Erst Fakten, dann Gesetze — von der Leyen und lustige Ideen für ein sauberes Netz
Da haben sich also Vertreter der größten Internetprovider mit Frau von der Leyen getroffen und beschlossen, dass deutsche Surfer in Zukunft keinen Zugriff auf Kinderpornografie mehr haben werden. Ab Ende Februar ist es soweit: Die großen Provider verpflichten sich selbst, nach Sperrlisten des BKAs zu filtern. Weil die Familienministerin es so will und aufmüpfige Provider schnell den Ruf weghätten, Kinderpornografie Vorschub zu leisten, werden wir in weniger als vier Wochen ein zensiertes Web haben — ohne Rechtsgrundlage und mit fragwürdigem Nutzen.
Ich werde in diesem Artikel darauf eingehen, warum die von den Providern zugesagte Lösung die denkbar schlechteste aller Möglichkeiten ist: Sie kann leicht umgangen werden, hat massive Kollateralschäden zur Folge und es fehlt ihr die nötige Transparenz, die zur Kontrolle und gegebenenfalls der gerichtlichen Überprüfung der Sperrlisten notwendig ist.
Wie wird gesperrt?
Nach den bislang durchgesickerten Meldungen läuft das Verfahren so, dass Provider vom BKA Listen mit zu sperrenden Seiten bekommen und die Sperrung dann übers Domain-Name-System läuft. Um zu verstehen, wo die Sperre greift, spielen wir einfach einen typischen Aufruf durch.
Sie tippen in die Adresszeile des Browsers die (hypothetische) Adresse
http://www.einedomain.xyz/
ein. Diese URI enthält einige Informationen: Sie wollen den Inhalt des “Wurzelverzeichnisses” “/” des Servers “www.einedomain.xyz” angezeigt bekommen, als Protokoll dient Hypertext Transfer Protocol. Als erstes wird Ihr Rechner beim Nameserver Ihres Providers nach der IP-Adresse des Rechners “www.einedomain.xyz” fragen. Ein Domain Name Server ist eine Art Telefonbuch fürs Internet — aus Namen werden Nummern. Auf die Anfrage
Welche Nummer hat www.einedomain.xyz?
erhalten Sie also die Antwort
Wählen Sie die 123.45.67.89!
Jetzt ist Ihr Browser an der Reihe. Er kontaktiert den Server 123.45.67.89 und schickt ihm die Nachricht, dass er gerne den Inhalt des Wurzelverzeichnisses sehen würde. Da hinter einer “Telefonnummer” viele Teilnehmer stehen können, muss er den Namen des virtuellen Servers mitteilen. Das Verfahren ist vergleichbar mit Bürohäusern, bei denen eine Sekretärin ein Dutzend kleine Büros betreut, eine Analogie wäre hier Anschluss (IP-Adresse) und Durchwahl (Name des virtuellen Servers). Tatsächlich sieht die Anfrage so aus:
GET / HTTP/1.1
Host: www.einedomain.xyz
Connection: Close
Sie können diese Abfrage nachspielen, indem Sie mit Telnet diesen Server auf Port 80 kontaktieren:
telnet 88.198.248.170 80
Je nach Eingabe von
GET / HTTP/1.1
Host: blog.mattiasschlenker.de
Connection: Close
oder
GET / HTTP/1.1
Host: blog.rootserverexperiment.de
Connection: Close
erhalten Sie entweder den Quelltext dieses Blogs oder den von blog.rootserverexperiment.de angezeigt. Die Von-Der-Leyen-Lösung setzt bereits beim Domain-Name-System an. In der Sperrliste für die Provider steht einfach, dass statt der Telefonnummer (IP-Adresse) des Kinderpornoservers die Telefonnummer (IP-Adresse) des BKA ausgeliefert werden soll. Auf die Anfrage
Welche Nummer hat www.boeserkiposerver.xyz?
erhalten Sie also die Antwort
Wählen Sie die 62.156.153.38!
Ja. Das ist die IP-Adresse von www.bka.de. Noch ist nicht ganz sicher, ob ein Server des BKA das Ziel der Adressauflösung ist oder Server beim Provider. Angedacht scheint jedenfalls eine Protokollierung.
Kollateralschäden bei der Sperrung
Kollateralschäden bei der Sperrung sind nicht ausgeschlossen. Stellen wir uns einen kleinen kostenlosen Provider vor, der Webspace nach dem Schema
http://www.provider.xyz/nutzername/
aufteilt. Die Sperre auf DNS-Ebene erfasst ja nur die Anfrage der “Telefonnummer” von www.provider.xyz. Zum Zeitpunkt der DNS-Abfrage ist nicht klar, ob eine folgende HTTP-Anforderung auf
http://www.provider.xyz/boesekipo/
oder
http://www.provider.xyz/uschisblumenblog/
lauten wird. Das BKA — welches die Listen definieren wird — dürfte geneigt sein, dort wo es nicht auffällt — also wenn nur ein paar hundert Webseiten betroffen sind — rigoros sperren und andererseits dort, wo Kollateralschäden schnell einen Aufschrei bewirken werden, sich sehr zurückhalten. Es ist also Glückssache, ob Uschis Blumenblog am 1. März noch erreichbar sein wird. Andererseits wird der geschickt gewählte Speicherplatz für illegale Inhalte inmitten tausender unauffälliger Verzeichnisse dafür sorgen, dass auch unerwünschte Inhalte weiter im Netz bleiben.
Kollateralschäden bei der Protokollierung
Das BKA hat das ambitionierte Ziel, auch die Referrer zu protokollieren, also eine Liste von Seiten zu erstellen, die auf kinderpornografische Inhalte verweisen. Die Idee klingt zunächst einmal gut. Wer auf Kipo verlinkt, führt nichts Gutes im Schilde, doch die Referrer lassen sich leicht manipulieren, denn sie werden ja im HTTP-Request mitgeschickt und diesen können Sie bekanntlich per Telnet selbst absetzen. Seien wir kreativ:
GET / HTTP/1.1
Host: www.einedomain.xyz
Referer: http://blog.mattiasschlenker.de/
Connection: Close
Im Log des BKA wird nun http://blog.mattiasschlenker.de/ als verweisende Seite auftauchen. Nur oft genug, und es wird der Anschein erweckt, dass sich in den Kommentaren des Blogs Kipo-Sammler austauschen. Das muss unterbunden werden, also landet auch blog.mattiasschlenker.de auf Ursulas toller DNS-Sperrliste.
Ein weiteres Problem bei der Protokollierung ist, dass jeder Surfer in den Protokollen des BKA landen kann, wenn er eine Seite ansurft, die mittels “Link Prefetching” mögliche nächste Surfziele bereits vorweg laden lässt. Dieses Browser-Feature dient eigentlich der Reduzierung von Ladezeiten. Geschickt eingesetzt und bei Kenntnis der Sperrlisten kann man einen Surfer auf eine vermeintlich harmlose Seite locken, die im Hintergrund gesperrte Inhalte nachzuladen versucht um ihn ohne dessen Kenntnis in den Protokollen des BKA auftauchen lassen. Die Folgen dürften häufig unangenehm sein.
Kollateralschaden bei der Email-Zustellung
Es kommt noch schlimmer: Wenn ich eine Email an uschisblumenblog@provider.xyz schreibe, schaut mein Mail-Client zunächst im DNS nach, welcher Rechner als “Mail-Exchange” eingetragen ist. Oft ist das der erste Webserver — also www.provider.xyz. Dank der umgebogenen DNS-Auflösung erfolgt die Mail-Zustellung also nicht an Uschis Provider, sondern an den Server des BKA. Wenn ich Glück habe, ist dieser Server so konfiguriert, dass er Mails nicht annimmt oder Mails mit unbekanntem lokalem Nutzernamen zurückweist.
Ist er schlecht konfiguriert, nimmt er alles an. was auf Port 25 reinkommt. Ein Schelm, wer böses dabei denkt.
Umgehungsmöglichkeiten
Kommen wir zum spannenden Teil: Es gibt keine einfacher zu umgehende Sperre als die DNS-Sperre. Wenn die sieben größten Provider Ihren DNS so konfiguriert haben, dass “Telefonbucheinträge” umgebogen werden, konfiguriert der böse Kinderpornografiekonsument seinen PC oder seinen DSL-Router so, dass der DNS-Server des achten verwendet wird — was mit drei Klicks erledigt ist. Und wenn der mitzieht, nimmt man einen in den USA.
Prinzipiell könnte die Manipulation am DNS die Nutzer der dunklen Seite des Netzes sogar auf Ideen bringen: Wie wäre es mit eigenen DNS, die Phantasiedomains auflösen? Technisch ist es nicht einmal ein Problem, selbst einige wenige Nameserver auf die Schattentoplevel-Domain “.kipo” einzurichten, und damit Anfragen auf
Welche Nummer hat www.eklig.kipo?
zu beantworten. Das BKA steht in diesem Fall vor zwei Problemen: Erstens kontrolliert sie den DNS-Server nicht, der die vermeintliche Topleveldomain .kipo auflöst, weil dieser wechselt und die Konsumenten ihn in der Suchreihenfolge vor allen anderen Nameservern eingetragen haben und zweitens ist die Angabe des als “Host:” beim HTTP-Aufruf angegebenen Ziels natürlich umso schwerer zu verfolgen, je ungewöhnlicher die übergebenen Hostnamen werden:
GET / HTTP/1.1
Host: www.eklig.kipo
Connection: Close
Noch tiefer unters Radar rutschen die Kipo-Konsumenten, wenn sie nicht eigene DNS-Server einrichten, sondern einfach Listen zur Namensauflösung verteilen, die auf den betreffenden Rechnern in die Datei “/etc/hosts” eingetragen werden. Der Inhalt dieser Datei wird vor der Anfrage an einen DNS-Server ausgelesen. Ich selbst benutze die Hosts-Datei, um mit Phantasiedomainnamen wie www.kundenname.de.test (die TLD .test ist Testzwecken vorbehalten) Zugriff auf in der Erstellung befindliche Projekte zu geben. Der von mir für legale und legitime Zwecke eingesetzte Kniff lässt sich natürlich auch für den Zugriff auf illegale Inhalte zweckentfremden.
Mangelnde Transparenz
Ich halte mich nicht für besonders clever. Das BKA in seiner Gesamtheit ist sicher nicht blöder als ich und hält sich daher dezent im Hintergrund, während das Ressort von Frau von der Leyen den Erfolg feiern darf. Allerdings ist bislang keine Kontrolle der Sperrliste vorgesehen. Warum wohl? Eine Herausgabe auf breiter Front könnte die Konsumenten der betreffenden Inhalte eher zum Konsum ermutigen — Umgehungsmöglichkeiten sind ja bekannt. Die Herausgabe an Journalisten hätte zur Folge, dass die Unzulänglichkeiten und Kollateralschäden binnen Tagen aufgedeckt wären.
Mit der so vorgeschlagenen und langsam durchgedrückten Sperrliste werden zunächst amerikanische Pornoserver vom deutschen Angebot verschwinden, die Inhalte tausender Pornosites aggregieren. Denn, ob
www.pornoserver.xyz/ueber21
gesperrt ist oder nicht, weil
www.pornoserver.xyz/teensex
vermeintliche Kinderpornographie enthält, kümmert hierzulande kaum jemanden, weil auch in den USA legale Inhalte meist deutsche Jugendschutzbestimmungen (Postident) nicht erfüllen. Ein US-Pornoanbieter kann demnach nicht klagen, ein volljähriger deutscher Pornokonsument dürfte aus Scham von einer Klage absehen, wenn er seine Lieblings-US-Seite plötzlich im Kipo-Filter vorfindet.
Es wird auch keiner klagen, wenn mit
http://www.provider.xyz/verboteneinhalte/
nebenbei dreihundert private Blogs ohne Impressum gesperrt werden. Deren Katzencontent, der eh nicht §5 TMG genügt, ist ja nicht relevant für die Meinungsbildung. Ohne Zugriff auf die Sperrlisten ist es aber nicht möglich, herauszufinden, wie groß die Kollateralschäden sein werden. Weder die liebgewonnene Kontrolle durch Bürgerinitiativen und Journalisten ist so möglich, noch durch Gerichte. Dass eine Seite von mir auch einer Sperrliste gelandet ist, weil jemand Referrer manipuliert hat, werde ich ahnen, wenn meine Statistiken fast nur noch Seitenzugriffe aus dem Ausland ausweisen. Wissen werde ich es nie. Das erinnert fatal an Dateien wie Gewalttäter Sport, in denen nachweislich unbescholtene Fans als vermeintliche Hooligans gelandet sind.
Wir sind also bald mit einem System von Internetsperren konfrontiert, das legitime Surfer in vielen Fällen davon abhalten wird, legale Inhalte ausgeliefert zu bekommen, einen veritablen Beitrag zur Unterschlagung von Emails leisten wird und nur die stupidesten Konsumenten von Kinderpornografie davon abhalten wird, die gesuchten Inhalte zu finden — kein Kind weniger wird mißbraucht werden, aber im Superwahljahr wird die Familienministerin als Superfamilienministerin dastehen und sieben Superprovider zeigen, dass sie den Kampf gegen Kinderpornografie aufgenommen haben.
Nachtrag, 8. Februar 2009: Ein Gutachten des Wissenschaftlichen Dienstes des Deutschen Bundestags kanzelt von der Leyens Idee als weltfremd ab. Ich bin sicher, dass dieses Thema dennoch nicht ausgestanden ist.
Nachtrag, 9. Februar 2009: Das Gutachten gibt es bei Netzpolitik.org, beim Lawblog wird auch schon diskutiert…
China als Vorbild…
Wie notwendig netzpolitik.org ist zeigt sich fast täglich.
Jetzt veröffentlichte netzpolitik.org ein Gutachten des Wissenschaftlichen Dienstes des Bundestags mit dem Titel “Sperrverfügung gegen Internet-Provider”.
……