(English version see
here)
Ich hatte zwei Erwartungen an das Buch:
Wird Snowden die eine oder andere der vielen unbeantworteten, kritischen Fragen beantworten?
Wird er Unfug wiederholen oder gar neuen erfinden?
Was diese Erwartungen angeht, war für mich die erste Hälfte des Buches langweilig. Er erzählt Anekdoten aus seiner Kindheit und Jugend, die stimmen können oder nicht. Das weiß man bei ihm ja nie so genau. Aber eigentlich ist das auch unwichtig.
Nur eine kurze Bemerkung zur ersten Hälfte:
Auf Seite 14 sagt er: “Abgesehen von Log-ins, E-mails und finanziellen Transaktionen war die Online-Kommunikation in den ersten Jahren des neuen Jahrtausends kaum verschlüsselt”, was natürlich Unsinn ist. Dass Emails auf dem Transportweg kaum verschlüsselt waren, war "vor ihm" ja gerade ein heftiges Problem. Aber ich habe das mit dem englischen Original abgeglichen, da steht nichts von Emails. Ich mag Ed ja nicht sonderlich, kann ihn aber kaum wegen Übersetzungsfehlern anmeckern.
(Vor allem aus diesem Grund werde ich bei dieser Rezension nur seinen englischen Originaltext zitieren)
Der zweite Teil wurde dann interessanter ...
Unbeantwortete Fragen
Snowden machte viele falsche oder widersprüche Aussagen über seine Rolle bei amerikanischen Geheimdienste, die Umstände seiner Flucht, und wie er in Russland "strandete". Auf Twitter hatte ich einige dieser unbeantworteten Fragen gestellt[1], schauen wir mal ob und wie er sie beantwortete:
Warum bist du nach Hong Kong / China geflohen, und nicht direkt nach Lateinamerika oder ein demokratisches europäisches Land?
Tatsächlich ging Snowden auf diese Frage ein, in Kapitel 25 "Der Junge". Er sagte Europa und Lateinamerika wären raus da die USA dort zuviel Einfluss hätten ihn verhaften zu lassen und/oder entführen könnten. Russland wäre raus “because it was Russia” und China “because it was China”. “The process of elimination left me with Hong Kong,'' sagte er. Er gab auch ziemlich offen zu dass er Hong Kong deshalb wählte, da das mächtige China dahinter steht, was ihn sicher vor den USA mache, es andererseits aber eine gewisse liberale Unabhängigkeit bewahrt hätte.
Allerdings, warum Ecuador plötzlich nicht mehr raus war, nachdem ihm Hong Kong Asyl verwehrte, auf diesen Sinneswandel ging er mit keiner Silbe ein.
Hast Du das russische Konsulat in Hong Kong besucht, wenn ja wie oft, und warum?
Es gibt drei unabhängige Quellen für die Behauptung, dass Snowden das russische Konsulat in Hong Kong besuchte:
Erstens, die russische Zeitung Kommersant berichtete darüber unter Berufung auf ungenannte Quellen.[2]
Zweitens ein Medienbericht, dass amerikanische Offizielle aus Hong Kong dem Wall Street Journal sagten, dass Snowden im Juni drei Mal beim Betreten des Gebäudes, in dem sich das russische Konsulat befindet, von Überwachungskameras erfasst wurde.[3]
Drittens, Putin höchstpersönlich gab es zu.[4]
Last but not least, Wikileaks sagte offen, dass sie Snowden dazu rieten nach Russland zu fliehen[5] -- v. a. deshalb höchst interessant, da die Wikileaks-Aktivistin Sarah Harrison Snowden in Hong Kong traf und dann bis nach Moskau begleitete.
Versteht mich nicht falsch, jeder dieser Berichte könnte falsch sein, und weder Putin noch Wikileaks sind wirklich für ihre Aufrichtigkeit bekannt. Man darf es nicht als gesicherten Fakt ansehen, dass Snowden tatsächlich in dem russischen Konsulat war (vielleicht sehen wir eines Tage die Bilder der Überwachungskameras..). Aber die Indizien sind schon sehr stark, nur Snowden geht mit keinem einzigen Wort auf diese Vorwürfe ein -- schwach.
Warum hast du ausgerechnet Moskau als Zwischenstopp und die russische Fluglinie Aeroflot für den Flug nach Ecuador gewählt?
Zumindest beantwortete Snowden die Frage, warum er über Moskau flog: Er sagte es hätte keine Direktflüge nach Kuba oder Ecuador gegeben, und er wollte nicht in einem Land zwischenlanden in dem ihn die USA verhaften lassen könnte. Mag sein.
Aber er ging nicht auf die Frage ein, warum ausgerechnet mit Aeroflot.
Das ist eine sehr entscheidende Frage, berücksichtigt man Snowden's annullierten Pass. Entgegen den Behauptungen von Snowden und seinen Unterstützern wurde sein Pass nämlich annulliert, als er noch in Hong Kong war, nicht später. Seriöse Medien haben dies inzwischen auch realisiert, siehe hier z. B. die New York Times[6].
Davon abgesehen -- glaubt mir, das hat mich wirklich überrascht -- räumt sogar Snowden selbst in seinem Buch ein, dass es vielleicht einfach nur ein standardmäßiges bürokratisches Prozedere war, das einfach seine Zeit brauchte:
“The State Department’s move might merely have been the result of bureaucratic proceduralism—when you’re trying to catch a fugitive, putting out an Interpol alert and canceling their passport is just standard operating procedure.”
Und deshalb ist die Frage der Fluglinie so wichtig: Wenn der Pass schon annulliert wurde, als er noch in Hong Kong war, warum wurde er trotzdem an Bord gelassen?
Fluglinien scannen den Pass beim Checkin. Aeroflot MUSS registriert haben, dass der Pass ungültig war. Sie haben ihn trotzdem mitgenommen. Ich wette, jede andere Fluggesellschaft hätte es ihm verweigert.
Wo hast du dich in der Transitzone im Flughafen genau aufgehalten Warum sah dich dort niemand?
Das ist eine weitere wichtige Frage, auf die Snowden nicht einging. Er verweilte dort angeblich 40 Tage, aber bis heute weiß niemand wo genau. Alles was er in dem Buch dazu sagte, war dass er Stammgast bei Burger King war. Aber auch dort hat ihn wohl niemand gesehen. Es wäre für mich noch plausibel, dass keiner der Burger King Mitarbeiter ihn erkannte, da er in Russland bei weitem kein so Superstar war wie bei uns. Aber zahlreiche neugierige Journalisten und Reisende waren dort, von denen hat ihn auch niemand gesehen. Das ist mehr als seltsam, gelinde gesagt.
Ich bin gespannt ob sich dazu eines Tages Sarah Harrison glaubwürdig äußert.
Warum hast du keinen Beweis dafür mitgenommen, NSA-intern Bedenken geäußert zu haben?
Wir erinnern uns: Snowden hat mehrfach behauptet, sich intern über fragliche NSA-Programme beschwert zu haben, bevor er an die Öffentlichkeit ging. Am medienwirksamsten war vielleicht seine Aussage vor dem Europäischen Parlament[7]:
"Q: Do you feel you had exhausted all avenues before taking the decision to go public?
A: Yes. I had reported these clearly problematic programs to more than ten distinct officials,
none of whom took any action to address them."
(Eine schriftliche Aussage, vorgetragen von seiner Anwältin Jesselyn Radack, er machte aber zu anderen Gelegenheiten ähnliche Äußerungen[9])
In dem Buch ging er auf diese Frage nicht ein, aber indirekt gab er eindeutig zu, dass das eine Lüge war, dass er niemals Bedenken äußerte:
Was mich mit mit am meisten an dem Buch überraschte, war dass Snowden völlig offen zugab, dass er kein oder kaum Wissen aus erster Hand über die NSA-Programme hatte. In Kapitel 19 "Der Tunnel" sagte er, dass er Anfang 2012 in Hawaii als Microsoft Sharepoint Administrator anfing, und bis dahin nicht wusste, ob ein amerikanisches Massenüberwachungssystem überhaupt existierte:
“Three years later, I was determined to find out if an American system of mass surveillance existed and, if it did, how in functioned.”
Und dann sagte er in Kapitel 26 "The Boy", dass er erst in den letzten paar Wochen seiner Geheimdienstkarriere NSA-Programme aus erster Hand beobachtete:
"My weeks at Fort Meade, and the short stint I put in at Booz back in Hawaii, were the only times I saw, firsthand, the abuses actually being committed that I’d previously read about in internal documentation."
Das muss man sich auf der Zunge zergehen lassen: Snowden begann bei Booz Ende März / Anfang April 2013. Nach Hong Kong floh er am 20. Mai. Und dann kann man noch die paar Wochen Training in Fort Maede dazu rechnen, also reden wir über vielleicht ganze 3 Monate, in denen er tatsächlich aus erster Hand Erfahrungen mit NSA-Programmen und -Werkzeugen sammelte (so wie man sie als "analyst-in-training" sammeln kann..)
Und jetzt nochmal zurück zu seiner Aussage vor dem Europaparlament: Er sagte, er hätte vor mehr als 10 Offiziellen Bedenken geäußert. Wann sollte das gewesen sein? Vor 2013, als sein "Wissen" einzig durch die Lektüre gestohlener Geheimdokumente kam? Das erste, das ihn ein Offizieller dann gefragt hätte, wäre doch gewesen: "Ed, woher weißt Du eigentlich von den geheimen Programmen?" ...
Oder in den letzten paar Monaten? Glaubt jemand ernsthaft, Ed Snowden, in seiner Funktion als "analyst-in-training", hätte Offizielle innerhalb von 3 Monaten mit mehr als 10 Beschwerden zugespammt?
Nein, es ist absolut eindeutig dass Snowden dem Europaparlament eine freche Lüge erzählte.
Darüber hinaus wiederholte er in seinem Buch auch gar nicht mehr das Märchen, er hätte intern Bedenken geäußert. In Kapitel 21 "Whistleblowing" und Kapitel 26 "Hong Kong" sagt er deutlich, dass es sinnlos gewesen wäre, sie hätten ihn mundtot gemacht, seine früheren Erfahrungen, was mit anderen "Whistleblowern" geschah, usw. usf. Ich will jetzt gar nicht über die Sinnhaftigkeit dieser Aussagen diskutieren, am Ende des Tages bleibt ein Fakt: Er hat NIEMALS intern Bedenken geäußert.
Warum hast du -- als selbsternannter Experte über NSA-Programm und -Werkzeuge, die Dokumente so oft und heftig fehlinterpretiert (PRISM, BOUNDLESSINFORMANT, XKeyScore,..)?
Zu dieser Frage ist das Buch mehr als enttäuschend. Kein Wort dazu, wie es zu der initialen Falschbehauptung des "direkten Zugriffs" unter PRISM kommen konnte. BOUNDLESSINFORMANT, das zu "millionenfacher Überwachung in Deutschland" fehlinterpretiert wurde, nicht mal erwähnt. Dafür dokumentiert Ed umso öfter, dass er XKeyScore immer noch nicht verstanden hat.
Aber obwohl er an anderer Stelle freimütig zugab, kein Wissen aus erster Hand gehabt zu haben, hielt ihn das nicht hiervon ab:
“It was an interesting problem: how to most cogently express to nontechnical people who were almost certainly inclined to be sceptical of me the fact that the US government was surveilling the world and the methods by which it was doing so.”
Mit anderen Worten: Snowden, mit all seinem Halbwissen, "erklärte" die Dokumente Journalisten, die selbst noch viel weniger Plan hatten als er, und diese generierten dann die Sensationsberichte. Das erklärt viel, wirklich.
Was genau waren deine Positionen in der NSA? Wie erklärst du, dass FOIA klar zeigen, dass du im August 2012 als normaler Microsoft Administrator gearbeitet hast?
Wie schon erläutert, geht Snowden offen damit um, dass er als kleiner Admin arbeitete. Nach diesen FOIA-Dokumenten[8] hatte er auch kaum eine andere Wahl. Er erklärte es damit, dass ihm die Ärzte rieten nach Hawaii zu ziehen, und da gab es nun mal diesen Job. Und natürlich betont er mehrmals wie unterfordert er hier doch war.
Ansonsten prahlte er damit, was für wichtige Positionen er vorher bei CIA / NSA hatte. Aber auch hier, ähnlich wie bei den behaupteten internen Bedenken: Er ließ ungefähr 1.5 Millionen Geheimdokumente mitgehen, aber keinen einzigen Beleg für seine Behauptungen. Ich glaube ihm kein Wort.
Was geschah mit den Dokumenten, die du nicht an Journalisten übergeben hast, was enthielten die, und wie viele waren es?
Snowden ging zum Teil darauf ein. Er sagte, dass er diese Dokumente unwiderruflich zerstörte, bevor er sich Richtung Moskau davon machte. Kann man glauben. Oder nicht.
Unsinnige und unbelegte Behauptungen
Total Surveillance
Wenn man die Snowden-Saga rekapituliert, war sie hauptsächlich bestimmt von falschen und irreführenden Medienberichten (ich hatte dazu eine Liste erstellt[10]). Und Ed Snowden war dabei immer fähig, selbst die am weitesten hergeholten Stories noch zu toppen. Natürlich enttäuscht er auch hier mit dem Buch nicht. Die NSA hat alle Daten aller Menschen und speichert sie für immer. Boa. Alle Bilder und intimen Briefe von Lindsey. Phew. Aber Belege? Fehlanzeige. Dass auch "seine" Dokumente dafür keinen Hinweis bieten? Egal.
Ich meine, selbst wenn man davon ausgeht, dass die bekannt gewordenen Abhörmaßnahmen an Internet-Backbone-Leitungen ein "collect it all" war (tatsächlich wurde nur ein Bruchteil der Leitungen angezapft, es wurde nur abgeschöpft was zu spezifischen Selektoren passte, und selbst vor 2013 war ein signifikanter Teil verschlüsselt, aber jetzt erst mal egal). In den Dokumenten steht, dass Inhalte nach 3, Metadaten nach 30 Tagen gelöscht wurden! Wie zur Hölle kommt Snowden auf "für immer"? Kein Beleg, nichts, nur Anspielungen. Und mit jeder Anspielung wird deutlicher, dass er keinen Schimmer hat von dem, was er sagt.
Der Junge
Snowden schreibt, dass er einen Verdächtigen zu überwachen hatte, und dabei beobachtete er ein Livevideo von ihm mit seinem kleinen Jungen auf dem Arm. Er sagt uns nicht, welches Tool er dabei benutzte. Kurz davor sinnierte er einiges über XKeyScore, aber das kann es nicht gewesen sein. Was war es dann? Ed verrät es uns nicht.
Versteht mich nicht falsch, natürlich ist es nicht unmöglich einen Computer zu hacken und heimlich die Kamera einzuschalten. Aber diese Angriffe sind riskant, die Wahrscheinlichkeit entdeckt zu werden ist enorm. Ich kann nicht glauben, dass die NSA diese Art von Angriffen gegen unbedeutende Ziele fährt, noch ist es plausibel dass sie die dazugehörigen Tools einem 29-jährigen "analyst-in-training" zur Verfügung stellt. Ich glaube Snowden kein einziges Wort an dieser Geschichte.
Schmutzige Wörter
Snowden beschreibt wie er angeblich an den eingestuften Bericht zum President's Surveillance Program (PSP) kam. Er sagt nur ein paar Dutzend Leute hätten Zugang zu diesem höchst geheimen Dokument gehabt, und dass er sicherlich nicht dazu zählte. Aber einer von diesen hätte eine Kopie auf einem Laufwerk mit niedrigerer Sicherheitsstufe hinterlassen, und dieses Laufwerk wäre automatisch nach "schmutzigen Wörtern" gescannt worden (in diesem Fall, so Snowden, hätte "STLW"angeschlagen), und er als Systemadministrator wäre alarmiert worden, dass er dieses höchst geheime Dokument doch bitte entfernen möge.
Also gut, der Fakt dass jemand wie Snowden unentdeckt 1.5 Millionen Geheimdokumente kopieren und stehlen konnte, zeigt sicherlich dass die interne Security der NSA die eine oder andere Schwäche hatte, um es vorsichtig auszudrücken. Aber wirklich, Ed? Es gab einen automatisierten Job, der Administratoren auf Geheimdokumente aufmerksam machte, die sie bitte sofort löschen, aber auf gar, auf überhaupt gar keinen Fall lesen sollten?
Wer soll so einen himmelschreienden Unsinn glauben, Ed?
Stellarwind
Nachdem nun Snowden den langersehnten klassifizierten Bericht zum PSP[13] endlich in den Händen hatte (er schreibt, dass er ihn schon zuvor lange vergeblich suchte) und las, da war Ed ... schockiert.
Er schreibt der klassifizierte wäre komplett anders als der öffentliche[12], dass er einfache englische Wörter wie "acquire" oder "obtain" umdefinieren würde. Aber das ist einfach nicht wahr. Lest einfach beide Berichte. Jeder, der das unbefangen tut, erkennt wie in beiden die amerikanische Regierung damit kämpft, elektronische Überwachung gesetzestreu in einer komplett neuen Umgebung umzusetzen: Dem Internet.
Das PSP stellt man sich am besten als den Vorgänger der später durch Snowden bekannt gewordenen Programme "702" (PRISM und Upstream) und "215" (Telefonmetadaten) vor. Das PCLOB ("Privacy and Civil Liberties Oversight Board") erstellte Berichte über beide Programme[14][15]. In Kürze: 702 ist prima, 215 nicht. Liest man die Berichte, bekommt man schnell eine Ahnung wie komplex das ganze ist, weit entfernt von dem eindimensionalen Bild, das uns Snowden glauben machen will. Man kann auch über das eine oder andere streiten oder unterschiedlicher Meinung sein, aber es ist sonnenklar dass das nichts mit "Massenüberwachung", geschweige denn "Totalüberwachung" zu tun hat. Und dass amerikanische Staatsbürger so ungeschützt wären wie beliebige Ziele im Ausland ist eine blanke Lüge.
Und hier noch für unseren geschockten Ed der eigentliche Kernpunkt, den man aber auch schon im öffentlichen Bericht findet:
"As explained below, the PSP expanded the NSA's authority by allowing it to conduct electronic surveillance within the United States without an order from the FISC when certain factual conditions end legal standards were met."
XKeyScore
Mit jeder Zeile die er darüber schreibt, merkt man dass Snowden immer noch keine Ahnung über XKeyScore hat -- oder absichtlich lügt. XKeyScore ist ein Werkzeug, kein Programm zur "Massenüberwachung". Deshalb konnten die Amerikaner das Werkzeug auch z. B. deutschen Sicherheitsdiensten zur Verfügung stellen. Das hier[16] ist eine Erklärung der besseren Art.
Mit XKeyScore können Analysten Internetdaten sichtbar machen. Aber was sind diese Internetdaten? Es sind Daten, die die NSA zuvor sammelte, z. B. mit Upstream, wo sie spezifische Selektoren an amerikanische Internetprovider schicken, und bekommen die Treffer von deren Leitungen zurück. Oder Daten von Kooperationen mit Partnern, z. B. Eikonal in Deutschland oder Tempora mit den Briten. In beiden fällen wurden auch nur spezifische Selektoren eingestellt, und Daten der Staatsbürger beteiligter Länder wurden gefiltert. Auch kann XKeyScore keine Verschlüsselung brechen, und es versteht sicherlich auch nicht jedes exotische Protokoll. Mit anderen Worten: Über die tatsächliche Datenbasis von XKeyScore wurde bisher -- auch nicht durch die "Snowden-Dokumente" -- wenig bekannt, aber es ist ganz sicher sehr, sehr weit entfernt von "alles".
Zusammenfassung
Was mich am meisten überraschte, war wie offen Snowden das eingestand, was ich und andere schon lange sagten: Dass er keine Kenntnisse aus erster Hand hatte, dass seine gesamtes "Wissen" auf der Lektüre gestohlener Dokumente basierte, und dass er dann mit seinem Halbwissen den noch unbedarfteren -- aber dafür umso mehr voreingenommenen -- Journalisten die Dokumente "erläuterte". Das erklärt wirklich, wie es zu diesen fachlich so unglaublich mangelhaften Medienberichten kommen konnte.
Ansonsten wenig neues. In der ersten Hälfte erzählt Snowden Anekdoten, in der zweiten seine Missverständnisse.
Die wichtigste Frage bleibt offen: Wann lief Snowden zu Russland über? In Hawaii, Hong Kong oder Moskau? Nach dem Buch bin ich etwas mehr sicher dass es Hong Kong war, aber das ist mehr oder weniger nur ein Gefühl.
Hier noch die Referenzen. Bitte beachtet dass Snowden ganz ohne auskam.
Die letzte Spiegel-Tranche der Snowdendokumente wird übrigens von denen, die sich auskennen, richtigerweise als das gesehen, was die NSA machen soll. Verdächtige überwachen, mit klugen geheimdienstlichen Methoden. Dafür bezahlen wir unsere Geheimdienste.
- die Speicherung der amerikanischen Telefon-Metadaten (betrifft in erster Linie die Amerikaner selbst)
- den Einbau von Backdoors durch die Beeinflussung von Standardisierungen ("Dual_EC_DRBG")
- die Verheimlichung von Sicherheitslücken
Obama's Expertenkommission hat das eigentlich alles angesprochen. Mal schauen, was er daraus macht.
Habe übrigens den Artikel ergänzt. Dass das Europäische Parlament in ihrem Zwischenbericht zur "NSA-Affaire" den "direkten Zugriff" als Tatsache hinstellt, fand ich dann doch peinlich genug.
Dass die Briten bei amerikanischen Verdächtigen "aushelfen" halte ich nicht für ausgeschlossen, habe dazu aber bisher noch keinen Beleg gesehen.
Zu Lügen vor Kongress meinst Du sicher die Aussage von Clapper. Offiziell hat er sich glaube ich damit rausgeredet, dass er dachte es ginge nur um Inhalte. Aber er war auch in einer Zwickmühle, da es sich um ein bis dahin geheimes Programm handelte. Schau Dir mal die Kommentare von "Sceptical" bei Bruce an:
https://www.schneier.com/blog/archives/2014/01/matt_blaze_on_t_1.html
(sein letzter Kommentar auf der Seite)
Man kann meistens alles auch von einer anderen Seite betrachten ...
Zu "Quantum Insert" und anderen remote exploits: Ja, da wird die NSA bestimmt einige Möglichkeiten haben, auch welche die bisher nicht bekannt sind. Aber die werden sie bestimmt nicht mit Angriffen gegen Max Mustermann gefährden und vergeuden, die sind so kostbar dass sie bestimmt nur gegen wirklich lohnenswerte Ziele angewandt werden. Und zielgerichtete Angriffe sind ja genau das, wofür Geheimdienste da sind.
Dennoch, das ist einer der Punkte die auch ich sehr kritisch sehe: Dass die NSA Sicherheitslücken für sich behält, ist eigentlich unverantwortlich angesichts der zweiten großen Aufgabe der NSA, der IT-Sicherheit.
Wahrscheinlich hat die NSA aber auch ein paar Exploits für Geräte geschrieben, die sich bekannter Sicherheitslücken bedienten -- in dem Fall kann man kaum der NSA einen Vorwurf machen, sondern eher den Herstellern, die ihre Systeme trotz bekannter Schwächen nicht patchen (embedded systems sind da wohl ein Sorgenkind).
Stuxnet war großes Kino, ja. Aber ich habe hier immer noch die Israelis im Verdacht. Vor allem wundert es mich, dass hierzu in den Snowden-Dokumenten offensichtlich noch nichts gefunden wurde (oder absichtlich nicht veröffentlicht).
Und ja, Bruce hat natürlich recht. :-)
Aber das sehe ich wie gesagt als eine Aufgabe von Geheimdiensten an. Kritisch wird es erst, wenn sie gegen unbescholtene Bürger oder die breite Masse vorgehen. Das ist die rote Linie. Und dass diese überschritten wurde, ist zumindest bisher nicht erkennbar.