Netzsperren

Netzsperren

Pietro Scherer

Ein Thema, das momentan unter netzaffinen Menschen in Deutschland, aber auch in zahlreichen anderen Ländern, heiß diskutiert wird, sind Netzsperren.

Technische Hintergründe

Ein Thema, das momentan unter netzaffinen Menschen in Deutschland, aber auch in zahlreichen anderen Ländern, heiß diskutiert wird, sind von der Regierung durchgesetzte und von den Providern in die Tat umgesetzte Netzsperren. Politisch und ethisch sind diese heftig umstritten – während die Befürworter sie als wichtig für den Jugendschutz und die Kriminalitätsbekämpfung ansehen, befürchten Gegner den Aufbau einer "Zensur-Infrastruktur". Wie aber sieht diese Infrastruktur genau aus, und wozu könnte sie genutzt werden? Um dies zu verstehen, muss man sich mit den technischen Hintergründen der Netzsperren befassen.

Momentan werden die Sperren in Deutschland (wie auch in vielen anderen Ländern) in Form sogenannter DNS-Sperren umgesetzt. Um deren Funktionsweise erklären zu können, muss man sich zunächst einmal darüber im Klaren sein, wie ein DNS-Server (DNS ist übrigens eine Abkürzung des englischen Begriffs "Domain Name System") funktioniert und wozu er dient.

Websites, IRC-Server und viele andere Server werden von den Client-Rechnern nicht mit der dazugehörigen IP-Adresse aufgerufen. Auch beim Besuch dieser Website wird die überwältigende Mehrheit der Benutzer "gulli.com" eingegeben oder einen in dieser Form beschriebenen Link angeklickt und nicht die dazugehörige IP-Adresse benutzt haben. Adressen in Form von leicht zu merkenden Wörtern und Namen sind für Menschen viel handhabbarer und ästhetischer als kryptische, meist mehr als zehn Stellen lange Nummern. Zudem soll die Adresse bei einer Website ja auch beim Umzug auf einen anderen Server stets gleich bleiben.

Intern allerdings identifizieren sich Web- und andere Server aus technischen Gründen über ihre IP-Adresse. Das bedeutet, es ist eine "Umrechnung" von Domain-Namen in die zugehörigen IP-Adressen nötig. Genau für diese Aufgabe benötigt man DNS-Server: Sie bilden ein hierarchisch aufgebautes Server-Netz, das bei der Abfrage eines Domain-Namens durch den Client die dazugehörige IP-Adresse zurückliefert. Die meisten User verwenden die von ihrem Internet-Provider zur Verfügung gestellten DNS-Server – bei modernen Routern werden diese ganz automatisch konfiguriert, sodass man als Benutzer nur dann etwas vom DNS zu sehen bekommt, wenn es ausnahmsweise einmal nicht funktioniert.

DNS-Sperren sind im Grunde vom technischen Prinzip her nichts anderes als Manipulationen des DNS-Servers, wie sie auch Cyberkriminelle gelegentlich (mit anderen Motiven) durchführen. Die Provider erhalten von den zuständigen Behörden (in Deutschland dem BKA) eine Liste mit den Adressen zu sperrender Seiten. Für diese Seiten wird im DNS-Server nicht die dazu passende IP-Adresse eingetragen (also die des Servers, auf dem der entsprechende Inhalt liegt), sondern eine andere IP – die zu dem viel zitierten Stoppschild führt.

Wer nun einwendet, dass niemand gezwungen ist, den DNS-Server seines Providers zu verwenden, hat die entscheidende technische Schwachstelle des Konzepts bereits erkannt. Wer einen freien DNS-Server ohne die entsprechend manipulierten Einträge verwendet, was bei den gängigen Betriebssystemen meist nur wenige Minuten in Anspruch nimmt, kann ganz normal auf die sonst gesperrten Inhalte zugreifen. Für technisch versierte Menschen eine durchaus lösbare Aufgabe.

Effektiver, aber dafür durchaus mit einigen Risiken und Nachteilen verbunden, ist die Umleitung des Datenverkehrs über einen sogenannten Transparent Proxy – einen zwischengeschalteten Server, der beanstandete Inhalte herausfiltert. Diese Methode sorgte Anfang 2009 in England für Aufsehen. Bei dem Versuch, kinderpornografische Inhalte unzugänglich zu machen, landete unter anderem ein provokantes Scorpions-Cover in der englischsprachigen Wikipedia auf der Sperrliste. Das Problem dabei: Aufgrund der Umleitung über entsprechende Proxies hatten die Kunden der großen britischen Internet-Provider auf einmal alle eine von nur zwei IP-Adressen. Es kam, wie es kommen musste: Irgendwer auf der Insel wurde vandalistisch tätig, die IP-Adresse landete auf einer Blacklist, und kurz darauf konnte kaum noch ein Engländer die Wikipedia editieren. Abgesehen also von dem ethischen und politischen Aspekt, also von der Frage, ob der Staat das, was man sich ansieht, zuvor weitgehend vom Benutzer unbemerkt filtern darf, ergeben sich offensichtlich auch handfeste technische Probleme. Eine Filterung wie die hier benutzte würde Firewalls und Blacklists ad absurdum führen, da sich nicht mehr von der IP-Adresse auf den Client schließen ließe. So wären bald entweder alle über den Proxy gefilterten Benutzer gesperrt oder man müsste ganz auf derartige Maßnahmen verzichten und würde so eine Waffe im Kampf gegen Spam, Vandalismus und Angriffe verlieren.

Noch deutlicher in die Kategorie "effektiv, aber voller Nebenwirkungen" fällt eine weitere teilweise ins Gespräch gebrachte Methode, Netzsperren zu implementieren: Die sogenannte Deep Packet Inspection (teilweise als DPI abgekürzt) bei der jedes Datenpaket untersucht und gefiltert wird. Nicht nur der große technische Aufwand bei der Umsetzung ist hier negativ zu bewerten – Kritiker führen auch enorme Risiken für Datenschutz und Netzneutralität als Kritikpunkte an. Trotzdem liebäugelt der eine oder andere Politiker oder Ermittler mehr oder weniger offen mit der Möglichkeit, Deep Packet Inspections durchzuführen.

Wichtig zu wissen ist, dass das deutsche Netzsperren-Gesetz "technikoffen" formuliert ist – das heißt, die technische Umsetzung der Sperren ist nicht festgelegt und kann nach Belieben angepasst werden. So ist eine Diskussion über dieses Gesetz immer auch eine technische Diskussion – was ist machbar, und wie würde es sich auswirken? Wie und vor allem wie leicht können diese Maßnahmen missbräuchlich verwendet werden? Über all dies muss sich Gedanken machen, wer sich zum Thema Netzsperren eine fundierte Meinung bilden will.