Süddeutsche Zeitung

Infrastruktur des Internets:Rückgrat des weltweiten Datenverkehrs

Wo kommen die Daten her, wenn eine Webseite aufgerufen wird, wo sausen sie hin, wenn eine E-Mail verschickt wird? Eine Reise quer durch Mitteleuropa: Von der niederländischen Küste ins bayerische Markt Schwaben, durch Sicherheitsschleusen zu Rechenzentren und Netzbetreibern.

Es riecht nach Salz hier, Nordsee. Ein kleiner Parkplatz an der niederländischen Küste, das Häuschen obendrauf könnte dem Parkwächter dienen. Könnte. Eingeweihte erkennen ein zweites kleines Gebäude daneben als Notstromaggregat. Im Boden sind rechteckige Gullydeckel, "Manholes", Wartungslöcher. Beides, Notstrom und Wartungszugänge in die Erde, sind typische Begleiterscheinungen des Internets. Hier ist etwas zu finden. Aber Hinweisschilder, Wegweiser sucht man vergebens. Kein Wunder, Unauffälligkeit ist Teil der Strategie von Interoute. Diesem Unternehmen gehören mehr als 60.000 Kilometer Glasfaserkabel, quer durch Europa. Glasfaser leitet Licht und ist Standard bei Internetkabeln. Und Interoute gehört auch das kleine Häuschen an der niederländischen Küste.

Von wegen klein. Wer mit einem Techniker das leere Obergeschoss durchquert und dann eine steile Treppe ins Untergeschoss herabklettert, steht plötzlich in einem riesigen Keller. Der ist zu zwei Dritteln leer: Hier ist noch Platz zum Anbauen, das Netz ist schließlich ein Wachstumsprojekt. Im hintersten Raum aber kommt in diesem Keller ein armdickes Kabel aus der Wand, es windet sich durch blinkende Computerschränke und verschwindet schließlich wieder in einer anderen Wand. Das ist das Unterseekabel Flute. Seit 2001 verbindet es die Computer in Großbritannien mit denen auf dem Festland. Im Meer wird das dünne Kabel bis zu einen Meter dick, wegen der Sicherung gegen Schiffsanker und auch wegen der Fische, die gerne mal daran rumknabbern. Wenn ein Kabel ausfällt, muss ein Schiff entsandt werden, um die schadhafte Stelle mit Hilfe von Haken an die Oberfläche zu holen und zu reparieren. Und das kann dauern.

Amerikaner haben extra ein Atom-U-Boot umgerüstet

Auf die Kabel, die riesige Datenmengen transportieren, sind auch Geheimdienste scharf; die Amerikaner haben extra ein Atom-U-Boot umgerüstet, um unter Wasser Datenleitungen anzapfen zu können. Und am Unterseekabel TAT-14, das die Telekom mitbetreibt, hat sich laut Papieren, die der Whistleblower Edward Snowden öffentlich zugänglich gemacht hat, der britische Geheimdienst eingeschaltet. Die Telekom reagiert derzeit auf den Wunsch nach Transparenz vor allem mit verschlossenen Türen: das Seekabel in Ostfriesland, das von Norden ins britische Bude führt, kann man nicht mehr besichtigen.

Das britische Unternehmen Interoute, das ebenfalls in den Snowden-Papieren auftaucht, zeigt die Technik dagegen gerne her. Die Firma gibt an, lediglich im Rahmen der geltenden Gesetze Anfragen von Sicherheitsbehörden zu beantworten. Der Techniker im Keller sagt, er kenne jedes einzelne Gerät in diesem Raum, hier seien keine Daten abzugreifen. Vorsichtig öffnet er eine Art Kassette, in der das Kabel erst in 96 Teilkabel zerlegt wird, die dann wiederum in einzelne Glasfasern aufgedröselt sind, zwölf pro Teilkabel. Er muss seine Stimme heben, denn wie überall, wo das Netz greifbar wird, dröhnt auch in diesem Keller eine starke Klimaanlage, die die surrenden Computer kühlt.

200 Gigabit rasen hier pro Sekunde durch das Kabel, etwa 8000 Mal mehr als in einem privaten DSL-Anschluss. Von hier führen die Kabel in verschiedene Netzwerke. 45.000 Netzwerke, etwa von Unternehmen oder Forschungseinrichtungen, bilden zusammen das Internet. Einige Betreiber nutzen das Kabel Flute und haben einen Vertrag mit Interoute abgeschlossen. Interoute gewährt ihnen dann einen Platz in dem geheimen Keller an der Küste, wo sie ihre Kabel dann mit dem Unterseekabel verbinden dürfen.

Das Prinzip heißt Redundanz

Die Daten, die hier durchrasen, werden wie an jedem anderen Punkt im Netz mit Hilfe von Adressen richtig weitergeleitet. Jedes Datenpaket im Netz, ganz gleich, ob es zu einem Video oder einer E-Mail gehört, trägt diese Adressinformationen mit sich: eine AS-Nummer, die das Netzwerk bezeichnet, in dem es landen soll, und eine IP-Nummer, die innerhalb des Ziel-Netzwerkes den Ziel-Rechner identifiziert, der die Daten empfangen soll. Das alles geschieht dank der Glasfaserkabel in Lichtgeschwindigkeit. Falls ein Kabel oder ein Computer einmal kaputtgeht, ist das nicht weiter schlimm. Fast alles, vom Dieselmotor für den Notstrom bis zum Unterseekabel Flute gibt es mindestens doppelt, das Prinzip heißt Redundanz.

Insgesamt durchziehen etwa 500.000 Kilometer Glasfaserkabel Deutschland. Sie verlaufen neben Autobahnen, manchmal auch auf Starkstrommasten oder neben Gasleitungen, gelegentlich sogar in Abwasserrohren. Zu sehen sind meist nur ein paar graue Kästen, etwa alle 30 Kilometer, und die "Manholes", die die Techniker über GPS-Sender orten und mit normalem Werkzeug öffnen können. Eine Aufschrift haben weder die Kästen noch die Wartungslöcher. Sie sollen unauffällig sein, ein einzelnes Kabel könnte ein Ziel für Geheimdienste oder Vandalen sein.

Durch was für Leitungen die Datenpakete sausen, ist nach dem Besuch an der Nordseeküste klar, aber woher weiß ein Computer eigentlich, was er tun soll, wenn der Nutzer www.sz.de in die Browserzeile tippt? Zeit, ein paar Ebenen höher zu schauen. Weg von den Kabeln und blinkenden Servern zu den Verwaltern des Netzes.

Das Telefonbuch des Internets

Frankfurter Bahnhofsviertel, bevölkert von Junkies und Bankern. Hier residiert das Deutsche Network Information Center (Denic), eine Genossenschaft gebildet aus etwa 300 Internet-Unternehmen. Die Denic kümmert sich darum, dass Internetadressen mit der Endung ".de" registriert, verwendet und die Inhaber solcher Adressen gefunden werden können. Solche Adressen heißen Domains. Die Denic betreibt also eine Art Telefonbuch des Internets, kümmert sich darum, dass jemand, der die Domain sz.de aufruft, auch auf der Webseite der Süddeutschen Zeitung landet.

Dazu muss die Domain in eine IP-Nummer übersetzt werden, also in die Nummer, unter der ein bestimmter Computer erreichbar ist. Dass diese Zuordnung für alle Domains, die auf ".de" enden, stets aktuell ist, dafür ist die Denic verantwortlich. Sie stellt ihr Telefonbuch weltweit allen Computern zur Verfügung. Damit sie es stets aktualisieren kann, benötigt die Denic ein Rechenzentrum mit Anschluss ans Netz.

Wie der Nutzer seine Domain nutzt geht die Denic nichts an

Ein großes Gebäude, nahe Frankfurt, der genaue Ort darf wieder nicht verraten werden - aus Sicherheitsgründen. Ein hoher Zaun, eine Wachfrau, drinnen das übliche Rauschen großer Klimaanlagen, keine Fenster. Hier kommen nur angemeldete Besucher rein. Dies ist ein Rechenzentrum, in dem sich Internetfirmen, für die sich der Betrieb eines Rechenzentrums nicht lohnt, Raum mieten können, um ihre eigenen Computer aufzustellen.

Hier werden keine Webseiten und E-Mails gespeichert, sondern vor allem Tabellen: Domains und IP-Adressen. Drei Reihen Rechner ruhen im abgesperrten Bereich der Denic: Server und andere Netzwerktechnik, Geräte, die Loadbalancer heißen, Router oder Firewall. Die Denic bewertet niemals inhaltlich. Jeder kann sich eine Internetadresse registrieren. Wie der Nutzer sie verwendet, geht die Denic nichts an - egal ob die Adresse für eine private Homepage oder eine Pornoseite verwendet wird.

Die Verwaltung des Netzes scheint also gut zu klappen - aber wo liegen die ganzen Daten, die E-Mails und Webseiten, die Dokumente in der Cloud und die Bildergalerien? Wo nehmen die Datenpakete, die zum Beispiel durch Flute nach Großbritannien rasen, den Anfang ihrer Reise?

Der Webseiten-Speicher

Ein paar hundert Kilometer südöstlich, in Karlsruhe, öffnet sich eine etwas versteckte Tür in der Tiefgarage des Internetunternehmens 1&1 in einen kleinen weißen Raum. Vorausgesetzt, man verfügt über eine geheime Nummer und eine spezielle Zugangskarte, die selbst ein Vorstand von 1&1 nur kurz bekommt. Nur etwa 40 Techniker haben dauerhaften Zutritt.

In dem kleinen Raum hinter der Tür gibt es eine Schleuse, gebildet aus zwei runden Glasscheiben. Sie öffnen sich nur nacheinander - und auch nur dann, wenn die Person, die sich zwischen ihnen befindet, das Gewicht hat, das der Anlage vorher einprogrammiert wurde. Weil hier immer nur ein Mensch durchpasst, heißt das System "Vereinzelungsanlage". Die Sicherheitstechnik zählt demnach stets genau, wie viele Menschen sich auf der anderen Seite der Glasscheibe befinden. Wenn die Bewegungsmelder auf der anderen Seite mehr oder weniger Menschen registrieren als am Eingang gezählt, geht ein Alarm los.

Wie es überhaupt auf der anderen Seite der Schleuse viele Gründe für einen Alarm gibt, sehr viele. Denn dort sind fast die Hälfte aller deutschsprachigen Webseiten und E-Mails gespeichert. Monatlich werden hier von Internetnutzern aus aller Welt 10.000 Terabyte Daten abgerufen, bearbeitet oder gespeichert, das entspricht circa 15 Millionen CDs. Jeder, der möchte, kann bei 1&1 Daten speichern lassen. Das geschieht zum Beispiel, wenn man eine E-Mail-Adresse bei GMX oder Web.de besitzt - zwei Internetportale, die zu 1&1 gehören. Alle Mails auf GMX und web.de sind auf Servern in den Räumen 07 und 09 in Karlsruhe gespeichert.

Ein Schrank ist leer - hier sollte die Vorratsdatenspeicherung rein

Rechenzentren wie dieses gibt es Tausende rund um die Welt. In ihnen sind die Inhalte des Netzes gespeichert: Videos, Webseiten, Nachrichten - alles. Und ihre Betreiber tun alles, um Ausfälle zu vermeiden. Eine Argon-Löschanlage würde bei 1&1 bei einem Brand schnell den Sauerstoff verdrängen, ohne die Server zu beschädigen. Eine Füllung für eine der 42 Gasflaschen kostet allein 50.000 Euro. Auf dem Dach des Rechenzentrums stehen fünf Dieselschiffsmotoren, von denen jeder mit 16 Zylindern und 50 Litern Hubraum Strom in Sekunden zur Verfügung stellen kann, falls das normale Netz ausfällt. Bis die Motoren laufen, springt eine Batterie ein, die minutenlang das gesamte Rechenzentrum mit Strom versorgen könnte.

Insgesamt gibt es elf Serverräume bei 1&1 und in jedem stehen 60 Racks, das sind Schränke, in denen bis zu 80 Server übereinandergestapelt werden. In den Servern stecken Festplatten, genau wie in einem privaten Computer. Nur ein Rack ist hier leer: In Raum 03 steht es, Beschriftung R03/C-S06. An den Schrank sind auch keine Kabel angeschlossen. Hier sollten Vorratsdaten für die Bundesregierung gespeichert werden, doch nachdem das Bundesverfassungsgericht das Gesetz gestoppt hat, ist in dem Schrank nichts drin.

Dafür blinken in Raum 03 zahlreiche andere Server aufgeregt, und ein etwas dickeres gelbes Kabel verschwindet in der Wand. Dies ist eines von vier Kabeln des Rechenzentrums. Sie zeigen alle in unterschiedliche Himmelsrichtungen, für den Fall, dass es auf einer Gebäudeseite ein Problem gibt. Das Ostkabel verbindet das Rechenzentrum mit dem deutschen Internetknoten De-Cix. Der liegt nicht weit von hier, in Frankfurt.

Der Daten-Kreisverkehr

Ein Haus aus Glas und schwarzem Stahl, am Ufer des Mains, vor dem Fenster schippern Containerschiffe. Arnold Nipper begrüßt mit festem Händedruck. Auf Anzeigentafeln flattern rote Zahlen, die anzeigen, wie viele Daten gerade durch den Netzknoten rauschen. Hier in Frankfurt laufen die wichtigsten europäischen Glasfaserleitungen zusammen, das liegt auch an der Lage, der Flughafen hier ist schließlich auch der größte.

Nipper, Kurzhaarschnitt, hohe Stirn, Kassenbrille, richtete 1989 die erste Internetverbindung der Uni Karlsruhe ein, später gründete er das, was zum Herzstück der weltweiten Internet-Infrastruktur wurde: De-Cix, den weltweit größten Internetknotenpunkt. Hier wechseln Daten aus mehr als 50 Ländern zwischen den einzelnen Netzwerken hin und her. Zuletzt gab es Hinweise, dass der US-Geheimdienst National Security Agency (NSA) am De-Cix Daten abgezapft haben könnte. "Ausländische Geheimdienste haben bei uns keinen Zugriff", sagt Nipper. Was ist mit inländischen wie dem Bundesnachrichtendienst? Nipper sagt nur: "Würden wir eine Anordnung nach dem G-10-Gesetz erhalten, wären wir zur Duldung verpflichtet. Nach dem G-10-Gesetz, Paragraf 17 und 18 dürfte ich aber hierzu keine Auskunft geben." Sonst drohen ihm bis zu zwei Jahre Haft.

Ist ein Blick ins Innerste des De-Cix-Knotenpunkts möglich? Dass die Netzwerktechnik im Frankfurter Osten, in einem Industriegebiet neben einem Fliesengeschäft und einem Motorradladen liegt, ist bekannt. Die Personenschleusen kann man von außen sehen, die Kameras, die Notstromaggregate. Aber keine Besichtigung, es wird gerade umgebaut, Bitte um Verständnis. Es ist eine von überraschend vielen angeblichen oder vielleicht auch echten Baustellen, die seit den Enthüllungen Snowdens an Deutschlands Internet-Infrastruktur aufgetaucht und die deshalb plötzlich nicht mehr zu besichtigen sind.

Jedes Internetunternehmen kann einen Cage mieten

Problemlos möglich ist dagegen ein Besuch bei Ams-Ix, dem niederländischen Pendant zum Frankfurter Netzknoten. Problemlos, solange man seinen Ausweis und eine Einladung in das Amsterdamer Industriegebiet mitgebracht und einen kleinen Hintergrundcheck überstanden hat, eine Begleitung des Betreibers kommt mit. Henk Steenman hat seinen Ausweis vergessen, und so bleibt er in dem mit Stacheldrahtzaun und Autosperren gesicherten Rechenzentrum am Rande Amsterdams erst mal draußen. Dabei ist Steenman der Technikchef, einer der Gründer des niederländischen Netzknotens und in diesem Rechenzentrum wohlbekannt. Doch Sicherheit geht vor.

Erst als der Schnurrbartträger seinen Ausweis geholt hat, darf er seinen Besucher zu seinen eigenen Serverschränken begleiten, die in diesem Rechenzentrum in einem gemieteten Raum, einem Cage ("Käfig") stehen. Jedes Internetunternehmen kann sich so einen Cage mieten und darin die Technik aufstellen, die es benötigt. Der Betreiber eines Rechenzentrums liefert dann den Strom, und kümmert sich um die teure Kühlung.

Im Cage von Am-Six, wo immerhin mehr als 600 Netzwerke miteinander verbunden sind, staunt man dann vor allem, dass es so wenig zu bestaunen gibt. Gelbe Glasfaserkabel verbinden gerade einmal sieben Serverschränke miteinander. Zwei davon enthalten Router, das sind spezielle Server, die Daten von einem Netz ins andere leiten. Beide laufen auf halber Last. Fällt einer aus, kann der andere Schrank dessen Aufgaben übernehmen, innerhalb von 100 Millisekunden.

Und hier laufen zu Spitzenzeiten 2,5 Terabit pro Sekunde durch, das sind 25 Prozent des niederländischen Datenverkehrs. Was man hier sieht, muss man sich ebenso wie De-Cix als eine Art Kreisverkehr vorstellen: Die verschiedenen Netze sind die Straßen, der Knoten ist der Kreis in der Mitte. Nun kommen die Daten angefahren, nehmen eine Einfahrt, einen Port, verlassen den Kreisverkehr über eine Ausfahrt und befinden sich plötzlich in einem neuen Netz - und ganz am Ende auf den Bildschirmen der Internetnutzer. All dies geschieht in Bruchteilen von Millisekunden.

Das Internet auf dem Luftweg

Nicht jede Übertragung aber läuft ausschließlich über Kabel. Das mobile Internet, also Surfen mit dem Smartphone, ist der größte Wachstumsmarkt im Netz. Ein kurzer Ausflug in den grünen Gürtel um München. Markt Schwaben: Wohnblöcke in Reihe, eine ranzige Kneipe am Bahnhof, gefühltes Ende der Welt. Doch der Empfang ist gut - dank MXL6D2B, einem Mobilfunkmast, der hier steht. Der etwa 80 Meter hohe Betonturm ragt in den Voralpenhimmel. Kameras überwachen die Umgebung, Verbotsschilder warnen. Vor Geheimdienstlern hat hier niemand Angst, vielmehr vor Mobilfunkgegnern mit Bolzenschneidern.

Unterhalb der Spitze des Mastes sind graue Balken zu sehen. Das sind Antennen, ein ganzes Dutzend. Sie gehören etwa der Telekom oder Vodafone. Jede deckt einen Bereich von 120 Grad ab, insgesamt 360 Grad. Jede Antenne kann bis zu acht Kilometer weit senden und empfangen. Mehrere Hundert Handys können sich gleichzeitig verbinden, mehrere Hundert Menschen können gleichzeitig surfen oder telefonieren. Damit sich Vodafone-Kunden nicht plötzlich bei der Telekom-Antenne einwählen, hat jedes Unternehmen in Deutschland seine eigenen Frequenzen. Wenn keine Vodafone-Signale empfangen werden, wäre womöglich voller Empfang bei der Telekom. Auf dem Handydisplay steht trotzdem: "Nur Notrufe möglich"- denn nur im Notfall darf der Vodafone-Kunde das Telekom-Netz nutzen.

Nicht alle Antennen sehen aus wie diese in Markt Schwaben, manche stehen auf Hausdächern, andere sind hinter U-Bahn-Reklamen versteckt oder in nachgebildeten Dachziegeln oder falschen Kaminen. Kunden wollen überall Netz, aber viele fürchten die Antennen, wegen der Strahlung. Handys dagegen suchen immer ein Netz, automatisch. Masten senden daher dauerhaft ein Signal an alle Handys: Hier bin ich, verbinde dich.

Per IMSI-Catcher lässt sich ein Handymast simulieren

Geheimdienste können diese Technik relativ einfach manipulieren. Mit geringem Aufwand lässt sich ein IMSI-Catcher bauen - ein Gerät, das so tut, als sei es ein Handymast. Wer es zum Beispiel in einem Auto versteckt, erreicht damit, dass sich alle Handys in der Nähe in den gefälschten Mast einwählen. Dort können dann Gespräche und Internetdaten abgegriffen werden, ehe sie über die Abhörstation ins normale Mobilfunknetz weitergeleitet werden. Der Nutzer merkt davon nichts.

Die Daten, die ein Handy anfordert oder sendet, machen sich am Mast auf ihre Reise. Egal ob diese in ein Rechenzentrum nach Hongkong oder Amsterdam führt, zunächst führt sie von Markt Schwaben aus nach München. In dünnen Glasfasern geht es vom Mast aus unter Straßen und Wiesen zu Hauptverteilern: containergroße graue Kästen, in Städten verteilt, im Inneren fließen die Daten zusammen. Die aus den Computern in den umliegenden Wohnhäusern, und die vom MXL6D2B in Markt Schwaben.

Je nachdem, um welche Daten es sich handelt, werden sie auf einen anderen Weg geschickt. O2-Daten beispielsweise werden in ein unscheinbares weißes Haus in der Münchner Innenstadt geleitet, wo O2 Datenpakete aus einem Umkreis von etwa 100 Kilometern sammelt. Von hier aus geht ihre Reise weiter. Das Haus sieht von außen aus wie ein Bürogebäude. Nur die Lüftungsrohre sind etwas groß geraten, sie blasen warme Luft auf den Münchner Asphalt. Es ist die Abluft eines so genannten Cores von Telefónica, dem Mutterkonzern von O2. Kein Klingelschild soll ungebetene Gäste anlocken. Kameras überwachen den Eingangsbereich. Das ganze Gebäude hat einen direkten Draht zur Telefónica-Zentrale. Im Notfall ist die Polizei innerhalb von fünf Minuten da. Ihr Auftrag: der Schutz des Internets.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1737792
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 03.08.2013/sks/kjan
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.