Lauschangriff DPI: So hören die Provider ihre Kunden ab

Technisch lässt sich DPI so verdeutlichen: Damit ein Internetzugangsanbieter seine Aufgabe erfüllen kann, reicht es aus, nur den IP-Header jedes Pakets auszuwerten. Daraus Paket kann ein Router die Information entnehmen, von wem das Paket kommt und wohin es gesendet werden soll. Vom Inhalt des Pakets muss ein Provider keine Kenntnis nehmen.

Jedes Vorgehen, dass Informationen aus oberhalb von IP liegenden Protokollen nutzt, sei es direkt, etwa TCP oder UDP, oder indirekt über mehrere Protokollebenen, etwa HTTP, SMTP oder SIP, egal für welchen Zweck, muss als Deep Packet Inspection bezeichnet werden. So erklärt sich auch der Name – in ein Paket wird tiefer hineingeschaut, als es notwendig wäre.

Vergleichbar ist das mit echten Postpaketen oder Briefen. Für deren korrekte Zustellung ist es nicht notwendig, sie zu öffnen und vom Inhalt Kenntnis zu nehmen. Wenn ein Logistikunternehmen ein Paket oder Brief öffnet oder gar Inhalte entnimmt oder austauscht, ist das selbstverständlich strafbar. Da muss die Frage erlaubt sein, warum das Post- und Fernmeldegeheimnis beim Routing von IP-Paketen nicht gelten soll.

Die meisten Verfechter der Netzneutralität haben eine klare Meinung zu DPI: Sie gehört für alle Internetzugangsanbieter verboten. Das Internet ist ein Netzwerk, das eine freie Kommunikation zwischen Teilnehmern ermöglichen soll. Den Provider gehen Inhalte von IP-Paketen nichts an.

Allerdings muss man sehen, dass DPI eine sehr weit gefasste Technologie ist. So gehört beispielsweise eine Portsperre genauso zu DPI-Technologien wie die Layer-7-Erkennung, ob jemand Filesharing betreibt. Portsperren gelten als eine allgemein anerkannte Firewalltechnologie. Wie kann man so etwas verbieten wollen?

Die Antwort auf diese Frage lautet: Es kommt nicht darauf an, welche DPI-Technologien man einsetzt, sondern wer sie einsetzt. In einem Intranet von Privatpersonen und Unternehmen gibt es gegen viele DPI-Technologien nichts einzuwenden. Einem Privatanwender, der in seinem Heimnetz mehrere Rechner und Geräte betreibt, ist mit Sicherheit nicht zuzumuten, dass er jedes Gerät einzeln so absichert, dass kein unbefugter Zugriff aus dem Internet möglich ist. Wenn er deswegen einen Verbindungsaufbau auf TCP-Ports bereits auf seinem Router zurückweist, ist das legitim.

Das kann man in etwa damit vergleichen, dass eine Firma entscheiden kann, ob bestimmte Nebenstellen einer Telefonanlage von außen erreichbar sind oder nicht. Der Telekommunikationsanbieter hingegen darf nicht einfach Anrufe an eine bestimmte Telefonnummer herausfiltern.