Mattlog

Gedanken und Hintergedanken. Außerdem: Computer, Autos, die dicke Katze von nebenan, Biber in der Innenstadt, meine Freundin und Ich.

Zum Panopticon...

Verantwortlich für den Inhalt dieser Seite ist Mattias Schlenker, Inhaber Mattias Schlenker IT-Consulting Mattias Schlenker work Dietrich-Bonhoeffer-Str. 3, 40667 Meerbusch. Germany work Fon +49 2132 9952906. http://www.mattiasschlenker.de

Diese Seite läuft unter Wordpress 2.x.y. News und Kommentare können als RSS-2.0-Feed abonniert werden.

Erst Fakten, dann Gesetze — von der Leyen und lustige Ideen für ein sauberes Netz

Da haben sich also Vertreter der größten Internetprovider mit Frau von der Leyen getroffen und beschlossen, dass deutsche Surfer in Zukunft keinen Zugriff auf Kinderpornografie mehr haben werden. Ab Ende Februar ist es soweit: Die großen Provider verpflichten sich selbst, nach Sperrlisten des BKAs zu filtern. Weil die Familienministerin es so will und aufmüpfige Provider schnell den Ruf weghätten, Kinderpornografie Vorschub zu leisten, werden wir in weniger als vier Wochen ein zensiertes Web haben — ohne Rechtsgrundlage und mit fragwürdigem Nutzen.

Ich werde in diesem Artikel darauf eingehen, warum die von den Providern zugesagte Lösung die denkbar schlechteste aller Möglichkeiten ist: Sie kann leicht umgangen werden, hat massive Kollateralschäden zur Folge und es fehlt ihr die nötige Transparenz, die zur Kontrolle und gegebenenfalls der gerichtlichen Überprüfung der Sperrlisten notwendig ist.

Wie wird gesperrt?

Nach den bislang durchgesickerten Meldungen läuft das Verfahren so, dass Provider vom BKA Listen mit zu sperrenden Seiten bekommen und die Sperrung dann übers Domain-Name-System läuft. Um zu verstehen, wo die Sperre greift, spielen wir einfach einen typischen Aufruf durch.

Sie tippen in die Adresszeile des Browsers die (hypothetische) Adresse

http://www.einedomain.xyz/

ein. Diese URI enthält einige Informationen: Sie wollen den Inhalt des “Wurzelverzeichnisses” “/” des Servers “www.einedomain.xyz” angezeigt bekommen, als Protokoll dient Hypertext Transfer Protocol. Als erstes wird Ihr Rechner beim Nameserver Ihres Providers nach der IP-Adresse des Rechners “www.einedomain.xyz” fragen. Ein Domain Name Server ist eine Art Telefonbuch fürs Internet — aus Namen werden Nummern. Auf die Anfrage

Welche Nummer hat www.einedomain.xyz?

erhalten Sie also die Antwort

Wählen Sie die 123.45.67.89!

Jetzt ist Ihr Browser an der Reihe. Er kontaktiert den Server 123.45.67.89 und schickt ihm die Nachricht, dass er gerne den Inhalt des Wurzelverzeichnisses sehen würde. Da hinter einer “Telefonnummer” viele Teilnehmer stehen können, muss er den Namen des virtuellen Servers mitteilen. Das Verfahren ist vergleichbar mit Bürohäusern, bei denen eine Sekretärin ein Dutzend kleine Büros betreut, eine Analogie wäre hier Anschluss (IP-Adresse) und Durchwahl (Name des virtuellen Servers). Tatsächlich sieht die Anfrage so aus:

GET / HTTP/1.1
Host: www.einedomain.xyz
Connection: Close

Sie können diese Abfrage nachspielen, indem Sie mit Telnet diesen Server auf Port 80 kontaktieren:

telnet 88.198.248.170 80

Je nach Eingabe von

GET / HTTP/1.1
Host: blog.mattiasschlenker.de
Connection: Close

oder

GET / HTTP/1.1
Host: blog.rootserverexperiment.de
Connection: Close

erhalten Sie entweder den Quelltext dieses Blogs oder den von blog.rootserverexperiment.de angezeigt. Die Von-Der-Leyen-Lösung setzt bereits beim Domain-Name-System an. In der Sperrliste für die Provider steht einfach, dass statt der Telefonnummer (IP-Adresse) des Kinderpornoservers die Telefonnummer (IP-Adresse) des BKA ausgeliefert werden soll. Auf die Anfrage

Welche Nummer hat www.boeserkiposerver.xyz?

erhalten Sie also die Antwort

Wählen Sie die 62.156.153.38!

Ja. Das ist die IP-Adresse von www.bka.de. Noch ist nicht ganz sicher, ob ein Server des BKA das Ziel der Adressauflösung ist oder Server beim Provider. Angedacht scheint jedenfalls eine Protokollierung.

Kollateralschäden bei der Sperrung

Kollateralschäden bei der Sperrung sind nicht ausgeschlossen. Stellen wir uns einen kleinen kostenlosen Provider vor, der Webspace nach dem Schema

http://www.provider.xyz/nutzername/

aufteilt. Die Sperre auf DNS-Ebene erfasst ja nur die Anfrage der “Telefonnummer” von www.provider.xyz. Zum Zeitpunkt der DNS-Abfrage ist nicht klar, ob eine folgende HTTP-Anforderung auf

http://www.provider.xyz/boesekipo/

oder

http://www.provider.xyz/uschisblumenblog/

lauten wird. Das BKA — welches die Listen definieren wird — dürfte geneigt sein, dort wo es nicht auffällt — also wenn nur ein paar hundert Webseiten betroffen sind — rigoros sperren und andererseits dort, wo Kollateralschäden schnell einen Aufschrei bewirken werden, sich sehr zurückhalten. Es ist also Glückssache, ob Uschis Blumenblog am 1. März noch erreichbar sein wird. Andererseits wird der geschickt gewählte Speicherplatz für illegale Inhalte inmitten tausender unauffälliger Verzeichnisse dafür sorgen, dass auch unerwünschte Inhalte weiter im Netz bleiben.

Kollateralschäden bei der Protokollierung

Das BKA hat das ambitionierte Ziel, auch die Referrer zu protokollieren, also eine Liste von Seiten zu erstellen, die auf kinderpornografische Inhalte verweisen. Die Idee klingt zunächst einmal gut. Wer auf Kipo verlinkt, führt nichts Gutes im Schilde, doch die Referrer lassen sich leicht manipulieren, denn sie werden ja im HTTP-Request mitgeschickt und diesen können Sie bekanntlich per Telnet selbst absetzen. Seien wir kreativ:

GET / HTTP/1.1
Host: www.einedomain.xyz
Referer: http://blog.mattiasschlenker.de/
Connection: Close

Im Log des BKA wird nun http://blog.mattiasschlenker.de/ als verweisende Seite auftauchen. Nur oft genug, und es wird der Anschein erweckt, dass sich in den Kommentaren des Blogs Kipo-Sammler austauschen. Das muss unterbunden werden, also landet auch blog.mattiasschlenker.de auf Ursulas toller DNS-Sperrliste.

Ein weiteres Problem bei der Protokollierung ist, dass jeder Surfer in den Protokollen des BKA landen kann, wenn er eine Seite ansurft, die mittels “Link Prefetching” mögliche nächste Surfziele bereits vorweg laden lässt. Dieses Browser-Feature dient eigentlich der Reduzierung von Ladezeiten. Geschickt eingesetzt und bei Kenntnis der Sperrlisten kann man einen Surfer auf eine vermeintlich harmlose Seite locken, die im Hintergrund gesperrte Inhalte nachzuladen versucht um ihn ohne dessen Kenntnis in den Protokollen des BKA auftauchen lassen. Die Folgen dürften häufig unangenehm sein.

Kollateralschaden bei der Email-Zustellung

Es kommt noch schlimmer: Wenn ich eine Email an uschisblumenblog@provider.xyz schreibe, schaut mein Mail-Client zunächst im DNS nach, welcher Rechner als “Mail-Exchange” eingetragen ist. Oft ist das der erste Webserver — also www.provider.xyz. Dank der umgebogenen DNS-Auflösung erfolgt die Mail-Zustellung also nicht an Uschis Provider, sondern an den Server des BKA. Wenn ich Glück habe, ist dieser Server so konfiguriert, dass er Mails nicht annimmt oder Mails mit unbekanntem lokalem Nutzernamen zurückweist.

Ist er schlecht konfiguriert, nimmt er alles an. was auf Port 25 reinkommt. Ein Schelm, wer böses dabei denkt.

Umgehungsmöglichkeiten

Kommen wir zum spannenden Teil: Es gibt keine einfacher zu umgehende Sperre als die DNS-Sperre. Wenn die sieben größten Provider Ihren DNS so konfiguriert haben, dass “Telefonbucheinträge” umgebogen werden, konfiguriert der böse Kinderpornografiekonsument seinen PC oder seinen DSL-Router so, dass der DNS-Server des achten verwendet wird — was mit drei Klicks erledigt ist. Und wenn der mitzieht, nimmt man einen in den USA.

Prinzipiell könnte die Manipulation am DNS die Nutzer der dunklen Seite des Netzes sogar auf Ideen bringen: Wie wäre es mit eigenen DNS, die Phantasiedomains auflösen? Technisch ist es nicht einmal ein Problem, selbst einige wenige Nameserver auf die Schattentoplevel-Domain “.kipo” einzurichten, und damit Anfragen auf

Welche Nummer hat www.eklig.kipo?

zu beantworten. Das BKA steht in diesem Fall vor zwei Problemen: Erstens kontrolliert sie den DNS-Server nicht, der die vermeintliche Topleveldomain .kipo auflöst, weil dieser wechselt und die Konsumenten ihn in der Suchreihenfolge vor allen anderen Nameservern eingetragen haben und zweitens ist die Angabe des als “Host:” beim HTTP-Aufruf angegebenen Ziels natürlich umso schwerer zu verfolgen, je ungewöhnlicher die übergebenen Hostnamen werden:

GET / HTTP/1.1
Host: www.eklig.kipo
Connection: Close

Noch tiefer unters Radar rutschen die Kipo-Konsumenten, wenn sie nicht eigene DNS-Server einrichten, sondern einfach Listen zur Namensauflösung verteilen, die auf den betreffenden Rechnern in die Datei “/etc/hosts” eingetragen werden. Der Inhalt dieser Datei wird vor der Anfrage an einen DNS-Server ausgelesen. Ich selbst benutze die Hosts-Datei, um mit Phantasiedomainnamen wie www.kundenname.de.test (die TLD .test ist Testzwecken vorbehalten) Zugriff auf in der Erstellung befindliche Projekte zu geben. Der von mir für legale und legitime Zwecke eingesetzte Kniff lässt sich natürlich auch für den Zugriff auf illegale Inhalte zweckentfremden.

Mangelnde Transparenz

Ich halte mich nicht für besonders clever. Das BKA in seiner Gesamtheit ist sicher nicht blöder als ich und hält sich daher dezent im Hintergrund, während das Ressort von Frau von der Leyen den Erfolg feiern darf. Allerdings ist bislang keine Kontrolle der Sperrliste vorgesehen. Warum wohl? Eine Herausgabe auf breiter Front könnte die Konsumenten der betreffenden Inhalte eher zum Konsum ermutigen — Umgehungsmöglichkeiten sind ja bekannt. Die Herausgabe an Journalisten hätte zur Folge, dass die Unzulänglichkeiten und Kollateralschäden binnen Tagen aufgedeckt wären.

Mit der so vorgeschlagenen und langsam durchgedrückten Sperrliste werden zunächst amerikanische Pornoserver vom deutschen Angebot verschwinden, die Inhalte tausender Pornosites aggregieren. Denn, ob

www.pornoserver.xyz/ueber21

gesperrt ist oder nicht, weil

www.pornoserver.xyz/teensex

vermeintliche Kinderpornographie enthält, kümmert hierzulande kaum jemanden, weil auch in den USA legale Inhalte meist deutsche Jugendschutzbestimmungen (Postident) nicht erfüllen. Ein US-Pornoanbieter kann demnach nicht klagen, ein volljähriger deutscher Pornokonsument dürfte aus Scham von einer Klage absehen, wenn er seine Lieblings-US-Seite plötzlich im Kipo-Filter vorfindet.

Es wird auch keiner klagen, wenn mit

http://www.provider.xyz/verboteneinhalte/

nebenbei dreihundert private Blogs ohne Impressum gesperrt werden. Deren Katzencontent, der eh nicht §5 TMG genügt, ist ja nicht relevant für die Meinungsbildung. Ohne Zugriff auf die Sperrlisten ist es aber nicht möglich, herauszufinden, wie groß die Kollateralschäden sein werden. Weder die liebgewonnene Kontrolle durch Bürgerinitiativen und Journalisten ist so möglich, noch durch Gerichte. Dass eine Seite von mir auch einer Sperrliste gelandet ist, weil jemand Referrer manipuliert hat, werde ich ahnen, wenn meine Statistiken fast nur noch Seitenzugriffe aus dem Ausland ausweisen. Wissen werde ich es nie. Das erinnert fatal an Dateien wie Gewalttäter Sport, in denen nachweislich unbescholtene Fans als vermeintliche Hooligans gelandet sind.

Wir sind also bald mit einem System von Internetsperren konfrontiert, das legitime Surfer in vielen Fällen davon abhalten wird, legale Inhalte ausgeliefert zu bekommen, einen veritablen Beitrag zur Unterschlagung von Emails leisten wird und nur die stupidesten Konsumenten von Kinderpornografie davon abhalten wird, die gesuchten Inhalte zu finden — kein Kind weniger wird mißbraucht werden, aber im Superwahljahr wird die Familienministerin als Superfamilienministerin dastehen und sieben Superprovider zeigen, dass sie den Kampf gegen Kinderpornografie aufgenommen haben.

Nachtrag, 8. Februar 2009: Ein Gutachten des Wissenschaftlichen Dienstes des Deutschen Bundestags kanzelt von der Leyens Idee als weltfremd ab. Ich bin sicher, dass dieses Thema dennoch nicht ausgestanden ist.

Nachtrag, 9. Februar 2009: Das Gutachten gibt es bei Netzpolitik.org, beim Lawblog wird auch schon diskutiert

5 Antworten auf “Erst Fakten, dann Gesetze — von der Leyen und lustige Ideen für ein sauberes Netz”

  1. fuselfieber (February 10th, 2009 um 12:24 am)

    China als Vorbild…

    Wie notwendig netzpolitik.org ist zeigt sich fast täglich.
    Jetzt veröffentlichte netzpolitik.org ein Gutachten des Wissenschaftlichen Dienstes des Bundestags mit dem Titel “Sperrverfügung gegen Internet-Provider”.
    ……