Abh\u00f6rrelevante Informationen bilden das Metadaten-Grundger\u00fcst jeder rechtm\u00e4\u00dfigen Abh\u00f6rma\u00dfnahme. Bei der rechtm\u00e4\u00dfigen \u00dcberwachung sind zwei Datenkategorien f\u00fcr jeden \u00dcberwachungsvorgang von grundlegender Bedeutung: abh\u00f6rbezogene Informationen (IRI) und Kommunikationsinhalte (CC). Diese beiden Datentypen bilden den Kern dessen, was ein Betreiber den Strafverfolgungsbeh\u00f6rden bei der Ausf\u00fchrung eines \u00dcberwachungsauftrags liefert, und sie werden \u00fcber separate \u00dcbergabeschnittstellen - HI2 f\u00fcr IRI und HI3 f\u00fcr CC - im ETSI-Rahmen \u00fcbertragen. W\u00e4hrend die meisten Praktiker die grundlegende Unterscheidung verstehen - IRI sind Metadaten, CC sind Inhalte - sind die praktischen Auswirkungen dieser Unterscheidung nuancierter, als es zun\u00e4chst den Anschein hat.<\/p>\n\n\n\n
In diesem Artikel wird untersucht, was IRI und CC in der Praxis tats\u00e4chlich bedeuten, welche Datenelemente sie jeweils umfassen, wie sie generiert und \u00fcbermittelt werden und warum die Unterscheidung f\u00fcr Betreiber, Strafverfolgungsbeh\u00f6rden und das breitere \u00d6kosystem der rechtm\u00e4\u00dfigen \u00dcberwachung von Bedeutung ist.<\/p>\n\n\n\n
Abh\u00f6rbezogene Informationen umfassen alle Metadaten, die mit einer abgeh\u00f6rten Kommunikation verbunden sind. Vereinfacht ausgedr\u00fcckt beantwortet die IRI die Fragen: Wer hat wann, mit wem, wie lange, \u00fcber welchen Dienst und von wo aus kommuniziert? Sie umfasst nicht den Inhalt der Kommunikation selbst - das ist die Dom\u00e4ne von CC. IRI ist gem\u00e4\u00df der ETSI TS 102 232-Reihe definiert und strukturiert, in der die Datenelemente, Kodierungsformate und \u00dcbermittlungsmechanismen f\u00fcr verschiedene Netztechnologien festgelegt sind.<\/p>\n\n\n\n
Die spezifischen Datenelemente, die in den IRI enthalten sind, h\u00e4ngen von der Art der Kommunikation und der beteiligten Netztechnologie ab. Bei einem herk\u00f6mmlichen Sprachanruf umfasst die IRI in der Regel die anrufende Nummer (A-Nummer), die angerufene Nummer (B-Nummer), die IMSI und IMEI des Zielger\u00e4ts, den Zeitpunkt der Einleitung des Anrufs, den Zeitpunkt der Beantwortung, die Dauer des Anrufs, die Zellkennungen zu Beginn und w\u00e4hrend des Anrufs (mit Standortinformationen) und die Art des Anrufs (angenommen, besetzt, keine Antwort, weitergeleitet). Bei einer IP-Datensitzung kann die IRI die IP-Adresse des Ziels, den zugewiesenen APN (Access Point Name), die Tr\u00e4gerparameter, die Start- und Endzeit der Sitzung sowie das \u00fcbertragene Datenvolumen enthalten.<\/p>\n\n\n\n
IRI wird als eine Reihe von Ereignissen erzeugt, die dem Verlauf der Kommunikation entsprechen. Die ETSI-Normen definieren spezifische IRI-Ereignistypen f\u00fcr verschiedene Phasen einer Kommunikation - z. B. ein Anrufaufbauereignis, ein Antwortereignis, ein Anrufabbruchereignis und verschiedene Zusatzdienstereignisse. Jedes Ereignis enth\u00e4lt die entsprechenden Datenelemente und einen genauen Zeitstempel. Die Vermittlungsfunktion im Netz des Betreibers ist f\u00fcr die \u00dcberwachung der Signalisierungsprotokolle (SIP, Diameter, GTP, SS7 und andere) und die Erzeugung der entsprechenden IRI-Ereignisse im ETSI-Format zust\u00e4ndig.<\/p>\n\n\n\n
Eines der wichtigsten Merkmale der IRI ist ihr strukturierter Charakter. Da IRI im ASN.1-Format nach genau definierten Datenstrukturen kodiert sind, k\u00f6nnen sie von Strafverfolgungssystemen automatisch geparst, verarbeitet und analysiert werden. Dieses strukturierte Format erm\u00f6glicht eine automatische Korrelation, Musteranalyse und Data-Mining-Operationen, die bei unstrukturierten Daten viel schwieriger w\u00e4ren. Der ermittlungstechnische Wert von IRI sollte nicht untersch\u00e4tzt werden - in vielen F\u00e4llen sind die von IRI bereitgestellten Metadaten genauso wertvoll wie der Inhalt selbst oder sogar noch wertvoller als dieser.<\/p>\n\n\n\n
Der Kommunikationsinhalt ist der eigentliche Inhalt der abgefangenen Kommunikation - die in einem Telefongespr\u00e4ch gesprochenen Worte, der Text einer SMS-Nachricht, die w\u00e4hrend einer Datensitzung aufgerufenen Webseiten, die an eine E-Mail angeh\u00e4ngten Dateien. CC stellt dar, was kommuniziert wurde, im Gegensatz zu den Kontextinformationen \u00fcber die Kommunikation. CC wird \u00fcber die HI3-Schnittstelle an das LEMF \u00fcbermittelt.<\/p>\n\n\n\n
Das Format von CC ist je nach Art der Kommunikation sehr unterschiedlich. Bei Sprachanrufen ist CC ein Echtzeit-Audiostrom, der in der Regel mit Codecs wie AMR (Adaptive Multi-Rate), AMR-WB (Wideband) oder G.711 kodiert wird. Der Ton muss in Echtzeit \u00fcbertragen werden, damit die Strafverfolgungsbeh\u00f6rden das Gespr\u00e4ch w\u00e4hrend des Vorgangs \u00fcberwachen k\u00f6nnen, wird aber in der Regel auch zur sp\u00e4teren \u00dcberpr\u00fcfung aufgezeichnet. Bei SMS-Nachrichten besteht das CC aus dem Textinhalt der Nachricht. Bei Datensitzungen besteht CC aus den von der Zielperson ausgetauschten IP-Paketen, die Web-Browsing-Daten, E-Mail-Inhalte, Anwendungsdaten, Streaming-Medien und jede andere Art von IP-basierter Kommunikation enthalten k\u00f6nnen.<\/p>\n\n\n\n
Die \u00dcberwachung von Daten erzeugt ein wesentlich h\u00f6heres CC-Volumen als die \u00dcberwachung von Sprache. Ein einzelner Sprachanruf erzeugt einen kontinuierlichen Audiostrom mit relativ geringer Bandbreite, w\u00e4hrend eine Datensitzung je nach Aktivit\u00e4t der Zielperson Gigabytes an Datenverkehr erzeugen kann. Diese Diskrepanz hat wichtige Auswirkungen auf die Dimensionierung von LI-Systemen, die Bandbreite von HI3-\u00dcbertragungskan\u00e4len und die erforderliche Speicherkapazit\u00e4t in der LEMF.<\/p>\n\n\n\n
Die \u00dcbermittlung von CC muss zeitnah erfolgen. F\u00fcr die \u00dcberwachung von Sprache bedeutet dies eine \u00dcbermittlung in Echtzeit mit minimaler Latenzzeit. Bei der \u00dcberwachung von Daten ist in der Regel eine nahezu zeitnahe \u00dcbermittlung erforderlich, wobei die genauen Anforderungen je nach Rechtsordnung variieren k\u00f6nnen. Die Transportmechanismen f\u00fcr die CC-Zustellung sind in den ETSI-Normen definiert und verwenden in der Regel sichere TCP- oder UDP-Verbindungen mit Verschl\u00fcsselung zum Schutz des Inhalts w\u00e4hrend der \u00dcbertragung.<\/p>\n\n\n\n
Die Unterscheidung zwischen IRI und CC ist nicht nur technisch, sondern hat auch erhebliche rechtliche, operative und strategische Auswirkungen. Aus rechtlicher Sicht werden Metadaten und Inhalte in vielen Rechtsordnungen unterschiedlich behandelt. Einige \u00dcberwachungsanordnungen k\u00f6nnen die Erfassung sowohl von IRI als auch von CC zulassen, w\u00e4hrend andere nur auf Metadaten beschr\u00e4nkt sein k\u00f6nnen. Die rechtlichen Schwellenwerte f\u00fcr die Erteilung einer Genehmigung k\u00f6nnen unterschiedlich sein, wobei die \u00dcberwachung von Inhalten in der Regel einen h\u00f6heren Beweisstandard oder eine schwerere Kategorie von Straftaten erfordert. Die Betreiber m\u00fcssen in der Lage sein, die reine IRI-\u00dcberwachung und die kombinierte IRI-plus-CC-\u00dcberwachung unabh\u00e4ngig voneinander zu aktivieren, da der Umfang der \u00dcberwachungsanordnung vorgibt, welche Daten erfasst und \u00fcbermittelt werden k\u00f6nnen.<\/p>\n\n\n\n
Aus operativer Sicht haben IRI und CC unterschiedliche Merkmale in Bezug auf Umfang, Format, Verarbeitungsanforderungen und Liefermechanismen. IRI ist relativ kompakt und strukturiert und eignet sich daher gut f\u00fcr die automatische Verarbeitung und Analyse. CC ist potentiell umfangreich und variiert stark im Format, was unterschiedliche Handhabungs-, Speicher- und Analyseans\u00e4tze erfordert. Die Betreiber m\u00fcssen ihre LI-Systeme so konzipieren, dass sie beide Datentypen effizient verarbeiten k\u00f6nnen, mit geeigneten Puffer-, Flusskontroll- und Quality-of-Service-Mechanismen.<\/p>\n\n\n\n
Aus strategischer und ermittlungstechnischer Sicht liefern IRI und CC unterschiedliche Arten von Informationen. IRI erm\u00f6glicht die Analyse von Mustern, die Kartierung von Netzwerken, die Verfolgung von Standorten und die Identifizierung von Kommunikationsmustern im Zeitverlauf. CC bietet einen direkten Einblick in den Inhalt spezifischer Kommunikationen, kann aber einen erheblichen Aufwand f\u00fcr die Verarbeitung und Analyse erfordern - insbesondere bei Daten\u00fcberwachungen, die gro\u00dfe Mengen an mediengemischten Inhalten produzieren. Die Strafverfolgungsbeh\u00f6rden erkennen zunehmend den strategischen Wert von Metadaten, und bei einigen Ermittlungen kann die IRI der Hauptschwerpunkt der Abh\u00f6rma\u00dfnahmen sein.<\/p>\n\n\n\n
Der \u00dcbergang von leitungsvermittelten zu paketvermittelten Netzen hat den Umfang und die Komplexit\u00e4t der IRI erheblich erweitert. In herk\u00f6mmlichen Telefonnetzen war die IRI relativ einfach - die Rufaufbau-Signalisierung lieferte einen genau definierten Satz von Metadatenelementen. In modernen IP-Netzen ist die Signalisierungslandschaft viel vielf\u00e4ltiger und komplexer und umfasst Protokolle wie SIP, Diameter, GTP-C und verschiedene Protokolle der Anwendungsschicht.<\/p>\n\n\n\n
VoLTE verwendet beispielsweise die SIP-Signalisierung \u00fcber den IMS-Kern (IP Multimedia Subsystem), kombiniert mit Durchmesser f\u00fcr die Authentifizierung und Richtlinienkontrolle und GTP f\u00fcr die Tr\u00e4gerverwaltung. Die Generierung vollst\u00e4ndiger IRI f\u00fcr einen VoLTE-Anruf erfordert, dass die Vermittlungsfunktion mehrere Protokolle gleichzeitig \u00fcberwacht und die daraus resultierenden Ereignisse zu einem koh\u00e4renten IRI-Datensatz korreliert. Die ETSI-Normen definieren spezifische IRI-Datenelemente f\u00fcr IMS-basierte Dienste, aber die praktische Umsetzung kann eine Herausforderung sein.<\/p>\n\n\n\n
In 5G-Netzen nimmt die Komplexit\u00e4t weiter zu. Die dienstbasierte Architektur des 5G-Kerns f\u00fchrt neue Netzwerkfunktionen und Signalisierungsschnittstellen ein, die f\u00fcr die IRI-Generierung \u00fcberwacht werden m\u00fcssen. Die 3GPP-LI-Architektur f\u00fcr 5G definiert spezifische Point-of-Interception-Standorte (POI) und IRI-Datenelemente f\u00fcr 5G-Dienste, aber die Betreiber m\u00fcssen sicherstellen, dass ihre Vermittlungsfunktionen die erforderlichen Informationen aus den 5G-Signalisierungsstr\u00f6men extrahieren k\u00f6nnen.<\/p>\n\n\n\n
Eine der gr\u00f6\u00dften Herausforderungen f\u00fcr die Bereitstellung von CC in modernen Netzen ist die zunehmende Verbreitung von Verschl\u00fcsselung. Eine Ende-zu-Ende-verschl\u00fcsselte Kommunikation - wie sie beispielsweise von Messaging-Anwendungen mit E2EE bereitgestellt wird - kann auf der Netzwerkebene nicht sinnvoll abgefangen werden. Der Betreiber kann zwar die verschl\u00fcsselten Pakete abfangen, aber ohne die Verschl\u00fcsselungsschl\u00fcssel ist der Inhalt unverst\u00e4ndlich. Dies f\u00fchrt zu einer Situation, in der der Betreiber zwar IRI liefern kann (die aus der Netzsignalisierung generiert werden und nicht vom Zugriff auf den Inhalt abh\u00e4ngen), aber keine brauchbaren CC bereitstellen kann.<\/p>\n\n\n\n
Diese Verschl\u00fcsselungsproblematik ist zu einer der zentralen politischen Debatten in der Gemeinschaft der Abh\u00f6rbeauftragten geworden. Strafverfolgungsbeh\u00f6rden argumentieren, dass Verschl\u00fcsselung blinde Flecken schafft, die strafrechtliche Ermittlungen behindern, w\u00e4hrend Bef\u00fcrworter des Datenschutzes behaupten, dass eine starke Verschl\u00fcsselung f\u00fcr den Schutz der Grundrechte unerl\u00e4sslich ist. Die L\u00f6sung dieser Debatte - wenn sie denn erreicht wird - wird tiefgreifende Auswirkungen auf die CC-Komponente der rechtm\u00e4\u00dfigen \u00dcberwachung haben. In der Zwischenzeit m\u00fcssen die Betreiber das CC bereitstellen, zu dem sie technisch in der Lage sind, und gleichzeitig die Strafverfolgungsbeh\u00f6rden \u00fcber die durch die Verschl\u00fcsselung auferlegten Einschr\u00e4nkungen informieren.<\/p>\n\n\n\n
Betreiber, die LI-Systeme implementieren, m\u00fcssen sicherstellen, dass ihre Vermittlungsfunktionen in der Lage sind, vollst\u00e4ndige, genaue und zeitnahe IRI und CC f\u00fcr alle Dienste und Netztechnologien in ihrem Portfolio zu erzeugen. Dies erfordert eine tiefe Integration in die Signalisierungsinfrastruktur des Betreibers, robuste Protokollanalysefunktionen und eine sorgf\u00e4ltige Beachtung der Datenkorrelation und des Timings.<\/p>\n\n\n\n
Um zu \u00fcberpr\u00fcfen, ob IRI und CC korrekt generiert werden, sind Tests unerl\u00e4sslich. Die Betreiber sollten umfassende Tests anhand der ETSI-IRI-Datenstrukturdefinitionen durchf\u00fchren und sicherstellen, dass alle erforderlichen Datenelemente vorhanden sind und f\u00fcr jeden Ereignistyp korrekt ausgef\u00fcllt werden. Die CC-\u00dcbertragung sollte f\u00fcr alle unterst\u00fctzten Medientypen auf Genauigkeit, Timing und Vollst\u00e4ndigkeit getestet werden.<\/p>\n\n\n\n
Schlie\u00dflich m\u00fcssen die Betreiber ihre LI-Systeme pflegen, wenn sich ihre Netze weiterentwickeln. Neue Dienste, neue Protokolle und neue Netztechnologien erfordern Aktualisierungen der IRI-Generierung und der CC-Erfassungsfunktionen. Ein gesetzeskonformes Abh\u00f6rsystem, das zum Zeitpunkt der Einf\u00fchrung vollst\u00e4ndig konform war, kann mit der Ver\u00e4nderung des Netzes nicht mehr konform sein, so dass die fortlaufende Wartung und Entwicklung ein wichtiger Bestandteil des Konformit\u00e4tsprogramms ist.<\/p>\n\n\n\n
IRI und CC sind die beiden S\u00e4ulen der gesetzeskonformen Abh\u00f6rdatenbereitstellung. IRI liefert die strukturierten Metadaten, die eine Musteranalyse, Standortverfolgung und Kommunikationszuordnung erm\u00f6glichen. CC liefert den eigentlichen Inhalt der abgefangenen Kommunikation und bietet einen direkten Einblick in die Kommunikation der Zielpersonen. Zusammen ergeben sie ein vollst\u00e4ndiges Bild, das die Ermittlungen der Strafverfolgungsbeh\u00f6rden unterst\u00fctzt. F\u00fcr die Betreiber ist das Verst\u00e4ndnis der technischen, rechtlichen und betrieblichen Auswirkungen von IRI und CC - und der Aufbau von LI-Systemen, die beides effektiv handhaben - eine wesentliche Voraussetzung f\u00fcr die Erf\u00fcllung ihrer gesetzlichen Abh\u00f6rpflichten in modernen Telekommunikationsnetzen.<\/p>\n\n\n\n
Die genaue Erfassung von abh\u00f6rrelevanten Informationen ist eine Grundvoraussetzung f\u00fcr rechtm\u00e4\u00dfige Abh\u00f6rma\u00dfnahmen. Die Betreiber m\u00fcssen sicherstellen, dass ihre Systeme alle erforderlichen abh\u00f6rrelevanten Informationsfelder erfassen.<\/p>\n\n\n\n
Weitere Informationen zu verwandten Themen finden Sie in diesen Artikeln:<\/p>\n\n\n\n
Die folgenden externen Quellen bieten zus\u00e4tzlichen Kontext und offizielle Dokumentation:<\/p>\n\n\n\n