Irans Internetsperren im April 2026: Technische Analyse und Stand der Zensur

Im April 2026 setzt der Iran eine mehrschichtige Infrastruktur zur Internetkontrolle um, die DNS-Filterung, IP-Blacklisting und tiefe Paketanalyse kombiniert. Die technische Komplexität dieser Systeme hat sich gegenüber früheren Jahren erheblich erhöht, während die Dokumentation durch unabhängige Messungen gleichzeitig fragmentarischer geworden ist.

Die iranische Internetzensur entwickelt sich seit der Gründung der IRTC (Islamic Republic of Iran Telecommunication Company) im Jahr 2000 kontinuierlich weiter. Bedeutende Eskalationen folgten auf die Grüne Bewegung 2009, die Snowden-Enthüllungen 2013 und den Zugang zu Mobilfunknetzen. Formal legitimiert wird die Kontrolle durch das Gesetz zur "Schaffung einer gesunden, kulturreifen und nationalen Informations- und Kommunikationstechnologie-Umgebung" von 2009 sowie durch das FATA-Dekret (Fundamental Alteration of the Technological Ambiance) von 2016. Die Überwachung unterliegt nominell dem Ministerium für Kommunikation und Technologie, praktisch aber einem Zusammenspiel aus Geheimdiensten, Revolutionsgarden und privatisierten Telekommunikationsanbietern wie MTN Irancell und RighTel.

Die aktuelle technische Situation kombiniert mehrere Sperrverfahren auf verschiedenen OSI-Schichten. Auf der DNS-Ebene führt der Iran DNS-Poisoning und Null-Antworten durch staatlich kontrollierte Resolver durch. Anfragen zu als verboten eingestuften Domains erhalten falsche IP-Adressen oder gar keine Antwort. Dies ist die primäre Methode für Dienste wie Instagram, X (ehemals Twitter), VPN-Anbieter-Websites und Nachrichtenportale.

Darüber hinaus nutzt der Iran aktives IP-Blacklisting auf Border-Gateway-Ebene. Verbindungen zu bestimmten IP-Blöcken – identifiziert durch geopolitische Zuordnung, historische Nutzung für Circumvention-Tools oder bekannte Hosting-Provider im Westen – werden geroutet gelöscht. Dies geschieht nicht durch Zurückweisung, sondern durch stille Verarbeitung, was Traceroute-Analysen und ICMP-basierte Diagnosen erschwert.

Die am weitesten verbreitete und schädlichste Technik ist jedoch die Deep Packet Inspection (DPI), auch als "Shamiran"-System bekannt. Diese Geräte analysieren den kompletten Datenstrom auf Protokoll-Signaturen. Sie erkennen OpenVPN-Handshakes an statistischen Mustern, inspizieren TLS-ClientHello-Nachrichten auf SNI-Header (Server Name Indication) und filtern diese blockierte Domains. Auch QUIC-Initial-Pakete, die ähnliche Informationen tragen, werden inspiziert. Das System kann auch VPN-Payload durch Anomalienerkennung – beispielsweise konstante Datenflussmuster oder unerwartete Entropie – klassifizieren.

Publikationen von OONI (Open Observatory of Network Interference) aus dem Q1 2026 zeigen persistent hohe Blockierungsraten bei HTTP/HTTPS-basierten Diensten. Die genauen technischen Messungen sind jedoch begrenzt, da aktive Probing in Iran rechtliche und sicherheitliche Risiken mit sich bringt. Berichte von Access Now deuten darauf hin, dass Drosselungen (Throttling) besonders bei mobilen Netzen zunehmen – Verbindungen werden nicht vollständig blockiert, sondern auf Geschwindigkeiten unter 256 kbit/s beschränkt, um Inhalte praktisch unzugänglich zu machen.

Zur Circumvention stehen mehrere Technologien zur Verfügung, die unterschiedliche Bedrohungsmodelle adressieren. WireGuard bietet schnelle, einfache Verschlüsselung, wird aber durch SNI-Inspection erkannt, da die TLS-Verbindung zur WireGuard-Konfigurationsseite inspiziert wird. OpenVPN mit Obfuscation-Plugins wie obfs4 verbirgt die Protokoll-Signatur, verlangt aber mehr CPU-Ressourcen.

Fortgeschrittene Lösungen wie REALITY (ein VLESS-Transport-Plugin) oder Vision (HTTP/2-basiert) maskieren den Verkehr als normales HTTPS. ECH (Encrypted Client Hello) könnte SNI-Inspection theoretisch verhindern, wird aber noch nicht breit unterstützt. Tor mit Pluggable Transports wie Snowflake oder WebTunnel funktioniert, erfordert aber erhebliche Geduld bei DPI-Throttling. Shadowsocks und V2Ray/Xray bleiben brauchbar, unterliegen aber permanenter Adaptierung durch Zensurinfrastruktur-Updates.

Die Realität ist, dass keine einzelne Technologie dauerhaft wirkt. Alle genannten Methoden werden vom iranischen System aktiv analysiert, klassifiziert und schrittweise blockiert. Circumvention erfordert kontinuierliche technische Anpassung und Kenntnisse der aktuellen Blockierungsmechanismen – es ist kein stabiler Zustand, sondern ein permanentes Rüstungsrennen zwischen Zensur und Evasion.