The Great Firewall of China: Wie sie funktioniert und wie man sie umgeht

Mit dem Projekt „Goldener Schild“ setzte die chinesische Regierung schon 1998 die Kontrolle des Internets auf die Agenda. 2003 starteten die ersten Maßnahmen, die offiziell der nationalen Sicherheit dienen. Hauptziel ist jedoch unbestritten die Zensur unerwünschter Inhalte im Netz, die der Kommunistischen Partei zuwider sind. Doch wie funktioniert die sogenannte „Great Firewall“ – und noch wichtiger: Wie können Sie sie umgehen?

Die „Great Firewall of China“ ist nicht nur ein Stück Software, sondern die Summe aller Maßnahmen zur Internetzensur in China. Jene ist dort nämlich allgegenwärtig, sowohl für Privatpersonen als auch für Unternehmen. Letztere genossen in der Vergangenheit mehr Freiheiten und vor allem ausländische Firmen waren in der Lage, die Zensur relativ leicht zu umgehen. In den vergangenen Jahren wird es jedoch auch für sie zunehmend problematisch, auf das freie Internet zuzugreifen.

Ein Nebeneffekt der Zensurmaßnahmen ist die Förderung chinesischer IT-Konzerne: Da Websites wie Google und Amazon gesperrt sind, haben sich chinesische Tech-Riesen wie Alibaba, Tencent und Baidu etabliert. Dasselbe gilt für soziale Netzwerke, denn weil die US-Weltführer Facebook, Twitter und YouTube blockiert sind, nutzen die Menschen chinesische Dienste wie Weibo, WeChat und Kuaishou, die erfolgreiche Bezahlmodelle anbieten.

In diesem Artikel erklären wir, wie die große Firewall funktioniert, welche Websites davon betroffen sind, und wie Sie sie bei einer China-Reise überwinden können.

Die Great Firewall of China stört den Datenverkehr auf verschiedenen Ebenen. Physikalisch gesehen fängt sie alle Datenpakete im Abschnitt zwischen Router und Gateway ab. Folgende Methoden kommen zur Anwendung:

• blockierte IP-Adressen (Network blackholing) – gilt eine bestimmte Seite als unerwünscht, blockiert der Router alle Datenpakete zur IP-Adresse ihres Servers. Versucht jemand, eine Verbindung mit diesem Server zu etablieren, kommt es meist zu einer Fehlermeldung.
• DNS-Spoofing – will sich ein Nutzer beispielsweise mit www.nytimes.com verbinden, geht die Anfrage zunächst zu einem lokalen DNS-Server, der die dazugehörige IP-Adresse bereitstellt. Ist der DNS-Server manipuliert, liefert er eine falsche IP-Adresse und leitet ihn zu einer alternativen Webseite. Diese enthält andere Inhalte als die ursprüngliche. Somit sind internationale Nachrichtenseiten in manchen Fällen durchaus verfügbar, jedoch sehen die Nutzer nur bestimmte Artikel oder Videos.
• DNS-Poisoning – alternativ stellt der DNS-Server eine falsche IP-Adresse bereit, wodurch die Webseite nicht erreichbar ist.
• Deep Packet Inspection (DPI) – eine Software analysiert unverschlüsselte Datenpakete zu einem und von einem Server. Diese werden kopiert und auf verbotene Keywords untersucht. Enthalten Meta-Tags oder die URL unerwünschte Wörter wie beispielsweise „Demokratie“ oder „Tiananmen“, kappt die Software die Verbindung. Bei Unterseiten geschieht das selbst dann, wenn die Hauptseite freigegeben ist.
• Selbstzensur – sowohl chinesische als auch in China tätige ausländische Unternehmen verpflichten sich aus wirtschaftlichen Gründen dazu, nur gesetzeskonforme Inhalte bereitzustellen. Das schließt jegliche regimekritische Angebote aus.

Die Great Firewall blockiert viele Dienste und Inhalte, und wird regelmäßig erweitert und aktualisiert.

• Fast alle Websites von internationalen Online-Nachrichten und Presseagenturen wie BBC, CNN und Reuters sind in China nicht erreichbar.
• Auch deutsche Medien wie Spiegel Online, die Tagesschau und die Süddeutsche Zeitung hat die chinesische Regierung spätestens seit den Protesten in Hongkong blockiert. Hier finden Sie eine ausführliche Liste der gesperrten deutschen Seiten.
• Mit unserem Internetzensur-Check finden Sie heraus, ob eine bestimmte Webseite in China blockiert ist. Unsere chinesischen Server in Peking, Shanghai und Shenzhen testen, ob es möglich ist, eine Verbindung aufzubauen.
• Generell ändert sich die Lage ständig, weswegen eine Webseite zunächst frei, einige Tage später jedoch gesperrt sein kann.

Wer sich als Tourist oder zu Arbeitszwecken in China aufhält, möchte selbstverständlich auf seine gewohnten Apps und Websites wie Gmail, Twitter und Google Maps zugreifen oder internationale Nachrichtenseiten wie zu Hause lesen. Das ist nur auf Umwegen mit den Methoden möglich, die wir in den nächsten Abschnitten vorstellen.

Der gängigste Weg, an der Great Firewall of China vorbeizusurfen, ist nach wie vor ein Virtual Private Network (VPN). VPN-Provider unterhalten Netzwerke, deren Server sich weltweit verteilt befinden. Wer den Dienst abonniert, leitet seinen Traffic vom Provider zu diesem Server und erst dann zu den gewünschten Webseiten um. Zudem erfolgt die Kommunikation stets verschlüsselt. Dadurch lassen sich sowohl IP-Sperren als Überwachung vermeiden.

Allerdings sollten Sie bei einer VPN-Nutzung in China diese Besonderheiten beachten:

• Von der Regierung genehmigte VPN-Anbieter sind in der Regel nur staatseigenen Firmen zugänglich. Private, kleinere Anbieter haben oft keine Genehmigung und werden daher nicht selten plötzlich abgeschaltet. Seit 2017 zwingen die Behörden Internetprovider immer öfter dazu, VPN-Nutzern das Internet abzustellen.
• Stellen Sie daher sicher, dass das VPN Ihrer Wahl in China auch funktioniert, ehe Sie ein Abonnement abschließen. EXPERTE.de bietet eine regelmäßig aktualisierte Übersicht der besten VPN-Provider in China.
• Jegliche VPN-Software sollten Sie vor der Abreise installieren. In China sind sie womöglich nicht in der Lage, die App herunterzuladen, da die entsprechende Webseite gesperrt ist. Haben Sie es versäumt, bieten viele Provider sogenannte dynamische Links. Diese durchsuchen gespiegelte Webseiten auf der ganzen Welt und schauen, welche aktuell blockiert sind.
• Eine andere Möglichkeit, in China ein VPN zu installieren, besteht darin, sich via Tethering über Geräte zu verbinden, die bereits VPN-fähig sind.
• Obfuscation Protocols (Deutsch: Verschleierungsprotokolle) sind in der Lage, die Zensursoftware der Great Firewall auszutricksen. Beispielsweise sorgen sie dafür, dass es aussieht, als ob der Nutzer an einer Videokonferenz teilnehmen würde. Eine bekannte Anwendung, die solche Protokolle nutzt, ist Obfsproxy. Allerdings schafft es die Great Firewall manchmal, selbst den veränderten Traffic zu erkennen und zu sperren.

Das verteilte Netzwerk Tor (The Onion Router) mit Knoten auf der ganzen Welt funktioniert ähnlich wie ein VPN. Jede Anfrage reist verschlüsselt zu einem Knoten (Eintrittspunkt) und gelangt über mehrere Server zum Austrittsknoten. Da sich der Datenverkehr innerhalb des Netzwerks nur bis zum vorherigen Knoten verfolgen lässt, bleibt die ursprüngliche IP des Nutzers verborgen. Der Traffic vom Austrittsknoten bis zum Endserver ist allerdings unverschlüsselt. Folgende Besonderheiten gelten in China:

• Die Regierung blockiert insbesondere in den letzten Jahren den Zugang zu den Relays (Eintrittspunkten in das Tor-Netzwerk). Die sogenannte Deep Packet Inspection sucht dafür in allen Internetverbindungen nach Code-Fragmenten, die speziell zum Tor-Protokoll gehören. Ist ein Server als Tor-Server identifiziert, setzt ihn die Great Firewall sofort auf die schwarze Liste.
• Wie bei VPNs verwirrt Obfsproxy die Great Firewall, indem er den Traffic anders aussehen lässt. Das klappt aber nicht immer.
• Eine besonders sichere Kombination ist die gleichzeitige Nutzung von VPN und Tor. Allerdings ermöglichen nicht alle VPN-Anbieter den Zugang zum Tor-Netzwerk. Auch blockieren manche Websites Tor-Nutzer prinzipiell.
• Generell ist die Verbindung über Tor langsamer als über ein VPN, dafür ist der Service kostenlos.

Eine andere Möglichkeit, die Great Firewall zu überwinden, ist der Internetzugang mit mobilen Daten und Roaming. Beim Roaming entsteht eine Art Tunnel zum Provider in der Heimat. Damit erhält der Nutzer beispielsweise eine deutsche IP-Adresse und ist von der Zensur nicht betroffen.

• Mit Google Fi bietet Google eine ausgezeichnete Mobilfunkabdeckung in China und je nach Tarif eine bestimmte Menge an mobilen Daten. Ein Gigabyte kostet beispielsweise 10 $, die Telefon-Flatrate 20 $. Ab 6 Gigabytes (60 $) sind weitere Daten bis 15 Gigabytes kostenlos.
• Google hat einen Deal mit dem chinesischen Lokalanbieter Unicom, sodass die Daten nicht abgefangen werden.
• War Google Fi früher Google Nexus Inhabern vorbehalten, lässt es sich inzwischen auch von iPhone- und Android-Nutzern ungeachtet des Modells verwenden. Dafür sind eine eingebettete SIM-Karte (eSIM) sowie ein VPN zur Aktivierung notwendig, da diese von einem US-Server erfolgen muss.
• Weitere Unternehmen, die Roaming-SIM-Karten (eSIMs) zu fairen Preisen anbieten, sind beispielsweise AirBaltic Card oder der französische Anbieter MySIM sowie Surfroam. Bei Airbaltic kosten 3 Gigabyte für 30 Tage beispielsweise 35 €.

Ein Proxy fungiert genau wie ein VPN als Mittelsmann zwischen Client und Server. Allerdings verschlüsseln nicht alle Proxys die Datenpakete mit so sicheren Verschlüsselungsalgorithmen wie VPNs. Auch verstecken sie nicht immer die IP-Adresse des Nutzers. Der Open Source Proxy Shadowsocks nutzt das Protokoll SOCKS5, das den Traffic wie HTTPS-Traffic aussehen lässt. Im Vergleich zu einem VPN gibt es folgende Vor- und Nachteile:

• Anders als VPN-Anbieter, die wenige, große Server haben, nutzen Proxy-Verbindungen mehr Server, die besser verteilt und unauffälliger sind. Vergleicht man es mit einem Sender, der ein geheimes Paket liefern soll, sind VPNs eher professionelle Kuriere mit großen Fahrzeugen und vielen Lagerhallen, während Proxys einem privaten Netzwerk aus Freunden ähneln, die die Fracht auf Umwege zum Empfänger schicken.
• Für die Great Firewall ist es damit schwerer, Proxys zu identifizieren, weil auch die Verbindungen weniger gemeinsame Merkmale als VPN-Verbindungen aufweisen.
• Anderseits ist ein Proxy-Protokoll wie Shadowsocks schwerer zu nutzen und insbesondere die Einrichtung erfordert einige Kenntnisse über Interneteinstellungen.
• Generell ist eine Verbindung über einen Proxyserver schneller als über VPN oder Tor.
• Surfen mit Proxy schützt nur die Anfragen, die vom Browser ausgehen, während ein VPN auch beispielsweise App-Daten und E-Mails von einem E-Mail-Client verschlüsselt.
• Wer die Great Firewall of China umgehen und gleichzeitig Anonymität und Sicherheit möchte, nutzt einen VPN-Dienst zusammen mit einem Proxy.

Die Great Firewall of China zensiert von der chinesischen Regierung unerwünschte Seiten, indem sie IP-Adressen blockiert und den Datenverkehr überwacht. VPN-Dienste und Proxys leiten den Traffic zu ausländischen Servern um, bevor er zum eigentlichen Ziel gelangt. Damit lässt theoretisch die Zensur umgehen, doch in letzter Zeit sind auch VPN-Anbieter häufig von Sperren betroffen.

Proxy-Verbindungen umgehen die Great Firewall besser, ihre Verschlüsselung ist aber weniger sicher. Wer seine sensiblen Daten vor Überwachung schützen möchte, sollte einen VPN-Anbieter nutzen, der auch in China zuverlässig funktioniert. Geht es nur darum, ohne Zensur zu surfen, sorgt ein Proxy für schnelle Verbindungen. Eine weitere Alternative stellt das internationale Datenroaming dar. Hier lohnt es sich, Provider zu vergleichen, um Kosten zu sparen. Das Tor-Netzwerk ist in China dagegen unzuverlässig. Prinzipiell ist eine Verbindung möglich, doch meist langsam.