ITU-T-Standard für Deep Packet Inspection

EnterpriseSicherheit

Die Vereinten Nationen haben sich offenbar auf einen Standard für so genannte Deep Packet Inspection geeinigt. Damit würden Regierungen und Unternehmen jede Form von elektronischer Kommunikation abfangen können.

Deep Packed Inspection and WTSA-12

So wurde in Dubai auf dem World Telecommunication Standardization Assembly (WTSA), das alle vier Jahre abgehalten wird, bekannt, dass die ITU-T bereits an der Standardisierung von “Requirements for Deep Packet Inspection in Next Generation Networks,” oder “Y.2770” http://www.itu.int/ITU-T/workprog/wp_item.aspx?isn=7082 arbeitet.

Deep Packet Inspection ermöglicht es mit den entsprechenden Technologien auch verschlüsselte Nachrichten abzufangen. Somit ermöglicht dieser Standard das abhören von Mails, Bank-Transaktionen oder auch Telefongesprächen über IP.

Derzeit ist der Standard unter Verschluss, wie das Centre for Democracy and Technologie (CDT) in einem Beitrag erklärt. Die Autoren der Organisation halten es durchaus für möglich, dass der finale Standard veröffentlicht werde. Allerdings veröffentlichen andere Standardisierungsgremien auch Entwürfe, oder den Geltungsbereich von künftigen Standards.

Dennoch scheint man bei CDT zumindest Auszüge aus dem Entwurf zu kennen. So verfolge die ITU offenbar das übliche Prozedere für die Standardisierung. Jetzt haben sich die Teilnehmer darüber geeinigt, was dieser Standard abdecken soll und dann in einem zweiten Schritt, wie das funktionieren soll. Dennoch würden einige Vorschläge durchaus Anlass zur Sorge geben, heißt es vom CDT. So würde der Standard unter anderem einige Sicherheitsaspekte in die Hände der ITU legen. Zudem lasse der Standard kaum noch Raum für Privatsphäre.

So lege das Dokument fest, dass der DPI-Systeme auch verschlüsselte Kommunikation unterstützten solle, sofern der Schlüssel lokal verfügbar sei. Das Dokument lasse zwar offen, wie ISPs an solche Schlüssel gelangen sollten, doch liegen laut CDT in diesem Verfahren mehrere Verstöße gegen Gesetze und Normen vor. Dem “Problem” von IPSec, einer Verschlüsselungstechnologie, die Webtraffic verschlüsselt, heißt es in dem Dokument angeblich, dass hier noch weitere Studien für die Identifizierung nötig seien.

Was in diesem Dokument völlig zu fehlen scheint, wie das CDT bemängelt, seien Möglichkeiten, wie das Thema Privatsphäre oder auch der Schutzt der Anwender hier zu handhaben sei. Das sei vor allem dadurch besorgniserregend, dass Länder wie Russland und einige anderen Staaten des nahen Ostens fordern, diesen Standard für ISVs und Softwarehersteller verpflichtend einzuführen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen