Niemand ist mehr überrascht, wenn mal wieder gemeldet wird, dass die US-Geheimdienste auch bei Freunden und Partnern spionieren. Seit den Informationen aus den von Snowden geleakten NSA-Dokumenten lösen entsprechende neue Nachrichten meist nicht mehr als ein Schulterzucken aus. Man hat sich daran gewöhnt.
Trotzdem lohnt es sich, mal einen intensiveren Blick auf den NetBotz-Fall zu werfen. Zum einen verrät dieser einige Details darüber, wie seitens der US-Geheimdienste vorgegangen wird. Andererseits – und das ist tatsächlich erschreckend – wie der BND, also unser eigener Geheimdienst, die US-Kollegen gewähren ließ.
Spionierende Sicherheitstechnik
Grundsätzlich ist der Fall NetBotz nicht so überraschend: Ein US-Unternehmen bietet Sicherheitstechnik für Rechenzentren an. Darunter zumindest einzelne Komponenten, die irgendwelche Daten an eine IP-Adresse schicken, die zu einem US-Militärserver gehört. Nein? Doch! Ohh.
Dass es sich bei der Technik von NetBotz eben genau um Geräte handelt, die für Hochsicherheitsbereiche vorgesehen ist, also die komplette Überwachung per Kamera, Mikrofon und Temperatursensoren zu den Aufgaben gehört, macht die Sache schon etwas interessanter – vor allem für die US-Geheimdienste, wie es scheint. Und man hatte bei NetBotz ein großes Interesse daran, deutsche Unternehmen und Behörden als Kunden zu gewinnen, die Geräte sollen dazu teilweise mit Verlust verkauft worden sein – Hauptsache sie stehen in den entsprechenden Rechenzentren. Übrigens wurden solche Verkaufsaktionen auch beim BND registriert, aber das haben die Kollegen dort mal für sich behalten.
Der BND genießt(?) und schweigt
So wie sie auch ihre Erkenntnis für sich behalten haben, dass die Geräte „nach Hause telefonieren“ und dieses „nach Hause“ eben ein US-Militärserver ist. Dies wurde 2005 beim BND entdeckt, aber man hat es dann doch lieber für sich behalten. Weder wurden andere Behörden informiert, noch die Spionageabwehr und erst recht nicht die Unternehmen, die entsprechendes Equipment bei sich rumstehen hatten.
Und die Kundenliste von NetBotz ist durchaus interessant: VW und Daimler gehören ebenso dazu wie Zulieferer von Militärtechnik, Deutsche Bank, Telekom, Siemens, Avira, Verwaltungen oder auch das Bayerische Landeskriminalamt. Teilweise sind diese Geräte dort heute noch im Einsatz. Obwohl der BND seit über 10 Jahren weiß, dass hier zumindest ein stark begründeter Verdacht besteht, dass diese Geräte für die Spionage durch einen ausländischen Geheimdienst genutzt werden.
Warum? Man hatte wohl Angst vor Komplikationen. Wer weiß, wie die US-Kollegen reagiert hätten, wenn der BND getan hätte, was sein Job gewesen wäre. Am Ende hätten die US-Geheimdienste ihre Erkenntnisse zum Beispiel im Bereich des Terrorismus dann für sich behalten. Das ist eine Abwägung, deren Motivation ich persönlich zwar durchaus nachvollziehen kann, aber die meiner Meinung nach gar nicht zu machen war. Schließlich ist der Auftrag des BND recht klar und der BND ist nun mal der Auslandsgeheimdienst Deutschlands und nicht der USA. Wenn nun der Verdacht im Raum steht, dass ein fremder Geheimdienst bei deutschen Firmen und Behörden spioniert, dann kann man das nicht ignorieren. Auch nicht aus Angst, dass dieser fremde Geheimdienst einen in Zukunft vielleicht nicht mehr lieb hat.
Ermitteln? Och nö…
Da passt es irgendwie auch ins Bild, dass der Generalbundesanwalt bislang keiner Ermittlungen aufnehmen wollte, weil die Sache doch verjährt sei. Nun, zumindest nach dem Fakt-Bericht passt das nach Ansicht von Nikolaos Gazeas nicht mehr so ganz. Würde der Generalbundesanwalt weiter nichts tun, dann grenze dies an Strafvereitelung im Amt.
Übrigens gehört NetBotz inzwischen dem französischen Unternehmen Schneider Electric. Zwar wäre das US-Unternehmen 2007 wohl gerne von einem deutschen Unternehmen gekauft, aber das französische Unternehmen war wohl auch okay. Bei Schneider Electric kann man die Vorwürfe um Spionage-Hintertüren in den NetBotz-Produkten nicht nachvollziehen – so sagt man nach einer internen Prüfung. Die französische Regierung wollte sich auch nicht weiter äußern, dort unterliege die Sache „der höchsten nationalen Geheimhaltungsstufe“.
Apropos Sicherheit
Vielleicht nur eine kleine Randnotiz, aber wenn Michael Horn vom CCC im Beitrag erklärt, dass Geräte wie die von NetBotz in sensiblen Teilen des Netzwerkes sitzen, diese aber „üblicherweise nur gegen den Zugriff von außen gesichert“ seien, dann muss man auch mal die Frage stellen, ob die für die IT-Sicherheit zuständigen Mitarbeiter „üblicherweise nicht weit genug denken“?