Überwachungsaktivitäten: BSI misstraut Vodafone

Half Vodafone dem britischen GCHQ beim Lauschen?
Bild: Vodafone Also doch: Große Telekommunikationsunternehmen sind offenbar stärker in das Internet-Überwachungsprogramm zumindest des britischen Geheimdienstes GCHQ verstrickt, als angenommen wurde. Das legen derzeit noch unveröffentlichte Dokumente des amerikanischen Whistleblowers Edward Snowden nahe, die WDR, NDR, die Süddeutschen Zeitung und der britische Fernsehsender Channel4 einsehen konnten.

Half Vodafone dem britischen GCHQ beim Lauschen?
Bild: Vodafone Dabei ist die Zusammenarbeit des Geheimdienstes GCHQ mit dem britischen Unternehmen Cable&Wireless, das 2012 von Vodafone übernommen wurde, besonders gut dokumentiert. Der Tarnname für das Unternehmen Cable&Wireless in den Dokumenten lautet "Gerontic". Internen Kalender-Einträgen des Geheimdienstes zufolge soll es ein "gemeinsames Projektteam" von "Gerontic"-Mitarbeitern und Geheimdienstleuten gegeben haben. Ein interner Wochenbericht belegt darüber hinaus, dass sich "Gerontic"-Mitarbeiter und Geheimdienstleute zu einer Besprechung "möglicher Einsatzrisiken" getroffen haben, die "Gerontic identifiziert hat". Weiterhin gibt es Hinweise darauf, dass ein Geheimdienstmitarbeiter als "integrierter Projektmitarbeiter" in das Unternehmen abgestellt worden ist. In den Dokumenten finden sich auch mehrfach Verweise auf erhebliche Geldflüsse zwischen britischem Geheimdienst und "Gerontic". Dabei ging es um Millionenbeträge.

In weiteren Dokumenten heißt es, dass 2009 rund 70 Prozent der ausgeleiteten Datenmenge, auf die der GCHQ Zugriff hatte, über die heutige Vodafone-Tochter gelaufen sein soll. Mit Hilfe von "Gerontic" hatte der Dienst offenbar auch Zugriff auf Informationen aus Leitungen anderer Firmen bekommen. Gesammelt wurden diese Informationen für ein Programm mit dem Codenamen "Incenser", das laut mehrerer NSA-Dokumente auch nach der Übernahme von Cable&Wireless durch Vodafone bis mindestens April 2013 fortgeführt wurde.

"Keine Weitergabe von Kundendaten"

Vodafone selbst betont, das Unternehmen gestatte "Geheimdiensten und staatlichen Behörden in keiner Form den Zugang zu Kundendaten" - es sei denn, man sei "von Gesetzes wegen dazu verpflichtet und erhalte entsprechende Aufforderungen". Vodafone habe auch geprüft, ob bei Cable&Wireless vor der Übernahme alles korrekt gelaufen sei. Man habe dabei "keinerlei Hinweise auf Verhalten gefunden, das den Gesetzen in Deutschland, Großbritannien und der EU widerspricht."

Zweifel am Umgang mit Kundendaten bei Vodafone hat offenbar auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das geht aus einem als Verschlusssache eingestuften Schreiben des BSI an das Bundesinnenministerium hervor, das WDR, NDR und Süddeutscher Zeitung vorliegt. Die Behörde hatte Mobilfunkunternehmen vor dem Hintergrund der Snowden-Enthüllungen zum Thema Datensicherheit befragt und nur bei Vodafones Antwort Bedenken geäußert. In dem Dokument heißt es: "Die Selbstauskunft von Vodafone Deutschland lässt für mobile Kommunikation innerhalb des deutschen Rechtsraumes bislang keinen eindeutigen Schluss zu, ob der Zugriff auf bzw. die Ausleitung von Metadaten (beispielsweise Billing-Informationen) oder SMS in ausländische Rechtsräume unterbleibt."

Das Bundesinnenministerium erklärte auf Anfrage, dass es nicht an der Einschätzung des BSI zweifle. Die zahlreichen Bundesbehörden, die Verträge mit Vodafone haben, wurden jedoch nicht darüber informiert. "Aus wettbewerbsrechtlichen Gründen", wie das Ministerium erklärte. Vodafone sagte dazu, man verstehe nicht, wie das BSI zu solch einer Einschätzung komme und könne die Vorwürfe nicht nachvollziehen. Daten deutscher Kunden gebe Vodafone ausschließlich auf Grundlage des deutschen Rechts weiter.

Anfang Juni hatte Vodafone einen so genannten Transparenzbericht vorgelegt, in dem der Konzern über Abhör-Maßnahmen in den Ländern informiert, in denen der Konzern aktiv ist. Allerdings werden gerade die Staaten nicht namentlich genannt, in denen die Behörden direkten und unbeschränkten Zugriff auf Kundendaten verlangen. Vodafone kann allerdings auch gar nicht anders, denn es ist dem Unternehmen natürlich verboten, über derartige Aktivitäten zu reden. Der Bericht legt nahe, dass die Telekommunikationsanbieter in zahlreichen Ländern den Behörden dabei behilflich sein müssen, ihre Bürger zu belauschen.