Netzwerkausrüster BlueCoat Iran und Sudan filtern und schnüffeln mit US-Technik

Forscher haben Internet-Filtersysteme der BlueCoat in Ländern entdeckt, in denen die Geräte gar nicht stehen dürften. Mit der Technik lassen sich Menschen gezielt ausspähen - in Syrien, Iran und im Sudan können die Folgen tödlich sein. Beim Aufspüren der Spähtechnik half ein Botnetz.
Von Ole Reißmann
Netzwerkkabel: Filtertechnik aus den USA in autoritären Regimen

Netzwerkkabel: Filtertechnik aus den USA in autoritären Regimen

Foto: Matthias Balk/ dpa

Die Internetfilter der Firma BlueCoat lassen sich in 83 Ländern aufspüren. Mit den Geräten kann der Datenverkehr überwacht werden, Websites lassen sich sperren und Nutzer gezielt ausforschen - es sind mächtige Werkzeuge, die in den falschen Händen viel Schaden anrichten können.

Umso kritischer ist, dass Anlagen der US-Firma offenbar auch in Ländern stehen, die sowohl Menschenrechte missachten als auch mit Handelssanktionen seitens der USA belegt sind: der Sudan, Iran und Syrien. Das berichten Forscher des Citizen Lab der University of Toronto . Auch in der Elfenbeinküste werden demnach BlueCoat-Systeme eingesetzt.

Die Forscher haben nach zwei Geräten der US-Firma gesucht, nach ProxySG und PacketShaper. "Komplette Kontrolle", verspricht die Firma für ProxySG, der Datenverkehr könne untersucht und gefiltert werden. Verschlüsselte Daten könnten gesondert an einen Server geschickt werden - eine neue Funktion namens "Encrypted Tap" soll es erlauben, selbst in den verschlüsselten Datenverkehr hineinzusehen.

Internetzensus spürt Filter auf

Mit PacketShaper soll es möglich sein, gezielt Websites zu blockieren. So kann beispielsweise Facebook im Netzwerk erlaubt werden, nicht aber Spiele auf Facebook. Das Gerät soll einfache Kontrolle ermöglichen, gleichzeitig gezielte Eingriffe erlauben.

Citizen Lab hat die Geräte in einem riesigen Datensatz aufgespürt, den ein Hacker wohl nicht völlig legal mit Hilfe eines Botnets gesammelt hatte, dem sogenannten Carna-Botnet. Der Unbekannte hatte vergangenes Jahr Hunderttausende Computer weltweit ferngesteuert und mit deren Hilfe systematisch IP-Adressen abgefragt. Unter den 1,3 Milliarden IP-Adressen fanden die Forscher die Überwachungssysteme. Sie betonen, dass ihre Untersuchung keineswegs vollständig sei.

Fotostrecke

Erde online: Die Vernetzung der Welt

Foto: Carna Botnet

Dass das Regime von Baschar al-Assad in Syrien mehr als ein Dutzend BlueCoat-Systeme einsetzt, hatte SPIEGEL ONLINE bereits 2011 berichtet. Ein Tochterunternehmen einer deutschen Firma aus München, das in Dubai sitzt, hatte die Überwachungsgeräte trotz Embargo nach Syrien geschafft. Dieses Jahr wurde die Firma zu einer Strafe in Höhe von 2,8 Millionen Dollar verurteilt . Der Händler soll gegenüber BlueCoat behauptet haben, die Geräte seien für Afghanistan und den Irak bestimmt.

BlueCoat-Technik auch in China

Gegenüber der "Washington Post" erklärte  ein BlueCoat-Sprecher zu den neuen Enthüllungen: Man habe niemals den Verkauf der Technik in Länder erlaubt, die unter einem US-Handelsembargo stehen. Außerdem seien die Geräte ja gar nicht zu Überwachungszwecken gedacht.

Was die Forscher von Citizen Lab auch anmerken: Ein Handelsembargo ist derzeit wohl das einzige Hindernis, das Firmen davon abhalten soll, Überwachungstechnik in alle Welt zu verkaufen. Nach dem Arabischen Frühling, als Filter- und Überwachungstechnik aus Europa und den USA in autoritären Regimen entdeckt worden war, gab es zwar eine Diskussion über die Beschränkung von Software-Exporten, doch es änderte sich wenig.

Auch in Deutschland wurden damals Rufe nach Beschränkungen laut. Siemens-Technik wurde offenbar nach Syrien verkauft, in Bahrain kam ein Trojaner zur Ausspähung der Opposition zum Einsatz, der wohl aus Deutschland kam. Die Bundesregierung hatte den Export von Überwachungstechnik in autoritäre Regime sogar mit Hermes-Bürgschaften abgesichert. Diskutiert werden Regeln zur stärkeren Kontrollen nun in der Europäischen Union.

Zu den 83 Ländern, in denen Citizen Lab die Überwachungstechnik gefunden hat, gehören weitere Staaten im Nahen Osten sowie China.

Mehr lesen über

Überwachung Internetzensur Botnets Syrien Hacker Datenschutz Iran Bahrain Medienzensur

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
5 Bilder Erde online: Die Vernetzung der Welt
1 / 5

Die Erde im Netz: Die Grafik zeigt auf der Weltkarte die 460 Millionen IP-Addressen, die im Juni und Oktober 2012 auf die Anfrage geantwortet haben - nicht zu verwechseln mit einzelnen Geräten, denn hinter jeder IP-Adresse können sich mehrere Geräte verbergen. Die Farben geben einen Überblick über die weltweite Teilhabe am Netz, von blau (wenig) bis rot (viel). Die meisten Reaktionen kamen aus den hell leuchtenden Punkten in Metropolen wie Tokio, Seoul, Paris, New York, Washington und Sao Paolo. Fast dunkel bleiben dagegen etwa Zentralafrika, das australische Outback oder Nordkorea.

Foto: Carna Botnet
2 / 5

Ein Unterschied von Tag und Nacht: Hier ist ein Ausschnitt aus einer animierten Grafik (siehe nächstes Bild) zu sehen, an der sich die Internetnutzung im Tag- und Nachtwechsel zeigt. In den Bereichen im schwachen Grau ist gerade Tag, entsprechend lebhaft-bunt strahlt es in den USA oder an der Ostküste Australiens. Im Bereich ohne Grauschleier ist es dunkel, in Europa etwa herrscht tiefe Nacht, deswegen sieht man überwiegend blaue Punkte, die auf geringe Aktivität - weniger viele ansprechbare IP-Adressen - hindeuten. Südamerika ist in seinen Abendstunden und gerade jetzt online aktiv, wie die vielen roten und gelben Punkte zeigen. Im nächsten Bild ist das Ganze dann in Bewegung zu sehen.

Foto: Carna Botnet
3 / 5

Tag-Nacht-Rhythmus: Die Animation zeigt in einer groben Übersicht, wo zu welcher Tageszeit besonders viele Geräte in Aktion sind (rot und gelb) und wo viele Geräte ruhen und nur wenige ansprechbar sind (blau). Achten Sie einmal bei einem Durchlauf auf Deutschland und Europa. Hier wimmelt es nachts von blauen Punkten, der Kontinent schläft. Tagsüber wird es immer bunter, der Höhepunkt der Aktivität wird am Nachmittag erreicht. Jetzt achten Sie bei einem weiteren Durchlauf einmal nur auf Brasilien. Hier liegt die stärkste Aktivität (rot) am Abend, wenn es dunkel wird. Doch auch wenn der Tagesrhythmus ein anderer zu sein scheint - mitten in der Nacht versinkt auch hier fast alles in tiefblauem Schlaf.

Foto: Carna Botnet
4 / 5

420.000 Clients: Hier ist das Botnet selbst zu sehen, also eine Übersicht all der Geräte, zu denen sich der Hacker im Jahr 2012 Zugriff verschafft hat. Sie dienten als Werkzeuge für den Scan. Besonders viele grüne, gelbe und rote Punkte finden sich zum Beispiel in China, Indien und Brasilien. Oft sind Städte und Ballungsräume gut erkennbar, etwa die roten Punkte in Istanbul oder Montevideo. In Europa und den USA ist das Netz insgesamt besonders dicht, in Kanada, Russland, Afrika, Australien und großen Teilen Südamerikas gibt es hingegen kaum eingebundene Rechner.

Foto: Carna Botnet
5 / 5

Das Internet vor sechs Jahren und heute: In seinem Projektbericht beschreibt der Hacker sein Vorgehen und wie er seine Ergebnisse visualisiert hat (rechte Seite). Links daneben eine Grafik vom letzten großen Internet-Zensus aus dem Jahr 2006. Forscher mehrerer US-Universitäten kamen damals auf eine Gesamtzahl von etwa 187 Millionen ansprechbaren IP-Adressen. Das Carna-Botnet erreicht, je nachdem, was man als echtes Lebenszeichen wertet, etwa 450 Millionen bis 1,3 Milliarden aktive IP-Adressen. Das gewaltige Wachstum binnen nur sechs Jahren verdeutlichen die beiden Abbildungen: Adressbereiche ohne Zuteilung ("unallocated") gibt es kaum noch, die Bereiche mit extrem hoher Ausnutzung des Adressraums (rot gefärbt) haben extrem zugenommen.

Foto: Carna Botnet / Caida.org
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren