Mattlog

Gedanken und Hintergedanken. Außerdem: Computer, Autos, die dicke Katze von nebenan, Biber in der Innenstadt, meine Freundin und Ich.

Zum Panopticon...

Verantwortlich für den Inhalt dieser Seite ist Mattias Schlenker, Inhaber Mattias Schlenker IT-Consulting Mattias Schlenker work Dietrich-Bonhoeffer-Str. 3, 40667 Meerbusch. Germany work Fon +49 2132 9952906. http://www.mattiasschlenker.de

Diese Seite läuft unter Wordpress 2.x.y. News und Kommentare können als RSS-2.0-Feed abonniert werden.

Archiv für June, 2009

Zur Technologieneutralität der geplanten Sperren

Tuesday, June 16th, 2009

Ich wurde in den letzten Tagen mehrfach darauf hingewiesen, dass die Sperrlisten ja komplette URLs enthalten und damit die Kollateralschäden hinsichtlich Unzustellbarkeit von Emails oder des Overblockings nicht vorkommen müssen. Tatsächlich heisst es im Gesetzentwurf:

Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt.

Demnach sollen die Provider Listen nicht nur der Domainnamen, sondern tatsächlich komplette URLs, wohl auch mit GET-Parametern erhalten. Sehen wir uns die Alternativen an:

  1. Sperrung auf IP-Ebene:

    Es gibt keine Möglichkeit, zuverlässig herauszufinden, ob hinter einer IP-Adresse nur eine Domain gehostet wird oder zu erkennen, wann eine Site auf einen Server umzieht oder von ihm wegzieht. Nicht einmal das Ausbleiben von HTTP-Verkehr auf eine bestimmte Domain könnte als Indiz gewertet werden, dass bestimmte Hosts einer Domain nicht auf dem Server liegen — schließlich muss eine Domain nicht zwangsläufig zum Hosten von Webseiten verwendet werden oder kann momentan einfach brach liegen. Selbst wenn man beim Aussprechen der Sperrverfügung für eine IP-Adresse sicher ist, dass hinter ihr nur illegale Inhalte gehostet werden, kann es sich um einen Shared Hosting Server handeln, der grade erst befüllt wird.

    Wie schnell es zum Overblocking kommen kann, hat die Youporn-Sperre durch Vodafone bewiesen, dort haben einige Provider auf IP-Ebene geblockt, ohne zu berücksichtigen, dass Youporn zu dieser Zeit sich Server mit anderen Inhalten teilte. Die Kollateralschäden dieser Form der Sperrung sind nicht zu überblicken.

  2. Sperrung auf Ebene der vollständigen Zieladresse:

    Der einzig technisch praktikable Ansatz, dies zu realisieren ist die in Großbritannien gebräuchliche Cleanfeed-Methode. Hier werden “verdächtige” Hostnamen entweder per DNS- oder per Router-Manipulation auf einen transparenten Proxy umgeleitet. Dieser filtert angefragte HTTP-Requests und liefert nur bei bestimmten Mustern das “Stoppschild” zurück. Eine derartige Filterung wirkt auf den ersten Blick eleganter (weil weniger anfällig gegen Overblocking), hat jedoch den Beigeschmack, dass hier Privatunternehmen beauftragt wären, die Kommunikation ihrer Kunden zu überwachen. Nicht schön: Ein HTTP-Request kann persönliche Daten sichtbar in GET-Parametern, aber ebenso unsichtbar in Cookies oder POST-Requests transportieren. Ich habe wenig Vertrauen, dass ein Privatunternehmen wie die T-Com die anfallenden Daten vertraulich behandelt.

Die vermeintlich “technologieneutrale” Formulierung hält einige massive Problematiken aus grundrechtlicher Sicht bereit:

  • Freie Wahl der Sperrmethodik:

    Den Providern werden keine Auflagen gemacht, Overblocking zu vermeiden. Ein Provider, der per Routingtabelle sperrt und täglich die IP-Adressen der auf der Sperrliste verzeichneten Domains ins Nirvana oder zum eigenen Stoppseitenserver routet, kann nicht für Overblocking verantwortlich gemacht werden, er erfüllt nur den Wortlaut des Gesetzes, auch wenn nur eine Domain auf einem Shared-Hosting-Server mit 50.000 anderen Domains nur eine kurzzeitig kinderpornografische Inhalte enthielt. Beschwerden sind zwar nachträglich übers Verwaltungsgericht möglich, doch möchte ich nicht wissen, wie lang ein Verfahren dauert, wenn plötzlich eine sehr große Anzahl versehentlich mitblockierter Seiteninhaber klagt.

  • Analyse des kompletten (unverschlüsselten) Datenverkehrs des Kunden:

    Warum nicht einfach auf die erste Stufe von Cleanfeed verzichten und stattdessen den gesamten HTTP-Verkehr über einen transparenten Proxy schicken? Neben einer Vereinfachung der Sperrinfrastruktur hat dies für den Provider den Vorteil, dass häufig angeforderte Inhalte gecachet werden können. Dies ist keine Zukunftsvision: Wer via Vodafones Websessions surft, bekommt (je nach Wal des Access-Points, Stand Januar 2009) von diesem transparenten Proxy Grafiken in schlechterer Qualität ausgeliefert, um den Traffic gering zu halten. Jene Mechanismen, die zur Identifikation von angeforderten Grafiken dienen, können ohne Änderungen dazu benutzt werden, die Sperrverfügungen umzusetzen. Während es bislang möglich ist, durch die Wahl des Access Points einen mobilen Internetzugang ohne Proxy zu verwenden, wird dies nach Implementierung der Sperrtechnologien nicht mehr möglich sein und sämtlicher ein- und ausgehende HTTP-Verkehr wird von einem Privatunternehmen analysiert werden.

Analog zur Welt der Post bedeutet der gegenwärtige Gesetzentwurf in etwa: Wir machen Listen mit den Adressen von bösen Leuten, die kinderpornografische Inhalte per Versandhandel vertreiben und die Post muss dann alle Postkarten prüfen, ob diese an die bösen Leute gerichtet sind. Ist das der Fall, behaltet Ihr die Postkarte und liefert die Stopkarte zurück. Wie Ihr das macht ist uns egal: Ihr dürft alle Postkarten, die über Euer System laufen, komplett lesen, wenn das einfacher erscheint oder Ihr dürft (analog zur IP-Adresse) gerne die Postkarten an einen ganzen Postleitzahlbezirk einkassieren.

Wir diskutieren momentan hauptsächlich über die Sperrung per manipuliertem DNS-Server, weil diese einerseits am einfachsten umzusetzen ist (wo nicht bereits transparente Proxies existieren) und andererseits viele Befürworter des Gesetzes sagen, dass die Nameserverabfrage vor dem Kommunikationsaufbau liegt. Ich an dieser Stelle einmal an die Juristen ab: In der gegen Overblocking anfälligen Sperrung auf IP-Ebene und der Analyse sämtlicher HTTP-Anfragen sehe ich einen klaren Verstoß gegen Artikel 5 und 10 unserer Verfassung. Selbst nach Streichen dieser Passagen bliebe noch die DNS-Sperre, die zumindest das Potential hat, den Email-Verkehr massiv zu behindern und damit auch in den Schutzbereich von Artikel 10 eingreift.

Selbst wenn es gelänge, das Gesetz dennoch — ausschließlich mit DNS-basierten Sperren — umzusetzen, bleibt die Frage nach der Verhältnismäßigkeit: Aus Bundesmitteln wird derzeit die Einführung von DNSSEC gefördert, welche das Gesetz mittelfristig wirkungslos machen wird. Eine Verhältnismäßigkeit zwischen den wenigen Seiten, auf denen die Sperre in zwei oder drei Jahren noch nutzt, dem Aufwand für den Aufbau der Sperrinfrastruktur und den gebundenen Personalkapazitäten von BKA-Mitarbeiter, die statt zur Sperrlistenpflege mit besserer Schulung effizienter zur tatsächlichen Verfolgung von kinderpornografischen Angeboten eingesetzt werden sollten, ist nicht gegeben.

Auf das Mißbrauchspotential von Cleanfeed oder anderen Lösungen, die auf transparenten Proxies beruhen, gehe ich später ein…

Stoppseiten: Was passiert mit E-Mails?

Friday, June 12th, 2009

Gastbeitrag von mir im Lawblog:

DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.

Die Funktionsweise der im “Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen” geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des “Stoppseitenservers”, der entweder beim BKA oder beim Provider stehen wird.

Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.

Weiterlesen im Lawblog…

Internetsperren für Killerspiele?

Thursday, June 11th, 2009

Was möchte uns Thomas Strobl mit diesem Satz sagen?

In jedem Fall sollte aber meines Erachtens in der Debatte, welche Maßnahmen zur Gewaltprävention ergriffen werden, die von den Bundesministern von der Leyen und Schäuble vorgeschlagene Sperrung von kinderpornografischen Seiten im Internet mit Blick auf Killerspiele neu diskutiert werden.

Ich weiss es nicht. Vielleicht, dass die Internetsperren auch für “Killerspielewebsites” und “Killerspieleportale” genutzt werden sollten? Oder dass Killerspieler leichter zu KiPo-Konsumenten werden? Dass KiPo-Konsumenten erst virtuell, dann real töten wollen?

Mir scheint eher, als wolle Thomas Strobl einfach bei beiden emotionsgeladenen Themen medial präsent sein. Das ist ihm gelungen, ich schreibe drüber.

Nachtrag: Auch Netzpolitik nimmt sich des Themas an und das Lawblog.

Nachtrag, 19. Juni: Thomas Strobl hat seine Forderungen bekräftigt und möchte nun offenbar die nächste Sau durchs Dorf treiben. Artikel bei Golem.

Brief ans Familienministerium: DNSSEC vs. Kinderpornosperren

Wednesday, June 10th, 2009

So, der Brief ans Familien- und Wirtschaftsministerium ist raus, morgen folgen die Ausschüssen respektive Arbeitsgruppen “Wirtschaft und Telekommunikation” sowie “Soziales”.

Worum geht es? Um die Wirkungslosigkeit von Internetsperren auf DNS-Ebene vor dem Hintergrund der Einführung von DNSSEC, einem Signaturverfahren für Nameservereinträge. Brisant: Das Bundesamt für Sicherheit in der Informationstechnologie unterstützt derzeit in einem Feldversuch die Einführung von DNSSEC . Hier wird also mit Bundesmitteln und damit Steuergeldern eine absolut begrüßenswerte Technologie eingeführt, welche aber gleichzeitig die Sinnlosigkeit des Sperransatzes im “Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen” entlarvt.

Ich argumentiere hauptsächlich auf technischer Ebene, die rechtlichen und gesellschaftspolitischen Argumente wurden von verschiedenen Seiten — auch in den von Familien- und Wirtschaftsministerium  eingeholten Gutachten — mehrfach vorgebracht.

Nachtrag, 11. Juni: Heise hat einen älteren, sehr lesenswerten Artikel zu DNSSEC und Sperren per Nameservermanipulation. Es dürfte mittelfristig darauf hinauslaufen, dass der Client einen Resolver bekommt und der manipulierte Nameserver des Providers gar nicht mehr angefragt wird.