Erstellt am: 17. 7. 2012 - 10:00 Uhr

Über die Cloud aus der Überwachungsfalle

Während die USA neue Rekordzahlen zur Mobilfunküberwachung melden, beginnt Cloud-Computing diese Entwicklung immer stärker zu konterkarieren.

Die aktuellen Statistiken zur Überwachung der Mobilfunknetze in den USA - ebenso wie in Europa - sind alarmierend. Laut einem in der vergangenen Woche veröffentlichten Bericht an den US-Kongress wurden 2011 mindestens 1,3 Millionen Anforderungen seitens der Behörden nach den Verkehrs- und Geodaten von Mobilfunkanschlüssen gestellt.

Ein Großteil davon erforderte nicht einmal einen Gerichtsbeschluss, sondern geschah auf Basis einstweiliger Verfügungen (Subpoenas), also unter dem Titel "Gefahr im Verzug".

Da der Verkehrsdatensatz jedes Anschlusses die Eckdaten sämtlicher ein- und ausgehenden Anrufe und SMS mitprotokolliert, ist also ein Vielfaches an Anschlüssen davon betroffen. In Großbritannien wurden 2011 in 500.000 Fällen Verkehrsdatensätze aus dem Mobilfunkbereich angefordert, Polen hatte für 2010 eine Million Zugriffe an die EU-Kommіssion gemeldet.

Die echten Zahlen

Bei der äußerst konservativen Annahme von ein paar Dutzend anderer Nummern, die pro überwachten Anschluss mitgerastert werden, kommt man am Beispiel der USA schon in Richtung von 100 Millionen erfasster Anschlüsse pro Jahr. Nicht einmal eingerechnet ist dabei die verbreitete Praxis der "Cell Dumps", das sind jene Fälle, in denen sämtliche Verkehrsdaten aller Telefonate in bestimmten Funkzellen über einen bestimmten Zeitraum gerastert werden.

Ein Vergleichswert: Bei der Fahndung nach einem Brandstifter in Berlin 2011 wurden 4,2 Millionen Verkehrsdatensätze gerastert, knapp 1.000 Anschlüsse kamen dann in die "engere Wahl" und wurden en Detail analysiert.

Überwachungsnormen seit 1999

Korreliert man das mit den Bevölkerungszahlen der oben erwähnten Staaten, dann steigt dort also die Wahrscheinlichkeit für jeden Staatsbürger, von einer elektronischen Handy-Fahndungsaktion binnen Jahresfrist wenigstens einmal erfasst zu werden, bis zur Gewissheit.

Diese bedenkliche Entwicklung ging parallel zum Aufstieg der Mobilfunknetze während der letzten eineinhalb Jahrzehnte fast völlig linear. Die technischen Normen für die Datenabgriffe werden seit Ende der 90er Jahre im European Telecom Standards Institute (ETSI) erstellt und entlang der technischen Entwicklung laufend fortgeschrieben.

Solange die linear verlief, weil sie vollständig den Regeln des Telekomsektors folgte, funktionierte dies so gut, dass etwa der erste Version des Überwachungsstandards für UMTS bereits 1999 erschienen war - Jahre bevor das erste drahtlose Breitbandnetz in Betrieb ging.

Paradigmenwechsel

Diese Linearität aber ist mit dem Vordringen des Internetprotokolls in die Telefonienetze während der letzten Dekade immer weniger gegeben. Ein Blick auf den aktuellen ersten Entwurf einer ETSI-Überwachungsnorm für "Cloud Computing" vom April 2012 zeigt die Unterschiede zu jener Zeit, als noch die Infrastrukturbetreiber, also die Telekoms, sämtliche Protokolle vorgaben und kontrollierten, in aller Deutlichkeit.

Alleine die Definition der verschiedenen Cloud-Services stellt die Überwachungstruppe des Technischen Komitees "Lawful Interception" (ETSI TC LI) schon vor enorme Herausforderungen. Der Paradigmenwechsel von der Welt der Telekoms, in der die ETSI-Standardisierer daheim sind, zu den modernen Formen der TCP/IP-Kommunikation, die anderen Regeln folgt, ist nämlich nicht mehr zu übersehen.

"Software as a Service"'

Wenn Sandra und Kevin Normalbenutzer ganz selbstverständlich über Gmail oder Skype kommunizieren, entspricht das der Cloud-Anwendung "Software as a Service".

Im Firmenbereich bedeutet das zum Beispiel, dass der gesamte E-Mail-Verkehr eines Unternehmens in die Cloud ausgelagert sein kann. Beim (lokalen) Internet-Provider der Firma, wo die nationalen Überwacher bis jetzt die Verkehrsdaten abgreifen, kommen diese Daten gar nicht mehr vorbei. Was zwischen solchen Kunden und Cloud-Anbieter passiert, ist für den Infrastrukturprovider nicht nachvollziehbar, an dem rauscht nämlich ein verschlüsselter Datenstrom vorbei, der erst in der Kundenfirma wieder entschlüsselt wird.

Grenzen der Vorratsdaten

Telefonie wiederum, die in den Mobilfunknetzen der Telekoms noch immer in dedizierten Sprachkanälen übertragen wird, ist im Bereich TCP/IP ein paketbasierter Datenservice wie alle anderen, die im großen Datenstrom daherkommen.

Ein Telefonat von einem Smartphone aus einem österreichischen Mobilfunknetz in drei technischen Varianten mag als einfaches Beispiel für die Veränderungen herhalten. Im klassischen Telefoniebereich "Handy zu Handy oder Festnetz" sind alle Eckdaten des Gesprächs auf beiden Seiten vorhanden: Welcher Anschluss mit welchem wann, wo und wielange telefoniert hat. Auf dem Vorhandensein dieser Daten baut die gesamte herkömmliche Telefonieüberwachung bis zur Vorratsdatenspeicherung auf.

Via Cloud aus der überwachten Sphäre

Wer über dasselbe Smartphone im selben Netz jedoch über Breitband-Internet eine Telefonverbindung via Skype oder einen anderen VoIP-Provider im Ausland aufbaut, entzieht sich diesen Überwachungsroutinen auf nationaler Ebene.

Wenn der Anruf wieder in einem österreichischen Telefonienetz terminiert, wird das zwar als eingehender Anruf gespeichert, zum Rastern fehlen aber gesicherte Daten der Gegenstelle. Der VoIP-Anrufer kann z.B. seine Absendernummer sogar selbst festlegen, wenn das sein Anbieter gestattet. Der Anruf aber kommt über irgendeinen VoIP-Gateway eines beliebigen Providers von Internet-Telefonie aus irgendeinem Land ins herkömmliche Telefonienetz daher.

Telefonie in den Wolken

Falls nun beide österreichischen Gesprächsteilnehmer diesen "Software as a Service"-Dienst zum Telefonieren über mobiles Breitbandinternet benützen, dann hat dieses Telefonat für die heimischen Vorratsdaten-Überwacher nie stattgefunden.

Um die VoIP-Technologie in ähnlichem Ausmaß wie die herkömmliche Telefonie zu erfassen - wer mit wem wann wo telefoniert - müsste der gesamte Internet-Datenstrom des betreffenden Benutzers laufend erfasst und tiefenanalysiert werden.

Wenn der betreffende VoIP-Provider allerdings eine gesicherte Verbindung (SSL, Virtual Private Network) anbietet, greift auch diese Big-Brother-Maßnahme nicht, denn der Verkehr von Provider zu Kunde ist End-to-End verschlüsselt.

Neuaufteilung von Daten

Dies alles ist erst der Beginn einer partiellen neuen Unübersichtlichkeit, denn immer mehr Daten der Kommunikation fallen mittlerweile außerhalb der Telekomdomäne an, nur die Geo- und Bewegungsdaten verbleiben. Wer mit einem tragbaren Gerät in einem mobilen Breitbandnetz unterwegs ist, wird nicht nur weiterhin auf Schritt und Tritt verfolgbar sein, die Geodaten werden eher noch genauer.

Nur wer mit wem wann via Smartphone, Tablet oder Laptop kommuniziert, ist im Heimatnetz nicht einmal mit "deep packet inspection" zu eruieren, wenn es sich um eine simple "https"-Verbindung zu Facebook oder eine Anbindung an ein einfaches Virtual Private Network handelt.

Kevin Normalbenutzer, Netflix

Im Cloud-Jargon nennt sich das "Network as a Service", am hinteren Ende beim Zugangsprovider ist nur zu sehen, dass Kevin Normalbenutzer seit einer halben Stunde eine verschlüsselte Verbindung aufgebaut hat, über die eine Menge Daten hereinkommt.

Dass Kevin wie ein paar hunderttausend oder mehr User weltweit Proxy-Server und VPNs in den USA benutzen, um die populären Streamingdienste Hulu und Netflix abonnieren zu können, die aus Copyrightgründen nur an IP-Adressen in den USA ausliefern dürfen, weiß der Provider nicht. Ebensogut könnte es sich bei Kevin um einen notorischen Downloadpiraten handeln.

Distribution als Hermetik

Diese Form von "Network as a Service" wirkt in Kombination mit einer bestimmten Art von "Software as a Service" richtiggehend hermetisch. In wenigen Wochen startet der Verschlüsselungspionier Phil Zimmermann einen Dienst namens "Silent Circle", ein VPN, über das alle Teilnehmer E-Mail, Chat, Telefonie und sogar Videokonferenzen vollständig End-to-End verschlüsseln können. Erst wenn sie aus diesem Netz dann weiter ins WWW oder in ein Telefonienetz unverschlüsselt "hinauskommunizieren", werden sie am anderen Ende, im jeweiligen Zielnetz sichtbar.

In Kevins Fall kennt Netflix nicht nur seinen vollen Namen und seine Kreditkartennummer, man verfügt auch über ein Interessensprofil. Kevins Zugangsprovider in Österreich verfügt zwar über seine Stammdaten, hat aber keine Ahnung, dass dieser Kunde Netflix abonniert hat und schon gar nicht, was ihn interessiert. Den VPN-Anbieter in der Mitte wiederum interessiert überhaupt nicht, was Kevin N. aus Österreich so macht, genausowenig wie ihn etwas angeht, mit wem seine anderen Kunden aus Bahrain, Venezuela, Russland, Kasachstan und vergleichbaren Staaten kommunizieren.

Zwischenstand

Den aktuellen erschreckend hohen Rasterzahlen in den USA stehen weniger als 3000 mobile Anschlüsse gegenüber, von denen Telefonate als Audios mitgeschnitten wurden, dafür bedarf es nämlich eines Gerichtsbeschlusses. Wegen des hohen Personalaufwands wird diese Form der Ermittlung zudem seit Jahren nur noch bei Fällen von organisierter Kriminalität, vergleichbaren Straftaten und Kapitalverbrechen angewendet.

Der erste ETSI-Entwurf zur Standardisierung der Überwachung "in den Wolken" ist bisher (Version 0-0-5) nur eine etwas erweiterte Punktierung. Der Versuch, die Standards für die in der nationalen Domäne entwickelte Telefonieüberwachung weitgehend eins zu eins ins technisch völlig anders aufgestellte Zeitalter der globalen Clouds fortzuschreiben, wird spannend zu beobachten sein und deshalb hierorts erfolgen.