[Internet] Internetüberwachung mit 60 Gigabit/sec

wwwooo · 23.03.11, 07:13

Zitat:

Internetüberwachung mit 60 Gigabit/sec

Auf der Überwachermesse ISS in Dubai wurden auch die Geräte zur Netzwerkontrolle des deutschen Hitech-Unternehmens ipoque präsentiert. Geschäftsführer Klaus Mochalski über "bedenkliche Aufträge" und wann der Graubereich in tiefschwarz übergeht.

"Wir sind eher Exoten auf diesem Markt, da wir keine typische 'Lawful-Interception-Firma' (Anm.: Dienstleister für Polizeianwendungen) sind und daher auch keine Komplettlösungen für Strafverfolger anbieten. Wir haben nur ein einziges Produkt in diese Richtung", sagte Klaus Mochalski, Geschäftsführer des Leipziger Unternehmens ipoque zu ORF.at.

Ipoque ist auf "Deep Packet Inspection" (DPI) spezialisiert. Will heißen, man analysiert die in einer Glasfaserleitung daherrasenden Datenpakete sozusagen im Flug und klassifiziert sie.

Damit lassen sich zum Beispiel Datenpakete von Skype und anderen VoIP-Diensten oder Tauschbörsenverkehr identifizieren und "Transportregeln" welcher Art auch immer setzen. Die Paketinhalte selbst werden dabei nicht erfasst, die Daten werden lediglich auf die verwendeten Protokolle untersucht.

"Deep Packet Inspection"
Ein Beispiel: Bei hohem Datenaufkommen können etwa Telefoniedienste priorisiert werden, um "staubedingte" Aussetzer zu vermeiden, während die Bandbreite für Downloads aus WWW oder Tauschbörsen leicht beschränkt wird. Denn strikt "netzneutral" im engsten Sinne war und ist das Internet nämlich nicht.

Statt für Bandbreitenmanagement und Lastausgleich lässt sich DPI allerdings auch zur Tiefenanalyse des gesamten Datenverkehrs bestimmter Personen oder Gruppen benützen. Wie Skype-Daten priorisiert werden können, so ist es genauso möglich, Skype zu blockieren.

Hier treten wieder die manichäischen Züge der schönen neuen Netzwerkwelt zu Tage: Dasselbe Stück Technik kann sowohl zur Regelung des Verkehrs im Sinne aller Teilnehmer, wie Instrument der Unterdrückung Vieler durch die Herrschenden sein.

Polizei und Geheimdienste
"Lawful Interception" (LI) bezeichnet offiziell Überwachungsequipment für Strafverfolger, die auf richterliche Anordnung Tatverdächtige abhören oder E-Mails mitlesen. Durch Verkehrsdatenanalyse in Mobilfunknetzen lassen sich Zeit/Wegprotokolle wie Kommunikationsprofile der Personen und ihres Umkreises erstellen. So weit, so rechtsstaatlich, doch die Übergänge zum Polizeistaatlichen sind bei LI fließend.

Dasselbe (und noch mehr) Equipment wird nämlich auch von Geheimdiensten benutzt, die - je nach nationaler Gesetzeslage - eingeschränkt bis völlig frei Daten aus Telefonienetzen und dem Internet abgreifen können. Zudem sind diese staatlichen Organe in vielen Ländern nicht wirklich getrennt. In Großbritannien etwa erledigt der Inlandsgeheimdienst MI5 "Lawful Interception" für die Polizei.

Fachmesse für Überwachung, Dubai
In diktatorisch geführten Staaten sind Polizei und "Dienste" nichts als zwei Einheiten mit etwas unterschiedlichen Kernaufgaben ein- und derselben Prügel- und Überwachungsübertruppe, die im Auftrag der jeweils Herrschenden die Bevölkerung niederhält.

In Dubai ging vor drei Wochen die "IЅS World Middle East Africa" über die Bühne, eine Spezialmesse für Hersteller von Überwachungsgerätschaften aller Art. Vor allem europäische Firmen hielten da Seminare, Workshops und Produktpräsentationen eben für "Law Enforcement" und Geheimdienste aus dieser Weltgegend ab, während im benachbarten Bahrain Demonstranten niedergeknüppelt wurden.

"Bedenkliche Aufträge"
"Natürlich ist das ein Graubereich, der sehr schnell ins Tiefschwarze übergeht" sagte Mochalski zu ORF.at, denn auch ipoque war in Dubai vertreten. Wie alle anderen Unternehmen aus diesen Branchen verrät auch ipoque nicht, welche Staaten beliefert wurden. Dies diene "weniger dem Herstellerschutz, vielmehr ist es die Forderung der Kunden." Überallhin liefert man nach Angaben Mochalskis jedoch nicht.

Zum einen gebe es auch in diesen Staaten gewöhnliche Kriminelle, die bekämpft werden müssten, so Klaus Mochalski weiter, das müsse jedem Staat zugestanden werden. Andererseits würden wirklich bedenkliche Aufträge unternehmensintern offen diskutiert und "dabei hat es durchaus Fälle gegeben, in denen wir ablehnen mussten".

Flächendeckende Fragen
In der Öffentlichkeit werde das Potenzial von Überwachungssystemen generell überschätzt, denn "Marketing und echte Welt klaffen auch im LI-Bereich auseinander", so Mochalski. Zudem seien Systeme für "Lawful Interception" europäischen Zuschnitts nicht für flächendeckende Überwachung konstruiert.

Ein großer Teil des technischen Aufwands fließe in die Dokumentation beweiskräftigen Materials, deswegen skalierten derartige Systeme nicht wirklich. Genau an dieser Dokumentation aber seien bestimmte Regimes überhaupt nicht interessiert, sagte Mochalski.

Rechtssystem und Beweisführung
Gemeint ist: Wo kein funktionierendes Rechtssystem, sondern nackte Willkür herrscht, bedarf es auch keiner besonders peniblen Beweisführung, um Personen einzusperren.

Dem hinzuzufügen ist, dass in diesem Gespräch die Möglichkeiten nicht diskutiert wurden, ein System europäischen Zuschnitts auf die Bedürfnisse von Diktaturen umzufrisieren: Wie aufwendig es ist, "Exportversionen" für die Mubaraks und al-Khalifas dieser Welt herzustellen.

60 Gigabit/sec
Was die Technologie angeht, so ist die Leistungsfähigkeit der ipoque-Geräte beeindruckend bis furchterregend - je nach Einsatzgebiet. Es handelt sich dabei um ein passives Element, das den zur Analyse auf eine zweite Leitung kopierten Netzwerkverkehr klassifiziert.

Dies geschieht, um den realen Verkehr nicht zu drosseln, denn Deep Packet Inspection erfordert hohen Rechenaufwand, sie hängt dem reinen Traffic daher immer zeitlich etwas nach.

Die Geräte von ipoque in der großen Variante PRX-10G können den Datenverkehr von sechsmal 10-Gigabit/sec parallel nahe an Echtzeit analysieren und einem Kunden zuordnen. "Kunde" bedeutet in der Version "Carrier Class": Andere Carrier, Netze von Internetprovidern oder Großfirmen. Die kleineren Versionen können analog dazu den Verkehr innerhalb eines Netzes entsprechend genauer darstellen.

Eine Frage des Zwecks
Das weitere Schicksal dieser Daten hängt davon ab, was an den Ports passiert, also welche Gerätschaft an den Ausgängen des ipoque-Systems andockt und die Daten wofür aufbereitet: Für ein Netzwerkmanagement-System mit Lastausgleich, Virus- oder Spamwarnsysteme, oder auch Set-Ups, die Tauschbörsenverkehr genau dokumentieren.

Ebenso kann der Upload von Videos in einem Netz en Detail verfolgt werden, wie es auch möglich ist, verschlüsselte Kommunikation "im Fluge" zu identifizieren. Es ist immer nur die Frage, welcher Zweck mit der Klassifizierung der Datenpakete verfolgt wird.

Mittlerweile 100 Gbit/sec
Die Angaben stammen nicht etwa aus einer Marketingbroschüre von ipoque, sondern wurden in einem ausführlichen Test des (herstellerneutralen) European Advanced Networking Test Center (EANTC) ermittelt.

Der Test wurde bereits 2009 durchgeführt, inzwischen hat sich die Grenze schon nach oben hin verschoben. Mittlerweile bewege man sich bereits auf eine Bandbreite von 100 Gbit/sec zu, sagte Mochalski abschließend.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wie schön ist das denn...

Aus einer Randnotiz:

Zitat:

Verglichen mit so gut wie allen anderen Unternehmen im LI-Sektor, den die Geheimniskrämerei dominiert, wirkt ipoque tatsächlich wie ein Exot. Das Unternehmen bietet nicht nur Whitepapers und [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] zum Download an, Teile des Quellcodes wurden sogar für das [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] freigegeben.