Die Überwachung der Internet-Kommunikation ist ein florierendes Geschäft, vor allem in autoritären Staaten. Wer entwickelt und implementiert solche Systeme, und wie funktionieren sie? Der IT-Berater Hermann Müller (Name geändert) verrät, wie die Abhör-Industrie und ihre Auftraggeber ticken.
Der junge Mann trug eine Maschinenpistole. Er schaute cool und etwas gelangweilt, als er den Spiegel unter das Auto schob. Er fand keine Bombe unter dem Wagenboden, studierte kurz die Zugangsberechtigung, öffnete den Schlagbaum und winkte mich durch. Den Aktenkoffer auf dem Beifahrersitz ignorierte er.
Mein Ziel war das „Monitoring Center“, die zentrale Anlage zur Überwachung des Internets in diesem arabischen Land – eine Light-Version der „großen chinesischen Internet-Mauer“, wenn man so will. Nur dass hier nicht blockiert wird, sondern nur gelauscht. Der Datenverkehr wird mitgeschnitten, gespeichert und bei Bedarf an Polizei, Justiz oder den Geheimdienst übergeben. Alles streng nach den Buchstaben des Gesetzes und im Dienste des „Krieges gegen den Terror“. „Lawful Interception“ nennt sich das, legale Überwachung. Das macht kein Staat mehr selbst – na ja, außer vielleicht Nordkorea –, sondern kauft diese Dienstleistung bei großen internationalen Herstellern ein, die ihre Systeme nur noch an die jeweiligen „legal requirements“ eines Landes anpassen. Viermal im Jahr kann man solche Anlagen auf einer großen Messe besichtigen – beim ISS World Training sind praktisch alle großen Hersteller vertreten. Als Privatmensch kommst du da aber nicht rein, nur wenn du in der Branche arbeitest oder für einen der staatlichen Überwachungsdienste.
Zurück zum Monitoring Center. Das kleine Problem dort war, dass die Anlage nicht funktionierte. Nicht so, wie es in den wunderschönen Hochglanzprospekten stand. Auch nicht so, dass man damit zumindest hätte improvisieren können – sondern schlicht gar nicht: Die Rechner stürzten nach einigen Stunden in schönster Regelmäßigkeit ab, in den Protokolldaten stand oft nur Müll, und einen wichtigen Teil der Internet-Kommunikation bekam das System gar nicht erst mit.
Das Projekt hatte ursprünglich eine Laufzeit von drei Jahren, war aber, als wir einstiegen, bereits anderthalb Jahre überzogen. Das bedeutete, der US-Hersteller musste Vertragsstrafe zahlen – etwa 1000 Dollar pro Tag. Und er wurde von den Arabern gezwungen, sich externe Berater zu holen. So kamen mein Partner und ich ins Spiel: Laut Vertrag sollten wir analysieren, wo die internen Probleme lagen, moderieren, Missverständnisse ausräumen und helfen, die Schwierigkeiten zu beseitigen. Aus Sicht des Herstellers sollten wir allerdings nur die Araber beruhigen. Inhaltlich wollte er auf gar keinen Fall beraten werden.
Warum das alles nicht funktioniert hat? Im Wesentlichen lag es meiner Meinung nach daran, dass die meisten Hersteller von Internet-Überwachungsanlagen aus der Telefonbranche kommen. Dort ist alles noch einigermaßen einfach: Man überwacht einen bestimmten Teilnehmer, der aus irgendwelchen Gründen verdächtig ist. Und wenn du den Absender der Nachricht hast, erwischst du automatisch auch den Empfänger. Das gesamte Gespräch geht über eine Leitung. Die Datenmenge, die ich aufzeichnen muss, bleibt überschaubar.
Aber wenn man versucht, diese Philosophie einfach auf das Internet zu übertragen, funktioniert das nicht. Denn erstens hat man nicht von Anfang an seine Verdächtigen – man will ja vielmehr die allgemeine Kommunikation belauschen, um zu sehen, ob jemand etwas Verbotenes macht. Und zweitens hat man es nicht mit einer Punkt-zu-Punkt-Verbindung zu tun, sondern mit einer paketbasierten Vermittlung. Das Hauptproblem ist nun: So ein Abhörsystem soll zwar den laufenden Datenverkehr mitschneiden, kann aber nicht aktiv daran teilnehmen. Das heißt, es kann beispielsweise ein verloren gegangenes Datenpaket nicht noch einmal anfordern – was ja eigentlich Sinn und Zweck des Internet-Protokolls ist. Umgekehrt muss es aus dem ganzen Gewusel an – zum Teil mehrfach gesendeten – Datenpaketen, die da aus der Leitung plumpsen, die ursprüngliche Nachricht wieder zusammenbasteln. Das ist technisch nicht ganz einfach.
In unserem Fall – und ich denke, das wird immer so gemacht – wurde in einem Router ein sogenannter Spiegel-Port benutzt, auf den der gesamte Datenverkehr umgeleitet wurde. Dann musste herausgefiltert werden, was man sehen wollte – den ganzen Filesharing-Krempel beispielsweise nicht. Darüber kommt zwar eventuell verbotene Pornografie ins Land, aber dafür ist eine andere Dienststelle zuständig. Der gefilterte Datenstrom wurde dann nach Protokollen – also etwa SMTP für E-Mails oder HTTP für Webseiten – auf verschiedene Rechner aufgeteilt, die jeweils ein bestimmtes Protokoll dekodieren. Die Nachricht wurde gespeichert, die dazugehörigen Metadaten wie Betreffzeile, Sender und Empfänger nebst ihren IP-Adressen in eine Datenbank geschrieben.
Die zusätzliche Schwierigkeit besteht nun darin, diese IP-Adressen mit der Identität der Nutzer in Verbindung zu bringen. Das heißt, ich brauche zusätzlich noch die Login-Daten der Internet-Provider, und ich muss die exakte Zeit mitprotokollieren, zu der sich ein Nutzer eingeloggt hat. Dafür brauche ich aber eine sehr exakte Zeitsynchronisation, die es in diesem Land nicht gab. Dazu kam, dass die Login-Daten eine sehr schlechte Qualität hatten. Wir haben manche Logins gar nicht gesehen, einige dafür aber drei- bis viermal und Logouts bis zu 15-mal. Das führte regelmäßig dazu, dass der Server, der die Log-Protokolle verarbeiten sollte, nach ein bis zwei Tagen abgeraucht ist. Es hat mehr als drei Monate gedauert, bis wir das gefixt hatten.
Wobei wir einen Monat brauchten, bis der Hersteller überhaupt einsah, dass es sich tatsächlich um einen Fehler handelte. Der behauptete immer: Wir haben alles getestet, das funktioniert. Wenn es nicht funktioniert, liegt....
Neugierig geworden? Weiterlesen in der Print-Ausgabe 03/2010 von Technology Review. Das Heft kann, genauso wie die aktuelle Ausgabe, hier online portokostenfrei bestellt werden.
Permalink: http://heise.de/-936910
