Ausnutzen der normalen Monitoringfunktion eines Switches

Der DE-CIX ist - etwas vereinfacht - ein großer Layer-2 Switch. Jeder etwas bessere Switch bietet Monitoringfunktionen mit der man entweder ganze Ports oder einzelne VLANs auf einen anderen Port spiegeln kann.

Ganz offensichtlich hat der BND einen oder mehrere solcher Montioring Ports am DE-CIX. Hierfür genügt eine Vereinbarung zwischen dem BND und dem Betreiber des DE-CIX (eco Verband). Die anderen Kunden des DE-CIX (also die im Artikel erwähnten Provider) bekommen davon gar nichts mit und es bedarf somit auch keiner expliziten Vereinbarung.

Cisco beschreibt die Möglichkeiten des Monitorings in den normalen Handbüchern, z.B. unter
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_55_se/configuration/guide/swspan.html

Vor diesem Hintergrund ist eine konsequente Transportverschlüsselung (per https, imaps oder SSL/TLS) eine sinnvolle Maßnahme um diese Abhörmaßnahmen zumindest erheblich zu erschweren.