malware nsa
Der Adler, der alles und wirklich alles wissen möchte.
Die NSA kann Menschen auch dann überwachen, wenn die sich mit technischen Mitteln zu schützen versuchen. Wie der Geheimdienst das anstellt, zeigen neue Snowden-Dokumente.

Es liegen Welten zwischen dem Internet, das wir wollen und dem Internet, das wir haben. Während Tim Berners-Lee zum 25. Geburtstag des World Wide Web das Recht einfordert, nicht ausspioniert zu werden, veröffentlicht The Intercept weitere NSA-Dokumente. Aus ihnen geht hervor, wie der Geheimdienst populäre Webangebote wie Facebook imitiert, um Computer zu infiltrieren, und wie er es schafft, auch Maßnahmen zum Schutz der Privatsphäre auszuhebeln.

Dass und wie die NSA mit ihrer Quantum genannten Technik beliebte Websites kopiert und die Computer von Zielpersonen von dort aus mit Überwachungssoftware infiziert, ist seit einiger Zeit bekannt. Aus den nun vom Onlinemagazin The Intercept veröffentlichten Dokumenten geht aber hervor, wie der Geheimdienst diese Methoden automatisiert und in großem Maßstab ausweitet. Turbine heißt das entsprechende System. Das Ziel der NSA ist demnach die Möglichkeit, auch Millionen von Computern zu unterwandern.

Das System nehme dem Nutzer - also dem NSA-Analysten - die Sorge um technische Details ab, heißt es in einem Dokument. Seit Juli 2010 ist es zumindest teilweise in Betrieb. In früheren Berichten war die Rede von 85.000 oder sogar 100.000 auf diesem Wege infizierten Rechner und Netzwerke.

Turbine gehört im geheimen Budget der NSA zu einer größeren Initiative mit dem Namen Owning the Net - "das Netz besitzen". Diese Initiative hat allein im vergangenen Jahr mehr 67 Millionen Dollar erhalten - aus Steuergeld, wie The Intercept betont.

Glenn Greenwald und sein Co-Autor Ryan Gallagher beschreiben in dem Artikel zudem eine Reihe von NSA-Werkzeugen, mit denen einzelne Nutzer gezielt ausgespäht werden können - selbst wenn sie Vorsichtsmaßnahmen treffen. Eines dieser Werkzeuge heißt Grok, es zeichnet Tastatureingaben eines Computers auf. So kann die NSA zum Beispiel E-Mails abfangen, bevor sie verschlüsselt werden. Foggybottom wiederum zeichnet den Browserverlauf und Passworteingaben auf, Gumfish nimmt heimlich Bilder über die Webcam auf und Captivated Audience schaltet das Mikrofon ein - die Webcam abkleben, wie es manche tun, reicht also nicht aus, wenn man erst einmal ins Visier der NSA geraten ist.

Dazu muss man kein Terrorist sein. Die NSA wisse auch, dass Systemadministratoren lohnende Ziele sein können, weil sie über deren Rechner Zugang zu einem ganzen Netzwerk bekommen kann, schreiben Gallagher und Greenwald.


Kommentar: Der Krieg gegen den "Terror", ist ein Krieg gegen die Zivilbevölkerung.


Bisher nicht bekannt waren die Programme Hammerchant und Hammerstein. Sie sind auf große Netzwerkrouter zugeschnitten, also die Verbindungsstellen zwischen verschiedenen Netzwerken. Hammerstein ermöglicht Angriffe auf Verbindungen, die in einem Virtual Private Network (VPN) durch einen verschlüsselten Tunnel geleitet werden. Ein VPN ist eigentlich eine starke Schutzmaßnahme gegen Schnüffler in unsicheren Funknetzwerken und dienen auch zur Verschleierung der IP-Adresse: Wer per VPN auf eine Seite zugreift, vermittelt den Eindruck vom Standort des VPN-Server zu kommen.

Die NSA kann den Zugriff auf einzelne Websites blockieren

Hammerchant wiederum kann VoIP-Telefonate analysieren, also zum Beispiel Skype-Gespräche. Was dabei gesprochen wird, kann die NSA mit dem Programm aber nur feststellen, wenn der Inhalt - anders als bei Skype - nicht verschlüsselt übertragen wird. In jedem Fall aber kann sie den Anrufer identifizieren.

Wieder andere Programme namens Quantumsky und Quantumcopper hindern eine Zielperson daran, bestimmte Websites aufzurufen oder Dateien herunterzuladen.

Damit solche Programme überhaupt aktiv werden können, muss die NSA den Rechner einer Zielperson erst einmal infizieren. Das tut sie mit verschiedenen Techniken ihres Quantum-Programms. Eines davon heißt Quantumhand und startet einen sogenannten Man-on-the-side-Angriff. Dabei registriert die NSA, dass jemand auf eine Seite wie Facebook zugreifen will, um sich dort einzuloggen. Sie gibt sich dann als Facebook-Server aus und schickt dem Nutzer ein paar Datenpakete, die dem Computer vorgaukeln, von Facebook zu kommen. Diese Datenpakete enthalten bereits die erste Malware.

Aus einer streng geheimen Präsentation von 2012 geht zudem hervor, dass die NSA eine Methode namens Second Date für ähnliche Attacken entwickelt hat. Damit fängt sie Daten zwischen PC und Server ab und lenkt den Nutzer auf ihre eigenen Server, die ihnen dann Schadcodes unterjubeln. Diese Technik wird zum Beispiel eingesetzt, um Nutzer des Anonymisierungsnetzwerks Tor unter bestimmten Umständen identifizieren und überwachen zu können. Aus der Präsentation geht hervor, dass diese Technik auch das Potenzial zur massenhaften Überwachung hat, wenn sie von Internetknotenpunkten aus eingesetzt wird. Spätestens wenn das geschieht, ist die NSA ihrem Ziel des Owning the Net sehr nahegekommen.