Abhörrelevante Informationen bilden das Metadaten-Grundgerüst jeder rechtmäßigen Abhörmaßnahme. Bei der rechtmäßigen Überwachung sind zwei Datenkategorien für jeden Überwachungsvorgang von grundlegender Bedeutung: abhörbezogene Informationen (IRI) und Kommunikationsinhalte (CC). Diese beiden Datentypen bilden den Kern dessen, was ein Betreiber den Strafverfolgungsbehörden bei der Ausführung eines Überwachungsauftrags liefert, und sie werden über separate Übergabeschnittstellen - HI2 für IRI und HI3 für CC - im ETSI-Rahmen übertragen. Während die meisten Praktiker die grundlegende Unterscheidung verstehen - IRI sind Metadaten, CC sind Inhalte - sind die praktischen Auswirkungen dieser Unterscheidung nuancierter, als es zunächst den Anschein hat.
In diesem Artikel wird untersucht, was IRI und CC in der Praxis tatsächlich bedeuten, welche Datenelemente sie jeweils umfassen, wie sie generiert und übermittelt werden und warum die Unterscheidung für Betreiber, Strafverfolgungsbehörden und das breitere Ökosystem der rechtmäßigen Überwachung von Bedeutung ist.
Was abfangbezogene Informationen bedeuten
Abhörbezogene Informationen umfassen alle Metadaten, die mit einer abgehörten Kommunikation verbunden sind. Vereinfacht ausgedrückt beantwortet die IRI die Fragen: Wer hat wann, mit wem, wie lange, über welchen Dienst und von wo aus kommuniziert? Sie umfasst nicht den Inhalt der Kommunikation selbst - das ist die Domäne von CC. IRI ist gemäß der ETSI TS 102 232-Reihe definiert und strukturiert, in der die Datenelemente, Kodierungsformate und Übermittlungsmechanismen für verschiedene Netztechnologien festgelegt sind.
Die spezifischen Datenelemente, die in den IRI enthalten sind, hängen von der Art der Kommunikation und der beteiligten Netztechnologie ab. Bei einem herkömmlichen Sprachanruf umfasst die IRI in der Regel die anrufende Nummer (A-Nummer), die angerufene Nummer (B-Nummer), die IMSI und IMEI des Zielgeräts, den Zeitpunkt der Einleitung des Anrufs, den Zeitpunkt der Beantwortung, die Dauer des Anrufs, die Zellkennungen zu Beginn und während des Anrufs (mit Standortinformationen) und die Art des Anrufs (angenommen, besetzt, keine Antwort, weitergeleitet). Bei einer IP-Datensitzung kann die IRI die IP-Adresse des Ziels, den zugewiesenen APN (Access Point Name), die Trägerparameter, die Start- und Endzeit der Sitzung sowie das übertragene Datenvolumen enthalten.
IRI wird als eine Reihe von Ereignissen erzeugt, die dem Verlauf der Kommunikation entsprechen. Die ETSI-Normen definieren spezifische IRI-Ereignistypen für verschiedene Phasen einer Kommunikation - z. B. ein Anrufaufbauereignis, ein Antwortereignis, ein Anrufabbruchereignis und verschiedene Zusatzdienstereignisse. Jedes Ereignis enthält die entsprechenden Datenelemente und einen genauen Zeitstempel. Die Vermittlungsfunktion im Netz des Betreibers ist für die Überwachung der Signalisierungsprotokolle (SIP, Diameter, GTP, SS7 und andere) und die Erzeugung der entsprechenden IRI-Ereignisse im ETSI-Format zuständig.
Eines der wichtigsten Merkmale der IRI ist ihr strukturierter Charakter. Da IRI im ASN.1-Format nach genau definierten Datenstrukturen kodiert sind, können sie von Strafverfolgungssystemen automatisch geparst, verarbeitet und analysiert werden. Dieses strukturierte Format ermöglicht eine automatische Korrelation, Musteranalyse und Data-Mining-Operationen, die bei unstrukturierten Daten viel schwieriger wären. Der ermittlungstechnische Wert von IRI sollte nicht unterschätzt werden - in vielen Fällen sind die von IRI bereitgestellten Metadaten genauso wertvoll wie der Inhalt selbst oder sogar noch wertvoller als dieser.
Definieren von CC: Die Inhaltsebene
Der Kommunikationsinhalt ist der eigentliche Inhalt der abgefangenen Kommunikation - die in einem Telefongespräch gesprochenen Worte, der Text einer SMS-Nachricht, die während einer Datensitzung aufgerufenen Webseiten, die an eine E-Mail angehängten Dateien. CC stellt dar, was kommuniziert wurde, im Gegensatz zu den Kontextinformationen über die Kommunikation. CC wird über die HI3-Schnittstelle an das LEMF übermittelt.
Das Format von CC ist je nach Art der Kommunikation sehr unterschiedlich. Bei Sprachanrufen ist CC ein Echtzeit-Audiostrom, der in der Regel mit Codecs wie AMR (Adaptive Multi-Rate), AMR-WB (Wideband) oder G.711 kodiert wird. Der Ton muss in Echtzeit übertragen werden, damit die Strafverfolgungsbehörden das Gespräch während des Vorgangs überwachen können, wird aber in der Regel auch zur späteren Überprüfung aufgezeichnet. Bei SMS-Nachrichten besteht das CC aus dem Textinhalt der Nachricht. Bei Datensitzungen besteht CC aus den von der Zielperson ausgetauschten IP-Paketen, die Web-Browsing-Daten, E-Mail-Inhalte, Anwendungsdaten, Streaming-Medien und jede andere Art von IP-basierter Kommunikation enthalten können.
Die Überwachung von Daten erzeugt ein wesentlich höheres CC-Volumen als die Überwachung von Sprache. Ein einzelner Sprachanruf erzeugt einen kontinuierlichen Audiostrom mit relativ geringer Bandbreite, während eine Datensitzung je nach Aktivität der Zielperson Gigabytes an Datenverkehr erzeugen kann. Diese Diskrepanz hat wichtige Auswirkungen auf die Dimensionierung von LI-Systemen, die Bandbreite von HI3-Übertragungskanälen und die erforderliche Speicherkapazität in der LEMF.
Die Übermittlung von CC muss zeitnah erfolgen. Für die Überwachung von Sprache bedeutet dies eine Übermittlung in Echtzeit mit minimaler Latenzzeit. Bei der Überwachung von Daten ist in der Regel eine nahezu zeitnahe Übermittlung erforderlich, wobei die genauen Anforderungen je nach Rechtsordnung variieren können. Die Transportmechanismen für die CC-Zustellung sind in den ETSI-Normen definiert und verwenden in der Regel sichere TCP- oder UDP-Verbindungen mit Verschlüsselung zum Schutz des Inhalts während der Übertragung.
Warum die Unterscheidung wichtig ist
Die Unterscheidung zwischen IRI und CC ist nicht nur technisch, sondern hat auch erhebliche rechtliche, operative und strategische Auswirkungen. Aus rechtlicher Sicht werden Metadaten und Inhalte in vielen Rechtsordnungen unterschiedlich behandelt. Einige Überwachungsanordnungen können die Erfassung sowohl von IRI als auch von CC zulassen, während andere nur auf Metadaten beschränkt sein können. Die rechtlichen Schwellenwerte für die Erteilung einer Genehmigung können unterschiedlich sein, wobei die Überwachung von Inhalten in der Regel einen höheren Beweisstandard oder eine schwerere Kategorie von Straftaten erfordert. Die Betreiber müssen in der Lage sein, die reine IRI-Überwachung und die kombinierte IRI-plus-CC-Überwachung unabhängig voneinander zu aktivieren, da der Umfang der Überwachungsanordnung vorgibt, welche Daten erfasst und übermittelt werden können.
Aus operativer Sicht haben IRI und CC unterschiedliche Merkmale in Bezug auf Umfang, Format, Verarbeitungsanforderungen und Liefermechanismen. IRI ist relativ kompakt und strukturiert und eignet sich daher gut für die automatische Verarbeitung und Analyse. CC ist potentiell umfangreich und variiert stark im Format, was unterschiedliche Handhabungs-, Speicher- und Analyseansätze erfordert. Die Betreiber müssen ihre LI-Systeme so konzipieren, dass sie beide Datentypen effizient verarbeiten können, mit geeigneten Puffer-, Flusskontroll- und Quality-of-Service-Mechanismen.
Aus strategischer und ermittlungstechnischer Sicht liefern IRI und CC unterschiedliche Arten von Informationen. IRI ermöglicht die Analyse von Mustern, die Kartierung von Netzwerken, die Verfolgung von Standorten und die Identifizierung von Kommunikationsmustern im Zeitverlauf. CC bietet einen direkten Einblick in den Inhalt spezifischer Kommunikationen, kann aber einen erheblichen Aufwand für die Verarbeitung und Analyse erfordern - insbesondere bei Datenüberwachungen, die große Mengen an mediengemischten Inhalten produzieren. Die Strafverfolgungsbehörden erkennen zunehmend den strategischen Wert von Metadaten, und bei einigen Ermittlungen kann die IRI der Hauptschwerpunkt der Abhörmaßnahmen sein.
IRI in modernen Netzen
Der Übergang von leitungsvermittelten zu paketvermittelten Netzen hat den Umfang und die Komplexität der IRI erheblich erweitert. In herkömmlichen Telefonnetzen war die IRI relativ einfach - die Rufaufbau-Signalisierung lieferte einen genau definierten Satz von Metadatenelementen. In modernen IP-Netzen ist die Signalisierungslandschaft viel vielfältiger und komplexer und umfasst Protokolle wie SIP, Diameter, GTP-C und verschiedene Protokolle der Anwendungsschicht.
VoLTE verwendet beispielsweise die SIP-Signalisierung über den IMS-Kern (IP Multimedia Subsystem), kombiniert mit Durchmesser für die Authentifizierung und Richtlinienkontrolle und GTP für die Trägerverwaltung. Die Generierung vollständiger IRI für einen VoLTE-Anruf erfordert, dass die Vermittlungsfunktion mehrere Protokolle gleichzeitig überwacht und die daraus resultierenden Ereignisse zu einem kohärenten IRI-Datensatz korreliert. Die ETSI-Normen definieren spezifische IRI-Datenelemente für IMS-basierte Dienste, aber die praktische Umsetzung kann eine Herausforderung sein.
In 5G-Netzen nimmt die Komplexität weiter zu. Die dienstbasierte Architektur des 5G-Kerns führt neue Netzwerkfunktionen und Signalisierungsschnittstellen ein, die für die IRI-Generierung überwacht werden müssen. Die 3GPP-LI-Architektur für 5G definiert spezifische Point-of-Interception-Standorte (POI) und IRI-Datenelemente für 5G-Dienste, aber die Betreiber müssen sicherstellen, dass ihre Vermittlungsfunktionen die erforderlichen Informationen aus den 5G-Signalisierungsströmen extrahieren können.
Die Auswirkungen der Verschlüsselung auf CC
Eine der größten Herausforderungen für die Bereitstellung von CC in modernen Netzen ist die zunehmende Verbreitung von Verschlüsselung. Eine Ende-zu-Ende-verschlüsselte Kommunikation - wie sie beispielsweise von Messaging-Anwendungen mit E2EE bereitgestellt wird - kann auf der Netzwerkebene nicht sinnvoll abgefangen werden. Der Betreiber kann zwar die verschlüsselten Pakete abfangen, aber ohne die Verschlüsselungsschlüssel ist der Inhalt unverständlich. Dies führt zu einer Situation, in der der Betreiber zwar IRI liefern kann (die aus der Netzsignalisierung generiert werden und nicht vom Zugriff auf den Inhalt abhängen), aber keine brauchbaren CC bereitstellen kann.
Diese Verschlüsselungsproblematik ist zu einer der zentralen politischen Debatten in der Gemeinschaft der Abhörbeauftragten geworden. Strafverfolgungsbehörden argumentieren, dass Verschlüsselung blinde Flecken schafft, die strafrechtliche Ermittlungen behindern, während Befürworter des Datenschutzes behaupten, dass eine starke Verschlüsselung für den Schutz der Grundrechte unerlässlich ist. Die Lösung dieser Debatte - wenn sie denn erreicht wird - wird tiefgreifende Auswirkungen auf die CC-Komponente der rechtmäßigen Überwachung haben. In der Zwischenzeit müssen die Betreiber das CC bereitstellen, zu dem sie technisch in der Lage sind, und gleichzeitig die Strafverfolgungsbehörden über die durch die Verschlüsselung auferlegten Einschränkungen informieren.
Praktische Erwägungen für Betreiber
Betreiber, die LI-Systeme implementieren, müssen sicherstellen, dass ihre Vermittlungsfunktionen in der Lage sind, vollständige, genaue und zeitnahe IRI und CC für alle Dienste und Netztechnologien in ihrem Portfolio zu erzeugen. Dies erfordert eine tiefe Integration in die Signalisierungsinfrastruktur des Betreibers, robuste Protokollanalysefunktionen und eine sorgfältige Beachtung der Datenkorrelation und des Timings.
Um zu überprüfen, ob IRI und CC korrekt generiert werden, sind Tests unerlässlich. Die Betreiber sollten umfassende Tests anhand der ETSI-IRI-Datenstrukturdefinitionen durchführen und sicherstellen, dass alle erforderlichen Datenelemente vorhanden sind und für jeden Ereignistyp korrekt ausgefüllt werden. Die CC-Übertragung sollte für alle unterstützten Medientypen auf Genauigkeit, Timing und Vollständigkeit getestet werden.
Schließlich müssen die Betreiber ihre LI-Systeme pflegen, wenn sich ihre Netze weiterentwickeln. Neue Dienste, neue Protokolle und neue Netztechnologien erfordern Aktualisierungen der IRI-Generierung und der CC-Erfassungsfunktionen. Ein gesetzeskonformes Abhörsystem, das zum Zeitpunkt der Einführung vollständig konform war, kann mit der Veränderung des Netzes nicht mehr konform sein, so dass die fortlaufende Wartung und Entwicklung ein wichtiger Bestandteil des Konformitätsprogramms ist.
Schlussfolgerung
IRI und CC sind die beiden Säulen der gesetzeskonformen Abhördatenbereitstellung. IRI liefert die strukturierten Metadaten, die eine Musteranalyse, Standortverfolgung und Kommunikationszuordnung ermöglichen. CC liefert den eigentlichen Inhalt der abgefangenen Kommunikation und bietet einen direkten Einblick in die Kommunikation der Zielpersonen. Zusammen ergeben sie ein vollständiges Bild, das die Ermittlungen der Strafverfolgungsbehörden unterstützt. Für die Betreiber ist das Verständnis der technischen, rechtlichen und betrieblichen Auswirkungen von IRI und CC - und der Aufbau von LI-Systemen, die beides effektiv handhaben - eine wesentliche Voraussetzung für die Erfüllung ihrer gesetzlichen Abhörpflichten in modernen Telekommunikationsnetzen.
Die genaue Erfassung von abhörrelevanten Informationen ist eine Grundvoraussetzung für rechtmäßige Abhörmaßnahmen. Die Betreiber müssen sicherstellen, dass ihre Systeme alle erforderlichen abhörrelevanten Informationsfelder erfassen.
Verwandte Artikel
Weitere Informationen zu verwandten Themen finden Sie in diesen Artikeln:
- HI1 vs. HI2 vs. HI3: Die drei Lawful-Interception-Schnittstellen im Überblick
- Wie eine Mediationsfunktion funktioniert: Die Brücke zwischen Ihrem Netzwerk und den Strafverfolgungsbehörden
- ETSI TS 103 120 Erläutert: Handover-Schnittstellen für moderne IP-Netze
Externe Ressourcen
Die folgenden externen Quellen bieten zusätzlichen Kontext und offizielle Dokumentation:
