In einem Punkt hat Generalbundesanwalt Harald Range recht: Der NSA- Whistleblower Edward Snowden hat die Massenüberwachung auch der deutschen Bevölkerung durch Geheimdienste ausschließlich durch digitale Dokumente belegt. Es gibt tatsächlich keine Papierdokumente aus den NSA-Büros. Die internen Präsentationen des technischen Geheimdienstes der USA liegen überwiegend im Portable Document Format, als PDF vor. E-Mails sind als Textdateien gespeichert.
Unstimmigkeiten finden durch IT-Forensik
Das ist ein Fall für die IT-Forensik. Deren Untersuchungsmethoden und Prüfsoftware sind allgemein anerkannt und bei der Erstellung zahlreicher Gutachten für Gerichtsverfahren auch erfolgreich eingesetzt worden. IT- Forensiker Dr. Thomas Gloe aus Dresden hat sich auf die Analyse digitaler Dokumente spezialisiert und sieht einen guten Ansatzpunkt, um die Echtheit der Snowden-Dokumente zu klären.
"Zumindest, wenn man irgendwelches Vergleichsmaterial hat, wo man weiß, dass es sich dabei um originäre Daten handelt, dann kann man anschauen, ob es da Differenzen gibt oder ob sich da keine Unstimmigkeiten finden lassen. Und das ist sicherlich erst einmal ein Hinweis darauf, dass es ein Original ist."
Echtheit der Snowden-Dokumente klären
Zunächst schaut sich IT-Forensiker Thomas Gloe in so einem Fall die sogenannten Metadaten der PDFs genauer an.
"Metadaten haben eigentlich das Ziel, Informationen über die in der PDF-Datei sichtbaren Daten zu hinterlegen, also Zusatzinformationen zu liefern, beispielsweise Zeitpunkt der Erstellung des PDF-Dokuments, Zeitpunkt, wenn ein PDF-Dokument verändert wurde, beispielsweise eine Korrektur durchgeführt wurde, Notizen hinzugefügt wurden. Häufig finden sich auch Informationen zur eingesetzten Software, mit der das PDF-Dokument erzeugt wurde, Informationen zum Autor, das kann beispielsweise der Login-Name unter Windows sein oder das kann, wenn man jetzt Word oder ein anderes Programm benutzt hat und das personalisiert hat, der dort hinterlegte Name sein. Und diese Informationen werden in das Dokument mit eingetragen."
Die Namen der Autoren haben bereits die Experten der Tageszeitung Guardian mit Mitarbeiterlisten der National Security Agency abgeglichen. Beim Erstellungsdatum einer Präsentation muss geprüft werden, ob es mit den Zeitleisten der in der Präsentation beschriebenen NSA-Projekte übereinstimmt. Und dann natürlich würden die IT-Forensiker die vorliegenden PDFs mit anderen NSA-Präsentationen vergleichen. Die Sofortmaßnahme beschreibt Thomas Gloe so.
"Ich würde wahrscheinlich mal auf deren Webseite schauen, welches Dokumentenmanagementsystem da dahinter steht, ob da vielleicht, bevor solche Dokumente herausgegeben werden, noch einmal ein Zwischenverarbeitungsschritt ist, der ohne hin alles vereinheitlicht und standardisiert. Ideal wäre es, wenn es halt Dokumente gibt, die halt einer Nichtregierungsorganisation oder einer Regierungsorganisationen offiziell zur Verfügung gestellt wurden aus anderen Gründen, also in einem anderen Zusammenhang. Und wenn man diese Daten verwenden könnte."
Kein gerichtsfester Beweis
Das aber ist noch kein gerichtsfester Beweis. Deshalb werden weitere Vergleichsdokumente im PDF-Format herangezogen. Das sind zum Beispiel Präsentationen von NSA-Wisenschaftlern auf internationalen kryptologischen Konferenzen. Und auch der Bundesnachrichtendienst sowie der Militärische Abschirmdienst verfügen über zahlreiche NSA-Dateien im PDF-Format. Für einen Vergleich mit den Snowden-Dokumenten eignen sich diese Dateien hervorragend.
"Das sind alles drei ziemlich gute Quellen, zumindest für eine erste Herangehensweise. Da muss man sich schon ziemlich im Detail anschauen. Was man machen könnte,die drei Quellen gegeneinander verifizieren. Also man könnte sich zum Beispiel anschauen aus Quelle Eins, das waren ja die Dokumente die offiziell veröffentlicht wurden imRahmen von Kongressen von den Wissenschaftlern und dort diese Information extrahieren, diese Struktur, den Aufbau von den Datenstrukturen, welche Software dort eingesetzt wurde usw., das in Vergleich stellen zu den Informationen beim BND bzw. beim Militärischen Abschirmdienst. Und wenn man da jetzt feststellen würde, dass es bei allen doch Übereinstimmungen gibt, dann ist das ja schon einmal ein ganz gutes Indiz, dass die von der gleichen Quelle stammen."
Die Echtheit der Snowden-Dokumente können die IT-Forensiker aber nur nachweisen, wenn Generalbundesanwalt oder NSA-Untersuchungsausschuss diese Analysen auch wirklich durchführen lassen wollen. Bisher haben weder die Politik, noch die Justiz, noch die Sicherheitsbehörden einen solchen Untersuchungsauftrag erteilt. Über die Gründe dafür lässt sich natürlich trefflich spekulieren.