Deep Packet InspectionDer Unterschied zwischen Internet in Diktaturen und Deutschland ist nur eine Konfigurationsdatei

Weltweit nimmt der Einsatz von Deep Packet Inspection Technologien zu. In autoritären Staaten werden damit Internet-Seiten und Suchbegriffe zensiert sowie Benutzer überwacht. Doch die selbe Technik ist auch bei deutschen Providern im Einsatz, gegen Skype und Filesharing. Der Unterschied ist nur eine Konfigurationsdatei – die kann per Mausklick blitzschnell geändert werden.

Deep Packet Inspection ist eine gefährliche Technologie. In einem Flyer warnt der Verein Digitale Gesellschaft davor mit folgendem Vergleich:

Stellen Sie sich vor, die Post öffnet alle Ihre Briefe und liest den Inhalt. Manche schreibt sie um – und andere schmeißt sie einfach weg. Das klingt absurd?

Genau das passiert mit Ihren Daten im Internet.

Und der Einsatz dieser Technik nimmt immer weiter zu. Die Zensur und Überwachung in Russland wird beispielsweise auch mit DPI-Technik aus dem Westen realisiert. Der Provider MTS setzt laut Agentura.RU „Deep Packet Inspection Technologie von Cisco“ dafür ein. Das dürfte die Serie Service Control Engine sein, die bereits 2009 einen Big Brother Award bekam:

Kein deutsches Produkt, aber weltweit bei Internetprovidern in IP-Netzwerken eingesetzt, ist die „Service Control Engine“ der Firma Cisco. Sie ermöglicht eine „Deep Packet Inspection“, d.h. eine genaue Untersuchung der Datenpakete bis zur Volltextsuche nach Begriffen oder bestimmten Daten mit einer Geschwindigkeit von bis zu 10 Gigabit pro Sekunde. Damit ist jeder Zweifel ausgeräumt, dass eine umfassende Internet-Überwachung auch bei wachsenden Datenmengen problemlos machbar ist.

Cisco: Service Control Engine


Das ist heute schon wieder überholt. In einer eigenen Broschüre spricht Cisco davon, dass man mit einer einzigen Cisco SCE 8000 250.000 Anschlüsse, 32 Million Datenströme und 30 Gigabit pro Sekunde „tracken und managen“ kann. Oder man macht sich ein ganzes Rack voll und verachtfacht diese „Leistung“ damit.

Cisco nennt selbst diese schönen Anwendungsfälle für den DPI-Einsatz:

  • Analyze, report on, and bill for subscriber and application usage
  • Classify and manage application sessions (including web browsing, multimedia streaming, and peerto-peer applications)
  • Enforce quality-of-service (QoS) policies and service guarantees for latency-sensitive applications (such as VoIP and interactive gaming)
  • Implement fair-use policies and manage network congestion by optimizing application-level traffic
  • Deploy service tiers based on volume, time, content, and premium IP service delivery
  • Introduce differentiated subscription services such as parental controls, turbo buttons, etc.
  • Introduce personalized, localized advertising on web pages
  • Partner with “over-the-top” web-based content providers by enabling unique service-level guarantees

Diese Maschinen sind so mächtig, das Zensieren von Webseiten machen sie „quasi nebenher“. Das sagte uns ein Techniker, der diese selbst einsetzt.

Auch in Deutschland im Einsatz


Und genau diese Hardware ist auch in Deutschland im Einsatz. Für die Deutsche Telekom gab das Thomas Grob, „Senior Expert Regulatory Strategy“ auf der Netz für alle-Konferenz zu, als er sagte:

Das Stichwort Service Control Engine wurde genannt. Das ist richtig. Auch die haben wir im Einsatz. Das wird insbesondere bei dem Mobilfunk verwendet und hier an der Stelle natürlich das kritische Thema Skype, Mobile, Voice over Internet. Das sind genau die Maschinen, die wir einsetzen, um eben in den Tarifen, wo wir das nicht zulassen, den Verkehr dann auch zu unterbinden. Das ist korrekt.

Wir nutzen diese Maschinen aber auch für eine ganze Reihe anderer Anwendungen, wie zum Beispiel eine Auswertung des Verkehrs. Das dient uns zur Netzplanung.

Auch Kabel Deutschland setzt dem Vernehmen nach Service Control Engines von Cisco ein. In zwei Stellenausschreibungen für einen System Engineer VAS (Value Added Service, Mehrwertdienst) und einen Manager Voice & Data Analyst wurden Menschen mit „[guten Kenntnissen] Traffic Management Devices (Cisco Service Control Engine oder vergleichbares)“ gesucht. In den Aufgaben des „Voice & Data Analysts“ finden sich diese Punkte:

  • Statistische Auswertung und Korrelation von Netzparametern, Netztopologie und Kundendaten
  • Trafficanalyse der genutzten Internet Protokolle & Service Klassen (bspw. HTTP, HTTPS, P2P, Browsing, Streaming, File Sharing, eMail, etc.)

Zudem ist schon seit 2008 bekannt, dass Kabel Deutschland den Filesharing-Traffic seiner Kunden ausbremst. Auch das dürfte mit Cisco Service Control Engines passieren.

(Weitere Details und Hinweise zum Einsatz solcher Technologien in Deutschland nehmen wir übrigens gerne entgegen, auch per PGP und anonym.)

Huawei: Das intelligente „Herz“ des Internets

Ein weiterer Hersteller von Deep Packet Inspection-Technologie ist der chinesische Telekommunikationsausrüster Huawei. Ebenfalls in einer Broschüre erklärt man Deep Packet Inspection zum intelligenten „Herz“ des mobilen Internets. Darin beschwert man sich, dass manche (wie wir) von Internet-Anbietern nur wollen, dass sie dumm Pakete durchleiten. Aber Huawei hat Ideen zur Profitmaximierung:

The transition of mobile data service operation calls for the emergence of an intelligent packet core network, which, based on service awareness, has abundant functionality like content-based billing, service control, bandwidth management, service analysis and personal firewall, etc.

Operators can charge according to the services that the users actually use, as is called content-based billing.

Precise service awareness allows you to control and filter services that might threaten network security.

Als chinesische Firma kennt man sich ja damit aus, welche Dienste zu „kontrollieren“ und „filtern“ sind.

Auf der Rückseite dieses DPI-Flyers ist dann folgende Meldung:

Huawei to build European Packet Switched Core Networks for T-Mobile International

In December 2007, T-Mobile of Deutsche Telekom chose Huawei to build its intelligent packet core network in Europe, covering five European countries, including Germany, England, Austria, Holland, and the Czech Republic. Mr Joachim Horn, the technical director of T-Mobile said, „Through adopting Huawei’s leading solution, T-Mobile expects to offer excellent and reliable services to the users, and realize our strategic commercial goal. We see Huawei as a reliable and trustworthy partner, and we look forward to long-term cooperation with each other.“

Allot: Dynamic Actionable Recognition Technology


Auch die israelische Firma Allot Communications ist mit „Bandwidth Management Solutions“ im Geschäft. Laut Eigenaussage steht „im Kern jedes Allot-Produkts“ DART, die Dynamic Actionable Recognition Technology. Auch hier bewirbt ein Flyer die Features, den wir mal befreit und ein paar interessante Teile kopiert haben:

DART is able to identify the voice and chat features of Skype, MSN and Yahoo messengers – enabling operators to gain deeper insights into user behavior.

DART can distinguish between different devices – dongles, smartphones, or tablets; and different handset makers – such as iPhone, Samsung, and Blackberry. End users tend to favor specific devices for certain types of usages. For example, some devices are the choice for bandwidth heavy video applications; others are preferred for latency sensitive applications, such as gaming; while a third type of devices are more user-friendly for emailing. The ability to correlate between the type of device and its most popular usages can be highly instrumental in future capacity planning, in the introduction of personalized service plans, as well as in strategic decision making.

Allot’s device awareness functionality enables operators to monitor tethering – using a mobile device as a modem for another device such as a laptop. The ability to identify tethering is important in service plan level enforcement, quota reporting, and charging.

DART can also identify the user who is generating the traffic. For example, the service provider may see that one subscriber is streaming YouTube videos to his laptop, while another is “skyping” from her iPhone. DART employs real-time mapping of static or dynamically allocated IP addresses to subscribers and their service plans in order to monitor subscriber-application usage and to track consumption patterns and trends in order to personalize the Internet experience.

Westliche Technologie in China und Russland


Weitere Firmen sind Sandvine aus Kanada und Procera aus Kalifornien. Letztere werben auf ihrer Startseite mit „extreme user awareness“.

Alle diese fünf Firmen haben ihre Hardware an Provider in Russland verkauft, die damit das Internet ihrer Kunden und Bürger zensieren und überwachen. Aber teilweise ist eben identische Hardware auch bei Providern in Deutschland installiert. Das ist gefährlich, denn damit ist der Unterschied zwischen einem zensierten Internet wie in Russland und einem freien und offenen Internet, das wir uns wünschen, nur noch eine Änderung in einer Konfigurationsdatei entfernt.

Die Bundesnetzagentur stellt sich blind

Diese gefährlichen Eingriffe in unseren Internet-Verkehr müssen aufhören. Das ist eigentlich auch Aufgabe der Bundesnetzagentur. Die fällt aber nicht gerade durch Übereifer auf. Im Gegenteil, am Montag war eine Anhörung im Unterausschuss Neue Medien des Deutschen Bundestages zu den Berichten der Europäischen Regulierungsstelle Berec zur Netzneutralität. Dr. Cara Schwarz-Schilling, die Referatsleiterin für Grundsatzfragen der Internetökonomie bei der Bundesnetzagentur, sagte dort:

Cara Schwarz-Schilling: DPI ist in der Tat ein Thema für Herrn Schaar. Ich meine, das ganze Internet ist ein Thema für Herrn Schaar, weil letztlich das Internet-Protokoll so aufgebaut ist, dass sie da in den Header reingucken müssen und wie weit sie in dieses Paketchen reingucken, das … *puh* Ich meine das ist … *ähm* De facto, das wissen wir ja alle, das wird auch jedem gesagt, E-Mail ist öffentlich, wie eine Postkarte. Also Netzbetreiber können in die Pakete reingucken. Wie weit sie in die reingucken .. *ähm* das ist … schwierig zu sagen.

Manuel Höferlin: Aber meine Frage war: Liegen ihnen Erkenntnisse vor, also bei der Netzagentur oder bei BEREC, in wie weit ISPs oder Anbieter solche Verfahren verwenden, um Netzwerkmanagement zu betreiben, Pakete zu drosseln oder bestimmte Verkehre auszuschließen, neben Port-Management.

Cara Schwarz-Schilling: Also zum Beispiel in unserer Abfrage bei BEREC hat keiner angegeben, DPI zu machen.

Gelinde gesagt, verwundert diese Aussage. Im Bericht schreibt die BEREC nämlich:

Among the restrictions related to specific types of traffic, the most frequently reported restrictions are the blocking and/or throttling of peer-to-peer (P2P) traffic, on both fixed and mobile networks, and the blocking of Voice over IP (VoIP) traffic, mostly on mobile networks.

When blocking/throttling is implemented in the network, it is typically done through deep packet inspection (DPI).

Hat sie ihren eigenen Bericht nicht gelesen? Das mit Skype gibt Schwarz-Schilling auch zu:

Zum Beispiel wissen wir eigentlich, dass man sowas wie Skype kann man mit Port-Blocken, dem wird man nicht Herr. Die wechseln so schnell ihre Ports, da kommt man gar nicht nach. Da muss man schon andere Verfahren einsetzen. *Ähm* Aber unsere Messstudie läuft noch und in sofern haben wir im Augenblick keine konkreten Erkenntnisse.

Damit tut die Bundesnetzagentur das selbe wie die EU-Kommission: das Thema aussitzen. Dumm nur, dass die Provider inzwischen Fakten schaffen.

Zu Thema Skype zitieren wir mal Fefe:

Damit, dass die Provider Skype sperren, hat sich die Regulierungsbehörde schon abgefunden oder was? Was glauben die eigentlich, wozu sie da sind?!?

36 Ergänzungen

  1. Guter Beitrag, bitte mal die vielen Rechtschreibfehler korrigieren.
    Wie kann es eigentlich sein daß Kommentare die ich versuchte über TOR zu schreiben ausgerechnet bei Netzpolitik.org als „Spam deleted“ klassifiziert werden? BigFail!

  2. und wo ist jetzt mein Kommentar jetzt hin? Dann macht das raus mit den scripten, oder muss man sich von euren scripten hinterherspionieren lassen um kommentieren zu dürfen?

    1. Würden wir gerne, aber das geht leider nicht. Allein gestern hat unser WordPress knapp 3.000 Spam-Kommentare abgefangen. Wir haben leider einige False Positives., aber leider auch noch False Negatives.

  3. Mmmh, mich beschleicht das Gefühl, dass der massenhafte Einsatz „moderner“ Kommunikationstechnologien nicht dazu führt, dass die Überwachungs- und Kontrollmöglichkeiten, die Möglichkeit zur massenhaften Manipulation abnehmen. Eher im Gegenteil habe ich den Eindruck, dass die zweifelsohne vorhanden sein könnenden Vorteile der Systeme, für die „Freiheit“, der über Zugang zu modernen Kommunikationstechnologien verfügenden, Menschen in „freiem“ Austausch dem vorgenannten weit, sehr weit unterliegen.
    Vielleicht unter dem Kennsatz, wenn die Machtverhältnisse, das Interesse an Steuerung, Unterdrückung und Kapitalisierung, so sind, wie sie eben derzeit sind, wird halt eben gebraucht, was im Sinne der „Freiheit“ der Menschen, der Gesellschaften, als missbrauchbar anzusehen ist.
    War ein schöner Traum, oder? Vielleicht mal. Ich glaube nicht, wenn die Verhältnisse so bleiben wie sie sind, dass da irgendwas zu verteidigen wäre. Der Versuch wäre endlos und wird doch verloren.

  4. „Aber teilweise ist eben identische Hardware auch bei Providern in Deutschland installiert. Das ist gefährlich, denn damit ist der Unterschied zwischen einem zensierten Internet wie in Russland und einem freien und offenen Internet, das wir uns wünschen, nur noch eine Änderung in einer Konfigurationsdatei entfernt.“

    OK, und welchen Schluss ziehen wir daraus? Dass DPI-Technologie verboten werden muss, weil sonst die Netzbetreiber auf die Idee kommen könnten, das Recht auf freien Zugang zu Informationen zu hintertreiben?
    Ich glaube, der Unterschied zwischen Russland / Iran etc. und Deutschland liegt nicht in einer Konfigurationsdatei.

      1. Bei dem Exportverbot bin ich bei Dir. Technologien zu verbieten ist allerdings immer die schlechteste aller Lösungen.

        Im Übrigen kann man DPI auch einsetzen, umd die Dienstequalität im Sinne der Nutzer zu verbessern. Ist das was schlechtes?

        1. Die DigiGes vertritt das End-to-end principle. Provider haben nicht in unsere Daten zu gucken, sondern sie nur dumm first-come-first-serve weiter zu leiten. Jeder Eingriff ist eine Verletzung der Netzneutralität – und damit kein echtes Netz.

      2. Eine ziemlich extreme Position, oder? Ich behaupte mal kess, dass die Mehrheit der Nutzer – vor die Wahl gestellt, ob Ihre Daten „der reinen Lehre unterworfen“ werden sollen oder hinsichtlich der Dienstequalität und -effizienz optimiert werden sollen – sich für letzteres entscheiden.
        Sonst hätten wir heute keine hocheffizienten Sprachcodecs im Mobilfunk, keinen H.264-Codec, kein MP3, …

      3. @Meikel
        Denk mal an die Autobahn. Da hat auch jedes motorisierte Fahrzeug mit einer Höchstgeschwindigkeit ab 60 km/h Anrecht auf Nutzung, unabhängig davon, wie schnell es wirklich fährt. Da steht auch nicht an jeder Auffahrt ein Ordnungsbeamter und sortiert aus. Stell Dir vor, ein Ford Fiasko dürfte wegen LKW-Güterverkehrs nicht auf die Autobahn auffahren, wegen Vorrang für Leck’sUs und VW Pfuiton. Da würdest Du doch auch nicht wollen, dass die „Dienstequalität“ der Autobahn im Sinne der Nutzer (und zwar bestimmter Nutzer) verbessert wird, oder?

      4. Der Zusammenhang zwischen DPI und Codecs? Ganz einfach: Beide Technologien können eingesetzt werden, um die Dienstequalität zu verbessern. Und nicht jede Veränderung von Nutzerdaten ist nachteilig. Ein Codec verändert Nutzerdaten auf eine massive Art und Weise. Aber ohne diese Veränderung kann ich auf einer langsamen Verbindung kein Video ohne Unterbrechung sehen und bekomme mit einer GSM-Verbindung nicht mal eine Sprachübertragung hin. Und ja, man kann DPI-Technologie einsetzen, um Inhalte an die Kapazität des Übertragungskanals anzupassen.

        Natürlich kann man DPI auch für Filterung von Inhalten verwenden. Und diese Filterung kann aus Gründen der Zensur geschehen (böse!), oder zur Durchsetzung von Tarifmerkmalen (böse?).

        Das sollte man nicht alles in einen Topf werfen und einfach eine Technologie als solche verbieten wollen.

        1. Content-Anbieter und User können jeden Codec verwenden, den sie wollen. Der ISP darf aber in diesen nicht eingreifen und den erst recht nicht verändern. (Im Internet, von GSM Voice reden wir nicht.)

        1. Ich habe nicht gesagt, dass das Verändern von GSM Voice Daten ok ist. Dazu habe ich keine abschließende Meinung. Ganz klar ist aber, dass das Verändern eines YouTube-Videos NICHT ok ist. Das verletzt die Netzneutralität und das End-To-End-Principle.

      5. Prinzipien sind schön und gut. Aber was habe ich als Nutzer davon? Wenn der ISP das YouTube-Video so umwandelt, dass ich mit meiner lahmen Leitung den gleichen Inhalt in einer besseren Qualität sehen kann, dann ist das doch ’ne feine Sache.

        1. Kleiner Tipp: Rechts unten in jedem YouTube-Video kannst du selbst die Auflösung einstellen. Den Codec kriegt dein ISP garantiert auch nicht besser als YouTube, die darauf spezialisiert sind.

          Wie auch immer: Wenn du das unbedingt möchtest, nur zu. Nur ist das kein echtes Netz. Und keins, das ich will.

      6. Der ISP kennt meine Leitung besser als YouTube :-)
        Aber lassen wir’s dabei …

        Mein Punkt ist: Diskriminierungsfreier Zugang zu Inhalten ist schön und wichtig – und vielleicht nicht selbstverständlich.
        Aber zu fordern, dass das Netz (und da wird ja auch nicht zwischen Fest- und Mobilnetz unterschieden) „dumm“ sein soll und gefälligst nur für’s Routing zu sorgen hat, geht einen Schritt zu weit und hilft niemandem. Ich will hier nur für eine etwas differenziertere Position werben.

      7. @Meikel: Der ISP kennt meine reale Leitung erstmal gar nicht. Er weiß nicht, ob ich mit einem Proxy arbeite, ob ich das Video runterlade, ob ich es vielleicht nur vorcachen will, um es später im Familienkreis in voller Auflösung zu schauen, usw.

        Meine reale Leitung ist nämlich von der Quelle zu dem Programm, das die Daten nutzen will.

        Und die kenne erstmal nur ich und als zweites vielleicht noch das Programm, das ich verwende.

        Wenn der ISP die Auflösung eines Youtube-Videos verringert, nimmt er mir diese ganzen Möglichkeiten. Und das gilt auch für jede andere Art der DPI: Es ist Bevormundung, durch die mir Möglichkeiten genommen werden, die ich in einem echten¹ Netz habe.

        Youtube kennt dabei meine Leitung definitiv besser als mein ISP, denn Youtube kann ich einfach sagen, dass ich niedrige Qualität will.

        Sobald irgendein Dienst bevorzugt werden soll, müssen Daten überwacht werden, an die der Provider nicht ranzugehen hat.

        Statt GSM Umkodierung könnte ja auch einfach einem Handy gesagt werden „es gibt hier wenig Leistung, nimm einen kleineren Codec“. Das wär auch end-to-end – mit einem Nebenkanal, um anzufragen, was wohl klappen wird.

        Ein Provider hat nur fürs Routing zu sorgen, sonst sind weder Datenschutz noch Zensurfreiheit gewährleistbar.

        ¹: Ich übernehme hier die Bezeichnung „echtes Netz“ von Andre, weil in dieser Diskussion schon etabliert wurde, was sie bedeutet.

      8. 2 Jahre Später …

        @Meikel, vertrittst du nach den Snowden-Enthüllungen immer noch ein vorsortiertes Netz? „Hilft niemandem“ ist falsch. Hilft bereits jedem, der nicht mehr bereit ist, das Netz „dumm“ mit den vorgegebenen Diensten zu nutzen, sondern ohne zuviel Ärger elementare Schutzmaßnahmen ergreifen will. Die Alternative ist doch heute der Verzicht aufs Internet. Das überwachbare Netz ist keine Alternative mehr.

        Heute sehen wir mehr und mehr, dass die extreme Position, die „Reine Lehre“ richtig ist. Alles, was irgendwie „content aware“ ist, ist eine Hilfe für die Mächte der Finsternis, der Zensur und der totalen Kontrolle. In den nächsten Jahren wird es irgendwann auch der Letzte merken. Dann ist hoffentlich der Moment für einen Umschwung gekommen.

        Die „Durchsetzung von Tarifmerkmalen“ halte ich im Internet durchaus schon für böse, da überwachbare Verhaltensmuster begünstigend. Schleichend wird das Standard, uns das ist das Gefährliche. Eine kritische Masse unkritischer Nutzer macht uns allen das Internet kaputt. Daher bin ich auch gegen solche vergifteten Angebote. Egal, wie toll das Video-Streaming von den NSA-Servern dann läuft.

    1. naja besseres netz hier oder da. wir wissen doch alle, dass hier ganz andere absichten dahinter stecken als sie uns predigen…

  5. Cara Schwarz-Schilling ist also Referatsleiterin bei der Bundesnetzagentur? Und ihr Vater war unter Kohl Bundesminister für Post- und Fernmeldewesen? Zufälle gibt’s.

  6. Also DigiGes fordert Netzneutralität im Sinne von first come first serve am Router (Paket randomized zu verwerfen ist wahrscheinlich auch noch okay)?
    Die Paket Inspection ist damit nur bis einschließlich OSI-Layer 3 erlaubt. Alles darüber ist DPI. Würde das dann auch z.B. für NAT gelten? Oder gibt es eine andere Grenzlinie etwas tiefer im Paket?

    Wenn dem so ist, auf welcher Rechtsgrundlage sollte das verboten werden/durchgesetzt werden? Können Unternehmen nicht im Rahmen ihrer unternehmerischen Freiheit eine Transportdienstleistung mit individuellen Charakteristika anbieten, die z.B. einige Pakete priorisiert? Man würde dann ja sehr viele heutige Dienste, die auf IP-Basis angeboten werden, verbieten müssen (z.B. Triple Play).

    Wenn das die Forderung ist, müsste wohl erst im Parlament eine entsprechende Änderung im TKG oder sonst wo durchgesetzt werden.

  7. Ein Argument der BNetzA ist ja, daß die Provider nur ihre Einschränkungen transparent zu machen brauchen und wir als Konsumenten uns dann entscheiden können. Dann sollen eben nur noch die Provider übrig bleiben, die wir wollen…

    Gibt’s denn (überhaupt noch) ISPs mit vernüftigen Preisen, die dem Anwender nicht in die Pakete schauen und diese „dumm“ weiterleiten?

    Vielleicht wäre eine Art Logo möglich, daß von der DigiGes vergeben wird, wenn ein Provider deren Anforderungen an Netzneutralität etc. genügt?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.