Am 31. Juli hat der Guardian eine weitere Präsentation der NSA veröffentlicht, die der Zeitung von Edward Snowden zugespielt worden ist. Dabei handelt sich um eine Erklärung zur Software XKeyscore, die am 25.02.2008 vorgetragen wurde.

Bereits anhand dieser Präsentation lassen sich eine Reihe von Aussagen treffen, wie das System technisch funktioniert und was damit indentifiziert werden kann. Dabei muss berücksichtigt werden, dass die Daten zum Zeit der Veröffentlichung bereits über 5 Jahre alt sind.

Welche Daten werden wo abgefangen?

In der Präsentation ist von über 700 Servern die Rede, die an ca. 150 Orten auf der ganzen Welt verteilt stationiert sind. Dabei sind insbeondere Europa, Irak und Afghanistan ziemlich abgedeckt. Diese Server bilden miteinander einen Verbund, dem bei Bedarf relativ einfach weitere Server hinzugefügt werden können.

Technisch funktioniert die Software wohl so, dass während einer Internetverbindung sämtliche Daten aufgezeichnet und dieser Verbindung zugeordnet werden. Dabei werden Email-Adressen, Telefonnummern, Einloggen und Benutzeraktivitäten aufgezeichnet und in einer Datenbank gespeichert. Dabei ist es nicht notwendig, dass auch wirklich die Inhalte gespeichert werden, die reinen Verbindungsdaten genügen, um einen Nutzer ausreichend genau zu identifizieren.

So werden die meisten Internetnutzer mindestens einmal während ihrer Verbindung ihre Emails abrufen. Dadurch kann eine Verbindung einem Nutzer zugeordnet werden, wenn zumindest der Benutzername beim Abrufen im Klartext übertragen wird. Ähnliches gilt auch für andere Verbindungsdaten wie z.B. Chat-Freunde, die explizit in der Präsentation aufgelistet werden.

Welche Abfragen sind möglich?

Grundsätzlich können sämtliche Daten aus der Datenbank abgefragt werden, um Kontaktprofile zu erstellen. In der Präsentation sind sogar einzelne Erfolge aufgeführt, die allerdings vor der Veröffentlichung geschwärzt wurden. Wir können also nur auf allgemeine Beispiele eingehen, die aufgeführt werden. Die Benutzer des Systems sollen nach anormalen Ereignissen suchen, um bestimmte Zielpersonen ausfindig machen zu können, die nicht über ein Kontaktprofil gefunden werden können.

Aufschlussreich ist das Beispiel: „Die Zielperson spricht deutsch, aber befindet sich in Pakistan – wie kann ich ihn finden?“ Da viele Internetseiten die Sprache mitteilen, kann eine solche Person gefunden werden.

Dabei kann die Software neben englischen Texten auch arabische und chinesische Texte analysieren, so dass auch nach Namen wie Osama Bin Laden gesucht werden kann.

Gegenbeispiele, die eine zu große Anzahl an Treffern liefern, werden auch aufgelistet und sind interessant, weil sie verdeutlichen welche Auswertungen mit XKeyscore möglich sind: Suche nach verschlüsselten Word-Dokumenten oder nach verschlüsselten Emails aus dem Iran.

Sonstiges zu XKeyscore

Wie die Leak-Website Cryptome herausgefunden hat, stammt die Software von Science Applications International Corporation (SAIC), einem Dienstleister für diverse US-Militär- und Geheimdienstbehörden.

Das Alter der Präsentation lässt allerdings keinen Schluss auf die gegenwärtigen Möglichkeiten der NSA zu: 5 Jahre sind im IT-Bereich eine lange Zeit. Da es einfach sein soll, weitere Server in das System einzufügen, kann man davon ausgehen, dass heute wesentlich mehr Speicher und Rechenleistung zur Verfügung steht – falls XKeyscore überhaupt noch in Betrieb ist und nicht schon von einem Nachfolger abgelöst wurde.

Zum Vergleich: Während der Zeitpunkt der Präsentation war von Apple das erste iPhone auf dem Markt, ein Gerät, dass heute im Smartphone-Bereich als leistungsschwach kategorisiert würde. Google hatte im Juli 2008 1 Billion URL im Index, während er 4 Jahre vorher noch bei 6 Milliarden lag, also schaffte es Google, die Anzahl der indexierten Objekte in diesem Zeitraum auf auf mehr als das 150fache zu steigern.