Zu wissen, wer mit wem irgendwelche Nachrichten austauscht, kann äußerst aufschlussreich sein. Über die Techniken, die für solche Schnüffeleien verwendet werden, ist seltsamerweise so gut wie nichts bekannt.

Am 7. Juli 1998 begehen die Berufsverbrecher Wilhelm Hudelmaier und Herbert Jacoby ihren 19. Raubüberfall. Sie bringen in Ehingen (Baden-Württemberg) einen Bankdirektor und seine Frau in Ihre Gewalt. Mit Hilfe eines Bankangestellten, der hinzugezogen wird, gelingt es den beiden Tätern, 2 Millionen Mark aus dem Tresor des Kreditinstituts zu erbeuten. Anschließend fesseln sie den Angestellten an einen Hochsitz und entkommen unerkannt.

Nach der Tat ruft Herbert Jacoby von einer Telefonzelle die Familie des Bankangestellten an, um dieser den Aufenthaltsort des Entführten mitzuteilen. Anschließend tätigt Jacoby vom selben Apparat aus ein weiteres Telefonat: Er ruft bei sich zuhause an.

Als die Polizei die Spuren des Falles untersucht, ermittelt sie die Telefonzelle, aus der einer der Täter die Familie des Bankangestellten angerufen hat. Es fällt auf: Vom selben Apparat wurde unmittelbar danach eine weitere Nummer gewählt. Diese kommt einer Visitenkarte gleich. Wenige Tage später werden Hudelmaier und Jacoby verhaftet und schließlich zu langjährigen Haftstrafen verurteilt. Die bekannteste von 19 Taten, die sie begangen haben, ist die Entführung der Kinder des damaligen Drogerie-Königs Anton Schlecker im Jahr 1987.

 

Verkehrsfluss-Analysen

Den Schlecker-Entführern wurde also ein Telefonat zum Verhängnis. Interessanterweise spielte der Inhalt dieses Telefongesprächs keinerlei Rolle (und war der Polizei auch nicht bekannt). Allein die Information, wer mit wem telefonierte, reichte aus.

Wenn jemand Kommunikationsverbindungen auswertet, ohne auf den Inhalt der Kommunikation einzugehen, bezeichnet man das als Verkehrsfluss-Analyse (traffic analysis).

Verkehrsflussanalysen können eine wirksame Waffe sein. Dies zeigt beispielsweise die folgende Powerpoint-Folie, die über Twitter verbreitet wurde:

Traffic-Analysis-Tweet-Metadata

Diese Liste ließe sich beliebig fortsetzen:

  • Sie wissen, dass du mehrmals jährlich die Webseite eines Whisky-Händlers aufrufst. Aber sie kennen dein Lieblingsgetränk nicht.
  • Deine Frau weiß, dass du mehrmals täglich die hübsche Blondine aus dem Tennisclub angerufen hast. Sie weiß aber nicht, worüber ihr geredet habt.
  • Sie wissen, dass ein hochrangiger Mitarbeiter der Firma XY einen Journalisten angerufen hat – kurz bevor dieser eine Enthüllungs-Story über XY veröffentlicht hat. Sie wissen aber nicht, was am Telefon besprochen wurde.

 

Warum redet niemand darüber?

Vor ein paar Wochen war ich auf der HAM Radio in Friedrichshafen, wo ich am Stand des US-Professors Tom Perera meine Bücher ausstellen durfte. Dort kam ich mit einem Niederländer ins Gespräch, der mich auf das Thema Verkehrsfluss-Analysen ansprach. Unter anderem fragte er mich: “Ist Ihnen schon einmal aufgefallen, dass es kaum Literatur zu diesem Thema gibt?”

Ich musste ihm Recht geben. Anscheinend gibt es kaum Forschungsarbeiten und kein einziges Buch über Verkehrsfluss-Analysen auf dem Markt. In den meisten Kryptologie- und IT-Sicherheits-Büchern kommt dieses Thema nicht vor. Immerhin gibt es in meinem eigenen Buch Kryptografie – Verfahren, Protokolle, Infrastrukturen ein kurzes Kapitel und ein Bild dazu.

Verkehrsfluss

Zu den wenigen aussagekräftigen Quellen gehört ein kurzer Aufsatz über Verkehrsfluss-Analysen.

Dieser Mangel an Informationen ist umso erstaunlicher, als Verkehrsfluss-Analysen nichts Neues sind. Man kann davon ausgehen, dass die Briten im Zweiten Weltkrieg in Bletchley Park nicht nur die Enigma knackten, sondern auch die deutschen Funkverbindungen analysierten. In den diversen Bletchley-Park und Enigma-Büchern sucht man vergeblich nach Informationen dazu.

Doch warum redet niemand über Verkehrsfluss-Analysen? Der besagte Niederländer hat einen Verdacht: Er geht davon aus, dass Geheimdienste Verkehrsfluss-Analysen ausgiebig nutzen und ein großes Know-how in diesem Bereich besitzen. Sie vermeiden es jedoch tunlichst, darüber zu reden. Ansonsten könnten entsprechende Gegenmaßnahmen populär werden und den Geheimdiensten das Leben schwer machen. Selbst Informationen über Verkehrsfluss-Analysen im Zweiten Weltkrieg sind demnach immer noch als geheim eingestuft.

Sollte dieser Verdacht stimmen, dann hätten wir in Bezug auf Verkehrsfluss-Analysen heute eine ähnliche Situation wie in der Verschlüsselungstechnik vor 40 bis 50 Jahren. Damals hatten Militär und Geheimdienste bereits ein beträchtliches Verschlüsselungs-Know-how aufgebaut, während die Öffentlichkeit in dieser Hinsicht weigehend ahnungslos war. Selbst Publikationen über die Geschichte der Kryptologie wurden zensiert, um im Volk keine schlafenden Hunde zu wecken. Erst in den siebziger Jahren entwickelte sich die Kryptologie zu einer öffentlich betriebenen Wissenschaft.

1 / 2 / Auf einer Seite lesen

Kommentare (17)

  1. #1 Klaus Schmeh
    22. Juli 2016

    Wolfgang Wilhelm über Facebook:
    Nun ja, Geheimdienste sind ja keine Laberdienste 😛 Diese Analysen zeigen aber viel wahres: wenn sich zwei Menschen mögen, verbringen sie Zeit miteinander. Was sie dabei sagen, das ist da primär gar nicht so wichtig…

  2. #2 Timo K.
    22. Juli 2016

    Da wundert es mich nicht, dass Whatsapp mit Verschlüsselung prahlt und Metadaten unverschlüsselt lässt.
    Die Nutzer in Sicherheit wiegen und im Hintergrund sich die Hände reiben….

  3. #3 Timo K.
    22. Juli 2016

    Hier kann man seine Metadaten seines Emailaccounts analysieren lassen. Wer sich traut….
    https://immersion.media.mit.edu

  4. #4 Joe
    Brandenburg
    23. Juli 2016

    Da kann man nur zustimmen.

  5. #5 Christian Berger
    23. Juli 2016

    Eigentlich redet ja so ziemlich jeder über Verkehrsflussanalysen. Sie sind ja einer der Hauptpunkte bei der Diskussion um die Vorratsdatenspeicherung, sowie bei der Diskussion um die Sicherheit von Tor.

    • #6 Klaus Schmeh
      23. Juli 2016

      >Eigentlich redet ja so ziemlich jeder über Verkehrsflussanalysen.
      Aber über die Techniken, die eingesetzt werden und wie man sich davor schützen kann, redet niemand.

  6. #7 Joe
    Berlin
    23. Juli 2016

    Snowden

  7. #8 Joe
    Berlin
    23. Juli 2016

    Weitere Dokumente zur Verkehrs-Fluß-Analyse
    kann man die Unterlagen der HA III des MfS studieren.
    Das ist sehr Lehrreich!

    Das Rauschen kann man hier studieren:
    https://trac.cryptech.is/wiki/NoisyDiode

  8. #9 Fred
    23. Juli 2016

    Aus dem Grund wurde das Onion-Routing erfunden.

  9. #10 Dr. Webbaer
    24. Juli 2016

    Der besagte Niederländer hat einen Verdacht: Er geht davon aus, dass Geheimdienste Verkehrsfluss-Analysen ausgiebig nutzen und ein großes Know-how in diesem Bereich besitzen. Sie vermeiden es jedoch tunlichst, darüber zu reden.

    Dies liegt auf der Hand, selbst in Unternehmen der Wirtschaft wird seit Jahren derart sozusagen geheimdienstlich vorgegangen, wenn es konveniert.

    Auf die Dienste bezogen:
    Security by Obscurity sozusagen.

    Zudem gibt es ja noch die sogenannten Selektoren, die zusammen mit der Verkehrsfluss-Analyse einschlägig leisten.

    Sollten bestimmte Vorsichtsmaßnahmen von Gefährdern, die hier nicht näher beschrieben werden sollen >:->, allgemeiner Usus werden, muss man an die (Kommunikations-)Geräte ran. – Was aber womöglich längst geschehen ist.

    MFG
    Dr. Webbaer

  10. #11 Gert Brantner
    Berlin
    24. Juli 2016

    Es gibt bislang keine aureichenden Gegenmaßnahmen. Auch TOR/Onion sind nicht sicher. Meta-Daten zu verschlüsseln reicht überhaupt nicht. Dann greift man halt auf die Infrastruktur-Ebene zurück: IP oder WLAN (Hat Google Streeview ja schon gesammelt, oder andere..). Dann Einwahlknoten o. Funkzelle, dann Transport-Layer bei großen Peerings, das geht alles (siehe DE-CIX Ausleitungen) und man nutzt vergleichende Verfahren (Mustererkennung). Die dafür vorhandene Rechenpower können wir uns nur Ansatzweise anhand des ungefähr bekannten Stromverbrauchs der ungefähr bekannten Rechenzentren ausmalen.
    Daß man z.B. angeblich nicht an das Playstation-Network herankomme, ist m.A.n. demnach eine Deck-Behauptung.
    Soweit ich weiß gibt es bislang nur einen Ansatz zur Implementierung eines nicht nachverfolgbaren Nachrichtensystems. Dessen Angelpunkt liegt darin, daß die Länge der Nachrichten immer gleich groß ist, egal wieviel Information transportiert wurde, was leider auch die Länge der Nachrichten einschränkt. Aber auch da gibt es Kritikpunkte (Muß nach der Quelle suchen, ist eine Weile her). Aber in diese Richtung müsste es wohl gehen: Gleich große Nachrichten-Längen in gleich großen Blöcken von extrem vielen Zufallsdaten verstecken, von denen jeder Teilnehmer in einem P2P-Netzwer jederzeit gleichviel empfängt und weitersendet. Über UDP, aber wie TCP-IP gedacht (getunnelt). Wahnsinnig ineffizient, aber auch für die Schnüffler. Der Knackpunkt wäre, ID’s sicher zu übertagen, um dem Nutzer die Entschlüsselung des gesamten Traffics zu ersparen.. außerdem wäre ein sehr gute, symmetrische Anbindung (Mangelware) nötig, um massive Verzögerungen in der Nachrichtenübermittlung zu vermeiden. Eine solche Anbindung zu besitzen und auch in der Art zu nutzen wäre bereits verdächtig.
    Ich bin mir sicher, daß bereits weitaus schlauere Köpfe als der meinige drüber zerbrochen wurden.

  11. #12 Markus Hagl
    26. Juli 2016

    Die Inhalte der Präsentation der EFF aus dem Tweet stammen von Kurt Opdahl und sind hier zu finden:
    https://www.eff.org/deeplinks/2013/06/why-metadata-matters

  12. #13 Lasch
    WWE
    27. Juli 2016

    Zur britischen TA im zweiten Weltkrieg gibt es bei Gordon Welchmans ‘The Hut Six Story’ aber einiges. Wenn ich mich richtig erinnere, hatte Welchman die TA von Enigma-Netzen damals eingeführt.
    Die ersten deutschen Enigma – Schlüssel hatten in Bletchley Park Farbnamen (red, green, blue usw.) Das kam aus der TA, weil in den Listen mit empfangenen Funksprüchen mit Farben die zu einem Schlüsselkreis gehörenden markiert wurden.

  13. #14 Aginor
    27. Juli 2016

    Es ist ein gigantisches Feld. Metadaten sind sehr wertvoll (wertvoller als der Gesprächsinhalt in vielen Fällen) und tatsächlich auch noch kleiner, und leichter maschinenerfassbar/speicherbar als die Inhalte selbst.

    Ich finde schon dass darüber gesprochen wird, aber es kann natürlich sein dass meine “Filterblase” mit da ein falsches Gefühl verschafft. Für mich ist es common knowledge.

    Beispiel WhatsApp: Mit der neuen Verschlüsselung weiss WhatsApp vielleicht wirklich nicht was ich schreiben würde (hätte ich WhatsApp installiert), aber:
    – mit wem, (Einzelpersonen und Gruppen, bei Gruppen deren Namen)
    – wann,
    – wie oft,
    – wie lang,
    – wie groß die Nachrichten waren (Bilder sind zB viel größer als Text
    – Position (zumindest mal IMSI des Funkmasts oder IP des Anschlusses an dem mein WLAN hängt)
    – welches Betriebssystem ich habe
    – meine eigenen Telefonnummer und alle anderen die ich im Telefonbuch habe, ggf mit Namen und Bildern
    – IMEI meines Telefons
    – wann ich Nachrichten lese die ich bekomme
    – wie oft ich beim schreiben innehalte oder etwas wieder lösche wenn ich mit bestimmten Personen schreibe (Rückschluss auf Verhältnis zu der jeweiligen Person)
    – wie schnell ich schreibe (Rückschluss auf meine Erfahrung im Umgang mit Smartphones)

    – evtl. Browserverlauf, welche Apps ich noch installiert habe (aus dem Speicher auslesbar, Verzeichnisgrößen erlauben auch noch Rückschlüsse ob ich oft photographiere oder filme mit dem Smartphone etc.), unter Umständen auch Statistiken über SMS, Email usw. Prozessorauslastung kann einem auch viel über Aktivität verraten, und die WhatsApp-App könnte und dürfte sie sammeln.

    Wenn man das alles verschneidet dann sind das SEHR “leckere” Daten. Korrelierbar mit realweltlichen Ereignissen sind sie noch spannender, simples Beispiel: Immer eine Minute nach einem Tor im Fußball, aber nur wenn Schalke spielt. Wohl ein Fan.

    Die Möglichkeiten sind endlos.
    Und das war jetzt nur Whatsapp.

    Gruß
    Aginor

  14. #15 Berta Bäcker
    Remscheid
    9. September 2016

    Der Grund für das “Totschweigen” ist der, dass ein kriminelles Netzwerk, das in Deutschland seit Jahren umfangreich aktiv ist (Schwerpunkt: Menschenhandel, Internetpropaganda zwecks grossflächiger Meinungslenkung, sowie Beeinflussung der Politiker/ Gesetzgebung), gezielt dafür sorgt, dass Ermittlungsbehörden und Geheimdienste immer mehr den Faden verlieren.

    Die Mitglieder dieses Netzwerkes sind längst spionagetechnisch rundum ausgerüstet (heute alles in kleinen autonomen Drohnen – und nonstop mobil) ^^ und den Regierungen Schritte voraus.
    Die Regierungen werden obendrein durch “Spezialfirmen” (Hilfe gegen Cyberkriminalität/ Systemverwaltung) betrogen.
    Die Geheimdienste hängen ebenso hintenan. Denn das ist ja die Gegenrechnung dafür, dass das Netzwerk bis heute nicht geschnappt wurde.

    Übrigens: Dasselbe Prinzip wenden sie (unter anderem) auch in Sachen Geschichte an. Daher arbeitet das Netzwerk auch darauf hin, Bücher zu digitalisieren.

  15. #16 Franz
    Mond
    9. September 2016

    @Berta Bäcker: Was meine Sie mit “das Netzwerk”? Gibt weitere Infos dazu?