Mattlog

Gedanken und Hintergedanken. Außerdem: Computer, Autos, die dicke Katze von nebenan, Biber in der Innenstadt, meine Freundin und Ich.

Zum Panopticon...

Verantwortlich für den Inhalt dieser Seite ist Mattias Schlenker, Inhaber Mattias Schlenker IT-Consulting Mattias Schlenker work Dietrich-Bonhoeffer-Str. 3, 40667 Meerbusch. Germany work Fon +49 2132 9952906. http://www.mattiasschlenker.de

Diese Seite läuft unter Wordpress 2.x.y. News und Kommentare können als RSS-2.0-Feed abonniert werden.

Was ich nicht sehe ist nicht da — das BKA und die Internetsperre

BKA-Chef Ziercke träumt von einem Gesetz, mit dem Provider dazu verpflichtet werden können, den Zugang zu kinderpornographischen Websites zu sperren — extremistische Inhalte und ähnliches wird ebenfalls genannt. Eine Mischung aus “Great Firewall of China” und NRW-Sperrungsverfügung für die gesamte Bundesrepublik. Auf das alles Böse draußen bleibt. Per Gesetz ein sauberes Netz für Deutschland, auf das all der Schmutz draußen bleiben mag. Zierckes Vorschlag ist an Naivität kaum zu übertreffen: Spätestens seit der öffentlichkeitswirksamen Verteilung des Freedom-Sticks an chinesische Surfer dürfte klar sein, dass sich auch sehr engmaschige Sperrungen einfach umgehen lassen. Doch viel weitreichender als die Tatsache, dass KiPo-Konsumenten auch nach Einführung von Zierckes Gesetz dürften die Implikationen für normale Bürger sein:

  1. Die sehr primitive NRW-Lösung, bei der einfach DNS-Einträge umgebogen werden, ist nicht nur am leichtesten zu umgehen (durch Eintrag eines nicht-gefilterten Nameservers), sie hat auch den Nebeneffekt, dass Email an die Adressen der gesperrten Domain umgeleitet wird. Für die Beschlagung von (elektronischer) Post benötigt man sonst einen richterlichen Beschluß. Bei der NRW-Methode wird sie frei Haus geliefert. Da die NRW-Methode nicht besonders fein granuliert arbeitet, kann gerade bei Massenhostern der Kollateralschaden den vermeintlichen Nutzen um ein Vielfaches übertreffen.
  2. Die Sperrung von IP-Adressen oder IP-Adressblöcken schafft noch größere Kollateralschäden: Denn während jedem Hostnamen eine IP-Adresse zugeordnet ist, können einer IP-Adresse mehrere Hostnamen zugeordnet werden. Wenn der Hostname www.illegaleranbieter.com auf die IP-Adresse 172.16.123.45 zeigt, können genausogut tausende anderer “virtueller Hostnamen” auf diesem Rechner liegen. Bei Shared-Hosting-Angeboten sind 10.000 virtuelle Hosts auf einer Maschine keine Seltenheit. Neben dem illegalen Angebot würde man hier den Zugang zu 9.999 legalen Domains verhindern. Auch diese Art der Filterung lässt sich per Proxy umgehen.
  3. Um die im letzten Punkt erwähnten Seiteneffekte zu verhindern, könnte man nun den HTTP-Header untersuchen. In diesem wird bie Shared Hosting explizit angegeben, an welchen virtuellen Server denn die Anfrage gerichtet ist. Die Analyse der HTTP-Anfrage schüfe daneben die Möglichkeit, bestimmte Pfade auf einem Server auszuschließen. Gerade bei Gratis-Massenhostern könnte so nur www.gratismassenhoster.xyz/illegalerinhalt gesperrt werden, während der Zugriff auf www.gratismassenhoster.xyz/legalerinhalt erlaubt bleibt.

Alles palletti mit Lösung 3? Keinesfalls: Zwar ist der Aufwand höher, die Sperre zu umgehen — Konsumenten illegaler Inhalte müssten zur aufwendigeren Lösung mit Mixen greifen. Doch diese Lösung würde eine Überwachung der gesamten HTTP-Kommunikation erfordern. Statt auf der transportorientierten Internetebene müsste der Datenverkehr auf Anwendungsebene gescannt werden. In HTTP-Anfragen wird jedoch deutlich mehr übertragen als nur der Name des virtuellen Hosts, von dem Daten angefordert werden und dem Pfad des Dokumentes, das man aufrufen möchte: Passwortinformationen, POST-Anfragen über die beispielweise Bestellungen übermittelt werden oder Cookies, mit denen sich ein Nutzer eindeutig identifizieren lässt.

Zierckes Vorschlag müsste daher auf technischer Ebene in einer Form umgesetzt werden, die in die “physikalische” Welt übersetzt etwa lauten würde: “Alle Briefe an Empfänger im Postleitzahlgebiet 04275 sind zu öffnen und dahin gehend zu untersuchen, ob jemand illegale Inhalte bestellt. Wurde keine solche Bestellung gefunden, ist der Briefumschlag zuzukleben und weiterzuschicken.”

Ich halte es für Kalkül, wenn Ziercke und der in die Forderung einsteigende GdP-Chef Freiberg das technische Unverständnis vieler Normalbürger für drastische Forderungen ausnutzen, schließlich impliziert “Access Blocking” nicht, dass unter Umständen die Kommunikation selbst durchleuchtet wird.

Daneben blenden Ziercke und Co aus, dass keine einzige illegale Seite aus dem Netz verschwindet und die gesperrten Inhalte für mittelmäßig begabte Konsumenten aufrufbar bleiben. Es wird kein einziges Kind weniger mißbraucht und keine einzige Nazi-Parole weniger geschrien, weil in Deutschland per Gesetz versucht wird, einige Webseiten unaufrufbar zu machen. Auf der Strecke bleiben aber einst in unserer Verfassung garantierte Freiheitsrechte.

Zum Thema:

6 Antworten auf “Was ich nicht sehe ist nicht da — das BKA und die Internetsperre”

  1. Von den Kipo-Opfern, die immer jünger werden - und andern Ungereimtheiten des BKA-Berichts « Tabasco22’s Weblog (August 29th, 2008 um 5:21 pm)

    [...] Nun: was die Schweiz betrifft, so weiss ich, dass man von dort her mit den üblichen Stichwörtern auf Google so schnell wie eh und je auf einschlägige Seiten gelangt. Kein Wunder, denn Kipo-Anbieter sind mobil. Heute unter dieser Domain, morgen an jener. Kein Problem. Und nicht nur das… Wer in China in die weite Welt hinaus surfen möchte, kann auch die virtuelle chinesische Mauer leicht umgehen; mit einem geeigneten kleinen „Stick” am Laptop – oder auch anders. blog.mattiasschlenker [...]

  2. tabasco22 (August 29th, 2008 um 5:48 pm)

    Habe Bezug genommen auf ihre von Sachkenntnis zeugende Seite.
    mfg
    tabasco22