Forderungen nach Prism & Co.

CIOs reagieren auf Abhörskandal

12.12.2013 von Christoph Lixenfeld
Der Schock sitzt tief. Das Ausspähen überstieg die Vorstellungskraft. CIOs erwarten weder eine baldige Lösung der Probleme noch rechnen sie mit viel Hilfe von außen. Sie ergreifen selbst erste Maßnahmen.
Hans-Joachim Popp CIO, DLR: "Wir müssen dringend mehr alternative Anbieter unterstützen, auch wenn dies zur Torpedierung unserer Standardisierungspolitik führen kann."
Foto: DLR

Bevor der "Spiegel" vom 16. September an die Kioske kam, hatte sich in der Öffentlichkeit eigentlich schon eine gewisse Abstumpfung eingestellt. Unsere Daten sind nirgendwo mehr sicher, so die Überzeugung. Facebook, Google, Anbieter von Cloud-Services, schon lange verdächtig, sind die schlimmsten Datenschleudern, und deutschen Schlapphüte arbeiten beim Datenabgleich seit Jahren mit ihren US-Kollegen zusammen.

So weit, so schlecht. Aber was dann im "Spiegel" zu lesen war, überstieg doch die Vorstellungskraft der meisten: Nach Informationen des Whistleblowers Edward Snowden überwacht der US-Geheimdienst nämlich auch den weltweiten Zahlungsverkehr. Transaktionsdaten von Kreditkarten würden ausgespäht, unter anderem von VISA, schrieb das Nachrichtenmagazin. Angezapft würde auch die Brüsseler Genossenschaft Swift, über die der Zahlungsverkehr zahlreicher europäischer Banken läuft. Mitglieder des Europäischen Parlaments sprachen in diesem Zusammenhang von "offenem Rechtsbruch".

Spätestens bei dieser Meldung stellte sich die Frage: Haben wir wirklich alles, was in den zurückliegenden Monaten öffentlich wurde, im Grunde schon vorher gewusst? Oder hätten zumindest alle, die mit der Materie von Berufs wegen befasst sind, es vorher wissen können, wie Kommentatoren immer und immer wieder schrieben? Hans-Joachim Popp, CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR) in Köln, sagt dazu einerseits: "Ja, wir haben es alle gewusst und seit vielen Jahren mit der entsprechenden Argumentation unsere Infrastruktur gestaltet." Er sagt aber auch: "Wenn es dann bewiesen ist, dann ist es doch ein Schock." Und: "Wir sind zu sehr auf das deutsche Rechtssystem geeicht, nachdem der Zugriff auf Daten immer nur anlassbezogen und mit voller Aufmerksamkeit der Firmenleitung erfolgt. Ein kontinuierliches Mitschneiden im Hintergrund war aber nicht wirklich vorstellbar. Wie wir jetzt wissen, eine naive Haltung."

Wir wollten wissen, wie CIOs auf jenen Schock, von dem Hans-Joachim Popp sprach, reagieren, und haben deshalb einer Reihe von ihnen fünf Fragen gestellt. Die Antworten zeugen, vereinfacht gesprochen, vor allem davon, dass CIOs weder mit einer baldigen Lösung der Probleme rechnen noch sich viel Hilfe von außen erhoffen. Und sie zeigen, dass das Thema intern heftig diskutiert wird. Wie und mit welchen Ergebnissen, das dokumentieren wir im Folgenden anhand der gestellten Fragen.

1. Die IT-Dienstleister

Was erwarten Sie bezüglich der Späh-Affäre von den großen Softwareanbietern und IT-Dienstleistern?

Einige US-Anbieter waren schon zu Beginn der Affäre in den Fokus von Vorwürfen und Ängsten gerückt. Durch ein geleaktes Dokument wurde öffentlich, dass Google, Microsoft, Yahoo, Apple und andere am Überwachungsprogramm PRISM teilhaben und dem US-Geheimdienst NSA Zugang zu Nutzerdaten wie Suchhistorien oder den Inhalten von E-Mails, Dateitransfers und Live Chats verschaffen. Alle in der Quelle genannten Anbieter haben anschließend dementiert, vorsätzlich und bewusst im Zusammenhang mit PRISM Nutzerdaten weitergegeben zu haben. Ob aber - von welchem Unternehmen auch immer - unbemerkt und systematisch Daten abgesaugt und ausgewertet werden, blieb und bleibt unklar, auch für CIOs.

Für Hans-Joachim Popp vom DLR hat die Affäre "vor allem gezeigt, wie wenig sich die Dienstleister bisher mit diesen Problemen auseinandergesetzt haben". Hanno Thewes, CIO des Saarlandes, hat die Hoffnung nicht aufgegeben, dass sich diese Situation ändern wird. "Ich erwarte, dass insbesondere die US-amerikanischen Hersteller und Dienstleister Maßnahmen ergreifen, um Glaubwürdigkeit und Integrität zu vermitteln. Für die europäischen Abnehmer aus dem öffentlichen Sektor ist es vor allem notwendig, dass Angebote gemacht werden, die rechtlich und technisch vollständig im europäischen Raum gekapselt werden können."

Till Rausch, CIO des Rüstungskonzerns Thales Deutschland, ist - nicht nur an diesem Punkt - weit weniger optimistisch: "Ich gehe davon aus, dass die großen Anbieter weiterhin dem Druck der Regierungsorganisationen nachgeben und Backdoors einbauen. Deshalb müssen Unternehmen zusätzliche Schutzmaßnahmen zur Sicherung ihrer Informationen ergreifen. Ich setze hier auf Sicherheitsmechanismen von kleinen Drittanbietern zum Beispiel aus Deutschland." Auf diesen "deutschen Weg" werden wir später noch zu sprechen kommen.

2. Die Politik

Was erwarten Sie von der Politik?

Till Rausch CIO, Thales: "Ich gehe davon aus, dass die großen Anbieter weiterhin dem Druck der Regierungsorganisationen nachgeben und Backdoors einbauen."
Foto: Thales

Anlässlich der PRISM-Affäre hatte die Bundeskanzlerin - mehr als 20 Jahre nach Erfindung des World Wide Web - gesagt, das Internet sei "für uns alle Neuland". Solch demonstrative Ahnungslosigkeit wirkt auch auf CIOs wenig beruhigend. Hans-Joachim Popp vom Deutschen Zentrum für Luft- und Raumfahrt fällt dazu noch die USA-Reise von Innenminister Friedrich ein. "Er fliegt in die USA und fragt die Verantwortlichen, ob sie illegale Dinge tun. Dann kommt er zurück und sagt: Alles in Ordnung, sie haben gesagt, sie machen nichts Illegales." Die Politik müsse endlich begreifen, dass "das Rechtssystem und die staatlichen Organisationen den rasanten technischen Entwicklungen weit hinterherhinken".

Thales-CIO Till Rausch glaubt, dass es falsch wäre, "darauf zu warten, dass die Politik Lösungen für unsere Sicherheitsanforderungen anbietet. Und es besteht die Gefahr, dass übertriebene Regelungen die Wettbewerbsfähigkeit der deutschen Wirtschaft negativ beeinflussen."

Saarland-CIO Hanno Thewes setzt naturgemäß etwas größere Hoffnungen in den Staat: "Die Politik muss international verbindliche Mindestanforderungen für den Datenschutz schaffen. Auch die Befugnisse der Geheimdienste müssen in einem Mindestmaß international reguliert werden. Hier genügen keine nationalen oder europäischen Lösungen."

3. Verbände und Bundes-CIO

Was erwarten Sie von den Verantwortlichen der Verbände, also zum Beispiel vom CIO-Anwenderverband Voice, vom BSI, vom Bitkom, von der Allianz für Cyber-Sicherheit. Und was von der Bundes-CIO Cornelia Rogall-Grothe?

"Ich würde erwarten, dass die Verbände ihrer Rolle als Moderator der Diskussion zwischen Industrie und Politik bezüglich der Sicherung der Kommunikationsinfrastruktur des Landes und der Erhaltung der industriellen Selbstverantwortung und Wettbewerbsfähigkeit kompetent nachkommen", findet CIO Rausch von Thales.

Hans-Joachim Popp vom DLR sieht die Rolle der verschiedenen Institutionen sehr unterschiedlich. "Dem Voice-Verband wird eine Schlüsselrolle zukommen. Er verbindet nämlich als einziger Verband das nötige Know-how und die Interessen der Anwenderunternehmen miteinander. Die Politik spricht aber bislang in erster Linie mit dem Bitkom, der ja von US-Unternehmen dominiert ist. Es ist völlig klar, dass der Bitkom der Bundesregierung hier nicht als glaubwürdiger Berater zur Seite stehen kann." Die Allianz für Cyber-Sicherheit hält Popp dagegen für einen sehr wichtigen Schritt.

4. Maßnahmen der CIOs

Was tun Sie selbst als Reaktion auf die Affäre? Welche konkreten Maßnahmen haben Sie ergriffen, welche sind geplant?

Hanno Thewes CIO, Saarland: "Die Politik muss international verbindliche Mindestanforderungen für den Datenschutz schaffen."
Foto: Finanzministerium Saarland

Natürlich kümmert sich kein CIO erst seit der PRISM-Affäre intensiv um das Thema Sicherheit. Oder wie es Saarland-CIO Hanno Thewes ausdrückt: "Dass bei uns Informationssicherheit höchste Priorität hat, brauchen wir nicht jetzt zu reagieren, wie sind schon länger präventiv aktiv." Auch Thales Deutschland hat "als High-Tech-Unternehmen langjährige und ausgeprägte Erfahrungen in der IT-Security. Weil man nicht ausschließen kann, dass große Anbieter Backdoors einbauen und mit Regierungsorganisationen kooperieren, haben wir eigene Lösungen für IT-Security entwickelt. Die aktuelle Lage ermuntert uns, diese Lösungen auszubauen und auch auf dem Markt anzubieten. Eine dieser Lösungen ist unser Produkt Teopad zur abhörsicheren Übertragung von E-Mails und Telefonaten", sagt CIO Till Rausch.

Hans-Joachim Popp vom DLR geht noch weiter: "Wir werden vor diesem Hintergrund die Passwort-Policy noch einmal erheblich verschärfen müssen. Außerdem planen wir die grundsätzliche Überarbeitung des Administrationskonzepts für alle Dienste externer Anbieter. Wir werden mit allen Möglichkeiten, die heute da sind, konsequent das Least-Privilege-Verfahren durchsetzen." Least Privilege bedeutet, die Zugriffsrechte und -möglichkeiten von System-Admins externer Dienstleister stark einzuschränken, ihnen also ein möglichst kleines ('least') Zugriffsprivileg zu gewähren, das nur jene Rechte einräumt, die für eine bestimmte Aufgabe unerlässlich sind. "Darum haben wir uns in der Vergangenheit zu wenig gekümmert", sagt Popp. Ähnliches gelte für den Einsatz der vorhandenen Verschlüsselungsinfrastruktur, die bisher nur im begrenzten Maße genutzt worden sei.

5. Folgen für Cloud Computing

Welchen Einfluss wird die Affäre Ihrer Meinung nach insgesamt auf die Entwicklung des Marktes für Cloud Computing und Outsourcing haben?

Hanno Thewes, CIO des Saarlandes, glaubt, "dass das Vertrauen in Cloud und Outsourcing an Intensität verlieren wird". Till Rausch sagt dagegen interessanterweise: "Outsourcing wird attraktiver, da Skaleneffekte die Kosten von Absicherung reduzieren." Beim Cloud Computing sieht er als wichtigste Qualitätsmerkmale der Anbieter. Und: "Open-Source-Sicherheitsprogramme werden als Schutz vor Backdoors an Wichtigkeit gewinnen."

Damit hat Rausch die wichtige Frage angestoßen, was wirklich hilft gegen Ausgespähtwerden und gegen Backdoors; also gegen die Gefahr, jene Daten, die durch die Vordertür vom Kunden zum Cloud-Dienstleister gelangen, könnten durch die - geheime - Backdoor an die Geheimdienste weitergereicht werden. Open Source? Solche Lösungen müssten dann aber auch mehr Verantwortliche einkaufen, finden Hans-Joachim Popp vom Deutschen Zentrum für Luft- und Raumfahrt: "Was bei näherem Hinsehen sofort auffällt, ist der stark eingeschränkte Wettbewerb in fast allen Herstellerbranchen der IT. Deshalb sind wir CIOs in der Durchsetzung unserer Anforderungen nicht gerade in einer starken Position. Wir müssen dringend mehr alternative Anbieter am Markt unterstützen, auch wenn dies zu einer Torpedierung unserer eigenen Standardisierungspolitik führen kann."

Nach Ansicht von Popp brauchen wir in Deutschland und Europa stärkere eigene Aktivitäten auf dem Herstellermarkt, die Hörigkeit gegenüber bestimmten Herstellern müsse endlich aufhören. Auch bei den IT-Dienstleistern vertraut der DLR-CIO eher einheimischen als internationalen Anbietern. "Einige Cloud Provider aus den USA sind nicht Herr ihres Handelns, sie werden dazu gezwungen, Daten herauszugeben, und sie dürfen auch nichts darüber sagen. Im Gegensatz dazu halte ich in Deutschland ein nicht-anlassbezogenes, also permanentes, systematisches Mitschneiden von Nutzerdaten für sehr unwahrscheinlich." So etwas würde laut Popp auch nicht geheim bleiben, das würde hier seiner Ansicht nach mit Sicherheit irgendwann herauskommen.

Gründe, eher auf deutsche Anbieter zu setzen, haben die Amerikaner sogar selbst geliefert. In jener Präsentation von Edward Snowdon, in der zu Beginn der PRISM-Affäre die Rolle von Google, Microsoft, Yahoo, Apple und anderen beleuchtet wurde, wiesen die US-Geheimdienste ausdrücklich darauf hin, dass die USA einen "Heimvorteil" hätten, weil die weltweit wichtigsten Provider-Unternehmen amerikanisch seien.

Foto: cio.de

Dieser Heimvorteil schützt allerdings nicht davor, selbst ausgespäht zu werden. Anfang Oktober wurde bekannt, dass der Quellcode für Adobes Entwicklungsumgebung Cold Fusion und von anderen Programmen entwendet worden war. Außerdem sollen den Angreifern auch User-IDs, verschlüsselte Passwörter und Kreditkartendaten in die Hände gefallen sein. Die betroffenen Programme werden von mindestens elf US-Regierungsbehörden eingesetzt, und zwar auch in sicherheitskritischen Bereichen. Auf detaillierte Nachfragen des Wall Street Journals dazu antworteten weder die National Security Agency (NSA) noch das US-Energieministerium.

Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."
Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM
"Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."
Oliver Peters, Analyst, Experton Group AG
"Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."
Dr. Wieland Alge, General Manager, Barracuda Networks
"Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."
James Staten, Analyst, Forrester Research
"Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."
Benedikt Heintel, IT Security Consultant, Altran
"Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."
Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V.
"Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."
ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung
"Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."

Die Chronologie des Skandals
Dies ist ein Auszug aus der Chronologie von tagesschau.de. Letzter Stand war der 31. Oktober 2013.

06.06. - NSA-Zugriff auf US-Telefondaten
Auftakt des NSA-Skandals ist ein Bericht im "Guardian", wonach Verizon der NSA Rufnummern, Dauer und Uhrzeit zur Verfügung stellen muss.

07.06. - NSA-Zugriff auf Internet-Giganten
"Guardian" und "Washington Post" berichten über Zugriff auf Server von neun Internet-Firmen, um Kontakte und Bewegungen einer Person nachzuvollziehen.

09.06. - Snowden tritt in die Öffentlichkeit
Der damals 29-jährige Ex-NSA-Mitarbeiter Edward Snowden enttarnt sich in einem "Guardian"-Interview selbst. Das Gespräch findet in Hongkong statt.

11.06. - Überraschte Bundesregierung
Regierung und Geheimdienste wissen angeblich nichts PRISM. Innenminister Friedrich will Fragen in die USA schicken - bis heute ist keine Antwort bekannt.

21.06. - Britische Spionage Tempora
Der "Guardian" schreibt über umfangreiche Internet-Überwachung durch den britischen Geheimdienst GCHQ.

22.06. - Anzeige gegen Snowden
Das US-Justizministerium zeigt Snowden wegen Spionage, Diebstahl und Weitergabe von Regierungseigentum an. Ihm drohen bis zu zehn Jahre Haft.

23.06. - Snowden verlässt Hongkong
Der inzwischen 30-Jährige setzt seine Flucht fort. Er soll sich seitdem im Transitbereich eines Moskauer Flughafens aufhalten.

30.06. - NSA-Überwachung in Deutschland
Die NSA überwacht laut "Spiegel" in Deutschland deutlich mehr Daten als in jedem anderen Land: monatlich eine halbe Milliarde Kommunikationsdaten.

08.07. - NSA in Lateinamerika
Auch in Brasilien sollen NSA und CIA mindestens bis 2002 eine Spionagebasis betrieben haben, berichtet die brasilianische Zeitung "O Globo".

12.07. - Überwachung von Microsoft-Diensten
Die NSA habe stets Zugang zu den Mails bei den Microsoft-Diensten Hotmail, Live und Outlook.com gehabt - noch vor der Verschlüsselung der Mails.

17.07. - Nach PRISM kommt PRISM II
Es wird bekannt, dass auch die Bundeswehr ein Spähprogramm mit dem Namen PRISM benutzte - und zwar in Afghanistan.

21.07. - In Erklärungsnot
Bundesnachrichtendienst und Verfassungsschutz räumen ein, eine NSA-Spähsoftware eingesetzt zu haben.

25.07. - Pofalla vor Kontrollgremium
Kanzleramtschef Ronald Pofalla steht dem Parlamentarischem Kontrollgremium Rede und Antwort. Er ist der Ansicht, alle Fragen beantwortet zu haben.

26.07. - Bundespräsident Gauck
Joachim Gauck warnt vor Gefahren für die Freiheit. Die USA müssten akzeptieren, dass Deutschland beim Datenschutz sehr sensibel reagiere.

01.08. - Snowden bekommt Asyl
Snowden erhält Asyl für ein Jahr in Russland und verlässt den Flughafen. Die USA reagieren enttäuscht auf die russische Entscheidung.

04.08. - BND und NSA arbeiten zusammen
Laut "Spiegel" greift der US-Dienst in großem Maßstab auf BND-Material zurück. Die Bundesregierung dementiert, es handle sich um Einzelfälle.

18.08. - Affäre beendet
Kanzlerin Angela Merkel erklärt die Affäre für beendet. Alle Fragen seien geklärt, sagt sie im ZDF.

23.08. - Internet-Konzerne verwickelt
Im "Guardian" veröffentlichte NSA-Dokumente untermauern den PRISM-Einsatz für das Filtern des Datenverkehrs über Firmen wie Yahoo, Facebook und Google.

13.09. - Deutsche Zusammenarbeit
Ein Papier, das dem NDR vorliegt, belegt, dass die Beziehung zwischen Bundesamt für Verfassungs-schutz und NSA offenbar intensiver ist als gedacht.

15.10. - Weltweite Mail-Kontrolle
Die "Washington Post" berichtet, der US-Spionagedienst NSA greife weltweit Angaben aus E-Mail-Accounts und Messaging-Programmen ab – auch von US-Bürgern.

23.10. - USA überwachen Merkels Handy
Das Handy von Kanzlerin Angela Merkel sei möglicherweise von US-Geheimdiensten überwacht worden, teilt Regierungssprecher Seibert mit.

28.10. - Verdacht gegen US-Botschaft
Infrarotaufnahmen des NDR-Magazins "Panorama" nähren den Verdacht, dass die Berliner US-Botschaft benutzt wird, um das Regierungsviertel auszuspionieren.

31.10. - Yahoo und Google angezapft
Die NSA soll die Leitungen zwischen den Serverzentren von Yahoo und Google angezapft haben - im Gegensatz zu PRISM ohne Kenntnis der Konzerne.