Die Wiederkehr der Netzsperren

Demnächst kommt in Brüssel das Thema Netzsperren wieder auf den Tisch. Die Befürworter von der britischen Internet Watch Foundation stellen in ihrem neuesten Bericht fest, dass im WWW bei "hoher Fluktuation" im Schnitt 500 Kindesmissbrauchwebsites gleichzeitig verfügbar seien. Ein Teil davon wird in verschiedenen Staaten von den ?trafverfolgern absichtlich nicht gelöscht. In anderen Staaten werden dieselben Sites von Strafverfolgern auf Sperrlisten gesetzt.

Auf der Agenda für die Herbstsaison des EU-Parlaments steht wieder eine ganze Reihe von Themen, die Datenschutz und Informationsfreiheit betreffen. Das wohl umstrittenste davon ist der Vorstoß von Innenkommissarin Cecilia Malmström, gegen "Kinderpornografie" mit Netzsperren vorzugehen.

Umstritten ist dieser Plan auch innerhalb der Kommission. Die für Justizangelegenheiten zuständige Kommissarin Viviane Reding hatte sich bereits mehrmals gegen diese Vorgehensweise ausgesprochen. Netzsperren seien ein untaugliches Instrument, um Kindesmissbrauch zu verhindern, war der Tenor Redings, die bis Anfang 2010 für Transport und Telekommunikation zuständig war.

Der Meinung Redings, dass solche Inhalte umgehend gelöscht anstatt einfach nur blockiert werden müssten, ist mittlerweile auch die deutsche Bundesregierung. Hier stellt sich zwangsläufig die Frage, warum diese Maßnahme, die auch von technischen Laien leicht umgangen werden kann, so hartnäckig immer wieder aufs Tapet gebracht wird?

Worum es technisch geht

Technisch gesehen sind die "Internetsperren" - verkürzt gesagt - etwas ganz anderes, als die Bezeichnung suggeriert. Auf Ebene des jeweiligen Internetproviders werden die IP-Adressen auf den jeweiligen "Sperrlisten" auf andere IP-Adressen umgeleitet ("redirect"), anstatt des ursprünglichen Inhalts wird in diesem Fall eine Stopptafel angezeigt. Die Methode selbst aber gehört zum technischen Standardrepertoire der Cyberkriminellen, die bevorzugt mittels "IP redirects" ahnungslose Benutzer von den echten auf gefälschte Bankenwebsites weiterleiten, um an Benutzernamen und Passwörter zu kommen.

Die staatlichen "Sperrmaßnahmen" sind mit ein paar Klicks im Menü leicht zu umgehen. Anstatt der vom eigenen Internetprovider angebotenen DNS-Server - die übersetzen die Domainnamen in die jeweiligen IP-Adressen - trägt man in der Konfiguration des Rechners ganz einfach die IP-Adressen anderer DNS-Server in Drittstaaten ein, in denen nicht gefiltert wird.

Mehr zum Thema:

• Österreich: Justizministerium begrüßt Malmström-Vorstoß

• Kindesmissbrauch: Netzsperren als Wegsehen

Der direkte Weg

Sowohl die Befürworter als auch die Gegner sind sich in einem Punkt einig: Aufforderungen zum Löschen direkt an die betreffenden Internetprovider funktionieren am besten. Im neuesten Bericht der wohl größten Meldestelle Europas, der "Internet Watch Foundation" (IWF) heißt es, dass alle 40 im Jahr 2009 in Großbritannien entdeckten Websites mit Kindesmissbrauchsinhalten binnen eines Tages gelöscht waren.

Dass direkte Kontaktaufnahme auch bei ausländischen Providern funktioniert, haben die Aktivisten vom deutschen Arbeitskreis Zensur im Mai demonstriert. Anhand einer Sperrliste wurden die betreffenden Provider via E-Mail direkt informiert, dass sich in ihren Netzen "kinderpornografisches Material" befinden soll.

Innerhalb der ersten zwölf Stunden nach Aussenden der Mails waren bereits 60 Webauftritte in den USA, Holland, Dänemark, Russland (!) sowie in Deutschland gelöscht.

Rotierende Portale

Der Bericht der IWF, die übrigens zu den Befürwortern der "Sperren" zählt, gibt wichtige Aufschlüsse darüber, wie und in welchen Dimensionen das Geschäft mit dem Kindesmissbrauch im WWW funktioniert. 2009 seien insgesamt 1.316 Kindesmissbrauchwebsites rund um die Welt identifiziert worden, im Schnitt waren etwa 500 davon gleichzeitig online. Es wurde nämlich eine "hohe Fluktuationsrate" festgestellt, das heißt, die IP-Adressen wechselten ständig, das inkriminierte Material rotierte dabei von Rechner zu Rechner.

Es handle sich dabei um eine "extrem schnelle Umgebung", die Pages fänden sich auf freien oder billigen Webhosting-Anbietern, in Social Networks aller Art und auf gecrackten Rechnern, heißt es im IWF-Bericht auf Seite zwei.

Das ist ein handfestes Indiz dafür, dass im Hintergrund solche Automationsmechanismen werken, wie sie von den Botnet-Betreibern seit Jahren eingesetzt und ständig weiterentwickelt werden. Die aufgefundenen Webpages funktionierten bei 50 Prozent aller Fälle als rotierende Portale, über die man auf ein Bezahlsystem kam.

Fast Flux Botnets

Diese Netze aus gekaperten Rechnern werden über ebenfalls gekaperte Kommandorechner gesteuert, die einander automatisch abwechseln und mehr oder weniger weitgehend autonom agieren. Zombie-PCs in der ersten Reihe können z. B. prüfen, welche Websites noch online sind und den Launch weiterer Einstiegpages automatisch veranlassen.

• Die wahren "Könige des Spam"

• Flux-Botnet-Angriff auf Südkorea

• Botnet-Deals: Profigangs zocken Möchtegern-Spammer ab

Polizei gegen Polizei

Die starke Fluktuation alleine erklärt noch nicht, warum etwa 500 Websites mit diesen abstoßenden Inhalten ständig im WWW verfügbar sind. Da es leider kein internationales Abkommen für eine gemeinsame Taktik im Vorgehen gebe, hätten manche Staaten noch kein etabliertes Prozedere zum Entfernen dieser Inhalte, hieß es.

Diskussionen darüber, was da alles entfernt werden müsste oder wer das Recht dazu habe, darüber zu entscheiden, seien ebenso Hinderungsgründe wie Uneinigkeit darüber, "zu welchem Zeitpunkt diese Inhalte während einer potenziellen Strafverfolgung zu löschen seien". (5. "Dilemmas", 5.1, p.2)

Das bedeutet nichts anderes, als dass Strafverfolger in nichtgenannten Staaten diese Inhalte für unterschiedliche Zeiträume absichtlich im Netz stehen lassen. Es ist ein weiteres Indiz dafür, dass Behörden in verschiedenen Ländern diese Sites als "Honeypots" benützen, um Interessierte anzulocken und abzugreifen. Für die Verfügbarkeit eines bestimmten Teils dieser durchschnittlich 500 Websites sind also Polizeibehörden verantwortlich, die Amtshilfeersuchen nach Löschung einer Behörde aus einem anderen Staat ignorieren.

Disharmonische Sperren

Absurderweise werden dann von den Strafverfolgern eines Staats "Netzsperren" gegen eine Site verhängt, die Strafverfolger in einem anderen Staat unbedingt im Netz belassen wollen.

Wie unkoordiniert es in einem einzigen Staat zugehen kann, zeigt ein internes "Harmonisierungspapier" des deutschen Bundeskriminalamts. Die drei in Deutschland ansässigen Meldestellen FSM e.V. eco e.V. und jugendschutz.net gehen völlig unterschiedlich vor, bis auf den Umstand, dass alle drei Organisationen das BKA zuerst informieren.

FSM und jugendschutz.net informieren nicht einmal inländische Provider, an die internationale INHOPE-Hotline, die alle Meldestellen verbindet, geben nur FSM und eco Informationen weiter, Direktkontakt zum Provider im Ausland nimmt nur eco und auch nur in dem Fall auf, wenn es im betreffenden Land keine INHOPE-Meldestelle gibt.

Bestimmende Faktoren

Erschwerend kommt nun noch hinzu, dass die Justizbehörden während der letzten Jahre EU-weit die Strafbarkeitsschwellen bei "Kinderpornografie" unter großem Mediengetöse so niedrig es eben ging abgesenkt haben. Weil etwa "wissentliches Betrachten" schon strafbar ist, oder weil unklar ist, ob die automatische Ablage der Webpage im Browser-Cache (Zwischenspeicher) bereits als Speichervorgang gilt, wird sich so mancher hüten, einen Zufallsfund anzuzeigen.

In manchen Justizministerien Europas verfolgte man eine Zeitlang allen Ernstes die Taktik, "Netzsperren", die in den nächsten Wochen auf die Brüsseler Tagesordnung kommen, operativ einzusetzen, um die Strafbarkeit einer Handlung zu beweisen. Wenn jemand nämlich diese Sperren umgehe, um auf diese Websites zuzugreifen, sei eine Vorsätzlichkeit gegeben, hieß es. Wie man diese "Netzsperren-Umgeher" dann erwischen sollte, ohne bei jedem Provider den gesamten eingehenden WWW-Verkehr durch einen weiteren Filter zu jagen, hatte man dabei offenbar nicht bedacht.

Links zum Thema

• Das Dokument der IWF

• Die neue Taktik in Deutschland

• Cecilia Malmström

• Viviane Reding

Nichtvernetzes Denken

Das derzeitige Dilemma, dass man es in all den Jahren nicht geschafft hat, das Geschäft mit Bildern von Gewalttaten gegen Kinder wenigstens aus dem extrem reichweitenstarken WWW abzudrängen, hat als primäre Ursache nichtvernetztes Denken. Krampfhaft wurde versucht, das Problem auf nationalstaatlicher Ebene anzugehen, anstatt ein paar global agierenden, aber relativ kleinen kriminellen Netzwerken, auf denen dieses Material kursiert, ein wenigstens europaweit einheitliches Netz aus Meldestellen und Strafverfolgern entgegenzusetzen.

Dass obendrein versucht wurde, ein gesellschaftliches Problem einer Lösung durch Juristen mit technischen Mitteln zuzuführen, hat sich gleichfalls als wenig sachdienlich erwiesen.

Die einzig halbwegs positive Nachricht im Bericht des IWF: Anders als beim im Vergleich dazu fast harmlos anmutenden "Phishing" gab es beim dreckigsten aller kriminellen Geschäfte, die das WWW als Vertriebsweg nutzen, 2009 keine Zuwächse gegenüber 2008.

(futurezone/Erich Moechel)