© Fotolia/Peer Frings, Serverkabel

Deep Packet Inspection: Die Nase tief im Netz

NETZPOLITIK
07.07.2009

Deep Packet Inspection (DPI) ist zum Reizbegriff für Datenschützer und Netzaktivisten geworden. Diese Netzwerküberwachungstechnik lässt tief in den Datenstrom blicken. Sie kann für das Netzwerkmanagement nützlich sein, aber auch Zensur und gezielte Benachteiligung von Diensten im Netz ermöglichen. Das bedeute eine Gefahr für die Netzneutralität, erklärt Politologe Ralf Bendrath im Gespräch mit ORF.at.

Am Montag hat die British Telecom (BT) bekanntgegeben, dass sie auf den Einsatz des Werbesystems Phorm bis auf weiteres verzichten möchte. Phorm ist ins Fadenkreuz von Datenschützern geraten, weil die Firma auf die Untersuchung des Internet-Datenstroms mittels Deep Packet Inspection setzt. Mittels DPI sollte der Datenverkehr der Provider-Kunden auf deren Vorlieben und Interessen hin untersucht und ihnen entsprechend gezielte Werbung vorgesetzt werden.

Dass die BT auf Phorm verzichtet, ist sicher auch darauf zurückzuführen, dass die EU-Kommission im April wegen dieses Systems eine Vertragsverletzungsklage gegen Großbritannien eingereicht hat. Die Art und Weise, wie das verhaltensorientierte Werbesystem in Großbritannien zum Einsatz komme, entspreche nicht den EU-Datenschutzvorschriften.

In der klassischen Paketfiltertechnik Stateful Packet Inspection (SPI) wird jedes Datenpaket einer bestimmten Session zugeordnet. Dafür wird nur der Header des Datenpakets gelesen. Mittels DPI, die technisch wesentlich aufwendiger ist, können auch die Inhalte des Datenpakets gescannt und somit auch mehr Filterregeln bestimmt werden.

Neugieriger Postbote

DPI lässt sich am einfachsten mit der Post vergleichen. "Diese hat normalerweise den Auftrag, die Adresse auf Kuverts zu prüfen und den Brief oder das Paket von A nach B zu bringen", so der Politikwissenschaftler Bendrath vom Fachbereich Technologie, Politik und Management der niederländischen Universität Delft, der intensiv zu DPI und den Auswirkungen dieser Technologie forscht.

In diesem Modell sei DPI die Technologie, mit der der Postbeamte den Brief öffne, den Inhalt lese und danach filtere. "Ist es ein Geschäftsbrief, dann wird der Brief schneller verschickt, weil die Firma etwa einen Extravertrag mit der Post hat. Ist es eine unerwünschte Werbung, dann wird es als Spam herausgefiltert. Oder man findet eine Bombendrohung darin, dann wird gleich eine Kopie an das Bundeskriminalamt verschickt", so Bendrath über die Einsatzmöglichkeiten.

Datenpakete in Echtzeit durchsuchen

Vor etwa zehn Jahren seien die ersten DPI-Anwendungen aufgekommen, richtig leistungsfähig seien diese aber erst in den letzten Jahren geworden. "Dass man in die Datenpakete in Echtzeit hineinsieht und anhand der Inhalte Entscheidungen trifft, das gibt es erst seit zwei bis drei Jahren", so Bendrath.

Der damit noch relativ jungen Technologie sind jedoch noch Grenzen gesetzt. Alles könne aufgrund der beschränkten Leistungsfähigkeit der Hardware noch nicht durchsucht werden. So lasse sich etwa nicht der gesamte Text einer E-Mail oder der Inhalt eines zwei MB großen Word-Files analysieren, "da bräuchte man auch viel mehr Regeln dafür". Was sich hingegen feststellen lasse: ob ein Datenpaket einer E-Mail, einer Website oder einer BitTorrent-Übertragung angehöre - und wer der Absender oder Empfänger ist.

Situation in Österreich

Der Generalsekretär des Verbands der heimischen Internet-Service-Provider (ISPA), Andreas Wildberger, betonte gegenüber ORF.at, wie kostspielig die Hardware für DPI sei. "Der Richtwert scheint zu sein, dass pro 10.000 User eine Hardware-Investition von 15.000 bis 20.000 Euro notwendig ist", so Wildberger. Hierzulande werde DPI von Providern vor allem im Geschäftskundenbereich angeboten, im Bereich des Server-Housings etwa.

"Manche Kunden unserer Mitglieder wollen das zusätzlich installiert haben, aber nur zum Schutz", so Wildberger, wie etwa bei Firewalls. Der Standpunkt der ISPs in Österreich sei, dass Inhalte nicht überprüft würden.

Leistungsfähige Hardware ist kostspielig

Auf technischer Ebene sei für die DPI spezialisierte Hardware notwendig. Mittlerweile gebe es Prozessoren, die mit extrem hoher Geschwindigkeit den Internet-Verkehr mitlesen können. "Das geht bis zu 80 GB pro Sekunde, das wären 40.000 Menschen, die eine 20-MB-Leitung zu Hause haben und diese voll ausreizen", so Benrath. Die Kosten dafür lägen bei einer halben Million Euro.

Es gebe aber auch günstigere Hardware, die ausreiche, wenn nicht ganz so viel Bandbreite gebraucht werde. "Für ein kleines Firmennetzwerk oder einen Campus-LAN genügt auch ein GB. Diese Hardware gibt es schon um ein paar tausend Euro", erläutert Bendrath.

ISPs haben Schlüsselfunktion

Beim Einsatz von DPI-Technologie spielen Internet-Service-Provider eine wesentliche Rolle. Sie sind im Internet die Schnittstelle zum einzelnen Endkunden und haben die Entscheidungsgewalt darüber, welche Hardware eingesetzt und welches Protokoll verwendet wird.

Bandbreiten testen

Im Internet gibt es bereits einige Dienste, mit denen sich künstliche Beschränkungen von Bandbreiten messen lassen. Ein Test von nordamerikanischen Providern im Azureus-Wiki zeigte auf, dass vor allem Kabelinternet-Anbieter ihren BitTorrent-Verkehr drosselten. Das wohl aufgrund der Tatsache, dass bei Kabelanschlüssen die "letzte Meile" mit der Nachbarschaft geteilt werden muss und alle ihr Auslangen finden müssen, im Gegensatz zu DSL-Verbindungen.

Auch Google startete das Measurement Lab, das End-Usern Werkzeuge zum Messen ihrer Internet-Bandbreiten zur Verfügung stellt.

Tools zum Testen bietet auch die Electronic Frontier Foundation an.

"Es gibt noch nicht wirklich gute Daten darüber, wie weit DPI bereits bei ISPs in Europa eingesetzt wird", so Bendrath. "In Deutschland weiß ich, dass DPI von Kabel Deutschland angewandt wird, zumindest streiten sie es offiziell nicht ab."

Bandbreitenmanagement

Als Sicherheitsservice für Firmennetzwerke - bei Firewalls etwa -sei DPI "Stand der Technik und ganz sinnvoll", so Bendrath. Problematischer seien die vielen anderen Einsatzmöglichkeiten, etwa beim Bandbreitenmanagement, um bestimmte Anwendungen zu diskriminieren.

Aufgrund der begrenzten Anzahl von Funkfrequenzen etwa für UMTS sei DPI bei Mobilfunkanbietern sehr beliebt. "Wenn ich am iPhone bestimmte Dienste drosseln oder gleich blockieren möchte, dann hat das teilweise den Grund, dass die Bandbreiten knapp sind und diese gemanagt werden müssen", so Bendrath. Ansonsten müssten wesentlich mehr UMTS-Transponder aufgestellt werden, was sich wiederum finanziell auswirke.

DPI könne auch verwendet werden, um gewisse Dienste komplett zu sperren, wie es T-Mobile in Deutschland etwa mit Skype mache, "um sein Telefongeschäft nicht zu kannibalisieren", so Bendrath.

Copyright und Sperre von Websites

Eine weitere Nutzungsmöglichkeit sei die Kontrolle des Surfverhaltens der User für verhaltensbasierte Werbung, wie es eben auch Phorm in Großbritannien betrieben habe. Auch die Medienindustrie hoffe im Kampf gegen unlizenzierten Dateitausch auf DPI. "Die Musikindustrie hat in Belgien vor zwei Jahren den Internet-Anbieter Scarlet geklagt, eine Tochter des italienischen ISP Tiscali. Das Gericht entschied in erster Instanz, dass diese einen MP3-Filter einbauen müssen." Der sei angeblich in der Lage, urheberrechtlich geschützte MP3s zu erkennen.

Mit DPI ließen sich auch Websites sperren. So betonen Kritiker in Deutschland, dass die DNS-basierten Sperren für Kinderpornosites leicht zu umgehen seien. "Auf Basis von DPI-Auswertungen lassen sich einzelne Websites blockieren, egal über welchen DNS-Server sie aufgerufen werden", so Bendrath.

Keine Regulierung in Europa

Im TCP-Protokoll ist standardmäßig bereits ein Bandbreitenmanagement eingebaut. Ist die Leitung aufgrund starken Datenaufkommens überlastet, wird die Bandbreite automatisch reduziert und bei Freiwerden der Leitung wieder ausgedehnt. Mittels DPI ist es möglich, die Datenpakete je nach Anwendung (BitTorrent, VoIP etc.) unterschiedlich zu behandeln und bei Wunsch zu reduzieren bzw. komplett zu blockieren.

Somit lasse sich auch Zensur im Internet mittels DPI leicht durchsetzen. Theoretisch könne der gesamte Internet-Verkehr eines Landes analysiert und sämtliche YouTube-Videos mitgezeichnet oder blockiert werden.

Der Einsatz von DPI sei in Europa noch nicht reguliert. "Eigentlich dürfen sie es in Europa nicht, weil es unter das Telekommunikationsgeheimnis fällt", meint Benrath. "Viele machen es offenbar einfach. Wenn sie die Bandbreiten ein bisschen managen, fällt es vielleicht auch nicht auf." In den nächsten ein oder zwei Jahren werde sich zeigen, was in diesem Bereich legal möglich sei und was nicht. Der Fall Phorm, der der britischen Regierung eine Klage der EU-Kommission einbrachte, werde diesbezüglich einiges entscheiden.

Datenschützer gefragt

Für Bendrath wären die Datenschutzbeauftragen stärker gefragt. "Die müssten zu allen Providern gehen und sich deren Netzwerktechniken ansehen und prüfen, ob DPI-Maschinen dazwischengeschaltet und wie diese konfiguriert sind."

Die Diskussion über die Gefährdung der Netzneutralität sei in Europa erst in den Kinderschuhen. "Es ist plötzlich möglich, dass nicht alle Anwendungen und Anbieter von Internet-Inhalten gleich behandelt, sondern mit DPI diskriminiert werden." Eine Diskriminierung müsse nicht immer "böse" sein, es könne eben auch eine Optimierung der Bandbreiten bedeuten.

Netzneutralität in den USA

In den USA sei die Debatte über die Netzneutralität schon weiter. Die Federal Communications Commission (FCC), eine unabhängige Behörde in Washington, hat im Jahr 2005 Prinzipien für das Breitbandmanagement aufgestellt. Diese besagen, dass jeder User das Recht hat, Anwendungen und Endgeräte seiner Wahl zu nutzen, und das Internet auf dieser Ebene neutral sein soll. Das Policy-Dokument der FCC hat keinen Gesetzesrang, es diene jedoch als Basis, auf der auch Europa Regulationsentscheidungen stütze, so Bendrath.

Netzneutralität gefährdet

"Es besteht jedoch die Gefahr, dass mit der Technologie das Internet für Probleme von heute optimiert wird, die aber in drei Jahren schon wieder ganz anders aussehen können. Twitter ist erst zwei Jahre alt und total eingeschlagen", warnt Bendrath. Wenn jemand in der Zukunft einen neuen Dienst entwickle, könne es passieren, dass dieser aufgrund der veralteten Optimierung nicht einwandfrei laufe.

"Die Grundidee war immer, dass das Netz eigentlich dumm ist und wirklich nur Pakete von A nach B schiebt", so Bendrath. Werde es aufgrund von DPI-Technologien eingeschränkt, seien die Innovationsoffenheit des Netzes und dessen Neutralität gefährdet.

Netzneutralität in der EU

In Europa werde sich mittelfristig in der Debatte zeigen, wie stark die Interessen der Provider seien, ob auch andere Akteure nach Filtern rufen und wie stark auf der anderen Seite die Datenschützer und Netzaktivisten seien. "Das Problem ist in Europa durch den Wettbewerb im Endkundenbereich nicht so groß wie in den USA, da nicht so viele Provider den Datenverkehr ihrer Kunden diskriminieren", so Bendrath.

"Aber ich gehe davon aus, dass die europäischen Datenschutzbeauftragen und Netzaktivisten das Thema schon auf dem Schirm haben." Mit dem geplanten Telekompaket sei das Thema Netzneutralität bereits auch auf EU-Ebene aufgetaucht.

Alternativen

"Wenn es so weit kommt, dass per Gesetz festgeschrieben wird, dass Provider Datenpakete nicht unterschiedlich behandeln dürfen, dann sind wir auf der sicheren Seite", meint Bendrath. "Wenn sich aber nach und nach über das Bandbreitenmanagement die Technologie in der Fläche durchsetzt und quasi auch geduldet wird, dann ist die Infrastruktur einfach da."

"Im Sinne von Netzneutralität und von heiklen und politisch gefährlichen Begehrlichkeiten", die entstehen könnten, wäre es besser, die Technologie gar nicht zu verwenden, so der Politologe. Politische Zensur solle es in keiner Form geben. Die Alternative zum Problem Bandbreitenmanagement sei natürlich der bessere Ausbau der Infrastruktur.

Mehr zum Thema:

(futurezone/Claudia Glechner)