Politik
Diese handgezeichnete Präsentationsfolie spielte Edward Snowden der "Washington Post" zu.
Diese handgezeichnete Präsentationsfolie spielte Edward Snowden der "Washington Post" zu.

Zugang zur Cloud durch die Hintertür: So dringt die NSA ins Google-System ein

Von Christoph Herwartz

Der größte Internetkonzern hat sich ein abgeriegeltes Informationssystem geschaffen, in dem es die Geheimnisse seiner Nutzer für sicher hielt. Nun wird klar: Geheimdienste haben Zugang zu diesem Bereich. Gerade weil Google E-Mails und Dokumente mit hohem Aufwand schützt.

Überall die eigenen E-Mails, den Kalender und wichtige Dokumente abrufen können – das ist das Versprechen, das Internetunternehmen mit dem Begriff "Cloud" verbinden: Dateien müssen nicht mehr auf CD oder USB-Stick herumgetragen werden, sondern liegen im Internet, die Datenwolke ist um uns herum. Schon als die ersten Cloud-Dienste online gingen, spielte das Thema Datensicherheit eine große Rolle. Auf der Website, die für die Google-Cloud wirbt, lässt sich eine Anwaltskanzlei damit zitieren, "dass unsere eigenen Daten sowie die unserer Mandaten bei Google sicherer sind, als wenn wir sie vor Ort aufbewahren". Der Internet-Gigant verspricht eine "starke Verschlüsselung".

Video

Doch nun haben die Geheimdienste NSA aus den USA und GCHQ aus Großbritannien laut "Washington Post" einen Weg gefunden, an praktisch alle Daten zu gelangen, die auf den Servern von Google und Yahoo gespeichert sind – und das nicht etwa als verschlüsselter Datenwust, sondern offen und lesbar. Wie kann das sein?

Tatsächlich wird die Kommunikation der Nutzer mit Google verschlüsselt. Wer google.com aufruft, entdeckt in der Adresszeile seines Browsers ein Symbol, das darauf hinweist. In der Regel stellt dieses Symbol ein kleines Vorhängeschloss dar. Es weist auf eine Verschlüsselung mit dem TLS-Protokoll hin, früher trug das den Namen "SSL". Es soll sicherstellen, dass der Datenaustausch zwischen dem Computer des Nutzers und dem "Front-End-Server" von Google nicht von anderen gelesen werden kann. Das funktioniert nach allem, was bisher bekannt ist, auch sehr gut.

Datenverkehr im Klartext

Der Front-End-Server, der die Daten an den Nutzer sendet, ist allerdings nur ein kleiner Teil des Google-Systems aus tausenden von Servern. Die E-Mails, Dokumente und Fotos der Nutzer liegen weltweit verstreut in Rechenzentren, die der Internetkonzern selbst betreibt. Google betreibt dreizehn dieser Zentren: Sechs in den USA, eins in Chile, drei in Asien und drei in Europa. Ruft ein Nutzer der Google-Cloud seine Dokumente auf, ruft der Front-End-Server diese bei einem der Rechenzentren ab. Und auf diesem Weg sind die Daten nicht verschlüsselt, gibt Google offen zu.

Die "Washington Post" veröffentlichte eine handgezeichnete Grafik der NSA, auf der die Wege der Google-Daten dargestellt sind: Sobald sie über das öffentliche Internet verschickt werden, sind sie TLS-verschlüsselt. Innerhalb der Google-Cloud fließt der Datenverkehr im Klartext. Dazwischen steht der Front-End-Server – die Schwachstelle hat ein NSA-Mitarbeiter mit einem Smiley gekennzeichnet. Offenbar greift die NSA mit ihrem Programm "Muscular" die Daten im unverschlüsselten Zustand ab. Wie sie das genau macht, ist unklar. Möglich wäre etwa, dass sie die Stationen anzapft, an denen Daten aus den großen Unterseekabeln an die Kabelnetze an Land übergeben werden. Sehr wahrscheinlich ist, dass Google davon bislang nichts wusste – während beim Prism-Programm unklar ist, ob es mit oder ohne Kooperation des Konzerns funktioniert.

Google setzt auf Wachpersonal statt Verschlüsselung

Bis zur Aufdeckung der NSA-Programme Prism und XKeyscore erschien es Google offensichtlich als nicht notwendig oder zu aufwändig, den Datenaustausch innerhalb der Cloud zu verschlüsseln. Stattdessen schuf das Unternehmen ein eigenes Netzwerk aus Servern und Kabeln, zu denen nur Google selbst Zugang haben soll: Ein hermetisch abgeriegeltes System, bei dem Serverkapazitäten und Übertragungswege nicht mit anderen Anbietern geteilt werden, wie es sonst üblich ist. Google hat ein eigenes Netz geschaffen, das ohne die Infrastruktur des öffentlichen Internets funktioniert und leichter zu kontrollieren und zu schützen ist.

Statt auf digitale Zugangssperren setzt Google in seinem eigenen Netz auf analoge Methoden: "In den Rechenzentren selbst setzen wir Zugangskontrollen, Wachpersonal, Videoüberwachung und Umzäunungen ein, um die Standorte jederzeit auch physisch abzusichern", heißt es auf der Website der Google-Rechenzentren. Erst als Edward Snowden die Welt über die Ausspäh-Programm der Geheimdienste informierte, änderte Google seinen Kurs: In Zukunft soll auch der interne Datenverkehr verschlüsselt werden, kündigte das Unternehmen im September an. Wie weit man bisher mit diesem Vorhaben gekommen ist, ist nicht bekannt. Yahoo verschlüsselt seine Daten intern bislang ebenfalls nicht.

Bis sich das ändert, kann die NSA alles mitlesen, was Nutzer bei Google und Yahoo speichern oder abrufen. Und nicht nur das: Auch die schon vorhandenen Daten auf den Google-Servern werden ständig verschickt und sind damit für NSA und GCHQ einsehbar. Der Grund: Google will Datenverluste verhindern, etwa, wenn eines der Rechenzentren beschädigt wird. Das Unternehmen wirbt auf seiner Website damit, dass es mehrere Ebenen der Redundanz gäbe, dass also alle Daten mehrfach gespeichert würden. Dazu müssen die Nutzerprofile regelmäßig kopiert und verschickt werden – wahrscheinlich kommen sie dabei jedes Mal an den Stellen vorbei, an denen die Geheimdienste mitlesen.

Bilderserie

Quelle: n-tv.de

Empfehlungen