Zensurgesetz: Provider und BKA mit löchrigen Konzepten

Um ein geschlossenes Sicherheitskonzept zu realisieren, müsste die Centris-Datenbank idealerweise beim BKA betrieben werden. Das ist jedoch unwahrscheinlich, da das BKA sich technisch nicht einmal in der Lage sieht, einen Webserver mit der Stopp-Seite selbst zu hosten. Forderungen der Provider, dass das BKA einen Zensur-DNS-Server betreiben solle, den die Provider als Forwarder nutzen, lehnte das BKA kategorisch ab. Nach Auskunft eines ZDNet bekannten Providers soll das BKA vorgeschlagen haben, täglich eine Excel-Liste mit den zensierten Domains per E-Mail zu schicken.

Bei den Providern betriebene Centris-Datenbanken können laut Centris-Datenblatt vom BKA in verschlüsselter Form angeliefert werden. Allerdings kann das BKA die Provider nicht zwingen, die Nominum-Produktlinie einzusetzen. Kleinere Provider, die mindestens 10.000 Kunden haben, aber eine Open-Source-Lösung auf Basis von BIND einsetzen, haben nach dem Internetzensurgesetz einen Rechtsanspruch auf die Sperrlisten. Das schreibt §1 dem BKA vor.

Selbst wenn das BKA ein verschlüsseltes Protokoll vorschreibt, ist es solchen Providern möglich, die Sperrliste komplett einzusehen, wenn sie als Zonenliste für BIND auf dem DNS-Server vorliegt. Eine Veröffentlichung der Liste auf Websites wie Wikileaks ist daher wahrscheinlich.

Clevere Programmierer haben bereits begonnen, Software zu entwickeln, die DNS-Ergebnisse von freien DNS-Servern mit denen der Zensurprovider vergleicht. Mittels eines Distributed Computing Projektes wäre es leicht möglich, eine große Anzahl von Domains zu testen. Der Erfolg wird aber geringer sein als erhofft. Es ist zwar möglich, die Domainlisten der TLDs zu beschaffen, so dass man schnell example.com und www.example.com testen kann, jedoch wissen selbst die TLDs nicht, ob es etwa eine Domain namens childpics.darkserver.example.com gibt. Einzige Möglichkeit das herauszufinden, wäre ein AXFR. Die meisten DNS-Server sind jedoch so konfiguriert, dass sie AXFR und IXFR nur zwischen den autoritativen Servern für eine Zone zulassen.

Solange die deutschen Zensurlisten nicht öffentlich sind, ist es erfolgversprechender, sich die Listen anderer Länder von Wikileaks zu holen und die dort aufgeführten Domains gegen die Zensurprovider zu testen. So lässt sich zumindest ein Teil der Sperrliste ermitteln. Es dürften dabei viele Ungereimtheiten auftreten, da man davon ausgehen darf, dass das BKA aus Bequemlichkeit die Listen anderer Länder ohne weitere Prüfung übernimmt.

Auf den bekannten Listen befindet sich unter anderem eine Site aus Indien, auf der unbekleidete Damen und erkennbar männliche Säugetiere abgebildet sind. Das ist nicht jedermanns Geschmack, aber die Damen sind augenscheinlich mindestens 18 Jahre alt. Somit ist eine Sperre dieser Website durch das Internetzensurgesetz nicht gedeckt.

Ebenso ist es keine gute Idee, die wenigen öffentlichen freien DNS-Server für einen Massenabgleich gegen die Zensurprovider zu verwenden. Ihre Kapazität wird dringend benötigt, um Internetnutzer vor ungerechtfertigten Strafverfolgungsmaßnahmen zu schützen.

Besser ist es, diese Abfragen nur gegen die Zensurserver laufen zu lassen. Sobald nur eine zensierte Website bekannt ist, kann man beim Zensurprovider die falsche IP-Adresse abfragen. Liefert eine andere Domain dieselbe IP-Adresse zurück, so handelt es sich ebenfalls um eine zensierte Domain. Sollte sich die Vermutung eines konstanten TTL-Wertes als richtig herausstellen, ist es ebenfalls nicht erforderlich, Kapazitäten von freien DNS-Servern zu nutzen.