Klage in Karlsruhe So überwacht der BND das Internet

An diesem Dienstag urteilt das Bundesverfassungsgericht über das umstrittene BND-Gesetz. Wessen E-Mails liest der deutsche Nachrichtendienst? Die Recherchen von SPIEGEL und Bayerischem Rundfunk im Überblick.
Abzweigungen für den BND: Rechenzentrum De-Cix in Frankfurt am Main

Abzweigungen für den BND: Rechenzentrum De-Cix in Frankfurt am Main

Foto: Daniel Roland/ AP

Recherchen von SPIEGEL und Bayerischem Rundfunk erlauben einen Einblick, wie der Bundesnachrichtendienst (BND) seine Internetüberwachung nach den Snowden-Enthüllungen verändert hat. (Die ganze Recherche dazu lesen Sie hier). Am Dienstag urteilt das Bundesverfassungsgericht darüber, ob der BND rechtmäßig handelt.

Doch was bedeutet die Internetüberwachung durch eine der mächtigsten deutschen Behörden für den Alltag der Internetnutzerinnen und -nutzer? Wir beantworten die wichtigsten Fragen:

Wie funktioniert die Internetüberwachung des BND technisch?

Die digitale Überwachung des BND beginnt an Orten wie dem Internetknoten De-Cix in Frankfurt am Main. Die Datenströme, die dort durch die Glasfaserleitungen fließen, sind nichts anderes als wenige Mikrometer kleine Lichtstrahlen. Doch darin stecken inzwischen jeden Tag 47,5 Billionen Internetverbindungen. Wer in Deutschland über das Internet eine Nachricht abruft, ein Video schaut und eine Website besucht, dessen Daten laufen mit großer Wahrscheinlichkeit über den De-Cix. Aufgrund der zentralen Lage werden auch zahlreiche internationale Verbindungen, etwa aus dem Nahen Osten oder Russland, über Frankfurt geleitet.

Wenn das Bundeskanzleramt dem De-Cix eine entsprechende Anordnung zukommen lässt, kann sich der BND am Internetknoten Daten abzweigen lassen. Dazu wird von dem Lichtsignal in den Leitungen ein Bruchteil abgezweigt und so eine Kopie erstellt, die dann an den BND geschickt wird.

1,2 Billionen Verbindungen täglich kann der BND theoretisch in Frankfurt am De-Cix-Knoten ausleiten. Diese Zahlen hat der Betreiber des Knotens in einem Gutachten für das Bundesverfassungsgericht im Oktober 2019 errechnet. Wie viele Daten der BND tatsächlich ausleitet und später verarbeitet, bleibt auch für diejenigen ein Geheimnis, die den Internetknoten betreiben.

Insgesamt gibt es 23 für den BND interessante Internetknotenpunkte in Deutschland. De-Cix ist jedoch laut Bundesregierung der mit dem weltweit höchsten Datendurchsatz.

Darf der BND überhaupt Daten von Deutschen sammeln?

Der BND ist ein Auslandsnachrichtendienst und darf nur in Ausnahmefällen gezielt Deutsche überwachen - etwa weil sie sich dem sogenannten "Islamischen Staat" angeschlossen haben. Bei der "strategischen Auslandsaufklärung", über die am heutigen Dienstag in Karlsruhe entschieden wird, müssen die Daten von deutschen Nutzern dagegen sofort gelöscht werden. Dazu filtert der BND in einer ersten Stufe alles aus, was innerhalb Deutschlands verschickt wird.

Doch die technische Entwicklung des Internets macht diese Filterung immer komplizierter: Zwar ist das Internet so aufgebaut, dass Daten meist den einfachsten und schnellsten Weg nehmen. Doch dieser Weg muss nicht immer der direkteste sein. Wenn eine Hamburgerin zum Beispiel ihrem Münchner Bekannten ein Urlaubsfoto angehängt an eine Facebook-Nachricht schickt, geht dabei nicht nur ein Paket durch die Leitungen, sondern mehrere, die auch unterschiedliche Wege nehmen können. Nicht all diese Pakete sind auf den ersten Blick als Daten zu erkennen, die zu deutschen Bürgern gehören.

Klaus Landefeld ist Vizevorsitzender des Verbands der deutschen Internetwirtschaft (eco), die den De-Cix-Knoten betreibt. Er kritisiert, dass die Gesetze zur technischen Überwachung noch auf leitungsgebundene Kommunikation ausgelegt seien, wie sie in den Achtziger- und Neunzigerjahren verbreitet war. "Heute ist jedoch alles paketorientiert", sagt Landefeld dem SPIEGEL. "Auf den Leitungen laufen Mischverkehre und es ist nicht immer so klar, woher ein Gespräch kommt und wohin es geht." Sogar einzelne Telefongespräche könnten über unterschiedliche Verbindungen laufen, je nach genutztem Protokoll.

Die Bundesregierung räumt in Unterlagen für das Verfassungsgericht ein, dass es nicht hundertprozentig möglich ist, Internetverkehre anhand der IP-Adressen zuzuordnen. Der Algorithmus des BND beziehe deshalb weitere Faktoren ein, um zu verhindern, dass Deutsche erfasst werden.

Mit welchen Begriffen durchsucht der BND das Internet?

Der wichtigste Filter-Schritt für den BND ist das Durchforsten der Kommunikationsströme mit Suchbegriffen. Erst danach werden Daten dauerhaft gespeichert und von Mitarbeitern des Geheimdiensts ausgewertet.

Die Suche des BND funktioniert nicht wie eine Google-Suche nach Wörtern wie "Bombe" oder "Anschlag". Stattdessen setzt der Dienst mehr als 100.000 sogenannte Selektoren ein. Dabei kann es sich um E-Mail-Adressen oder Nummern von Handys, Telefonanschlüssen oder Geräten handeln. Seltener werden auch chemische Stoffe als Suchbegriffe verwendet, die etwa im Zusammenhang mit Massenvernichtungswaffen stehen. Nummern mit der deutschen Länderkennung 0049 oder E-Mail-Adressen, die auf .de enden, dürfen nicht als Selektoren eingesetzt werden.

Nach Angaben des BND werden aus dem großen Datenberg im Schnitt 260 Berichte pro Tag verfasst. Trotz der Filtersysteme komme es zu 30 Fehlerfassungen pro Monat - also zu Fällen, in denen ein BND-Mitarbeiter eine abgefangene E-Mail oder Telefonate vorgelegt bekommt, die er eigentlich nicht analysieren dürfte, weil darin etwa ein Deutscher auftaucht.

Kann der BND auch verschlüsselte Kommunikation knacken?

Darüber geben die Dokumente, die SPIEGEL und BR ausgewertet haben , keinen Aufschluss. Allerdings gehen Beobachter davon aus, dass der BND nicht in der Lage ist, eine Ende-zu-Ende-Verschlüsselung zu knacken, wie sie beispielsweise von WhatsApp oder Signal verwendet wird.  

Doch auch aus den Metadaten zu verschlüsselten Chats lassen sich Erkenntnisse ableiten. Diese verraten zum Beispiel, wer wann mit wem chattet oder wie lange telefoniert.

Wen überwacht der BND?

Der Auftrag des BND ist breit. Er soll durch seine Fernmeldeaufklärung nicht nur Informationen über Themen wie Terrorismus, Menschenschmuggel, Waffenhandel und Cyberbedrohungen erfassen, sondern Erkenntnisse zu allen Fragen der Außen- und Sicherheitspolitik beschaffen, die von der Regierung als drängend erachtet werden. In der Regel liegen die Spionageziele im außereuropäischen Ausland.

Der BND ordnet seine Überwachung nach Zielländern mit einer Priorität von 1 bis 4. Nur bei Zielländern mit der höchsten Priorität 1 gibt es demnach "keine inhaltlichen Beschränkungen". Welche Länder wie intensiv überwacht werden, steht im streng geheimen "Auftragsprofil" der Bundesregierung für den BND.

Welche privaten Daten sind für den BND tabu?

Laut den BR und SPIEGEL vorliegenden Dokumenten sollen abgefangene private E-Mails oder Telefonate mit "rein sexualbezogenem Inhalt" sofort gelöscht werden. Bei "sexuellen Prahlereien", die lautstark "im belebten öffentlichen Raum" stattfinden, kann das Lauschen dagegen weitergehen.

Auch für Minderjährige gelten besondere Regeln: Es dürfen keine Suchbegriffe mit dem Ziel eingesetzt werden, Kinder unter 14 Jahren zu überwachen. Minderjährige Kindersoldaten oder Selbstmordattentäter, die eine Gefahr für die Sicherheit Deutschlands sein könnten, bilden allerdings eine Ausnahme.

Die Wiedergabe wurde unterbrochen.