Tempora und das GCHQ

 

Keyfacts

  • entdeckt: Juni 2013, PRISM-Enthüllungen durch E. Snowden
  • sicher aktiv: 2009 gestartet, seit 2012 Vollbetrieb
  • Verbreitung/Aktivität: Glasfaser-Internetverbindungen Großbritannien, insb. EU-Amerika-Transatlantik-Routen
  • Hauptziel: Spionage & Überwachung in „Daten.Puffern“, aber auch gezielte Netzwerkzugriffe und DDoS-Attacken
  • gesichterte Herkunft: UK, GCHQ (Government Communications Headquarters)

Relevante Dokumente

cables_temporaQuelle: submarinecablemap.com

Tempora ist ein Überwachungsprogramm der britischen Signal-Intelligence Geheimdiensteinrichtung GCHQ (Government Communications Headquarters), die ebenso wie das US-amerikanische Pendant der NSA im Zuge der PRISM-Veröffentlichungen durch Edward Snowden bekannt wurde. Tempora ist dabei ein Überwachungsprogramm für Tiefsee-Glasfaserkabel, die wichtige „Hauptschlagadern“ des Internet-Datentransfers darstellen. Eine der wichtigsten Ost-West-Verbindungen zwischen Europa und Amerika (die TAT-14-Verbindung) läuft über britischen Boden sowie weitere Kabelverbindungen wie die AC-1 (nach Nordamerika), SeaMeWe-3 (nach Afrika, Asien und Australien) und die Pan-European-Crossing PEC (innereuropäisch). Vermutlich an deren auflandigen Anschluss-Stellen werden die Daten von diesen und möglicherweise bis zu 200 weiteren Kabelverbindungen gespeichert und von mindestens 46 dieser Verbindungen anhand von mehr als 70.000 Stichworten durchsucht und ausgewertet. Dabei kooperieren einige der wichtigsten & weltweit größten Internet-Übertragungsdienstleister und Betreiber von Netzwerken (sogenannte „Tier-1“ -Netzwerke) mit dem GCHQ und stellen zum Teil sogar eigene Überwachungsschnittstellen und Programme als kostenpflichtige Dienstleistungen bereit:

Das Dokument, bei dem es sich um eine interne Präsentation aus dem Jahr 2009 handelt, nennt neben den internationalen Telekommunikationsunternehmen British Telecom, Verizon und Vodafone auch die Netzwerkbetreiber Level 3, Global Crossing (inzwischen von Level 3 gekauft), Interoute und Viatel als Schlüsselpartner der GCHQ. (Quelle: Süddeutsche Zeitung, 3.8.2013)

Auch die Deutsche Telekom ist Miteigentümer von SeaMeWe-3 und von TAT-14. Laut Veröffentlichungen des britischen „Independent“ soll das GCHQ sogar weitere extra-territoriale Abhörstationen im nahen Osten betreiben um auf dortige Glasfaser-Verbindungen zuzugreifen. Weitere Veröffentlichungen der italienischen Zeitung L’Espresso enthalten Berichte über eine weitere Überwachungsstation auf Zypern. Die Stichwort-Listen werden von GCHQ sowie der US-amerikanischen NSA festgelegt.

„Search terms including subjects, phone numbers and email addresses of interest. Some 40,000 of these were chosen by GCHQ and 31,000 by the NSA. Most of the information extracted is „content“, such as recordings of phone calls or the substance of email messages. The rest is metadata“ (Quelle: Guardian)

02-eff078e529b3f73c

Die Speicherung erfolgt dabei in sog. Datenpuffern, in denen die vollständigen Datenmengen (Inhalte und Verbindungsdaten) für bis zu 3 Tage gespeichert, oder nach deren Vorselektion für tiefere Analysen für mehrere Wochen aufgehoben werden. Die Speicherung betrifft dabei sowohl Anhand der automatisierten Vor-Analysen werden sowohl abgehörte Inhalte als auch sog. Metadaten erfasst und generiert, die Aufschluss über Verbindungen und deren Verknüpfungen geben. Dies gesammelten Daten werden dabei in Kooperation mit NSA-Mitarbeitern („over 300 GCHQ and 250 NSA analysts access to huge amounts of data“) ausgewertet, wobei rund 850.000 Angestellte insgesamt Zugriff auf die Datenbanken haben, was darauf hinweist, dass auch andere Länder der „Five Eyes“ (einer Verbindung der Geheimdienste der USA, Großbritanniens, Kanada, Neuseelands und Australiens) Zugriff auf Tempora haben. Einem Bericht des Guardian zufolge erhält das GCHQ für diese Dienstleistungen erhebliche Zahlungen von der NSA. Darüber hinaus erhält das GCHQ geheimen Vereinbahrungen zufolge die durch Privacy International veröffentlicht wurden massenhaften und teilweise ungefilterten Zugriff auf Daten und „bulk raw data“ der NSA (siehe Abschnitt „relevante Dokumente“).

Interessant an diesen Daten ist, dass diese lt. den Veröffentlichungen auch zu Zwecken der Cyberdefence verwendet wurden, das also auch mit hoher Wahrscheinlichkeit militärische Vertreter Zugriff auf Daten erhalten und diese ggf. für weitere Zwecke einsetzen.

The data collected provides a powerful tool in the hands of the security agencies, enabling them to sift for evidence of serious crime. According to the source, it has allowed them to discover new techniques used by terrorists to avoid security checks and to identify terrorists planning atrocities. It has also been used against child exploitation networks and in the field of cyberdefence (Quelle: Guardian)

Darüber hinaus soll einem Bericht in der Süddeutschen Zeitung vom  das GCHQ einer internen Präsentation zufolge die Fähigkeiten zum aktiven, heimlichen Zugriff auf fremde Netzwerke haben. Einem Bericht von NBC News zufolge (siehe Dokumente) wurden unter anderem auch sog. DDoS-Attacken für die Störung von Kommunikationsflüssen gegen Aktivisten der Gruppe Anonymous eingesetzt. Damit würde das GCHQ über ähnliche Kapazitäten verfügen wie das US-Militär und deren „Tailored Access Operations„-Einheit. Diese Vermutung wird durch einen von Spiegel-Online vom 11. Nov. 2013 („Quantum Spying: GCHQ Used Fake LinkedIn Pages to Target Engineers“) gestützt, die berichten dass es sich dabei um eine eigene Hacking-Einheit mit dem Namen „My Network Operations Centre“ (MyNOC) handeln soll. Das GCHQ wird ausserdem verdächtigt, für Hackerzugriffe auf das öffentliche belgische Unternehmen Belgacom und dessen Tochter BICS (Belgacom International Carrier Services) verantwortlich zu sein, die unter anderem Dienstleistungen für EU-Gremien erbringen. Obwohl Aussagen der Firma zufolge keine offensichtlichen Schäden verursacht oder Daten gestohlen wurden, zeugt die eingesetzt hochentwickelte Malware von „bedeutenden Möglichkeiten und sehr guten technischen Sachkenntnissen“. Erkenntnissen des Enthüllungs-Magazins „The Intercept“ zufolge könnte es sich bei der verwendeten Schadsoftware um das 2014 entdeckte Framework „Regin“ handeln. Es kann daher nicht ausgeschlossen werden, dass über die Zugriffe Daten entwendet oder weitere Angriffe auf nachgeschaltene Systeme durchgeführt wurden.

 

Share Button