Verfassungsschutz fordert Zugriff auf Internet-Knotenpunkte
Nach dem BKA fordert nun auch der Verfassungsschutz mehr Zugriff auf Internetdaten. Neben dem bereits gewohnten vereinfachten Zugriff auf Handy und E-Mail Kommunikationsdaten kommt als Neuerung die Forderung zum Zugriff auf Internet-Knoten hinzu.
Datenschutzrechtliche Implikationen lasse ich in der folgenden Argumentation außen vor und argumentiere rein technisch.
Zunächst möchte ich dem nicht so technik-affinen Leser ein wenig Daten und Wissen um die Struktur des Internets an die Hand geben, um diese Forderung etwas besser beurteilen zu können:
Damit ein Datenpaket von einer x-beliebigen Quelle am gewünschten Zielort irgendwo auf der Welt ankommt, mieten Provider an großen Austauschpunkten Schnittstellen an. Diese Knotenpunkte leiten Pakete von einem Provider auf die Leitung eines anderen Providers weiter (sog. Peering), um das jeweilige Datenpaket seinem Ziel näher zu bringen. Die Knotenpunkte sind große Switches (wie aus Heimnetzwerken bekannt), die bei eingehenden Paketen die Zieladresse auslesen, und abhängig davon eine ausgehende Leitung bestimmen, auf die das Paket weitergeleitet wird.
Weltweit gibt es gut 100 öffentliche, große Internet-Knoten. Die vier Leistungsstärksten sind der AMS-IX in Amsterdam, der DE-CIX in Frankfurt am Main, der EQUINIX in Washington und der LINX in London. DE-CIX hat zur Zeit zu Spitzenzeiten einen Verkehr (Grafik) von über 350GBit/s (das sind 43 GByte pro Sekunde!), verteilt auf 230 angeschlossene Provider. Der Traffik hat sich 2007 verdreifacht. DE-CIX wird zur Zeit für eine maximale Bandbreite von 1,4TBit/s aufgerüstet, eingesetzt werden die fettesten Switches die der Markt zu bieten hat.
Die Knotenpunkte verfügen über keinerlei Funktionalität zur inhaltlichen Filterung der Datenpakete: es gibt keine Sniffer, keine Firewalls und Logtechniken. Das wäre bei dem anfallenden Traffik auch gar nicht machbar. Die Hardware ist auf das Lesen der Zieladresse, die Zielbestimmung und Weiterleitung optimiert. Das macht die Knotenpunkte übrigens nur sehr schwer angreifbar, in der Historie des DE-CIX hat es in den vergangenen fünf Jahren nur drei relevante Ausfälle gegeben.
Den anfallenden Traffik inhaltlich, zB. auf eine bestimmte E-Mail Adresse hin zu untersuchen (die irgendwo reinkommt und irgendwo anders den Knoten wieder verlässt) ist vollständig illusorisch. Um sowas zu machen müsste man wohl erstmal ein Kraftwerk bauen, welches das dazu notwendige Rechenzentrum mit entsprechenden Supercomputern versorgen könnte. Aus technischer Sicht ist die Forderung des Verfassungsschutzes also komplett realitätsfern und auf großen Knotenpunkten wie dem DE-CIX schlicht nicht umsetzbar. Bei diesem Szenario wird nicht einmal betrachtet, dass eine einzige E-Mail dabei in viele, voneinander unabhängige, Pakete aufgeteilt wird, die nicht zwangsläufig alle an einem bestimmten Knotenpunkt ankommen müssen. Eine Analyse des Datenstroms müsste diese zu einer bestimmten Verbindung gehörigen Pakete zunächst zusammensetzen. Eine inhaltliche Überwachung eines Knoten müsste also erstmal praktisch alles mitschneiden, im DE-CIX wären das zur Zeit so 30-50 TByte pro Tag, dann ordnen, logisch zusammensetzen und dann irgendwie analysieren und suchfähig machen. Viel Spaß.
Angeblich ist die Stasi an dem enormen Datenaufkommen gescheitert. Heute vertreten einige Leute die These, dies würde mit moderner Technik nicht mehr passieren. Im Falle der systematischen Überwachung von Internetknoten ist diese These unhaltbar, an den anfallenden Datenbergen würde jede Behörde ersticken.
Kommentar hinzufügen