Internationale Fernmeldeunion standardisiert Deep Packet Inspection

Die gefährliche Deep Packet Inspection-Technologie ist jetzt ein offizieller, weltweiter Standard. Das hat die Abteilung für Telekommunikations-Standards der Internationalen Fernmeldeunion beschlossen. Parallel dazu findet die Weltkonferenz zur internationalen Telekommunikation statt, zu denen ihr der EU-Kommission per Twitter fragen stellen könnt.

Letzte Woche berichtete die amerikanische NGO Center for Democracy & Technology, dass die Internationale Fernmeldeunion (ITU) den Standard Y.2770 für Deep Packet Inspection in Next Generation Networks angenommen hat.

Bisher gab es leider das Original-Dokument nicht, aber mittlerweile sind einige Leaks (Mirror) aufgetaucht. Aus der Einleitung:

This Recommendation primarily specifies the requirements for Deep Packet Inspection (DPI) entities in NGN, addressing, in particular, aspects such as application identification, flow identification, inspected traffic types, signature management, reporting to the network management system (NMS) and interaction with the policy decision functional entity.

This Recommendation also identifies the requirements for DPI of traffic in non-native encoding formats (e.g., encrypted traffic, compressed data, and transcoded information).

Any DPI function may be generally described by the concept of policy rules (see clause 1.2). DPI application scenarios and complementary information such as example policy rules for packet identification, policy enforcement process, policy specification languages, DPI in layered protocol architectures, and definition of terminology are given in Appendixes.

Implementers and users of the described techniques shall comply with all applicable national and regional laws, regulations and policies.

Als technischer Standard kümmert man sich um genau das: die technische Umsetzung des Ausspionierens von Datenpaketen. Die Auswirkungen auf Privatsphäre und Datenschutz werden nicht angesprochen, statt dessen verweist man auf lokale Gesetze. Dass das ein grundlegendes Problem ist, haben wir bereits in einem Hintergrund-Artikel zu Deep Packet Inspection ausgeleuchtet: Der Unterschied zwischen Internet in Diktaturen und Deutschland ist nur eine Konfigurationsdatei.

Auch alle Ausreden der Provider von Kapazitätsengpässen, Netzwerksicherheit und Virenschutz werden entlarvt, wenn man sich die möglichen Einsatzzwecke für DPI anschaut. Alle unsere Befürchtungen werden darin bestätigt. Allein BitTorrent taucht 19 Mal auf. Weitere lustige Ideen sind:

  • Business Card (vCard) application – Correlate Employee with Organization
  • Forwarding copy right protected audio content
  • Detection of a specific transferred file from a particular user
  • Measure Spanish Jabber traffic
  • Identify uploading BitTorrent users
  • Measure BitTorrent traffic
  • Blocking Peer-to-Peer VoIP telephony with proprietary end-to-end application control protocols
  • Detection of BitTorrent traffic
  • Detection of eDonkey traffic

Dieser Standard verpflichtet Netzwerk-Betreiber nicht, Deep Packet Inspection einzusetzen. Aber es ist ein Riesenschritt, DPI zu legitimieren. Wie der Verein Digitale Gesellschaft ausgeführt hat, ist DPI eine gefährliche Zensur- und Überwachungstechnologie, die an sich abzulehnen ist. Dieser Standard gibt DPI stattdessen ein „ITU-Gütesiegel“.

Der Hacker und Tor-Entwickler Roger Dingledine brachte das Problem schön auf den Punkt:

I met a nice man who worked for a telco/DPI company that deploys its products in the Middle East. He raised a compelling argument: „Look, you folks are the ones that mandated backdoors in the telco equipment we produce, using the term ‚lawful intercept‘. And now you’re surprised and upset when bad people use these same backdoors? You made us build it that way!“ It certainly is easier for officials in countries like Germany to think of the world as divided between „good“ places and „bad“ places, but it sure isn’t that simple.

Derzeit findet weiterhin die Weltkonferenz zur internationalen Telekommunikation (WCIT) der Internationalen Fernmeldeunion (ITU) statt. Dieser Standard hat jedoch damit nicht direkt etwas zu tun. Der Standard wurde seit Monaten von der Abteilung für Telekommunikations-Standards der ITU (ITU-T) diskutiert und bearbeitet, unabhängig vom Gipfel und dessen eigenen Problemen.

Einen ersten Eindruck der WCIT-Konferenz hat der Australische Provider-Betreiber Paul Budde bei CircleID beschrieben.

Morgen organisiert die EU-Kommission zwei Videokonferenz-Schaltungen live aus Dubai, an denen auch die europäische Bürgerrechtsorganisation European Digital Rights (EDRi) teilnehmen wird. EDRi organisiert jetzt eine öffentliche Fragerunde und ermöglicht damit einen direkten Einblick in das Geschehen in Dubai: Stellt einfach Eure Fragen über Twitter an @edri_org und/oder verseht Eure Tweets mit dem hashtag #askthecom. Fragen und Antworten werden dann in Updates drüben veröffentlicht.

26 Ergänzungen

  1. Es wird nicht lange dauern und der neue Standard wird in den ersten Ausschreibungen auftauchen. Man will ja für alle Eventualitäten gerüstet sein…

  2. Dass die ITU DPI nun standardisiert hat ist doch per se erst einmal ein normaler Vorgang, soweit ich das verstehe. So wie andere Standards auch beschreiben sie nun, was genau DPI ist und wozu es eingesetzt werden kann. Die Umstände, ob und wenn ja wie DPI genutzt wird unterliegt natürlich weiterhin staatlichen Gesetzen und zu glauben, DPI würde ohne diese Standardisierung weniger genutzt werden halte ich für naiv. Im Gegenteil wissen wir ja nun, was DPI genau ist, damit können sich also gewisse Telcos nicht mehr so einfach rausreden mit „nur Qualitätsmanagement“ und co.

    Natürlich ist das nun ein guter Zeitpunkt, um gegen DPI Stellung zu beziehen und Aktionen zu starten. Aber die Standardisierung als grossen Durchbruch von DPI zu sehen, dem kann ich mich nicht ganz anschliessen. DPI hätte sich wohl auch ohne diese weiter ausgebreitet, allerdings kann man das Kind jetzt wenigstens beim Namen nennen und hat nicht viele verschiedene Einsatzarten, die mit positiven Begriffen benannt werden können.

    1. Sehe ich genauso. Das Kernproblem liegt gar nicht in der Standardisierung einer Technologie, sondern darin, dass das NGN-Service-Konzept der ITU – auch in Hinblick auf IMS – davon ausgeht, dass dem Kunden der Zugang zu Applications verkauft wird und eben nicht der Zugang zu einer neutralen IP-Transportplattform.
      Wenn das das Business-Modell ist, dann muss man DPI machen. Das geht ja gar nicht anders. Das hat ja Vodafail schön gezeigt.

      Ist jetzt natürlich ein idealer Zeitpunkt, um dem Verbraucher zu zeigen, was die alte Telko-Service-Strategie dann im Detail bedeutet. Mit dem Standard ist jetzt aber nicht DPI neu eingeführt worden oder kommt jetzt. Das ist schon lange da. Sonst hätten diese Service-Modelle ja nie entwickelt werden können.

      Die Standardisierung reagiert immer nur auf Technologien, die schon da sind, genutzt werden und wo hinreichende praktische Erfahrungen vorhanden sind. Man will jetzt nur die vorhandenen Produkte auf dem Markt vereinheitlichen, um den Einkauf besser gestalten zu können.

      Wie Jens schon sagt, das Kind hat jetzt einen Namen bekommen und es kann sich keiner mehr herausreden, was die Zielsetzung und Wirkungsweise angeht.

    1. Und das Traurige dabei ist, dass obwohl OTR so einfach über Jabber einzurichten ist, wahrscheinlich unter 1% der Jabbernutzer es verwenden.

    2. Und das Traurige dabei ist, dass, obwohl OTR über Jabber so einfach zu benutzen ist, es wahrscheinlich weniger als 1% der Jabbernutzer verwenden.

    3. Ich gehe mal davon aus, dass es als Beispiel genutzt wird, wo man DPI z.B. zu statistischen Zwecken einsetzen kann. Ich würde die Beispielliste nicht direkt bewerten. Es kommt halt immer noch drauf an, was man mit der Information dann macht und das regeln natürlich Gesetze.

  3. Machen wir uns nichts vor: die Totalüberwachung des Netzes ist bereits Realität. DPI ist da nur eine qualitative „Verbesserung“.

    Die „marktkonforme Demokratie“ lehnt den Rechtsstaatsgedanken und die Freiheit des Einzelnen in Wirklichkeit kategorisch ab. Da geht es um das Zementieren des Neofeudalismus.

    In den schwindenden Demokratieresten der europäischen Union versuchen wir Bürgerrechtler nun, da gegenzuhalten. Und das wird immer mehr zur Sysiphos-Aufgabe. Denn unsere Unterstützung wird nicht schnell genug breit genug. Die Themen sind komplex, die Leute verstehen nicht, wie ihnen geschieht. Kommunikation wird zur Hauptaufgabe.

    Die erste Antwort auf die totale Netzüberwachung ist Kryptographie, letztlich Tunneling, weil – auch mittels DPI – erstere herausgefiltert werden wird. Und dann?

    CAs, denen man nicht vertrauen kann, schädigen weiter das Web. Und private Tunnel bilden kein öffentliches Netz. Schliesslich wird staatlicherseits dann noch in die Endgeräte eingebrochen, wenn gar nichts anderes geht. Das heisst dann Staatstrojaner. Die Nachrichten auch aus den einst so liberalen Niederlanden sind ernüchternd.

    Der Cyberwar ist längst ausgebrochen. Aber dieser Krieg stellt sich ganz anders dar, als von den Kriegern propagiert: in Wirklichkeit ist Cyberwar der Krieg der Macht und der Regierungen gegen ihr eigenes Volk.

    1. Tunneling kann man nicht effektiv herausfiltern. Zur Not tue ich meine kryptographische Payload in JPG Bilder, die ich per HTTP übertrage.

  4. @Nichtwähler
    Sagen wir, du wohnst innerhalb der EU, dein Server steht auf den Bahamas, der Server, mit dem du dich eigentlich verbinden willst, steht in den USA.
    Sagen wir, die EU kooperiert mit den USA.
    Sagen wir, deine IP ist 1.2.3.4, die deines VPNs 3.4.5.6 und die des USA Servers 5.6.7.8
    Du gehst ausschließlich über den VPN ins Internet, dh ich, als LEA, sehe, dass vom Anschluss 1.2.3.4 ausschließlich Traffic an die IP 3.4.5.6 geht. Von dieser IP geht dann Traffic an 5.6.7.8
    Denk drüber nach. Ist das Anonymität?

    Letztlich.. verbreitet ssl. Wenn ihr eine Website betreibt, vergewissert euch, dass ssl Verbindungen möglich sind. Selbst signiert oder nicht ist egal, hauptsache es ist möglich. Wenn ihr jemanden kennt, der das nicht tut, sprecht ihn drauf an.
    Cryptography ist der einzige Weg, dieser Miser entgegen wirken zu können.

  5. Man sollte vielleicht hier ein bisschen Journalismus spendieren, und feststellen das die IETF „The goal of the IETF is to make the Internet work better. “ DPI bereits standardisiert hat und die ITU hier nur nachzieht (deswegen die ganzen RFCs als Referenz)…

      1. Was meinte ich wohl mit ein „bisschen Journalismus spendieren“?

        Fang mit der 5102 (Information Model for IP Flow Information Export) an, und hagel dich durch 3945 (Cisco Systems NetFlow Services Export Version 9)

        C. NetFlow services provide network administrators with
        access to IP flow information from their data networks. Network
        elements (routers and switches) gather flow data and export it to
        collectors. The collected data provides fine-grained metering for
        highly flexible and detailed resource usage accounting.

        nach untem durch.

      2. @Andre.

        DPI ist ein weites Feld. Standardisierung standardisiert idR Schnittstellen und das Verhalten an den Schnittstellen. Natürlich steht im IP Flow Information nicht drin, wie man DPI durchführen soll, aber um die Felder der IEs zu füllen, wird man irgendwas wie _D_PI durchführen müssen (ausserdem ist das nicht der Endpunkt der Geschichte).

        Ich finde es nur weit hergeholt, zu rufen: „Schaut mal, die ITU standardisiert DPI“, wenn im Endeffekt die drunterliegende Technik (tlw. standardisiert) zu kaufen ist und auch schon im Betrieb.

    1. schließe mich Philip Engstrand an -> dieses Einschießen auf die ITU wirkt angesichts der tatsächlichen Bedeutung der ITU im Bereich der Standardisierung 2012 eher „überdimensioniert“ (Kanonen / Spatzen) und schadet eher der notwendigen Diskussion zu Netznuetralität (wie m.E. auch die Ausrichtung auf den unscharfen Begriff DPI)….die aktuelle deutsche NGN-Diskussion bezieht sich wohl nur noch im Bereich Numbering + Adressing überhaupt auf die ITU.

      Gruß

      Robert Walser

    1. wichtiger noch sind gerade jetzt gut formulierte vergleiche und bilder, die oma, opa und sogar hein blöd erklären, was für ein spitzelmist das ist

      .~.

  6. Deutschland hat sich offenbar im Europäischen Standardisierungsgremium CEPT im Vorfeld der ITU-Entscheidung gegen den DPI-Standard ausgesprochen:

    Germany holds the belief that the ITU-T should in principle not standardize any technical means that would increase the exercise of control over telecommunications content, could be used to empower any censorship of content, or could impede the free flow of information and ideas.

    Das kann man ja wirklich mal loben. Aber: Warum wird es dann zuhause nicht gleich verboten?

    1. Auf welcher Gesetzesgrundlage denn? Die müsste erst einmal da sein.

      Das einzige was zutreffend wäre, wäre ja § 88 TKG. Dort heißt es aber:

      Mit anderen Worten, wenn sie DPI zum Schutz oder Steuerung von Diensten benötigen (siehe Vodafail), ist das in Ordnung. Z.B. Nutzung von skype ist vertraglich ausgeschlossen. Das kann nur über DPI unterbunden werden.

      1. Oh, da habe ich den Gesetzestext falsch eingebunden.

        Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.