Telemedicus Logo
Weiterempfehlen Drucken

Alvar Freude hat in seinem Blog einen Arbeitsentwurf für die Gesetzesänderungen zur Sperrung kinderpornographischer Webseiten veröffentlicht. Aus technischer Sicht machen es sich die Autoren denkbar einfach: Der Gesetzestext ist technologieneutral formuliert. Wie genau Netzsperren am besten technisch umgesetzt werden können, sollen sie Provider selbst herausfinden. Es ist lediglich ein Hinweis enthalten, dass die Sperren möglichst „grundrechtsschonend“ umgesetzt werden sollen und deshalb sog. DNS-Sperren eingesetzt werden sollen. Was das bedeutet und welche anderen Möglichkeiten es gibt, soll dieser Artikel erklären.

DNS-Sperren

Das Internet besteht im Grunde nur aus Zahlen. Jeder Computer ist über seine IP-Adresse, also eine bestimmte Zahlenkombination, im Internet erreichbar. Weil der Mensch sich aber Zahlen nicht so gut merken kann, wie Begriffe, die er kennt, gibt es den „Domain Name Service“ (DNS). Damit werden Zahlen in Buchstabenkombinationen übersetzt und umgekehrt. Anstatt also zum Beispiel die IP-Adresse 213.218.169.222 in den Browser eingeben zu müssen, kann man dank DNS die deutlich eingängigere Adresse www.wolfgang-schaeuble.de benutzen.

Genau hier setzen DNS-Sperren an: Die Provider übersetzen die gesperrten Domainnamen nicht mehr in IP-Adressen und die Webseite ist - zunächst - nicht mehr erreichbar. Die Adresse www.wolfgang-schaeuble.de wäre also nicht mehr erreichbar, wenn sie auf einer Sperrliste stünde. Der Haken an der Sache: Über die IP-Adresse ist die Webseite immer noch vorhanden. Wer also die IP-Adresse kennt und sie direkt in den Browser eingibt, merkt noch nicht einmal, dass die aufgerufene Seite gesperrt ist. Über die Adresse 213.218.169.222 wäre die Webseite von Wolfgang Schäuble also nach wie vor erreichbar. Das funktioniert zwar nur bei Internetseiten, die eine eigene IP-Adresse haben (siehe dazu unten), aber prinzipiell ist diese Methode sicher brauchbar, um Netzsperren einfach zu umgehen.

Ein weiteres Problem bei DNS-Sperren: Sie sind kinderleicht zu umgehen. Man muss sich noch nicht einmal die IP-Adresse der entsprechenden Webseite merken. Denn jedermann kann seinen DNS-Server frei wählen. Und im Prinzip ist jeder DNS-Server im Internet frei zugänglich. Sperrt nun ein deutscher Provider bei seinem Nameserver einzelne Seiten, muss der interessierte Nutzer einfach einen anderen DNS-Server nehmen. Zum Beispiel einen Server aus den USA, wo die Seite nicht gesperrt ist. Das Ändern des DNS-Servers ist in wenigen Sekunden erledigt und beim Surfen merkt man keinerlei Unterschied.



IP-Sperren

Warum sperren nun die Provider nicht einfach die gesamte IP-Adresse? Das liegt vor allem daran, dass unter einer IP-Adresse nicht zwingend nur eine Internetseite erreichbar ist. IP-Adressen sind knapp und müssen sparsam eingesetzt werden. Deshalb ist es möglich, dass sich mehrere Internetseiten eine IP-Adresse teilen. Die Betreiber müssen noch nicht einmal voneinander wissen. Und nur weil unter einer IP-Adresse eine Webseite mit Kinderpornographie erreichbar ist, heißt das noch lange nicht, dass nicht auch ganz harmlose Inhalte auf dem selben Server liegen.

Läge nun zum Beispiel zufälligerweise auf dem Telemedicus-Server auch eine Webseite mit Kinderpornographie und würde die IP-Adresse dieser Seite gesperrt, wäre auch Telemedicus nicht mehr erreichbar. Möglicherweise bekämen unsere Nutzer sogar den Hinweis angezeigt, dass dieser Server wegen des Verdachts auf Kinderpornographie gesperrt ist. Telemedicus wäre damit nicht nur offline, sondern würde auch massiv im Ruf geschädigt.

Unter einer IP-Adresse können hunderte, zum Teil tausende Webseiten abrufbar sein. Und es ist keineswegs selten, dass mehrere Seiten unter einer IP-Adresse erreichbar sind. Im normalen Webhosting ist es vielmehr der Normalfall. Man sieht also: Die Sperrung von IP-Adresse könnte zur Folge haben, dass auf eine gesperrte Kinderpornoseite hunderte „false positives“ kommen.

Hinzu kommt, dass jedem Server zwar theoretisch eine „statische“ IP-Adresse zugeordnet wird. Der Betreiber kann diese IP-Adresse jedoch auch ändern. Bemerkt also der Betreiber einer Kinderporno-Webseite, dass seine IP-Adresse auf einer Sperrliste steht, kann er relativ unkompliziert und binnen weniger Stunden einfach eine neue IP-Adresse beziehen. Und schon ist die Sperre umgangen. Bemerken das die zuständigen Behörden nicht sofort, kann es aber passieren, dass die alte IP-Adresse einem neuen Server zugewiesen wird - der dann fälschlicherweise von der Sperrliste erfasst wird.

Als Arcor im Jahr 2007 die Porno-Plattform „Youporn“ sperren musste, sollen nach Angaben eines Gutachtens des Bundesverbands Digitale Wirtschaft (BVDW) fast 3,5 Millionen Webseiten fälschlicherweise mit gesperrt worden sein. Für die Praxis ist diese Methode deshalb wohl kaum geeignet.



The great (fire)wall

Bleibt nur noch eine Methode: Die Filterung von Inhalten. Theoretisch ist es möglich, dass Provider sämtliche Inhalte überprüfen, die durchs Internet übertragen werden. In China wird diese Methode zum Teil eingesetzt, um unerwünschte Inhalte aus dem „chinesischen Internet“ fernzuhalten. Diese Filterung wird deshalb auch „The great firewall“ genannt.

Technisch wäre das wohl durchaus auch in Deutschland möglich. Jeder Provider könnte nach Schlüsselbegriffen im Internetverkehr suchen und bei Kinderpornographie die Übertragung verweigern. Doch auch diese Methode ist keineswegs wasserdicht. Denn überprüft werden können natürlich auch nur Inhalte, die die Filtermechanismen auch lesen können. Verschlüsselte Daten können also auch nicht gefiltert werden.

Spätestens seit die Vorratsdatenspeicherung in Deutschland auch für Internet und E-Mail gilt, ist die Nachfrage nach Anonymisierungsdiensten sprunghaft angestiegen. Dementsprechend sprießen Anbieter wie Pilze aus dem Boden. Und mitterweile sind diese Dienste auch durchaus alltagstauglich. Die Anbieter haben ihren Sitz meist außerhalb der EU und müssen daher auch keine Daten speichern. Wer sich also den Netzsperren entziehen möchte, kann das auch bei einer Filterung von Inhalten problemlos tun.

Dass diese Methode auch verfassungsrechtlich ganz besonders bedenklich ist, braucht da fast gar nicht mehr erwähnt werden. Zumal sie auch politisch kaum durchsetzbar erscheint. Hatte die deutsche Öffentlichkeit sich doch erst vor Kurzem über die strenge chinesische Zensur bei den Olympischen Spielen erbost. Auch wenn Kinderpornographie sicherlich nicht mit politischer Zensur gleichgesetzt werden darf, wäre es doch schwierig, das scharf kritisierte China als Vorbild für Internetsperren zu nehmen.



Fazit

Die Erkenntnis ist nicht neu, hindert die Bundesregierung aber nicht daran, an Netzsperren festzuhalten: Faktisch gibt es keine Möglichkeit, Internetseiten wirksam zu sperren. Entweder gehen die Sperren viel zu weit, oder sie sind so leicht zu umgehen, dass man sie auch gleich bleiben lassen kann. Und auch die fortgeschritteneren Methoden zur Sperrung von Internetseiten sind mit verhältnismäßig einfachen Mitteln zu umgehen. Schon ab 5 EUR pro Monat ist sogar eine vollständige Filterung von Inhalten ausgeschaltet.

Wirksam sind Netzsperren höchstens für völlig unerfahrene Internetnutzer. Doch wer nicht einmal in der Lage ist, mit fünf Klicks seinen DNS-Server zu ändern, ist wohl kaum Teil der Kinderporno-Szene. Denn diese zeichnet sich schon heute dadurch aus, dass sie technisch ausgesprochen versiert ist.

Möglich, dass Netzsperren davor schützen, dass arglose Surfer zufällig über Kinderpornos im Internet stolpern. Ob es solche Zufallsfunde aber überhaupt gibt, ist schon fraglich. Die Kinderporno-Szene wird aber auch weiterhin nach Belieben Bilder und Videos austauschen - ob mit oder ohne Netzsperren.

Zum Arbeitsentwurf der Gesetzesänderungen zur Einführung von Netzsperren.
Anzeige:

Kommentare

* Simon 02.04.2009 11:32
Soweit ich weiß, braucht Internetfilterung (Deep Packet Inspection) auch sehr viel Rechenpower - mehr, als den Netzbetreibern aktuell zur Verfügung steht. Schon deswegen kann man davon ausgehen, dass diese Option ausscheidet.
* dot tilde dot 02.04.2009 12:40
man kann john gilmore gar nicht oft genug zitieren:

"the net interprets censorship as damage and routes around it." (Time Magazine, 6.12.1993)

.~.
* Adrian 02.04.2009 12:55
QUOTE:
Soweit ich weiß, braucht Internetfilterung (Deep Packet Inspection) auch sehr viel Rechenpower - mehr, als den Netzbetreibern aktuell zur Verfügung steht.

Das weiß ich nicht. Fehlende Rechenpower ist m.E. immer ein eher schwaches Argument. Erstens kommt es darauf an, wie viel man investieren möchte und zweitens wird Rechenpower immer billiger. Was heute also noch utopisch erscheint, kann in zwei bis drei Jahren schon wieder ganz anders aussehen.
* Hans-Werner 02.04.2009 14:10
Das mit der Rechenpower ist eine Frage der Komplexität der Heuristik. Aber sooo eindrucksvoll ist das vermutlich nicht. Das Problem ist dabei viel eher die hohe Rate von falschen Positiven bei zu scharfer, von falschen Negativen bei zu lascher Einstellung. Letztlich lassen sich auch da einige Umgehungslösungen finden, die vielleicht nicht für die komplette Kommunikation geeignet sind, aber ein paar KiPo-Bilder-Downloads locker verbergen können.
* TMP 08.04.2009 15:05
Zum Thema "Deep Packet Inspection" berichtet das ULD über eine entsprechende Essay-Sammlung, die von der kanadischen Datenschutzbeauftragten veröffentlich worden ist:

"Die Essays beleuchten verschiedene Aspekte von DPI; es wird die Möglichkeit geboten, die Essays zu kritisieren und zu kommentieren."

http://www.datenschutz.de/news/detail/?nid=3521

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.