Standort: fm4.ORF.at / Meldung: "ITU-Weltgipfel bestätigt die Befürchtungen"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

6. 12. 2012 - 15:27

ITU-Weltgipfel bestätigt die Befürchtungen

Unter Federführung Chinas wurde ein Antrag auf eine ITU-Überwachungsnorm für Glasfasernetze eingereicht. Das betreffende Dokument liegt ORF.at vor.

Seit Montag tagt der 12. Weltgipfel der International Telecommunication Union (ITU) in Dubai hinter verschlossenen Türen. Bereits im Vorfeld hatten sich die Warnungen immer mehr gehäuft, dass Russland, China und andere Staaten in dieser Teilorganisation der Vereinten Nationen erstmals Normierungsvorschläge zur Regulierung des Internets einbringen würden.

Zuletzt hatte das EU-Parlament die ITU in einer ungewöhnlich scharf formulierten Resolution aufgefordert, diese Pläne fallen zu lassen.

Pflichtenheft für Überwacher

Ein offizielles ITU-Dokument, das ORF.at vorliegt, zeigt nun, dass diese Befürchtungen mehr als begründet waren. Das Papier ITU-T Y.2770 trägt den Titel "Anforderungen für 'Deep Packet Inspection' in Netzen der neuen Generation".

Wie in Standardisierungsgremien üblich, startet ein solcher Normierungsprozess mit einer Art Pflichtenheft. In diesen "Requirements" wird für Netzbetreiber, die diese ITU-Norm in spe erfüllen wollen - oder auch müssen, wie offenbar in China - definiert, welche technischen Voraussetzungen dafür nötig sind.

Screenshot

Radio FM4

Wuhan, China

Netze der "nächsten Generation" bezeichnet Glasfasernetze, "Deep Packet Inspection" aber ist nichts anders als Highspeed-Überwachung der Glasfaser nahe an Echtzeit. Der Editor des Dokuments der Arbeitsgruppe SG-17 heißt laut ITU-Website Guosheng Zhu, seine E-Mailadresse führt zu einem Ausrüster für Glasfasernetze: FiberHome Networks mit Hauptsitz in Wuhan, China.

Das Vorhaben Chinas und Russlands ziele darauf ab, eine "ITU Mark" zu definieren, eine Art Zertifikat für Konformität mit ITU-Normen, sagte der Normierungsexperte Tony Rutkowski zu ORF.at. "Der Schachzug in der ITU-T Arbeitsgruppe war, die Regulierung von Cloud Computing als technischen Standard zu etablieren."

Einleitend sind die allgemeinen Features einer solchen Gerätschaft zur Tiefen-Inspektion von Datensätzen kurz angerissen. Messungen von Datendurchsatz, Lastausgleich zwischen den Leitungen und andere, allgemeine Live-Statistiken über das Verkehrsaufkommen in einem großen Glasfasernetz.

Echtzeitanalyse von Datensätzen

Natürlich könne die vorgeschlagene Norm für solch allgemeines Datenmanagement ebenso benutzt werden, heißt es da, aber das sei nicht Aufgabe des Standards. Hier geht es um einen spezifischen Aspekt des Netzwerkmanagements, nämlich um "feinkörnige" Überwachung der Inhalte. Das ist das eigentliche Thema dieser "ITU-Anforderungen". An allererster Stelle abgehandelt wird nämlich das Erfassen "nicht-nativer Kodierungen", das ist verschlüsselter Datenverkehr.

Ähnlich wie ein Virenscanner alle Dateien eines PCs systematisch nach ganz bestimmten "Signaturen" durchsucht - für die Schadsoftware charakteristische Zeichenfolgen - werden hier enorme Datenflüsse in ganz großem Stil nahe an Echtzeit analysiert. Tauschbörsenverkehr, Internettelefonie oder Videostreams können als solche identifiziert werden, das ist Voraussetzung für ihre Überwachung, an deren Anfang immer "Deep Packet Inspection" steht.

Wie DPI funktioniert

Im Fall dieser chinesischen Norm, die offenbar auch beim tatsächlichen Standardgremium für das Internet, der IETF (Internet Engineering Taskforce) eingereicht werden soll, liegen die Dinge ganz offen.

Die gesuchten "Signaturen" sind frei definierbar und können alle möglichen Meta- oder Inhaltsdaten der jeweiligen Pakete betreffen. Die superschnellen DPI-Switches sind bereits fähig, Datenverkehr weit jenseits der 10 Gbit/sec zu "sortieren" und je nach Programmierung des Switches auf eine bestimmte Art von Datenpaketen "scharf zu stellen". Hinter dem Switch hängt eine Kaskade von Analyse-Servern, die dann jeweils für eines der vielen Protokolle der TCP/IP-Familie zuständig sind.

Datenmülltrennung

Die Switches hängen dabei nicht direkt im Datenstrom des Providers, sondern an einer parallelen Glasfaserleitung, auf die der gesamte, zu überwachende Stream eins zu eins kopiert wird.

Die DPI-Switches sind ein Mittelding zwischen Sortier- und Mülltrennungsanlagen, für die Auswertung irrelevante Daten werden quasi im Flug weggeschmissen, die gesuchten Datensätze routet man zur Analyse auf einen entsprechenden Server weiter.

Auf der ITU-Website finden sich zum betreffenden Dokument nur diese dürren Informationen. Weder die Namen der Mitglieder der Arbeitsgruppe, noch der Text sind für die Öffentlichkeit bestimmt.

Fallbeispiel eins: Verschlüsselung

Wonach da etwa gesucht wird, zeigt gleich das erste Fallbeispiel "Inspektion verschlüsselten Datenverkehrs". Auch wenn die Inhaltsdaten verschlüsselt seien, so könnten doch jene Metadaten, die dabei unverschlüsselt mitgesendet würden, untersucht werden, heißt es in Punkt R-6.8.1/1.

So ließen sich zum Beispiel auch SRTP-verschlüsselte Dateien für Informationsgewinn nützen, da die Adressierung ("Header") eben unverschlüsselt mitkomme. "Secure Real-time Transport Protocol" (SRTP) ist ein Protokoll, das zum Aufbau einer verschlüsselten Verbindung für Internettelefonie benutzt wird.

Radio FM4

"Bit-Muster, grobe Granularität"

"In speziellen Anwendungsfällen", wenn nur eine "grob granuläre" Zuordnung gefragt sei, könnten diese Informationen schon genügen, heißt es unter 6.8.2. Überdies könne das "Bit-Muster" der so abgegriffenen Verkehrsdaten zu einer späteren Mustersuche verwendet werden.

Im Falle anderer Verschlüsselungsformen wie IPsec, bei der auch die Metadaten verschlüsselt daherkommen, lasse sich zumindest der Verkehr als "IPSec verschlüsselt" identifizieren, schreibt das von Guosheng Zhu geleitete, ansonsten unbekannte Autorenkollektiv von "SG 17".

Sicher verschlüsst, sicher geblockt

Legt man das auf die Realitäten in China um, so sind die Konsequenzen klar. Sobald sie identifiziert sind, können sicher verschlüsselte Datenpakete geblockt werden, alles andere wird tiefenanalysiert, also inhaltlich vollständig erfasst.

Im Ernstfall lässt sich ein riesiges Glasfasernetz durch Definition einer einzigen "Signatur" und einer damit einhergehenden Regel zum Beispiel zentral so konfigurieren, dass auf einen Schlag der gesamte verschlüsselte Verkehr aus Firmennetzen (VPNs) geblockt wird. Bei unverschlüsseltem Verkehr sieht die ITU-Partitur in erster Linie natürlich Tiefenanalysen vor.

"Aufspüren einer bestimmten Datei"

Erst nach ausführlicher Beschäftigung mit verschlüsseltem Verkehr kommt das Pflichtenheft zu den weitaus häufiger verwendeten Protokollen. An den Fallbeispielen aber lässt sich unschwer erkennen, wie feinkörnig diese Art von Totalüberwachung funktionieren kann, wenn es der Netzbetreiber denn so (müssen) will.

II.3. "Beispiel einer Anwendung für Visitenkarten - Korrelation von Mitarbeiter und Unternehmen". Erklärung: "Überwachung von E-Mailverkehr mit angehängten Visitenkarten". Fallbeispiel II.3.6: "Aufspüren einer bestimmten Datei, die von einem bestimmten Benutzer übertragen wird".

Screenshot

Radio FM4

"Wasserzeichen in MP3s"

Der in II.3.4 beschriebene Anwendungsfall dürfte bei einem bestimmten Industriesektor auf reges Interesse stoßen, er betrifft nämlich die "Weiterleitung von urheberrechtlich geschützten Audios". Gemeint sind "MP3-Dateien, die nach digitalen Wasserzeichen durchsucht" werden. Was dann passiert, hängt von den Intentionen derer ab, die diese Tiefeninspektion der gesamten Datenkommunikation durchführen.

Im Falle von urheberrechtlich geschützten MP3s wird sich wohl eher die Musikindustrie als ein Geheimdienst dafür interessieren.

Wunschkonzert für Telekoms

Auch für die Telekoms spielt dieses Überwachungsswunschkonzert eines chinesischen Dirigenten, einige verlockende Sequenzen. Unter dem Titel "Sicherheitscheck" wird II.4.2. das Abblocken von SIP-Paketen angeführt, die "bestimmte Typen von Inhalt aufweisen".

Übersetzt: Die Datenpakete für Internettelefonie (SIP Protokoll) werden als solche identifiziert. Damit können Mobilfunkbetreiber, die in diametralem Gegensatz zur Netzneutralität VoIP-Telefonie in ihren Netzen blockieren, natürlich allerhand anfangen.

Über denselben Mechanismus können Polizei oder Geheimdienste wahlweise auch weit genauer definieren, nach welchen Kriterien gesucht werden soll und natürlich auch die kompletten Telefonate mitschneiden.

Wie es weitergeht

Dieses chinesische Pflichtenheft wurde im Vorfeld dieses Weltgipfels, am 29. November bereits in der betreffenden ITU-Arbeitsgruppe durchgewunken. Das ITU-Plenum wiederum besteht aus Vertretern von 193 Staaten, bei den Standards bestimmen auch Kasachstan und Zimbabwe, Saudi Arabien, Nordkorea, Äthiopien, der Iran, Turkmenistan und andere Staaten dieses Kalibers mit jeweils einer Stimme mit.

Ein Plenarbeschluss dazu ist allerdings nicht nötig. Es wurde ja bloß der Entwurf für einen technischer Standard von einer UNO-Teilorganisation akzeptiert , der - wie eingangs beschrieben - nun "weiterentwickelt" wird.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • caligulaminus | vor 601 Tagen, 18 Stunden, 28 Minuten

    ITU-Empfehlungen

    ITU-Empfehlungen, und um so eine handelt es sich hier, werden einstimmig abgesegnet. Das heisst, ist nur eine Delegation (d.h. ein Staat) dagegen, tritt die Empfehlung nicht in Kraft. Also, was soll die Aufregung ?

    Hier gibts die Aktivitäten der genannten Study Group 17:
    http://www.itu.int/ITU-T/studygroups/com17/index.asp

    Auf dieses Posting antworten
    • tantejutta | vor 601 Tagen, 15 Stunden, 14 Minuten

      mit Verlaub, der Draft ist schon angenommen

      auf technischem Level. Jetzt wird er "weiterentwickelt" und dafür werden sich auch oben genannte Staaten jetzt erst recht interessieren. Sodann kann man sich bei der nächsten Treibjagd auf Dissidenten und die internationale Kritik ex post auf Konformität zu einem In Arbeit befindlichen ITU-Standard berufen. Ja, man arbeitet daran sogar aktiv mit!

      Das ist die eigentliche Gefahr. Und dass noch mehr autokratische Regierungen auf noch idiotischere Ideen kommen, als sie jetzt schon haben.

    • caligulaminus | vor 601 Tagen, 7 Stunden, 47 Minuten

      dann haben alle beim letzten plenary der sg xvii anwesenden staaten zugestimmt. wie weit die anderen sg (zg sg i und sg iii) involviert waren ist nicht bekannt. naja, noch ist die empfehlung ja nicht angenommen, und wie der name sagt - es ist eine empfehlung. mich wundert nur dass die usa in der sg xvii zugestimmt haben, die sind doch gegen fast jede standardisierung.

  • evro | vor 601 Tagen, 20 Stunden, 20 Minuten

    tja... meine einschätzung ...

    wenn die freiheit wirklich immer weiter eingeschränkt werden soll, wird uns allen in absehbarer Zeit die ganze überwachungssch**** & co. mit einem gewaltigen knall um die ohren fliegen.
    na bravo. na bumm.
    da sind viele unserer vorfahren für die Meinungs- und Redefreiheit gestorben. blüht uns etwas ähnliches?
    Da lag ich mit meiner hoffnung, dass sowas nicht eintreten wird, wohl falsch.

    schöne neue welt

    Auf dieses Posting antworten