Internet-Law

Onlinerecht und Bürgerrechte 2.0

25.9.12

Ist Deep Packet Inspection in Deutschland erlaubt?

In einem Interview mit der taz erläutert CCC-Mitglied Rüdiger Weis die Überwachungstechnik Deep Packet Inspection (DPI) und spricht von einer Internetversion des Nacktscanners. Weis erklärt außerdem, dass es Hinweise geben würde, wonach auch deutsche Mobilfunkanbieter und Provider DPI einsetzen. Diese Aussagen decken sich mit den Erkenntnissen der EU-Behörde BEREC, die Anfang des Jahres einen Bericht über Providerpraktiken zum “Traffic Management” vorgelegt hat.

Wenn man eine Parallele zur analogen Welt ziehen will, dann ließe sich der Einsatz von DPI wohl am ehesten damit vergleichen, dass die Post sämtliche von ihr transportierten Postsendungen vor der Auslieferung systematisch liest und die Inhalte analysiert.

Deep Packet Inspection stellt nach meiner Einschätzung einen Verstoß gegen das Fernmeldegeheimnis des § 88 TKG dar. § 88 Abs. 3 TKG normiert ein Kenntnisnahmeverbot des TK-Anbieters sowohl hinsichtlich des Inhalts als auch der näheren Umstände der Telekommunikation. Das Verbot ist somit enger als das der Strafnorm des § 206 StGB, weil dort die bloße Kenntnisnahme noch nicht sanktioniert wird. Das Gesetz spricht zwar in § 88 Abs. 3 TKG davon, dass es dem Provider nur verboten ist, sich über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis zu verschaffen. Daraus lässt sich aber keine Gestattung einer Deep Packet Inpection ableiten. Denn jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden. Für die Erbringung der TK-Dienstleistung ist es auch unter dem Aspekt der Systemsicherheit nicht erforderlich, Technologien wie DPI einzusetzen.

Es wäre also durchaus interessant konkret festzustellen, welche Provider solche Technologien einsetzen und in welchem Umfang. Denn als Kunde könnte man dann eine Verletzung des Fernmeldegeheimnisses gegenüber seinem Anbieter geltend machen.

posted by Stadler at 17:50  

10 Comments

  1. Jeder Provider, der Skype sperrt, macht Deep-Packet-Inspektion. Von außen kann man nur sehen, dass HTTP/HTTPS gesprochen wird. Man muss in die Pakete rein sehen, um zu erkennen, dass es Skype ist.

    Die Vorschläge, die man zur Deep-Packet-Inspektion hört, wären in der analogen Welt gleichzusetzen:

    1.) Man muss in jeden Brief hineinsehen (um festzustellen, dass etwas illegales transportiert werden soll)

    2.) Man muss in jedes Auto hineinsehen, welche Fracht befördert wird: Terroristen, Bomben usw. Dann muss der Straßenbetreiber die Nutzung der Straße unterbinden (Kalaschnikoff, Drohne, Oberst-Klein-Bombe oder irgendein anderes Instrument zur Massenzivilistenvernichtung, da man nie ausschließen kann, dass einer doch noch zum Terroristen wird, wie es der Spiegel nahe legt: http://www.spiegel.de/politik/ausland/drohnenkrieg-us-spitzenjuristen-kritisieren-obama-a-857702.html). So wie wir das in Kunduz gelernt haben, wo Struck die Freiheit des Abendlandes verteidigt, Frauen rettet und Brunnen bohrt (wobei die das Wasser aus den Bombenkratern der Massentötungen der BW schöpfen können)

    Wenn man sich die Beschlüsse des DJT ansieht, dann merkt man, dass es halt immer noch viele Menschen gibt, die mit unserer freiheitlich-demokratischen Grundordnung auf Kriegsfuß leben und Liberalität wie in USA abgrundtief hassen, wie der rechte Rand unserer Juristen auf dem DJT.

    Unsere Spitzenjuristin Zypries hat heute auch die SPD-Tradition gepflegt: Kriegskredite 1914, Noske-Polizei 1919 („Einer muss den Bluthund machen“), Rauswurf H. Schmdits aus dem SPD-Vorstand 1957 wegen Militarismus, Nachrüstung mit Pershing-Raketen, Extremistenbeschlüsse, Grosser Lauschangriff, Kriege in Jugoslawien und Afghanistan („Nie wieder Krieg ohne uns“ statt „Nie wieder Krieg!Ohne uns!) und heute dann wieder VDS. Man erblödete sich gar EU-Compliance heucheln müssen. Seit Jahren schweigen Zypries und Gabriel zum deutschen Boykott der EU-Dienstleistungsrichtlinie (Artikel 8 EU_DLR wird mit §3a VwVfG ausgebremst, den Zypries gemacht hat), aber bei der VDS heuchelt man sich EU-treu.

    Comment by Wolfgang Ksoll — 25.09, 2012 @ 19:39

  2. Hi,

    Was ist dann von den „transparenten“ Proxies der Mobilfunker zu halten, die on the fly Bilder verkleinern, Webseiten ändern und durchaus auch Videos umkodieren?

    Grüße,
    Jens

    Comment by Jens Hoffmann — 25.09, 2012 @ 20:07

  3. Wer DPI nutzt? Z.B. die hier: http://netzpolitik.org/2012/jetzt-auch-wissenschaftlich-belegt-netzneutralitat-wird-permanent-verletzt/

    Comment by Jonny — 25.09, 2012 @ 23:07

  4. Kabel Deutschland zum Beispiel, oder denken wir mal an Vodafone die zeitweise den Youtube Dienst drosseln.

    LG

    Comment by Andre — 25.09, 2012 @ 23:31

  5. Mich würde in diesem Zusammenhang interessieren, wie § 1 Abs. 3 Nr. 1-3 PUDLV zu lesen ist, die die Beförderungspflicht abhängig vom Inhalt ausnehmen. Ist dies eine Ermächtigung zu Gunsten des Dienstleisters, den Inhalt zu überprüfen, oder nur eine Ermächtigung, die Beförderung zu verweigern, wenn ihm der Inhalt auf anderem Wege als durch Öffnung der Sendung zufällig bekannt wird?

    Comment by Ein Mensch — 26.09, 2012 @ 15:41

  6. wobei es bei DPI durchaus Unterschiede gibt: um eine Skype-Verbindung zu erkennen muss ich „nur“ die typischen Strukturen (also Meta-Daten) erkennen, ebenso bei Online-Videos (wobei es da evtl. schon reicht, die Paket-header und evtl. noch die zeitliche Abfolge zu analysieren, die Server von YouTube & co dürften ja bekannt sein…).
    Virenscanning oder die Prüfung auf sonstige „unerwünschte inhalte“ erfordert dagegen das Analysieren des gesamten Inhalts.

    Ja, beides ist DPI, aber es gibt dann doch graduelle Unterschiede. Manches was dem DPI zugeschrieben wird kann auch nur durch Analyse von Art, Größe und zeitlicher Abfolge von Paketen gewonnen werden (viele Pakete gleicher Größe von ein und derselben Adresse, die Youtube zugeordnet ist, und das kurz nacheinander –> der User schaut Video. Welches er schaut kann daran aber nicht erkannt werden)

    Ebenso reicht für manche Zwecke auch aus, nur nach festen Paketen zu suchen, mit denen eine Verbindung aufgebaut wird. Beispiel Skype: laut http://www1.cs.columbia.edu/~salman/skype/ reicht es, Pakete mit Inhalt „0x1703010000“ zu blockieren, um die Skype-Verbindungsaufnahme zu unterbinden. Also eine reine Metainformation, die noch nichtmal aussagt, ob die Person telefonieren wollte, sondern nur, dass der Server auf einen (realen oder vermeintlichen) Verbindungsversuch reagiert.

    Wie gesagt: auch sowas ist DPI und gehört in öffentlichen Netzen untersagt. Andererseits entspräche es in der analogen Welt nur „Postkarten an Person X werden gleich weggeworfen“ oder „Y erhält keine Briefe der Dicke 2,3mm und mit 180 Gramm Gewicht aus Aachen“

    Die Proxies der Mobilfunker konnte man zumindest als ich sowas noch genutzt habe übrigens abschalten.

    Comment by Engywuck — 26.09, 2012 @ 20:04

  7. Zu „jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden“.

    Das kommt auf die Umstände an. Spare ich Bandbreite so kann Video-Streaming u.U ohne Verletzung der Netzneutralität und damit ohne DPI nicht erbracht werden. Zudem gibt es Szenarien, bei denen DPI bei Hacker-Angriffen helfen kann.

    Schon das Auslesen des äußersten TCP/IP Packets, etwa die Adressen stellt eine Art DPI dar. Die Schichten des OSI-Modells (und auch von TCP/IP) sind gemacht um auf der jeweiligen Ebene ausgelesen und automatisch verarbeitet zu werden.

    Die Frage ist also: wo sind die Grenzen? Wenn schon IP-Adressen vielleicht personenbezogene Daten darstellen, dann wird das Dilemma klar. Es gibt keine einfache Regel nach dem Motto: „Dich hat nur Deine Schicht zu interessieren und deren Daten dürfen nur bestimmungsgemäß verwendet werden“. Bestimmungsgemäß ist eine Variable.

    Ich persönlich würde sagen: Provider, behandelt Eure Kunden nicht wie Zitronen die nach Belieben ausgequetscht werden können. Sonst werden Regeln und Maßnahmen erstellt, die Euch den Missbrauch unmöglich machen. Dazu braucht es kein Gesetz. Die Lobbyisten können zuhause bleiben. Da helfen nur technische Maßnahmen. Dann steht ihr außen vor. Nix mehr mit Bandbreitenmanagement weil ihr es übertreibt. Ihr habt die Wahl.

    Comment by Joachim — 27.09, 2012 @ 10:14

  8. Ich hab‘ den Eindruck, das man mehr und mehr feststellt, das beim Erstellen der TCP/IP Standards das deutsche Datenschutzrecht und das Telekomunikationsgesetz gar nicht mitbetrachtet wurden.

    Kausalität, anyone?

    DPI, ist allein aus technischen Gründen ein Fakt im Mobilfunk, da beim Design von TCP/IP vergessen wurde, verbindungsorientiert zu arbeiten. Natürlich gibt’s verschiedene Stufen der Analyse und es ist für den jeweiligen Betreiber natürlich verlockend damit Dienste gezielt abzulehnen, KOMMA ABER man bekommt kein mittelmäßig bis richtig volles Mobilfunksystem, das Daten transportieren soll zum Laufen, ohne Übersicht, welche Dienste transportiert werden sollen (und wohin).

    Comment by Philip Engstrand — 27.09, 2012 @ 15:43

  9. DPI wird u.A. dafür ausgenutzt, um Verbindungen, die zur Prüfung der Geschwindigkeit eines Anschlusses aufgebaut werden, übermäßig zu priorisieren. (Genauer: Es wird der gesamte Anschluss priorisiert, so dass während des Tests auch andere Downloads messbar schneller sein können.)

    Ich warte direkt darauf, dass ein Betroffener deswegen Strafantrag wegen Betrugs stellt.

    Comment by Matthias Urlichs — 2.10, 2012 @ 23:26

  10. das Daten transportieren soll zum Laufen, ohne Übersicht, welche Dienste transportiert werden sollen (und wohin).

    Comment by conservation easements — 25.06, 2013 @ 15:12

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.