Mario Müller-Dofel: Herr Landefeld, wahrscheinlich durchqueren auch jede Menge Daten der Leserinnen und Leser von Tichys Einblick Ihre Internetknotenpunkte. Wie hoch ist das Sicher­heitslevel dort?
Klaus Landefeld: Unterschiedlich – von sicher bis hochsicher, je nach Geschäftsmodell der Betreiber. Die Rechenzentren werden von anderen Firmen zur Verfü­gung gestellt, DE­-CIX kümmert sich nur um die korrekte gegenseitige Verschaltung der Teilnehmerfirmen.

Und was macht DE­-CIX, um unsere Daten zu schützen?
Da ist zunächst der öffentliche Teil: Wir unterliegen dem Telekommunikations­gesetz, genau wie jeder andere Tele­kommunikationsanbieter. Als solcher müssen wir ein von der Bundesnetz­agentur geprüftes Sicherheitskonzept vorhalten; unseres ist 800 DIN­A4­-Sei­en dick. Darin geht es um mögliche Be­drohungen und darum, wie wir uns und unsere Kunden dagegen wappnen. Zu­ dem unterliegen wir der Sonderaufsicht des Bundesinnenministeriums, weil unsere Knotenpunkte zur sogenannten kritischen Infrastruktur gehören.

Gibt es auch nicht-öffentliche Teile?
Ja. Unabhängig von den genannten Datenschutzmaßnahmen haben wir alle möglichen Zertifizierungen, wie zum Beispiel ISO oder IT­-Grundschutz, um unseren Kunden den höchsten Sicherheitslevel zu bieten.

Kunden welcher Art?
Insbesondere jene, deren Geschäfts­modell es ist, hochsichere Kommunika­tion abzuwickeln. Es gibt sogar Zonen in manchen Rechenzentren, die nur we­nige ausgewählte DE-­CIX­-Mitarbeiter betreten dürfen. Da muss 100­-prozentig gesichert sein, dass niemand sonst zum Beispiel Kabel umstecken kann. Natür­lich erstrecken sich die Sicherheitsbe­stimmungen auch auf andere techni­sche Geräte, die wir nutzen.

Spätestens seit 2013, als herauskam, dass der US­-Geheimdienst NSA hierzulande digitale Spionage im großen Stil betreibt, ist Datenschutz in aller Munde. Der damalige Innenminister Hans-­Peter Friedrich hat gesagt, der Frankfurter Internetknoten würde nicht von US­-Geheimdiensten aus­gespäht – und DE­-CIX suggerierte Zustimmung. Mussten Sie gute Miene zum bösen Spiel machen?
Absolut nicht. Wir halten es nach wie vor für unrealistisch, dass sich ein frem­der Geheimdienst an unseren Internet­knoten zu schaffen machen könnte.

Weshalb sind Sie da so sicher?
Um das zu verstehen, muss man zwei Leitungsarten unterscheiden: erstens die Leitungen, die von den Teilneh­mern auf unseren Knoten zuführen, und zweitens die Leitungen, mit denen wir innerhalb unserer Knoten die Re­chenzentren und Switches vernetzen.

Sie haben Einfluss auf Letztere?
So ist es, also auf den inneren Bereich der Vernetzung. Was mit den dort vorhandenen Leitungen passiert, wissen wir genau. Und klar ist auch: Eine einzi­ge oder einige wenige Leitungen anzu­zapfen bringt nichts.

Wie meinen Sie das?
Den kaum vorstellbaren, theoretischen Fall angenommen, dass in unserem Internetknoten Kriminelle oder ein Ge­heimdienst Daten abzweigen würden: Die Ausbeute wäre marginal! Denn wer nur eine Leitung anzapft, bekommt auch nur einen minimalen Ausschnitt der Kommunikation zwischen zwei Teilnehmern mit. Es ist nicht einmal si­cher, ob auch nur eine einzige komplet­te Verbindung erfasst würde.

Wie viele Leitungen sind momentan im Frankfurter Knoten verschaltet?
Intern rund 1100. Und nach außen füh­ren rund 2000. Über diese vielen Lei­tungen verteilt sich die Kommunikati­on. Das heißt, jemand müsste sehr viele Verbindungen anzapfen, um eine sinn­volle Datenmenge abzuzweigen.

Abzweigen, anzapfen, abhören – wel­che Methode käme sonst infrage?
Spionage ließe sich etwa an Glasfaser­muffen praktizieren, die alle paar Ki­lometer in den Übertragungsstrecken existieren. Man brauchte geeignetes Werkzeug zum Öffnen der Muffe, Kla­motten wie das Wartungspersonal, einen Biegekoppler, um Licht aus der Glasfaser umzuleiten – und schon kann es losgehen. Wenn Glasfasern leicht ge­bogen werden, tritt ein Teil des Lichts aus, das die Daten transportiert. Dieses kann dann zu einem Speichersys­tem weitergeleitet und später im stillen Kämmerlein analysiert werden.

Nachts Kabel zu verbuddeln brauchen Lauscher also nicht mehr?
Nein, das gibt’s bestenfalls noch in al­ten Agentenfilmen und wäre nicht sinn­voll. Denn Abhörinstrumente brauchen Platz. Und für jede Leitung, die Sie ab­hören wollen, müssen Sie auch eine „Abschöpfleitung“ haben, die die Daten weiterleitet.

Das heißt, wer 1000 Leitungen anzapfen will, braucht …
… 1000 Leitungen, um die Daten zu entführen. Und es braucht Platz, um die Biegekoppler zu installieren. Dies unbeobachtet hinkriegen zu wollen, ist heute Humbug. Und wenn in DE-CIX-Knotenpunkten jemand Licht abschöpfen wollte, würden wir es sofort merken, weil wir genau wissen, welche Lichtmengen in unsere Kabel reingehen – und folglich am Ende wieder rauskommen müssen.

Welche Methode eignet sich für Datendiebe und Geheimdienste besser?
In der Praxis infiziert man die Kommunikationsmittel des Spionageziels, zum Beispiel dessen Computer am Arbeitsplatz oder sein Smartphone, direkt mit sogenannter Spy-Software.

Und wie gelangen die Daten von dort aus zum Spion?
Unauffällig über die Netzanbindung. Denn würde der Späher eine eigene Datenverbindung nach außen installieren, auf der quasi NSA oder CIA draufstünde, könnten selbst Laien dies über ihre Firewall bemerken.

Wie funktioniert die Netzanbindung?
Stellen wir uns einen Güterzug vor, der Daten in seinen Waggons geladen hat. Es sind aber selten alle Waggons voll. Also füllen Spione die „Waggons“ mit den Daten, die sie interessieren, auf. Oder sie hängen einen „Waggon“ dran, der den anderen ähnelt. Wer beobachtet schon, wie viele Daten er transferieren müsste, wenn er zum Beispiel einen Film streamt – und wie viele Daten es tatsächlich sind?

Aber die Daten des Spionageziels gehen doch erst mal zum Server des Zielunternehmens, im Fall eines Filmstreams beispielsweise YouTube, Netflix oder Amazon?
Richtig. Und jetzt wird es richtig spannend. Nun müssen die Spione nämlich nur noch gezielt die Leitungen der Empfängerunternehmen abhören, um an die Daten zu kommen – oder diese Daten auf dem Weg dorthin absaugen.

Und das ist Realität?
Das ist die Praxis. Nehmen wir mal das Karrierenetzwerk LinkedIn: Dieses wurde mal abgehört, obwohl die Datendiebe gar nicht an ihm interessiert waren, sondern an Daten eines anderen Unternehmens, das LinkedIn als Dienst verwendet hat. Beim IT-Konzern Cisco wurden auch schon Hintertüren der NSA gefunden, die Cisco – gesetzlich verordnet – bei seinen Switches einbauen musste. Und die hat der Geheimdienst dann ausgenutzt.

DE-CIX hat im September 2016 beim Bundesverwaltungsgericht Leipzig gegen die Bundesrepublik Deutschland Klage eingereicht, um die Rechtslage bezüglich der Befugnisse des BND prüfen zu lassen. Sind Sie inzwischen schlauer als vor einem Dreivierteljahr?
Die Bundesregierung hat sich mit ihrer Reaktion sehr lang Zeit gelassen. Inzwischen hat sie der Klage widersprochen. Dagegen müssen nun wieder wir vorgehen. Allzu schnell sollen wir offenbar nicht schlauer werden.

Welche Spähbefugnisse hat der BND in Ihren Internetknoten?
Es gibt gesetzlich gedeckte Anordnungen, die Telekommunikationsunternehmen wie DE-CIX zwingen, zu kooperieren, wenn der BND Internet- oder Telefonleitungen ausspioniert. Wir klagen dagegen, weil wir die BND-Befugnisse als zu weitreichend ansehen.

Vor einigen Wochen gingen Wikileaks-News durch die Medien, wonach
aus US-Konsulaten wie in Frankfurt Datenspionage betrieben würde. Rechtliche Konsequenzen sind nicht bekannt.
Hierzu fehlt mir Tatsachenkenntnis, sodass ich mich dazu nicht äußern kann. Die Rechtslage in Deutschland ist jedenfalls eindeutig. Allerdings haben die meisten Botschafts- und Konsulatsmitarbeiter anderer Länder Diplomatenstatus. Und Diplomaten werden nach Straftaten normalerweise bestenfalls des Landes verwiesen.

Wie sehen Sie das seit Januar 2017 gültige neue BND-Gesetz?
Wir sehen das neue BND-Gesetz kritisch und bezweifeln, dass es verfassungskonform ist. Es ist aber nicht Bestandteil unserer Klage gegen die Bundesregierung, weil es ja erst seit diesem Jahr gilt und die Anordnungen von einem Gremium gemacht werden, das sich gerade erst konstituiert.

Wer sitzt in diesem Gremium?
Zwei Richter des Bundesgerichtshofs und ein Vertreter der Generalbundes­ anwaltschaft.

Gut so?
Nein, das ist eher seltsam.

Warum?
Man muss sich nur vorstellen, dass neben den beiden bisher zuständigen Gremien – dem parlamentarischen Kon­trollgremium und der G-10­-Kommissi­on – jetzt noch eine weitere Kommission für die Überwachung der BND-­Anord­nungen zuständig wird, die eine neue Form der Überwachung genehmigen soll. Diese neue Form stellt alles bisher Dagewesene in den Schatten und hebelt alle anderen Formen der Genehmigun­gen aus. Entgegen der G-10-­Kommission und dem Kontrollgremium, welche vom Parlament eingesetzt werden und de­mokratisch legitimiert sind, wird dieses Gremium aber allein von der Regierung bestellt. Die Richter des BGH hatten bisher mit derartigen Genehmigungen nichts zu tun, durch den Vertreter der Generalbundesanwaltschaft wird zu­ dem die Gewaltenteilung verwischt.

Wer überwacht die Überwachung?
Mit dem neuen Gesetz ist die Anord­nungsbefugnis vom Innenministerium auf das Kanzleramt übergegangen.

Da wandert also die nächste Kompe-tenz von de Maizière zu Altmaier …
Personalien möchte ich nicht bewerten.

Dann noch einmal zum neuen BND- Gesetz. Wie bewerten Sie dieses?
Kritisch. Nur zwei Gründe dafür: Damit der BND Ausländer besser überwachen kann, darf er jetzt unter anderem auf inländische Leitungswege zugreifen und diese analysieren. Zwar ist es ihm untersagt, inländische Daten auszu­spähen, es ist aber nicht nachprüfbar, ob der BND diese Daten tatsächlich herausfiltert und wegwirft – denn die­se Filterung unterliegt keiner Kontrolle irgendeiner Stelle. Nach Meinung vieler Experten ist die Grundrechtsverletzung zudem bereits eingetreten, wenn der BND diese Daten bekommt. Und: Der BND darf im Ausland keine Europäer ausspionieren. Diese Verbote zu um­gehen ist aus unserer Sicht durch man­gelhafte Geheimdienstkontrollvorga­ben leichter geworden.

Sie haben 35 Jahre Datenschutzerfahrung. Trauen Sie dem Internet noch – zumal Sie ein Spähziel sein könnten?
Ich gehe davon aus, ein Überwachungs­ziel zu sein, und bin diese Unsicherheit gewohnt. Ein kleiner Vorteil gegenüber vielen anderen Menschen ist, dass ich mich etwas besser vor Überwachung schützen kann.

Nutzen Sie ein Smartphone?
Selbstverständlich. Ich lebe ja auf die­ser Welt.

Welche Marke?
Apple.

Ist Apple sicherer als andere?
Es ist völlig egal, welche Marke oder welches Betriebssystem wir nutzen. Alle herkömmlichen Smartphones sind ausspähbar. Leute wie ich analysieren allerdings mit sportlichem Ehrgeiz ihren Datenverkehr. Wir wissen aber auch: Wer beispielsweise ein Überwa­chungsziel der NSA ist, hat kaum Chan­cen, dies mitzubekommen.

Vor wem schützen Sie sich dann?
Vor Cyberkriminellen zum Beispiel, die von unbedarften Internetnutzern Daten und Geld ergaunern wollen. Bei mir können die mit ihren Phishing­-At­tacken nicht landen.

Was raten Sie Otto-Normalverbraucher, damit er seine Daten besser schützen kann?
Verschlüsselungen einsetzen, mög­lichst wenige private Daten im Internet preisgeben, unnötige Apps und Pro­gramme konsequent löschen und nicht jeden Trend mitmachen.

An welche Trends denken Sie?
Wir beliefern die Anbieter von zum Bei­spiel Smart-­Home­-Anwendungen mit unendlich vielen Daten. Die verdienen damit Geld. Und wir müssen damit rechnen, dass unsere Daten auch zu un­serem Nachteil verwendet werden.

Wir reden gern von Freiheit – und davon, wie das Internet diese befördert. Ist das wirklich so, wenn die Privatsphäre offenbar vor die Hunde geht?
Eigentlich könnten wir mit dem Internet unsere Freiheit erhöhen – wenn die Gesellschaft medienkompetent wäre.

Ist sie aber nicht?
Die meisten Menschen konsumieren moderne Kommunikationsmittel nur noch, ohne darüber nachzudenken, welche Folgen dies haben könnte. Wenn es so weitergeht, werden wir bald die negativen Seiten von mehr Konsum, mehr Beeinflussung und mehr Überwa­chung zu spüren bekommen. Das liefe dann eher auf Gefangenschaft als auf Freiheit hinaus. Es ist schlimm, dass nicht mal die Schulen geeignete Konzepte haben, um Medien­ und Kommunikationskompetenz zu vermitteln.

Will der Staat überhaupt, dass wir kompetenter werden?
Den Staat gibt es nicht. Allein schon die verschiedenen Ministerien: Eines fördert die Datenverschlüsselung – und ein anderes versucht, Verschlüsselun­gen zu knacken. Das ist schizophren. Oder die Politik redet von mehr Daten­schutz, wünscht aber auch mehr digi­tale Geschäftsmodelle, was wiederum nur mit weniger Schutz funktioniert.

Schließlich soll Deutschland auch irgendwann einmal ein Unternehmen wie Google oder Facebook gebären.
Mit Blick auf diese Unternehmen wird ja oft kolportiert, dass in Deutschland der Gründergeist zu schwach und die Bürokratie zu stark ausgeprägt seien. Ich halte diese Argumente für Quatsch. Die US-­Internetkonzerne sind heu­te führend, weil es ihnen erlaubt war, Geschäftsmodelle auf Basis des hem­mungslosen Sammelns und Auswer­tens von Daten umzusetzen, die hier und in den meisten anderen europäischen Ländern bislang unmöglich sind.

Bislang?
Ich fürchte, die Nutzer in Deutschland sind nicht kritisch genug, um die Datensammelwut zu verhindern. Ein winziger, gefühlter Nutzen, und zack – persönlichste Daten werden zur Nutzung frei­ gegeben. Dazu kommt, dass wir uns in der EU arrangieren müssen. Das heißt, dass wir Ländern, die weit weniger Datenschutz praktizieren wollen als wir, nachgeben werden. Und wenn sich in ein paar Jahren die Digitalisierung in Form von Assistenzsystemen in Autos, Büros und Haushalten durchsetzt, lässt sich das Rad kaum noch zurückdrehen.

Dieses Interview ist in ‚Tichys Einblick‘ Ausgabe 07/2017 erschienen >>