OONI: Wie Internetzensiur gemessen und nachgewiesen wird

Die Open Observatory of Network Interference (OONI) ist eine Softwareinfrastruktur zur Messung von Internetzensur auf globaler Ebene. Das Projekt, das von der Tor Project betrieben wird, verfolgt seit 2012 systematisch, wie und wo staatliche sowie kommerzielle Akteure den Internetzugriff behindern. Anders als spekulative Berichte bietet OONI eine technische Grundlage zur Verifizierung von Blockaden durch reproduzierbare Messungen.

Die Messungen von OONI basieren auf verteilten Messklienten, die von Freiwilligen weltweit betrieben werden. Diese Clients führen standardisierte Tests durch: Sie versuchen, bekannte Webseiten zu erreichen, lösen Domänennamen auf, führen HTTP-Anfragen durch und überprüfen die Antworten. Die Rohdaten werden öffentlich in der OONI-Datenbank veröffentlicht und können von Forschern, Journalisten und Menschenrechtsorganisationen analysiert werden.

Die technische Landschaft der Internetblockade hat sich über zwei Jahrzehnte differenziert. Frühe Methoden wie IP-Blacklisting waren relativ primitive Techniken – ein Server wurde durch seine Internetadresse einfach unerreichbar. DNS-Filterung ist deutlich verbreiteter: Behörden instruieren ISPs oder zentrale DNS-Resolver, gefilterte Domänen nicht aufzulösen oder zu Sperr-IP-Adressen umzuleiten. OONI erkennt DNS-Filter durch Vergleich autorisierter Resolver-Antworten mit denen vom lokalen ISP.

Sexy sind aus Perspektive von Nachrichtenagenturen die technisch anspruchsvolleren Verfahren. Deep Packet Inspection (DPI) analysiert den Datenverkehr live auf Payload-Ebene und kann Anfragen nach Inhalten filtern, noch bevor sie ihre Ziele erreichen. Besonders effektiv für HTTPS-Blockade ist Server Name Indication (SNI) Inspection: TLS-Handshakes beginnen mit der Domäne im Klartext, bevor Verschlüsselung stattfindet. Eine Firewall kann Verbindungen zur blockierten SNI verweigern, ohne den verschlüsselten Traffic zu analysieren. Access Now und Citizen Lab haben dokumentiert, dass SNI-Filterung von Roskomnadzor in Russland, der Telecommunication Regulatory Authority (TRA) in den VAE, und der Great Firewall in China verwendet wird.

BGP-level-Interventionen sind seltener und kraftvoller: Sie entziehen Netzbereiche aus dem globalen Routing, sodass sie für externe Systeme physisch unerreichbar sind. Dies ist teuer und disruptiv, wurde aber beispielsweise für Belarusian Internet Exchange Points während politischer Unruhen 2020 nachgewiesen. Throttling – gezieltes Drosseln der Bandbreite für bestimmte Inhalte – ist schwerer zu messen, aber OONI-Daten zeigen Muster, die mit asymmetrischer Leistungsbeeinträchtigung konsistent sind.

OONI-Messungen haben dokumentierte Sperren nachgewiesen, die zugleich von Access Now und lokalen Gruppen wie Roskomsvoboda (Russland) oder GreatFire (China) bestätigt wurden. Im Iran wurden während der Proteste 2022 IP-Blacklist-Anpassungen gemessen, die mit Pressemitteilungen von Behörden zeitlich korrelieren. Die Bangladeshi Telecom Regulatory Commission (BTRC) hat während Wahlen DNS-Filterung angewendet, die OONI-Tests zeigten. Diese Korrelationen machen OONI zu einer glaubwürdigen Quelle in Kontexten, in denen staatliche Berichte fehlen oder widersprechen.

Zensierte Nutzer benötigen Werkzeuge, die diese Blockademechanismen umgehen. Die Wahl hängt von der lokalen Zensiertechnik ab. DNS-Filterung wird durch DoH (DNS over HTTPS) oder DoT (DNS over TLS) umgangen, die Anfragen verschlüsseln. SNI-Inspection erfordert ECH (Encrypted Client Hello) – eine TLS 1.3-Erweiterung, die die Domäne vor dem Handshake verhüllt – oder MASQUE, ein Encapsulation-Protokoll. Gegen DPI helfen Obfuscation-Protokolle wie obfs4 oder der REALITY-Handshake in Xray, die legitimen Traffic imitieren. OpenVPN und WireGuard bieten Verschlüsselung, aber ihr Traffic kann durch Muster-Erkennung erkannt werden, wenn nicht kombiniert mit Obfuscation. Tor-Pluggable-Transports wie Snowflake oder WebTunnel verstecken Tor-Handshakes hinter WebRTC oder HTTP-ähnlichen Signaturen.

Keine Technik ist universell effektiv. Ein Land, das SNI-Filterung nutzt, wird durch obfs4 blockiert; ein anderes, das DPI mit Application-Layer-Filterung betreibt, könnte MASQUE und DoH kombinieren. OONI zeigt, welche Methode dominant ist – eine notwendige Information für technische Gegenmassnahmen.

OONI ist nicht fehlerfrei. Falsch-positive Treffer entstehen durch Datencenter-IP-Blacklisting oder durchgängige Timeouts. Aber die Veröffentlichung aller Rohdaten erlaubt Peer-Review, was OONI von Geheimdienst-Reports unterscheidet. Damit wird ein handwerklich solides Verfahren zur Dokumentation von Zensur geschaffen – nicht mehr, nicht weniger.