Storsender

BND Hacking

📌Kontext

Die Bundesregierung plant eine tiefgreifende Reform des BND-Gesetzes. Der Auslandsgeheimdienst soll künftig bis zu 30 % des gesamten Datenverkehrs am DE-CIX speichern, Inhalte von E-Mails, Chats und VoIP-Gesprächen für sechs Monate vorhalten und diese Daten anschließend vollständig durchsuchen dürfen.

Zusätzlich erhält der BND offizielle Hacking-Befugnisse gegenüber globalen IT-Konzernen wie Google, Meta, X und sogar deutscher Infrastruktur. Er darf Bundestrojaner installieren, Wohnungen betreten und der Schutz von Journalist:innen wird eingeschränkt. Ziel aus Regierungssicht: weniger Abhängigkeit von der NSA, mehr eigene Überwachungs- und Angriffsressourcen.

Für Menschen in sensiblen Berufen – Journalist:innen, NGOs, Aktivist:innen, Whistleblower-Umfelder, politische Arbeit – verschärft sich das Bedrohungsmodell damit strukturell.

🧩Technische Eigenschaften und politische Einbindung

Massenüberwachung am DE-CIX

Kern der Reform ist die strategische Überwachung am Frankfurter Internetknoten DE-CIX. Der BND soll bis zu 30 % des gesamten Datenverkehrs für sechs Monate speichern dürfen – nicht nur Metadaten, sondern Inhalte von E-Mails, Chats, VoIP und weiteren Diensten. Die Daten werden zunächst vollumfänglich vorgehalten, um später gezielt durchsucht und ausgewertet zu werden.

Offensive Cyberbefugnisse (Computer Network Exploitation)

Unter dem Label „Computer Network Exploitation“ soll der BND in Systeme eindringen dürfen, wenn Unternehmen nicht kooperieren. Betroffen sind explizit große Plattformanbieter wie Google, Meta, X, aber auch Infrastruktur innerhalb Deutschlands. Damit verwischt die Grenze zwischen Auslands- und Inlandsaufklärung technisch weiter.

Erweiterte Zielgruppen

Überwachungsziele werden breiter definiert: ausländische Funktionsträger in Deutschland, diplomatische Akteure und Journalist:innen bestimmter Medien rücken in den Fokus. Mitarbeiter:innen autoritärer Staatsmedien sollen weniger Schutz genießen, wodurch journalistischer Quellenschutz politisiert wird.

Physische Eingriffe

Mit der Reform sollen BND-Agenten Wohnungen betreten und Bundestrojaner installieren dürfen. Zusätzlich ist ein erweiterter Zugriff auf Vermittlungsanlagen und Provider-Infrastruktur geplant, wodurch physische und logische Angriffe enger verzahnt werden.

⚠️Kritische Bewertungen

Zentralisierung der Überwachung

Die Speicherung großer Datenmengen an einem der wichtigsten Internetknoten Europas schafft neue Angriffsflächen und potenziell missbrauchbare Datenbestände. De facto entsteht eine Form der Vorratsdatenspeicherung durch die Hintertür – mit enormem Missbrauchs- und Leckagerisiko.

Aufweichung rechtsstaatlicher Grenzen

Die Trennung zwischen Inlands- und Auslandsaufklärung wird technisch und praktisch aufgeweicht. Journalistischer Quellenschutz wird abgestuft und politisch interpretierbar. Offizielle Hacking-Befugnisse gegen Unternehmen untergraben langfristig das Vertrauen in grundlegende Kommunikations- und Cloud-Infrastruktur.

Technische Eskalation

Staatliche Offensive erzeugt eine Rüstungsspirale: mehr Zero-Days, mehr Exploits, mehr Unsicherheit für alle. Cloud-Abhängigkeit wird zum strukturellen Risiko, da zentrale Plattformen explizit Ziel staatlicher Angriffe werden und damit als vertrauenswürdige Vermittler ausfallen.

Strukturelle Intransparenz

Bürger:innen und Organisationen haben keine realistische Möglichkeit nachzuvollziehen, welche Daten erfasst, gespeichert oder analysiert werden. Provider werden zu stillen Erfüllungsgehilfen strategischer Überwachung, ohne dass Betroffene informiert werden oder effektive Gegenrechte haben.

🎯Konsequenz

Die BND-Reform schafft ein Überwachungsmodell, das auf drei Ebenen angreift: Netzknoten, Cloud-Infrastruktur und Endgeräte. Klassische Sicherheitsarchitekturen – Standard-Android oder iOS, cloudbasierte Messenger, zentralisierte Server – sind diesem Modell strukturell unterlegen.

Genau hier setzen GrapheneOS und p2p-Netzwerke an: GrapheneOS erschwert staatliche Exploits durch gehärtete Architektur, Verified Boot und streng isolierte Profile. p2p-Netzwerke umgehen zentrale Überwachungspunkte wie große Internetknoten vollständig, minimieren Metadaten, entfernen Identitätsanker und reduzieren Cloud-Abhängigkeit.

🛡️Handlungsempfehlungen

1. Endgeräte-Härtung mit GrapheneOS

  • Einsatz gehärteter Pixel-Geräte mit GrapheneOS für sensible Rollen.
  • Nutzung getrennter Benutzerprofile für privat, beruflich und hochsensibel.
  • Verzicht auf biometrische Entsperrung in risikobehafteten Kontexten.
  • Deaktivierung von Cloud-Backups für vertrauliche Daten.
  • Regelmäßige Reboots und Integritätsprüfungen, um Persistenz von Malware zu erschweren.
  • Einsatz von Google Play Services nur in klar isolierten Profilen, falls zwingend nötig.

2. p2p-Kommunikation statt zentraler Server

  • Nutzung von p2p-Messengern (z. B. Briar, SimpleX, p2p-Matrix) ohne zentrale Server.
  • Aufbau von Mesh-Netzwerken für resiliente, lokale Kommunikation auch bei Netzstörungen.
  • Einsatz von WiFi-Direct und Bluetooth für direkte, offline-fähige Verbindungen.
  • Verzicht auf Telefonnummern- und Cloud-basierte Identitäten für sensible Kommunikation.

3. Minimierung von Metadaten

  • Tor-Routing für unvermeidbare klassische Messenger oder Web-Zugriffe.
  • DNS-over-HTTPS oder DNS-over-TLS über vertrauenswürdige Resolver.
  • Konsequente Nutzung von MAC-Randomisierung (in GrapheneOS standardmäßig aktiviert).

4. Infrastruktur-Strategie

  • Einsatz eigener, minimalistisch gehaltener Server nur dort, wo unvermeidbar.
  • Bevorzugung vollständig dezentraler Systeme ohne zentrale Instanzen.
  • Vermeidung enger Abhängigkeiten von Big-Tech-Backends für kritische Kommunikations- und Datenwege.

5. Operational Security (OpSec)

  • Strikte Trennung von Identitäten, Geräten und Accounts nach Rollen und Projekten.
  • Klare Regeln zur Aufbewahrung, Mitführung und physischen Sicherung von Geräten.
  • Air-gapped Workflows für hochsensible Dokumente und Quellen.
  • Dokumentierte, teamweit verständliche Prozesse, um Fehler und Inkonsistenzen zu minimieren.