In der Architektur jedes Systems zur rechtmäßigen Überwachung nimmt die Vermittlungsfunktion eine zentrale Stellung ein. Sie befindet sich zwischen der Netzwerkinfrastruktur des Betreibers – wo die Kommunikation erzeugt, weitergeleitet und verarbeitet wird – und der Überwachungsstelle der Strafverfolgungsbehörden (LEMF), wo das abgefangene Material empfangen und analysiert wird. Die Vermittlungsfunktion ist die Komponente, die die im Netz des Betreibers erfassten Rohdaten in die von den Übergabeschnittstellen geforderten standardisierten Formate übersetzt und so sicherstellt, dass die Strafverfolgungsbehörden vollständige, korrekt formatierte und sicher übermittelte Daten erhalten.
Trotz ihrer Bedeutung gehört die Vermittlungsfunktion oft zu den am wenigsten verstandenen Komponenten der LI-Architektur. Dieser Artikel bietet eine umfassende Erläuterung dessen, was die Vermittlungsfunktion leistet, wie sie funktioniert, warum sie unverzichtbar ist und was Betreiber bei der Konzeption oder Auswahl einer Vermittlungsplattform beachten sollten.
Die Vermittlungsfunktion in der ETSI-Architektur
Die ETSI-Architektur für die rechtmäßige Überwachung definiert mehrere funktionale Komponenten, die zusammenwirken, um eine Überwachung durchzuführen. Die interne Überwachungsfunktion (IIF) arbeitet innerhalb der Netzwerkelemente selbst – Switches, Session Border Controller, Paket-Gateways und andere Infrastrukturkomponenten –, um die Kommunikation des Ziels zu identifizieren und zu erfassen. Die Vermittlungsfunktion (MF) empfängt diese erfassten Daten von der IIF und verarbeitet sie für die Übergabe an die LEMF über die standardisierten Übergabeschnittstellen (HI1, HI2 und HI3).
Die Vermittlungsfunktion ist der Punkt, an dem die proprietären, technologiespezifischen Daten aus dem Netz des Betreibers in die standardbasierten Formate umgewandelt werden, die von den Systemen der Strafverfolgungsbehörden erwartet werden. Ohne die Vermittlungsfunktion lägen die Rohdaten aus den Netzwerkelementen in herstellerspezifischen Formaten vor, die das LEMF nicht direkt verarbeiten kann. Die Vermittlungsfunktion sorgt für die erforderliche Übersetzung, Normalisierung und Formatierung, um die Interoperabilität zu gewährleisten.
In der Praxis wird die Vermittlungsfunktion in der Regel als spezielle Softwareplattform implementiert, die oft als Vermittlungsgerät oder Vermittlungsplattform bezeichnet wird. Sie kann auf dedizierter Hardware, auf virtuellen Maschinen oder in containerisierten Umgebungen ausgeführt werden. Die Plattform empfängt Eingaben von mehreren Netzwerkelementen, verarbeitet diese gemäß den für jede aktive Überwachung konfigurierten Regeln und generiert Ausgaben zur Weiterleitung an eine oder mehrere LEMFs.
Kernfunktionen der Mediationsplattform
Die Vermittlungsfunktion führt mehrere zentrale Verarbeitungsaufgaben aus, die für den Abhör-Workflow unerlässlich sind. Die erste Aufgabe ist die Identifizierung und Filterung der Zielobjekte. Wenn ein Abhörvorgang aktiviert wird, erhält die Vermittlungsfunktion die Zielkennungen vom Anordnungsmanagementsystem und konfiguriert die IIF so, dass die mit diesen Kennungen verbundene Kommunikation erfasst wird. Die Vermittlungsfunktion muss mehrere Kennungstypen unterstützen – MSISDN, IMSI, IMEI, IP-Adresse, SIP-URI und andere – und muss in der Lage sein, diese Kennungen über verschiedene Netzwerkelemente und Protokolle hinweg aufzulösen und zu korrelieren.
Die zweite Kernfunktion ist die IRI-Generierung. Die Vermittlungsfunktion überwacht den mit der Kommunikation des Ziels verbundenen Signalisierungsverkehr und generiert abhörbezogene Informationsereignisse in dem durch die ETSI TS 102 232-Reihe definierten Format. Dies erfordert die Analyse von Signalisierungsprotokollen wie SIP, Diameter, GTP-C, ISUP und anderen, die Extraktion der relevanten Datenelemente und deren Kodierung im ASN.1-Format. Die IRI-Ereignisse müssen mit einem genauen Zeitstempel versehen und sequenziert werden, um eine zuverlässige Aufzeichnung der Kommunikationsaktivitäten des Ziels zu gewährleisten.
Die dritte Kernfunktion ist die CC-Verarbeitung. Die Vermittlungsfunktion empfängt die abgefangenen Inhalte – Sprachaudio, IP-Pakete, SMS-Nutzdaten – vom IIF und bereitet sie für die Übertragung über die HI3-Schnittstelle auf. Bei der Sprachüberwachung kann dies die Transkodierung des Audios vom netzwerknativen Codec in das vom LEMF erwartete Format beinhalten. Bei der Datenüberwachung kann dies die Kapselung von IP-Paketen in das von der ETSI definierte Übertragungsformat beinhalten. Die Vermittlungsfunktion muss die Korrelation mehrerer Medienströme innerhalb einer einzigen Sitzung bewältigen und sicherstellen, dass zugehörige Sprach- und Datenströme korrekt miteinander verknüpft werden.
Die vierte Kernfunktion ist die sichere Datenübertragung. Die Vermittlungsfunktion baut über die Schnittstellen HI2 und HI3 sichere Verbindungen zum LEMF auf und hält diese aufrecht. Dazu gehören die Implementierung der TLS-Verschlüsselung, die Verwaltung von Zertifikaten, die Durchführung der gegenseitigen Authentifizierung sowie die Behandlung von Verbindungsfehlern und die Wiederherstellung der Verbindung. Der Übermittlungsmechanismus muss eine zuverlässige, geordnete Übermittlung von IRI-Ereignissen und CC-Daten gewährleisten, mit angemessener Pufferung und Flusskontrolle, um vorübergehende Verbindungsprobleme zu bewältigen.
Die fünfte Kernfunktion ist die Verwaltung von Überwachungsanordnungen. Über die HI1-Schnittstelle empfängt die Vermittlungsfunktion Überwachungsanordnungen, überprüft deren Gültigkeit und wandelt sie in Konfigurationsanweisungen für die IIF um. Außerdem verwaltet sie den Lebenszyklus jeder Überwachung – einschließlich der Verfolgung von Aktivierung, Änderung und Deaktivierung – und führt Prüfpfade zur Einhaltung gesetzlicher Vorschriften. In einigen Implementierungen ist die Funktion zur Verwaltung von Überwachungsanordnungen eine separate Komponente, die mit der Vermittlungsfunktion verbunden ist; in anderen ist sie in die Vermittlungsplattform selbst integriert.
Warum die Vermittlungsfunktion unverzichtbar ist
Die Vermittlungsfunktion ist aus mehreren Gründen unverzichtbar. Erstens bildet sie die Übersetzungsebene zwischen den proprietären Netzwerksystemen des Betreibers und den standardisierten Übergabeschnittstellen. Moderne Telekommunikationsnetze nutzen eine Vielzahl von Geräten verschiedener Hersteller, von denen jedes seine eigenen internen Datenformate und Schnittstellen hat. Die Vermittlungsfunktion gleicht diese Vielfalt aus und sorgt für eine einheitliche, standardbasierte Ausgabe.
Zweitens bietet die Vermittlungsfunktion eine zentrale Kontroll- und Verwaltungsstelle für alle Überwachungsaktivitäten. Anstatt die Überwachung an jedem einzelnen Netzwerkelement zu konfigurieren, kann der Betreiber alle aktiven Überwachungsmaßnahmen über die Vermittlungsplattform verwalten. Diese Zentralisierung vereinfacht den Betrieb, verringert das Fehlerrisiko und verbessert die Nachvollziehbarkeit.
Drittens bildet die Vermittlungsfunktion die Sicherheitsgrenze zwischen dem Netz des Betreibers und dem Bereich der Strafverfolgungsbehörden. Indem alle Übergabedaten über die Vermittlungsfunktion geleitet werden, kann der Betreiber einheitliche Sicherheitskontrollen, Protokollierung und Überwachung implementieren. Dies ist weitaus besser zu handhaben, als zu versuchen, direkte Verbindungen von mehreren Netzelementen zur LEMF abzusichern.
Viertens ermöglicht die Vermittlungsfunktion dem Betreiber, mehrere Strafverfolgungsbehörden gleichzeitig zu unterstützen. In Rechtsordnungen, in denen mehrere Strafverfolgungsbehörden Abhöranordnungen erlassen können – oder in denen eine zentrale Abhörplattform Daten von mehreren Betreibern empfängt –, kann die Vermittlungsfunktion die abgehörten Daten auf der Grundlage der in der Anordnung festgelegten Parameter an die zuständige Strafverfolgungsbehörde weiterleiten.
Überlegungen zur Architektur und Bereitstellung
Die Architektur der Vermittlungsfunktion hängt von der Netzwerktopologie des Betreibers, dem Umfang der Überwachungsmaßnahmen, der Vielfalt der Netzwerktechnologien und den spezifischen Anforderungen des nationalen LI-Rahmens ab. In einer einfachen Implementierung kann eine einzige Vermittlungsplattform das gesamte Netzwerk bedienen, Erfassungsdaten von allen Netzwerkelementen empfangen und Übergabedaten an eine einzige LEMF liefern. In komplexeren Umgebungen können verteilte Vermittlungsarchitekturen erforderlich sein, bei denen sich Vermittlungsknoten in der Nähe wichtiger Netzwerkelemente befinden und ein zentraler Verwaltungsknoten den Gesamtbetrieb koordiniert.
Die Skalierbarkeit ist ein entscheidender Aspekt bei der Konzeption. Die Vermittlungsfunktion muss in der Lage sein, die erwartete Anzahl gleichzeitiger Abhörvorgänge ohne Leistungseinbußen zu bewältigen. Für Betreiber mit großem Teilnehmerstamm oder hohem Abhörvolumen kann dies den Einsatz mehrerer Instanzen mit Lastenausgleich und Ausfallsicherung erfordern. Die Vermittlungsplattform sollte so dimensioniert sein, dass sie Spitzenlasten mit einer gewissen Reserve bewältigen kann, da Abhörausfälle aufgrund von Kapazitätsengpässen nicht akzeptabel sind.
Ebenso wichtig ist die Zuverlässigkeit. Die Vermittlungsfunktion ist ein entscheidender Bestandteil der LI-Kette, und jeder Ausfall dieser Funktion führt dazu, dass abgefangene Daten nicht übermittelt werden. Betreiber sollten redundante Vermittlungsplattformen mit automatischer Ausfallsicherung implementieren und den Betriebszustand sowie die Leistung der Vermittlungsfunktion kontinuierlich überwachen. Wartungsfenster und Software-Updates müssen sorgfältig geplant werden, um Unterbrechungen bei laufenden Abhörvorgängen zu vermeiden.
Wichtig ist auch die Integration in die bestehende Infrastruktur des Betreibers für das Netzwerkmanagement und den Sicherheitsbetrieb. Die Vermittlungsfunktion sollte in die Überwachungssysteme, Alarmmanagementsysteme und SIEM-Plattformen (Security Information and Event Management) des Betreibers integriert werden. Diese Integration stellt sicher, dass Probleme mit der Vermittlungsfunktion umgehend erkannt und behoben werden und dass Sicherheitsereignisse im Zusammenhang mit der LI-Infrastruktur erfasst und analysiert werden.
Auswahl einer Mediationsplattform
Bei der Auswahl einer Vermittlungsplattform sollten Betreiber mehrere wichtige Kriterien berücksichtigen. An erster Stelle steht die Einhaltung von Standards – die Plattform muss die vom nationalen LI-Rahmenwerk geforderten ETSI-Handover-Schnittstellen und Datenformate unterstützen. An zweiter Stelle steht die Unterstützung der Netzwerktechnologie – die Plattform muss in der Lage sein, mit allen Netzwerkelementen und Protokollen in der Infrastruktur des Betreibers zu kommunizieren, einschließlich älterer leitungsvermittelter Elemente, IMS/VoLTE-Komponenten und 5G-Kernnetzfunktionen.
Skalierbarkeit und Leistung sollten im Hinblick auf das aktuelle und das prognostizierte Abhörvolumen des Betreibers bewertet werden. Sicherheitsfunktionen – darunter Verschlüsselung, Zugriffskontrollen, Protokollierung und Zertifikatsverwaltung – sollten sowohl den Anforderungen der Sicherheitsrichtlinien des Betreibers als auch denen des nationalen LI-Rahmenwerks entsprechen. Verwaltbarkeit und einfache Bedienbarkeit sind praktische Aspekte, die sich auf die Gesamtbetriebskosten und den Arbeitsaufwand für das LI-Team auswirken.
Auch die Erfolgsbilanz und die Supportkapazitäten des Anbieters spielen eine wichtige Rolle. Die Vermittlungsfunktion erfordert fortlaufende Wartung, Aktualisierungen und Support, da sich die Netzwerktechnologien weiterentwickeln und die LI-Standards überarbeitet werden. Betreiber sollten einen Anbieter wählen, der sich nachweislich für den LI-Markt engagiert und der nachweislich zeitnahen Support und Aktualisierungen bietet.
Schlussfolgerung
Die Vermittlungsfunktion bildet die unverzichtbare Brücke zwischen dem Netz des Betreibers und den Strafverfolgungsbehörden. Sie wandelt proprietäre Netzwerkdaten in standardisierte Übergabeformate um, zentralisiert die Verwaltung von Überwachungsmaßnahmen, bildet die Sicherheitsgrenze zwischen den Domänen des Betreibers und der Strafverfolgung und ermöglicht die zuverlässige, skalierbare Bereitstellung des abgehörten Materials. Für Netzbetreiber ist die Investition in eine robuste, gut konzipierte Vermittlungsfunktion eine der wichtigsten Entscheidungen beim Aufbau einer konformen und effektiven Überwachungsfähigkeit.
Verwandte Artikel
Weitere Informationen zu verwandten Themen finden Sie in diesen Artikeln:
- ETSI TS 103 120 Erläutert: Handover-Schnittstellen für moderne IP-Netze
- HI1 vs. HI2 vs. HI3: Die drei Lawful-Interception-Schnittstellen im Überblick
- Worauf ist bei einem LIMS (Lawful Interception Management System) zu achten?
Externe Ressourcen
Die folgenden externen Quellen bieten zusätzlichen Kontext und offizielle Dokumentation:
