Der Internet-Überwachungsplan der Polizei

Nach Informationen, die ORF.at vorliegen, diskutiert das Innenministerium derzeit mit den Providern über Maßnahmen für eine österreichische "Branchenlösung" zur Internet-Überwachung. Dabei verlangen die Dienste unmittelbaren Zugriff auf die Netzwerke der Anbieter. Auch bei verschlüsselten Skype-Telefonaten kann die Polizei mittlerweile mitlauschen.

Merkwürdig: Seit Tagen bekommt Ihr Rechner immer ein und dieselbe IP-Adresse im ADSL-Netz zugewiesen, obwohl in den Geschäftsbedingungen ihres Providers ausdrücklich von dynamisch vergebenen, also stets wechselnden IP-Adressen die Rede ist.

Wenn dann auch noch Ihr Notebook vom UMTS-Anbieter bei jeder Einwahl ebenso mit stets derselben IP-Adresse versehen wird, dann liegt das nicht an plötzlich geänderten Geschäftsbedingungen. Mit hoher Wahrscheinlichkeit werden vielmehr Ihre Internet-Zugänge polizeilich überwacht.

Die "Branchenlösung"

Die Zuweisung von fixen IP-Adressen ist nämlich Teil einer "Branchenlösung", die vor allem vom Innenministerium betrieben wird. Anders als bei der Telefonie, für die es verbindliche Normen des European Telecom Standards Institute [ETSI] gibt, die hierzulande in der Überwachungsverordnung [ÜVO] von 2003 festgeschrieben sind, ist das Abgreifen des Internet-Verkehrs in Österreich nicht normiert.

Die Strafprozessordnung schreibt zwar die Zusammenarbeit von Internet-Providern mit den Behörden vor, allein: Die Vorgangsweise und technische Umsetzung sind nicht geklärt.

Die Überwachungsverordnung

Die Standards zur Integration des Internet-Verkehrs in die Überwachungsschnittstellen sind im ETSI längst im Standard ES 201 671 Version 3.1.1. erstellt worden.

Damit sie auch für die Branche in Österreich verbindlich sind, müsste die Überwachungsverordnung von 2003, die noch die Vorgängerversion ES 201 671 Version 2.1.1. vorschreibt - Telefonie, ohne Internet -, novelliert werden. Doch dazu fehlt momentan ganz offensichtlich der politische Wille.

Sitzung im Arsenal

Da es derzeit keine Terroranschläge gebe, sei die Möglichkeit einer raschen Umsetzung nicht gegeben, erklärte ein Vertreter des Innenministeriums ganz unverblümt Ende Juni bei einer Diskussionsveranstaltung im Wiener Arsenal.

Dort waren Vertreter von Innenministerium [BMI] und Regulierungsbehörde RTR mit Anbietern von Breitbanddiensten aus Festnetz und Mobilfunk zusammengetroffen, um eine "nationale, österreichische Lösung" zur Überwachung des Internet-Verkehrs zu diskutieren.

Aus dem Protokoll

Der Ansatz des BMI gehe davon aus, dass einem Teilnehmeranschluss eine feste IP-Adresse zugewiesen werde, heißt es dazu im Protokoll der Veranstaltung.

Und weiters: "Auf Ebene des IP-Layer werden in weiterer Folge alle relevanten Datagramme eines IP-Stroms dupliziert und die Kopie entweder auf einem Medium zwischengespeichert oder über entsprechende Verbindungen [z. B. IP-VPN] direkt an die überwachende Behörde übertragen. Als Trigger soll allein die fest zugewiesene IP-Adresse dienen."

Geeignete Geräte ["Sniffer"] seien auf dem Markt verfügbar und könnten bei Bedarf auch vom BMI bereitgestellt werden.

Bridges und Sniffer

Der Fahrplan des BMI sieht weiters "kleine Schritte" in Richtung der angestrebten Lösung vor: Im Netz jedes Providers befindet sich an zentraler Stelle eine vom Innenministerium zertifizierte "Network Bridge", die den Datenverkehr dupliziert und an einen BMI-Rechner vor Ort weitergibt, auf dem eine Sniffer-Software läuft.

Die in dieser Verkehrsanalyse "erschnüffelten" Datensätze sollen dann über eine sichere VPN-Verbindung ins Ministerium übermittelt werden.

Die "Frickelkiste"

An dieser Stelle der Diskussion im Arsenal kam es freilich zu Umutsäußerungen. "Wir hängen sicher bei uns kein Kistl ins Netz, das nicht von uns abgenommen ist", war seitens eines der größten Provider zu hören, auch der wenig schmeichelhafte Begriff "Frickelkiste" fiel.

Wie der Diskussion weiter zu entnehmen war, setzen ein führender UMTS-Anbieter bzw. ein großer Breitband-Provider schon jetzt ganz ähnliche Lösungen mit "Network Bridges" ein. Abgegriffen werden die Verkehrsdaten der Kunden am Konzentrator-Network-Switch bzw. am UMTS-Konzentrator.

Provider ausgeschaltet

Zurzeit werden die Verkehrsdaten in der Regel noch per Anfrage ermittelt, das heißt, der Provider liefert auf Anordnung eines Richters die Logfiles des betreffenden Kunden an die Polizei.

Bis die Installation der österreichischen Lösung" an den Konzentrator-Switches erfolgt ist, rücken die Beamten, mit "Bridges" und "Frickelkisten" ausgerüstet, zum Provider aus.

Bei beiden Lösungen wird der Provider ausgeschaltet, da die Filterung der Daten hinter der "Bridge" durch einen Rechner des BMI passiert. Für den Netzbetreiber ist so nicht nachvollziehbar, nach welchen Daten der innenministerielle Sniffer sonst noch snifft.

Das NSA-Prinzip

Das Prinzip "Kopiere den gesamten Datenverkehr an zentraler Stelle und filtere dann das Gesuchte aus" ist natürlich keine österreichische Erfindung.

Der US-Supergeheimdienst NSA arbeitet nach demselben Muster, allerdings nicht mit vergleichsweise primitiven Bridges und schon gar nicht mit "Frickelkisten".

An den Glasfaserverbindungen zwischen den Core-Routern des Netzbetreibers AT&T wird der gesamte Datenverkehr vermittels eines - zugegebenermaßen noch primitiveren - "Splitters" kopiert und an einen monströsen 10-Gigabit-Switch weitergeleitet.

"Tiefe Paketinspektion"

Der funktioniert wie eine superschnelle Mülltrennungsanlage, mittels "Deep Packet Inspection" werden obsolete Verkehrsdaten aussortiert, die übrigen werden nach den verwendeten Protokollen [HTTP, POP3, SMTP, Tauschbörsen etc.] sortiert und auf eine Kaskade von Analyseservern verteilt.

Skype kein Problem mehr

Interessanterweise war in der Auskunftsveranstaltung zu erfahren, dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.

Noch vor wenigen Monaten war die angeblich nicht knackbare Skype-Verschlüsselung eines der hauptsächlichen Argumente des Innenministeriums für den Einsatz des "Bundestrojaners" gewesen.

Mehr zum Thema:

• Echtzeit-Überwachung des Netzverkehrs im NSA-Stil

• Die Österreichische Überwachungsverordnung

• Selbstschuss mit Polizei-Trojaner

Robbenfreunde, aufgepasst!

Was die Situation hierzulande betrifft, so sollen im Laufe des Sommers Arbeitsgruppen gebildet werden, in denen die "österreiche Lösung" einer technischen Umsetzung zugeführt werden soll.

Was dynamische IP-Adressen angeht, die plötzlich statisch werden, so ist diesbezügliche Wachsamkeit durchaus angebracht, vor allem wenn man einen überzeugten Veganer oder eine Aktivistin gegen Robbenjagd in seinem Bekanntenkreis hat.

Im Rahmen der Operation "Pelztier" wurden nach § 278a StGB ["kriminelle Organisation"] über 70 Überwachungsmaßnahmen gegen "Tierrechtsaktivisten" durchgeführt, bei denen neben Standort- und Verkehrsdaten von Handys auch IP-Adressen und E-Mails eine Rolle spielten.

(futurezone | Erich Moechel)