Telefonüberwachung wird in 5G-Netzen zum Problem
Von Erich Moechel
Je weiter die Standardisierung der Überwachung den kommenden 5G-Netzen vorangeht, desto klarer treten die zu erwartenden technischen Probleme zu Tage. Die Sondersitzung der Überwachungstruppe 3GPP SA3LI in der ersten Septemberwoche war deshalb zur Gänze Fehlerkorrekturen und der Vorbeugung von Protokoll-Kollisionen besonders beim Roaming gewidmet.
Ein Gutteil der dort vorgelegten technischen Dokumente befasst sich deshalb mit den verschiedenen möglichen Roaming-Szenarien. Als mithin komplexestes Problem stellt sich ausgerechnet die vordem triviale Überwachung von Telefongesprächen beim Roaming heraus. Seit der Einführung von LTE-Breitband setzen die meisten Telekoms dabei auf ein vereinfachtes Roaming-Verfahren, das seine Tücken für die Strafverfolger erst mit der Einführung von 5G offenbart.
Public Domain
Routing im Gastnetz
Um 5G-Netze überwachen zu können, müssen diese Netze in jedem einzelnen Segment der 5G-Cloud eine Schnittstelle zur Überwachung erhalten. Diese Interfaces werden im European Telecom Standards Institute gerade normiert.
Die Probleme resultieren aus dem vereinfachten Roamingverfahren S8HR, das von den Telekoms bevorzugt wird. S8HR für VoLTE war in den bestehenden LTE-Netzen weitaus einfacher zu implementieren als das vom Branchenverband GSMA favorisierte Verfahren LBO („Local Breakout“). Der wesentliche Unterschied dabei ist, dass bei LBO erst aufwändige Interoperabilitätstests mit jedem einzelnen Roaming-Netz gefahren werden müssen. Das gesamte Routing von Sprach- und Videodatenpaketen besorgt in diesem Fall nämlich das Roaming-Netz, mit allen Unwägbarkeiten, die durch unterschiedliche Netzwerkkonfigurationen und vorgegebene Parameter für das jeweilige Smartphone entstehen. Da das Routing des roamenden Smartphones vom Gastnetz übernommen wird, sind hier allerdings alle Identifikatoren - der wichtigste davon ist die sogenannte IMSI - relativ einfach abzugreifen.
Metaswitch
S8HR, Routing von daheim
Die geheime Liste aller polizeilich überwachten Nummern eines Providers muss vielfach dupliziert an allen Abzapfpunkten des 5G-Netzes verfügbar sein. Damit haben die Strafverfolger ein Problem.
Beim S8HR-Verfahren („S8 Home Routing“) wird das Routing nicht im Gast- sondern im Herkunftsnetz des betreffenden Smartphones abgewickelt. Die S8HR-Methode lässt sich dadurch zwar schnell und für alle möglichen Roaming-Netze passend implementieren. Ein fremdes Smartphone kann dann allerdings von mindestens zwei „Services“ im Roaming-Netz nicht mehr bedient werden. Es handelt sich dabei um „Lawful Interception“, das gerichtlich angeordnete Abhören von Telefonaten - das technisch ebenfalls ein Service des Netzbetreibers ist - sowie die automatische Notruffunktion samt Übermittlung der Geodaten. Und hier gibt es bei S8HR Probleme.
Die Routingbefehle für diese Datenpakete kommen nicht über die sogenannte „Control Plane“ des Netzbetreibers, in der die Metadaten, Steuerbefehle, IMSI-Kennungen usw. in den Mobilfunknetzen transportiert werden, sondern über das sogenannte „IP Multimedia Subsystem“ herein. Etwas vereinfacht gesagt, ist damit der gesamte TCP/IP-Verkehr gemeint und darüber laufen seit „Voice Over LTE“ auch sämtliche Telefonate inklusive des Wählvorgangs. Auf der „User Plane“ werden allerdings nur temporäre Identifikatoren (XIDs) eingesetzt, das heißt, es muss noch ein weitere Funktion zum Abgleich der temporären Kennung mit dem tatsächlichen Identifikator geben. Das ist in der Regel die „International Mobile Subscriber Idenfication“ (IMSI) bzw. die Hardware-Kennung des Smartphones (IMEI). Nur mit dieser weltweit eindeutigen Kennung können die Strafverfolger das Ziel-Smartphone eindeutig identifizieren.
Public Domain
„Deep Packet Inspection“ in Permanenz
Zuletzt hatte das FBI massiv in die 5G-Überwachungsstandards eingriffen. Zusammen mit europäischen Strafverfolgern und Geheimdiensten versucht man nun, die Telekoms zu zwingen, die 5G-Sicherheitsarchitektur entlang der Überwachungswünsche der Behörden umzubauen.
Um den Aufbau eines Telefonats überhaupt zu bemerken, muss der Operator eines solchen Netzes aufwändige Filtermechanismen über den gesamten Datenverkehr im Netz bereitstellen, um VoIP-Telefonate anhand der verwendeten Protokolle (SIP, SDP, RTP/RTCP) zu identifizieren. Die Datenpakete der Telefonate sind nämlich im selben Datenstrom unterwegs wie Youtube-Videos, Online-Gaming, WhatsApp-Chats oder E-Mails. Der gesamte Datenverkehr aller Kunden muss daher laufend analysiert werden, um jedes Roaming-Telefonat eines zu überwachenden Smartphones bereits beim Anrufaufbau zu identifizieren und die Gesprächsinhalte für Überwachungszwecke zu kopieren.
Die Mechanismen zur Überwachung aber befinden sich auf einer Netzwerkebene darunter und können erst in Aktion treten, wenn sie vom „Paketeinspektor“ informiert werden. Rund um die Paketinspektion ist damit ein weiterer „Point of Intercept“ nötig und zwar genau zwischen der „Control Plane“ des Netzbetreibers und der „User Plane“ (siehe Grafik weiter oben). Das ist der einzige Punkt in der Topologie eines 5G-Netzes, an dem VoLTE/Vo5G-Telefonate beim Roaming mitgeschnitten werden können. Sehr zum Unmut der Strafverfolger muss daher die Liste aller im betreffenden Netz zu überwachenden Anschlüsse auch an diesem Punkt vollständig vorhanden sein.
Public Domain
Vorprogrammierte Latenzen
Wie aus den bei der Sitzung von SA3LI vorgelegten Dokumenten ebenfalls hervorgeht, bereitet man sich schon auf die aus dem Routing/Roaming-Problem resultierenden Szenarien vor. Da Heimnetz-basiertes Routing wenigstens während der nächsten Jahre auch das Roaming in den 5G-Netzen dominieren wird, ist abzusehen, dass die Strafverfolger ihre Forderung an die Telekoms, alle verlangten Metadaten und sämtliche Telefonate eines überwaschten Anschlusses vollständig zu erfassen, wohl revidieren müssen. In der Praxis ist mit einiger Wahrscheinlichkeit zu erwarten, dass die zur Überwachung nötigen Routing-Daten erst dann vollständig vorliegen, wenn das Telefonat bereits begonnen hat. Wie hoch diese Latenzen ausfallen, ist derzeit noch völlig ungewiss.
Sachdienliche Informationen, Metakritiken, Dokumente et al. können hier verschlüsselt eingeworfen werden. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 15.09.2019