Von Orange und der Privatsphäre


Nun da wir wissen, dass uns alle möglichen Geheimdienste auf Schritt und Tritt im Internet überwachen, stellt sich natürlich die Frage, inwiefern dies auch private Unternehmen tun.

Kürzlich habe ich ein Abo bei Orange CH abgeschlossen, dort dabei ist unlimitiert kostenloser Datenverkehr zu Spotify, der Rest ist auf 1GiB beschränkt. Klingt gut, denn schliesslich hält mein 1GiB Datenkontingent so länger.

Aber woher weiss Orange denn überhaupt, welche Datenpakete bei der Nutzung von Spotify verschickt werden und welche nicht, fragte ich mich.
Da gibt es mehrere Möglichkeiten, wie diese Pakete gefiltert werden könnten.
Anstatt darüber zu philosophieren, welche Methode denn wohl am meisten Sinn machen würde, habe ich kurzerhand auf die Facebook-Pinnwand von Orange gepostet.
Und entgegen all meinen Erwartungen habe ich sogar eine Antwort erhalten. Eine äusserst interessante sogar!

Facebook Antwort von Orange
Ausschnitt der Facebook-Pinnwand von Orange CH

Lasst uns diese Antwort mal etwas detailierter betrachten:

Meine Frage lautete, wie Orange denn feststellen könne, welche Pakete für Spotify sind und welche nicht. Ob sie IP-Tables hätten, mit denen abgeglichen werde oder ob sie Deep Packet Inspection betreiben würden.

Dass die Produktverantwortlichen nicht detailiert auf technische Fragen antworten möchten, ist ja ganz normal. Sei es aus technischer Inkompetenz, Angst eine Sicherheitslücke zu verraten oder schlicht aus Faulheit.
Die Begründung, wieso er nicht antworten wolle, ist jedoch äusserst interessant. Er fürchtet sich vor möglichen Missverständnissen.
Weiter habe er dem Social-Media Mitarbeiter erklärt, dass ich mir das als einen Mix aus den beiden Möglichkeiten (aus meiner Fragestellung) vorstellen könne.

Betrachten wir die technische Übertraung von IP Paketen.

Die Aufgabe von Orange in diesem Fall ist es, die Pakete, die ich zu ihnen sende, an ihren bestimmten Empfänger weiterzuleiten.
Das selbe auch in die andere Richtung, sprich mit Paketen von irgendwo, die an mich adressiert sind.

Die Übertragung eines IP-Pakets kann man sich im Grunde wie das Versenden eines Briefs per Post vorstellen. Ein IP-Paket besteht aus einem Header (vergleichbar mit einem Briefumschlag) und dem Body (der Nachricht im Umschlag).
Und genau wie mit einem Brief, bringe ich den Brief erst mal zur Post (hier: die Übertragung des Pakets zum Rechenzentrum von Orange), von wo aus er über mehrere Zwischenhalte seinen Zielort erreicht.

Um nun die Pakete zu bestimmen, die für Spotify bestimmt sind, könnte Orange eine Datenbank anlegen, in der alle IP-Adressen von Spotify-Servern gespeichert sind.
Orange könnte nun bei jedem Paket den Empfänger anschauen und mit der Datenbank abgleichen.
So wüssten sie, welche Pakete für Spotify sind und welche nicht.

Eine andere Möglichkeit wäre DPI (Deep Packet Inspection).
DPI bedeutet, dass Orange jedes Paket öffnet und den Body untersucht (zur Übertragung des Pakets reicht jedoch der Header aus).
Im Beispiel mit dem Brief bedeutet das, dass die Poststelle jeden Brief öffnet, sich die Nachricht durchliest und den Brief dann wieder frisch verschliesst und weiterleitet.
Man könnte diese Technik anwenden, um anhand des Inhalts festzustellen, ob es sich um ein Paket für Spotify handelt oder nicht.
Man kann damit aber auch das Surfverhalten jedes Nutzers genau untersuchen, um dann ein vollständiges Profil über das Surfverhalten des Nutzers zu generieren.
Auf Grund dieser Informationen kann dem Nutzer z.B. auf ihn zugeschnittene Werbung angezeigt werden.
Solche Informationen lassen sich aber auch gut verkaufen (so verdient Google z.B. seine Brötchen).
Aber man kann damit auch Verbindungen zu unerwünschten Dienste blockieren (z.B. VoIP, BitTorrent) oder Pakete für eigene Dienste bevorzugen, so dass diese schneller übertragen werden als solche für Dienste eines Konkurrenten, was dem Prinzip der Netzneutralität widerspricht.
Dies nur, um ein paar mögliche Verwendungszwecke zu nennen.
Allgemein lässt sich jedoch sagen, dass DPI sehr selten zum Vorteil des Kunden verwendet wird.

Halten wir also fest, dass der Mix, den Orange meint, gar keinen Sinn ergibt.
Wenn eh schon in jedes Paket reingeschaut wird, macht dies das Abgleichen der IP-Adressen überflüssig.
Auch befürchten sie Missverständnisse. Normalerweise entstehen Missverständnisse durch schwammige und undeutliche Aussagen.
Um Missverständnisse zu vermeiden, könnte man z.B. präzisere Aussagen machen, aber eine präzise Antwort wäre hier wohl mit einem Geständnis gleichzusetzen.
Geständnis dehalb, weil wenn Orange kein Problem damit hätte, zu sagen, dass sie DPI anwenden, hätten sie es auch gleich sagen können. Die Antwort von Orange hat so einen gewissen "Ja wir machen DPI und jetzt halten Sie endlich die Klappe!"-Touch.

Was bedeutet das nun für uns Nutzer?

So direkt bedeutet das nichts für uns. Das mobile Internet funktioniert so gut wie vorher auch.
Die Frage ist nur, was bedeutet das für die Daten, die wir darüber übertragen.

Aber auch hier kann man soweit nichts sagen, wenn wir wissen nur, dass Orange von allen Daten weiss, die wir übertragen. Was damit gemacht wird, ist unbekannt.
Aber Snowden hat uns gezeigt, dass man hier immer mit dem Schlimmsten rechnen muss!

Was machen wir dagegen?

Am besten zu einem Provider wechseln, der auf die Privatsphäre seiner Kunden achtet.
Und wer nicht wechseln kann, der kann diese Nachricht verbreiten und darauf hoffen, dass es genug Leute für einen Shitstorm gibt. Mit genug Druck, können wir Orange überzeugen, diese Tätigkeit aufzugeben, aber leider nur so!


written by: Takashi Yoshi