Netzabschlusspunkt

Genau wie der Name es schon vermuten lässt, ist der Netzabschluss der Punkt, an dem ein öffentliches Netz endet und private Leitungen beginnen.

Wen interessiert das? Hm. Niemanden wahrscheinlich. Aber es ist ein wichtiger Aspekt beim Thema Routerzwang, bei dem es ab August 2016 einige gesetzliche Änderungen gibt.

Wenn ihr mal kurz in euch zu eurer Telefon- oder Kabeldose geht: ist daran ein Gerät angeschlossen, das ihr von eurem Internetanbieter bekommen habt?
Nach der momentanen Praxis ist das in den meisten Fällen so. Unproblematisch, oder? Naja, das kommt drauf an. Evtl. ist es nämlich ein unsicheres oder einfach schlechtes Gerät, das ihr gern durch ein besseres/sichereres austauschen würdet – aber nicht könnt, weil ihr keine Zugangsdaten von eurem Anbieter bekommen habt.

Genau dieses Problem behandelt das „Gesetz zur Auswahl und zum Anschluss von Telekommunikationsendgeräten“. Es legt fest, dass der Netzabschluss die Dose ist und nicht mehr ein Gerät, welches vom Internetanbieter vorgeschrieben wird. Somit sind Internetanbieter ab August 2016 dazu verpflichtet, euch alle Zugangsdaten unaufgefordert mitzuteilen. Die EasyBox kann dann endlich auf den Müll. \o/

Bei solch „wirtschaftsfeindlichen“ und „kundenfreundlichen“ Gesetzen gibt es natürlich immer Kritik vonseiten derer, denen Mehraufwand entsteht. Bei DSL-Anbietern hält sich dieser Mehraufwand in Grenzen: sie müssen lediglich die eh schon vorliegenden Zugangsdaten ihren Bestandskunden automatisiert auf die nächste Rechnung schreiben oder für Neukunden zukünftig in den Vertragsunterlagen erscheinen lassen. Viele DSL-Anbieter machen das eh schon so. Wenn nun noch alle Tarife auch ohne Hardware bestellt werden können, sinken sogar die Kosten bei den Anbietern.
Hardware-mäßig wird es auch keine Probleme geben. (A|S|V)DSL(2+) ist soweit durchstandardisiert, dass es mit „Fremdhardware“ keinerlei Probleme geben wird, sofern alle Spezifikationen eingehalten werden. Nur Kundensupport wird man für unbekannte Modelle nicht mehr bieten können – doch wer bewusst ohne Hardware bucht und einen eigenen Router verwendet, wird höchstwahrscheinlich keinen Hardware-Support benötigen.

Alles supi, könnte man sagen. Oder?

Neben DSL ist eine sich immer weiter verbreitende Anschlussart der FTTH-Anschl…

😂 AHAHAHAHA! Sorry, hab kurz ein bisschen geträumt. Ich fang nochmal an…

Neben DSL ist eine sich immer weiter verbreitende Anschlussart der Internetanschluss über's Fernsehkabel (oder: DOCSIS). Großflächig angeboten von Kabel Deutschland als Tochter von Vodafone und Unitymedia als Tochter von Liberty Global, waren diese beiden Anbieter auch jene, die zum „Routerzwang-Gesetz“ die meisten Bedenken äußerten.

Für die Kabelnetzbereiber wird es nämlich etwas mehr Aufwand. Doch am Ende surfen alle etwas sicherer.

Um zu verstehen warum das so ist, muss man sich zunächst die Unterschiede zwischen DSL und DOCSIS klar machen.

Die letzte Meile bei DSL-Anschlüssen gehört in Deutschland so gut wie immer der Telekom. Andere DSL-Anbieter mieten diese letzte Meile, um ihren DSL-Anschluss zum Kunden zu bringen. Die letzte Meile beginnt an der Telefondose und endet bei (A|S)DSL-Anschlüssen in der nächsten Vermittlungsstelle. Das ist pro Ort oder Ortsteil ein Gebäude, in dem alle Telefonanschlüsse zusammenlaufen. Auch dieses Gebäude gehört der Telekom, die anderen Anbieter mieten sich dort Stellplätze für ihre Hardware. Hier werden die DSL-Signale der einzelnen Haushalte von sogenannten DSLAMs umgewandelt, gebündelt und meist per Glasfaserkabel weitergeleitet.
Im Falle von VDSL verkürzt man die letzte Meile, indem das DSL-Singal nur bis zum nächsten Outdoor-DSLAM reichen muss, von dem es dann viel früher per Glasfaser weiter geht. Die kürzere Kupferleitung sorgt für weniger Signaldämpfung und höhere Datenraten.

Kurzgesagt: bei DSL gibt es irgendwo im Netz einen Punkt, ab dem die Datenpakete auf die einzelnen Anschlüsse verteilt werden. Beim Kunden kommt also nur sein eigener Internet-Traffic an.
Das ist bei DOCSIS anders.

DOCSIS funktioniert als Shared Medium, was im Endeffekt heißt, dass sich mehrere Kunden eine letzte Meile teilen. Warum? Ganz einfach: es gibt keine einzelne Leitung für jeden Kunden. Das sieht man auch gut an diesem Bild: Netzaufbau Kabelnetz

Startend an der Kabeldose, geht es zunächst zu einem rückkanalfähigen Hausverstärker (nicht im Bild). Dieser wird, soweit nicht eh schon vorhanden, meist kostenlos vom Kabel-Anbieter eingebaut und befindet sich im Keller (oder wo auch immer der Kabelanschluss ins Haus kommt).
Hinterm Verstärker geht es nun über den Übergabepunkt (auch im Keller oder außen am Haus) zu einem Abzweiger in der Straße. Das Signal läuft dann ggf. noch über Verstärker und/oder Hubs und endet im Internet/Phone-PoP. Dort befindet sich das CMTS, das im Grunde ähnliche Dinge tut wie der DSLAM bei DSL-Anschlüssen: es übersetzt die DOCSIS-Signale, sodass es von dort per Glasfaser weiter gehen kann.

Das Problem hier: das Kabelnetz wurde ja irgendwann mal verlegt, um dasselbe Signal (Fernsehprogramme) an viele Haushalte zu verteilen. Die Abzweiger in der Straße funktionieren also nicht wie Filter, die die Datenpakete der Kunden aus der Leitung fischen, sondern eher wie eine Mehrfach-Steckdosenleiste: alles geht an alle.
An der Kabeldose kommen also nicht nur die Datenpakete des Kunden an, sondern alle Pakete aller Kunden, die am selben CMTS hängen. In den meisten Gebieten sind das etwa 1.000 bis 10.000 Anschlüsse.

Nochmal kurz: bei einem Kabel-Internetanschluss kommen Datenpakete tausender anderer Kunden aus der Fernsehdose. WTF?! Die Filterung findet erst im Kabelmodem statt, sodass man über die LAN-Ports oder WiFi nur auf den eigenen Traffic zugreifen kann.

Wenn also ein böser Mensch (nennen wir ihn „Eve“) auf einen fremden DSL-Anschluss zugreifen will, muss er in die Vermittlungsstelle oder den Outdoor-DSLAM der Telekom einbrechen. Solche Einrichtungen sind alarmgesichert und in den Vermittlungsstellen gibt es auch Videoüberwachung.
Wenn Eve nun auf einen fremden DOCSIS-Anschluss zugreifen will, muss sie nur ihr eigenes Kabelmodem hacken. Das ist ein Problem.

Auf dieses Problem weiß der DOCSIS-Standard aber eine Antwort: man verschlüsselt einfach den Traffic der verschiedenen Kunden und sorgt dafür, dass Modem A auch nur Traffic A entschlüsseln kann. Das ganze nennt sich DOCSIS BPI(+)/SEC.

Allerdings ist unklar, ob Kabel Deutschland oder Unitymedia diese Mechanismen überhaupt einsetzen.

Was passiert nun, wenn die Kabelnetzbetreiber per Gesetz gezwungen werden, auch fremde Router/Modems zuzulassen? Genau: entweder nutzen sie eine bestehende Spezifikation (BPI+/SEC) um den Traffic auch für potentiell hackbare Fremdgeräte abzusichern und Kabel-Internet generell sicherer zu machen, oder:

Sie kooperieren mit Herstellern, um „zertifizierte“ Router/Modems zu schaffen. Damit das Kabelnetz sicher bleibt, sind diese zertifizierten Geräte genauso eingeschränkt und locked-down wie die Geräte der Kabelnetzbetreiber.

Kabel Deutschland und Unity Media haben sich nach meinem Wissensstand für genau diese Methode entschieden. Und seit dem iPhone wissen wir, dass verschlossene Firmware absolut unangreifbar ist.

Was lernen wir daraus: Kabel-Internet ist gerade in ländlichen Gebieten robuster und schneller als DSL, aber am Ende doch nur eine Brückentechnologie zu FTTH.

Amen.