Die Erfindung betrifft ein Verfahren und eine Netzeinheit zum Versenden zwei, zwei Kombinationen aus abgehörten Daten mindestens eines Dienstes und einer Information betreffend die abgehörten Daten eines Nutzers eines Endgerätes repräsentierenden Informationen in einer IRI-Informationsnachricht über eine Netzeinheit eines Kommunikationsnetzes an eine zentrale Abhör- und Auswerteinheit.

Dienstabhängiges Abhören von Nutzern eines Kommunikationsendgerätes bei Netzbetreibern (Telecommunication Service Provider = TSP) und Internet-Dienstanbieter (Internet Service Provider = ISP) wird immer öfter von Behörden gefordert. Endgeräte können Mobilfunkendgeräte, Festnetzendgeräte, stationäre und mobile Computer oder Ähnliches sein. Abzuhörende Dienste können z. B. Rundfunk-, Fernseh-, Multimedia-Dienste, Multimedia-Rundfunk-Dienste (Multimedia Broadcast) , Multi-Versand- Dienste (Multicast Services) etc. sein.

Bisherige Lösungen, wie z. B. Aufspür-Lösungen (Sniffer-Lös- ungen) , für das Abhören und Suchen von solchen Diensten zielen darauf ab, den Inhalt der Kommunikation nach Schlagwörtern bzw. nach Details (Hinweise zu Diensten) zu untersuchen. Sniffer-Lösungen werden üblicherweise von Geheimdiensten benutzt und benötigen große Systemressourcen.

Aus den 3GPP-Spezifikationen TS 33.107 und TS 33.108 zu In- terception (Überwachung) und TS 22.071 zu LCS (Location Services = ortsabhängige Dienste) (siehe www.etsi.org) ist bekannt, dass beim Abhören von Daten (Sprachdaten / Kurzmittei- lungsdaten / anderen Daten) eines zu überwachenden Mobilfunkteilnehmers eines Mobilfunknetzes durch ein (in der Regel staatliches) Abhörzentrum von einer Vermittlungseinrichtung

(z.B. MSC oder SGSN, über welche Daten des zu überwachenden Nutzers eines Endgerätes übertragen werden) , neben diesen Daten auch weiter beschreibende Informationen zu dieser Kommunikation wie z. B. Ortsinformationen betreffend den aktuellen oder zuletzt erfassten Ort des Teilnehmers in einem „IRI- Datensatz" an das Datenzentrum übermittelt werden. Die im Ab- hörinformations-Paket IRI (= Interception Related Information) bzw. in der IRI-Informationsnachricht übertragenen Ortsdaten repräsentieren die Ortsinformation zum Beispiel des Mobilfunkteilnehmers in Form einer (der Vermittlungseinrichtung zur Verfügung stehenden oder aus einem Heimatregister

(HLR/HSS) des Mobilfunknetzes von der Vermittlungseinrichtung erfragten) Zellinformationsangabe, welche angibt, in welcher Zelle oder Zellengruppe der Mobilfunkteilnehmer zuletzt eingebucht war.

Der Abhörprozess (Lawful Interception Process) im IMS (IP Multimedia Subsystem) besteht darin, dass die abgehörten Daten (CC = Content of Communciation) mindestens eines Dienstes sowie die diese Daten näher beschreibenden Informationen (IRI = Interception Related Information) in verschiedenen Netzeinheiten in verschiedenen Systemen zur Verfügung stehen. Die abgehörten Daten mindestens eines Dienstes und teilweise die beschreibenden Informationen fallen zum Beispiel beim SGSN des UMTS-Core-Netzes an und werden von dort zur abhörenden Behörde gesendet, ein anderer Teil der beschreibenden Daten wird zum Beispiel in der CSCF (CaIl State Control Function = Verbindungs-Status-Kontroll-Funktion) des IMS-Core-Netzes erzeugt .

Um nun der Behörde die Möglichkeit zu bieten, diese Daten bei der Auswertung wieder zusammenfügen zu können, werden sie vor dem Weitersenden mit Korrelationsinformationen („Korrelationsnummer" oder „Correlation Number") versehen. Die Korrela-

tion zwischen dem abgehörten Datenstrom (content of communi- cation) und den diesen beschreibenden Zusatzinformationen (IRI Ticket bzw. IRI Informationsnachricht) erfolgt durch eine nach speziellen Kriterien (Charging ID und GGSN Adresse) gebildete Nummer (Correlation ID) , die im IRI-Ticket und im Datenstrom mit übertragen wird.

Bisher bestand zwischen den abgehörten und den beschreibenden Daten eine eindeutige 1 : 1-Beziehung, wodurch man in jedem Fall mit nur einer Korrelationsnummer ausgekommen war. Beim IP-Multimedia-Subsystem stellt sich nun das Problem, dass zwei oder mehrere Kombinationen von CC/IRI aus dem Bedienen- den-GPRS-Unterstützungsknoten SGSN mit einer Folge von beschreibenden Daten aus der Verbindungs-Status-Kontroll- Funktion CSCF korreliert werden muss. Dies ist beim heutigen Ablauf des Abhörprozesses nicht möglich. Man würde zumindest eine zusätzliche Funktion benötigen, die den Zusammenhang dieser CC-Datenströme erkennt und mit einer neuen, einheitlichen Korrelationsnummer versieht. Damit müssten bestehende Implementierungen (im SGSN bzw. GGSN) verändert werden, was mit erheblichen Aufwänden verbunden wäre.

Die Aufgabe der Erfindung besteht darin, eine einfache und effiziente Möglichkeit für das Versenden einer Korrelationsinformation für mindestens zwei Kombinationen, die aus abgehörten Daten mindestens eines Dienstes und aus Informationen betreffend die abgehörten Daten bestehen, vorzuschlagen.

Die Aufgabe wird erfindungsgemäß durch die Gegenstände der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.

Ein Kern der Erfindung ist darin zu sehen, dass zum Versenden von mindestens zwei, mindestens zwei Kombinationen aus abgehörten Daten mindestens eines Dienstes und mindestens einer

Information betreffend die abgehörten Daten eines Nutzers eines Endgerätes repräsentierenden Informationen in mindestens einer IRI-Informationsnachricht über eine Netzeinheit eines Kommunikationsnetzes an eine zentrale Abhör- und Auswerteinheit, die mindestens eine IRI-Informationsnachricht derart erweitert wird, dass mindestens zwei die mindestens zwei Kombinationen repräsentierenden Informationen in die mindestens eine IRI-Informationsnachricht eingetragen werden können. Als Kommunikationsnetz kann dabei zum Beispiel ein zellulares Mobilfunknetz, ein paketvermittelndes Kommunikationsnetz, ein IP-Netz, ein IP-Multimedia-Subsystem etc. verwendet werden. Die Netzeinheit kann dabei zum Beispiel ein SIP-Server, eine Netzeinheit, die das SIP-Protokoll zur Signalisierung verwendet, ein H.323-Server, eine Netzeinheit, die das H.323- Protokoll zur Signalisierung verwendet, etc. sein. In einem IP-Multimedia-Subsystem könnte als Netzeinheit eine Proxy- Verbindungs-Status-Kontroll-Funktion (P-CSCF) , eine Server- Verbindungs-Status-Kontroll-Funktion (S-CSCF) etc. verwendet werden. Der Abhörprozess wird dahingehend modifiziert, dass die Protokollrahmen, mit denen die IRI-Informationen-Nach- richten versandt werden, um die Möglichkeit erweitert werden, zwei oder mehrere Korrelationsnummern aufzunehmen. Selbstverständlich könnte auch die Abhörnachricht mit den abgehörten Daten, zum Beispiel mindestens eines Dienstes, die an die Abhöreinheit einer Behörde gesandt wird, in der gleichen Art und Weise erweitert werden, sodass mindestens zwei die mindestens zwei Kombinationen repräsentierenden Informationen in die mindestens eine Abhörnachricht eingetragen werden können. Es könnte zum Beispiel auch bei der Abhöreinheit der Protokollrahmen der Nachricht so erweitert werden, dass mindestens zwei Korrelationsnummern eingetragen werden können. Dadurch kann die abhörende Behörde grundsätzlich beliebig viele abgehörte Datenströme mit beliebig vielen beschreibenden Informationen aus unterschiedlichen Netzen korrelieren und zur ge-

meinsamen Auswertung bringen. Als Netzeinheit des IP- Multimedia-Subsystems kann zum Beispiel die Verbindungs- Status-Kontroll-Funktion (CSCF) verwendet werden.

Das erfindungsgemäße Verfahren bzw. die erfindungsgemäße Vorrichtung findet insbesondere auch bei so genannten Multi-Ver- bindungen (MultiCall) , der in der 3GPP-Spezifikation TS 22.135 standardisiert ist, Anwendung. Demnach ist unter einer Multiverbindung ein Dienst zu verstehen mit dem ein Nutzer eines Mobilfunkendgerätes mehrere verschiedene CS-Verbindung- en (CS calls = Circuit switched Calls) gleichzeitig aktivieren kann. Jede Verbindung benutzt dabei einen eigenen Träger (Bearer) . Erfindungsgemäß werden die Abhörnachrichten bzw. die IRI-Informationsnachricht, die an die Abhöreinheit gesandt werden, derart erweitert, dass mindestens zwei Verbindungen und/oder die mindestens zwei Kombinationen, die aus abgehörten Daten und Informationen betreffend die abgehörten Daten bestehen, repräsentierenden Informationen eingetragen werden können. Als Information könnte auch hier zum Beispiel die Korrelationsnummer verwendet werden.

Ein Vorteil der Erfindung besteht darin, dass bestehende Implementierungen, zum Beispiel im Bedienenden-GPRS-Unterstütz- ungsknoten SGSN, im Gateway-GPRS-Unterstützungsknoten etc. nicht verändert werden müssen und der damit verbundene finanzielle Aufwand vermieden werden kann.

Die Erfindung wird anhand eines in den Figuren dargestellten Ausführungsbeispiels näher erläutert. Im Einzelnen zeigen

Figur 1 eine vereinfachte Systemarchitektur zum Durchführen des erfindungsgemäßen Verfahrens, Figur 2 eine erfindungsgemäße Vorrichtung.

Figur 1 zeigt eine vereinfachte Systemarchitektur zum Durchführen des erfindungsgemäßen Verfahrens. Dargestellt ist ein besuchtes bzw. ein Heimatnetz eines Nutzers eines Endgerätes. Das besuchte bzw. das Heimatnetz kann dabei ein zellulares Mobilfunknetz, ein paketvermittelndes Kommunikationsnetz, ein IP-Netz, ein IP-Multimedia-Subsystem etc. sein. Der Bedienen- de-GPRS-Unterstützungsknoten SGSN sendet über eine Versandeinheit DF3 erste abgehörte Daten CCl mit einer ersten Korrelationsnummer CRl über eine Schnittstelle HI3 an eine Abhöreinheit einer Behörde (Law Enforcement Monitoring Facility) LEMF und eine erste IRI-Information IRI 1 mit der ersten Korrelationsnummer CRl über eine zweite Versandeinheit DF2 mit einer zweiten Schnittstelle HI2 an die Abhöreinheit einer Behörde LEMF. Weiterhin sendet der Bedienende-GPRS-Unterstütz- ungsknoten SGSN über eine Versandeinheit DF3 zweite abgehörte Daten CC2 mit einer zweiten Korrelationsnummer CR2 über eine Schnittstelle HI3 an die Abhöreinheit einer Behörde (Law Enforcement Monitoring Facility) LEMF und eine zweite IRI- Information IRI 2 mit der zweiten Korrelationsnummer CR2 über eine zweite Versandeinheit DF2 mit einer zweiten Schnittstelle HI2 an die Abhöreinheit einer Behörde LEMF. Eine Proxy- Verbindungs-Status-Kontroll-Funktion P-CSCF oder auch eine Server-Proxy-Status-Kontroll-Funktion S-CSCF sendet der Abhöreinheit einer Behörde LEMF über die Versandeinheit DF2 und der Schnittstelle HI2 eine IRI-Informationsnachricht IRI, die erfindungsgemäß derart erweitert ist, dass beiden Korrelationsnummern CRl und CR2 in die IRI-Informationsnachricht IRI eingetragen werden können. Diese IRI-Informationsnachricht enthält Daten zu den ersten abgehörten Daten CCl und zu den zweiten abgehörten Daten CC2 und muss daher von der Abhöreinheit der Behörde LEMF entsprechend korreliert werden können. Der Proxy-Verbindungs-Status-Kontroll-Funktion P-CSCF und die Server-Proxy-Status-Kontroll-Funktion S-CSCF ist dabei eine Netzeinheit eines IP-Multimedia-Subsystems IMS. In Ausnahme-

fällen könnten abgehörte Daten CCl oder CC2 auch von einem Gateway-GPRS-Unterstützungsknoten an die Abhöreinheit einer Behörde LEMF gesandt werden.

Figur 2 zeigt eine erfindungsgemäße Vorrichtung CSCF zum Durchführen des erfindungsgemäßen Verfahrens gemäß Figur 1. Dabei weist die Vorrichtung CSCF eine Empfangseinheit E, eine Sendeeinheit S und eine Verarbeitungseinheit V auf.