Erstellt am: 9. 6. 2014 - 19:00 Uhr
Mehr Sicherheit für Österreichs Mobilfunknetze
Ein Jahr nach der Publikation der ersten NSA-Folien haben einige der größten Internetkonzerne die Verschlüsselung ihres Datenverkehrs schon weit vorangetrieben. Google, Microsoft, Facebook und andere haben die wichtigsten empfohlenen Verschlüsselungsmaßnahmen umgesetzt.
Im Telekomsektor tut man sich dabei wesentlich schwerer, da die auf den Glasfaserstrecken noch immer verwendeten Protokolle nie Verschlüsselung vorsahen. Bei T-Mobile Österreich setzt man daher darauf, sichere Verschlüsselung über den neuen Mobilfunkstandard LTE voranzutreiben, weil der bereits vollständig auf dem Internetprotokoll basiert.
EFF encryption
Auch in Europa wird der Massenabgriff von Daten nicht mehr so einfach hingenommen. Aus den genannten Gründen gehen die Sicherungsmaßnahmen bei den Telekoms weit langsamer voran als in den vollständig TCP/IP-basierten Netzen etwa von Google. "In unserem neuen LTE-Netz sind mittlerweile bereits alle Funkmasten verschlüsselt angebunden", sagte Georg Petzl von T-Mobile Österreich zu ORF.at.
Die Aufrüstung der wichtigsten Zugangs- und Serviceprovider erfolgt auch in USA nur langsam. Auch hier liegen die Telekoms aus den selben Gründen weit hinter den Internetkonzernen zurück
Begehrlichkeiten nach Daten aus Österreich
Bei der A1 Telekom wiederum werden Netze und Datencenter systematisch überprüft, seit Mitte Mai Gerüchte in Umlauf kamen, Österreich sei jenes "Land X", dessen kompletter Telefonverkehr mitgeschnitten werde. Das hatte sich zwar als nicht zutreffend herausgestellt, denn das fragliche Land war Afghanistan, wie offiziellerseits aus den USA bekannt wurde.
Fest steht allerdings, dass es enorme Begehrlichkeiten nach Metadaten und den zugehörigen Telefonaten aus Österreich geben muss. Neben den Vereinten Nationen, der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), der Internationalen Atomenergieagentur oder der Organisation erdölproduzierender Staaten (OPEC) haben eine ganze Reihe weiterer internationaler Gremien ihren Sitz in Wien. Mit etwa 17.000 hierzulande akkredditierten Diplomaten weist das Land die weltweit mithin höchste Dichte an Angehörigen ausländischer Vertretungen auf.
Als im Herbst 2013 ruchbar wurde, dass NSA/GCHQ offenbar ungehindert Daten aus den Backbones zwischen den Datenbcenters von Google und Yahoo abzapfen können, wurde damit begonnen, auch diesen netzinternen Datenverkehr zu verschlüsseln
Keine Lizenz zum Zapfen
Gefunden habe man bis dato nichts, hieß es auf Anfrage von ORF.at von der A1 Telekom Austria dazu. Sollte im weiteren Verlauf der Untersuchung jedoch ein Angriff auf die Infrastatruktur zu Tage kommen, werde man sofort rechtliche Schritte einleiten. Anders als etwa in Deutschland verfügen die Geheimdienste hierzulande nicht über die Lizenz, Datenströme an den Glasfaserkabeln abzugreifen, weil es dafür keine Rechtsgrundlage gibt.
http://bit.ly/1xxIL9S
Das wurde sowohl von Seiten des Bundesheers wie auch von Juristen mehrfach bestätigt. In Deutschland hingegen sitzen Mitarbeiter des deutschen BND etwa im "Dagger"-Komplex bei Darmstadt neben den NATO-Kameraden von der NSA an den Glasfasersträngen zum Zweck der "strategischen Fernmeldeüberwachung". Gerade Daten aus den Telefonienetzen lassen sich gegen diese Staubsaugermethoden nicht wirklich schützen, denn im gesamten technischen Set-Up der Telekoms war Verschlüsselung in diesem Teil der Netzwerktopologie ja niemals vorgesehen.
Auch in Österreich war im Februar 2013 versucht worden, die Befugnisse der österreichischen Militärs inklusive des Zugriffs auf die "Vorratsdaten" auszuweiten. Eine diesbezügliche Passage, die in einer Novelle zum Verwaltungsrecht versteckt war, wurde nach ihrem Bekanntwerden vom Verteidigungsministerium zurückgezogen.
Aus dem ISDN-Zeitalter
Die "Backbones" genannten, internationalen Glasfaserstrecken werden zwar nach und nach von den herkömmlichen Übertragungsmethoden, die aus der Frühzeit der digitalen Telefonie stammen, auf das Internetprotokoll umgestellt. Erst dann wird der flächendeckende Einsatz der im TCP/IP-Bereich längst üblichen Verschlüsselungsmethoden auch auf den internationalen Glasfaserstrecken möglich.
Davon ist man im Telekomsektor noch ein ziemliches Stück weit entfernt, da die Transportnetze der Telekoms ja nicht nur eigenen Datenverkehr transportieren, sondern Anrufe und Daten für andere Telekoms durchleiten. Die Umrüstung auf das Internetprotokoll ist daher nur abschnittsweise möglich, weil dieser Umstieg auf IP und Ethernet einen fundamentalen technischen Paradigmenwechsel darstellt. Der betrifft von den Protokollen bis hin zur gesamten Hardware das gesamte auf "Time Division Multiplexing" basierende Datentransportsystem der Telekoms. Der technische Ansatz stammt aus der ersten Digitalisierungsphase der Telefonnetze, also aus dem Zeitalter von ISDN.
"Vererbte" Telekomtechnologien
"Durch den hohen Grad an Legacy in diesen historisch gewachsenen Netzen ist leider auch eine sehr hohe Komplexität gegeben", sagte Petzl. Will heißen, die "vererbte" Technologie steht der Modernisierung der Netze im Wege. Im Grunde seien für diese Aufrüstung sowohl neue Leitungen wie Datencenter erforderlich, sagte Petzl. Deshalb seien die Glasfaserverbindungen von T-Mobile etwa zwischen Deutschland und Österreich derzeit noch nicht verschlüsselt.
Der gesamte mobile Datenverkehr samt Telefonaten über LTE sei in Österreich hingegen schon über das IPSEC-Protokoll "End-to End"-verschlüsselt, so der Sicherheitsschef der österreichischen Niederlassung von T-Mobile weiter, "europaweit haben das noch nicht sehr viele andere Unternehmen umgesetzt."
IPSEC-Verschlüsselung für LTE
Anders als alle bisherigen Übertragungsmethoden der Telekoms basiert diese vierte Generation des Mobilfunks bereits auf dem Internetprotokoll. Wenigstens hier ist es also jetzt schon möglich, die in der Welt von TCP/IP längst gebräuchlichen Verschlüsselungsmethoden einzusetzen.
T-Mobile hat dieses neue, rasch wachsende Segment seines Netzes nun in ein Virtual Private Network umgewandelt, die Sicherheit der Kunden gegen unautorisierte Datenabgriffe ist technisch daher mit der eines Unternehmensnetzes zu vergleichen. Auch da sind Filialnetze und Mobilgeräte der Mitarbeiter in der Regel mit IPSEC an die Zentrale angebunden.
Die Mobilfunker hatten zwar immer schon Verschlüsselung eingesetzt, allerdings nur auf der Funkstrecke vom Endgerät bis zum nächsten Masten. Ab dort wurden Telefonate und Daten über eigene oder angemietete Leitungen unverschlüsselt weitertransportiert, da sie sich ja bereits im eigenen Netzwerk befanden, das der jeweilige Operator physisch kotrolliert.
Paradigmenwechsel Post-Snowden
Vor Edward Snowden galt diese Art von Sicherheit sowohl für Telekoms wie Internetkonzerne als gut genug, bis eben eine jener NSA-Folien ans Tageslicht gekommen war, die den Abgriff von Adressverzeichnissen von Google, Yahoo und anderen Providern thematisierte. Hier waren derartigen Datenmengen angefallen, dass seitens der NSA Maßnahmen zur Datenminimierung ergriffen werden mussten.
Zusammen mit den Informationen über den Angriff auf die Google Cloud Services war klar, dass NSA und GCHQ direkten Zugriff auf jene Glasfaserkabeln haben, die den Datenverkehr zwischen den Rechenzentren von Google hatten. An diesen Zapfstellen ist für GCHQ und NSA mittlerweile nichts Brauchbares mehr abzuholen, weil diese Glasfaserlinks nun "End-to-End" verschlüsselt sind.
Auslandstelefonate ungeschützt
Auf den internationalen Glasfaserstrecken der untereinander eng vernetzten Telekoms ist derlei noch nicht möglich. Für Österreich bedeutet das, dass ein- und ausgehende Telefonate auf den Transportwegen jenseits der Landesgrenzen de facto überhaupt nicht gegen Abgriffe geschützt werden können.
http://bit.ly/1lia4Qg
Auf den Glasfaserkabeln in westlicher Richtung zapfen der Deutsche Bundesnachrichtendienst, NSA, GCHQ und andere in großem Stil. An den Landungspunkten der Mittelmeerkabel in Italien sind die genannten Geheimdienste ebenso präsent, wie an den Glasfasern, die über Land in Richtung Naher Osten führen.
"Permanenter Zugriff" bei Vodafone
In mindestens sechs Staaten, in denen Vodafone tätig sei, "diktieren die Gesetze, dass spezielle Agenturen direkten Zugang zu den Mobilfunknetzen" haben müssten, hieß es in einem "Transparenzbericht, den der britische Vodafone-Konzern am Freitag überraschend veröffentlichte. Der Bericht listet die weltweiten Überwachungsorders für Vodafone nach Ländern gestaffelt auf, wobei die darin genannten Zahlen mit Vorsicht zu genießen sind.
Vodafone
In wenigstens sechs "Staaten erhält Vodafone überhaupt keine gerichtlichen Überwachungsanfragen, da die zuständigen Behörden über ihre direkte Verbindung ohnehin permanenten Zugriff auf die Kommunikation der Kunden haben.", heißt es.
Am Transparenzbericht der britischen Vodafone fällt auf, dass es etwa in Ungarn, Malta oder Rumänien verboten ist, "irgendeinen Aspekt des Überwachungsvorgangs zu thematisieren
Zapfstellen in Ungarn
Mit hoher Wahrscheinlichkeit handelt es sich bei einem dieser sechs Staaten um ein Nachbarland der Republik Österreich, nämlich um das NATO-Mitglied Ungarn. Im juristischen Annex zum Transparenzbericht zitiert Vodafone dabei aus dem ungarischen "Regierungsdekret zur Kooperation" von 2004, das in den Abschnitten 3(3) und 6(3) Folgendes festhält: "Strafverfolger und Geheimdienste können technische Gerätschaften in elektronischen Kommunikationsnetzen implementieren, sodass sie direkten Zugang zu Netzen haben, ohne dass sie auf die Unterstützung durch die Angestellten der Betreiber angewiesen sind."
Es ist also davon auszugehen, dass zumindest die Metadaten von Telefonaten aus Österreich, die auf dem Landweg über Glasfasern in Ungarn in Richtung Türkei und den Nahen Osten gehen, vollständig erfasst werden. Die ungarischen Geheimdienste verfügen dann über diese Daten, egal über welches Netz der drei führenden Anbieter - T-Mobile, Vodafone oder Telenor Ungarn - dieser Anruf geroutet wird. In Ungarn sind daher Metadaten - vielleicht aber auch ein gewisser Prozentsatz der Gesprächsinhalte selbst - verfügbar, die es weiter westlich nicht abzugreifen gibt, weil die Telefonate eben aus Österreich stammen.
Die in den Telefonnetzen gebräuchlichen, auf "Time Division Multiplexing basierenden Übertragungstechnologien gehen auf das 19. Jahrhundert und auf den Pionier der Datenübertragung Emile Baudot zurück. Nach Baudot wurde die Maßeinheit zur Datenübertragung "Baud" benannt, die in den frühen Internetzeiten üblich war, während nunmehr in "Bits pro Sekunde" gerechnet wird.
Schnittstellen in Tschechien
Auch auf den nördlichen Glasfaserstrecken ist die Situation ganz ähnlich. Der Abschnitt 9(5) im Militärbefugnisgesetz Tschechiens ermächtigt die Geheimdienste, den Einbau von Überwachungsschnittsellen in jene Netze vorzuschreiben, die Informationen transportieren, wenn deren "Akquise durch andere Mittel ineffektiv, substanziell schwierig oder unmöglich"sei, heißt es im Transparenzbericht von Vodafone über Tschechien.
Sämtliche Telefonate aus Österreich ins Ausland - und vice versa - können also in einem der benachbarten NATO-Staaten Deutschland, Italien, Tschechien, Ungarn - an den Glasfasernetzen abgegriffen und im Klartext mitgeschnitten werden. Es bestehen keine Zweifel daran, dass dies in der Praxis auch passiert.
Fahndung, Ausblick
Um freilich an die innerösterreichischen Telefonate in großem Stil heranzukommen, müsste das Backbone oder auch die Zentrale des weitaus größten Infrastrukturproviders hierzulande angezapft werden. Das ist der Grund, warum bei der A1 Telekom so intensiv nach Angriffspunkten gesucht wird, zumal die in ihrem Netz vorhanden Informationen eben nirgendwo anders zu haben sind.
Erst wenn TCP/IP-basierte Protokolle die "Erbschaft" aus der Frühzeit digitaler Telefonie ersetzt haben werden, kann das systematische Abzapfen der Daten durch ausländische Geheimdienste erschwert bis unmöglich gemacht werden.
Bis also tatsächlich von "Sicherheit" in den Telefonnetzen die Rede sein kann, wird wohl noch einige Zeit den großen Datenstrom hinuntergehen.