Überwachung

Waschmaschine im Netz: Wie Telekom und Vodafone Deep Packet Inspection als Feature verkaufen

Dem eigenen Internet-Provider zu erlauben, seinen kompletten Internet-Verkehr zu überwachen, klingt nach Snowden eher nur so mittelschlau. Doch Telekom und Vodafone bieten genau das jetzt als Feature an. Eine „Waschmaschine im Netz“ soll per „Deep Packet Inspection“ vor Viren und Pornos schützen, inklusive Man-in-the-Middle-Angriff auf Verschlüsselung und Internet-Zensur.

Könnte Werbung von der Telekom sein. Ist aber vom Remix-Generator der DigiGes.

Ein Leser hat uns auf eine Stellenanzeige bei Vodafone in Düsseldorf aufmerksam gemacht, die folgende Projektbeschreibung enthält:

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Das Projekt „Secure Net“ (Secure Family) dient dem Schutz von Familien durch die Einführung der folgenden Schutzmechanismen für das Fest- und Mobilfunk-Netz: Anti virus & Anti malware, Anti phishing & harmful web protection, Child save browsing, Child quit time, Notify of new app.

Im Gegensatz zu den existierenden Software Lösungen werden die Kundendaten bereits bei der Auslieferung auf der Paket-Ebene (Deep Packet Inspection) durch Vodafone vorgefiltert. Die Aufgabe besteht in der Analyse und der Planung der Gesamtarchitektur der Lösung mit der Zielsetzung, das Produktes innerhalb PT, ES, IE, IT und DE einzuführen.

Über Deep Packet Inspection haben wir wiederholt berichtet: Der Unterschied zwischen Internet in Diktaturen und Deutschland ist nur eine Konfigurationsdatei.

Vodafone Portugal hat „Secure Net“ bereits im Einsatz und bewirbt es auf securenet.vodafone.pt. Jetzt will Vodafone Deutschland (und Spanien, Irland und Italien) nachziehen. Auf der CeBIT im März stellte Vodafone Deutschland „Secure Net“ vor und verteilte dieses Infoblatt:

Und zukünftig schützt Vodafone mit SecureNet mobile Endgeräte noch besser vor Viren, Trojaner & Phishing Attacken. Das Besondere: Die Intelligenz steckt direkt im Netz.

Auf Anfrage von netzpolitik.org erklärte ein Vodafone-Sprecher, dass das Produkt noch im vierten Quartal 2014 kommen soll. Zunächst soll es nur für Firmenkunden erhältlich sein, perspektivisch aber auch für Privatkunden, wie in Portugal. Dass dies ein logischer Schritt ist, zeigt die Produktbeschreibung von „Secure Family“ neben „Secure Net“. Deep Packet Inspection soll „Schutz von Familien“ bieten, durch „Child save browsing“. Also das was in Großbritannien der Porno-Filter ist (den hierzulande bisher nur Einzelne fordern). Quasi eine BPjM-Blacklist auf Provider-Ebene!

Laut Sprecher ist das in Deutschland derzeit nur für Mobilfunk geplant. Ob auch die rund drei Millionen Vodafone-DSL-Kunden diese „Dienste“ erhalten können, drückte der Sprecher so aus: „Ob das in zwei Jahren anders ist, können wir derzeit nicht sagen.“ In der Ausschreibung klingt das anders, da steht: „für das Fest- und Mobilfunk-Netz“.

Datenschutzrechtlich soll das alles in Ordnung sein: „Eine datenschutzrechtliche Bewertung nehmen wir grundsätzlich vor.“ Auch der Datenschutzbeauftragte Dr. Herkströter hat sich das wohl angeschaut. Zudem soll das Feature freiwillig sein, per Opt-In.

Netzpolitik.org hat sich schon lange vor den Snowden-Enthüllungen für ein Verbot von Deep Packet Inspection eingesetzt. Meine Internet-Inhalte gehen meinen Provider nichts an, genauso wenig wie die Post meine Briefe lesen darf. Das nennt sich Telekommunikationsgeheimnis und ist ein Grundrecht. In Zeiten der digitalen Vollüberwachung ist es noch unverständlicher, wie man auf die Idee kommen kann, den Provider freiwillig alle seine Inhalte lesen zu lassen. Obendrein noch der Tochter einer britischen Firma. Das Innenministerium hat sich schon ohne offiziell zugegebene Deep Packet Inspection entschlossen, Internet-Providern aus den „Five Eyes“ zu kündigen. Jetzt sollen wir freiwillig wieder die Erlaubnis erteilen?

Aber das ist kein Vodafone-Problem. Auch die Deutsche Telekom hat solche Produkte bereits im Einsatz. Zum Beispiel „Clean Pipe„:

Die Clean Pipe-Services schützen den gesamten Internetverkehr eines Standorts und filtern schädliche Inhalte heraus. Der gesamte aus- und eingehende Verkehr wird verschlüsselt und nach außen abgeschirmt an ein deutsches Cloud-Rechenzentrum von T-Systems geleitet. Um die Clean Pipe Services zu nutzen, wird nur ein spezieller, hochsicherer Router am Kundenstandort installiert. Die gesamte Sicherheits-Infrastruktur und der gesicherte Internetzugang kommen aus der T-Systems-Cloud. Am Router wird der gereinigte Internet-Datenverkehr sicher bereitgestellt. T-Systems hat die Clean Pipe in Deutschland entwickelt und mit deutschen Zulieferern realisiert.

Den gesamten Internet-Verkehr durch die T-Systems Cloud leiten und dort Deep Packet Inspection machen! Ich bin auf Fefes Kommentar gespannt.

Aber es wird noch besser, mit dem „Corporate Security Hub„, der „Waschmaschine im Netz“:

Wie eine Waschmaschine im Netz filtert der Cloud-Dienst Schadcodes aus dem Internet heraus, bevor sie Smartphones und Tablets erreichen. Damit erübrigt sich der Einsatz von Virenschutz und zentralen Firewall-Funktionen auf jedem einzelnen mobilen Endgerät. Der Service namens Corporate Security Hub ergänzt die Lösung Clean Pipe für stationäre Rechner und ist weltweit verfügbar.

Ein Flyer offenbart weitere Features:

Der gesamte Datenverkehr der registrierten Endgeräte und des angebundenen Firmennetzwerks wird über ein Rechenzentrum „in der Cloud“ geleitet. Dort werden alle Inhalte wie z. B. HTML, Javascript, Flash, Active Scripts und auf Wunsch SSL-verschlüsselte Web- und E-Mail-Kommunikation in Echtzeit auf Schadcode untersucht.

Transportverschlüsselung per Man-in-the-Middle-Angriff knacken!

Die Suche im Internet und das Surfverhalten der Nutzer können für spezifische Nutzergruppen und individuell für einzelne Nutzer zur Einhaltung von Unternehmensrichtlinien gesteuert werden. Dabei werden URLs und Web-Inhalte, inkl. Web-2.0-Inhalten, nach Kategorien gefiltert. Über White- und Blacklistings kann der Zugriff auf spezielle Seiten erlaubt oder unterbunden werden.

Internet-Zensur! Zur „Einhaltung von Unternehmensrichtlinien“!

Und das alles in der Cloud. Per Deep Packet Inspection. Es wäre fast lustig, wenn es nicht so ernst wäre. Anscheinend haben einige Leute in den letzten 13 Monaten überhaupt gar nichts gelernt.

Weitersagen und Unterstützen. Danke!
37 Kommentare
  1. Die Kritik setzt m.E. an der falschen Stelle an. Ein solcher Service ist prinzipiell ersteinmal gut, weil er technisch nicht versierte Internetnutzer, also geschätzte 98%, vor dem Mißbrauch ihrer Daten durch Kriminelle ( ich meine nicht die TLAs) schützen kann. Man verwäscht die Analyse, wenn man nun alles in einen Topf wirft und die nicht mehr demokratisch legitimierten Verfehlungen der sog. TLAs mit solchen Angeboten gleichsetzt. Deep Packet Inspection, Clean Pipe usw. werden erst im Kontext der staatlichen anlasslosen Massenüberwachung anrüchig, in die mit Vodafone einer der Protagonisten auch noch tief verstrickt ist. Zur echten (!) Demokratie, und diese ist m.E. ein noch höheres Gut als Privacy (sic!), gehört eben auch, dass jeder Einzelne auch im Lichte der Erkenntnisse des letzten Jahres trotzdem weiter auf Vodafone als MF-Provider setzt oder sich darüber freut, wenn seine 4 und 5 Jahre alten Kinder, denen er oder sie Zugang zum Internet gewährt, vor den allgegenwärtigen Pornos geschützt werden. Deep Packet Inspection als freiwilliges, zustimmungspflichtiges Serviceangebot wärer einfach nur gut, wenn unsere westlichen Demokratien und ihre Sicherheitsorgane nicht in einem derart verkommenen Zustand wären. Das muss man trennen. Wir müssen als Bürger den staatlichen Zugriff auf derartige Daten ohne Anlass und Legitimation verhindern. Wir wollen ja auch keine Baseballschläger oder gar Baseball selbst verbieten, weil erstere in gewissen Kreisen zu Mordwerkzeugen umfunktioniert werden. Ich räume aber ein: Solche Angebote scheinen dem kritische Denkenden in der Zeitrechnung nach Snowden auf den ersten Blick an Absurdität nicht zu überbieten zu sein.

    1. Es muß natürlich heißen: Das jeder auf Vodafone als MF-Provider setzen KANN! Es sollte hier kein Vodafone-Zwang ausgerufen werden. ;-) Freiwilligkeit und Selbstbestimmung ist das Stichwort.

  2. Das ist auf Unternehmensebene schon lange nichts Neues mehr. Mein Arbeitgeber betreibt schon seit Jahren Man-in-the-middle-Entschlüsselungen des Datenverkehrs. Das heißt auch alle SSL-Verbindungen werden geknackt und nach Viren und unerwünschten URLs untersucht, die dann ggf. blockiert werden. Dafür gibt es ein Browser-Masterzertifikat, welches als „Zwischenmann“ dann eine „sichere“ SSL-Verbindung ermöglicht, obwohl diese ja im RZ wieder aufgebrochen wird. SSL-Verbindungen, die dieses Masterzertifikat nicht benutzen, werden blockiert.

    Was auf Unternehmensebene ja durchaus OK ist – jeder sucht sich seinen Arbeitgeber slebst aus – ist auf politischer Ebene jedoch äußerst perfide. Vor Man-in-the-middle-Attacken kann man sich relativ problemlos wehren und wenn gewünscht auch ein VPN benutzen. Jedoch kann der Provider/die Regierung natürlich jederzeit solche Verbindungen unterbinden, mit denen man sich diesen Angriffen zu entziehen versucht. In Großbritannien geschieht dies ja bereits – heute noch freiwillig – im Namen des Anstands und des Kampfes gegen KiPo. Dass dies nicht mehr lange freiwillig ist, sollte jedem klar sein. Und wenn man das Ganze dann als Kampf gegen KiPO tituliert, werden nur die wenigstens Menschen aufbegehren – schon erst recht nicht in Deutschland, wo Obrigkeitshörigkeit ja zum Selbstverständnis des Volkes zu gehören scheint.

  3. „Solche Angebote scheinen dem kritische Denkenden in der Zeitrechnung nach Snowden auf den ersten
    Blick an Absurdität nicht zu überbieten zu sein.“

    der einzige vernüftige satz im dem geseiere….

  4. Porno-Filter? Sinnvoll wäre ein Filter der perverse Inhalte blockiert. Als allererstes die perversen Seiten von der USA-Unterwerferin Angela M. und als zwei vom NSA-IM Joachim G.

  5. Aha, jetzt wird die Schnüffelsoftware ganz offiziell eingeführt, und die Behörden brauchen dann bei Bedarf nur noch die Hand aufzuhalten ( $ cat * | tee –a danke_schoen ). Kloschüssel statt Waschmaschine trifft es wohl besser; da hilft nur die „Piss-Off“-Funktion.

  6. Also die meisten Angriffe kommen durch den Browser auf das System. Das heißt man müsste den Browser in die Sandbox packen. Ich habe daher hier paar kostenlose Alternative zusammengestellt. Ihr könnt es gern ergänzen wenn euch noch was einfällt. Am besten natürlich gleich mit Download Link auf deutsch.

    Sandboxie dürfte die bekannteste Software dazu sein ist allerdings nicht kostenlos
    http://www.chip.de/downloads/Sandboxie_21760394.html

    Evalaze
    http://www.chip.de/downloads/Evalaze_46443182.html

    VirtualBox
    http://www.chip.de/downloads/VirtualBox_23814448.html

    BufferZone
    http://www.chip.de/downloads/BufferZone-Pro_47488353.html

    VMware
    http://www.chip.de/downloads/VMware-Player_12994646.html
    http://www.chip.de/downloads/VMware-vCenter-Converter_13002661.html

    BitBox
    http://www.chip.de/downloads/BitBox_48987303.html

    SecuBrowser
    http://www.chip.de/downloads/SecuBrowser-fuer-Firefox-und-IE_61354998.html

    GESwall
    http://www.heise.de/download/geswall-1146688.html

    ToolWiz Time Freeze 2014 (Komplettes Betriebssystem in die Sandbox packen)
    http://www.chip.de/downloads/ToolWiz-Time-Freeze-2014_61773829.html

    ___

    Yoah und sonst VPN nutzen damit man nicht abgehört wird. Das ist sicherer (und vor allem schneller) als Tor und es werden keine Logs gespeichert. Welchen VPN ihr trauen könnt seht ihr hier

    http://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/

    1. Sandbox bringen nichts, sie bilden nur eine weitere Fehlerquelle und mir ist bis jetzt keine Sandbox bekannt aus der nicht ausgebrochen wurde. Nur sauber programmierte Software die der Nutzer einsehen kann – ergo Freie Software – bringt einen bei der Sicherheit wirklich weiter.

      1. Die 0815 Malware bricht nicht aus, und bei Profi Hackern nutzt auch freie Software nix (na wie oft wurde denn schon WordPress, LAMP und co gehackt ? Oft genug. Es gibt keine „sichere Software“

      2. Sind doch eh alles WIndoof Benutzer, die sich über TOTALE-UBER-SICHERHEIT Interessieren ohne zu ahnen, dass es von Anfang an nie das Ziel war ein System zu erschaffen, dass die Nutzer gegenüber dem Staat unsichtbar macht oder so etwas wie eine digitale Revolution möglich macht. Im Gegenteil.

        Wer auf Nummer sicher gehen will (Paranoide Fantasien im Anmarsch) der muss schon sehr weit zurück gehen. Alles Open Source, gleich einen eigenen Compiler basteln, am besten noch ein neues verschlüsseltes Dateisystem und natürlich den Verschwörungstheorie-Liebling: Von der Welt abgeschotteter Computer im Keller (versteckt in einem Tresor, umwickelt mit Alufolie :D wie die eigene Rübe)

  7. Nicht bös gemeint, aber: Netter Hinweis darauf, dass man bei Vertragsabschlüssen das Kleingedruckte lesen sollte… och Gott, wie neu -.-
    Der Sinn dieser Programme ist (wie von euch geschildert) im Bereich der Kontrolle von Eltern über ihre Kinder oder auf Wunsch auch darüber hinaus… warum nicht anbieten? Den selben Rotz bieten Microsoft sowie diverse Spielefirmen an… wobei es bei letzteren zugegebenermaßen nicht um Pornografie geht (warum wird das in diesem Artikel nochmal so häufig thematisiert, wenn es doch nicht um Jugendschutz sondern um Datenschutz von Kindern UND Erwachsenen geht?).
    Letzten Endes liegt die Entscheidung wie üblich beim User, von daher wie schon zuvor: Netter – stark dramatisierter – Hinweis auf das Offensichtliche

    Anbei bemerkt: Ob man jetzt das Häkchen setzt oder nicht: Die Weitergabe von Daten bleibt strafbar -.-‚

    1. Weil Du mit ziemlicher Sicherheit Geld dafür bekommst, uns diesen Mist in unseren Foren aufzuschwatzen. Das alleine sollte Dir zu denken geben.
      Moral ist, wenn man moralisch ist, versteht er?

  8. Wer bitte ist denn auf diesen geistigen Erguss mit dem Vergleich mit der Waschmaschine gekommen? Oder steh ich gerade auf dem Schlauch, dass ich die Analogie für Hirnrissig halte?

    1. OMG! Tausend Dank für diese Stichwörter!!!!!!

      Ich habe schon die Erfahrung gemacht, dass LTE-„Internetzugänge“ meinen Traffic mutwillig, massiv und reproduzierbar stören und ohne krasse steganographische Maßnahmen die Verbindung zum VPN immer abgewürgt wird.

      Dass sie diese Perversion eines nicht netzneutralen, „Application Aware“ (megakotz) Internet in ihrem Standard schon drinhaben, das ist ein Augenöffner. Ich war davon ausgegangen, die Oligopolisten hätten sich da eine handgestrickte DPI-„Lösung“ reingebastelt.

      1. Nicht falsch verstehen: Man kann theoretisch PCRFs komplett transparent betreiben und nichts blockieren, das DPI wird benutzt um Verkehr zu kategorisieren oder priorisieren, aber wenn‘ schon mal da ist und man an der selben Stelle auch den Vertragsstatus testen kann …

        Und Mobilfunk muss leider Service/Application Aware betrieben werden. Und damit nicht-neutral.

      2. Hm. Es macht mich jedenfalls wütend, dass das Ergebnis dieser lustigen Filterei dann als „Internet“ angepriesen wird (werden darf).

  9. Arbeite mal in ein Konzerngeflecht unter US Regie, da bist du froh das es überhaupt noch Internetseiten zur Ansicht gibt. Bei uns gibt es seit diesem Jahr nur noch whitelist, die Seiten sind Schriftlich über den Vorgesetzten SOX-Konform zu beantragen.

    mfg

    Ralf

  10. Ich finde es ernüchternd, dass sich weder WerberInnen noch Autor und KommentatorInnen Gedanken über den Unterschied der englischen Wörter „save“ und „safe“ zu machen scheinen.

  11. „Damit erübrigt sich der Einsatz von Virenschutz und zentralen Firewall-Funktionen auf jedem einzelnen mobilen Endgerät.“

    Das stimmt doch hinten und vorne nicht. Da wird Sicherheit vorgegaukelt, wo keine ist… Die Viren können ja auch von anderen Verbindungen wie z.B. Bluetooth oder USB (haben moderne Handys sowas noch?) kommen.

    Und wo ein Dienst der Telekom eine private Firewall ersetzen soll, sehe ich noch gar nicht. Woher will die Telekom denn wissen, dass ich nur Traffic auf Port 1337 (z.B. als Alternativkonfiguration des SSH-Ports) erlauben will, aber auf allen anderen Ports grundsätzlich verbieten? Da können sie doch wieder nur damit arbeiten, Verbindungen zu IPs zu sperren, die als „gefährlich“ gelten. Und das ist dann der Fall, wenn die meisten Nutzer schon betroffen waren.

  12. Ich hab mich gerade gefragt, wie die großen Provider SSL aufbrechen wollen, wenn ich deren Master-Zertifikate nicht extra auf meinen Geräten installiere. Aber dann ist mir aufgefallen, das die ja alle auch beglaubigte CAs betreiben die mit den Browsern bzw. dem OS mitkommen. :-(

  13. Tja hier sieht man warum unser CA basiertes Zertifikatsystem einfach für den ***** ist, dass Telcos MITM auf TLS gesicherte Verbindungen als „Dienstleistung“ verkaufen möchte ist die logische Folge von sowas.

    Die einzige Abhilfe die hier in Sicht wäre ist DNSSEC in Kombination mit DANE, was dann endlich dieses schon im Design unsichere CA System überflüssig machen würde.

  14. Es handelt sich doch bei den Produkten um Dienste, die man zusätzlich kaufen muss. Wenn ich also an die ca. 90% aller Nutzer denke, die als Sicherheitsbedürfnis nichts anderes haben als „ich möchte einen sicheren Zugang und ich möchte mich um nichts kümmern, denn ich verstehe es eh nicht“, dann ist das doch für die eine gute Idee so etwas abzuschließen. Für die Profis, die hier ja auch genug diskutieren, ist dieser Dienst ja sowieso nicht gedacht und die dürfen sich gerne um ihre Sicherheit selbst kümmern.
    Also ich verstehe die ganze Aufregung nicht.

    1. Dachte ich mir auch zuerst, aber glaube das Problem liegt dann darin, dass der Dienst einfach normal wird. Irgendwann wird es Standard werden – z.B. weil die Telekommunikationsanbieter damit werben wollen, dass bei Ihnen der Virenscan kostenlos im Standardpaket enthalten ist. Dann ziehen alle nach und es gibt keine Kommunikation mehr ohne dieses Angebot.

      Aus Sicht der Telekommunikationsanbieter sehe ich schon, dass das – auch ohne Verschwörungstheorie – Sinn macht. Kunde will Sicherheit, also bieten wir ihm ein Paket an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.