Dem eigenen Internet-Provider zu erlauben, seinen kompletten Internet-Verkehr zu überwachen, klingt nach Snowden eher nur so mittelschlau. Doch Telekom und Vodafone bieten genau das jetzt als Feature an. Eine „Waschmaschine im Netz“ soll per „Deep Packet Inspection“ vor Viren und Pornos schützen, inklusive Man-in-the-Middle-Angriff auf Verschlüsselung und Internet-Zensur.

Ein Leser hat uns auf eine Stellenanzeige bei Vodafone in Düsseldorf aufmerksam gemacht, die folgende Projektbeschreibung enthält:

Das Projekt „Secure Net“ (Secure Family) dient dem Schutz von Familien durch die Einführung der folgenden Schutzmechanismen für das Fest- und Mobilfunk-Netz: Anti virus & Anti malware, Anti phishing & harmful web protection, Child save browsing, Child quit time, Notify of new app. Im Gegensatz zu den existierenden Software Lösungen werden die Kundendaten bereits bei der Auslieferung auf der Paket-Ebene (Deep Packet Inspection) durch Vodafone vorgefiltert. Die Aufgabe besteht in der Analyse und der Planung der Gesamtarchitektur der Lösung mit der Zielsetzung, das Produktes innerhalb PT, ES, IE, IT und DE einzuführen.

Über Deep Packet Inspection haben wir wiederholt berichtet: Der Unterschied zwischen Internet in Diktaturen und Deutschland ist nur eine Konfigurationsdatei.

Vodafone Portugal hat „Secure Net“ bereits im Einsatz und bewirbt es auf securenet.vodafone.pt. Jetzt will Vodafone Deutschland (und Spanien, Irland und Italien) nachziehen. Auf der CeBIT im März stellte Vodafone Deutschland „Secure Net“ vor und verteilte dieses Infoblatt:

Und zukünftig schützt Vodafone mit SecureNet mobile Endgeräte noch besser vor Viren, Trojaner & Phishing Attacken. Das Besondere: Die Intelligenz steckt direkt im Netz.

Auf Anfrage von netzpolitik.org erklärte ein Vodafone-Sprecher, dass das Produkt noch im vierten Quartal 2014 kommen soll. Zunächst soll es nur für Firmenkunden erhältlich sein, perspektivisch aber auch für Privatkunden, wie in Portugal. Dass dies ein logischer Schritt ist, zeigt die Produktbeschreibung von „Secure Family“ neben „Secure Net“. Deep Packet Inspection soll „Schutz von Familien“ bieten, durch „Child save browsing“. Also das was in Großbritannien der Porno-Filter ist (den hierzulande bisher nur Einzelne fordern). Quasi eine BPjM-Blacklist auf Provider-Ebene!

Laut Sprecher ist das in Deutschland derzeit nur für Mobilfunk geplant. Ob auch die rund drei Millionen Vodafone-DSL-Kunden diese „Dienste“ erhalten können, drückte der Sprecher so aus: „Ob das in zwei Jahren anders ist, können wir derzeit nicht sagen.“ In der Ausschreibung klingt das anders, da steht: „für das Fest- und Mobilfunk-Netz“.

Datenschutzrechtlich soll das alles in Ordnung sein: „Eine datenschutzrechtliche Bewertung nehmen wir grundsätzlich vor.“ Auch der Datenschutzbeauftragte Dr. Herkströter hat sich das wohl angeschaut. Zudem soll das Feature freiwillig sein, per Opt-In.

Netzpolitik.org hat sich schon lange vor den Snowden-Enthüllungen für ein Verbot von Deep Packet Inspection eingesetzt. Meine Internet-Inhalte gehen meinen Provider nichts an, genauso wenig wie die Post meine Briefe lesen darf. Das nennt sich Telekommunikationsgeheimnis und ist ein Grundrecht. In Zeiten der digitalen Vollüberwachung ist es noch unverständlicher, wie man auf die Idee kommen kann, den Provider freiwillig alle seine Inhalte lesen zu lassen. Obendrein noch der Tochter einer britischen Firma. Das Innenministerium hat sich schon ohne offiziell zugegebene Deep Packet Inspection entschlossen, Internet-Providern aus den „Five Eyes“ zu kündigen. Jetzt sollen wir freiwillig wieder die Erlaubnis erteilen?

Aber das ist kein Vodafone-Problem. Auch die Deutsche Telekom hat solche Produkte bereits im Einsatz. Zum Beispiel „Clean Pipe„:

Die Clean Pipe-Services schützen den gesamten Internetverkehr eines Standorts und filtern schädliche Inhalte heraus. Der gesamte aus- und eingehende Verkehr wird verschlüsselt und nach außen abgeschirmt an ein deutsches Cloud-Rechenzentrum von T-Systems geleitet. Um die Clean Pipe Services zu nutzen, wird nur ein spezieller, hochsicherer Router am Kundenstandort installiert. Die gesamte Sicherheits-Infrastruktur und der gesicherte Internetzugang kommen aus der T-Systems-Cloud. Am Router wird der gereinigte Internet-Datenverkehr sicher bereitgestellt. T-Systems hat die Clean Pipe in Deutschland entwickelt und mit deutschen Zulieferern realisiert.

Den gesamten Internet-Verkehr durch die T-Systems Cloud leiten und dort Deep Packet Inspection machen! Ich bin auf Fefes Kommentar gespannt.

Aber es wird noch besser, mit dem „Corporate Security Hub„, der „Waschmaschine im Netz“:

Wie eine Waschmaschine im Netz filtert der Cloud-Dienst Schadcodes aus dem Internet heraus, bevor sie Smartphones und Tablets erreichen. Damit erübrigt sich der Einsatz von Virenschutz und zentralen Firewall-Funktionen auf jedem einzelnen mobilen Endgerät. Der Service namens Corporate Security Hub ergänzt die Lösung Clean Pipe für stationäre Rechner und ist weltweit verfügbar.

Ein Flyer offenbart weitere Features:

Der gesamte Datenverkehr der registrierten Endgeräte und des angebundenen Firmennetzwerks wird über ein Rechenzentrum „in der Cloud“ geleitet. Dort werden alle Inhalte wie z. B. HTML, Javascript, Flash, Active Scripts und auf Wunsch SSL-verschlüsselte Web- und E-Mail-Kommunikation in Echtzeit auf Schadcode untersucht.

Transportverschlüsselung per Man-in-the-Middle-Angriff knacken!

Die Suche im Internet und das Surfverhalten der Nutzer können für spezifische Nutzergruppen und individuell für einzelne Nutzer zur Einhaltung von Unternehmensrichtlinien gesteuert werden. Dabei werden URLs und Web-Inhalte, inkl. Web-2.0-Inhalten, nach Kategorien gefiltert. Über White- und Blacklistings kann der Zugriff auf spezielle Seiten erlaubt oder unterbunden werden.

Internet-Zensur! Zur „Einhaltung von Unternehmensrichtlinien“!

Und das alles in der Cloud. Per Deep Packet Inspection. Es wäre fast lustig, wenn es nicht so ernst wäre. Anscheinend haben einige Leute in den letzten 13 Monaten überhaupt gar nichts gelernt.