Provider dürfen künftig bei Netzstörungen eine " Deep Packet Inspection (DPI) light" durchführen. Das hat der Bundestag in der Nacht zum Freitag mit der Koalitionsmehrheit in Form einer umfangreichen Änderung des Telekommunikationsgesetzes (TKG) beschlossen. Mit DPI können Datenpakete durchleuchtet, Dienste diskriminiert und das Nutzerverhalten ausgespäht werden. Linke und Grüne stimmten gegen das Vorhaben.

Schwarz-Rot hatte sich während der Koalitionsverhandlungen ausdrücklich gegen DPI ausgesprochen. Die Abgeordneten unterstreichen zwar nun mehrfach, dass mit dem gebilligten Verfahren für die IT-Sicherheit Kommunikationsinhalte nicht erfasst werden dürften. Zur Analyse freigegeben hat die Koalition aber nicht näher definierte "Steuerdaten". Sie spielt dabei auf das "OSI-Modell" für Netzwerkprotokolle an und meint so offenbar vor allem Daten auf der "Sitzungsschicht", in der die Prozesskommunikation zwischen zwei Systemen aufrechterhalten werden soll.

Diese 5. Ebene ist von der abschließenden Anwendungsschicht fürs Surfen, E-Mailen oder Chatten nicht weit entfernt. Jede Art der Auswertung von Datenpaketen, die über die darunterliegende 4. Schicht hinausgeht, ist Experten zufolge als Deep Packet Inspection anzusehen.

Die Regierungsfraktionen begründeten das Vorhaben vorab damit, dass Schadfunktionen meist nicht Teil der Verbindungsdaten, also etwa nicht anhand der IP-Header erkennbar seien. Es könne daher erforderlich sein, daneben auch weitere Protokolldaten zu untersuchen, die "zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind". Solche Informationen dürften aber nur in "minimalem Umfang" erhoben und müssten unverzüglich gelöscht werden, sobald der Zweck erreicht sei. Darüber müssen Datenschutzbeauftragte, die Bundesnetzagentur und die Betroffenen informiert werden.

Parallel erlaubt es das Parlament nun Anbietern von Telekommunikationsdiensten, "den Datenverkehr bei Vorliegen einer Störung einzuschränken", auf Warnseiten umzuleiten "oder zu unterbinden". Die Regel soll "dem Schutz der Telekommunikations- und Datenverarbeitungssysteme des Diensteanbieters" genauso dienen wie dem des Nutzers vor einem sich anormal verhaltenden System sowie möglicher weiterer Betroffener. Der Provider darf diese Netzsperren nur nutzen, wenn er den Auslöser der Störung vorab informiert hat und die Panne nicht selbst beheben kann.

"Legitime von maliziöser Kommunikation" trennen

Mit dieser Klausel sollen die Dienstleister vor allem besser gegen Geräte vorgehen können, die Teil eines Botnetzes sind oder fehlerhaft am Internet der Dinge hängen. Es müsse verhindert werden, dass derlei infiltrierte Computer wiederum als "Werkzeug für Angriffe auf fremde Systeme missbraucht werden", heißt es. Ferner wird es Providern zur Abwehr von Cyberangriffen erlaubt, den Datenverkehr zu filtern und dabei "legitime von maliziöser Kommunikation" zu trennen. Der Informationsfluss zu "Störungsquellen" darf auch unterbrochen werden, um modulare Angriffswerkzeuge außer Kraft zu setzen, die Systeme zunächst mit einem "Dropper" etwa als E-Mail-Anhang infizieren und dann den eigentlichen Schadteil nachladen.

Prinzipiell haben die Abgeordneten mit dem Schritt den Gesetzentwurf der Bundesregierung ausgeweitet, mit dem die neue EU-Richtlinie zur Netz- und Informationssicherheit umgesetzt werden soll. Dabei geht es vor allem darum, eine rechtliche Grundlage für die geplanten "Cyber-Feuerwehren" beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und in der Bundeswehr zu schaffen. (anw)