Verschmähst Du meine Dienste, so machst Du Dich verdächtig!

Schnapsidee Web-Sperre: Wie die freie Wahl von DNS-Servern in der Öffentlichkeit kriminalisiert wird.

Auskunftsdienste und Telefonbücher gibt es viele im Land: Da gibt es 11880 der telegate AG, es gibt 11833 der Telekom, gedruckt und online gibt es „Das Örtliche“ oder auf CD kommt „D-Info“ von Buhl Data daher – kurzum: Es gibt eine Vielzahl von Möglichkeiten eine Telefonauskunft zu bekommen. Warum der Eine lieber 11833 statt 11880 wählt, online sucht oder eine Software nutzt, ist jedem selbst überlassen.

Bei der Wahl des DNS-Servers, dem Telefonbuch für Internetadressen, ist das anders: Seit es BKA-Sperrlisten für kinderpornografische Webseiten geben soll, gerät jeder ins Zwielicht, der sich seinen DNS-Dienst selbst aussucht. „Wer etwas kriminelle Energie mitbringt, kann die Sperren leicht überwinden“, zitierte die Süddeutsche Zeitung unlängst Christopher Wolf vom Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität in Bochum. Dabei ist die freie Wahl des DNS-Servers schon allein aus Performance-Gründen wichtig und hat nichts mit krimineller Energie zu tun.

Ähnlich wie eine Telefonauskunft die Rufnummer des Anschlussinhabers mitteilt, teilt ein DNS-Server die IP-Adresse des Webservers mit. Grafik: © Dennis Knake

Ähnlich wie eine Telefonauskunft die Rufnummer des Anschlussinhabers mitteilt, teilt ein DNS-Server die IP-Adresse des Webservers mit. Grafik: © Dennis Knake

Ein DNS-Server im Praxisbeispiel

Wer Lieschen Müller sprechen möchte, ruft bei einer Auskunft an und erhält die passende Telefonnummer zum Namen. Nicht anders verhält es sich im World Wide Web: Wer die Webseite www.lieschen-mueller.de aufrufen möchte, kontaktiert den nächsten DNS-Server. Dieser liefert dem eigenen Computer umgehend die passende IP-Adresse, unter der die Webseite zu finden ist.

Meistens verwendet man dabei den DNS-Server, der vom eigenen Internet-Zugangsprovider automatisch zur Verfügung gestellt wird. Das ist ungefähr so, als ob ein Telekom Kunde immer nur die Auskunft der Telekom anruft. Was aber, wenn der Server ausgelastet ist, also langsam reagiert? (Analog dazu: Ich warte endlos, bis bei der Auskunft mal endlich jemand ans Telefon geht). Dann dauert es eine Weile, bis die entsprechende Webseite „aufgelöst“ ist, sprich: bis der DNS-Server die passende IP-Adresse zum Domain-Namen ausspuckt. Dauert es zu lange, erscheint eine Fehlermeldung und die Seite wird gar nicht angezeigt. In diesem Fall kann es nützlich sein, einen anderen DNS-Server zu nutzen, der gerade besser erreichbar ist.

Unter Windows klickt man auf "START" -> "Einstellungen" -> "Netzwerkverbindungen" und sucht sich dort den Meist "LAN-Verbindung" Punkt aus. Hier nur auf "Eigenschaften" klicken, den Punkt "Internetprotokoll (TCP/IP)" suchen und abermals unter "Eigenschaften" die IP-Adressen der eigenen DNS-Server eintragen. Das ist die freie Wahl des Internet-Telefonbuches und hat nichts mit "krimineller Energie" zu tun.

Unter Windows klickt man auf "START" -> "Einstellungen" -> "Netzwerkverbindungen" und sucht sich dort den meist "LAN-Verbindung" genannten Punkt aus. Hier nur auf "Eigenschaften" klicken, zum Punkt "Internetprotokoll (TCP/IP)" scrollen und abermals unter "Eigenschaften" die IP-Adressen der eigenen DNS-Server eintragen. Das ist die freie Wahl des "Internet-Telefonbuches" und hat nichts mit "krimineller Energie" zu tun.

Aus diesem Grunde gibt es im Netz unzählige weitere, auch frei nutzbare DNS-Server, die in einem solchen Fall einspringen können. Nicht umsonst gibt es unter Windows und bei anderen Betriebssystemen die Möglichkeit, neben einem ersten DNS-Server, einen zweiten, alternativen Server in den Netzwerkeinstellungen einzutragen. Ist der Erste nicht erreichbar, versuchts der Computer eben beim Zweiten.

Im realen Leben würde man also auflegen und eine andere Telefonauskunft anrufen. Niemand käme dabei auf die Idee zu behaupten, dies sei kriminell oder verdächtig. Eine Liste freier DNS-Server gibt es unter anderem beim Chaos Computer Club oder man nutzt kostenlose Anbieter wie beispielsweise OpenDNS.

Letzterer eignet sich übrigens vorzüglich, den Rechner von Phising Angriffen zu schützen. Auch können eigene Filterregeln erstellt werden, damit unliebsame Webseiten nicht auf dem heimischen Rechner erscheinen. Das eignet sich also besonders gut für Eltern, die ihren Kindern zwar das Surfen im Netz ermöglichen wollen, aber auf der anderen Seite nicht wünschen, dass bestimmte Seiten – wie eben Pornografie oder Gewalt – erreichbar sind. (Klappt natürlich nur, wenn die Kinder am Computer keine Administrator-Rechte haben und so die Daten wieder ändern könnten)

Das Problem mit den Sperrlisten

Seit es die von Bundesfamilienministerin von der Leyen entgegen aller technischen Vernunft und den Rat der Experten durchgeboxten BKA-Sperrlisten gibt – das ist eine Liste mit Webadressen, die aus den „Telefonbüchern“ des Webs gelöscht werden und bei Anfrage eine andere Webseite mit großem STOPP-Schild anzeigen – wird in der Öffentlichkeit gerne das Bild erzeugt, wer sich seinen DNS-Server selbst aussucht und damit womöglich die Sperrlisten umgeht, „will wohl etwas illegales tun“.

Das dumme an den Sperrlisten ist nämlich: Nur ganze fünf Provider wollen bislang diese Listen unterstützen. Das ist ungefähr so, als ob aus fünf Telefonbüchern weltweit bestimmte Rufnummern gestrichen würden. Es stehen aber hunderte, wenn nicht gar tausende solcher Telefonbücher zur Verfügung. Wer es jetzt aber wagt, ein anderes Telefonbuch als die der fünf Unterstützer zu nutzen, wird automatisch verdächtigt.

Die DNS-Sperre funktioniert nur bei dem, der einen zensierten DNS-Server nutzt. Doch die freie Wahl des Servers ist aus verschiedensten Gründen wichtig und hat nichts mit "krimineller Energie" zu tun. Grafik: © Dennis Knake

Die DNS-Sperre funktioniert nur bei dem, der einen zensierten DNS-Server nutzt. Doch die freie Wahl des Servers ist aus verschiedensten Gründen wichtig und hat nichts mit "krimineller Energie" zu tun. Grafik: © Dennis Knake

Der nächste Wahnsinn: IP-Adressen sammeln

Wie jetzt bekannt wurde, geht die Bundesregierung mit ihrem Dilettantismus einen Schritt weiter: Am liebsten möchte man nämlich auch, dass die Provider die IP-Adressen aller Nutzer, die auf einer solchen Sperrseite laden, registrieren und sammeln. Frei nach dem Motto: „Wer auf eine gesperrte Seite surft, ist potenziell kriminell.“ Oberflächlich betrachtet mag logisch erscheinen. „Wer nicht kriminell ist, surft auch nicht auf eine solche gesperrte Seite“, so der Umkehrschluss.

Kabinettsentwurf des Bundeswirtschaftsministerium für ein Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen. Hier: Ergänzung des §8 durch den Zusatz §8a im Telemediengesetz.

Kabinettsentwurf des Bundeswirtschaftsministeriums für ein Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen. Hier: Ergänzung des §8 durch den Zusatz §8a im Telemediengesetz.

Genauer betrachtet liegem dem Ganzen aber eine ganze Reihe von Problemen zugrunde:

  • Da es keine richterliche Überprüfung der vom BKA erstellten Sperrlisten geben wird, kann niemand kontrollieren, welche Seiten wirklich auf den Listen landen. Die unlängst bekannt gewordenen Sperrlisten aus Australien und Skandinavien haben gezeigt, dass eine Vielzahl vollkommen unbedenklicher Seiten von den jeweiligen Polizeibehörden gesperrt wurden. Wer diese aufruft, macht sich dennoch automatisch verdächtig.
  • Da man nicht unbedingt vorher weiss, welche Inhalte sich hinter einem Link verbergen bevor er aufgerufen wurde, gerät man sehr schnell vollkommen unschuldig ins Visier der Fahnder. Gerade bei Internetdiensten wie „Twitter“ gehört es beispielsweise zum guten Ton, „verkürzte“ Links zu verwenden. Da lässt sich nichtmal ansatzweise anhand des Linknamens auf den Inhalt schließen. Der Inhalt eröffnet sich dem Leser erst nach Anklicken. Dann ist es jedoch zu spät. Aber auch bei ungekürzten Adressen wird kaum ein Anbieter, der illegale Inhalte anbietet, seine Domain deutlich benennen, beispielsweise www.hier-gibts-kinderpornos.de.

Das ist also ungefähr so, als ob ich bei der Auskunft anrufe und sage „Ich möchte gerne die Rufnummer von Herrn Christian Klar“. Und die Antwort würde lauten: „Was denn, den Ex-RAF-Terroristen? Warten sie, ich verbinde sie umgehend mit dem Bundeskriminalamt.“ Bevor ich jedoch erläutern kann, dass ich eigentlich nur einen alten Kumpel der zufälligerweise genauso heißt, sprechen möchte, wurde mein Anruf bereits registriert und ich lande in irgend einer Liste von verdächtigen Personen, die irgendwie kriminell sein müssen.

So würde die Web-Sperre funktionieren, würde sie bei Telefongesprächen eingesetzt. Grafik: © Dennis Knake

So würde die Web-Sperre funktionieren, würde sie bei Telefongesprächen eingesetzt. Grafik: © Dennis Knake

Jeder kann verdächtig sein

Man mag sich also fragen, warum die Regierung soviel Energie dazu verwendet, ein vollkommen nutzloses Sperrsystem zu implementieren und darüber hinaus eine Sammlung von „verdächtigen“ IP-Adressen anstrebt, die überhaupt nichts darüber aussagt, ob die Person auch wirklich kriminell unterwegs ist. Wahlkampf auf unterstem Niveau? Die Mehrheit der Bevölkerung wird die technischen Details wohl eh nicht durchschauen.

Mit solchen „Ermittlungsmethoden“ – einer Art „Vorverlagerung der Verdachtsgewinnung“, wie auch der schleswig-holsteinische Landesdatenschutzbeauftragte Thilo Weichert kritisiert – wird es darüber hinaus ein Leichtes sein, dem unliebsamen Nachbarn oder Arbeitskollegen etwas anzuhängen. Man bringe ihn einfach dazu, unbedarft eine verbotene Seite aufzurufen. Am besten in einer typischen Spaßmail mit Link, wie sie in deutschen Büros und privat zur allgemeinen Erheiterung täglich herumgeschickt werden.

Wer jetzt noch in der Mittagspause dem Kollegen anstößiges Material auf den Arbeitsrechner schmuggelt, setzt dem ganzen noch ein I-Tüpfelchen auf. Schließlich genügt gerade in Sachen Kinderpornografie der bloße Verdacht, eine Karriere zu zerstören. Und wenn sich dann Schmuddelbilder auf dem PC samt IP-Adresse in den Logfiles des BKA auffinden lassen – Bingo, Mission erledigt. Dazu muss man nicht einmal echtes kinderpornografisches Material verwenden (Wer macht sich schon selbst gerne die Finger schmutzig?). Hier genügen Bilder, die vielleicht nur den Anschein erwecken. Ein Pornostar mit Zöpfchen oder ein japanisches Starlet in Schuluniform? (Im Land der aufgehenden Sonne sehr populär).

Argumentation ohne Fakten

Wohlgemerkt: Eine Karriere wird bereits durch Gerüchte zerstört, nicht durch Fakten. So zitiert auch Ursula von der Leyen gerne immer wieder die 111 Prozent Zuwachs bei der kriminellen Beschaffung von Kinderpornografie aus der BKA-Statistik. Dass sich diese Daten aber aus laufenden Verfahren und nicht abgeschlossenen Verurteilungen zusammensetzen und ein Großteil davon mangels Stichhaltigkeit längst wieder eingestellt wurden, wird verschwiegen.

Im übrigen hinkt hier die von der Leyensche Argumentationsweise gewaltig: Auf der einen Seite wird immer wieder die „millionenschwere Kinderpornoindustrie“ erwähnt, auf der anderen Seite will man mit der DNS-Sperre hauptsächlich die „80 Prozent Gelegenheitssurfer“ abhalten, die solche Webseiten aufrufen. Ja was denn jetzt? Millionenschwere Industrie mit vielen Kunden, oder doch nur neugierige Gelegenheitssurfer die mehr oder weniger „zufällig“ auf einer solchen Seite landen?

Wenn den Polizeibehörden die Quellen der Kinderporno-Anbieter bekannt sind, warum wird nicht verstärkt gegen die Urheber vorgegangen? Diese sitzen in der Mehrzahl in Nordamerika und Europa. Sind also durchaus mit rechtsstaatlichen Mitteln greifbar.

Wer Kinderpornografie wirksam bekämpfen will, kommt nicht umhin die Quellen auszutrocknen. Was jetzt geschieht ist ein hilfloser Versuch, sich das Thema zu Wahlkampfzwecken zu Eigen zu machen. Die große Gefahr darin: Damit wird keinem missbrauchten Kind geholfen. Schlimmer noch: Die Sperrlisten blenden die Problematik aus und erzeugen den gefährlichen Glauben, der Sache sei nun zu Genüge Aufmerksamkeit geschenkt.

Surftipp:
Kinderporno-Sperren: „Frontalangriff auf die freie Kommunikation“ befürchtet
heise-online

Die 13 Lügen der Zensursula
netzpolitikorg

2 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.