Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt.

Demnach sollen die Provider Listen nicht nur der Domainnamen, sondern tatsächlich komplette URLs, wohl auch mit GET-Parametern erhalten. Sehen wir uns die Alternativen an:

1. Sperrung auf IP-Ebene:

   Es gibt keine Möglichkeit, zuverlässig herauszufinden, ob hinter einer IP-Adresse nur eine Domain gehostet wird oder zu erkennen, wann eine Site auf einen Server umzieht oder von ihm wegzieht. Nicht einmal das Ausbleiben von HTTP-Verkehr auf eine bestimmte Domain könnte als Indiz gewertet werden, dass bestimmte Hosts einer Domain nicht auf dem Server liegen — schließlich muss eine Domain nicht zwangsläufig zum Hosten von Webseiten verwendet werden oder kann momentan einfach brach liegen. Selbst wenn man beim Aussprechen der Sperrverfügung für eine IP-Adresse sicher ist, dass hinter ihr nur illegale Inhalte gehostet werden, kann es sich um einen Shared Hosting Server handeln, der grade erst befüllt wird.

   Wie schnell es zum Overblocking kommen kann, hat die Youporn-Sperre durch Vodafone bewiesen, dort haben einige Provider auf IP-Ebene geblockt, ohne zu berücksichtigen, dass Youporn zu dieser Zeit sich Server mit anderen Inhalten teilte. Die Kollateralschäden dieser Form der Sperrung sind nicht zu überblicken.

2. Sperrung auf Ebene der vollständigen Zieladresse:

   Der einzig technisch praktikable Ansatz, dies zu realisieren ist die in Großbritannien gebräuchliche Cleanfeed-Methode. Hier werden “verdächtige” Hostnamen entweder per DNS- oder per Router-Manipulation auf einen transparenten Proxy umgeleitet. Dieser filtert angefragte HTTP-Requests und liefert nur bei bestimmten Mustern das “Stoppschild” zurück. Eine derartige Filterung wirkt auf den ersten Blick eleganter (weil weniger anfällig gegen Overblocking), hat jedoch den Beigeschmack, dass hier Privatunternehmen beauftragt wären, die Kommunikation ihrer Kunden zu überwachen. Nicht schön: Ein HTTP-Request kann persönliche Daten sichtbar in GET-Parametern, aber ebenso unsichtbar in Cookies oder POST-Requests transportieren. Ich habe wenig Vertrauen, dass ein Privatunternehmen wie die T-Com die anfallenden Daten vertraulich behandelt.

Die vermeintlich “technologieneutrale” Formulierung hält einige massive Problematiken aus grundrechtlicher Sicht bereit:

• Freie Wahl der Sperrmethodik:

  Den Providern werden keine Auflagen gemacht, Overblocking zu vermeiden. Ein Provider, der per Routingtabelle sperrt und täglich die IP-Adressen der auf der Sperrliste verzeichneten Domains ins Nirvana oder zum eigenen Stoppseitenserver routet, kann nicht für Overblocking verantwortlich gemacht werden, er erfüllt nur den Wortlaut des Gesetzes, auch wenn nur eine Domain auf einem Shared-Hosting-Server mit 50.000 anderen Domains nur eine kurzzeitig kinderpornografische Inhalte enthielt. Beschwerden sind zwar nachträglich übers Verwaltungsgericht möglich, doch möchte ich nicht wissen, wie lang ein Verfahren dauert, wenn plötzlich eine sehr große Anzahl versehentlich mitblockierter Seiteninhaber klagt.

• Analyse des kompletten (unverschlüsselten) Datenverkehrs des Kunden:

  Warum nicht einfach auf die erste Stufe von Cleanfeed verzichten und stattdessen den gesamten HTTP-Verkehr über einen transparenten Proxy schicken? Neben einer Vereinfachung der Sperrinfrastruktur hat dies für den Provider den Vorteil, dass häufig angeforderte Inhalte gecachet werden können. Dies ist keine Zukunftsvision: Wer via Vodafones Websessions surft, bekommt (je nach Wal des Access-Points, Stand Januar 2009) von diesem transparenten Proxy Grafiken in schlechterer Qualität ausgeliefert, um den Traffic gering zu halten. Jene Mechanismen, die zur Identifikation von angeforderten Grafiken dienen, können ohne Änderungen dazu benutzt werden, die Sperrverfügungen umzusetzen. Während es bislang möglich ist, durch die Wahl des Access Points einen mobilen Internetzugang ohne Proxy zu verwenden, wird dies nach Implementierung der Sperrtechnologien nicht mehr möglich sein und sämtlicher ein- und ausgehende HTTP-Verkehr wird von einem Privatunternehmen analysiert werden.

Analog zur Welt der Post bedeutet der gegenwärtige Gesetzentwurf in etwa: Wir machen Listen mit den Adressen von bösen Leuten, die kinderpornografische Inhalte per Versandhandel vertreiben und die Post muss dann alle Postkarten prüfen, ob diese an die bösen Leute gerichtet sind. Ist das der Fall, behaltet Ihr die Postkarte und liefert die Stopkarte zurück. Wie Ihr das macht ist uns egal: Ihr dürft alle Postkarten, die über Euer System laufen, komplett lesen, wenn das einfacher erscheint oder Ihr dürft (analog zur IP-Adresse) gerne die Postkarten an einen ganzen Postleitzahlbezirk einkassieren.

Wir diskutieren momentan hauptsächlich über die Sperrung per manipuliertem DNS-Server, weil diese einerseits am einfachsten umzusetzen ist (wo nicht bereits transparente Proxies existieren) und andererseits viele Befürworter des Gesetzes sagen, dass die Nameserverabfrage vor dem Kommunikationsaufbau liegt. Ich an dieser Stelle einmal an die Juristen ab: In der gegen Overblocking anfälligen Sperrung auf IP-Ebene und der Analyse sämtlicher HTTP-Anfragen sehe ich einen klaren Verstoß gegen Artikel 5 und 10 unserer Verfassung. Selbst nach Streichen dieser Passagen bliebe noch die DNS-Sperre, die zumindest das Potential hat, den Email-Verkehr massiv zu behindern und damit auch in den Schutzbereich von Artikel 10 eingreift.

Selbst wenn es gelänge, das Gesetz dennoch — ausschließlich mit DNS-basierten Sperren — umzusetzen, bleibt die Frage nach der Verhältnismäßigkeit: Aus Bundesmitteln wird derzeit die Einführung von DNSSEC gefördert, welche das Gesetz mittelfristig wirkungslos machen wird. Eine Verhältnismäßigkeit zwischen den wenigen Seiten, auf denen die Sperre in zwei oder drei Jahren noch nutzt, dem Aufwand für den Aufbau der Sperrinfrastruktur und den gebundenen Personalkapazitäten von BKA-Mitarbeiter, die statt zur Sperrlistenpflege mit besserer Schulung effizienter zur tatsächlichen Verfolgung von kinderpornografischen Angeboten eingesetzt werden sollten, ist nicht gegeben.

Auf das Mißbrauchspotential von Cleanfeed oder anderen Lösungen, die auf transparenten Proxies beruhen, gehe ich später ein…

DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.

Die Funktionsweise der im “Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen” geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des “Stoppseitenservers”, der entweder beim BKA oder beim Provider stehen wird.

Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.

Weiterlesen im Lawblog…

In jedem Fall sollte aber meines Erachtens in der Debatte, welche Maßnahmen zur Gewaltprävention ergriffen werden, die von den Bundesministern von der Leyen und Schäuble vorgeschlagene Sperrung von kinderpornografischen Seiten im Internet mit Blick auf Killerspiele neu diskutiert werden.

Ich weiss es nicht. Vielleicht, dass die Internetsperren auch für “Killerspielewebsites” und “Killerspieleportale” genutzt werden sollten? Oder dass Killerspieler leichter zu KiPo-Konsumenten werden? Dass KiPo-Konsumenten erst virtuell, dann real töten wollen?

Mir scheint eher, als wolle Thomas Strobl einfach bei beiden emotionsgeladenen Themen medial präsent sein. Das ist ihm gelungen, ich schreibe drüber.

Nachtrag: Auch Netzpolitik nimmt sich des Themas an und das Lawblog.

Nachtrag, 19. Juni: Thomas Strobl hat seine Forderungen bekräftigt und möchte nun offenbar die nächste Sau durchs Dorf treiben. Artikel bei Golem.

Worum geht es? Um die Wirkungslosigkeit von Internetsperren auf DNS-Ebene vor dem Hintergrund der Einführung von DNSSEC, einem Signaturverfahren für Nameservereinträge. Brisant: Das Bundesamt für Sicherheit in der Informationstechnologie unterstützt derzeit in einem Feldversuch die Einführung von DNSSEC . Hier wird also mit Bundesmitteln und damit Steuergeldern eine absolut begrüßenswerte Technologie eingeführt, welche aber gleichzeitig die Sinnlosigkeit des Sperransatzes im “Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen” entlarvt.

Ich argumentiere hauptsächlich auf technischer Ebene, die rechtlichen und gesellschaftspolitischen Argumente wurden von verschiedenen Seiten — auch in den von Familien- und Wirtschaftsministerium  eingeholten Gutachten — mehrfach vorgebracht.

• Mein Brief als PDF

Nachtrag, 11. Juni: Heise hat einen älteren, sehr lesenswerten Artikel zu DNSSEC und Sperren per Nameservermanipulation. Es dürfte mittelfristig darauf hinauslaufen, dass der Client einen Resolver bekommt und der manipulierte Nameserver des Providers gar nicht mehr angefragt wird.

Eine Galerie mit verschiedenen Ansichten nach dem Sprung…

Die Aufschrift im Einzelnen:

• Betrifft: Sicherung von Verschlußsachen — klick, klick — Nicht die Sicherung, sondern das Schloß verwerfen [WTF? -- kann mir das jemand übersetzen?] [hier erklärt]
  
• Verfassungsschutz ist Dem-O.K.-ratie
• Betrifft: Behandlung von Verschlußsachen-Zwischenmaterial — Auch bei Zwischenmaterial Unbefugten ein Schnippchen schneiden
• Auch wenn die Sterne gut stehen: GEHEIMSCHUTZ unter den Dächern Europas nicht vernachlässigen
• Auch im europäischen Haus gehen Verschlußsachen EIN UND AUS — Geheimschutz ist nicht Selbstzweck

Ich werde jedenfalls diebische Freude daran haben, künftig Notizen mit bedeutungsschwangerer Aufschrift herauszugeben. “Lieber Herr Nachbar, es wäre nett, wenn Sie nach 23 Uhr die Musik etwas leiser machen würden. Unser Land vertraut Ihnen.” — “Hallo Schatz, könntest Du mir nachher aus dem Supermarkt bitte zwei Bier mitbringen? Unser Land vertraut Ihnen.”

Ursula von der Leyen erklärte heute den Durchbruch im Kampf gegen Kinderpornografie. Da Bestellungen einschlägigen Materials immer öfter per Telefon erfolgten, drängte Ursula von der Leyen auf eine gemeinsame Lösung mit Telefonbuchverlagen und Telefonauskünften.

Mit Erfolg: Heute wurde im sogenannten Auskunftsgipfel der Durchbruch erreicht: Telefonbuchverlage und Auskünfte erhalten vom BKA Listen mit Personen, die Kinderpornografie verbreiten. Die Telefonauskünfte geben statt den tatsächlichen Telefonnummern bei einer Anfrage Telefonnummern des BKA heraus, wo der Anrufer ein sogenanntes “STOPP-Band” zu hören bekommt, das ihn über die Folgen dieses schrecklichen Geschäfts aufklärt.

Ursula von der Leyen zum erreichten Durchbruch: “Ich war mir sicher, dass wir schnell zu einer Einigung kommen. Es darf nicht sein, dass Telefonauskünfte und Telefonbuchverlage sich wie bisher ihrer Verantwortung entziehen und Beihilfe zur Verbreitung der Dokumentation gequählter Kinder leisten.”

Noch nicht eindeutig geklärt ist die Überwachung der STOPP-Bänder: Befürworter der Telefonsperrlisten wünschen sich eine Protokollierung der Anrufe durch das BKA und sofortige Strafverfolgung der Anrufer.

Hausdurchsuchung und Untersuchungshaft, weil man bei der Anfrage an die Telefonauskunft nach Hans-Peter Meyer und nicht nach Hans-Peter Maier gefragt hat? Der Vergleich scheint auf den ersten Blick abwegig zu klingen, aber nichts anderes hat die große Koalition vor: Die vorgeblichen Internetsperren setzen bei dem im Hintergrund angefragten Auskunftssystem, dem DNS (Domain Name System) an, welches Domainnamen (Anschlussinhaber) auf IP-Adressen (das Gegenstück zur Telefonnummer) auflöst.

Dass so etwas nicht funktionieren kann, sollte auch dem Laien klar sein. Eine nicht ganz korrekte Schreibweise eines Namens, ein falscher vermuteter Ort eines Anschlussinhabers (.com-Domain statt .de-Domain oder Oldenburg (Westfalen) vs. Oldenburg (Oldenbg.)) und schon sieht sich ein unschuldiger Bürger der Strafverfolgung ausgesetzt. Auf der anderen Seite dürfte sich natürlich im Untergrund schnell ein Schwarzmarkt für die Listen derart “umgeleiteter” Anschlussinhaber entwickeln, einfacher kann man Lieferanten von Kinderpornografie nicht der interessierten Klientel servieren.

“Problemfall” DNSSEC

Nun hat ausgerechnet eine Behörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnologie, Ideen die einer Nameserver basierten Sperrung ganz deutlich zuwiderlaufen. In der Vergangenheit haben sogenannte Phisher immer wieder versucht, Nutzern manipulierte Nameserver in Kombination mit nachgeahmten Webseiten unterzuschieben. Im Vergleich mit dem Telefonnetz hieße dies, dass Kriminelle eine eigene Auskunft betreiben, diese massiv bewerben und gefälschte Telefonnummern von Callcentern fürs Online-Banking herausgeben. Die Callcenter betreiben die Kriminellen gleich mit und weil wir gerne die Option “Soll ich Sie verbinden?” nutzen, prüft kaum jemand die angegebene Nummer — oder kennen Sie die IP-Adresse ihres Online-Banking-Servers?

In der technischen Welt des Internet soll eine kryptografische Signatur des Pärchens “Hostname — IP-Adresse” künftig sicherstellen, dass keine manipulierten IP-Adressen herausgegeben werden (DNSSEC). In der realen Welt ist dies tatsächlich mit einer Unterschrift vergleichbar. Fehlt diese oder erscheint sie komisch, ist Vorsicht angebracht. Denkbar ist, dass künftig unsere PCs bei einer manipulierten oder nicht nachprüfbaren Signaturen solange andere Telefonauskünfte anfragen, bis eine nachprüfbare Antwort eintrifft.

Nächster Schritt: Kommunikation beobachten

Das Bundesfamilien- und das Bundesjustizministerium wissen von der Unzulänglichkeit der Sperre auf Auskunftsebene und fassen den Gesetzentwurf deshalb bewußt so schwammig, dass auch andere Maßnahmen der Prüfung möglich sind, ob den nun illegale Inhalte angefordert werden. Das nächstliegende wäre eine Filterung der Anfragen auf HTTP-Ebene: Was wird denn nun angefordert?

Hier muss ein anderer Vergleich bemüht werden: Eine Bestellpostkarte. Wir zwingen die Post ab sofort dazu, alle Postkarten automatisch auf bestimmte Begriffe oder Artikelnummer zu scannen. Steht eine der angeforderten Artikelnummern auf der schwarzen Liste, werden Sender und Empfänger ausfindig gemacht und der Strafverfolgung zugeführt. Es stört Sie doch sicher nicht, dass das BKA alle Postkarten überprüft — seien es Urlaubskarten oder neckische Anspielungen, die verliebte Paare einander machen: schließlich dient die Durchleuchtung dem Wohle der Kinder?

Übrigens: Seit kurzem wurden Briefkästen auf offener Straße und der anonyme Versand von Postkarten abgeschafft. Postkarten und Briefe dürfen Sie nur noch auf dem Postamt abgeben, wo man Ihren Personalausweis sehen möchte. Die Absender- und Empfängerdaten werden sechs Monate lang gespeichert. Klingt zu sehr nach 1984? Im Internet ist es keine Dystopie: Vorratsdatenspeicherung ist längst Gesetz.

Nun mich würde es stören! Es geht das BKA nicht an, wer welchen Artikel dieses Blogs wie oft anfordert, wer kommentiert und wo ich nach einigen Minuten von meinem digitalen Hausrecht Gebrauch mache und Kommentare lösche. Die Internetstreife der verschiedenen Polizeien kann gerne vorbeikommen und sich wie jeder andere Surfer umschauen — schließlich sieht sie nicht, von wem ein Kommentar kommt.

Ich hätte also legitime Gründe, nur noch Anfragen zu bearbeiten, die nicht per Postkarte, sondern in einem versiegelten Umschlag gestellt werden. Wenn jemand mitliest, merkt man das sofort an einem gebrochenen Siegel. Allerdings gibt es Unterschiede zur realen Welt: Zuerst tauscht man in einem versiegelten Umschlag die kryptografischen Schlüssel aus. Kommen diese ungeöffnet an, nutzt man den Schlüssel, um Postkarten mit unknackbarem “Geheimcode” zu beschriften. Werden diese abgefangen, kann niemand ohne Schlüssel etwas damit anfangen.

Legal und legitim um die Sperre herum

Jetzt haben wir also den Salat: Eine Sperrinfrastruktur, die zu Methoden greift, die sonst eher Cyberkriminelle anwenden, wird zurecht durch Initiativen von Wirtschaftsministerium und BSI konterkariert, die unsere Infrastruktur gegen “Wirtschaftskriminalität im Internet” absichern wollen. Bleibt abzuwarten, ob nach der wenig wirksamen DNS-Sperre der Ruf nach automatischer Kommunikationsfilterung — also dem Scannen aller Postkarten — aufkommt. Viele Politiker nutzen ganz gezielt die Unwissenheit ihres Volkes, um mit zugkräftigen, aber letztlich inhaltsleeren Aussagen wie

“Das Internet darf kein rechtsfreier Raum sein!”

Gegner von nutzlosen und kontraproduktiven Maßnahmen zu Komplizen der “Kinderpornoindustrie” zu erklären. Ob es bei Aussagen wie dieser genauso einfach wäre?

“Das Postsystem darf kein rechtsfreier Raum sein, es ist eine Tatsache, dass vermehrt Kinderpornographie über die Post vertrieben wird!”

Wohl kaum: Eingriffe in das Postwesen werden auch von weniger technikaffinen Bürgern schnell als solche identifiziert und in ihrer Verhältnismäßigkeit in Frage gestellt.

Das eigentlich tragische der ganzen Debatte: Während Frau von der Leyen Wahlkampf betreibt, wir mit viel Zeit und Aufwand auf Nutzlosigkeit, potentielle Schäden und den Widerspruch zu unserer demokratischen Grundordnung hinweisen, verziehen sich die Tauscher von Kinderpornografie in dunkle Ecken, wo sie weiter ungestört ihrem Treiben nachgehen: Dort sind sie längst angekommen, so enthalten die finnischen Sperrlisten nur zu etwa einem Prozent tatsächlich kinderpornografische Inhalte, der Rest fällt unter “Kollateralschaden”. Dass sich dieses eine Prozent mit guter Ermittlungsarbeit auch noch größtenteils tilgen lässt, sollte eigentlich als Argument dafür genügen, dass keine halbgaren Sperren das richtige Mittel sind, sondern eine bessere Ausbildung der Ermittlungsbehörden, auf dass diese nicht nur Sperrlisten füllen, sondern gezielt gegen die Täter vorgehen können — und so vielleicht auch Mißbrauch von Kindern verhindert, der nicht dokumentiert werden würde.

Siehe auch:

• Netzpolitik zu “Von Laien zensiert”
• MOGIS: “Wir machen jetzt unsere eigene Propaganda”
• Netzpolitik zu einer unheiligen Allianz für schärfere Sperren — der Artikel greift die oben genannte Analyse von HTTP-Requests (“mitgelesene Bestellpostkarten”) auf

Ich werde in diesem Artikel darauf eingehen, warum die von den Providern zugesagte Lösung die denkbar schlechteste aller Möglichkeiten ist: Sie kann leicht umgangen werden, hat massive Kollateralschäden zur Folge und es fehlt ihr die nötige Transparenz, die zur Kontrolle und gegebenenfalls der gerichtlichen Überprüfung der Sperrlisten notwendig ist.

Wie wird gesperrt?

Nach den bislang durchgesickerten Meldungen läuft das Verfahren so, dass Provider vom BKA Listen mit zu sperrenden Seiten bekommen und die Sperrung dann übers Domain-Name-System läuft. Um zu verstehen, wo die Sperre greift, spielen wir einfach einen typischen Aufruf durch.

Sie tippen in die Adresszeile des Browsers die (hypothetische) Adresse

http://www.einedomain.xyz/

ein. Diese URI enthält einige Informationen: Sie wollen den Inhalt des “Wurzelverzeichnisses” “/” des Servers “www.einedomain.xyz” angezeigt bekommen, als Protokoll dient Hypertext Transfer Protocol. Als erstes wird Ihr Rechner beim Nameserver Ihres Providers nach der IP-Adresse des Rechners “www.einedomain.xyz” fragen. Ein Domain Name Server ist eine Art Telefonbuch fürs Internet — aus Namen werden Nummern. Auf die Anfrage

Welche Nummer hat www.einedomain.xyz?

erhalten Sie also die Antwort

Wählen Sie die 123.45.67.89!

Jetzt ist Ihr Browser an der Reihe. Er kontaktiert den Server 123.45.67.89 und schickt ihm die Nachricht, dass er gerne den Inhalt des Wurzelverzeichnisses sehen würde. Da hinter einer “Telefonnummer” viele Teilnehmer stehen können, muss er den Namen des virtuellen Servers mitteilen. Das Verfahren ist vergleichbar mit Bürohäusern, bei denen eine Sekretärin ein Dutzend kleine Büros betreut, eine Analogie wäre hier Anschluss (IP-Adresse) und Durchwahl (Name des virtuellen Servers). Tatsächlich sieht die Anfrage so aus:

GET / HTTP/1.1
Host: www.einedomain.xyz
Connection: Close

Sie können diese Abfrage nachspielen, indem Sie mit Telnet diesen Server auf Port 80 kontaktieren:

telnet 88.198.248.170 80

Je nach Eingabe von

GET / HTTP/1.1
Host: blog.mattiasschlenker.de
Connection: Close

oder

GET / HTTP/1.1
Host: blog.rootserverexperiment.de
Connection: Close

erhalten Sie entweder den Quelltext dieses Blogs oder den von blog.rootserverexperiment.de angezeigt. Die Von-Der-Leyen-Lösung setzt bereits beim Domain-Name-System an. In der Sperrliste für die Provider steht einfach, dass statt der Telefonnummer (IP-Adresse) des Kinderpornoservers die Telefonnummer (IP-Adresse) des BKA ausgeliefert werden soll. Auf die Anfrage

Welche Nummer hat www.boeserkiposerver.xyz?

erhalten Sie also die Antwort

Wählen Sie die 62.156.153.38!

Ja. Das ist die IP-Adresse von www.bka.de. Noch ist nicht ganz sicher, ob ein Server des BKA das Ziel der Adressauflösung ist oder Server beim Provider. Angedacht scheint jedenfalls eine Protokollierung.

Kollateralschäden bei der Sperrung

Kollateralschäden bei der Sperrung sind nicht ausgeschlossen. Stellen wir uns einen kleinen kostenlosen Provider vor, der Webspace nach dem Schema

http://www.provider.xyz/nutzername/

aufteilt. Die Sperre auf DNS-Ebene erfasst ja nur die Anfrage der “Telefonnummer” von www.provider.xyz. Zum Zeitpunkt der DNS-Abfrage ist nicht klar, ob eine folgende HTTP-Anforderung auf

http://www.provider.xyz/boesekipo/

oder

http://www.provider.xyz/uschisblumenblog/

lauten wird. Das BKA — welches die Listen definieren wird — dürfte geneigt sein, dort wo es nicht auffällt — also wenn nur ein paar hundert Webseiten betroffen sind — rigoros sperren und andererseits dort, wo Kollateralschäden schnell einen Aufschrei bewirken werden, sich sehr zurückhalten. Es ist also Glückssache, ob Uschis Blumenblog am 1. März noch erreichbar sein wird. Andererseits wird der geschickt gewählte Speicherplatz für illegale Inhalte inmitten tausender unauffälliger Verzeichnisse dafür sorgen, dass auch unerwünschte Inhalte weiter im Netz bleiben.

Kollateralschäden bei der Protokollierung

Das BKA hat das ambitionierte Ziel, auch die Referrer zu protokollieren, also eine Liste von Seiten zu erstellen, die auf kinderpornografische Inhalte verweisen. Die Idee klingt zunächst einmal gut. Wer auf Kipo verlinkt, führt nichts Gutes im Schilde, doch die Referrer lassen sich leicht manipulieren, denn sie werden ja im HTTP-Request mitgeschickt und diesen können Sie bekanntlich per Telnet selbst absetzen. Seien wir kreativ:

GET / HTTP/1.1
Host: www.einedomain.xyz
Referer: http://blog.mattiasschlenker.de/
Connection: Close

Im Log des BKA wird nun http://blog.mattiasschlenker.de/ als verweisende Seite auftauchen. Nur oft genug, und es wird der Anschein erweckt, dass sich in den Kommentaren des Blogs Kipo-Sammler austauschen. Das muss unterbunden werden, also landet auch blog.mattiasschlenker.de auf Ursulas toller DNS-Sperrliste.

Ein weiteres Problem bei der Protokollierung ist, dass jeder Surfer in den Protokollen des BKA landen kann, wenn er eine Seite ansurft, die mittels “Link Prefetching” mögliche nächste Surfziele bereits vorweg laden lässt. Dieses Browser-Feature dient eigentlich der Reduzierung von Ladezeiten. Geschickt eingesetzt und bei Kenntnis der Sperrlisten kann man einen Surfer auf eine vermeintlich harmlose Seite locken, die im Hintergrund gesperrte Inhalte nachzuladen versucht um ihn ohne dessen Kenntnis in den Protokollen des BKA auftauchen lassen. Die Folgen dürften häufig unangenehm sein.

Kollateralschaden bei der Email-Zustellung

Es kommt noch schlimmer: Wenn ich eine Email an uschisblumenblog@provider.xyz schreibe, schaut mein Mail-Client zunächst im DNS nach, welcher Rechner als “Mail-Exchange” eingetragen ist. Oft ist das der erste Webserver — also www.provider.xyz. Dank der umgebogenen DNS-Auflösung erfolgt die Mail-Zustellung also nicht an Uschis Provider, sondern an den Server des BKA. Wenn ich Glück habe, ist dieser Server so konfiguriert, dass er Mails nicht annimmt oder Mails mit unbekanntem lokalem Nutzernamen zurückweist.

Ist er schlecht konfiguriert, nimmt er alles an. was auf Port 25 reinkommt. Ein Schelm, wer böses dabei denkt.

Umgehungsmöglichkeiten

Kommen wir zum spannenden Teil: Es gibt keine einfacher zu umgehende Sperre als die DNS-Sperre. Wenn die sieben größten Provider Ihren DNS so konfiguriert haben, dass “Telefonbucheinträge” umgebogen werden, konfiguriert der böse Kinderpornografiekonsument seinen PC oder seinen DSL-Router so, dass der DNS-Server des achten verwendet wird — was mit drei Klicks erledigt ist. Und wenn der mitzieht, nimmt man einen in den USA.

Prinzipiell könnte die Manipulation am DNS die Nutzer der dunklen Seite des Netzes sogar auf Ideen bringen: Wie wäre es mit eigenen DNS, die Phantasiedomains auflösen? Technisch ist es nicht einmal ein Problem, selbst einige wenige Nameserver auf die Schattentoplevel-Domain “.kipo” einzurichten, und damit Anfragen auf

Welche Nummer hat www.eklig.kipo?

zu beantworten. Das BKA steht in diesem Fall vor zwei Problemen: Erstens kontrolliert sie den DNS-Server nicht, der die vermeintliche Topleveldomain .kipo auflöst, weil dieser wechselt und die Konsumenten ihn in der Suchreihenfolge vor allen anderen Nameservern eingetragen haben und zweitens ist die Angabe des als “Host:” beim HTTP-Aufruf angegebenen Ziels natürlich umso schwerer zu verfolgen, je ungewöhnlicher die übergebenen Hostnamen werden:

GET / HTTP/1.1
Host: www.eklig.kipo
Connection: Close

Noch tiefer unters Radar rutschen die Kipo-Konsumenten, wenn sie nicht eigene DNS-Server einrichten, sondern einfach Listen zur Namensauflösung verteilen, die auf den betreffenden Rechnern in die Datei “/etc/hosts” eingetragen werden. Der Inhalt dieser Datei wird vor der Anfrage an einen DNS-Server ausgelesen. Ich selbst benutze die Hosts-Datei, um mit Phantasiedomainnamen wie www.kundenname.de.test (die TLD .test ist Testzwecken vorbehalten) Zugriff auf in der Erstellung befindliche Projekte zu geben. Der von mir für legale und legitime Zwecke eingesetzte Kniff lässt sich natürlich auch für den Zugriff auf illegale Inhalte zweckentfremden.

Mangelnde Transparenz

Ich halte mich nicht für besonders clever. Das BKA in seiner Gesamtheit ist sicher nicht blöder als ich und hält sich daher dezent im Hintergrund, während das Ressort von Frau von der Leyen den Erfolg feiern darf. Allerdings ist bislang keine Kontrolle der Sperrliste vorgesehen. Warum wohl? Eine Herausgabe auf breiter Front könnte die Konsumenten der betreffenden Inhalte eher zum Konsum ermutigen — Umgehungsmöglichkeiten sind ja bekannt. Die Herausgabe an Journalisten hätte zur Folge, dass die Unzulänglichkeiten und Kollateralschäden binnen Tagen aufgedeckt wären.

Mit der so vorgeschlagenen und langsam durchgedrückten Sperrliste werden zunächst amerikanische Pornoserver vom deutschen Angebot verschwinden, die Inhalte tausender Pornosites aggregieren. Denn, ob

www.pornoserver.xyz/ueber21

gesperrt ist oder nicht, weil

www.pornoserver.xyz/teensex

vermeintliche Kinderpornographie enthält, kümmert hierzulande kaum jemanden, weil auch in den USA legale Inhalte meist deutsche Jugendschutzbestimmungen (Postident) nicht erfüllen. Ein US-Pornoanbieter kann demnach nicht klagen, ein volljähriger deutscher Pornokonsument dürfte aus Scham von einer Klage absehen, wenn er seine Lieblings-US-Seite plötzlich im Kipo-Filter vorfindet.

Es wird auch keiner klagen, wenn mit

http://www.provider.xyz/verboteneinhalte/

nebenbei dreihundert private Blogs ohne Impressum gesperrt werden. Deren Katzencontent, der eh nicht §5 TMG genügt, ist ja nicht relevant für die Meinungsbildung. Ohne Zugriff auf die Sperrlisten ist es aber nicht möglich, herauszufinden, wie groß die Kollateralschäden sein werden. Weder die liebgewonnene Kontrolle durch Bürgerinitiativen und Journalisten ist so möglich, noch durch Gerichte. Dass eine Seite von mir auch einer Sperrliste gelandet ist, weil jemand Referrer manipuliert hat, werde ich ahnen, wenn meine Statistiken fast nur noch Seitenzugriffe aus dem Ausland ausweisen. Wissen werde ich es nie. Das erinnert fatal an Dateien wie Gewalttäter Sport, in denen nachweislich unbescholtene Fans als vermeintliche Hooligans gelandet sind.

Wir sind also bald mit einem System von Internetsperren konfrontiert, das legitime Surfer in vielen Fällen davon abhalten wird, legale Inhalte ausgeliefert zu bekommen, einen veritablen Beitrag zur Unterschlagung von Emails leisten wird und nur die stupidesten Konsumenten von Kinderpornografie davon abhalten wird, die gesuchten Inhalte zu finden — kein Kind weniger wird mißbraucht werden, aber im Superwahljahr wird die Familienministerin als Superfamilienministerin dastehen und sieben Superprovider zeigen, dass sie den Kampf gegen Kinderpornografie aufgenommen haben.

Nachtrag, 8. Februar 2009: Ein Gutachten des Wissenschaftlichen Dienstes des Deutschen Bundestags kanzelt von der Leyens Idee als weltfremd ab. Ich bin sicher, dass dieses Thema dennoch nicht ausgestanden ist.

Nachtrag, 9. Februar 2009: Das Gutachten gibt es bei Netzpolitik.org, beim Lawblog wird auch schon diskutiert…

1. Die sehr primitive NRW-Lösung, bei der einfach DNS-Einträge umgebogen werden, ist nicht nur am leichtesten zu umgehen (durch Eintrag eines nicht-gefilterten Nameservers), sie hat auch den Nebeneffekt, dass Email an die Adressen der gesperrten Domain umgeleitet wird. Für die Beschlagung von (elektronischer) Post benötigt man sonst einen richterlichen Beschluß. Bei der NRW-Methode wird sie frei Haus geliefert. Da die NRW-Methode nicht besonders fein granuliert arbeitet, kann gerade bei Massenhostern der Kollateralschaden den vermeintlichen Nutzen um ein Vielfaches übertreffen.
2. Die Sperrung von IP-Adressen oder IP-Adressblöcken schafft noch größere Kollateralschäden: Denn während jedem Hostnamen eine IP-Adresse zugeordnet ist, können einer IP-Adresse mehrere Hostnamen zugeordnet werden. Wenn der Hostname www.illegaleranbieter.com auf die IP-Adresse 172.16.123.45 zeigt, können genausogut tausende anderer “virtueller Hostnamen” auf diesem Rechner liegen. Bei Shared-Hosting-Angeboten sind 10.000 virtuelle Hosts auf einer Maschine keine Seltenheit. Neben dem illegalen Angebot würde man hier den Zugang zu 9.999 legalen Domains verhindern. Auch diese Art der Filterung lässt sich per Proxy umgehen.
3. Um die im letzten Punkt erwähnten Seiteneffekte zu verhindern, könnte man nun den HTTP-Header untersuchen. In diesem wird bie Shared Hosting explizit angegeben, an welchen virtuellen Server denn die Anfrage gerichtet ist. Die Analyse der HTTP-Anfrage schüfe daneben die Möglichkeit, bestimmte Pfade auf einem Server auszuschließen. Gerade bei Gratis-Massenhostern könnte so nur www.gratismassenhoster.xyz/illegalerinhalt gesperrt werden, während der Zugriff auf www.gratismassenhoster.xyz/legalerinhalt erlaubt bleibt.

Alles palletti mit Lösung 3? Keinesfalls: Zwar ist der Aufwand höher, die Sperre zu umgehen — Konsumenten illegaler Inhalte müssten zur aufwendigeren Lösung mit Mixen greifen. Doch diese Lösung würde eine Überwachung der gesamten HTTP-Kommunikation erfordern. Statt auf der transportorientierten Internetebene müsste der Datenverkehr auf Anwendungsebene gescannt werden. In HTTP-Anfragen wird jedoch deutlich mehr übertragen als nur der Name des virtuellen Hosts, von dem Daten angefordert werden und dem Pfad des Dokumentes, das man aufrufen möchte: Passwortinformationen, POST-Anfragen über die beispielweise Bestellungen übermittelt werden oder Cookies, mit denen sich ein Nutzer eindeutig identifizieren lässt.

Zierckes Vorschlag müsste daher auf technischer Ebene in einer Form umgesetzt werden, die in die “physikalische” Welt übersetzt etwa lauten würde: “Alle Briefe an Empfänger im Postleitzahlgebiet 04275 sind zu öffnen und dahin gehend zu untersuchen, ob jemand illegale Inhalte bestellt. Wurde keine solche Bestellung gefunden, ist der Briefumschlag zuzukleben und weiterzuschicken.”

Ich halte es für Kalkül, wenn Ziercke und der in die Forderung einsteigende GdP-Chef Freiberg das technische Unverständnis vieler Normalbürger für drastische Forderungen ausnutzen, schließlich impliziert “Access Blocking” nicht, dass unter Umständen die Kommunikation selbst durchleuchtet wird.

Daneben blenden Ziercke und Co aus, dass keine einzige illegale Seite aus dem Netz verschwindet und die gesperrten Inhalte für mittelmäßig begabte Konsumenten aufrufbar bleiben. Es wird kein einziges Kind weniger mißbraucht und keine einzige Nazi-Parole weniger geschrien, weil in Deutschland per Gesetz versucht wird, einige Webseiten unaufrufbar zu machen. Auf der Strecke bleiben aber einst in unserer Verfassung garantierte Freiheitsrechte.

Zum Thema:

• Eintrag bei Netzpolitik.org
• Diskussion im Lawblog von Udo Vetter
• Artikel bei Golem.de mit vielen Hintergrundinformationen, übernimmt leider die euphemistische Sprechweise (“Access Blocking” der Sperrungsverfechter)
• Die Computerwoche erklärt den Freedom-Stick
• “Eigentlich eine gute Sache” — Kommentar von Oliver (F!XMBR)

Doch sehen Sie zunächst selbst:

• ARD Mediathek — Clip “Datenschutz contra Opferschutz”
• Transskript der Sendung

Und: Sind Sie noch gegen Vorratsdatenspeicherung? Was blieb hängen: Vorratsdaten haben die Aufklärung der eingangs erwähnten Vergewaltigung ermöglicht. Vorratsdaten haben die Aufklärung der Attacke auf den im Film gezeigten Pensionär ermöglicht und Vorratsdaten haben die Aufklärung des Trickbetrugs an dem Rentner (15.000€) ermöglicht. Sonst noch etwas? Klar, eine FDP-Tante faselt da 44 Sekunden lang etwas von einer Abwägung der Interessen:

Sie ist stolz, einen Sieg für die Bürgerrechte und den Datenschutz errungen zu haben.

Aber so kann das nicht angehen:

Beate Merk, CSU, Justizministerin Bayern: “Opferschutz ist das Allererste. Und dafür müssen wir uns einsetzen. Und wenn gesagt wird, man soll bestimmte Vorratsdaten nicht nutzen dürfen, dann muss man sich fragen lassen, wo man in der Abwägung Schwerpunkte setzt.

Auf die groben inhaltlichen Fehler geht Netzpolitik.org ausführlich ein. Da wird dreist behauptet, dass eine erst seit 1. Januar 2008 gültige Gesetzesnorm bei der Aufklärung von Verbrechen in 2007 dienlich war, es wurde verschwiegen, dass Daten von Überwachungskameras in der Regel innerhalb von 48 Stunden gelöscht werden (müssen), also auch hier die Vorratsdatenspeicherung nicht griff. Dass es schon vor der Einführung von Mobiltelefonen der Polizei hin und wieder gelang, Straftaten aufzuklären, bleibt außen vor. Betrachtet man die wenigen richtig wiedergegebenen Fakten, müsste eigentlich alles für Quick-Freeze sprechen: Keine Vorratsdatenspeicherung über sechs Monate, sondern die relativ schnelle Löschung von Daten und das Einfrieren selbiger, wenn eine konkrete schwere Straftat unmittelbar zurückliegt — eine von vielen Datenschützern propagierte Alternative, die nicht erwähnt wird.

Um Stimmung zu machen, nutzt der Autor des Beitrags einen interessanten Spannungsbogen: Von der ganz drastischen Vergewaltigung geht es zur nicht weniger schlimmen schweren Körperverletzung und von dort hinunter zum eher einfach gestrickten Trickbetrug. Von dem schweren Verbrechen, das einen drastischen Einstieg schafft, aber die Mehrheit der Zuschauer glücklicherweise nie persönlich treffen dürfte, begibt sich Report hinunter zum einfachen Trickbetrug (und wer wurde nicht schon vom Hütchenspieler um ein paar Euro betrogen oder in ein Gespräch mit Pärchen und Stadtplan verwickelt, aus dem er ohne Portemonnaie wieder herausging?) und schafft so praktischen Nutzen der Vorratsdatenspeicherung für jeden. Und damit man nicht auf dumme Ideen hinsichtlich einer Interessenabwägung kommt, werden am Schluss noch einmal die nachgestellte Vergewaltigungsszene mit den echten Krankenhausbilder des Vergewaltigungsopfers verschnitten. Bumm, das sitzt!

Was nach dem dreimaligen Anschauen des Videos bleibt ist ein Gefühl irgendwo zwischen bitterem Nachgeschmack und nicht soviel essen können wie man kotzen möchte. Dass ein Beitrag nicht absolut neutral sein muss — im Sinne einer unkommentierten Wiedergabe von Fakten — hat sich glücklicherweise herumgesprochen, denn bereits in der Auswahl der Quellen kann eine Wertung gesehen werden. Eine Wertung kann jedoch kaum eindeutiger ausfallen als bei einem Fernsehbeitrag von über sechs Minuten, in dem Kritikern des Anliegens des Autors gerade mal 44 Sekunden eingeräumt werden.

Nachtrag, 30. August 2008: Stefan Niggemeier hat dem BR geschrieben und von den Autoren eine etwas dünne Antwort erhalten.

Dennoch möchte Bayern Streams mit wenigstens 500 Nutzern regulieren. Man stelle sich das vor: Sie machen als Ergänzung zu einem Podcast einen wöchentlichen Livecast mit 64kBit Audiobitrate. Ihr eigener kleiner Server, den Sie für 30€ im Monat gemietet haben, kommt auch bei 1000 Hörern nicht an seine Grenzen. Das macht dann 1000€ und etwas Wartezeit für die Sendelizenz. Um diese Strafgebühr fürs Podcasten zu unterlaufen müssen Sie Ihre Abonnentenschar künstlich auf 500 Rezipienten begrenzen.

Die Regelung ist ein herber Schlag für eine pluralistische Gesellschaft, in der Pressefreiheit nicht nur bedeutet, dass man sich aus beliebigen Medien informieren darf, sondern auch, dass einer jedermann das Recht hat, sich journalistisch zu betätigen. Wird die bayrische Regelung in den Rundfunkstaatsvertrag aufgenommen, entsteht eine Zweiklassengesellschaft: hier die stummen Blogs, die mangels Knete auf multimediale Inhalte verzichten und dort die aufgepeppten, die es sich leisten können, schnell mal nen Tausender für den wöchentlichen Live-Cast hinzulegen.

• Eintrag im Lawblog
• Eintrag in Thomas Knüwers Blog
• Kommentar von mir in Thomas Knüwers Blog
• Mittlerweile auch bei Robert Basic