Bilderserie

Das geheime Material von Edward Snowden: Das ist XKeyscore

Bild 1 von 36
Der ehemalige Geheimdienst-Mitarbeiter Edward Snowden hat weitere Informationen über die Datensammlungen der National Security Agency (NSA) freigegeben. (Foto: dpa)

Der ehemalige Geheimdienst-Mitarbeiter Edward Snowden hat weitere Informationen über die Datensammlungen der National Security Agency (NSA) freigegeben.

Der ehemalige Geheimdienst-Mitarbeiter Edward Snowden hat weitere Informationen über die Datensammlungen der National Security Agency (NSA) freigegeben.

Der US-Journalist Glenn Greenwald veröffentlichte sie im "Guardian".

Das Material ist für die Schulung der NSA-Mitarbeiter gedacht. n-tv.de zeigt und kommentiert die Folien. Die erste weist darauf hin, dass das Programm mindestens seit 25. Februar 2008 nutzbar ist. Unten rechts gibt es allerdings einen Datumsstempel, der auf den 8. Januar 2007 hinweist. Was hier dargestellt wird, ist also wahrscheinlich längst überholt.

"Was ist XKeyscore?", fragt diese Seite. Interessant ist Punkt 2: Das Programm kann die Daten nach "starken" Kriterien unterscheiden, etwa feststellen, ob sie eine E-Mail sind. Und es kann "weiche" Daten, also Inhalte erfassen. Punkt 3 bedeutet: XKeyscore stellt Echtzeit-Ergebnisse dar, analysiert also das, was die Zielperson in diesem Moment über das Internet verschickt. Punkt 4 sagt aus, dass in der Datenbank des Programms etwa drei Tage lang Daten ungefiltert zwischengespeichert werden. Wohlgemerkt sind das Angaben aus dem Jahr 2008. Außerdem wird aus ihren Metadaten ein Index angelegt, der die Masse an Dateien durchsuchbar macht. Der letzte Punkt weist auf die Möglichkeit des "Data Mining" hin: Weil über eine einzige Suchmaske alle Quellen durchsucht werden können, lassen sich Muster für eventuell verdächtiges Verhalten feststellen.

Die Folie zur Methodik weist die XKeyscore-Entwickler als ein kleines, konzentriertes Team aus, das eng mit den Analysten zusammenarbeitet und das Programm fortwährend weiterentwickelt.

System-Details: Schon im Jahr 2008 waren weltweit mehr als 500 Server an das Programm angeschlossen. Diese Folie weist explizit darauf hin, dass es dabei nicht bleiben muss: "Das System ist linear skalierbar – fügen Sie einfach einen neuen Server hinzu."

Diese Folie stellt die Quellen für XKeyscore dar: "F6" bezieht sich wohl auf schwerer zugängliche Daten, etwa die Signale von Wanzen. "FORNSAT" steht für Satellitenkommunikation, "SSO" für eine Organisation, die Telekommunikation aufzeichnet. Der Server von XKeyscore sammelt alle diese Informationen und macht sie durchsuchbar.

Laut dieser Karte greift XKeycore Daten an rund 150 Standorten von 700 Servern ab. Zuvor war von 500 Servern die Rede. Die Punkte im Süden könnten für Zugriff auf Satelliten stehen.

"Was ist einzigartig an XKeyscore?", leitet diese Folie zum nächsten Kapitel über.

Erster Vorteil: Es hat die Fähigkeit, tiefer innerhalb der Daten zu suchen. Gemeint ist wohl, dass es nicht nur Metadaten ausliest, sondern auch Inhalte von Kommunikation durchsuchbar macht.

Nun geht es um zwei Methoden. Erstens: Die breite Suchanfrage kann mehr Daten untersuchen.

Speziellere Suchanfragen können "Anomalien", also auffälliges Verhalten, identifizieren.

Nun wird die Funktionsweise des Systems grafisch zusammengefasst: Bei der Benutzung von Computern und Telefonen (Session) fallen Daten an wie Telefonnummern, E-Mail-Adressen, Login-Daten und Nutzer-Aktivitäten. Der Server der NSA extrahiert daraus Metadaten, die für die Analysten durchsuchbar sind.

Wie wird aus den Rohdaten eine durchsuchbare Datenbank? XKeyscore indiziert alle E-Mail-Adressen, Dateinamen und Telefonnummern, die es findet. Bei Webmail und Chats können auch die Kontaktliste und Cookies abgegriffen werden.

Hier ein Beispiel, wie sich die Nutzerdaten aus Sicht der NSA darstellen: Der Nutzer hat auf der pakistanischen Google-Seite nach "Islamabad" gesucht und dabei den Browser Mozilla 4.0 benutzt. Nach allen hier dargestellten Daten können die Analysten suchen. Einige Folien, die Aufschluss über den Nutzer geben, wurden nur geschwärzt veröffentlicht.

Überleitungsfolie: Was kann man mit XKeyscore machen? Es folgen einige Beispiele.

Wenn eine Person überwacht werden soll, die anhand ihrer "starken" Kriterien nicht zu identifizieren ist, kann sie über Auffälligkeiten in ihrem Verhalten gefunden werden: wenn sie eine ausländische Sprache benutzt, wenn sie ihre Dateien verschlüsselt oder im Internet eine verdächtige Suchanfrage stellt.

Es folgen Beispiele für mögliche Suchanfragen: "Zeige mir alle verschlüsselten Word-Dokumente aus dem Iran"; "Zeige mir alle Nutzungen von PGP im Iran" (PGP ist ein Verschlüsselungsverfahren). Eine Rückwärtssuche, also wahrscheinlich in Daten, die älter als drei Tage sind, ist nicht möglich. Dazu muss die Datenquelle direkt angezapft werden. Anmerkung: Hier sei noch einmal darauf hingewiesen, dass die Präsentation schon mehrere Jahre alt ist.

Eine weitere mögliche Suchanfrage: "Zeige mir alle VPN-Verbindungen, die in Land X starten und gib mir die über diese Verbindung gesendeten Daten, damit ich sie entschlüsseln und den Nutzer ausfindig machen kann." VPN ist eine geschützte Tunnel-Verbindung, mit der zum Beispiel Unternehmen ihre Kommunikation schützen wollen. Nach Metadaten kann bis zu 30 Tage in die Vergangenheit gesucht werden.

Verdächtige Personen können nicht nur anhand ihrer E-Mail-Adressen oder anderer "starker" Kriterien gefunden werden, es geht auch anders herum: Wenn eine Person ein auffälliges Verhaltens zeigt, kann ihre E-Mail-Adresse ermittelt werden.

"Meine Zielperson spricht Deutsch, befindet sich aber in Pakistan – wie kann ich sie finden?" – Eine offensichtlich typische Anfrage des Geheimdienstes. Der Vortrag lobt die Fähigkeit von XKeyscore: Die Antwort wäre mit einem anderen System nicht zu finden.

Auch die Suchen bei Google Maps werden detailliert nachvollzogen. Terroristen könnten damit ihre Ziele auskundschaften.

"Ich habe ein dschihadistisches Dokument, das über eine Reihe von Leuten weitergegeben wurde. Wer schrieb es und wo sind sie?"

Die Anweisung, wie diese Suchanfrage gestellt werden kann, wurde von Edward Snowden oder dem Guardian geschwärzt.

"Zeige mir alle Microsoft-Excel-Tabellen, die eine Mac-Adresse beinhalten und aus dem Irak kommen, damit ich ein Netzwerk zeichnen kann."

"Zeige mir alle Geräte, von denen ich eine [TAO-]Auswertung machen kann." TAO ist eine Ortungsfunktion für Handys.

Ständig tauchen neue, für die Geheimdienste interessante Internetangebote auf – etwa islamistische Foren. Es wird empfohlen, die Nutzerkennung der Besucher zu beobachten.

Und noch einige mögliche Suchanfragen: "Zeige mir alle Word-Dokumente, die sich auf die IAEO [Internationale Atom-Energie-Behörde] beziehen."; "Zeige mir alle Dokumente, die sich auf Osama bin Laden beziehen."

Nun folgen einige Folien, die zeigen sollen, wie wertvoll XKeyscore ist.

"Mehr als 300 Terroristen wurden durch Nutzung der Geheimdiensterkenntnisse gefangen, die durch XKeyscore erzeugt wurden."

Die nächsten zwei Erfolgs-Statistiken sind wieder geschwärzt.

In den Anmerkungen heißt es: Diese Folie wurde bearbeitet, weil sie spezifische NSA-Vorgänge zeigt.

Die darauf folgende Folie zeigt die neuesten Entwicklungen zum Zeitpunkt, als die Präsentation entstand: Unter anderem ist die Rede von "Marina", einer Datenbank, deren Name auch schon in den Unterlagen zu Prism aufgetaucht war. Das weist auf die Frage hin, wie XKeyscore und Prism überhaupt im Zusammenhang stehen. Fakt ist: Als die vorliegende Präsentation gehalten wurde, war Prism gerade erst im Entstehen. Möglich ist, dass viele der hier dargestellten Datenbanken mittlerweile mit Prism verknüpft sind. XKeyscore könnte weiterhin als Suchwerkzeug dienen.

Zum Schluss gibt es einen Ausblick auf Funktionen, die in der "Zukunft", also nach 2008 hinzukommen sollen. Unter anderem ist die Rede von "VoIP", also Internettelefonie.

Die folgenden Grafiken sind nicht Teil der Präsentation. Sie zeigen die Suchmasken von XKeyscore. Hier kann eine E-Mail-Adresse eingetragen werden. In zwei Zeilen soll eingegeben werden, mit welcher Berechtigung die betreffende Person ausgeforscht wird.

Außerdem fragt das System einen "Ausländer-Faktor" ab. US-Amerikaner dürfen von der NSA eigentlich nicht abgehört werden. (Quelle der Folien: Guardian / Text: Christoph Herwartz)

weitere Bilderserien