NSA Methoden 30.12.2013

Die NSA hat eine geheime Abteilung, die Spezialausrüstung herstellt: Spähsoftware für Rechner und Handys, Mobilfunk-Horchposten, manipulierte USB-Stecker und unsichtbare Wanzen. Hier sehen Sie Auszüge aus dem hausinternen Bestellkatalog der Abteilung ANT - Preise inklusive.

Wenn die NSA-Abteilung Tailored Access Operations (maßgeschneiderte Operationen, kurz TAO) ein Netzwerk oder einen Rechner infiltrieren möchte, wendet sie sich an ihre Technikspezialisten. Die entsprechende Einheit des US-Geheimdienstes wird hausintern ANT genannt. Vermutlich stehen die Buchstaben für Advanced Network Technology, denn was ANT herstellt, sind Angriffswaffen zur Penetration von Netzwerkausrüstung, zur Überwachung von Handys und Computern.

ANT-Produkte helfen den NSA-Mitarbeitern dabei, überall dort einzudringen, Daten auszuleiten oder sie gar zu verändern, wo die herkömmlichen Methoden der NSA nicht ausreichen. Mehr über die Abteilung TAO, ihre Stärken und ihre Tricks lesen Sie in der aktuellen Ausgabe des SPIEGEL .

Dem SPIEGEL liegt auch ein NSA-interner Katalog vor, in dem Ausrüstung der TAO-Abteilung ANT feilgeboten wird, Preise inklusive. Ein manipuliertes Monitorkabel etwa, dass es "TAO-Personal erlaubt zu sehen, was auf dem anvisierten Monitor angezeigt wird", gibt es demnach für 30 Dollar, eine "aktive GSM Basisstation", die es erlaubt, sich als Handy-Funkmast auszugeben, um so Mobiltelefone zu überwachen, für 40.000 Dollar. Eine als normaler USB-Stecker getarnte Computerwanze, die unbemerkt über eine Funkverbindung Daten senden und empfangen kann, kostet im Fünfzigerpack über eine Million Dollar.

Solche Geräte benutzen übrigens nicht nur Geheimdienste - kürzlich etwa wurde ein Fall von Hightech- Drogenschmuggel im Hafen von Antwerpen bekannt, bei dem ebenfalls derart modifizierte USB-Stecker eine Rolle spielten .

EU-Niederlassungen, Staatschefs, Telekommunikationskonzerne

Das ANT-Arsenal wird keineswegs nur zur Verfolgung von Terrorverdächtigen eingesetzt, wie mittlerweile bekannt ist. Mit GSM-Basisstationen etwa lassen sich Handys überwachen, auch solche von Staat- und Regierungschefs wie Bundeskanzlerin Angela Merkel . Mit Radarsystemen wie Dropmire wurden auch Verbündete ausgeforscht, etwa die EU-Vertretung in Washington . Auch Hardware-"Implantate", wie sie im ANT-Katalog zu finden sind, kamen dort offenbar zum Einsatz, etwa um ein Gerät für verschlüsselte Faxe anzuzapfen.

NSA-Schadsoftware wird auch gegen internationale Telekommunikationsunternehmen eingesetzt, etwa den halbstaatlichen belgischen Konzern Belgacom ( SPIEGEL 46/2013 ) und Mobilfunk-Abrechnungshäuser wie Mach . In einem NSA-internen Dokument aus dem Jahr 2004 heißt es über eine Spähsoftware namens "Validator", sie richte "eine einzigartige Hintertür auf den Personalcomputern von Zielpersonen von nationalem Interesse" ein, und zwar "einschließlich terroristischer Zielpersonen, aber nicht beschränkt auf diese".

In unserer Grafik können Sie knapp 50 Seiten aus dem ANT-Katalog durchblättern - sortiert nach dem potentiellen Einsatzort und um Namen und E-Mail-Adressen von Mitarbeitern bereinigt. Es gibt "Implantate", wie die NSA das nennt, für Rechner, Server, Router und Hardware-Firewalls, Spezialausrüstung zum heimlichen Mitlesen auf dem Monitor einer Zielperson und Wanzen, die zwar lauschen, aber nicht funken - ihre Signale werden mit Radarwellen ausgelesen. Viele sind dafür gemacht, die technische Infrastruktur von Telekommunikationskonzernen zu unterwandern, um sie unbemerkt für NSA-Zwecke zu missbrauchen, oder um Unternehmensnetze anzuzapfen.

Auch Spähsoftware für Handys war schon 2008 im Angebot. Der Trojaner für den Vollzugriff auf das damals noch neue iPhone befand sich da noch in der Entwicklung, seine Spezifikationen aber sind im Katalog nachzulesen.

"Implantate" für viele große Firmen

Die Zusammenstellung ist nicht aktuell: Viele der angebotenen Softwarelösungen stammen aus dem Jahr 2008, manche betreffen Server-Systeme oder Handys, die heute nicht mehr verkauft werden. Die Zusammenstellung, die dem SPIEGEL vorliegt, dürfte auch bei weitem nicht vollständig sein. Dennoch gibt sie einen guten Eindruck von den Möglichkeiten, die die NSA schon vor Jahren hatte - und von der Schrankenlosigkeit ihrer Ambitionen. Zudem ist davon auszugehen, dass die Hacker der Abteilung ANT ihr Arsenal permanent weiterentwickeln. Oft sind weitere Systeme aufgeführt, die "bald unterstützt" würden.

Betroffen sind auch Produkte namhafter US-Hersteller sowie Router und Hardware-Firewalls für den professionellen Gebrauch, die etwa von Internet- und Mobilfunkbetreibern eingesetzt werden. ANT hat laut diesem Katalog Schadsoftware- und Hardware-Einbauten für Rechner von Cisco, Dell, Juniper, Hewlett- Packard (HP) und dem chinesischen Konzern Huawei im Angebot.

Aus den Unterlagen ergibt sich nicht, dass die erwähnten Unternehmen die NSA unterstützt hätten oder überhaupt Kenntnis von den Überwachungslösungen hatten. "Cisco arbeitet mit keiner Regierung zusammen, um eigene Produkte zu verändern oder sogenannte Sicherheitshintertüren in unseren Produkten zu installieren", heißt es in einer Stellungnahme des Konzerns, in einem Eintrag im hauseigenen Blog kommentiert die Firma bereits die erste Veröffentlichung des SPIEGEL: Man sei sehr besorgt über alles, was die Integrität der eigenen Produkte gefährden könnte.

HP schrieb, dem Unternehmen seien diese Sachverhalte nicht bekannt und man glaube auch nicht, dass sie stimmten. Die Firma selbst entwickle wissentlich keine Produkte, die Sicherheitslücken enthalten. Bei Juniper Networks und Huawei hieß es, man wisse ebenfalls nichts von derlei Modifizierungen. Dell beteuerte generell, sich an die Gesetze aller Länder zu halten, in denen die Firma tätig sei.

TAO-Implantate in aller Welt sind maßgeblich daran beteiligt, dass der US-Geheimdienst ein globales Schattennetzwerk errichten konnte, das zum Teil aus NSA-eigener Hardware, zum Teil aber auch aus zweckentfremdeten Computern besteht.

Pakete auf dem Postweg geöffnet, Rechner manipuliert

Oft versuchen die ANT-Entwickler, ihren Schadcode im sogenannten Bios zu platzieren, einer Software, die direkt auf der Hauptplatine eines Rechners sitzt und beim Einschalten als erstes geladen wird. Selbst wenn die Festplatte gelöscht und ein neues Betriebssystem aufgespielt wird, funktionieren die ANT-Schadprogramme weiterhin und können dafür sorgen, dass später erneut Späh- und Schnüffelsoftware nachgeladen wird.

Neben dem Bios von Rechnern und Servern attackieren die Staatshacker auch die Firmware von Festplatten, gewissermaßen die Software, die die Hardware erst zum Laufen bringt. Im Angebot ist etwa ein Spähprogramm, das sich so unbemerkt auf Festplatten von Western Digital, Seagate und Samsung einnisten kann - auch die beiden erstgenannten Unternehmen stammen aus den USA. Auf Nachfrage gibt Western Digital an, nichts von dieser Einnistung durch die Regierung zu wissen, geschweige denn, ihr dabei geholfen zu haben. Von anderen Firmen liegen bislang keine Stellungnahmen vor. Viele der digitalen Angriffswaffen lassen sich per Fernzugriff installieren, also über das Internet. Andere erfordern einen direkten Eingriff, Interdiction heißt das im NSA-Jargon. Das bedeutet, dass ausgelieferte, nagelneue Produkte auf dem Postweg heimlich abgefangen werden, um Hard- oder Software-Implantate einzusetzen. Erst dann wird das Paket an seinen eigentlichen Bestimmungsort weitergeleitet.

Windows-Fehlermeldungen als potentielle Informationsquelle

Wie kreativ die Truppe vorgeht, zeigt sich zum Beispiel auch bei einer Methode, die auf die Fehleranfälligkeit des Microsoft-Betriebssystems Windows setzt. Wohl jeder Windows-Nutzer hat das Standardfensterchen schon einmal gesehen, das den Kunden auffordert, mit einem Klick einen Problembericht an Microsoft zu senden. Diese Berichte würden "vertraulich und anonym" behandelt, versichert das Fenster.

Für die TAO-Spezialisten sind oder waren die Fehlerberichte laut interner Dokumente eine potentielle Informationsquelle. Haben sie einen ans Internet angeschlossenen Computer irgendwo auf der Welt einmal zum Ausspähziel erklärt, können sie dafür sorgen, dass sie benachrichtigt werden, sobald der überwachte Benutzer einen solchen Fehlerbericht abschickt.

Ausschnitt des Dokuments:

Abbildung einer klassischen Fehlermeldung

Die automatisierten Crash-Meldungen seien eine "hübsche Methode", um sich "passiven Zugriff" auf eine "anvisierte Maschine zu verschaffen", heißt es in einem NSA-Dokument. Mit passivem Zugriff ist hier gemeint, dass nur die Daten, die von diesem Rechner aus ins Internet wandern, erfasst und mitgeschnitten und noch keine aktiven Veränderungen auf dem Rechner selbst durchgeführt werden. Doch auch dazu bieten die Fehlermeldungen wertvolle Informationen. Etwa darüber, welche Sicherheitslücken des entsprechenden Rechners sich möglicherweise ausnutzen lassen, um dem Nutzer Schadsoftware unterzujubeln.

Geänderte Grafik:

Der Originaltext wurde durch einen gemeinen Spruch ersetzt

Obwohl die Methode in der Praxis kaum Bedeutung haben soll, haben die Agenten offenbar ihren Spaß daran: In einer internen Grafik heißt es im Fenster statt des Originaltextes von Windows hämisch: "Diese Meldung kann von einem ausländischen Sigint-System abgefangen werden, um Ihren Computer besser anzuzapfen." Die Abteilung TAO sei ein einzigartiges Instrument der USA, heißt es in einer Stellungnahme der NSA. Sie versetze den Dienst in die Lage, "die Nation und ihre Verbündeten an vorderster Front zu verteidigen. Sie konzentriert sich dabei auf die Informationsbeschaffung im Ausland durch die Ausbeutung von Computernetzen". Zu Einzelheiten über die Aufgaben der TAO äußere sich die NSA nicht.

Eine Spur der Hacker führt auch nach Deutschland: Ausweislich eines Papiers aus dem Jahr 2010, das die "wichtigsten TAO-Kontaktstellen" im In- und Ausland mit Namen, E-Mail-Adressen und "sicheren Telefonnummern" auflistet, gab es eine solche TAO-Liaisonstelle dem Dokument zufolge auch in Darmstadt - im "European Security Operations Center" (ESOC) des Dagger-Complexes in Griesheim .

Zum Arsenal der NSA gehört eine Methode, mit der sich nahezu jeder Rechner unbemerkt mit Späh- Software bestücken lässt. Streng geheime Dokumente zeigen, wie das System genau funktioniert.

Eines der mächtigsten Werkzeuge der NSA nennt der Geheimdienst selbst "Quantumtheory". Es bietet offenbar diverse Möglichkeiten: vom Übernehmen von Botnetzen (Quantumbot) bis hin zur Manipulation von Software Up- und Downloads (Quantumcopper). Mit einer Methode namens Quantum Insert können Spezialisten der NSA-Abteilung Tailored Access Operations (TAO) fast nach Belieben Rechner von Zielpersonen mit Schadsoftware verseuchen. Ist so eine Hintertür erst einmal etabliert, lassen sich weitere Software-Komponenten nachladen, die ganz nach Bedarf bestimmte Informationen an das sogenannte Remote Operations Center (ROC) der NSA weiterleiten.

Das können Auskünfte über das Netzwerk sein, in dem sich der gehackte Rechner befindet, aber auch Dateien von der Festplatte oder heimlich angefertigte Bildschirmfotos, die verlässlich zeigen, was der ahnungslose Benutzer gerade auf seinem Monitor sieht. "Präsenzpunkt" nennt die NSA es, wenn sie einen Rechner auf diese Weise in ihre Gewalt gebracht hat. Einem Bericht der " Washington Post " zufolge verfügte die NSA 2013 über mindestens 85.000 solcher "Präsenzpunkte", teils auf Desktop-Rechnern von Einzelpersonen, teils aber auch verborgen in der Netzwerk-Hardware von Unternehmen, Internet- und Mobilfunkanbietern.

Spam war gestern

Früher war es für die NSA noch vergleichsweise mühsam, sich Vollzugriff auf den Computer einer Zielperson zu verschaffen. Sie griff dazu auf eine Methode zurück, die auch Cyberkriminelle und Staatshacker aus anderen Ländern einsetzen: Sie verschickten Spam-E-Mails mit Links, die auf virenverseuchte Webseiten führten. Kennt man die Sicherheitslücken eines Browsers - besonders populär ist bei den NSA-Hackern Microsofts Internet Explorer - kann man allein mit dem Aufrufen einer entsprechend präparierten Internetseite Schad- und Spähsoftware auf einem Rechner einschleusen. Doch die Spam-Methode hatte einen entscheidenden Nachteil: Sie funktionierte viel zu selten.

Hier kommt die vergleichsweise neue Methode namens Quantum ins Spiel: "Bestimmte Quantum-Missionen haben eine Erfolgsquote von bis zu 80 Prozent, während Spam bei weniger als einem Prozent liegt", heißt es in einer NSA-internen Präsentation, die der SPIEGEL einsehen konnte.

Die Quantum-Methode beruht auf der Tatsache, dass die NSA neben dem eigentlichen Internet ein zweites, ein Schattennetz betreibt. Es dient einerseits dazu, möglichst viel von dem zu überwachen, was im Internet geschieht ("passive collection"), und andererseits als Angriffswaffe (Computer Network Exploitation, CNE; Computer Network Operations, CNO).

Eine Quantum-Attacke funktioniert, grob erklärt, folgendermaßen: Zunächst wird der Internet-Traffic an den Punkten, an denen die NSA oder befreundete Dienste darauf Zugriff haben, nach digitalen Lebenszeichen der Zielperson durchkämmt. Das kann eine bestimmte E-Mail-Adresse sein oder etwa ein Webseiten-Cookie. Besonders gern benutzen die US-Spione einer internen Präsentation zufolge einen Cookie der Firma Yahoo. Cookies sind kleine Textdateien, die Webseiten auf den Rechnern ihrer Besucher ablegen, um sie beim nächsten Besuch wiederzuerkennen.

Yahoo, Facebook, Gmail, Hotmail, YouTube etc.

Wenn der gewünschte Marker in einer gigantischen Datenbank namens Marina erst einmal gefunden ist, kann sich der interessierte NSA-Analyst von dort aus weiterhangeln: Er kann weitere E-Mail-Adressen oder andere Cookies desselben Nutzers suchen, etwa den von Facebook oder Microsofts Hotmail-Dienst. Je mehr potentielle Warn-Marker der Analyst für die Zielperson findet, desto besser seine Chancen. Dann wird der Befehl zur "Exploitation" des betreffenden Rechners gegeben.

Die "größten Erfolge", heißt es in einer geheimen Präsentation zum Thema (siehe Fotostrecke ), erziele die NSA mit "Yahoo, Facebook und statischen IP-Adressen". Zu den für Quantum nutzbaren "Reichen" ("realms"), wie die NSA das nennt, gehören aber auch Microsofts Mail-Dienst Hotmail, das Business-Netzwerk LinkedIn, YouTube und Twitter. Weitere "Reiche" können der Präsentation zufolge die Kollegen vom britischen GCHQ beisteuern, etwa Googles E-Mail-Dienst Gmail, AOL und den E-Mail-Dienst des russischen Suchmaschinenbetreibers Yandex (siehe Fotostrecke ).

Ist es einmal beauftragt, arbeitet das Quantum-System praktisch automatisch: Taucht irgendwo in einem Datenpaket, das durch die von der NSA überwachten Kabel und Router fließt, die betreffende E-Mail-Adresse, der betreffende Cookie auf, dann schlägt das System blitzschnell Alarm (siehe Fotostrecke ). Es ermittelt, welche Website die Zielperson gerade aufrufen möchte und aktiviert dann einen sogenannten Foxacid-Server. Der versucht, sich zwischen den Rechner der Zielperson und die von ihr tatsächlich angeforderte Website zu schieben. Statt der eigentlich angeforderten Yahoo-Seite ruft der Browser unbemerkt eine weitere Adresse auf, die von einem NSA-Server stammt. Sie transportiert Schadsoftware, die bereits perfekt auf die Sicherheitslücken im Rechner der Zielperson abgestimmt ist - ohne dass diese davon etwas mitbekommt. Das Opfer sieht nur die normal wirkende Yahoo-Seite.

Schadsoftware nachladen und Webcam einschalten

Statt zahllose Spam-E-Mails zu verschicken, muss die NSA nun also nur noch warten, bis die Zielperson eine von einer ganzen Reihe bestimmter Webseiten aufrufen will. Blitzschnell und unbemerkt wird dem Nutzer dann eine Spähsoftware untergejubelt - sein Rechner ist infiziert, auch er gilt der NSA fortan als "Präsenzpunkt".

Bis vor kurzem kam dazu bevorzugt eine Software namens Validator zum Einsatz. Schon in einem streng geheimen NSA-Papier aus dem Jahr 2004 heißt es, Validator richte "eine einzigartige Hintertür auf den Personal Computern von Zielpersonen von nationalem Interesse" ein, und zwar "einschließlich terroristischer Zielpersonen, aber nicht beschränkt auf diese".

Validator ist aber nur die erste Hintertür, die NSA-Hacker auf den Rechnern ihrer Opfer installieren. Die Schadsoftware ist dazu entwickelt, weitere Programme nachzuladen, etwa den Trojaner "Olympus", der den Angreifern dann weitergehende Zugriffsmöglichkeiten auf den Rechner der Zielperson bietet, ganz nach Wunsch. Wer sich einmal derartigen Zugang zu einem Computer verschafft hat, kann mit dem infiltrierten Gerät nach Belieben verfahren: Dateien manipulieren, das umliegende Netzwerk auskundschaften, die Webcam einschalten oder mit permanenten Screenshots mitverfolgen, was der Ausgespähte gerade auf seinem Rechner tut. Tatsächlich sind mittlerweile zahlreiche Fälle bekannt, in denen sich die NSA und das britische GCHQ mit der Quantum-Insert-Methode Zugriff auf fremde Rechner verschafften, die keineswegs Terroristen gehörten. GCHQ-Hacker etwa attackierten damit den halbstaatlichen belgischen Telekommunikationskonzern Belgacom und Mobilfunk-Abrechnungshäuser wie Mach. Auch die Organisation erdölexportierender Länder Opec wurde mit der Quantum-Methode angezapft ( SPIEGEL 46/2013 ). Zu den Zielen der TAO-Hacker gehört das Konsortium, das das Unterseekabel Sea-Me-We 4 betreibt, ein Kabelsystem, das Internetverbindungen von Frankreich über Nordafrika, den Persischen Golf und Indien bis nach Singapur und Malaysia herstellt. Mehr zu diesem Fall lesen Sie in der aktuellen Ausgabe des SPIEGEL .

Die Abteilung TAO sei ein einzigartiges Instrument der USA, heißt es in einer Stellungnahme der NSA. Sie versetze den Dienst in die Lage, "die Nation und ihre Verbündeten an vorderster Front zu verteidigen. Sie konzentriert sich dabei auf die Informationsbeschaffung im Ausland durch die Ausbeutung von Computernetzen". Zu Einzelheiten über die Aufgaben der TAO äußere sich die NSA nicht.

Zur Quantum-Familie gehört auch QFIRE. Das ist ein im Jahr 2011 ausgearbeitetes Pilotprojekt der NSA, um eine weltweite Struktur zum aktiven Angreifen von Internetverbindungen zu schaffen. Das System soll der NSA erlauben, Internetverbindungen zu unterbrechen und umzuleiten sowie die Kontrolle über Botnetze zu übernehmen.

Startfolie einer Präsentation über das Texas Cryptologic Center der NSA, in dem auch viele Agenten der Abteilung Tailored Access Operations (TAO) untergebracht sind. Links unten eine Abwandlung des Intel- Logos: "tao inside" statt "Intel Inside". Die pinken Balken verdecken die Namen von NSA-Personal.

Erste Folie einer NSA-Präsentation aus dem Snowden-Fundus über das Foxacid-System. Ein Fuchs wird in Säure aufgelöst, und dann als "Spam" (eigentlich britisches Frühstücksfleisch) in eine Dose verpackt. "Aus Fuchs gemacht, in Säure gepackt", steht auf der gezeichneten Dose, offenbar aus der Feder eines NSA- Spaßvogels. Unter "Inhaltsstoffe" sind "Sadismus" ("50 Prozent") und "Totaler Mist" ("100 Prozent") aufgeführt. Spam-E-Mails waren die ursprüngliche Methode, mit der die NSA-Abteilung TAO die Rechner von Zielpersonen zu infizieren versuchte. Mittlerweile hat sie eine effektivere Methode namens Quantumtheory zur Verfügung.

So funktioniert das Quantumtheory-System: Folien aus einer streng geheimen Präsentation für NSA-Techniker und Analysten, erstellt vom NSA-Dienstleister Booz Allen. Zentrale Rollen spielen in dieser Erläuterung der Rechner einer Zielperson ("Target"), das Internet-Unternehmen Yahoo, eine zentrale Schaltstelle im Internet ("Internet Router"), und ein Standort der NSA-Abteilung Special Source Operations (SSO). Diese Abteilung ist unter anderem für das Anzapfen internationaler Internet-Verbindungskabel zuständig, entweder durch Zusammenarbeit mit großen Telekommunikationsunternehmen oder durch verdeckte Operationen. Schritt 1: Die Zielperson versucht, sich in ihren Yahoo-Account einzuloggen. Schritt 2: Ein Server, den die Abteilung SSO an einer zentralen Schaltstelle der Internet-Infrastruktur platziert hat, entdeckt ein Datenpaket mit einem "Selector", also einem Datenpunkt, der auf eine Zielperson hinweist, die auf der NSA-Wunschliste steht (die Person ist "tasked"). In diesem Fall ist der "Selector" das Yahoo-Login der Zielperson. Der Hinweis, dass die Zielperson gerade versucht, sich in ihren Yahoo-Account einzuloggen, wird an einen Server der NSA-Abteilung für "maßgeschneiderte Operationen" (TAO) weitergereicht. Diese Server tragen den Codenamen Foxacid. Mehr über die Abteilung TAO lesen Sie in der aktuellen Ausgabe des SPIEGEL. Schritt 3 und 4: Der Foxacid-Server schickt ein Datenpaket zum Rechner der Zielperson, das als Yahoo- Datenpaket getarnt ist. Es enthält einen Verweis auf eine von TAO mit Schadsoftware präparierte Internet- Adresse (URL). Gleichzeitig erreicht das Datenpaket vom Rechner der Zielperson den eigentlich angesprochenen Yahoo-Server.

Schritt 5: Das gefälschte Datenpaket vom Foxacid-Server kommt vor dem echten Yahoo-Datenpaket auf dem Rechner der Zielperson an. Das entsprechende Yahoo-Datenpaket kommt zu spät und wird zurückgewiesen. Das funktioniert nur, weil die benutzten Server und Verbindungen extrem schnell sind. Nicht immer gewinnt das Foxacid-System das Rennen, manchmal sind einige Versuche nötig.

Schritt 6: Die Zielperson sieht auf ihrem Rechner die angeforderte Yahoo-Seite, doch gleichzeitig wird der Browser unbemerkt zu einer Foxacid-URL umgeleitet.

Schritt 7: Die Foxacid-Server prüft noch einmal, dass der benutzte Browser tatsächlich die gewünschte Sicherheitslücke aufweist, damit der Rechner der Zielperson mit Schadsoftware infiziert werden kann. Die passende Schadsoftware wird nun auf den Weg gebracht. Schritt 8: Die Schadsoftware erreicht ihr Ziel, der Rechner der Zielperson ist nun mit einer NSA-Hintertür ausgestattet. Sie erlaubt erste Manipulationen des Rechners und gestattet es, weitere, spezialisierte Spähsoftware nachzuladen.

Quantum-Fähigkeiten der NSA: All diese "Selektoren" kann die NSA einsetzen, um den Rechner einer Zielperson mit Spähsoftware zu infizieren. Besonders effektiv funktioniert die Methode dieser Präsentation zufolge mit Yahoo, Facebook und statischen IP-Adressen. Aber auch YouTube, Twitter und das Business- Netzwerk Linkedin gehören zu den Angeboten, die der US-Geheimdienst auf diese Weise missbrauchen kann. Linkedin kam etwa beim Eindringen in Rechner von IT-Personal des halbstaatlichen belgischen Telekommunikationskonzerns Belgacom zum Einsatz. Durchgeführt wurde diese "Operation Socialist" vom britischen GCHQ, mit Unterstützung der NSA.

Quantumtheory-Fähigkeiten des GCHQ: Dieser Präsentation zufolge haben die Staatshacker des britischen Geheimdienstes GCHQ auch noch andere Dienste im Angebot als die Kollegen von der NSA. Dazu gehören etwa die E-Mail-Dienste von Google (Gmail) und dem russischen Suchmaschinenbetreiber Yandex, aber auch AOL.

NSA-Schadsoftware Validator: Dieses Dokument aus dem Jahr 2004 beschreibt die damals gebräuchliche Variante der Standard-Hintertür, die die NSA unter anderem auf die beschriebene Weise auf den Rechnern von Zielpersonen installiert. "Validator" richte "eine einzigartige Hintertür auf den Personal Computern von Zielpersonen von nationalem Interesse" ein, heißt es da, "einschließlich terroristischer Zielpersonen, aber nicht beschränkt auf diese". Validator ist nur der erste Schritt beim Übernehmen eines Computers durch die NSA: Die Software lädt anschließend weitere Spähprogramme mit unterschiedlichen Fähigkeiten nach, genannt Olympus oder Unitedrake. Hat es seine Aufgabe erfüllt, kann das Validator-Implantat sich sogar selbst löschen. Die Nachfolge von Validator wird einer internen Präsentation zufolge eine Software mit dem Codenamen Commondeer antreten.

NSA-Spähprogramm Olympusfire: Das "olympische Feuer" ist eines von mehreren Schadprogrammen, die Validator auf den Rechnern von Zielpersonen unterbringen kann. Es kann diesem Dokument zufolge beispielsweise "Ordnerstrukturen erfassen, Dateien ausleiten, Netzwerke kartieren und so weiter". Diese Informationen werden von Olympusfire an einen Horchposten (Listening Post, LP) weitergereicht, einen irgendwo im Internet versteckten Rechner. Olympusfire ist nur eines von diversen NSA-Spähprogrammen. Ist eine Hintertür auf dem Rechner der Zielperson platziert, hat die NSA Vollzugriff: Sie kann Dateien verändern, ständig Screenshots vom Bildschirm des befallenen Rechners anfertigen und weiterleiten, Webcam und Mikrofon einschalten, sämtliche Kommunikation und alle eingegebenen Passwörter mitschneiden.

Auswirkungen Ende 2013:

Globale Überwachung: IT-Firmen erleiden Umsatzeinbruch nach Snowden-Enthüllungen

Der Skandal um die NSA-Totalüberwachung hat offenbar wirtschaftliche Folgen: Laut "Independent" verbuchen die amerikanischen IT-Riesen Cisco und IBM nach den Enthüllungen von Edward Snowden Umsatzeinbrüche - vor allem in Asien.

Hamburg - Angezapfte Internetkabel , massenhafte Sammlung von Telefonverbindungsdaten : Die Enthüllungen über die ausufernden Überwachungstechniken des US-Geheimdienstes NSA haben nicht nur das Vertrauen in die Sicherheit von Daten schwer erschüttert - sie bereiten auch den Unternehmen immer größere Sorgen.

Große IT-Firmen haben seit Beginn der Enthüllungen von Edward Snowden milliardenschwere Umsatzeinbrüche verbucht, berichtet der "Independent" .

• Bei IBM , einem der weltgrößten IT-Ausrüster, seien die Verkäufe in Asien und dem Pazifikraum von Mitte August bis Mitte Oktober um rund 15 Prozent eingebrochen. Das sei doppelt so viel wie im selben Zeitraum im Vorjahr. • Beim IT-Riesen Cisco sei der Umsatzeinbruch noch gravierender gewesen, hieß es. Dort seien die Umsätze im Quartal nach den Snowden-Enthüllungen um 8,75 Prozent zurückgegangen. Im Quartal zuvor seien es nur 2,84 Prozent gewesen.

IBM kommentierte die Zahlen nicht. Ciscos Finanzchef Frank Calderone nannte die NSA-Affäre gegenüber dem "Independent" explizit einen der Gründe für die abgeschwächte Nachfrage. Ein durchaus bemerkenswertes Statement, bemühen sich die meisten Unternehmen doch, die möglichen wirtschaftlichen Auswirkungen der Affäre herunterzuspielen.

Viele US-Unternehmen gestehen jedoch ein, sich wegen der Überwachungsaffäre um ihren Ruf zu sorgen. Google, Yahoo, Facebook, Microsoft und andere IT-Firmen fordern, mehr Details über geheimdienstliche Anfragen veröffentlichen zu dürfen . Google fordert zudem eine Reform der Überwachungsgesetze in den USA. Der Konzern reagierte zuletzt empört auf Berichte, denen zufolge die NSA Millionen von Nutzerdaten mitliest, die zwischen Google-Rechenzentren ausgetauscht werden.

Analysten weisen schon länger auf einen möglichen kausalen Zusammenhang von schwindenden Verkäufen und den Snowden-Enthüllungen hin. Laut einer Prognose der Information Technology & Innovation Foundation , einer US-Denkfabrik, könnte allein die Cloud-Computing-Industrie wegen des NSA- Überwachungsprogramms Prism in den kommenden drei Jahren Umsatzeinbrüche von bis zu 35 Milliarden Dollar erleiden. Beim Cloud Computing werden Nutzerdaten und ganze Computerprogramme nicht auf dem eigenen Rechner, sondern auf Servern großer IT-Konzerne gelagert.