Geheimdienste:Codewort Eikonal - der Albtraum der Bundesregierung

Internet-Knotenpunkt  DE-CIX

In Frankfurt am Main befindet sich einer der größten Internet-Knoten der Welt. Er war Gegenstand eines geheimen Datenaustausches zwischen BND und NSA.

(Foto: Boris Roessler/dpa)

NSA und BND arbeiteten in der "Operation Eikonal" jahrelang zusammen, um Internetdaten und Telefonverkehr in Frankfurt abzufangen. Dass dabei Daten von Bundesbürgern rechtswidrig in die USA gelangten, nahm die Bundesregierung in Kauf. Abgesegnet hat die Sache ein Mann, der auch heute Minister ist.

Von Georg Mascolo, Hans Leyendecker und John Goetz

Die Strecke eines Lichtstrahls zwischen Ausgangs- und Endpunkt wird in der geometrischen Optik als "Eikonal" bezeichnet. Im Kanzleramt ist "Eikonal", so formuliert es jedenfalls ein Beamter, zum Synonym für das Wort "Albtraum" geworden.

Der böse Traum steckt in zwei Metallkisten, die in der Geheimschutzstelle des Bundestages eingetroffen sind. In den Kisten sind Akten des Kanzleramtes und des Bundesnachrichtendiensts (BND) mit der höchsten Geheimhaltungsstufe: "Streng geheim". Codewort: "Eikonal". Der BND sicherte das Projekt mit einer "Abschirmungsverfügung" ab. Der US-Geheimdienst NSA lobte die Operation als "Kronjuwel der strategischen Kooperation" mit dem BND. Der sieht das spätestens seit den Diskussionen um die Enthüllungen des Whistleblowers Edward Snowden anders. Vielen beim BND wäre es heute am liebsten, wenn es Eikonal nie gegeben hätte.

Gemeinsame Operation von BND und NSA

Das Codewort stand für den Zugriff von BND und NSA auf einen der wichtigsten Kommunikationsknotenpunkte der Welt, in Frankfurt. Umrisse der Geschichte wurden in diesem Juni durch Recherchen von Süddeutscher Zeitung, NDR und WDR bekannt. Mindestens drei Jahre lang, so hieß es, habe es eine gemeinsame Operation von BND und NSA auf deutschem Boden gegeben, um Internet und Telefonverkehr abzufangen.

Unklar war, ob Daten deutscher Bürger an die NSA weitergeleitet worden waren. Der Untersuchungsausschuss forderte per Beweisbeschluss die Akten an. Jetzt beugen sich Regierungsbeamte und Parlamentarier über die Papiere.

Selbst BND-Leuten war Eikonal nicht geheuer

Erzählt wird in den Akten, wie der BND und frühere Bundesregierungen an die Grenze des politisch und juristisch Vertretbaren gingen; ja, es gibt Hinweise darauf, dass sie diese Grenze womöglich wissentlich überschritten. In den Papieren finden sich Warnungen von Insidern.

Die Kooperation war möglicherweise eine Grundrechtsverletzung durch deutsche Behörden. Infrage kommt ein möglicher Verstoß gegen das für die Grundrechte so wichtige G-10-Gesetz. Es regelt, unter welchen Voraussetzungen Geheimdienste in Deutschland in das Fernmeldegeheimnis eingreifen dürfen. Die Weitergabe von Telefonaten und Mail-Verkehr von Deutschen an ausländische Dienste ist nur unter strengsten Voraussetzungen und nur im Einzelfall zulässig. Bei Eikonal allerdings ging es nie um Einzelfälle.

Womöglich sind die zehn Mitglieder der G-10-Kommission des Bundestages, die jeden einzelnen Eingriff der Geheimdienste genehmigen müssen, getäuscht worden. Selbst manchem BND-Mitarbeiter war Eikonal nicht geheuer; von "politischem Schaden" und "unabsehbaren Folgen" ist in den Akten die Rede. Warum also stimmte der damalige Kanzleramts- und heutige Außenminister Frank-Walter Steinmeier der Operation zu? Warum ließ sein Nachfolger Thomas de Maizière sie weiterlaufen?

Steinmeier ist bereit, riskante Operationen abzunicken

Die Geschichte dieser Operation beginnt um die Jahrtausendwende, und sie beginnt mit zwei Geheimdiensten, die sich Sorgen um ihre Zukunft machen. Eine Revolution steht an, die Welt der Kommunikation verändert sich, Satelliten und das Telefon im Hausflur verlieren an Bedeutung, der Siegeszug des Internets und der Handys zeichnet sich ab. Weltumspannende Glasfaserkabel lenken die Datenströme. BND und NSA fürchten, mit der technischen Entwicklung nicht Schritt halten zu können, sie fürchten um ihren Zugriff auf die weltweite Kommunikation.

Die NSA beherrscht die Technik, sie hat früh damit begonnen, in den USA Kabel anzuzapfen und die Daten in ihre Rechner abzuleiten. Der BND beherrscht diese Technik nicht, aber er hat etwas, was die NSA jetzt dringend und überall braucht - Zugang. Durch Deutschland laufen dank seiner zentralen Lage viele der Glasfaserkabel, im Datenverkehr geht es zu wie im Sommer auf den deutschen Autobahnen. Jeder muss hier durch.

In Berlin ist die erste rot-grüne Bundesregierung im Amt. Sie hat nach den Terroranschlägen vom September 2001 den Amerikanern "uneingeschränkte Solidarität" zugesichert. Steinmeier versteht sich sehr gut mit BND-Präsident August Hanning, und beide wollen die Zusammenarbeit mit den US-Geheimdiensten, vor allem mit der mächtigen NSA. Steinmeier ist bereit, auch riskante Operationen abzunicken, Hanning ist bereit, die Verantwortung zu übernehmen, wenn etwas auffliegt.

Die Abhörstation in Bad Aibling gibt's von den Amerikanern geschenkt

Es ist auch ein Geschäft. Die Deutschen bekommen die Technik, es sind die Vorläufer der von Edward Snowden enthüllten Prism- und X-Keyscore-Programme - und für manche müssen sie nicht einmal bezahlen. Auch nicht für die riesige Abhörstation in Bad Aibling, die ihnen die Amerikaner 2004 schenken wollen.

Die NSA soll im Gegenzug heimlich Zugriff auf den Frankfurter Knotenpunkt bekommen. Der war damals bereits ein Riese und ist heute der größte Internet-Hub der Welt. Frankfurt lässt sich gern als "Welthauptstadt des Internets" feiern, inzwischen wird der Datendurchsatz in Terabit pro Sekunde gemessen. Man muss es sich wie einen Kreisverkehr vorstellen: Die verschiedenen Netze sind die Straßen, der Knoten ist der Kreis in der Mitte. Nun kommen die Daten angefahren, nehmen eine Einfahrt, einen sogenannten Port, verlassen den Kreisverkehr über eine neue Ausfahrt - und sind in einem neuen Netz.

Ab 2005 wird in Frankfurt das Internet überwacht

Da wollen die Geheimdienste der Welt dabei sein. Am 28. April 2002 unterzeichnen Hanning und der damalige NSA-Chef Michael Hayden ein "Memorandum of Agreement" über die gemeinsame Zusammenarbeit. Mit Hilfe Bad Aiblings soll nach Taliban und Al-Qaida-Kämpfern in Afghanistan gefahndet werden, auch die Krisenregionen Nordafrikas wollen BND und NSA gemeinsam im Blick behalten.

Tatsächlich aber geht es im Voralpenland jetzt auch um etwas ganz anderes - die Daten aus Frankfurt sollen erfasst werden. Der BND beginnt 2003 mit der Probeerfassung, dann läuft das große Programm "data und dial" an, die "qualitativ und quantitativ hochwertige Aufklärung der internationalen Kommunikation."

Der in Frankfurt einlaufende Telefonverkehr wird ab 2004 überwacht, im November 2005 folgt die Internetüberwachung. Abgefangen werden die Millionen Daten mithilfe von US-Technik, die in der Main-Metropole installiert wurde.

"Volle Kontrolle durch den BND ist nicht möglich"

Einen direkten Zugriff der NSA wollte Steinmeier in keinem Fall gestatten. Aber es ging auch so: Der BND zapfte Frankfurt an, dann ging es per Datenleitungen nach Pullach und von dort in die Rechner der Mangfall-Kaserne in Bad Aibling. Die oft so umstrittene Station ist nun der Schauplatz einer nie da gewesenen Kooperation. 2004 sind die Amerikaner dort offiziell abgezogen, im Ort wurden Fähnchen geschwenkt, aber die Amerikaner sind noch da. Sie sitzen Seite an Seite mit dem BND und durchsuchen die Frankfurter Daten nach allem, was die Geheimdienste interessiert. "Joint Sigint Activity" nennen sie das. 24 Stunden am Tag kommen die Daten aus Frankfurt an.

Dass Eikonal überhaupt zustande kam, ist erstaunlich, denn im BND selbst gab es Warnungen und juristische Bedenken. Da war das Versprechen der Amerikaner, sich auf deutschem Boden an deutsches Recht zu halten, aber in einem Vermerk des BND stand, dass man dieses Versprechen aufgrund der "technischen Unterlegenheit" des BND gar nicht überprüfen könne. Mindestens bei verschlüsselten Verkehren könne der BND doch gar nicht beurteilen, was sich in den abgefangenen Daten befinde. Die "volle Kontrolle durch den BND ist real nicht möglich", stand in einem Vermerk für Hanning.

Die Deutsche Telekom musste dem Dienst behilflich sein

Ebenso heikel war die Frage, auf welcher Rechtsgrundlage man den Provider in Frankfurt überhaupt dazu bringen konnte, die Daten an den BND zu liefern. Der Name des Providers ist in den Akten für den Untersuchungsausschuss geschwärzt, aber Insider wissen, dass die Deutsche Telekom dem Dienst behilflich sein musste. BND und Telekom schlossen einen Vertrag, die Firma stellte dem BND den Zugang zu seinen Servern zur Verfügung - und bekam dafür monatlich 6000 Euro.

Durch die Server der Telekom strömten jeden Tag Millionen Daten, solche von Deutschen, die nach dem G-10-Gesetz nur unter strengen Voraussetzungen überwacht werden dürfen, und die von Ausländern - sogenannte Transitverkehre. Das besondere Interesse der NSA soll dabei russischen Daten gegolten haben. Das ging in Ordnung - nur die Daten der Deutschen sollten die Amerikaner eigentlich nicht bekommen. Zu diesem Zweck bastelte der BND dafür eigens einen Filter namens "Dafis", der die Telefonate und E-Mails von Deutschen heraussortieren sollte. Aber trotz aller Bemühungen, das Ding funktionierte nicht richtig, was schon bei Beginn der Operation bekannt war. Dafis sortierte bei einem Test 2003 nur etwa 95 Prozent aus. Auch später gab es Schwierigkeiten.

Um an die Transitverkehre zu kommen, sollte eine ziemlich kreative und selbst nach Auffassung mancher BND-Experten unzulässige Auslegung des G-10-Gesetzes helfen: "G-10 ist Türöffner für die Erfassung internationaler Verkehre", notierte ein BND-Beamter, und genau gegen diesen Vorgehen protestierte prompt ein Unterabteilungsleiter. Das sei rechtswidrig, auch Transitverkehre dürften - jedenfalls wenn sie mithilfe einer G-10-Genehmigung abgefangen würden - nur unter den engen Voraussetzungen dieses Gesetzes etwa nach Terroristen oder Waffenhändlern durchsucht werden. Alles andere müsse "spurenlos" gelöscht werden. Aber wie kann man spurenlos löschen, wenn die Daten weitergereicht werden? Sein Abteilungsleiter wiegelte ab: Alles in Ordnung, alles durch das BND-Gesetz gedeckt.

Am Ende wurden alle Bedenken ignoriert

Im BND wurde diskutiert, ob man zumindest das G-10-Gremium über den wahren Charakter der Operation informieren müsse. Die Frage landete im Kanzleramt, wurde wieder diskutiert und, so scheint es, mit Nein beantwortet. Am 27. April 2004 soll in der sogenannten Präsidenten-Runde, an der in der Regel auch Steinmeier teilnahm, diese Entscheidung getroffen worden sein. Ob die G-10-Kommission getäuscht wurde, wird nun der Untersuchungsausschuss prüfen. Beim BND jedenfalls malte man damals schon ein Szenario aus, was geschehen könne, wenn die Sache bekannt werde: Parlamentarische Untersuchungen, möglicherweise gar die Aussetzung der gesamten G-10-Erfassung.

Am Ende wurden alle Bedenken ignoriert, vier Jahre ging das so. Offene Fragen gibt es bis heute in dieser Geschichte, und der NSA-Ausschuss wird nun versuchen müssen, sie zu klären. Wie viele Daten wurden eigentlich erfasst und an die NSA weitergeleitet, wie viel Kommunikation von Deutschen wurde wegen der nicht gut genug funktionierenden Filter an die NSA geliefert? Und zu klären ist, warum all das im Juli 2008 endete. Sicher ist, dass manche im Kanzleramt und auch beim BND immer größere Bedenken bekamen, auch der Vertrag mit der Telekom wurde gekündigt. Risiko und Nutzen wurden all die Jahre immer wieder abgewogen, auch weil die Amerikaner sich offenbar nicht an die vereinbarten Spielregeln hielten.

Die Amerikaner suchten plötzlich auch nach EADS und Eurocopter

2005 fiel auf, dass die Amerikaner die gemeinsame Arbeit dazu missbrauchten, um nach Informationen über EADS, Eurocopter und französische Behörden zu suchen. Der BND protestierte. 2006 wurde mal erwogen, das von Steinmeier abgesegnete "Memorandum of Agreement" ganz aufzukündigen und die Eikonal-Geschichte zu beenden. Es wurde weitergemacht. Nur mithilfe der NSA, so steht es in einem Vermerk, könne der BND lernen, "früher Massendaten aus dem Internet bewältigen und aufklären zu können." Die Angst, technologisch abgehängt zu werden, war größer als die Angst vor Entdeckung.

Wahrscheinlich endete Eikonal, weil trotz aller Bemühung die Daten von Deutschen immer wieder an die NSA gingen, der Filter taugte einfach nicht. Als der Abteilungsleiter der Technischen Aufklärung beim BND im Juli 2008 ein Resümee der Operation zog, räumte er ein, dass der Filter, der die Rechte der Deutschen sichern sollte, nie richtig funktionierte. "Das Vorhaben scheiterte daran, dass es technisch nicht möglich ist, eine absolute und fehlerfreie Trennung von geschützter und ungeschützter Kommunikation zu erreichen."

Nicht funktionierende Filter sieht das G-10-Gesetz, das die massive Einschränkung von Freiheitsrechten verhindern soll, nicht vor. Es kennt nur Verstöße.

Die NSA wurde "stiller Partner" des BND. Bis heute?

Die NSA reagierte verärgert, als Eikonal endete, und schickte seinen damaligen Vizepräsidenten John Inglis nach Berlin. Er verlangte "Kompensation". Wenn nicht Frankfurt, dann solle der BND den Zugriff auf ein anderes europäisches Kabel ermöglichen. Das wurde vom Kanzleramt und vom BND abgelehnt, aber ganz verprellen mochte man die NSA auch nicht. Es traf sich, dass der deutsche Dienst gerade Zugang zu einem "weltumspannenden" und "global wichtigen Kommunikationsstrang" bekam, auf das die NSA keinen Zugriff hatte. Dank des BND wurde sie "stiller Partner" und bekam die Daten. Gibt es diese "Kompensation" bis heute?

Zu den Dingen, die der Ausschuss nun zu klären hat, gehört auch das Verhältnis zwischen Parlament und Regierung, die Frage, wie genau es die Regierung mit der Wahrheit nimmt. Nach den Snowden-Enthüllungen wurde viel über Frankfurt geraunt, und der damalige Innenminister Hans-Peter Friedrich erklärte: "Wenn ein ausländischer Dienst den Internetknoten in Frankfurt anzapfen würde, wäre das eine Verletzung unserer Souveränitätsrechte." Kannte er Eikonal nicht?

Nicht automatisiert - freiwillig

Mindestens irreführend agierte bis in die letzten Wochen auch das Kanzleramt. Nach den ersten Veröffentlichungen stellte der grüne Bundestagsabgeordnete Hans-Christian Ströbele der Regierung eine einfache Frage: Ob es zutreffe, "dass der Bundesnachrichtendienst aus dem Frankfurter Glasfaser-Netzknoten ... abgezapfte Rohdaten mindestens zwischen 2004 bis 2007 der NSA übermittelte?" Am 11. Juli kam vom Staatsminister im Kanzleramt, Klaus-Dieter Fritsche, die Antwort: Der Bundesnachrichtendienst habe "im angefragten Zeitraum" keine "im Raum Frankfurt erfassten Telekommunikationsverkehre automatisiert an die NSA weiterleitet ".

Wer immer sich diese Antwort in der Regierung ausgedacht hat, er verdient sein Geld. Das Wort "automatisiert" ist scheinbar zufällig eingefügt, Ströbele allerdings hatte es in seiner Frage gar nicht verwendet. Durch diesen Kunstgriff las sich die Antwort wie ein Dementi. Automatisiert bekam die NSA keine Daten aus Frankfurt. Sie wurden freiwillig vom BND übergeben.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: