VPN und staatliche Überwachung (Telekommunikationsüberwachung / TKÜ)

Windows

Windows

Freshly Joined Member
Hi zusammen,

ich weiss, dass dieses Thema sicherlich schon Mal angesprochen wurde, aber ich würde diese Frage gerne nochmals stellen — ggf. auch, um Ungewissheit endlich «aufzuräumen».

Primär wollte ich fragen, wie das eigentlich aussieht, wenn wir jetzt folgendes Szenario hätten:
  1. Die Strafverfolgungsbehörden wenden sich zum ISP der Zielperson und möchten, den gesamten Datenverkehr des Heimnetzes fortlaufend überwachen lassen.
  2. Die Zielperson verwendet sein Heimnetz regelmässig für den Internetzugang und dementsprechend auch, um damit ins Internet zu surfen.
  3. Die Zielperson verwendet eine VPN (sagen wir Mal: Perfect Privacy Kaskade [nachfolgend: PP]).
  4. Die Strafverfolgungsbehörden sehen den gesamten ein- und ausgehenden Datenverkehr des Heimnetzes der Zielperson.
  5. (Möglicherweise kommen die Strafverfolgungsbehörden durch den ISP an eine MAC-Adresse der Zielperson heran, und lassen explizit nur diesen Datenverkehr überwachen, welches vom Ziel-Gerät generiert wird.)
Meine Frage wäre nun:

WAS genau sehen die Strafverfolgungsbehörden bei der fortlaufenden Überwachung des Heimnetzes beziehungsweise bei den Logs / Protokollen vom Heimnetz der Zielperson?

Ich gehe Mal folglich davon aus, dass die Behörden eigentlich nur das sehen werden, was selbst der ISP sieht; in dem Fall eigentlich nur, dass der Client über sein Heimnetz eine Verbindung zu einem PP-Server hergestellt hat und die ganze Zeit auch nur mit diesem Server «kommuniziert».

Das bedeutet wiederum, dass der gesamte Datenverkehr verschlüsselt durch den PP-Server getunnelt wird und auch dort quasi «landen» wird aber natürlich mit dem Hintergrund, dass auf einem PP-Server nichts gelogged / gesaved wird.

Schlussfolgerung:

Somit kann nicht wirklich eruiert werden, was die Zielperson im Internet treibt.

Verstehe ich das so richtig?

An der Stelle bitte ich einfach Mal um eine Bestätigung oder Korrektur.


Besten Dank im Voraus

Freundliche Grüsse
 
Sort by date Sort by votes
Windows said:
WAS genau sehen die Strafverfolgungsbehörden bei der fortlaufenden Überwachung des Heimnetzes beziehungsweise bei den Logs / Protokollen vom Heimnetz der Zielperson?
Click to expand...

Abgesehen davon, dass sie nicht ohne Weiteres dein Heimnetz überwachen können (jedenfalls nicht so einfach), sehen sie nur verschlüsselten Datenverkehr.


Um dein Heimnetz zu überwachen, bräuchten sie entweder physischen Zugriff auf dein Heimnetz oder müssten dir einen Trojaner unterjubeln, den du zuvor unvorsichtigerweise heruntergeladen hast.


Hacken oder Sicherheitslücken auszunutzen, wird eher weniger passieren, da im Normalfall alle wesentlichen Ports bei einem Home-Router geschlossen sind, was es daher zu aufwändig macht. Es sei denn die Staatssicherheit ist Bedroht, dann würden sie auch das versuchen, aber dann wird auch wirklich alles versucht was in deren Macht steht und technisch möglich ist.

Ich hoffe ich konnte deine Fragen zufriedenstellend Beantworten. :)
 
Last edited:
Upvote 0 Downvote
Polygon said:
Abgesehen davon, dass sie nicht ohne Weiteres dein Heimnetz überwachen können (jedenfalls nicht so einfach), sehen sie nur verschlüsselten Datenverkehr.
Click to expand...
Besten Dank für die Rückmeldung.

In dem Fall wären also sowohl Ausgangslage als auch Schlussfolgerung korrekt — d.h. also, dass nicht festgestellt werden kann, was man im Internet getrieben hat?

Polygon said:
Um dein Heimnetz zu überwachen, bräuchten sie entweder physischen Zugriff auf dein Heimnetz oder müssten dir einen Trojaner unterjubeln, den du zuvor unvorsichtigerweise heruntergeladen hast.
Click to expand...

Ja hin- und her, unter Heimnetz meinte ich einfach das «Internet aus der Steckdose».

Das lief wie folgt ab:
  1. Strafverfolger fanden die (echte) IP Adresse der zu überwachenden Zielperson aus irgendeiner Quelle.
  2. Die IP Adresse führt zu einem z.B. Telekom oder Vodafone Internetanschluss.
  3. Der ISP gibt den Strafverfolgern sogar eine MAC Adresse, um genau dieses Gerät überwachen zu lassen. Mal angenommen, die MAC Adresse sollte zum "Haupt Computer" führen, welches am aktivsten von der Zielperson verwendet wird.
Und der Rest ergibt sich einfach durch die fortlaufende Überwachung; nämlich nur, dass ein Datenverkehr generiert wird, den man ausnahmslos nicht auslesen kann, da wir in dem Fall mit einem PP-Server kommunizieren und diesbezüglich ja alles getunnelt wird. So ist die Rede von einem verschlüsselten Datenverkehr.

Wenn ich bei meiner Annahme richtig liege, dann wäre eigentlich alles top.


Freundliche Grüsse
 
Upvote 0 Downvote
Die meisten Leute vergessen eine andere Schwachstelle, nämlich den WLAN-Zugang.

WPA2 läßt sich heute relativ leicht entschlüsseln (deshalb wurde ja WPA3 geschaffen).
Und das ist dann vergleichbar mit direktem Zugang zum Netzwerk, aber bequem aus dem Auto vorm Haus.

Wenn erst der router den VPN-Zugang aufbaut, sind bis zum router (also im WLAN) noch viele Metadaten sichtbar.
Zwar kann man HTTPS-traffic nicht entschlüsseln, aber die Zieladresse und Wlan-MACs z.B. sind dort zu sehen.

Also Vorsicht beim Rollator-Putsch...
 
Upvote 0 Downvote
theoth said:
Die meisten Leute vergessen eine andere Schwachstelle, nämlich den WLAN-Zugang.

WPA2 läßt sich heute relativ leicht entschlüsseln (deshalb wurde ja WPA3 geschaffen).
Und das ist dann vergleichbar mit direktem Zugang zum Netzwerk, aber bequem aus dem Auto vorm Haus.

Wenn erst der router den VPN-Zugang aufbaut, sind bis zum router (also im WLAN) noch viele Metadaten sichtbar.
Zwar kann man HTTPS-traffic nicht entschlüsseln, aber die Zieladresse und Wlan-MACs z.B. sind dort zu sehen.

Also Vorsicht beim Rollator-Putsch...
Click to expand...
„relativ leicht“ Du bist ja lustig. Leicht ist es, wenn du das Passwort kennst oder es so kurz und leicht zu erraten ist, dass es sich in kürzester Zeit brute forcen lässt. Nur weil es jetzt WPA3 gibt, bedeutet das nicht, dass WPA2 nicht mehr ausreichend sicher ist. Da kann das Sicherheitsprotokoll doch nichts dafür, wenn du ein schwaches Passwort nimmst
 
Upvote 0 Downvote
Windows said:
Hi zusammen,

ich weiss, dass dieses Thema sicherlich schon Mal angesprochen wurde, aber ich würde diese Frage gerne nochmals stellen — ggf. auch, um Ungewissheit endlich «aufzuräumen».

Primär wollte ich fragen, wie das eigentlich aussieht, wenn wir jetzt folgendes Szenario hätten:
  1. Die Strafverfolgungsbehörden wenden sich zum ISP der Zielperson und möchten, den gesamten Datenverkehr des Heimnetzes fortlaufend überwachen lassen.
  2. Die Zielperson verwendet sein Heimnetz regelmässig für den Internetzugang und dementsprechend auch, um damit ins Internet zu surfen.
  3. Die Zielperson verwendet eine VPN (sagen wir Mal: Perfect Privacy Kaskade [nachfolgend: PP]).
  4. Die Strafverfolgungsbehörden sehen den gesamten ein- und ausgehenden Datenverkehr des Heimnetzes der Zielperson.
  5. (Möglicherweise kommen die Strafverfolgungsbehörden durch den ISP an eine MAC-Adresse der Zielperson heran, und lassen explizit nur diesen Datenverkehr überwachen, welches vom Ziel-Gerät generiert wird.)
Meine Frage wäre nun:

WAS genau sehen die Strafverfolgungsbehörden bei der fortlaufenden Überwachung des Heimnetzes beziehungsweise bei den Logs / Protokollen vom Heimnetz der Zielperson?

Ich gehe Mal folglich davon aus, dass die Behörden eigentlich nur das sehen werden, was selbst der ISP sieht; in dem Fall eigentlich nur, dass der Client über sein Heimnetz eine Verbindung zu einem PP-Server hergestellt hat und die ganze Zeit auch nur mit diesem Server «kommuniziert».

Das bedeutet wiederum, dass der gesamte Datenverkehr verschlüsselt durch den PP-Server getunnelt wird und auch dort quasi «landen» wird aber natürlich mit dem Hintergrund, dass auf einem PP-Server nichts gelogged / gesaved wird.

Schlussfolgerung:

Somit kann nicht wirklich eruiert werden, was die Zielperson im Internet treibt.

Verstehe ich das so richtig?

An der Stelle bitte ich einfach Mal um eine Bestätigung oder Korrektur.


Besten Dank im Voraus

Freundliche Grüsse
Click to expand...
Wenn du einen VPN (Virtuelles Privates Netzwerk) nutzt, wird dein gesamter Internet-Traffic verschlüsselt, während er von deinem Gerät zum VPN-Server übertragen wird. Das bedeutet, dass niemand direkt einsehen kann, welche Webseiten du besuchst oder welche Daten du mit Anwendungen austauschst. Allerdings gibt es Szenarien, in denen Behörden Umwege nutzen können, um dennoch Informationen zu gewinnen.

  1. Überwachung eines VPN-Servers ohne Kaskadierung:
    Wenn du nur mit einem einzelnen VPN-Server verbunden bist (ohne Kaskaden-VPN, bei dem mehrere Server hintereinander geschaltet sind), könnten die Behörden versuchen, deinen Datenverkehr mitzuschneiden, um dich zu identifizieren. Dies ist jedoch nur eingeschränkt möglich. Zunächst müssten die Behörden eine richterliche Genehmigung erhalten, um den Traffic des VPN-Servers überwachen zu dürfen. In Deutschland kann dieser Prozess Tage dauern, da erst ein entsprechender Gerichtsbeschluss vorliegen muss. Bis diese Überwachung erfolgt, bist du wahrscheinlich längst nicht mehr mit dem VPN verbunden. Die Nutzung eines VPN mit Kaskadierung kann dieses Problem zusätzlich entschärfen.
  2. Überwachung von Metadaten in der Zukunft:
    Mit dem Fortschritt in Bereichen wie Künstliche Intelligenz (KI) könnte es in Zukunft möglich werden, dass Behörden verstärkt Metadaten deines Internetverkehrs überwachen. Selbst wenn der Inhalt deiner Datenpakete verschlüsselt ist, könnten Muster im Datenverkehr, wie Zugriffszeiten, Datenvolumen und andere Metadaten, analysiert werden, um Rückschlüsse auf dein Verhalten oder deine Identität zu ziehen. Solche Technologien stehen zwar noch am Anfang, könnten aber zukünftig ein größeres Risiko darstellen.
 
Upvote 0 Downvote
striker said:
„relativ leicht“ Du bist ja lustig. Leicht ist es, wenn du das Passwort kennst oder es so kurz und leicht zu erraten ist, dass es sich in kürzester Zeit brute forcen lässt. Nur weil es jetzt WPA3 gibt, bedeutet das nicht, dass WPA2 nicht mehr ausreichend sicher ist. Da kann das Sicherheitsprotokoll doch nichts dafür, wenn du ein schwaches Passwort nimmst
Click to expand...
Wenn Du meinst... Vielleicht hast Du vergessen, daß Du inzwischen für paar Euros ein Dutzend Grakas in der Amazon Cloud mieten kannst. Damit sind dann auch brute-force Attacken für lange Passworte in Stunden geknackt. Die drei Letter-Agencies haben sicher noch ganz andere Möglichkeiten. Man müßte also mindestens sein Passwort alle paar Stunden wechseln, und es muß eine Zufallszeichenkette sein. Viel Spaß...
Ich selbst benutze deshalb WPA2-Enterprise mit Radius Server und Zertifikat, aber auch dafür gibt es schon Angriffsmethoden.
 
Upvote 0 Downvote
@theoth

Das sind doch alles theoretische Labor"schwachstellen". Wie soll denn das in-the-wild (noch dazu in unserem Failed State) passieren? Angenommen eine gewisse deutsche Behörde mit mehr als drei Buchstaben, möchte mal wieder einen von den bösen Gedankenverbrechern überwachen. Fährt sie dann mit einem dunklen Lieferwagen vor dessen Haus und schneidet sämtlichen WLAN-Verkehr mit, um den anschließend mit Bruteforce zu entschlüsseln?
 
Upvote 0 Downvote
Naja, es gibt ein paar youtube-Kanäle, da fällt Dir die Kinnlade runter, wie einfach das heute geworden ist.
Seit 2017 ist eine Schwachstelle bei WPA2 bekannt, die es erlaubt nur kurz und unbemerkt was mitzuschneiden und dann in aller Ruhe an anderer Location das Passwort zu knacken. Das ist 7 Jahre her und die Rechnerleistung ist seitdem permanent gewachsen.
Wer sich schon Gedanken über VPN-Sicherheit macht, sollte das zumindest auch berücksichtigen.

Der Normalo wird wohl eher nicht das Ziel sein, wobei Passworte, die Klartext aus dem Dictionary enthalten (auch kombiniert) innerhalb weniger Minuten schon für den Heimanwender zu knacken sind. Das ambitionierte script-Kindchen wird sowas vielleicht aus Spaß versuchen.

p.s.:
zwar uralt, aber für jeden machbar:
github.com

GitHub - mareksagan/PmkidCloudCracker: WPA2 PMKID password cracking security toolset (Kali Linux, Airgeddon, Alibaba Cloud ECS, Hashcat)

WPA2 PMKID password cracking security toolset (Kali Linux, Airgeddon, Alibaba Cloud ECS, Hashcat) - mareksagan/PmkidCloudCracker
github.com github.com
 
Last edited:
Upvote 0 Downvote
You must log in or register to reply here.
Back
Top