Hadmut Danisch
Ansichten eines Informatikers

Deep Packet Inspection

Hadmut
13.4.2017 20:35
Uncategorized

Die Gelegenheit war günstig, noch ein Grundrecht abzuschafen, das Telekommunikationsgeheimnis.

Wo sie sowieso gerade dabei sind, ein Grundrecht nach dem anderen totzuschlagen, bietet sich die aktuelle Bedrohungslage doch geradezu an, auch das Telekommunikationsgeheimnis (Fernmeldegeheimnis) abzuschaffen. Das wollten sie ja schon mal, damals bei der Kinderpornosperre. Jetzt kommen sie halt mit was anderem als Begründung, jetzt ist es die Bedrohung. Heise schreibt dazu:

In einer Nacht- und Nebelaktion haben die Regierungsfraktionen ohne öffentliche Debatte den Weg freigemacht für eine umfangreiche Änderung des Telekommunikationsgesetzes (TKG), mit dem Provider künftig bei auftretenden Netzstörungen eine abgespeckte Variante der umstrittenen “Internet-Nacktscanner” in Stellung bringen und damit eine “Deep Packet Inspection light” (DPI) durchführen dürften. Mit diesen Überwachungsinstrumenten können Datenpakete durchleuchtet, Dienste diskriminiert und das Nutzerverhalten ausgespäht werden.

In dem Bundestagspaper ist dann die Rede von „Cybersicherheit“. Als Informatiker bekomme ich immer Milzgrollen, wenn solche pauschalen Laiensphärenbegriffe eingesetzt werden. Typisches Politschwafel, irgend so eine unscharfe Schwafelbombe zu werfen, und dann gehen alle in Deckung. Letztlich wird das da ja auch gar nicht begründet, sondern nur auf eine Richtlinie des Europäischen Parlaments vom 8.8.2016 verwiesen, wonach das so sein müsste.

Europäisches Parlament?

Stinkt das nicht gewaltig nach Martin Schulz und der SPD? Und dessen Digitalcharta, die sie im November 2016 rumpusteten?

Ist Cybersicherheit nur der Vorwand, geht es da darum, eine Zensurinfrastruktur aufzubauen?

In dem Gesetzentwurf wird § 100 TKG (welche Daten der Provider bei Störungen und Missbrauch verwenden darf) geändert:

a) In Satz 1 werden nach den Wörtern „der Teilnehmer und Nutzer“ die Wörter „sowie die Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind,“ eingefügt.

b) Nach Satz 1 wird folgender Satz eingefügt: „Die Kommunikationsinhalte sind nicht Bestandteil der Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung.“

Da will jemand an die TCP- und UDP-Header und an ICMP ran. Was sich da so verschwurbelt anhört ist die Formulierung für das, was zwischen den Routing-Angaben (Schicht 3, IP-Adressen), auf die der Provider ohnehin zugreifen muss, um seine Aufgabe zu erfüllen, und den übertragenen Inhalten (da gibt’s unterschiedliche Auffassungen, wie man TCP/IP in das ISO-Modell abbildet, nach meiner Lesart, die ich auch an der Uni gelehrt habe, wäre beispielsweise TCP Schicht 4 [Transport], HTTP und Cookies Schicht 5 [Sitzung], HTML Schicht 6 [Darstellung] und der Inhalt Schicht 7 [Anwendung]), liegen soll. Man könnte also im Prinzip auch an die HTTP-Header denken, obwohl diese eigentlich nicht mehr unter den Wortlaut fallen, weil der darin enthaltene URL und die Angaben im Response-Header nicht unabhängig vom Inhalt des Kommunikationsvorgangs sind. Bei anderen Protokollen analog.

Vermutlich also sind TCP und UDP, effektiv also die Portnummern, Ziel des Begehrs. Was ich ebenfalls für problematisch halte, aus zwei Gründen:

  • Auch diese sind nicht „unabhängig vom Inhalt des Kommunikationsvorgangs“, denn es ist natürlich ein Unterschied, ob ich eine Webseite abrufe, eine Mail versende oder ein Telefonat führe.
  • Der Provider darf nur Störungen und Missbrauchsfälle untersuchen, die ihn selbst betreffen, also gegen seine Netzwerke usw. gerichtet sind. Es ist nicht Aufgabe und Recht des Providers, Kunden vor Angriffen zu schützen. (Nur bei DoS durch Verstopfung der Bandbreite kann man das so sehen.) Paketversender dürfen auch nur die Pakete ablehnen oder aussortieren, die sie selbst und ihre Anlagen bedrohen (beispielsweise weil sie tropfen, stinken, explodieren können), aber nicht, weil sie für den Empfänger gefährlich wären.

    Da der Provider aber nur IP-Pakete transportiert und sich für TCP, UDP usw. eigentlich gar nicht zu interessieren hat, kann er davon auch nicht angegriffen werden.

Also eigentlich bringt das nichts im Sinne des Zwecks. Nur bei DoS-Angriffen könnte man sich denken, dass der Provider Pakete mit einer gewissen Dienstangabe sperren kann, weil gerade ein Angriff im Laufen ist. Aber gerade diese Daten sind ja vom Gesetz nicht erfasst.

Auch der Rest des Entwurfs liest sich so, als ginge es um DoS- und DDoS-Attacken, mit denen jemand die Leitung dicht gemacht wird, beispielsweise über Internet-of-Things-Geräte. Genau das haben wir ja kürzlich auch erlebt. Also würde es schon irgendwie passen.

Aber es liest sich halt einfach, als haben man die Gelegenheit genutzt, es gleich etwas breiter anzulegen. Da fehlt dann nicht mehr viel, um auch unliebsame Foren und so weiter zu sperren. Denn § 100 Abs. 3 spricht von „rechtswidriger“ Nutzung. Und momentan macht die Regierung ja alles „rechtswidrig“, was ihr politisch nicht passt. Zwar ist da der Zugriff derzeit noch darauf beschränkt, dass der Provider Entgeltansprüche eintreiben kann. Aber so eine Kleinigkeit ist dann schnell geändert, wenn erst mal der Zugriff als solcher etabliert ist.

So weit ist es schon gekommen, dass man den Zugriff von Hackern auf seine Daten als weniger schlimm empfindet als den der Regierung und der Provider.