Mit Deep Packet Inspection können Anbieter von Internetzugängen den Verkehr ihrer Nutzer bis ins Detail analysieren und sogar verändern. ZDNet zeigt, dass auch deutsche Provider unverblümt schnüffeln, fälschen und blockieren.
Wenn man eine Definition für Deep Packet Inspection (DPI) finden will, so dürfte "Verwendung oder Veränderung von Nutzdaten zum Paketrouting in Netzwerken" ganz gut passen. Zum einfacheren Verständnis lässt sich das Prinzip jedoch besser an einem Beispiel beschreiben:
Einmal angenommen, ein Kunde einer Telefongesellschaft ruft eine beliebige Telefonnummer an. Der Telefonanbieter fängt den Anruf jedoch ab und verbindet stattdessen mit dem eigenen Kundenservice, um über einen kostenlosen Dienst zu informieren. Dies dürfte innerhalb von kürzester Zeit die Regulierungsbehörde, einen Staatsanwalt und einen Richter beschäftigen.
Was im Bereich der Telefonie undenkbar ist, wird im Internet fleißig praktiziert. Die Telekom-Tochter T-Mobile fängt beispielsweise HTTP-Requests ab und sendet einen Redirect auf eine eigene Seite, siehe Bild 1[1].
Bild 1: Im Browser gibt man zwar www.example.com ein, doch man landet bei T-Mobile (zum Vergrößern klicken).
Die obige Seite erscheint im Browser, wenn man einen Rechner erstmalig mit einer Funktechnologie wie GPRS[2], EDGE[3], UMTS[4] oder HSPA[5] im Netz von T-Mobile in Betrieb nimmt, unabhängig davon, welche Seite man tatsächlich angewählt hat. Der Benutzer erhält die Möglichkeit, Webseiten zu komprimieren und optional auch die Qualität von Bildern zu reduzieren. So kann der Datenverkehr reduziert werden. Bei langsamen Verbindungen, etwa GPRS und EDGE, mag das sinnvoll sein, damit Webseiten schneller erscheinen. Bei allen UMTS-Technologien, etwa HSDPA, wird man darauf eher verzichten wollen.
Dieser "Service" ist von T-Mobile in guter Absicht implementiert worden. Auf den ersten Blick scheint er auch juristisch einwandfrei zu sein. Schließlich erkennt jeder sofort, dass nicht die aufgerufene Seite, sondern eine von T-Mobile erscheint.
Dennoch ist diese Vorgehensweise problematisch und verstößt vermutlich sogar gegen das Fernmeldegeheimnis. Die Aufgabe eines Internetzugangsproviders besteht darin, IP-Pakete unverändert an genau den Empfänger zu leiten, den der Absender bestimmt. Im geschilderten Fall liefert T-Mobile jedoch bestimmte IP-Pakete absichtlich nicht aus, sondern verwirft sie. Noch schwerer wiegt, dass T-Mobile eine Antwort sendet und dabei vorgibt, der Empfänger der ursprünglichen IP-Pakete zu sein.
Technisch lässt sich DPI so verdeutlichen: Damit ein Internetzugangsanbieter seine Aufgabe erfüllen kann, reicht es aus, nur den IP-Header[6] jedes Pakets auszuwerten. Daraus Paket kann ein Router die Information entnehmen, von wem das Paket kommt und wohin es gesendet werden soll. Vom Inhalt des Pakets muss ein Provider keine Kenntnis nehmen.
Jedes Vorgehen, dass Informationen aus oberhalb von IP liegenden Protokollen nutzt, sei es direkt, etwa TCP oder UDP, oder indirekt über mehrere Protokollebenen, etwa HTTP, SMTP oder SIP, egal für welchen Zweck, muss als Deep Packet Inspection bezeichnet werden. So erklärt sich auch der Name - in ein Paket wird tiefer hineingeschaut, als es notwendig wäre.
Vergleichbar ist das mit echten Postpaketen oder Briefen. Für deren korrekte Zustellung ist es nicht notwendig, sie zu öffnen und vom Inhalt Kenntnis zu nehmen. Wenn ein Logistikunternehmen ein Paket oder Brief öffnet oder gar Inhalte entnimmt oder austauscht, ist das selbstverständlich strafbar. Da muss die Frage erlaubt sein, warum das Post- und Fernmeldegeheimnis beim Routing von IP-Paketen nicht gelten soll.
Die meisten Verfechter der Netzneutralität haben eine klare Meinung zu DPI: Sie gehört für alle Internetzugangsanbieter verboten. Das Internet ist ein Netzwerk, das eine freie Kommunikation zwischen Teilnehmern ermöglichen soll. Den Provider gehen Inhalte von IP-Paketen nichts an.
Allerdings muss man sehen, dass DPI eine sehr weit gefasste Technologie ist. So gehört beispielsweise eine Portsperre genauso zu DPI-Technologien wie die Layer-7-Erkennung, ob jemand Filesharing betreibt. Portsperren gelten als eine allgemein anerkannte Firewalltechnologie. Wie kann man so etwas verbieten wollen?
Die Antwort auf diese Frage lautet: Es kommt nicht darauf an, welche DPI-Technologien man einsetzt, sondern wer sie einsetzt. In einem Intranet von Privatpersonen und Unternehmen gibt es gegen viele DPI-Technologien nichts einzuwenden. Einem Privatanwender, der in seinem Heimnetz mehrere Rechner und Geräte betreibt, ist mit Sicherheit nicht zuzumuten, dass er jedes Gerät einzeln so absichert, dass kein unbefugter Zugriff aus dem Internet möglich ist. Wenn er deswegen einen Verbindungsaufbau auf TCP-Ports bereits auf seinem Router zurückweist, ist das legitim.
Das kann man in etwa damit vergleichen, dass eine Firma entscheiden kann, ob bestimmte Nebenstellen einer Telefonanlage von außen erreichbar sind oder nicht. Der Telekommunikationsanbieter hingegen darf nicht einfach Anrufe an eine bestimmte Telefonnummer herausfiltern.
Ein Internetprovider darf nicht einfach bestimmte TCP- und UDP-Ports nach seinem Gutdünken sperren. Doch auch in dieser Hinsicht sieht es nicht gut aus in der deutschen Providerlandschaft. So verteidigt Kabel BW[7] Portsperren in seinen FAQ[8] vehement und führt als Beispiel NetBIOS[9] und SMB-Filesharing[10] an.
In den FAQ führt Kabel BW an: "NETBIOS stellt eine erhebliche Sicherheitslücke in Windows Systemen dar. Aus diesem Grund werden TCP- und UDP-Pakete auf den gefährdeten NETBIOS-Ports (137-139) sowie TCP-Pakete auf den SMB-Port für die Datei- und Druckerfreigabe (445) geblockt."
Abgesehen davon, dass sich mit modernen Windows- und Samba-Versionen sehr wohl sicheres Filesharing realisieren lässt, wenngleich die dafür nötige Konfiguration sich nicht ganz trivial gestaltet, ist es nicht die Aufgabe von Kabel BW, zu entscheiden, was für Nutzer zu gefährlich ist und was nicht. Wenn Nutzer A und B der Meinung sind, dass sie ihre SMB-Server-Konfiguration mit Verschlüsselung, signierten Paketen und Smartcard-Zugangskontrolle so weit abgesichert haben, dass kein VPN erforderlich ist, müssen sie es sich von Kabel BW wohl kaum gefallen lassen, wie unmündige Kinder behandelt zu werden.
Auch Kabel BW darf man außer einer gewissen "Oberlehrermentalität" keine bösen Absichten unterstellen. Die meisten Anwender bekommen keine ernsthaften Probleme durch die Portsperrliste von Kabel BW. Dennoch ist es eine unzulässige Einschränkung der Kommunikation zwischen Nutzern. Die Netzneutralität ist nicht gegeben. Außerdem ist es gefährlich, wenn ein solches Beispiel Schule macht. Die Versuchung, den Anwendern bestimmte Dinge zu untersagen, ist groß.
Ein Beispiel für eklatante Verstöße gegen die Netzneutralität geben die vier Mobilfunkanbieter in Deutschland. Sie verbieten in ihren AGB Dienste wie VoIP und Instant Messaging, um die Umsätze mit Telefonie und SMS nicht einbrechen zu lassen. Tests von ZDNet haben allerdings ergeben, dass diese Verbote nicht mit technischen Mitteln durchgesetzt werden. Abgesehen davon, dass solche Verbote durch die Regulierungsbehörde oder ein Gericht für nichtig erklärt gehören, könnte Kabel BW von den Mobilfunkprovidern als Beispiel herangezogen werden, dass Portsperren "aus Sicherheitsgründen" üblich seien. So könnten VoIP- und SMS-Dienste gesperrt werden mit der Begründung, man habe in den einzelnen Protokollen Sicherheitslücken gefunden. Wenn es danach ginge, wäre das World Wide Web der erste Dienst, der sofort gesperrt werden müsste.
DPI hat sich in den letzten Jahren entwickelt. Portsperren lassen sich beispielsweise durch Portwechsel oder Proxys umgehen. Heute sind die Router bei den Internetprovidern so schnell, dass sie leicht mit einer Geschwindigkeit von 10 GBit/s Layer-7-Protokolle erkennen können, was vor einigen Jahren noch gar nicht möglich war.
So können Provider heute unabhängig vom genutzten Port genau die Anwendung erkennen, die ein Benutzer gerade verwendet, beispielsweise VoIP oder Bittorrent. Manche DPI-Lösungen gehen sogar noch weiter und können bestimmten HTTP-Traffic erkennen, etwa ob ein YouTube-Video übertragen wird.
Die Verfechter der Netzneutralität befürchten vermutlich zu Recht, dass Internetprovider diese Möglichkeiten missbrauchen werden. Das kann so weit gehen, dass Provider für eine Standard-Flatrate nur noch Zugang zum World Wide Web und zu E-Mail zulassen. Wer zusätzlich VoIP, Bittorrent und andere Protokolle nutzen möchte, muss einen Aufpreis zahlen.
Eine andere denkbare Variante ist die künstliche Verlangsamung von Filesharing-Verkehr. Filesharing verursacht viel Traffic. An Usern, die häufig Filesharing betreiben, verdient der Provider bei einer Flatrate in der Regel nicht. Große Provider fangen das über eine Mischkalkulation auf, weil die Masse der Anwender meist weniger als 10 GByte/Monat an Traffic verursacht. Kleine Provider haben meist eine Flatrate mit Fair Use Policy[11].
Bei Filesharing hat es bereits in der Vergangenheit viele Verlangsamungsversuche auf Portebene durch die Provider gegeben. Sie wurden in erster Linie aufgegeben, weil die Entwickler der Protokolle solche Versuche umgehen konnten. Mit neuen DPI-Systemen, die die Filesharing-Protokolle auf Layer-7-Ebene erkennen, könnten die Internetprovider erneut in dieser Richtung aktiv werden, ohne dass die Benutzer das umgehen können.
Oft begründen Provider ihren Einsatz von DPI mit Traffic Shaping. Ein VoIP-Telefongespräch oder ein IPTV-Angebot soll Vorrang vor einem Filetransfer oder P2P-Traffic bekommen. Das hört sich auf den ersten Blick gut an. Beim zweiten Hinsehen erkennt man jedoch, dass solche Technologien für die künstliche Verlangsamung "unerwünschter" Nutzung von den Providern missbraucht werden können.
Außerdem dürfte das zu einem Katz-und-Maus-Spiel führen. Früher oder später entwickeln findige Programmierer Protokolle, die P2P-Traffic in VoIP-Gesprächen tunneln. Für den Provider sieht es aus, als ob ein VoIP-Gespräch geführt wird. In Wahrheit tauschen Benutzer jedoch Dateien aus.
Wenn man Netzneutralität konsequent umsetzt, muss man zu dem Schluss kommen, dass Providern auch nicht das Recht zusteht, DPI-Technologien einzusetzen, um IP-Verkehr zu priorisieren. Dann kann zwar das Video ruckeln und das VoIP-Gespräch unverständlich sein, lässt jedoch Anwendern die Freiheit, weiterhin beliebige Anwendungen im Internet gleichberechtigt zu betreiben. Hinzu kommt, dass ein gewöhnlicher Breitbandanschluss heute schon eine ausgezeichnete Qualität bei VoIP-Gesprächen und YouTube-Videos liefert - und das ganz ohne jedes Traffic Shaping auf DPI-Basis.Die meisten Szenarien für eine Verwendung von DPI verstoßen offensichtlich gegen die Netzneutralität. Dennoch darf DPI-Technologie nicht grundsätzlich geächtet werden. Bei gezielten Attacken, etwa DDoS-Angriffen, kann DPI helfen, das Netz betriebsbereit zu halten, ohne unter der massiven Flut der DDoS-Attacke zusammenzubrechen.
Auch gegen DNS-Cache-Poisoning-Angriffe kann der Einsatz von DPI sinnvoll sein. Durch die Analyse von DNS-Paketen auf Layer-7-Ebene lassen sich solche Angriffe erkennen und abwehren.
Nicht einfach zu entscheiden ist eine ausgehende Portsperre an TCP-Port 25 zur Spambekämpfung. Auch Spam ist in der Regel eine Form einer DDoS-Attacke, da der Spamversand meist über Botnets erfolgt. In den USA ist es üblich, dass Internetprovider für Privatanwender Port 25 ausgehend sperren mit Ausnahme des offiziellen SMTP-Servers des Zugangsanbieters. So können Botnet-Clients keinen Spam an SMTP-Server in der ganzen Welt versenden. In Europa nutzen Provider diese Form der Spambekämpfung normalerweise nicht.
Auch das ist eine nicht ganz unproblematische Einschränkung. Stellt man sich auf die Seite der Verfechter der Netzneutralität, so ist auch diese Portsperre unzulässig. Sie ist jedoch nicht ganz vergleichbar mit der NetBIOS/SMB-Sperre, die Kabel BW verwendet. Wenn jemand einen unsicheren SMB-Fileserver ins Netz stellt, dann setzt er sich selbst einem Risiko aus, dass er durch geeignete Maßnahmen, wie NAT-Routing oder einer Firewall, beseitigen sollte.
Ein Zombie-PC jedoch schädigt weniger sich selbst, sondern versendet in einer Stunde mehrere Millionen Spam-E-Mails an fremde Nutzer, die darunter zu leiden haben, dass jemand anderes ein Botnet-Problem hat. In diesem Fall sollte zumindest eine Diskussion darüber zulässig sein, ob eine solche Portsperre nicht Vorrang vor der Netzneutralität hat. Besser wäre es freilich, sanft zu einem neuen E-Mail-Protokoll zu migrieren, das nicht jedem ohne Zugangsdaten das Versenden von E-Mail ermöglicht. So könnte die Port-25-Sperre eine Übergangs- statt einer Dauerlösung sein.
Schaut man sich in der Internetproviderlandschaft um, so muss man feststellen, dass die Provider ihren Kunden mittels DPI-Techniken bereits heute eine Menge Einschränkungen zumuten. T-Mobile greift beispielweise in den HTTP-Traffic ein, Kabel BW spielt "Oberlehrer" und implementiert diverse Portsperren, um die Benutzer vor sich selbst zu schützen.
Denkt man einen Schritt weiter, so kann plötzlich jede HTML-Seite mit vom Provider bestimmter Werbung bestückt werden. Das Abfangen und Verändern von IP-Traffic durch die Internet-Provider, wie es T-Mobile macht, muss dringend verboten werden. Auch wenn T-Mobile keine unlauteren Absichten damit verfolgt. Es muss schlicht und einfach ausreichen, dass T-Mobile eine HTML- und Bilderkompression auf einer Serviceseite anbietet, ohne diese dem Benutzer zwangsweise unterzuschieben.
Das gleiche gilt für Kabel BW. Auch Kabel BW könnte auf einer Konfigurationsseite seine Portsperrdienste auf freiwilliger Basis anbieten. Sogar eine Default-Portsperre mit Opt-Out-Möglichkeit wäre durchaus vertretbar. Unerfahrene User wären geschützt, Power-User hätten alle Freiheiten, die einen vollwertigen Internet-Anschluss ausmachen.
Während die Festnetzanbieter von Internetanschlüssen noch recht moderat vorgehen, verhalten sich die deutschen Mobilfunk-Anbieter sehr aggressiv und haben das Wort Netzneutralität offensichtlich noch nie gehört. Unverblümt untersagen sie Instant Messaging und VoIP-Gespräche. T-Mobile verbietet darüber hinaus eine VPN-Nutzung, die das VoIP- und SMS-Verbot aushebeln könnte.
Spätestens bei diesem Verhalten wird klar, dass der Gesetzgeber mit einem "Netzneutralitätsgesetz" gefordert ist. Dabei reicht es nicht aus, Internetanbietern zu untersagen, einzelne Dienste zu sperren - auch die künstliche Verlangsamung bestimmter Dienste sollte verboten werden. Alle Pakete müssen mit der gleichen Priorität weitergeleitet werden. DPI-Technologien lassen sich beispielsweise leicht dazu einsetzen, VoIP-Pakete so lange zu verzögern und in der Reihenfolge zu vertauschen, bis das Gespräch unverständlich ist, ohne dass der Nettodurchsatz in Byte/s sinkt.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/