FM4-Logo

jetzt live:

Aktueller Musiktitel:

Bronzeskulptur: Person hält Hand ans Ohr, um besser zu hören

CC0

Erich Moechel

Telefonüberwachung wird in 5G-Netzen zum Problem

Ausgerechnet das vordem nahezu triviale Mitschneiden von Telefonaten wird in 5G-Netzen ein Problem, das beim Roaming schlagend wird. Grund dafür ist ein vereinfachtes Roaming-Verfahren, das von den Telekoms bereits in den LTE-Netzen eingesetzt wird.

Von Erich Moechel

Je weiter die Standardisierung der Überwachung den kommenden 5G-Netzen vorangeht, desto klarer treten die zu erwartenden technischen Probleme zu Tage. Die Sondersitzung der Überwachungstruppe 3GPP SA3LI in der ersten Septemberwoche war deshalb zur Gänze Fehlerkorrekturen und der Vorbeugung von Protokoll-Kollisionen besonders beim Roaming gewidmet.

Ein Gutteil der dort vorgelegten technischen Dokumente befasst sich deshalb mit den verschiedenen möglichen Roaming-Szenarien. Als mithin komplexestes Problem stellt sich ausgerechnet die vordem triviale Überwachung von Telefongesprächen beim Roaming heraus. Seit der Einführung von LTE-Breitband setzen die meisten Telekoms dabei auf ein vereinfachtes Roaming-Verfahren, das seine Tücken für die Strafverfolger erst mit der Einführung von 5G offenbart.

Grafik

Public Domain

Links unten in der Grafik des Branchenverbandes GSMA sieht man, dass „Voice over LTE“ (VoLTE) weltweit bereits stark verbreitet ist. In den 5G-Netzen werden dann alle weltweiten Operators Vo5G implementieren.

Routing im Gastnetz

Um 5G-Netze überwachen zu können, müssen diese Netze in jedem einzelnen Segment der 5G-Cloud eine Schnittstelle zur Überwachung erhalten. Diese Interfaces werden im European Telecom Standards Institute gerade normiert.

Die Probleme resultieren aus dem vereinfachten Roamingverfahren S8HR, das von den Telekoms bevorzugt wird. S8HR für VoLTE war in den bestehenden LTE-Netzen weitaus einfacher zu implementieren als das vom Branchenverband GSMA favorisierte Verfahren LBO („Local Breakout“). Der wesentliche Unterschied dabei ist, dass bei LBO erst aufwändige Interoperabilitätstests mit jedem einzelnen Roaming-Netz gefahren werden müssen. Das gesamte Routing von Sprach- und Videodatenpaketen besorgt in diesem Fall nämlich das Roaming-Netz, mit allen Unwägbarkeiten, die durch unterschiedliche Netzwerkkonfigurationen und vorgegebene Parameter für das jeweilige Smartphone entstehen. Da das Routing des roamenden Smartphones vom Gastnetz übernommen wird, sind hier allerdings alle Identifikatoren - der wichtigste davon ist die sogenannte IMSI - relativ einfach abzugreifen.

Grafik

Metaswitch

In dieser Grafik des Unternehmens Metaswitch - das mit 5G-überwachung selbst nichts zu tun hat - sind die beiden Netzwerkfunktionen dargestellt, die für eine erfolgreiche Überwachung eines Roaming-Smartphones den Ausschlag geben. Die „Session-Management-Funktion“ (SMF, rot eingezeichnet) muss die „User-Plane-Funktion“ (UPF, blau) permanent überwachen, um die Protokolle zum Aufbau eines Telefonats in diesem Datenstrom zu identifizieren und zu überprüfen, ob das betreffende Smartphone auf der Liste der zu überwachenden Geräte steht.

S8HR, Routing von daheim

Die geheime Liste aller polizeilich überwachten Nummern eines Providers muss vielfach dupliziert an allen Abzapfpunkten des 5G-Netzes verfügbar sein. Damit haben die Strafverfolger ein Problem.

Beim S8HR-Verfahren („S8 Home Routing“) wird das Routing nicht im Gast- sondern im Herkunftsnetz des betreffenden Smartphones abgewickelt. Die S8HR-Methode lässt sich dadurch zwar schnell und für alle möglichen Roaming-Netze passend implementieren. Ein fremdes Smartphone kann dann allerdings von mindestens zwei „Services“ im Roaming-Netz nicht mehr bedient werden. Es handelt sich dabei um „Lawful Interception“, das gerichtlich angeordnete Abhören von Telefonaten - das technisch ebenfalls ein Service des Netzbetreibers ist - sowie die automatische Notruffunktion samt Übermittlung der Geodaten. Und hier gibt es bei S8HR Probleme.

Die Routingbefehle für diese Datenpakete kommen nicht über die sogenannte „Control Plane“ des Netzbetreibers, in der die Metadaten, Steuerbefehle, IMSI-Kennungen usw. in den Mobilfunknetzen transportiert werden, sondern über das sogenannte „IP Multimedia Subsystem“ herein. Etwas vereinfacht gesagt, ist damit der gesamte TCP/IP-Verkehr gemeint und darüber laufen seit „Voice Over LTE“ auch sämtliche Telefonate inklusive des Wählvorgangs. Auf der „User Plane“ werden allerdings nur temporäre Identifikatoren (XIDs) eingesetzt, das heißt, es muss noch ein weitere Funktion zum Abgleich der temporären Kennung mit dem tatsächlichen Identifikator geben. Das ist in der Regel die „International Mobile Subscriber Idenfication“ (IMSI) bzw. die Hardware-Kennung des Smartphones (IMEI). Nur mit dieser weltweit eindeutigen Kennung können die Strafverfolger das Ziel-Smartphone eindeutig identifizieren.

Grafik

Public Domain

Diese Eingabe des britischen Geheimdienstes GHCQ im Standardisierungsgremium für Überwachung 3GPP SA3LI zeigt die Probleme, die in der Roaming-Praxis dann entstehen, wenn das Routing vom Herkunftsnetz besorgt wird. Wenn vom Smartphone irgendeine TCP/IP-Session eröffnet wird, wird laut den Vorgaben des European Telecom Standards Institute (ETSI), eine temporäre Identifikationsnummer (XID) für dieses Smartphone angelegt. Hat das Smartphone neben einem Telefonat aber noch eine zweite oder mehrere TCP/IP-Verbindungen offen - etwa zu WhatsApp oder anderen Chatservices - müsste dieselbe XID noch einmal vergeben werden. Das aber ist von den 5G-Standards ausdrücklich untersagt, weil das mit den übergeordneten 5G-Protokollen kollidieren und in einer Fehlermeldung resultieren würde. Sämtliche Dokumente des Treffens von 3GPP SA3LI Anfang September

„Deep Packet Inspection“ in Permanenz

Zuletzt hatte das FBI massiv in die 5G-Überwachungsstandards eingriffen. Zusammen mit europäischen Strafverfolgern und Geheimdiensten versucht man nun, die Telekoms zu zwingen, die 5G-Sicherheitsarchitektur entlang der Überwachungswünsche der Behörden umzubauen.

Um den Aufbau eines Telefonats überhaupt zu bemerken, muss der Operator eines solchen Netzes aufwändige Filtermechanismen über den gesamten Datenverkehr im Netz bereitstellen, um VoIP-Telefonate anhand der verwendeten Protokolle (SIP, SDP, RTP/RTCP) zu identifizieren. Die Datenpakete der Telefonate sind nämlich im selben Datenstrom unterwegs wie Youtube-Videos, Online-Gaming, WhatsApp-Chats oder E-Mails. Der gesamte Datenverkehr aller Kunden muss daher laufend analysiert werden, um jedes Roaming-Telefonat eines zu überwachenden Smartphones bereits beim Anrufaufbau zu identifizieren und die Gesprächsinhalte für Überwachungszwecke zu kopieren.

Die Mechanismen zur Überwachung aber befinden sich auf einer Netzwerkebene darunter und können erst in Aktion treten, wenn sie vom „Paketeinspektor“ informiert werden. Rund um die Paketinspektion ist damit ein weiterer „Point of Intercept“ nötig und zwar genau zwischen der „Control Plane“ des Netzbetreibers und der „User Plane“ (siehe Grafik weiter oben). Das ist der einzige Punkt in der Topologie eines 5G-Netzes, an dem VoLTE/Vo5G-Telefonate beim Roaming mitgeschnitten werden können. Sehr zum Unmut der Strafverfolger muss daher die Liste aller im betreffenden Netz zu überwachenden Anschlüsse auch an diesem Punkt vollständig vorhanden sein.

Grafik

Public Domain

Dieser Vorschlag aus demselben Dokument des GCHQ dürfte den Telekoms kaum gefallen. Die Benutzeridentifikationsnummer muss mit zusätzlichen Parametern versehen werden, „was manche Leute geschmacklos finden könnten“, wie sich das GCHQ ausdrückt. Gemeint sind damit die Telekoms, denn eine solchermaßen aufgeblasene Kennung jedes roamenden Smartphones benötigt deutlich mehr an Rechenleistung im 5G-Netz.

Vorprogrammierte Latenzen

Wie aus den bei der Sitzung von SA3LI vorgelegten Dokumenten ebenfalls hervorgeht, bereitet man sich schon auf die aus dem Routing/Roaming-Problem resultierenden Szenarien vor. Da Heimnetz-basiertes Routing wenigstens während der nächsten Jahre auch das Roaming in den 5G-Netzen dominieren wird, ist abzusehen, dass die Strafverfolger ihre Forderung an die Telekoms, alle verlangten Metadaten und sämtliche Telefonate eines überwaschten Anschlusses vollständig zu erfassen, wohl revidieren müssen. In der Praxis ist mit einiger Wahrscheinlichkeit zu erwarten, dass die zur Überwachung nötigen Routing-Daten erst dann vollständig vorliegen, wenn das Telefonat bereits begonnen hat. Wie hoch diese Latenzen ausfallen, ist derzeit noch völlig ungewiss.

Sachdienliche Informationen, Metakritiken, Dokumente et al. können hier verschlüsselt eingeworfen werden. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: