Deutscher Bundestag – 18. Wahlperiode
c)
– 1511 –
Drucksache 18/12850
G 10-Filter-Desaster
Das Filter-Problem zieht sich wie ein roter Faden durch die Operation EIKONAL und soll schlussendlich
auch zu deren Abbruch geführt haben. Bei Beginn der Operation existierte gar kein Filter, um die erfasste
Telekommunikation um solche von Deutschen bzw. aus oder nach Deutschland – sog. G 10-geschützte Verkehre – zu bereinigen. Das bedeutet, der BND begann eine Kooperation, bei der der NSA Daten aus einem
deutschen Netzknoten versprochen worden waren, in denen unweigerlich Kommunikation von Deutschen
enthalten sein würde – ohne eine Filtermöglichkeit. Eine unter diesen Umständen begonnene Operation
nimmt Grundrechtsverletzungen billigend in Kauf. Selbst ein offenbar in der Anfangsphase schließlich vorhandener Filter für leitungsvermittelte Verkehre soll nur zu 95 Prozent funktioniert haben.8171 Das bedeutet
bei Hundert erfassten Kommunikationen „rutschen“ im Durchschnitt fünf durch. Angesichts der potentiellen
Masse erfasster Telekommunikation, sind dies nicht tolerierbare Grundrechtsverstöße.8172
Für Internetverkehre (IP) ist die Filterung hochkompliziert. Anfangs- und Endpunkt einer Kommunikation
lassen sich hierbei nicht bestimmen wie bei einer „normalen“ leitungsvermittelten Telefonverbindung. Dies
war dem BND auch bekannt.
Der als erste Filterstufe für die Erfassung von IP-Verkehren vom BND entwickelte „Separator“ war jedoch
schon vom Ansatz her unvollkommen. „Operationelle Schwachstellen“, die die „G 10-Konformität gefährden“ können, bescheinigte auch das BSI bei seiner „Zertifizierung“ im Oktober 2005.8173 Das mit dem Separator verfolgte Konzept, anhand von IP-Adressbereichen Kommunikation aus oder nach Deutschland erkennen zu wollen, kann immer nur grob sei. Eine erhebliche Unschärfe besteht aufgrund dynamischer IP-Adressen bzw. häufig zwischen TK-Anbietern wechselnden IP-Blöcken, die heute vielleicht Russland oder dem
Iran, morgen jedoch wegen vielfacher Untervermietung von IP-Bereichen einem deutschen Provider zugeteilt
sind. Auch weitere Filterstufen, die den Verkehr anhand der Top-Level-Domain .de bei E-Mails oder der
deutschen Telefonvorwahl 0049 unterscheiden sollten, genügten einem umfassenden G 10-Schutz nicht. Weder eine E-Mail-Adresse noch eine Telefonnummer lassen überhaupt hinreichenden Rückschluss auf die Nationalität der beteiligten Telekommunikationsteilnehmer_innen oder deren Aufenthaltsort zu.8174 Soweit nach
dieser „Filterung“ fälschlicherweise Telekommunikationsverkehre von Deutschen oder mit Deutschandbezug als vermeintliche Auslandsverkehre qualifiziert wurden, sind diese unmittelbar in der weiteren Prozesskette der Operation EIKONAL unter Beteiligung der NSA verarbeitet worden. Fehler sollten in der Anfangsphase der Operation durch eine händische Prüfung durch BND-Mitarbeiter_innen bereinigt werden. Dies ist
weder schlüssig noch angesichts der Datenmengen nachvollziehbar, schon gar nicht bei Verkehrsdaten oder
Metadaten, die ohne den Einsatz von Selektoren oder Suchbegriffen stets komplett und daher massenhaft aus
den ausgewählten Strecken erfasst wurden.
Daten aus leitungsvermittelter Kommunikation aus dem Frankfurter Netzknoten wurden nach Angaben von
BND-Zeug_innen ab Frühjahr 2005 nur noch automatisiert gefiltert und ohne manuelle Nachkontrolle an die
8171)
8172)
8173)
8174)
Süddeutsche Zeitung vom 4. Oktober 2014, „Codewort Eikonal“ „, http://www.sueddeutsche.de/politik/geheimdienste-codeworteikonal-der-albtraum-der-bundesregierung-1.2157432..
Dass wir der Auffassung sind, dass Artikel 10 GG auch Ausländer_innen im Ausland schützt, soll hier zunächst unberücksichtigt
bleiben; siehe dazu ausführlich in Kapitel V.3.b)bb) – Fernmeldegeheimnis als verfassungsrechtlicher Maßstab.
Siehe hierzu unter V.5 – EIKONAL: Unzulängliche BSI-Prüfung.
Siehe hierzu auch Kapitel V.7. – Ungelöste Filterproblematik.