Der Autor war von 2001 bis 2004 Vizepräsident des Bundesnachrichtendienstes. Von 2004 bis 2008 leitete er als Präsident die Bundesakademie für Sicherheitspolitik.
Es ist erstaunlich, wie viel Naivität und unreflektierte Empörung in der Debatte um Prism und Tempora emporkommen. Dabei geht es um Dinge, von denen die Sicherheit unserer Welt abhängt. Es ist ja nicht gerade eine revolutionäre Erkenntnis, wenn geheime Nachrichtendienste Nachrichten sammeln, die eigentlich nicht für sie bestimmt sind. Ein Blick auf Fakten, auf Gesetzeslage und realistische Alternativen hilft, die Debatte zu versachlichen.
Als die USA 1945 erreichten, dass der Sitz der neuen internationalen Organisationen in die USA kamen - Vereinte Nationen nach New York, IWF und Weltbank nach Washington -, lag darin ebenso viel Idealismus wie Berechnung. Denn es war klar, dass dieser geografische Vorteil den USA Kontrollmöglichkeiten über Kommunikation und Personal dieser Institutionen geben würde.
Das Internet entstand aus dem Bedürfnis des US-Militärs, ein Kommunikationssystem zu entwickeln, das auch unter chaotischen Bedingungen sicher funktioniert. Die erste Naivität besteht nun darin zu glauben, das Militär habe sein Interesse am Internet verloren, seitdem es zur zivilen Nutzung freigegeben worden ist.
Quellcode für die NSA
Im Gegenteil: Cyber-Warfare ist eine sich klar abzeichnende Bedrohung. Wer einen Angriff auf lebenswichtige Infrastrukturen wie Kraftwerke, Verteiler- oder Kommunikationsnetze nicht vorausschauend abwehren kann, riskiert Schäden, die die Explosion einer Atombombe in den Schatten stellen.
Nahezu alle modernen Softwaresysteme, auf denen praktisch alle Computer dieser Welt operieren und kommunizieren, sind in den USA entwickelt worden. Zu glauben, diese Entwicklungen seien nicht engstens von militärischen Experten beobachtet worden, inklusive zahlreicher Querverbindungen und auch Kooperationsprojekte, ist die zweite Naivität. Obwohl dies immer wieder offiziell geleugnet wird, ist die Wahrscheinlichkeit, dass die NSA die Quellcodes der gängigen Computerprogramme kennt, wesentlich grösser als das Gegenteil.
Die NSA ist eine staatliche Institution. Sie unterliegt staatlichen Gesetzen und staatlicher Kontrolle; was wissen wir denn darüber, was die privaten Internetfirmen wie Google, Facebook oder Twitter mit den bei ihnen gespeicherte Daten machen, oder wie sie diese Daten gegen Missbrauch schützen? Bei ihnen gibt es keinerlei öffentliche Kontrolle. Solange es also keine verbindlichen internationalen Standards gibt, werden unterschiedliche Rechtsräume immer unterschiedliche Grenzen ziehen zwischen legal und illegal, zwischen privat und öffentlich, zwischen rechtlich geschützten Schonräumen und der freien Wildbahn.
Nicht nur mafiöse Banden kennen BOT-Netze
Ein Aufklärungsdienst sollte der technologischen Entwicklung immer einen Sprung voraus sein oder diese Entwicklung sogar mit beeinflussen können. Er muss sicherstellen, dass neue Kommunikationstechniken einerseits ausreichend verschlüsselt werden können - für den eigenen Verkehr; und dass man mit dieser Technik andererseits fremde, insbesondere gegnerische Kommunikation erfassen und aufklären kann.
In der Startphase des Internet legten die USA noch Gewicht darauf, dass die ersten Netzknoten physisch in den USA standen. Das ließ sich schon bald nicht mehr durchhalten. Damit war klar, dass sich die Aufklärung auf die Leitungen konzentrieren musste - und auf die Computer selbst.
Die Expertise zum Aufbau sogenannter BOT-Netzwerke ist relativ weit verbreitet. Diese Netzwerke bestehen aus PCs, die ohne Wissen ihrer Eigentümer mit Hintergrundprogrammen infiziert werden. Diese Programme erlauben es, die Computer unbemerkt aus der Ferne zu manipulieren. Auf diese Weise können nicht nur sämtliche Daten der Festplatte kopiert werden; der Computer kann aktiv für bestimmte Operationen eingesetzt werden, die von außen koordiniert werden und von denen der Eigentümer nichts bemerkt. Zu glauben, nur international organisierte mafiöse Banden setzten solche Kunstgriffe ein, wäre die dritte Naivität. Natürlich beherrschen staatliche Nachrichtendienste derlei Techniken ebenfalls, wahrscheinlich sogar noch viel besser.
Datenanalyse hat rechtliche und operative Grenzen
Vermutlich war die Attacke auf die elektronische Kommunikationsstruktur Estlands 2007 von außen gesteuert. Und dies war kaum mehr als ein Auftakt in einer Reihe von Störungen, mit denen wir in Zukunft rechnen müssen: Störungen von lebenswichtigen Infrastrukturen, Computer- und Kommunikations-, Kontroll- und Verteilersystemen. Wenn ein ungeplanter Kurzschluss schon einen Blackout ganzer Regionen verursachen kann, sollte man sich über die Wirkung geplanter koordinierter Blackouts keine Illusionen machen. Und unsere Phantasie reicht kaum aus, uns eine Welt vorzustellen, in der für längere Zeit komplett der Strom ausfällt.
Das Spionagenetz der National Security Agency (NSA): Für die Großansicht klicken Sie bitte auf die Grafik.
(Foto: SZ-Grafik: Ilona Burgarth, Foto: Reuters)Letzte Naivität: Wenn Supercomputer entwickelt werden, die das Weltklima bis zum Ende dieses Jahrhunderts simulieren können, dann lassen sich selbstverständlich auch Computer bauen, die automatisch Sprache erkennen, Suchbegriffe herausfiltern und dann nahezu unbegrenzt speichern können. Rein technisch war Speicherkapazität noch nie ein Grund, sich beim Sammeln von Daten zu beschränken. Die technologische Herausforderung besteht lediglich darin, diese unvorstellbare Massenflut von Daten automatisch vorzuselektieren. Aus den Bergen von Sand müssen die wenigen Goldkörner herausgefiltert werden.
Es muss also andere Beschränkungen geben, wenn man das Sammeln sämtlicher verfügbarer Daten im Internet verhindern will. Diese Beschränkungen können organisatorischer und rechtlicher Art sein.
Allein Daten in einem Computer zu speichern, bedeutet zunächst noch gar nichts. Um diesen Daten einen Sinn zu geben, müssen sie sortiert werden (das kann heutzutage weitgehend automatisch geschehen). Sie müssen dann aber immer noch von einem Menschen bewertet werden, der die Daten versteht und sie in einen Kontext einzuordnen weiß. Nur ein Mensch kann aus einer Datenanalyse operative Empfehlungen erarbeiten.
Nur ein Mensch kann Empfehlungen erarbeiten
Damit ist eine erste, unveränderbare Beschränkung gegeben: Eine Fachkraft kann pro Tag kaum mehr als 50 (automatisch vorselektierte) Kommunikationen lesen, auswerten und eventuell zu operativen Empfehlungen weiterverarbeiten. Selbst bei der NSA, die sich ausschließlich auf die Erfassung elektronischer Kommunikation konzentriert, sind kaum mehr als ein Viertel des Personals mit Auswertung beschäftigt - die übrigen werden für Technik, Entwicklung, Übersetzungen und Verwaltung benötigt.
Daraus ergibt sich ein relativ klarer Schlüssel für das, was die NSA kann und was sie nicht mehr kann: Bei einem - extrem hochgegriffen - Gesamtpersonal von 200.000, würden demnach 50.000 Auswerter arbeiten und damit etwa 2,5 Millionen Kommunikationen pro Tag auswerten. Bei einem geschätzten globalen Gesamtvolumen elektronischer Kommunikation von etwa 2 Milliarden pro Tag werden also nur 0,1 Prozent ausgewertet.
Genaue Zahlen lassen sich schwer ermitteln, weil das Volumen weiterhin ständig und rasant zunimmt. Selbst wenn man hinzurechnet, dass das Pentagon über zusätzliche Abhörressourcen verfügt, verändert dies nur wenig an der Korrelation. Hier von einer lückenlosen, universalen Überwachung zu sprechen, geht an den Tatsachen vorbei.
Unterschiedliche Güterabwägung
Die zweite Hürde setzt das Recht. Das Recht ist in Deutschland mit den einschlägigen Gesetzen relativ restriktiv. Regeln und Gesetze sind sie extrem bürokratisch, aufwändig und in ihren Grenzziehungen willkürlich. Dieser restriktive Ansatz reflektiert das historisch bedingte Misstrauen, das in Deutschland gegenüber nachrichtendienstlichen Strukturen vorherrscht. Nach den traumatischen Erfahrungen mit Gestapo und Stasi ist dies kein Wunder. Andere Länder haben diese traumatische Erfahrung nicht gemacht - hier bestehen entsprechende Sensibilitäten zumindest nicht in gleichem Maße.
Auch wird die Güterabwägung zwischen öffentlicher Sicherheit und Schutz der Privatsphäre in anderen Gesellschaften anders gewichtet als bei uns. In Großbritannien wehrt sich die Bevölkerung zum Beispiel vehement gegen die Einführung von Personalausweisen und Melderegistern (was schwierige Probleme bei der Identitäts- und Aufenthaltsfeststellung nach sich zieht).
Gleichzeitig aber nimmt sie eine Videoüberwachung hin, die an Dichte und Speicherung unvergleichbar ist. Die Lehre daraus: Unsere Werte lassen sich anderen nicht aufzwingen, genauso wenig wie wir die Maßstäbe anderer Staaten für uns gelten lassen wollen.
Nachrichtendienste müssen Informationen austauschen
Es ist leicht, die USA oder Großbritannien an den Pranger zu stellen. Viel wird öffentliches Geschrei nicht bewirken. Denn hier geht es um das, was die Mehrheit dieser Bevölkerungen als Kernbereich der eigenen Sicherheit betrachtet. Man wird hier den Deutschen kaum Zugeständnisse in der Sache machen. Der einzige Erfolg derartiger Proteste wird darin bestehen, dass diese Länder in ihrer Zusammenarbeit mit deutschen Partnerdiensten noch vorsichtiger werden.
Es macht wenig Sinn, die Zahl der Anschläge zu beziffern, die durch Hinweise von amerikanischen oder britischen Diensten in Deutschland verhindert worden sind. Sicher ist sie größer als null. Und ebenso sicher ist, dass - wenn man 2001 die Kommunikationen von Atta, Binalshib, Jarra und den übrigen Mitgliedern der Hamburger hätte mitlesen können - der Anschlag vom 11. September hätte verhindert werden können.
Wichtiger als Anschlagsstatistik ist die Erkenntnis, dass erst der enge Austausch von Daten es erlaubt, eine halbwegs zuverlässige Gesamteinschätzung globaler Terrorstrukturen und der hieraus hervorgehenden Risiken zu entwerfen. Gleiches gilt für organisierte Kriminalität, Drogenhandel, Kreditkarten- und Internetbetrug und natürlich klassische militärische Potentiale.
Grundsätzlich ist es nie möglich nachzuweisen, welches Ereignis aus welchem Grund nicht eingetreten ist. Hier wird es immer nur Schätzungen geben. Es bleibt die Notwendigkeit einer Güterabwägung - und die wird jede Gesellschaft nach ihren historischen Erfahrungen anders vornehmen: Wie weit darf ich in private Bereiche eindringen, um Katastrophen welcher Größenordnung auch immer vorherzusehen und zu verhindern?
Deutsche Maßstäbe gelten nicht global
Wer jetzt versucht, den USA und Großbritannien dieses Instrumentarium aus der Hand zu winden oder es zumindest abzustumpfen, muss sich darüber klar sein, dass er damit in eine globale Balance eingreift. Denn sowohl Russland wie China (und weitere Schwellen- und Industrieländer) haben ähnliche Kapazitäten wie die USA und liegen technologisch nicht weit hinter ihnen zurück. Ist es Zufall, dass eines der ganz wenigen konkurrenzfähigen High-Tech-Produkte aus Russland ein Computervirenprogramm ist - Kasperski? Wer also der NSA (oder dem GCHQ) das Handwerk legen will, muss auch eine Antwort auf das Potential dieser Mitspäher finden.
Die werden aber vermutlich noch weniger bereit sein, aus Rücksicht auf deutsche Bedenken ihre Praktiken zu verändern. Denn die Aufregung um Snowden darf nicht den Blick dafür verstellen, dass die demokratisch legitimierte Kontrolle der Sicherheitsorgane in den USA und in Großbritannien unvergleichlich viel besser und zuverlässiger funktioniert als in anderen Staaten - selbst wenn wir Deutsche gerne andere Maßstäbe anlegen würden.
Deutsche Vorstellungen lassen sich nicht unreflektiert übertragen
Es erscheint widersinnig, dem Bundesnachrichtendienst (oder der Bundeswehr, die sich aber für nachrichtendienstliche Erkenntnisse auf den BND stützt) Komplizenschaft mit der NSA oder dem GCHQ vorzuwerfen. Denn eine enge Kooperation mit Verbündeten, vor allem dort, wo man im gemeinsamen Einsatz ist, ist ja nicht nur militärisch, sondern auch nachrichtendienstlich gewollt.
Die Raison d'être eines Auslandsnachrichtendienstes liegt darin, mit Verbündeten Erkenntnisse auszutauschen - auch wenn diese Erkenntnisse auf Wegen gewonnen worden sind, die nach unseren nationalen Gesetzen nicht erlaubt wären (und mit der im BND verfügbaren Technologie auch gar nicht hätten gewonnen werden können). Davon unberührt bleiben Verletzungen universeller Menschenrechte: Erkenntnisse, die durch Folter gewonnen worden sind, bleiben tabu.
Grundsätzlich aber gilt: Wie soll denn ein gemeinsamer militärischer Einsatz wie in Afghanistan sinnvoll koordiniert werden, wenn schon das Lagebild der Allianzpartner nicht zusammenpasst, weil Erkenntnisse nicht ausgetauscht werden? Würde Prism etwa klare Hinweise auf einen Anschlag auf das Bundeswehrlager in Mazar-i Sharif liefern - wer würde dann diese Warnung nicht zur Kenntnis nehmen wollen mit dem Hinweis, Prism verstoße gegen deutsche Gesetze? Diese Verantwortung wird niemand tragen wollen.
Eine Frage der Legalität
Deshalb sollten zwei Überlegungen in der laufenden Debatte nicht vergessen werden: Deutsche Wert- und Normenvorstellungen in der Abwägung zwischen dem Schutz der Privatsphäre und den Erfordernissen öffentlicher Sicherheit lassen sich nicht unreflektiert auf andere Gesellschaften oder Partnerstaaten übertragen.
Die Kooperation mit den Diensten solcher Verbündeten wird nur möglich sein, wenn wir uns an das Legalitätsprinzip halten - aber eben auch respektieren, dass die Legalität selbst bei engen Verbündeten anders aussehen kann als bei uns. Wenn wir dazu nicht bereit sind, dürfte die einzige Konsequenz darin bestehen, dass unsere engsten politisch Verbündeten nachrichtendienstlich nur noch sehr eingeschränkt kooperieren können.
Internationale Vereinbarungen über strengeren Datenschutz mögen wünschenswert sein. Sie machen aber nur dann Sinn, wenn sie wirklich universal gelten; sonst laufen sie auf einen strategischen Informationsvorteil für diejenigen Staaten hinaus, die sich diesen Normen verweigern - und die wir in der Regel nicht zu unseren Verbündeten zählen.