter anderem auf die beschriebene Weise auf den Rechnern von Zielpersonen installiert. "Validator" richte "eine einzigartige Hintertür auf den Personal Computern von Zielpersonen von nationalem Interesse" ein, heißt es da, "einschließlich terroristischer Zielpersonen, aber nicht beschränkt auf diese". "Validator" ist nur der erste Schritt beim Übernehmen eines Computers durch die NSA: Die Software lädt anschließend weitere Spähprogramme mit unterschiedlichen Fähigkeiten nach, genannt "Olympus" oder "Unitedrake". Hat es seine Aufgabe erfüllt, kann das "Validator"-Implantat sich sogar selbst löschen. Die Nachfolge von "Validator" wird einer internen Präsentation zufolge eine Software mit dem Codenamen "Commondeer" antreten.

Foto: SPIEGEL ONLINE
14 / 14

NSA-Spähprogramm "Olympusfire": Das "olympische Feuer" ist eines von mehreren Schadprogrammen, die "Validator" auf den Rechnern von Zielpersonen unterbringen kann. Es kann diesem Dokument zufolge beispielsweise "Ordnerstrukturen erfassen, Dateien ausleiten, Netzwerke kartieren und so weiter". Diese Informationen werden von "Olympusfire" an einen Horchposten (Listening Post, LP) weitergereicht, einen irgendwo im Internet versteckten Rechner. "Olympusfire" ist nur eines von diversen NSA-Spähprogrammen. Ist eine Hintertür auf dem Rechner der Zielperson platziert, hat die NSA Vollzugriff: Sie kann Dateien verändern, ständig Screenshots vom Bildschirm des befallenen Rechners anfertigen und weiterleiten, Webcam und Mikrofon einschalten, sämtliche Kommunikation und alle eingegebenen Passwörter mitschneiden.

Foto: SPIEGEL ONLINE