Iran: Pläne für "beispiellose" Überwachungsarchitektur
Die iranische Telekommunikationsbehörde will auf zahlreiche Daten von Mobilfunknutzerinnen und -nutzern zugreifen können. Dafür hat sie Mobilfunkanbieter verpflichtet, ihr direkten Zugang zu den internen Systemen zu gewähren. Auch die Mobilfunknetze will sie so kontrollieren und einschränken, wie aus einer neuen Untersuchung von Sicherheitsforschern des Citizen Labs an der Universität Toronto hervorgeht. Interne Dokumente zeigen demnach die Pläne für ein umfangreiches Überwachungssystem.
Eine vertrauliche Quelle hatte dem Online-Magazin The Intercept im vergangenen Jahr interne Dokumente aus den Jahren 2019 bis 2021 zugespielt, die teils von der Telekommunikationsbehörde CRA und dem Mobilfunkanbieter Ariantel stammen. Die Redaktion hatte die Unterlagen den Sicherheitsforschern im Oktober für eine Analyse zur Verfügung gestellt.
In ihrem Bericht stellen die Sicherheitsforscher nun fest, das beschriebene System würde den Behörden die Möglichkeit geben, die mobile Kommunikation von Iranerinnen und Iranern zu überwachen und zu unterbinden. Es könnte auch eingesetzt werden, um Teilnehmende an den regimekritischen Protesten zu identifizieren, die seit September 2022 in dem Land stattfinden.
Abruf persönlicher Daten
Die untersuchten Dokumente legten nahe, dass zumindest der Mobilfunkanbieter Ariantel ein solches Überwachungssystem in seine Systeme integriert habe. Der Status bei anderen Anbietern bleibe indes unklar. Um dies zu beurteilen, seien weitere Untersuchungen notwendig. Allerdings würden die Dokumente ein Licht auf das Ziel des Irans werfen, eine “beispiellose Überwachungsarchitektur” aufzubauen. Die sich daraus ergebenden Überwachungs- und Zensurmöglichkeiten dürften nicht unterschätzt werden.
Laut dem Bericht gibt es im Iran sieben Mobilfunknetze sowie weitere Anbieter, die ihre eigenen Dienste unter Verwendung dieser Netze anbieten. Die Pläne sehen den Zugriff auf die Abrechnungssysteme der Anbieter sowie die Steuerung ihrer Dienste vor. Mit den beschriebenen Systemen könnte die Behörde sehen, wer mit wem kommuniziert, wie lange, wie oft und wo. Möglich sei auch, die Telefonnummern von allen Geräten abzufragen, die gerade mit einer bestimmten Funkzelle verbunden sind – so ließe sich etwa feststellen, wer an einer Demonstration teilnimmt.
Vorgesehen ist auch der direkte Zugriff auf umfangreiche persönliche Daten: Darunter Name und Adresse, die Passnummer, Nationalität und Geschlecht. Auch detaillierte Verbindungsdaten könnten abgerufen werden, um festzustellen, welche Nummern angerufen wurden oder an welche Telefonnummern SMS versendet wurden. Während einer mobilen Internetverbindung besuchte Internetseiten könnten ebenso ausgelesen werden.
Internetsperren
Neben den Überwachungsmöglichkeiten wird in den Dokumenten auch die Möglichkeit beschrieben, künftig Mobilfunkdienste zu sperren oder alle Telefonverbindungen zu blockieren. Auch könnte die Telekommunikationsbehörde Rufumleitungen festlegen.
Die Behörden wollen mobile Internetverbindungen für einen festgelegten Zeitraum komplett abschalten können. Daten- und Sprachverbindungen sollen sich auch gezielt für einzelne Mobilfunkkunden blockieren lassen – auch laufende Gespräche sollen unterbrochen werden können. Zudem sollen sich schnellere Verbindungen über 3G- und 4G-Netze gezielt für einzelne Nutzer abschalten lassen, sodass sich Mobiltelefone nur noch über das ältere und langsamere 2G-Netz verbinden können – die dort zur Verfügung stehende Geschwindigkeit ist für moderne Online-Dienste wie etwa soziale Netzwerke kaum ausreichend. Beschrieben werde auch die Möglichkeit, die Geschwindigkeit einzelner Nutzer nur für bestimmte Dienste zu drosseln, etwa Messenger. Jeder Providerwechsel oder Antrag auf eine neue SIM-Karte soll von der Behörde bestätigt werden.
Protestwelle im Iran
Im Iran kommt es seit September zu landesweiten Protesten. Auslöser war der Tod der 22-jährigen Mahsa Amini. Sie starb im Polizeigewahrsam, nachdem sie wegen angeblichen Verstoßes gegen die islamischen Kleidungsvorschriften verhaftet worden war. Wiederholt wurde dabei auch das mobile Internet blockiert.
UN-Menschenrechtsexperten kritisieren, Internetsperren hätten “dramatische Auswirkungen” auf die Menschenrechte. Staaten setzen dieses Mittel häufig während erhöhter politischer Spannungen ein – um etwa Proteste zu verhindern. Denn zum einen wird die Möglichkeit eingeschränkt, große Gruppen schnell zu mobilisieren. Zum anderen wird auch die Sichtbarkeit der Proteste verringert.
Bereits während einer großen Protestwelle im Jahr 2019 hatte der Iran eine Woche lang landesweit das Internet blockiert.
Das Citizen Lab erklärte, ein staatliches System zur direkten Steuerung der Mobilfunknetze sei äußerst selten. Wenn es vollständig umgesetzt sei, könnten die staatlichen Behörden etwa die Kommunikation aller Iraner umleiten. Weil all dies ohne richterliche Anordnung geschehe, weiche es von internationalen Standards ab.
Gegenüber The Intercept sagte Gary Miller vom Citizen Lab, die Möglichkeiten der CRA gingen weit über herkömmliche Überwachungstechniken in nicht-repressiven Ländern hinaus. Bei den in den Dokumenten beschriebenen Systemen handle es sich um ein Repressionssystem, das die Möglichkeiten für Dissens und Protest einschränke.
Erst Anfang September 2022 hatte es auch Berichte gegeben, wonach der Iran den Kopftuchzwang im Land mittels Gesichtserkennung durchsetzen will. Zuletzt hatten Medien bereits berichtet, Frauen die ohne Kopftuch Auto fahren, würden über ihr Kennzeichen ermittelt und bekämen anschließend eine Strafe per SMS zugesendet.
Das Citizen Lab kritisiert außerdem, dass eine britische, eine kanadische sowie eine russische Firma offenbar mit dem Iran über die Bereitstellung der Systeme verhandelt haben. Zwar gebe es keine Beweise für erfolgte Vertragsabschlüsse, die Verhandlungen seien jedoch “weit fortgeschritten” gewesen. Aus den in den Dokumenten enthaltenen E-Mails sei außerdem klar hervorgegangen, dass es um Technik zu Überwachungszwecken ging. Die Sicherheitsforscher erinnern daran, dass Unternehmen durch die UN-Leitprinzipien für Wirtschaft und Menschenrechte verpflichtet sind, negative Auswirkungen durch ihre Produkte auf die Menschenrechte zu verhindern oder abzumildern. Gegenüber dem Citizen Lab haben die britischen und kanadischen Firmen bestritten, in die Geschäfte involviert zu sein – das russische Unternehmen hat auf eine Anfrage der Sicherheitsforscher nicht reagiert. (js)