NSA: So funktioniert die Mega-Abhörmaschine

Das Hauptqartier der NSA in Fort Meade Maryland. Quelle: NSA

Von außen betrachtet ist deren Prism-Software ein umfangreiches Grafisches-User-Interface (GUI), mit dem die Analysten der NSA komplexe Abfragen und Korrelationen ausführen können. Diese laufen auf eigenen Servern ab, das heißt, die Abfragen können nur auf solche Daten angewendet werden, die zuvor in den eigenen Servern abgelegt wurden. Folglich, können die Anfragen auch ins Leere gehen.

In so einem Fall generiert das System automatisch eine Datenanforderung an alle am Prism-Programm beteiligten Unternehmen. Diese Datenanforderungen werden automatisch generiert und berufen sich rechtlich auf sehr vage formulierte weitreichende Allgemein-Anforderungen durch den General-Staatsanwalt. Die Anforderungsflut ist hoch. Jeweils 200 solcher Anforderungen gehen pro Woche bei jedem der große Provider ein, und jede Anfrage bezieht sich auf rund 400 bis 1000 User-Konten.

Bei derart immensen Datenanforderungen haben mehrere Daten-Provider das Verfahren vereinfacht und eine elektronische Zwischenablage geschaffen, in der die NSA ihre Datenwünsche ablegt und wo sie dann später die entsprechenden Daten abholen können. Einem Bericht der New York Times zufolge soll unter anderen Facebook einen solchen Datenaustausch ermöglichen. Anders ist es dagegen bei Google. Laut deren Sprecher Chris Gaither stellt Google seine Daten per sicheren FTP-Transfer der NSA zur Verfügung.

Alle gesammelten Daten werden bei der NSA in einem Mega-Rechenzentrum gespeichert, das seit geraumer Zeit zu klein geworden ist. Deshalb wird in Bluffdale, im US-Staat Utah, für 1,7 Milliarden Dollar ein neues Rechenzentrum gebaut, das im Herbst in Betrieb gehen soll. Das neue Rechenzentrum soll dann als interne Cloud sowohl die eigenen Analysten am Hauptsitz in Maryland, als auch die anderen Agenturen, wie FBI und CIA bedienen. James Bamford, Autor vieler Bücher über die NSA, glaubt, dass das neue Rechenzentrum einen Anschlusswert von 65 MW haben wird und dass es ein Yottabyte an Daten aufnehmen kann. (Ein Yotta ist eine Eins mit 24 Nullen.)

Ein echtes Big-Data-Problem also, das mit eigens entwickelten Werkzeugen angegangen wird. Hauptkomponente ist die Open-Source Software Accumulo, deren Entwicklung 2008 bei der NASA begann und die 2011 der Open-Source-Gemeinde überstellt wurde.

Accumulo basiert auf Googles BigTable-Design und ist eine NoSQL Datenbank, die auf einer seriellen Schlüssel/Wert-Struktur aufsetzt. Hierzu nutzt Accumulo die Apache-Pakete ZooKeeper, Thrift und das Hadoop Distributed File System (HDFS). Accumulo hat eine sogenannte “schemalose Datenbank-Struktur” und kann Daten in unterschiedlichen Formaten aufnehmen. Mit zusätzlichen Realtime-Analytics, kann Accumulo dann Reports über bestimmte Korrelations-Muster in nahezu Realtime generieren.

Einer der Schwerpunkte bei der Accumulo-Entwicklung war der Sicherheitsaspekt – vor allem die hierarchischen Zugriffsrechte der Anwender auf die einzelnen Datenbestände. Doch trotz aller technischer Raffinessen bei der Zugriffsverwaltung weist das System erhebliche Lücken auf. Das zeigte sich unter anderem an der Art, wie Snowden die streng geheimen PowerPoint-Folien entwenden konnte: Er kopierte sie einfach auf ein externes USB-Laufwerk.

Redaktion

View Comments

  • Ein höchst interessanter, informativer Artikel.

    Leider geht er nicht auf die Informationsquellen ein, die ebendiese Dienste auf "passivem" Weg erschließen - also durch mitlesen/mithören/sniffen von Datenverkehren, insbesondere jenen, die man als "verschlüsselt" versteht, weil ja per SSL/TLS gesichert (also zB WebMail, Email, VoIP uva.). Die aktiv ermittelten (also von den Anbietern angeforderten) Daten sind ja nur die kleine Spitze eines großen Eisberges, deren Volumen nur die Dienste wohl nur unwahrscheinlich in jene Bedrängnis bringen würden, wie es hier praktisch beschrieben wird. Und das man passives Lauschen betreibe, streiten ja inzwischen nicht mal mehr die Dienste ab.

    So hinterlassen deutsche Journalisten aber den Eindruck, das die Kommunikation vor derart Zugriffen sicher sei, wenn man nur der "richtigen" Anbieter wähle bzw. darüberhinaus noch nett auf das SSL "Schloß" am Browser achte. Das aber wäre vom Regen in die Traufe...

Recent Posts

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

1 Tag ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

1 Tag ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

3 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

4 Tagen ago

Generative KI macht PDFs jetzt intelligenter

Bei langen und komplexen Dokumenten wie Verträgen, Forschungsarbeiten und Artikeln unterstützt generative KI dabei, in…

5 Tagen ago

Virtuelle Patienten für Universitätsklinikum Bonn

T-Systems entwickelt eine Software-Lösung zum Trainieren von Pflegekräften für das Universitätsklinikum Bonn (UKB).

5 Tagen ago