Blog

Ich wurde in den letzten Tagen mehrfach darauf hingewiesen, dass die Sperrlisten ja komplette URLs enthalten und damit die Kollateralschäden hinsichtlich Unzustellbarkeit von Emails oder des Overblockings nicht vorkommen müssen. Tatsächlich heisst es im Gesetzentwurf:

Für die Sperrung dürfen vollqualifizierte Domainnamen, Internetprotokoll-Adressen und Zieladressen von Telemedienangeboten verwendet werden. Die Sperrung erfolgt mindestens auf der Ebene der vollqualifizierten Domainnamen, deren Auflösung in die zugehörigen Internetprotokoll-Adressen unterbleibt.

Demnach sollen die Provider Listen nicht nur der Domainnamen, sondern tatsächlich komplette URLs, wohl auch mit GET-Parametern erhalten. Sehen wir uns die Alternativen an:

1. Sperrung auf IP-Ebene:

   Es gibt keine Möglichkeit, zuverlässig herauszufinden, ob hinter einer IP-Adresse nur eine Domain gehostet wird oder zu erkennen, wann eine Site auf einen Server umzieht oder von ihm wegzieht. Nicht einmal das Ausbleiben von HTTP-Verkehr auf eine bestimmte Domain könnte als Indiz gewertet werden, dass bestimmte Hosts einer Domain nicht auf dem Server liegen — schließlich muss eine Domain nicht zwangsläufig zum Hosten von Webseiten verwendet werden oder kann momentan einfach brach liegen. Selbst wenn man beim Aussprechen der Sperrverfügung für eine IP-Adresse sicher ist, dass hinter ihr nur illegale Inhalte gehostet werden, kann es sich um einen Shared Hosting Server handeln, der grade erst befüllt wird.

   Wie schnell es zum Overblocking kommen kann, hat die Youporn-Sperre durch Vodafone bewiesen, dort haben einige Provider auf IP-Ebene geblockt, ohne zu berücksichtigen, dass Youporn zu dieser Zeit sich Server mit anderen Inhalten teilte. Die Kollateralschäden dieser Form der Sperrung sind nicht zu überblicken.

2. Sperrung auf Ebene der vollständigen Zieladresse:

   Der einzig technisch praktikable Ansatz, dies zu realisieren ist die in Großbritannien gebräuchliche Cleanfeed-Methode. Hier werden “verdächtige” Hostnamen entweder per DNS- oder per Router-Manipulation auf einen transparenten Proxy umgeleitet. Dieser filtert angefragte HTTP-Requests und liefert nur bei bestimmten Mustern das “Stoppschild” zurück. Eine derartige Filterung wirkt auf den ersten Blick eleganter (weil weniger anfällig gegen Overblocking), hat jedoch den Beigeschmack, dass hier Privatunternehmen beauftragt wären, die Kommunikation ihrer Kunden zu überwachen. Nicht schön: Ein HTTP-Request kann persönliche Daten sichtbar in GET-Parametern, aber ebenso unsichtbar in Cookies oder POST-Requests transportieren. Ich habe wenig Vertrauen, dass ein Privatunternehmen wie die T-Com die anfallenden Daten vertraulich behandelt.

Die vermeintlich “technologieneutrale” Formulierung hält einige massive Problematiken aus grundrechtlicher Sicht bereit:

• Freie Wahl der Sperrmethodik:

  Den Providern werden keine Auflagen gemacht, Overblocking zu vermeiden. Ein Provider, der per Routingtabelle sperrt und täglich die IP-Adressen der auf der Sperrliste verzeichneten Domains ins Nirvana oder zum eigenen Stoppseitenserver routet, kann nicht für Overblocking verantwortlich gemacht werden, er erfüllt nur den Wortlaut des Gesetzes, auch wenn nur eine Domain auf einem Shared-Hosting-Server mit 50.000 anderen Domains nur eine kurzzeitig kinderpornografische Inhalte enthielt. Beschwerden sind zwar nachträglich übers Verwaltungsgericht möglich, doch möchte ich nicht wissen, wie lang ein Verfahren dauert, wenn plötzlich eine sehr große Anzahl versehentlich mitblockierter Seiteninhaber klagt.

• Analyse des kompletten (unverschlüsselten) Datenverkehrs des Kunden:

  Warum nicht einfach auf die erste Stufe von Cleanfeed verzichten und stattdessen den gesamten HTTP-Verkehr über einen transparenten Proxy schicken? Neben einer Vereinfachung der Sperrinfrastruktur hat dies für den Provider den Vorteil, dass häufig angeforderte Inhalte gecachet werden können. Dies ist keine Zukunftsvision: Wer via Vodafones Websessions surft, bekommt (je nach Wal des Access-Points, Stand Januar 2009) von diesem transparenten Proxy Grafiken in schlechterer Qualität ausgeliefert, um den Traffic gering zu halten. Jene Mechanismen, die zur Identifikation von angeforderten Grafiken dienen, können ohne Änderungen dazu benutzt werden, die Sperrverfügungen umzusetzen. Während es bislang möglich ist, durch die Wahl des Access Points einen mobilen Internetzugang ohne Proxy zu verwenden, wird dies nach Implementierung der Sperrtechnologien nicht mehr möglich sein und sämtlicher ein- und ausgehende HTTP-Verkehr wird von einem Privatunternehmen analysiert werden.

Analog zur Welt der Post bedeutet der gegenwärtige Gesetzentwurf in etwa: Wir machen Listen mit den Adressen von bösen Leuten, die kinderpornografische Inhalte per Versandhandel vertreiben und die Post muss dann alle Postkarten prüfen, ob diese an die bösen Leute gerichtet sind. Ist das der Fall, behaltet Ihr die Postkarte und liefert die Stopkarte zurück. Wie Ihr das macht ist uns egal: Ihr dürft alle Postkarten, die über Euer System laufen, komplett lesen, wenn das einfacher erscheint oder Ihr dürft (analog zur IP-Adresse) gerne die Postkarten an einen ganzen Postleitzahlbezirk einkassieren.

Wir diskutieren momentan hauptsächlich über die Sperrung per manipuliertem DNS-Server, weil diese einerseits am einfachsten umzusetzen ist (wo nicht bereits transparente Proxies existieren) und andererseits viele Befürworter des Gesetzes sagen, dass die Nameserverabfrage vor dem Kommunikationsaufbau liegt. Ich an dieser Stelle einmal an die Juristen ab: In der gegen Overblocking anfälligen Sperrung auf IP-Ebene und der Analyse sämtlicher HTTP-Anfragen sehe ich einen klaren Verstoß gegen Artikel 5 und 10 unserer Verfassung. Selbst nach Streichen dieser Passagen bliebe noch die DNS-Sperre, die zumindest das Potential hat, den Email-Verkehr massiv zu behindern und damit auch in den Schutzbereich von Artikel 10 eingreift.

Selbst wenn es gelänge, das Gesetz dennoch — ausschließlich mit DNS-basierten Sperren — umzusetzen, bleibt die Frage nach der Verhältnismäßigkeit: Aus Bundesmitteln wird derzeit die Einführung von DNSSEC gefördert, welche das Gesetz mittelfristig wirkungslos machen wird. Eine Verhältnismäßigkeit zwischen den wenigen Seiten, auf denen die Sperre in zwei oder drei Jahren noch nutzt, dem Aufwand für den Aufbau der Sperrinfrastruktur und den gebundenen Personalkapazitäten von BKA-Mitarbeiter, die statt zur Sperrlistenpflege mit besserer Schulung effizienter zur tatsächlichen Verfolgung von kinderpornografischen Angeboten eingesetzt werden sollten, ist nicht gegeben.

Auf das Mißbrauchspotential von Cleanfeed oder anderen Lösungen, die auf transparenten Proxies beruhen, gehe ich später ein…

Gastbeitrag von mir im Lawblog:

DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.

Die Funktionsweise der im “Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen” geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des “Stoppseitenservers”, der entweder beim BKA oder beim Provider stehen wird.

Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.

Weiterlesen im Lawblog…