Iran-Internetsperrung Mai 2026: Technische Analyse und Umgehungsmethoden

Das iranische Internet unterliegt im Mai 2026 weiterhin umfassender staatlicher Kontrolle durch ein System, das sich technisch und regulatorisch seit den Unruhen von 2019 grundlegend verfestigt hat. Die Blockade sozialer Plattformen, Nachrichtenmedien und Circumvention-Tools bleibt systemisch und wird durch mehrschichtige Filterungsmechanismen durchgesetzt, deren Kombination internationale Beobachter zu sorgfältigen Analysen zwingt.

Die rechtliche Grundlage für diese Kontrolle reicht zurück auf das Gesetz zur Regulierung der Informationstechnologie von 2009, das die Grundlage für die Errichtung des "National Information Network" (NIN) schuf. Das NIN wurde als technische Infrastruktur konzipiert, um den iranischen Internet-Traffic nationalzufiltern und internationale Verbindungen zu kontrollieren. Unter Aufsicht des Ministeriums für Informations- und Kommunikationstechnologie (MICT) und in Koordination mit der Islamic Revolutionary Guard Corps und dem Geheimdienst wurde ein dezentrales Filterungssystem aufgebaut, das auf mehreren Ebenen operiert.

Im Mai 2026 dokumentieren Netzblockadenbeobachter wie das Open Observatory of Network Interference (OONI) weiterhin konsistente Filterungsmuster. Die primären Blockierungsmethoden umfassen DNS-Filterung auf nationaler Ebene, bei der Anfragen zu bestimmten Domains durch staatliche Resolver abgefangen und zu lokalen Sperrseiten umgeleitet werden. Dies ist die kostengünstigste und am weitesten verbreitete Methode. Parallel dazu werden IP-Blacklists gepflegt und angewandt, die auf Border Gateway Protocol (BGP)-Ebene und durch zentrale Firewall-Knoten durchgesetzt werden. Für verschlüsselte Verbindungen hat der Iran zunehmend Server Name Indication (SNI) Inspection eingesetzt, um HTTPS-Verbindungen zu Zielservern zu erkennen und zu blockieren, bevor der vollständige TLS-Handshake abgeschlossen ist.

Nach öffentlich verfügbaren Berichten dokumentierte Access Now zwischen Januar und April 2026 mehrere dokumentierte Drosselphasen, bei denen die Gesamtbandbreite für internationale Verbindungen reduziert wurde. Dies deutet darauf hin, dass das MICT nicht nur auf selektive Filterung, sondern auch auf Breitendrosselung zurückgreift, um die Nutzbarkeit von Circumvention-Techniken zu erschweren. Deep Packet Inspection (DPI) wird nach technischen Analysen des Tor Project und von Researchers der Universität Bochum auch zur Erkennung von VPN- und Proxy-Protokollen verwendet, wobei erkannte Verbindungen entweder blockiert oder durch Ratelimiting funktionsunfähig gemacht werden.

Soziale Plattformen wie Instagram, WhatsApp und X bleiben blockiert, ebenso wie internationale Nachrichtenmedien und zahlreiche Informationsquellen. Das OONI-Projekt dokumentierte im April 2026 anhaltende Blockaden auf mehreren Ebenen: DNS-Filterung betraf 70 % der gemessenen Domains, IP-Blocking weitere 20 %, und SNI-Filterung ungefähr 15 % (mit Überschneidungen). Lokale Messaging-Apps und das nationale NIN-Intranet werden dagegen bevorzugt und förderlich behandelt.

Für Benutzer, die Circumvention erwägen, erfordert die aktuelle technische Landschaft ein Verständnis für die Grenzen und Stärken verschiedener Ansätze. OpenVPN mit benutzerdefinierten Port-Konfigurationen und Obfuscation-Plugins kann DNS- und SNI-Filterung umgehen, ist aber durch DPI anfälliger für Erkennung als andere Protokolle. WireGuard bietet moderne Verschlüsselung, kann aber aufgrund seiner stabilen Headerstruktur leichter durch DPI identifiziert werden. REALITY und Vision (Xray-Implementierungen) verwenden Domain Fronting-ähnliche Techniken und verschleierter Verschlüsselung, um DPI-Erkennung zu erschweren, setzen aber Nutzerkompetenz voraus. Tor-Pluggable-Transports wie obfs4 und Snowflake werden nach Angaben des Tor Project weiterhin in Iran genutzt, wobei Snowflake die Erkennung durch Verwendung einer dezentralen Bridge-Architektur erschwert. V2Ray/Xray mit Websocket-Tunneling über HTTPS kann SNI-Filterung durch Certificate Pinning umgehen, verursacht aber CPU-Overhead. Das IETF-Protokoll MASQUE (Multiplexed Application Substrate over QUIC Encryption) befindet sich noch in Standardisierung, wird aber in einigen Circumvention-Implementierungen experimentiert.

Alle diese Techniken teilen eine grundlegende Einschränkung: Sie bieten technische Pseudonymität, nicht Anonymität. Benutzer sollten verstehen, dass Umgehungswerkzeuge allein nicht vor Strafverfolgung schützen, wenn der Staat die physische Identität durch andere Mittel ermittelt.

Die technische Lage im Iran im Mai 2026 bleibt ein Exemplum für die Konvergenz von nationaler Infrastrukturkontrolle und DPI-Technologie. Die Blockaden sind weder perfekt noch irreversibel, aber ihre Mehrschichtigkeit – DNS, IP, SNI, DPI, BGP – erfordert von Circumvention-Nutzern sowohl technisches Wissen als auch regelmäßige Anpassung an neue Filterungsmuster.