Was Gegner von Netzsperren in Deutschland immer befürchtet haben, ist in Großbritannien eingetreten: Der High Court hat Ende Juli entschieden, dass die British Telecom verpflichtet ist, den Zugang zu newzbin.com für ihre Kunden zu sperren. Newzbin.com ist eine Webseite, die illegale Downloads von Filmen aus dem Usenet ermöglicht. Grundlage für die Sperrungen ist ein Filtersystem namens „Cleanfeed”, das die BT schon seit 2003 einsetzt, um kinderpornographische Webseiten zu sperren.
Das Cleanfeed-Verfahren ist seit Jahren erprobt und weitaus effizienter als alle Systeme, die in Deutschland im Zusammenhang mit Netzsperren diskutiert wurden. Grund genug, sich die technischen Hintergründe genauer anzuschauen.
Technische Grundlagen von Netzsperren
Es gibt verschiedene technische Möglichkeiten, um Inhalte im Netz zu filtern. Um das Cleanfeed-Verfahren zu verstehen, muss man sich besonders zwei dieser Techniken genauer anschauen: IP-Filter und Proxy-Filter.
Bei IP-Sperren filtern die Provider nach IP-Adressen. Ist also bekannt, dass unter einer bestimmten IP-Adresse illegale Inhalte abrufbar sind, werden Aufrufe dieser IP einfach nicht mehr weitergeleitet. Dieses Verfahren hat jedoch einen großen Nachteil: Unter einer IP-Adresse können zum Teil tausende Webseiten abrufbar sein. Sperrt man eine IP-Adresse sperrt man unter Umständen also auch eine sehr große Anzahl völlig legaler Webseiten. IP-Sperren allein werden daher eher selten eingesetzt.
Wesentlich genauer ist ein Filter mit Hilfe von Proxy-Servern. Diese simulieren einen Webserver, liefern aber keine eigenen Daten aus, sondern leiten die Anfragen nur weiter. Anstatt also die Webseite www.example.com direkt aufzurufen, schaltet sich ein Proxy-Server dazwischen, nimmt die Anfrage entgegen und liest die Webseite selbst aus. So kann beispielsweise der Inhalt der Webseite zwischengespeichert werden, um den Netzwerkverkehr zu optimieren. Der Proxy kann aber zum Beispiel auch schädliche Inhalte wie Viren und Malware filtern und die Webseite „bereinigt” ausgeben.
Die Vorteile liegen auf der Hand: Webseiten können wesentlich genauer gefiltert werden. Hat man durch einen Proxy-Server Kontrolle über die Inhalte einer Webseite, ist man nicht nur auf die IP-Adresse angewiesen. Man kann nicht nur ganze Webseiten, sondern auch einzelne Unterseiten, sogar einzelne Bilder einer Webseite sperren. Nachteil: Der Proxy-Server muss jede einzelne Anfrage bearbeiten und benötigt unter Umständen eine ganze Menge Rechenpower.
Das Cleanfeed-Verfahren
Das Cleanfeed-Verfahren kombiniert daher beide Ansätze. Zunächst werden die IP-Adressen gesperrter Seiten in eine Blacklist eingetragen. In einer weiteren Blacklist stehen außerdem die einzelnen Domainnamen, Unterseiten oder einzelnen Dateien, die gesperrt werden sollen. Nimmt ein Provider nun eine Anfrage eines Kunden entgegen, prüft er, ob die entsprechende IP-Adresse auf der Blacklist steht. Ist das der Fall, leitet er diese Anfrage an einen Proxy-Server weiter, der die detailgenauere Filterung vornimmt. Ist die IP-Adresse unverdächtig, wird die Anfrage ganz normal weitergeleitet.
Erhält der Proxy-Server eine Anfrage vom Provider prüft er, ob die angefragte Seite gefiltert werden soll oder nicht. Ist die Seite gesperrt, liefert er eine Fehlermeldung aus, bzw. verweigert die Auslieferung der Seite. Andernfalls ruft er die Webseite auf und leitet sie an den Provider zurück, der sie wiederum an seinen Kunden weiterreicht.
Der Vorteil dieses zweistufigen Verfahrens: Ein Großteil des Internetverkehrs wird gar nicht erst zum Proxy-Server weitergeleitet, sodass dieser mit bedeutend weniger Kapazitäten auskommt. Gleichzeitig umgeht man auf diese Weise die Ungenauigkeit eines bloßen IP-Filters.
Nachteile und Lücken
Doch auch das Cleanfeed-Verfahren hat Lücken. So können Nutzer, die solche Websperren umgehen wollen, eigene Proxy-Server oder Virtual Private Networks einsetzen. Auch verschlüsselte Verbindungen lassen sich mit dem Proxy-Server nicht ohne weiteres filtern. Und auch die Betreiber gesperrter Webseiten können Cleanfeed relativ einfach umgehen. Etwa indem sie Dateinamen ändern – oder gleich die ganze Domain inklusive IP-Adresse (ausführlich zu weiteren Techniken: Clayton, Anonymity and traceability in cyberspace, Chapter 7.4).
Und genau hier liegt das Problem so ziemlich jeder Filter-Technik: Ein Filter ist immer nur so gut wie die Kriterien, nach denen er arbeitet. Da aber jeder Betreiber einer Webseite Dateinamen, Inhalte und Adressen beliebig und zeitnah ändern kann, wird jede Filter-Technik auf ein Katz-und-Maus-Spiel zwischen Provider und Webseitenbetreiber hinauslaufen.
Ausblick
Auch wenn das Zugangserschwerungsgesetz in Deutschland gescheitert ist, sind Netzsperren auch hier noch lange nicht aus der Welt. So sind Netzsperren ein sehr angenehmes und auf den ersten Blick effizientes System, um den Zugang zu rechtswidrigen Inhalten zu verhindern. Anstatt langwierige, oft internationale Auseinandersetzungen auf sich nehmen zu müssen, um Inhalte direkt beim Content-Provider entfernen zu lassen, ermöglichen Netzsperren einen „kurzen Dienstweg” zu den nationalen Providern, die pragmatisch und schnell die Inhalte auf ihre Blacklist setzen können. Und auch juristisch sind Netzsperren nach wie vor aktuell: Es spricht einiges dafür, dass sowohl InfoSoc-, als auch Enforcement-Richtlinie bereits jetzt – zumindest theoretisch – Netzsperren vorsehen.
Was im Unterschied zu Großbritannien in Deutschland allerdings noch fehlt, ist die technische Infrastruktur. Insofern spricht die Entscheidung des High Court dafür, dass die Sorge vieler Netzaktivisten bei der Diskussion um das Zugangserschwerungsgesetz durchaus berechtigt war. Schon vor Jahren hat die British Telecom das Cleanfeed-Verfahren eingeführt und damit die Grundlage dafür gelegt, dass sie diese Infrastruktur nun auch gegen Urheberrechtsverletzungen einsetzen muss. Auch in Großbritannien ging es ursprünglich nur um Kinderpornografie.
Telemedicus zu den technischen Hintergründen von Netzsperren.
Netzsperren und das Urheberrecht.
Icons: © deviantdark.