Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt.

Demnach sollen die Provider Listen nicht nur der Domainnamen, sondern tatsächlich komplette URLs, wohl auch mit GET-Parametern erhalten. Sehen wir uns die Alternativen an:

1. Sperrung auf IP-Ebene:

   Es gibt keine Möglichkeit, zuverlässig herauszufinden, ob hinter einer IP-Adresse nur eine Domain gehostet wird oder zu erkennen, wann eine Site auf einen Server umzieht oder von ihm wegzieht. Nicht einmal das Ausbleiben von HTTP-Verkehr auf eine bestimmte Domain könnte als Indiz gewertet werden, dass bestimmte Hosts einer Domain nicht auf dem Server liegen — schließlich muss eine Domain nicht zwangsläufig zum Hosten von Webseiten verwendet werden oder kann momentan einfach brach liegen. Selbst wenn man beim Aussprechen der Sperrverfügung für eine IP-Adresse sicher ist, dass hinter ihr nur illegale Inhalte gehostet werden, kann es sich um einen Shared Hosting Server handeln, der grade erst befüllt wird.

   Wie schnell es zum Overblocking kommen kann, hat die Youporn-Sperre durch Vodafone bewiesen, dort haben einige Provider auf IP-Ebene geblockt, ohne zu berücksichtigen, dass Youporn zu dieser Zeit sich Server mit anderen Inhalten teilte. Die Kollateralschäden dieser Form der Sperrung sind nicht zu überblicken.

2. Sperrung auf Ebene der vollständigen Zieladresse:

   Der einzig technisch praktikable Ansatz, dies zu realisieren ist die in Großbritannien gebräuchliche Cleanfeed-Methode. Hier werden “verdächtige” Hostnamen entweder per DNS- oder per Router-Manipulation auf einen transparenten Proxy umgeleitet. Dieser filtert angefragte HTTP-Requests und liefert nur bei bestimmten Mustern das “Stoppschild” zurück. Eine derartige Filterung wirkt auf den ersten Blick eleganter (weil weniger anfällig gegen Overblocking), hat jedoch den Beigeschmack, dass hier Privatunternehmen beauftragt wären, die Kommunikation ihrer Kunden zu überwachen. Nicht schön: Ein HTTP-Request kann persönliche Daten sichtbar in GET-Parametern, aber ebenso unsichtbar in Cookies oder POST-Requests transportieren. Ich habe wenig Vertrauen, dass ein Privatunternehmen wie die T-Com die anfallenden Daten vertraulich behandelt.

Die vermeintlich “technologieneutrale” Formulierung hält einige massive Problematiken aus grundrechtlicher Sicht bereit:

• Freie Wahl der Sperrmethodik:

  Den Providern werden keine Auflagen gemacht, Overblocking zu vermeiden. Ein Provider, der per Routingtabelle sperrt und täglich die IP-Adressen der auf der Sperrliste verzeichneten Domains ins Nirvana oder zum eigenen Stoppseitenserver routet, kann nicht für Overblocking verantwortlich gemacht werden, er erfüllt nur den Wortlaut des Gesetzes, auch wenn nur eine Domain auf einem Shared-Hosting-Server mit 50.000 anderen Domains nur eine kurzzeitig kinderpornografische Inhalte enthielt. Beschwerden sind zwar nachträglich übers Verwaltungsgericht möglich, doch möchte ich nicht wissen, wie lang ein Verfahren dauert, wenn plötzlich eine sehr große Anzahl versehentlich mitblockierter Seiteninhaber klagt.

• Analyse des kompletten (unverschlüsselten) Datenverkehrs des Kunden:

  Warum nicht einfach auf die erste Stufe von Cleanfeed verzichten und stattdessen den gesamten HTTP-Verkehr über einen transparenten Proxy schicken? Neben einer Vereinfachung der Sperrinfrastruktur hat dies für den Provider den Vorteil, dass häufig angeforderte Inhalte gecachet werden können. Dies ist keine Zukunftsvision: Wer via Vodafones Websessions surft, bekommt (je nach Wal des Access-Points, Stand Januar 2009) von diesem transparenten Proxy Grafiken in schlechterer Qualität ausgeliefert, um den Traffic gering zu halten. Jene Mechanismen, die zur Identifikation von angeforderten Grafiken dienen, können ohne Änderungen dazu benutzt werden, die Sperrverfügungen umzusetzen. Während es bislang möglich ist, durch die Wahl des Access Points einen mobilen Internetzugang ohne Proxy zu verwenden, wird dies nach Implementierung der Sperrtechnologien nicht mehr möglich sein und sämtlicher ein- und ausgehende HTTP-Verkehr wird von einem Privatunternehmen analysiert werden.

Analog zur Welt der Post bedeutet der gegenwärtige Gesetzentwurf in etwa: Wir machen Listen mit den Adressen von bösen Leuten, die kinderpornografische Inhalte per Versandhandel vertreiben und die Post muss dann alle Postkarten prüfen, ob diese an die bösen Leute gerichtet sind. Ist das der Fall, behaltet Ihr die Postkarte und liefert die Stopkarte zurück. Wie Ihr das macht ist uns egal: Ihr dürft alle Postkarten, die über Euer System laufen, komplett lesen, wenn das einfacher erscheint oder Ihr dürft (analog zur IP-Adresse) gerne die Postkarten an einen ganzen Postleitzahlbezirk einkassieren.

Wir diskutieren momentan hauptsächlich über die Sperrung per manipuliertem DNS-Server, weil diese einerseits am einfachsten umzusetzen ist (wo nicht bereits transparente Proxies existieren) und andererseits viele Befürworter des Gesetzes sagen, dass die Nameserverabfrage vor dem Kommunikationsaufbau liegt. Ich an dieser Stelle einmal an die Juristen ab: In der gegen Overblocking anfälligen Sperrung auf IP-Ebene und der Analyse sämtlicher HTTP-Anfragen sehe ich einen klaren Verstoß gegen Artikel 5 und 10 unserer Verfassung. Selbst nach Streichen dieser Passagen bliebe noch die DNS-Sperre, die zumindest das Potential hat, den Email-Verkehr massiv zu behindern und damit auch in den Schutzbereich von Artikel 10 eingreift.

Selbst wenn es gelänge, das Gesetz dennoch — ausschließlich mit DNS-basierten Sperren — umzusetzen, bleibt die Frage nach der Verhältnismäßigkeit: Aus Bundesmitteln wird derzeit die Einführung von DNSSEC gefördert, welche das Gesetz mittelfristig wirkungslos machen wird. Eine Verhältnismäßigkeit zwischen den wenigen Seiten, auf denen die Sperre in zwei oder drei Jahren noch nutzt, dem Aufwand für den Aufbau der Sperrinfrastruktur und den gebundenen Personalkapazitäten von BKA-Mitarbeiter, die statt zur Sperrlistenpflege mit besserer Schulung effizienter zur tatsächlichen Verfolgung von kinderpornografischen Angeboten eingesetzt werden sollten, ist nicht gegeben.

Auf das Mißbrauchspotential von Cleanfeed oder anderen Lösungen, die auf transparenten Proxies beruhen, gehe ich später ein…

DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.

Die Funktionsweise der im “Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen” geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des “Stoppseitenservers”, der entweder beim BKA oder beim Provider stehen wird.

Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.

Weiterlesen im Lawblog…

In jedem Fall sollte aber meines Erachtens in der Debatte, welche Maßnahmen zur Gewaltprävention ergriffen werden, die von den Bundesministern von der Leyen und Schäuble vorgeschlagene Sperrung von kinderpornografischen Seiten im Internet mit Blick auf Killerspiele neu diskutiert werden.

Ich weiss es nicht. Vielleicht, dass die Internetsperren auch für “Killerspielewebsites” und “Killerspieleportale” genutzt werden sollten? Oder dass Killerspieler leichter zu KiPo-Konsumenten werden? Dass KiPo-Konsumenten erst virtuell, dann real töten wollen?

Mir scheint eher, als wolle Thomas Strobl einfach bei beiden emotionsgeladenen Themen medial präsent sein. Das ist ihm gelungen, ich schreibe drüber.

Nachtrag: Auch Netzpolitik nimmt sich des Themas an und das Lawblog.

Nachtrag, 19. Juni: Thomas Strobl hat seine Forderungen bekräftigt und möchte nun offenbar die nächste Sau durchs Dorf treiben. Artikel bei Golem.

Worum geht es? Um die Wirkungslosigkeit von Internetsperren auf DNS-Ebene vor dem Hintergrund der Einführung von DNSSEC, einem Signaturverfahren für Nameservereinträge. Brisant: Das Bundesamt für Sicherheit in der Informationstechnologie unterstützt derzeit in einem Feldversuch die Einführung von DNSSEC . Hier wird also mit Bundesmitteln und damit Steuergeldern eine absolut begrüßenswerte Technologie eingeführt, welche aber gleichzeitig die Sinnlosigkeit des Sperransatzes im “Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen” entlarvt.

Ich argumentiere hauptsächlich auf technischer Ebene, die rechtlichen und gesellschaftspolitischen Argumente wurden von verschiedenen Seiten — auch in den von Familien- und Wirtschaftsministerium  eingeholten Gutachten — mehrfach vorgebracht.

• Mein Brief als PDF

Nachtrag, 11. Juni: Heise hat einen älteren, sehr lesenswerten Artikel zu DNSSEC und Sperren per Nameservermanipulation. Es dürfte mittelfristig darauf hinauslaufen, dass der Client einen Resolver bekommt und der manipulierte Nameserver des Providers gar nicht mehr angefragt wird.

Ursula von der Leyen erklärte heute den Durchbruch im Kampf gegen Kinderpornografie. Da Bestellungen einschlägigen Materials immer öfter per Telefon erfolgten, drängte Ursula von der Leyen auf eine gemeinsame Lösung mit Telefonbuchverlagen und Telefonauskünften.

Mit Erfolg: Heute wurde im sogenannten Auskunftsgipfel der Durchbruch erreicht: Telefonbuchverlage und Auskünfte erhalten vom BKA Listen mit Personen, die Kinderpornografie verbreiten. Die Telefonauskünfte geben statt den tatsächlichen Telefonnummern bei einer Anfrage Telefonnummern des BKA heraus, wo der Anrufer ein sogenanntes “STOPP-Band” zu hören bekommt, das ihn über die Folgen dieses schrecklichen Geschäfts aufklärt.

Ursula von der Leyen zum erreichten Durchbruch: “Ich war mir sicher, dass wir schnell zu einer Einigung kommen. Es darf nicht sein, dass Telefonauskünfte und Telefonbuchverlage sich wie bisher ihrer Verantwortung entziehen und Beihilfe zur Verbreitung der Dokumentation gequählter Kinder leisten.”

Noch nicht eindeutig geklärt ist die Überwachung der STOPP-Bänder: Befürworter der Telefonsperrlisten wünschen sich eine Protokollierung der Anrufe durch das BKA und sofortige Strafverfolgung der Anrufer.

Hausdurchsuchung und Untersuchungshaft, weil man bei der Anfrage an die Telefonauskunft nach Hans-Peter Meyer und nicht nach Hans-Peter Maier gefragt hat? Der Vergleich scheint auf den ersten Blick abwegig zu klingen, aber nichts anderes hat die große Koalition vor: Die vorgeblichen Internetsperren setzen bei dem im Hintergrund angefragten Auskunftssystem, dem DNS (Domain Name System) an, welches Domainnamen (Anschlussinhaber) auf IP-Adressen (das Gegenstück zur Telefonnummer) auflöst.

Dass so etwas nicht funktionieren kann, sollte auch dem Laien klar sein. Eine nicht ganz korrekte Schreibweise eines Namens, ein falscher vermuteter Ort eines Anschlussinhabers (.com-Domain statt .de-Domain oder Oldenburg (Westfalen) vs. Oldenburg (Oldenbg.)) und schon sieht sich ein unschuldiger Bürger der Strafverfolgung ausgesetzt. Auf der anderen Seite dürfte sich natürlich im Untergrund schnell ein Schwarzmarkt für die Listen derart “umgeleiteter” Anschlussinhaber entwickeln, einfacher kann man Lieferanten von Kinderpornografie nicht der interessierten Klientel servieren.

“Problemfall” DNSSEC

Nun hat ausgerechnet eine Behörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnologie, Ideen die einer Nameserver basierten Sperrung ganz deutlich zuwiderlaufen. In der Vergangenheit haben sogenannte Phisher immer wieder versucht, Nutzern manipulierte Nameserver in Kombination mit nachgeahmten Webseiten unterzuschieben. Im Vergleich mit dem Telefonnetz hieße dies, dass Kriminelle eine eigene Auskunft betreiben, diese massiv bewerben und gefälschte Telefonnummern von Callcentern fürs Online-Banking herausgeben. Die Callcenter betreiben die Kriminellen gleich mit und weil wir gerne die Option “Soll ich Sie verbinden?” nutzen, prüft kaum jemand die angegebene Nummer — oder kennen Sie die IP-Adresse ihres Online-Banking-Servers?

In der technischen Welt des Internet soll eine kryptografische Signatur des Pärchens “Hostname — IP-Adresse” künftig sicherstellen, dass keine manipulierten IP-Adressen herausgegeben werden (DNSSEC). In der realen Welt ist dies tatsächlich mit einer Unterschrift vergleichbar. Fehlt diese oder erscheint sie komisch, ist Vorsicht angebracht. Denkbar ist, dass künftig unsere PCs bei einer manipulierten oder nicht nachprüfbaren Signaturen solange andere Telefonauskünfte anfragen, bis eine nachprüfbare Antwort eintrifft.

Nächster Schritt: Kommunikation beobachten

Das Bundesfamilien- und das Bundesjustizministerium wissen von der Unzulänglichkeit der Sperre auf Auskunftsebene und fassen den Gesetzentwurf deshalb bewußt so schwammig, dass auch andere Maßnahmen der Prüfung möglich sind, ob den nun illegale Inhalte angefordert werden. Das nächstliegende wäre eine Filterung der Anfragen auf HTTP-Ebene: Was wird denn nun angefordert?

Hier muss ein anderer Vergleich bemüht werden: Eine Bestellpostkarte. Wir zwingen die Post ab sofort dazu, alle Postkarten automatisch auf bestimmte Begriffe oder Artikelnummer zu scannen. Steht eine der angeforderten Artikelnummern auf der schwarzen Liste, werden Sender und Empfänger ausfindig gemacht und der Strafverfolgung zugeführt. Es stört Sie doch sicher nicht, dass das BKA alle Postkarten überprüft — seien es Urlaubskarten oder neckische Anspielungen, die verliebte Paare einander machen: schließlich dient die Durchleuchtung dem Wohle der Kinder?

Übrigens: Seit kurzem wurden Briefkästen auf offener Straße und der anonyme Versand von Postkarten abgeschafft. Postkarten und Briefe dürfen Sie nur noch auf dem Postamt abgeben, wo man Ihren Personalausweis sehen möchte. Die Absender- und Empfängerdaten werden sechs Monate lang gespeichert. Klingt zu sehr nach 1984? Im Internet ist es keine Dystopie: Vorratsdatenspeicherung ist längst Gesetz.

Nun mich würde es stören! Es geht das BKA nicht an, wer welchen Artikel dieses Blogs wie oft anfordert, wer kommentiert und wo ich nach einigen Minuten von meinem digitalen Hausrecht Gebrauch mache und Kommentare lösche. Die Internetstreife der verschiedenen Polizeien kann gerne vorbeikommen und sich wie jeder andere Surfer umschauen — schließlich sieht sie nicht, von wem ein Kommentar kommt.

Ich hätte also legitime Gründe, nur noch Anfragen zu bearbeiten, die nicht per Postkarte, sondern in einem versiegelten Umschlag gestellt werden. Wenn jemand mitliest, merkt man das sofort an einem gebrochenen Siegel. Allerdings gibt es Unterschiede zur realen Welt: Zuerst tauscht man in einem versiegelten Umschlag die kryptografischen Schlüssel aus. Kommen diese ungeöffnet an, nutzt man den Schlüssel, um Postkarten mit unknackbarem “Geheimcode” zu beschriften. Werden diese abgefangen, kann niemand ohne Schlüssel etwas damit anfangen.

Legal und legitim um die Sperre herum

Jetzt haben wir also den Salat: Eine Sperrinfrastruktur, die zu Methoden greift, die sonst eher Cyberkriminelle anwenden, wird zurecht durch Initiativen von Wirtschaftsministerium und BSI konterkariert, die unsere Infrastruktur gegen “Wirtschaftskriminalität im Internet” absichern wollen. Bleibt abzuwarten, ob nach der wenig wirksamen DNS-Sperre der Ruf nach automatischer Kommunikationsfilterung — also dem Scannen aller Postkarten — aufkommt. Viele Politiker nutzen ganz gezielt die Unwissenheit ihres Volkes, um mit zugkräftigen, aber letztlich inhaltsleeren Aussagen wie

“Das Internet darf kein rechtsfreier Raum sein!”

Gegner von nutzlosen und kontraproduktiven Maßnahmen zu Komplizen der “Kinderpornoindustrie” zu erklären. Ob es bei Aussagen wie dieser genauso einfach wäre?

“Das Postsystem darf kein rechtsfreier Raum sein, es ist eine Tatsache, dass vermehrt Kinderpornographie über die Post vertrieben wird!”

Wohl kaum: Eingriffe in das Postwesen werden auch von weniger technikaffinen Bürgern schnell als solche identifiziert und in ihrer Verhältnismäßigkeit in Frage gestellt.

Das eigentlich tragische der ganzen Debatte: Während Frau von der Leyen Wahlkampf betreibt, wir mit viel Zeit und Aufwand auf Nutzlosigkeit, potentielle Schäden und den Widerspruch zu unserer demokratischen Grundordnung hinweisen, verziehen sich die Tauscher von Kinderpornografie in dunkle Ecken, wo sie weiter ungestört ihrem Treiben nachgehen: Dort sind sie längst angekommen, so enthalten die finnischen Sperrlisten nur zu etwa einem Prozent tatsächlich kinderpornografische Inhalte, der Rest fällt unter “Kollateralschaden”. Dass sich dieses eine Prozent mit guter Ermittlungsarbeit auch noch größtenteils tilgen lässt, sollte eigentlich als Argument dafür genügen, dass keine halbgaren Sperren das richtige Mittel sind, sondern eine bessere Ausbildung der Ermittlungsbehörden, auf dass diese nicht nur Sperrlisten füllen, sondern gezielt gegen die Täter vorgehen können — und so vielleicht auch Mißbrauch von Kindern verhindert, der nicht dokumentiert werden würde.

Siehe auch:

• Netzpolitik zu “Von Laien zensiert”
• MOGIS: “Wir machen jetzt unsere eigene Propaganda”
• Netzpolitik zu einer unheiligen Allianz für schärfere Sperren — der Artikel greift die oben genannte Analyse von HTTP-Requests (“mitgelesene Bestellpostkarten”) auf

Ich werde in diesem Artikel darauf eingehen, warum die von den Providern zugesagte Lösung die denkbar schlechteste aller Möglichkeiten ist: Sie kann leicht umgangen werden, hat massive Kollateralschäden zur Folge und es fehlt ihr die nötige Transparenz, die zur Kontrolle und gegebenenfalls der gerichtlichen Überprüfung der Sperrlisten notwendig ist.

Wie wird gesperrt?

Nach den bislang durchgesickerten Meldungen läuft das Verfahren so, dass Provider vom BKA Listen mit zu sperrenden Seiten bekommen und die Sperrung dann übers Domain-Name-System läuft. Um zu verstehen, wo die Sperre greift, spielen wir einfach einen typischen Aufruf durch.

Sie tippen in die Adresszeile des Browsers die (hypothetische) Adresse

http://www.einedomain.xyz/

ein. Diese URI enthält einige Informationen: Sie wollen den Inhalt des “Wurzelverzeichnisses” “/” des Servers “www.einedomain.xyz” angezeigt bekommen, als Protokoll dient Hypertext Transfer Protocol. Als erstes wird Ihr Rechner beim Nameserver Ihres Providers nach der IP-Adresse des Rechners “www.einedomain.xyz” fragen. Ein Domain Name Server ist eine Art Telefonbuch fürs Internet — aus Namen werden Nummern. Auf die Anfrage

Welche Nummer hat www.einedomain.xyz?

erhalten Sie also die Antwort

Wählen Sie die 123.45.67.89!

Jetzt ist Ihr Browser an der Reihe. Er kontaktiert den Server 123.45.67.89 und schickt ihm die Nachricht, dass er gerne den Inhalt des Wurzelverzeichnisses sehen würde. Da hinter einer “Telefonnummer” viele Teilnehmer stehen können, muss er den Namen des virtuellen Servers mitteilen. Das Verfahren ist vergleichbar mit Bürohäusern, bei denen eine Sekretärin ein Dutzend kleine Büros betreut, eine Analogie wäre hier Anschluss (IP-Adresse) und Durchwahl (Name des virtuellen Servers). Tatsächlich sieht die Anfrage so aus:

GET / HTTP/1.1
Host: www.einedomain.xyz
Connection: Close

Sie können diese Abfrage nachspielen, indem Sie mit Telnet diesen Server auf Port 80 kontaktieren:

telnet 88.198.248.170 80

Je nach Eingabe von

GET / HTTP/1.1
Host: blog.mattiasschlenker.de
Connection: Close

oder

GET / HTTP/1.1
Host: blog.rootserverexperiment.de
Connection: Close

erhalten Sie entweder den Quelltext dieses Blogs oder den von blog.rootserverexperiment.de angezeigt. Die Von-Der-Leyen-Lösung setzt bereits beim Domain-Name-System an. In der Sperrliste für die Provider steht einfach, dass statt der Telefonnummer (IP-Adresse) des Kinderpornoservers die Telefonnummer (IP-Adresse) des BKA ausgeliefert werden soll. Auf die Anfrage

Welche Nummer hat www.boeserkiposerver.xyz?

erhalten Sie also die Antwort

Wählen Sie die 62.156.153.38!

Ja. Das ist die IP-Adresse von www.bka.de. Noch ist nicht ganz sicher, ob ein Server des BKA das Ziel der Adressauflösung ist oder Server beim Provider. Angedacht scheint jedenfalls eine Protokollierung.

Kollateralschäden bei der Sperrung

Kollateralschäden bei der Sperrung sind nicht ausgeschlossen. Stellen wir uns einen kleinen kostenlosen Provider vor, der Webspace nach dem Schema

http://www.provider.xyz/nutzername/

aufteilt. Die Sperre auf DNS-Ebene erfasst ja nur die Anfrage der “Telefonnummer” von www.provider.xyz. Zum Zeitpunkt der DNS-Abfrage ist nicht klar, ob eine folgende HTTP-Anforderung auf

http://www.provider.xyz/boesekipo/

oder

http://www.provider.xyz/uschisblumenblog/

lauten wird. Das BKA — welches die Listen definieren wird — dürfte geneigt sein, dort wo es nicht auffällt — also wenn nur ein paar hundert Webseiten betroffen sind — rigoros sperren und andererseits dort, wo Kollateralschäden schnell einen Aufschrei bewirken werden, sich sehr zurückhalten. Es ist also Glückssache, ob Uschis Blumenblog am 1. März noch erreichbar sein wird. Andererseits wird der geschickt gewählte Speicherplatz für illegale Inhalte inmitten tausender unauffälliger Verzeichnisse dafür sorgen, dass auch unerwünschte Inhalte weiter im Netz bleiben.

Kollateralschäden bei der Protokollierung

Das BKA hat das ambitionierte Ziel, auch die Referrer zu protokollieren, also eine Liste von Seiten zu erstellen, die auf kinderpornografische Inhalte verweisen. Die Idee klingt zunächst einmal gut. Wer auf Kipo verlinkt, führt nichts Gutes im Schilde, doch die Referrer lassen sich leicht manipulieren, denn sie werden ja im HTTP-Request mitgeschickt und diesen können Sie bekanntlich per Telnet selbst absetzen. Seien wir kreativ:

GET / HTTP/1.1
Host: www.einedomain.xyz
Referer: http://blog.mattiasschlenker.de/
Connection: Close

Im Log des BKA wird nun http://blog.mattiasschlenker.de/ als verweisende Seite auftauchen. Nur oft genug, und es wird der Anschein erweckt, dass sich in den Kommentaren des Blogs Kipo-Sammler austauschen. Das muss unterbunden werden, also landet auch blog.mattiasschlenker.de auf Ursulas toller DNS-Sperrliste.

Ein weiteres Problem bei der Protokollierung ist, dass jeder Surfer in den Protokollen des BKA landen kann, wenn er eine Seite ansurft, die mittels “Link Prefetching” mögliche nächste Surfziele bereits vorweg laden lässt. Dieses Browser-Feature dient eigentlich der Reduzierung von Ladezeiten. Geschickt eingesetzt und bei Kenntnis der Sperrlisten kann man einen Surfer auf eine vermeintlich harmlose Seite locken, die im Hintergrund gesperrte Inhalte nachzuladen versucht um ihn ohne dessen Kenntnis in den Protokollen des BKA auftauchen lassen. Die Folgen dürften häufig unangenehm sein.

Kollateralschaden bei der Email-Zustellung

Es kommt noch schlimmer: Wenn ich eine Email an uschisblumenblog@provider.xyz schreibe, schaut mein Mail-Client zunächst im DNS nach, welcher Rechner als “Mail-Exchange” eingetragen ist. Oft ist das der erste Webserver — also www.provider.xyz. Dank der umgebogenen DNS-Auflösung erfolgt die Mail-Zustellung also nicht an Uschis Provider, sondern an den Server des BKA. Wenn ich Glück habe, ist dieser Server so konfiguriert, dass er Mails nicht annimmt oder Mails mit unbekanntem lokalem Nutzernamen zurückweist.

Ist er schlecht konfiguriert, nimmt er alles an. was auf Port 25 reinkommt. Ein Schelm, wer böses dabei denkt.

Umgehungsmöglichkeiten

Kommen wir zum spannenden Teil: Es gibt keine einfacher zu umgehende Sperre als die DNS-Sperre. Wenn die sieben größten Provider Ihren DNS so konfiguriert haben, dass “Telefonbucheinträge” umgebogen werden, konfiguriert der böse Kinderpornografiekonsument seinen PC oder seinen DSL-Router so, dass der DNS-Server des achten verwendet wird — was mit drei Klicks erledigt ist. Und wenn der mitzieht, nimmt man einen in den USA.

Prinzipiell könnte die Manipulation am DNS die Nutzer der dunklen Seite des Netzes sogar auf Ideen bringen: Wie wäre es mit eigenen DNS, die Phantasiedomains auflösen? Technisch ist es nicht einmal ein Problem, selbst einige wenige Nameserver auf die Schattentoplevel-Domain “.kipo” einzurichten, und damit Anfragen auf

Welche Nummer hat www.eklig.kipo?

zu beantworten. Das BKA steht in diesem Fall vor zwei Problemen: Erstens kontrolliert sie den DNS-Server nicht, der die vermeintliche Topleveldomain .kipo auflöst, weil dieser wechselt und die Konsumenten ihn in der Suchreihenfolge vor allen anderen Nameservern eingetragen haben und zweitens ist die Angabe des als “Host:” beim HTTP-Aufruf angegebenen Ziels natürlich umso schwerer zu verfolgen, je ungewöhnlicher die übergebenen Hostnamen werden:

GET / HTTP/1.1
Host: www.eklig.kipo
Connection: Close

Noch tiefer unters Radar rutschen die Kipo-Konsumenten, wenn sie nicht eigene DNS-Server einrichten, sondern einfach Listen zur Namensauflösung verteilen, die auf den betreffenden Rechnern in die Datei “/etc/hosts” eingetragen werden. Der Inhalt dieser Datei wird vor der Anfrage an einen DNS-Server ausgelesen. Ich selbst benutze die Hosts-Datei, um mit Phantasiedomainnamen wie www.kundenname.de.test (die TLD .test ist Testzwecken vorbehalten) Zugriff auf in der Erstellung befindliche Projekte zu geben. Der von mir für legale und legitime Zwecke eingesetzte Kniff lässt sich natürlich auch für den Zugriff auf illegale Inhalte zweckentfremden.

Mangelnde Transparenz

Ich halte mich nicht für besonders clever. Das BKA in seiner Gesamtheit ist sicher nicht blöder als ich und hält sich daher dezent im Hintergrund, während das Ressort von Frau von der Leyen den Erfolg feiern darf. Allerdings ist bislang keine Kontrolle der Sperrliste vorgesehen. Warum wohl? Eine Herausgabe auf breiter Front könnte die Konsumenten der betreffenden Inhalte eher zum Konsum ermutigen — Umgehungsmöglichkeiten sind ja bekannt. Die Herausgabe an Journalisten hätte zur Folge, dass die Unzulänglichkeiten und Kollateralschäden binnen Tagen aufgedeckt wären.

Mit der so vorgeschlagenen und langsam durchgedrückten Sperrliste werden zunächst amerikanische Pornoserver vom deutschen Angebot verschwinden, die Inhalte tausender Pornosites aggregieren. Denn, ob

www.pornoserver.xyz/ueber21

gesperrt ist oder nicht, weil

www.pornoserver.xyz/teensex

vermeintliche Kinderpornographie enthält, kümmert hierzulande kaum jemanden, weil auch in den USA legale Inhalte meist deutsche Jugendschutzbestimmungen (Postident) nicht erfüllen. Ein US-Pornoanbieter kann demnach nicht klagen, ein volljähriger deutscher Pornokonsument dürfte aus Scham von einer Klage absehen, wenn er seine Lieblings-US-Seite plötzlich im Kipo-Filter vorfindet.

Es wird auch keiner klagen, wenn mit

http://www.provider.xyz/verboteneinhalte/

nebenbei dreihundert private Blogs ohne Impressum gesperrt werden. Deren Katzencontent, der eh nicht §5 TMG genügt, ist ja nicht relevant für die Meinungsbildung. Ohne Zugriff auf die Sperrlisten ist es aber nicht möglich, herauszufinden, wie groß die Kollateralschäden sein werden. Weder die liebgewonnene Kontrolle durch Bürgerinitiativen und Journalisten ist so möglich, noch durch Gerichte. Dass eine Seite von mir auch einer Sperrliste gelandet ist, weil jemand Referrer manipuliert hat, werde ich ahnen, wenn meine Statistiken fast nur noch Seitenzugriffe aus dem Ausland ausweisen. Wissen werde ich es nie. Das erinnert fatal an Dateien wie Gewalttäter Sport, in denen nachweislich unbescholtene Fans als vermeintliche Hooligans gelandet sind.

Wir sind also bald mit einem System von Internetsperren konfrontiert, das legitime Surfer in vielen Fällen davon abhalten wird, legale Inhalte ausgeliefert zu bekommen, einen veritablen Beitrag zur Unterschlagung von Emails leisten wird und nur die stupidesten Konsumenten von Kinderpornografie davon abhalten wird, die gesuchten Inhalte zu finden — kein Kind weniger wird mißbraucht werden, aber im Superwahljahr wird die Familienministerin als Superfamilienministerin dastehen und sieben Superprovider zeigen, dass sie den Kampf gegen Kinderpornografie aufgenommen haben.

Nachtrag, 8. Februar 2009: Ein Gutachten des Wissenschaftlichen Dienstes des Deutschen Bundestags kanzelt von der Leyens Idee als weltfremd ab. Ich bin sicher, dass dieses Thema dennoch nicht ausgestanden ist.

Nachtrag, 9. Februar 2009: Das Gutachten gibt es bei Netzpolitik.org, beim Lawblog wird auch schon diskutiert…

Offenbar hat man mit dem §111 Urhg den Pranger wieder eingeführt:

Wird in den Fällen der §§ 106 bis 108b auf Strafe erkannt, so ist, wenn der Verletzte es beantragt und ein berechtigtes Interesse daran dartut, anzuordnen, daß die Verurteilung auf Verlangen öffentlich bekanntgemacht wird. 2Die Art der Bekanntmachung ist im Urteil zu bestimmen.

Die Öffentlichkeit erfährt also nicht nur, dass Frank S. wegen Urheberrechtsverletzungen zu 50 Tagessätzen verurteilt wurde (die Zahl der Tagessätze und die erwähnten Paragraphen sehen nach intensiver Tauschbörsennutzung aus), sondern aus der Höhe auch dass Herr S. auch von nur rund 300 Euro im Monat leben muss. Mich würde nun wirklich interessieren…

1. …ob es derartige Prangerparagraphen auch bei anderen Straftaten gibt?

2. …wie häufig die GVU oder Rechteinhaber die Anwendung des §111 fordern und wie oft Gerichte dieser zustimmen?

Dennoch möchte Bayern Streams mit wenigstens 500 Nutzern regulieren. Man stelle sich das vor: Sie machen als Ergänzung zu einem Podcast einen wöchentlichen Livecast mit 64kBit Audiobitrate. Ihr eigener kleiner Server, den Sie für 30€ im Monat gemietet haben, kommt auch bei 1000 Hörern nicht an seine Grenzen. Das macht dann 1000€ und etwas Wartezeit für die Sendelizenz. Um diese Strafgebühr fürs Podcasten zu unterlaufen müssen Sie Ihre Abonnentenschar künstlich auf 500 Rezipienten begrenzen.

Die Regelung ist ein herber Schlag für eine pluralistische Gesellschaft, in der Pressefreiheit nicht nur bedeutet, dass man sich aus beliebigen Medien informieren darf, sondern auch, dass einer jedermann das Recht hat, sich journalistisch zu betätigen. Wird die bayrische Regelung in den Rundfunkstaatsvertrag aufgenommen, entsteht eine Zweiklassengesellschaft: hier die stummen Blogs, die mangels Knete auf multimediale Inhalte verzichten und dort die aufgepeppten, die es sich leisten können, schnell mal nen Tausender für den wöchentlichen Live-Cast hinzulegen.

• Eintrag im Lawblog
• Eintrag in Thomas Knüwers Blog
• Kommentar von mir in Thomas Knüwers Blog
• Mittlerweile auch bei Robert Basic

Dummerweise zwingt das aktuelle Urheberrecht immer häufiger zu illegalen Handlungen. Als DVD-Player haben wir ein altes Powerbook: Leider kommt der (CSS taugliche und legale) DVD-Player von MacOS X 10.5 mit immer weniger Leih- und Kauf-DVDs klar (in unserer Lieblingsvideothek wird man glücklicherweise auf riskante DVDs hingewiesen) und wenn wir nicht gerade die Nachbarmädels zum netten Videoabend zwingen wollen, muss ich knacken, rippen, kopieren. Perfiderweise auch Kauf-DVDs, bei denen ein netter Aufkleber “Nur Original ist legal” prangt. Nach gängiger Auslegung des §95a UrhG stellt aber die Umgehung eines funktionierenden Kopierschutzes wenigstens eine Ordnungswidrigkeit dar:

(1) Wirksame technische Maßnahmen zum Schutz eines nach diesem Gesetz geschützten Werkes oder eines anderen nach diesem Gesetz geschützten Schutzgegenstandes dürfen ohne Zustimmung des Rechtsinhabers nicht umgangen werden, soweit dem Handelnden bekannt ist oder den Umständen nach bekannt sein muss, dass die Umgehung erfolgt, um den Zugang zu einem solchen Werk oder Schutzgegenstand oder deren Nutzung zu ermöglichen.

(2) 1Technische Maßnahmen im Sinne dieses Gesetzes sind Technologien, Vorrichtungen und Bestandteile, die im normalen Betrieb dazu bestimmt sind, geschützte Werke oder andere nach diesem Gesetz geschützte Schutzgegenstände betreffende Handlungen, die vom Rechtsinhaber nicht genehmigt sind, zu verhindern oder einzuschränken. 2Technische Maßnahmen sind wirksam, soweit durch sie die Nutzung eines geschützten Werkes oder eines anderen nach diesem Gesetz geschützten Schutzgegenstandes von dem Rechtsinhaber durch eine Zugangskontrolle, einen Schutzmechanismus wie Verschlüsselung, Verzerrung oder sonstige Umwandlung oder einen Mechanismus zur Kontrolle der Vervielfältigung, die die Erreichung des Schutzziels sicherstellen, unter Kontrolle gehalten wird.

Wer den Absatz (3) überfliegt, weiss dann auch, dass bereits die Verbreitung der Information, wie man einen Kopierschutz umgeht, strafbar wird. Ich halte mich daher mit Details zurück, in denen ich im Detail erläutere, dass viele gängige Linux-Distributionen nach der Installation gängiger Videoplayer unterhalb von “/usr/share/doc” Scripte zur Nachinstallation der CSS-Cracker mitbringen. Die folgenden Beispiele für die Shell sind nicht zwingend illegal — ohne CSS-Knacker lassen sie sich nämlich auch mit den vielen unverschlüsselten DVDs verwenden, die Programm- oder Computerzeitschriften beiliegen. Beispielsweise wenn man DVDs archivieren oder unterwegs von Festplatte abspielen möchte.

Zunächst liest man das Inhaltsverzeichnis der DVD ein. Das liefert Infos über das “Main Feature”, Untertitel, Seitenverhältnisse und Sprachen:

dvdbackup -I -i /dev/dvd

Ein komplettes Backup der DVD entsteht mit:

dvdbackup -i /dev/dvd -o /pfad/zum/backup/ -M

Ein solches Backup (der ganze Ordner) lässt sich beispielsweise mit VLC sehr schön abspielen. Allerdings sind manche älteren Rechner mit der DVD-Datenrate überfordert (beim EeePC kommt las Problem der Festplattenplatz dazu) und VLC schaltet gerne zwischendurch Untertitel ab und Tonspuren um. Da ist es praktischer, gleich mit “mencoder” zu transkodieren, hier eine DVD deren “Main Feature” Chapter 21 ist, in zwei Durchgängen, erstens:

mencoder dvd://21 -oac mp3lame -ovc xvid -xvidencopts pass=1 -o /dev/null

Erst im zweiten Durchgang entsteht die AVI-Datei (eine ellenlange Zeile), hier mit Untertiteln aus Satz 1 (-sid 1):

mencoder dvd://21 -sid 1 -subfont-blur 6 -subfont-outline 1 -subfont-text-scale 3 -oac mp3lame -lameopts abr:br=192 -ovc xvid -xvidencopts pass=2:bitrate=2000:aspect=16/9 -o output.avi

Natürlich werden die so erstellten Dumps bei verschlüsselten DVDs von mir nach dem Konsum gelöscht. Und vor erneutem Konsum wieder erstellt. Denn dank §95a handelt es sich eben um keine legalen Privatkopien. Es ist schon Paradox: Da gibt man irgendwo zwischen 15 und 20€ für eine DVD aus und dann muss man zwanzig Minuten investieren, bis man die richtigen Paramter für alle Ripping-Tools herausgefunden hat, damit man die DVD gucken kann. Weil die Kopie nicht legal ist, löscht man sie — und beim nächsten Anschauen geht das Spiel von vorne los. Vor diesem Hintergrund kann ich eine gewisse Zunahme illegaler Kopien durchasu nachvollziehen: Otto Normalverbraucher stellt fest, dass er die erworbene DVD nichtschauen kann, er wirft Bittorrent an und saugt sich den eben gekauften Film. Hat er das Prozedere dreimal hinter sich, wird er auf den Kauf der Original-DVD verzichten und gleich saugen (nach dem Motto: Jetzt wird zurückverarscht).

Perfiderweise ist die Privatkopie von Freunden oft OK. Hat der Kumpel von nebenan versichert, die Simpsons-Komplettsammlung legal aus amerikanischem Sat-TV per digitalem Videorekorder aufgenommen zu haben (“Hab isch mit Zwei-Meter-Schüssel ausm US-Fernsehen!”), müssen Sie nicht groß weiter nachhaken: Nur bei offensichtlich illegalen Quellen (“Hab isch auf nem chinesischen Server einer Release-Group gefunden!”) ist bereits die Entgegennahme der Kopie illegal.

Und Knast? Nicht wirklich: Fünf Jahre drohen bei Verbreitung in gewerblichen Umfang. Selbst wenn ich Dumps an Freunde weitergebe — was ich nicht tue — ist dieser “gewerbliche Umfang” zu vermeiden. Hinsichtlich Schadensersatz sieht es für die Content-Industrie auch schlecht aus: Ein Schaden muss plausibel vorgerechnet werden.

Angst? Nicht wirklich: Angesichts immer noch im Umlauf befindlicher Un-CDs würde ich gerne vor Gericht einen Freibrief für diese Art der Umgehung unerwarteter Nebenwirkungen von Kopierschutzmechanismen bekommen — die Erreichung des Schutzziels sollte schließlich nicht massiv auf den bestimmungsgemäßen Gebrauch durchschlagen. Und vielleicht präzisiert ein Gericht gleich die Definition der Wirksamkeit von Kopierschutzmaßnahmen — wie in Finnland längst der Fall.

Bleibt zu hoffen, dass Akademie.de sich nach Rücksprache mit ihren Anwälten dazu entschliesst, die GEZ-kritischen Formulierungen in vollem Umfang online zu stellen. Nicht auszudenken, was wäre, wenn dieses Beispiel Schule macht. Wer Notebooks testet, muss damit rechnen, dass aus Unzufriedenheit an einem spiegelnden Display plötzlich Unzufriedenheit an einem in Brightview-Clearvision-Technologie hergestellten 16:10 Panel mit LED-Hintergrundbeleuchtung wird und die mangelhafte Reichweite der integrierten WLAN-Karte zur mangelhaften Reichweite des mit Rangemax-Booster ausgestattenen 2342MBit/s next-generation Wireless LAN Interfaces mutiert. Auf den Punkt bringen lässt sich Kritik in unmittelbarer Nachbarschaft zu Marketinggeschwurbel nicht mehr, die wird einfach von den Phrasendreschern erschlagen und hat keine Chance mehr, sich aus den Strudeln des Wortschwalls an die Oberfläche zu kämpfen.

Corporate-Neusprech also, das wir Blogger und Journalisten auf unser Radar aufnehmen müssen. Schlimmstenfalls werden wir in ein paar Jahren jeden Testbericht und jede Kritik mit einem “Cheatsheet empfohlener Formulierungen” neben der Tastatur schreiben müssen. Das hätte sich der gute WW-II-Propaganda-Autor auch nicht träumen lassen…

Via Basicthinking, Golem und Lawblog.