Iranische Führung hat den Internetverkehr fest im Griff

Während der Demonstrationen gab es - anders als 2009 - kaum Beeinträchtigungen. Das Internet im Iran wurde seitdem völlig zentralisiert. Mit der Sperre von Telegram und Instagram wurden alle Https-Kommunikationskanäle der Demonstranten abgedreht.

Von Erich Moechel

Anders als bei den Großdemonstrationen 2009 hatte die iranische Führung diesmal die Kommunikation fest im Griff. Facebook, Twitter und Co sind seit Jahren im Iran gesperrt, deshalb hatte sich fast das gesamte Netzpublikum auf die verbliebenen Sozialen Netzwerke Telegram und Instagram aufgeteilt. Mit dem Zugriff der iranischen Behörden wurden diese beiden verschlüsselten Kommunikationswege für mindestens 40 Millionen iranische Benutzer auf einen Schlag gesperrt.

Die Internetarchitektur wurde seit 2009, als der gesamte Datenfernverkehr des Iran über einen schwachbrüstigen Link zum Carrier Türk Telecom geroutet wurde, völlig zentralisiert. Alle internationalen Anbindungen wie der gesamte inneriranische Verkehr gehen über das Telekomministerium in Teheran, nur das verschlüsselte TOR-Netz stand und steht offen. Das benötigen etwa jene iranischen Agenten, die am ersten Jänner mit einem massiven Trojanerangriff auf die Vereinten Arabischen Emirate aufgefallen sind.

Schlagartiges Blackout

Was sich die Sperre dieser einzigen, für ein breites Publikum offenen, aber https-verschlüsselten Kommunikationskanäle auf die Demonstranten ausgewirkt hat, kann unschwer nachvollzogen werden. Der Informationsaustausch unter den Demonstrierenden brach blitzartig zusammen, wer dann auf SMS auswich, stand auf dem Präsentierteller für die Behörden, denn die Telefonienetze wurden im Iran seit jeher vollständig kontrolliert.

Die in den Breitenmedien 2009 vorschnell als „Twitter-Revolution“ bezeichneten Demonstrationen waren erstens keine Revolution und das Massenkommunikationsmittel war damals SMS. Die Regel war, dass SMS über einen Gateway an Twitter gingen und ebenso wieder zurück, weil im Iran mobil vorwiegend über Nokia-Handys kommuniziert wurde. Auch war die Twitter-Site damals nicht https-verschlüsselt, die Überwacher des Regimes waren einfach überfordert, es waren zu viele Benutzer aufeinmal unterwegs.

Twitter auf, Verhaftungen, Twitter zu

So wurde Twitter erst einmal geblockt, dann kurz wieder aufgemacht und wenig später erneut gesperrt, derselbe Vorgang war auch mehrfach bei SMS zu beobachten. Die Protestierenden wurden einfach in mehreren Tranchen durch die iranischen Behörden abgefischt und verhaftet. Sobald die Ressourcen der Polizei knapp wurden, fand die nächste Sperre statt. Und wenn die Breitenmedien dann berichteten, das Regime habe Twitter offenbar wegen „des Drucks der Straße“ wieder öffnen „müssen“, da standen die davor verhafteten Iraner gerade vor dem Schnellrichter und das Regime nahm die nächste Dissidentengruppe ins Visier.

Das Internet im Iran

Diesmal war man um Längen besser vorbereitet, denn die Netzwerkarchitektur des Iran ist nun so eingerichtet, dass die iranische Telekombehörde binnen kürzester Zeit den gesamten Internetverkehr fast nach Belieben drosseln, umleiten oder sperren kann. Der gesamte ein- und ausgehende Verkehr des Iran passiert die Datencenter der staatlichen „Information Technology Company“ (AS12880), die vom Telekomministerium geleitet wird. In der grafischen Darstellung ist das der Knoten ganz links im Bild. Dem vorgelagert ist ein zweiter großer Datenhub auf iranischem Boden, der Telecommunication Infrastructure Company TIC (AS48159), die ebenfalls zum Telekomministerium gehört.

Die wichtigste Anbindung des Iran an die Welt geht derzeit über den Carrier Telia nach Schweden (AS1299), die zweite Direktverbindung läuft über das indische Tata-Netz (AS6453) in die USA. Von dort gehen die beiden stärksten Links zum deutschen Carrier GTT (AS3257) bzw wieder in das Netz von Tata, über das auch der gesamte IPv6-Verkehr aus dem Iran geroutet wird. Das lässt darauf schließen, dass nur der vorgelagerte zweite iranische Knoten bereits über IPv6-taugliche Überwachungsswitches verfügt.

Umbau während eines Aufstands

Die Basis für die heutige Architektur des Netzes wurde im Juni 2009 gelegt. Da war es nach Bekanntgabe des Wahlergebnisses - Ahmadinedschad hatte gewonnen - zu immer mehr Störungen und Ausfällen gekommen, dann verschwanden auf einen Schlag 180 iranische Subnetze aus den internationalen Routing-Tables, den „Straßenkarten“ des Internets. Wenig später waren diese Netze wieder zurück, doch anderswo angebunden. Sämtlicher Internet-Verkehr, der in beide Richtungen bis dahin über die Glasfaserkabel von FLAG, Singapore Telecom, PCCW, Telia und Telecom Italia geflossen war, ging dann über die Leitungen von Türk Telecom.

TOR-Netz, iranische Trojaner

Über das TOR-Netz oder „Darknet“ im Polizei-Jargon, blieb von den Sperrmaßnahmen offenbar gänzlich unbehelligt. Der Verkehr aus dem Iran hat sich zwar bald verdoppelt mit Spitzen von 10.000 gleichzeitigen Benutzern, angesichts mehr als 60 Millionen User ist das ein Tropfen auf einem heißen Stein.

Neben Dissidenten benutzten wohl auch auch iranische Offizielle das TOR-Netz für gewisse Kommunikationen, auf jeden Fall aber gehören zwei „Advanced Persistent Threats“ (APTs) dazu. Das ist die Umschreibung für staatliche Cyberangriffstruppen, die mit entsprechenden Ressource, um dauerhaft Attacken durchzuführen und auch in gut gesicherte Netze vorzudringen.

Cybermacht Iran

Zwei verschiedene solche Gruppen sind bereits als APT33 und APT34 identifiziert, eine davon ist am ersten Jänner zuletzt mit einer größeren Attacke aufgefallen. Sie läuft im Rahmen einer mehrmonatigen Kampagne gegen Ziele in den Vereinten Arabischen Emiraten, davor hatte man monatelang Saudi-Arabien im Visier. Wie in China, Nordkorea, oder Vietnam ist entlang der Überwachung und Unterdrückung der eigenen Bevölkerung eine Cybertruppe herangewachsen. Und zwar die wohl mächtigste im Nahen Osten, wenn man von Israel absieht.