Projekt Goldener Schild

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Große Firewall)
Zur Navigation springen Zur Suche springen

Das Projekt Goldener Schild (chinesisch 金盾工程, Pinyin jīndùn gōngchéng, englisch Golden Shield Project), manchmal auch als die Große Firewall von China in Anlehnung an die chinesische Mauer (englisch Great Wall of China) bezeichnet, ist ein Projekt des chinesischen Ministeriums für Staatssicherheit zur Überwachung und Zensur des Internetverkehrs in China. Die Entwicklung wurde im Jahr 1998 gestartet und das Projekt 2003 landesweit in Betrieb genommen. Dem Ministerium für Staatssicherheit zufolge stellt das Projekt ein Kommunikations- und Informationsnetzwerk dar, welches das Potenzial und die Effizienz der Exekutive steigern soll.

1998 wurde die Demokratische Partei Chinas (CDP) als eine der ersten oppositionellen Parteien gegründet, die sich unter anderem auf die Möglichkeiten und die Nutzung technischer Kommunikationsmittel wie Internet, E-Mail und Pager-Systeme konzentrierte, mit denen eine große Anzahl Menschen und somit Wählermassen, erreicht werden können. Die Kommunistische Partei Chinas befürchtete eine digitale Revolution, hervorgerufen durch die Demokratische Partei Chinas, durch die Entstehung eines neuen und mächtigen Netzwerkes, welches die bestehenden machthabenden Parteien nicht kontrollieren könnten.

Die CDP wurde umgehend verboten, gefolgt von rigorosen Verhaftungen. Im selben Jahr wurde das Golden Shield Project ins Leben gerufen. Die erste Phase des Projektes wurde acht Jahre später, im Jahre 2006 abgeschlossen, gefolgt von Phase 2. China Central Television (CCTV) zufolge beliefen sich die Vorlaufkosten des Projektes bis 2002 auf 800 Millionen US-Dollar, umgerechnet ca. 505 Millionen Euro.

Am 6. Dezember 2002 begaben sich 300 Mitarbeiter des Projektes aus 31 Provinzen und Städten Chinas auf eine viertägige „Einkaufstour“, auf der viele „westliche“ Hightech-Produkte aus beispielsweise den Bereichen Internet-Sicherheit, Videoüberwachungstechnologie und Biometrie gekauft wurden. Es wird geschätzt, dass zu diesem Zeitpunkt rund 30.000 Organe der Exekutive an diesem gigantischen Projekt beschäftigt waren.

Das Projekt befasst sich unter anderem mit dem Sperren unerwünschter Inhalte und Informationen. Dies wird durch das Verhindern des Routings bestimmter IP-Adressen erreicht – eine Funktion, die durch Standard-Firewalls und Proxy-Server zur Verfügung gestellt wird. Weiter wendet das System selektives DNS-Poisoning an, wenn versucht wird, unerwünschte IP-Adressen zu erreichen. Die Regierung scheint die im Internet zur Verfügung gestellten Informationen nicht systematisch zu analysieren, da dies aus technischer Sicht nicht zu bewältigen wäre.

Kurz vor dem 20. Jahrestag des Tian’anmen-Massakers wurde die Internetzensur in der Volksrepublik China massiv ausgeweitet. Von den Sperrungen waren unter anderem Twitter, Flickr, YouTube und zahlreiche Blogs betroffen.[1]

An der ersten Weltkonferenz des Internet im November 2014 in Wuzhen, China, wirbt die chinesische Regierung für eine weltweite Internet-Aufsicht. China müsse im Cyberspace seine eigenen Regeln setzen, so Ministerpräsident Li Keqiang. Chinas Regierung will die Verwaltung des Internets gemäß seinen Gesetzen verstärken.[2] Die Internetzensur hinter der „Great Firewall“ hat seit der Machtübernahme des Parteichefs Xi Jinping im März 2013 ständig zugenommen. Selbst Tunneldienste (VPN), mit denen Nutzer die Blockaden umgehen können, sind massiv gestört; sie werden teilweise in Echtzeit geblockt.[3]

Seit Anfang 2017 benötigen alle VPN-Anbieter eine staatliche Erlaubnis. Apple wurde dazu aufgefordert, VPN-Apps in China, die nicht den neuen Regularien entsprechen, zu entfernen. Ab Februar 2018 soll Privatpersonen der Zugang zu VPN-Diensten untersagt sein.[4]

Im September 2002 wurde das Projekt von Li Runsen, dem technischen Direktor und Mitglied des Aufsichtsrates, tausenden Mitgliedern der Exekutive bei einer Informationsveranstaltung in Beijing mit dem Namen „Informationstechnologie für Chinas Nationale Sicherheit“ vorgestellt.

Im Oktober 2001 veröffentlichte Greg Walton vom Internationalen Zentrum für Menschenrechte und Demokratische Entwicklung folgenden Bericht:[5]

“Old style censorship is being replaced with a massive, ubiquitous architecture of surveillance: the Golden Shield. Ultimately, the aim is to integrate a gigantic online database with an all-encompassing surveillance network – incorporating speech and face recognition, closed-circuit television, smart cards, credit records, and Internet surveillance technologies.”

„Die Zensur im alten Stil wurde durch eine massive, allgegenwärtige Überwachungsmaschinerie ersetzt: den goldenen Schild. Zweifellos ist das Ziel des Projektes, eine gigantische Online-Datenbank aus Daten wie Sprach- und Gesichtserkennung, Videoüberwachung, Smart Cards, Geldtransaktionen und Internet-Überwachungstechnologien zum Zwecke eines allumfassenden Überwachungsnetzwerkes zu erschaffen.“

Greg Walton

Die chinesische Regierung sieht den Goldenen Schild als das wichtigste Projekt zur Sicherstellung und Erhaltung politischer Macht. Im Juli 2007 intensivierten die Behörden die Nutzung der Überwachungs- und Kontrollmöglichkeiten der „großen Firewall“ und unterbrachen den E-Mail-Verkehr anlässlich des Shanghai Cooperation Organization Meetings im August 2007.

Technische Informationen

[Bearbeiten | Quelltext bearbeiten]

Einige weitverbreitete Methoden zur Zensur von Inhalten sind:

Blockieren von IP-Adressen
Der Zugang zu einer bestimmten IP-Adresse oder gar vollständigen Subnetzen wird verhindert. Wenn die Zielinformation, beispielsweise eine Website, zusammen mit anderen Websites auf demselben System liegt (Shared Hosting), werden alle Seiten auf diesem System blockiert. Dies betrifft alle TCP- und UDP-Protokolle wie beispielsweise HTTP, FTP, SMTP oder auch POP. Eine typische Methode zur Unterwanderung dieser Blockade ist die Nutzung eines Proxy-Servers, der Zugriff auf das nicht zu erreichende System hat. Proxys können jedoch ebenso blockiert oder manipuliert werden, Websites wie beispielsweise Wikipedia blockieren Proxys teilweise, um sich vor Vandalismus zu schützen. Einige große Content-Anbieter wie Google begannen, zusätzliche IP-Adressräume zu nutzen, um diese Maßnahmen zu umgehen. Jedoch wurden diese Adressräume später ebenfalls in die Blockade miteinbezogen.
DNS-Filter und -Umleitung
Anfragen bezüglich eines unerwünschten Domain-Namens im DNS werden abgelehnt oder mit einer inkorrekten IP-Adresse beantwortet. Dies betrifft alle TCP- und UDP-Protokolle wie beispielsweise HTTP, FTP, SMTP oder auch POP. Eine typische Methode zur Unterwanderung ist die Nutzung eines DNS-Servers, der die Anfragen richtig beantwortet. Diese werden im Normalfall jedoch selbst durch eine oder mehrere der hier angeführten Methoden, meist IP blocking, gesperrt. Eine weitere Möglichkeit, um diese Technik zu umgehen, ist, die Nutzung von DNS zu umgehen, wenn die IP-Adresse zum gefragten Namen auch über andere Wege bezogen werden kann. Beispiele hierfür sind das Verändern der lokalen Hosts-Datei oder die Nutzung von IP-Adressen anstelle von Namen im Web Browser. Websites, die über virtuelle Hosts am Server identifiziert werden, können über letztere Methode nicht zielgerichtet erreicht werden.
URL-Filter
Die angeforderte URL wird auf das Vorhandensein von Stichwörtern untersucht, unabhängig von der verwendeten Domain. Dies betrifft HTTP. Eine typische Möglichkeit zur Unterwanderung stellt das Kodieren (Escapen) von Buchstaben der URL dar, die Nutzung verschlüsselter Protokolle wie TLS oder die Anforderung über einen VPN-Tunnel.
Paketfilter
TCP-Verbindungen werden terminiert, wenn sich in einem TCP-Paket eine gewisse Anzahl an kontroversen Stichwörtern befindet. Dies betrifft alle TCP-Protokolle, die den Datenteil unverschlüsselt übertragen, wie beispielsweise HTTP, FTP und POP. Hauptsächlich werden die Paketfilter verwendet, um Anfragen an Suchmaschinen zu prüfen und gegebenenfalls zu kontrollieren. Typische Methoden zur Unterwanderung sind auch hier die Nutzung verschlüsselter Übertragungsverfahren wie VPN und SSL, das Kodieren (Escapen) von HTML-Inhalten oder die Reduzierung der verwendeten Paketgröße des TCP/IP-Stacks, wodurch sich eventuell zensierte Wörter auf möglichst viele voneinander unabhängige Pakete verteilen.
Connection Reset
Wenn eine vorhergehende TCP-Verbindung durch einen Filter terminiert wurde, werden weitere Verbindungsversuche zwischen den beiden Hosts für die nächsten 30 Minuten unterbunden. Es kann dabei natürlich auch zu „Kollateralblocking“ kommen, da auch Websites, die nicht unter die Zensur fallen, jedoch auf demselben Host zur Verfügung gestellt werden, durch dieses Vorgehen nicht mehr erreichbar sind. Dasselbe gilt für NAT-Router, da eventuelle Sperren, die durch einzelne NAT-Benutzer hinter dem Router verursacht wurden, auf den Router selbst und somit das ganze von ihm versorgte Netz auswirken. Um Connection Resets zu umgehen, müssen beide Hosts das TCP-RESET-Paket ignorieren, welches unter Anwendung von spoofing von der Firewall versandt wird.[6]

Erforschung der Funktionsweise

[Bearbeiten | Quelltext bearbeiten]

Auf dem 32. Chaos Communication Congress (32C3) des Chaos Computer Clubs wurde 2015 das Thema der chinesischen Firewall und deren Erforschung aufgegriffen.[7][8] Das Forscherteam und der Informatiker Philipp Winter zeigten auf, wie die Firewall aufgebaut ist und wie sie es schafft, auch Unterwanderungsversuche zu blockieren.

Sobald die Firewall per Deep Packet Inspection feststellt, dass eine Verbindung verdächtig wirkt, versucht sich diese selbst mit dem ausländischen Server zu verbinden. Sollte der Server im Ausland zum Beispiel ein Tor-Server sein, so wird die Verbindung sofort getrennt und das Ziel blockiert. Aber auch SSH- oder VPN-Verbindungen können so erkannt und gefiltert werden. Eine Lösung dieses, von dem Team als „Active Probing“ bezeichneten Vorgangs, erscheint komplex, vor allem in Anbetracht der Leistungen der Firewall. So fiel den Forschern bei der Durchsicht der Tor-Protokolle auf, dass die Firewall weit über 16.000 IP-Adressen zu besitzen scheint. Dies lässt auf eine entsprechende Größe der Firewall-Server schließen.

Zensierte Inhalte

[Bearbeiten | Quelltext bearbeiten]

Forschungen über die Internetzensur in der Volksrepublik China haben gezeigt, dass sich die Zensur von Websites unter anderem auf folgende Inhalte bezieht:

  • Websites geächteter oder unterdrückter Gruppen, wie Falun Gong und demokratischer Aktivisten.
  • Nachrichtenquellen, die sich mit Tabuthemen wie Polizeibrutalität, Redefreiheit, Demokratie und Marxismus auseinandersetzen. Zu den gesperrten Nachrichtenseiten oder Fernsehsendern zählen unter anderem Voice of America, BBC World News, die chinesischen Seiten von BBC News und Yahoo! Hong Kong, New York Times, The Economist, SPIEGEL
  • Seiten, die in Verbindung zu Taiwan, dessen Regierung, Medien oder anderen Organisationen stehen.
  • Seiten, die religiöse Inhalte anbieten.
  • Websites mit obszönen, pornografischen und kriminellen Inhalten.
  • Seiten, die in Verbindung mit dem 14. Dalai Lama Tendzin Gyatsho stehen und seine Lehren verbreiten, sowie Seiten in Verbindung zur International Tibet Independence Movement.
  • Websites, die von der Regierung als „subversiv“ eingestuft wurden.
  • Blogging-Portale wie blogger.com, wordpress.com sind immer wieder für längere Zeitspannen nicht erreichbar.
  • Soziale Netzwerke wie Facebook, Twitter und YouTube.
  • Einige Seiten, die Kommunikation mittels E-Mail anbieten, u. a. Google Mail.

Zensierte Websites werden in chinesischen Suchmaschinen wie Baidu mit sehr schlechter Wertung indiziert und somit weit hinten in den Suchergebnissen aufgeführt.

  • Webhoster können Websites in China hosten und somit regional anbieten. Dies verhindert, dass die Inhalte die Great Firewall of China passieren müssen; dies erfordert jedoch, dass die Betreiber im Besitz einer staatlichen „ICP“-Lizenz sind.
  • VPN-Verbindungen unterbinden die vom Golden Shield Project verwendeten Methoden, da die Filter nicht in der Lage sind, verschlüsselten Datenverkehr zu überprüfen – jedoch wird die Geschwindigkeit verschlüsselter Verbindungen mittels QoS durch die Firewalls stark limitiert oder unterbrochen.
  • Verwenden eines anonymitätsfördernden Netzwerkes wie Tor. Wobei die Firewall aufgrund neuer Technik inzwischen in der Lage ist, viele Tor-Verbindungen zu erkennen und zu blockieren.
  • Der Bezug von Informationen in für Filter ungeeignetem Format, beispielsweise als Bilddatei.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Michael Metzger: Web 0.0 in China, Zeit online, 3. Juni 2009.
  2. Markus Ackeret, Peking: Die neue chinesische Mauer. In: nzz.ch. Neue Zürcher Zeitung, 12. November 2014, abgerufen am 23. August 2017.
  3. dpa-Newskanal: China zieht Mauer der Internet-Zensur weiter hoch. In: sueddeutsche.de. Süddeutsche Zeitung, 26. Januar 2015, abgerufen am 9. September 2020.
  4. Eike Kühl: Apple ist keine Menschenrechtsorganisation. In: zeit.de. ZEIT ONLINE, 31. Juli 2017, abgerufen am 23. August 2017.
  5. Rights & Democracy: China's Golden Shield (Memento vom 19. Juli 2011 im Internet Archive). October 2001.
  6. zdnetasia.com
  7. Heise Online: 32C3: Wie Chinas Große Firewall Tor-Verbindungen sabotiert, 31. Dezember 2015.
  8. Video: How the Great Firewall discovers hidden circumvention servers, 28. Dezember 2015.