Manfred Kloiber: Was genau steht drin in dem Vertrag, Peter Welchering.
Peter Welchering: Das weiß man nicht, denn dieser Vertrag ist geheim. Es handelt sich um einen zivilrechtlichen Vertrag, den die Bundesrepublik Deutschland, vertreten durch den Bundesminister des Inneren und dieser vertreten durch den Präsidenten des Bundeskriminalamtes mit fünf Internet-Service-Providern geschlossen hat. Entwürfe des Vertrages kursierten im Netz. Doch sowohl der gestern geschlossene Vertrag, es ist sogar teilweise von mehreren Verträgen die Rede, als auch die künftig vom BKA herauszugebende Sperrliste mit Web-Seiten unterliegen der Geheimhaltung, sind also weder öffentlicher Kontrolle, noch dem Rechtsweg zugänglich. Ist ein Web-Seitenbetreiber von dieser Sperre betroffen, hat er kein Anrecht zu erfahren, warum er auf der Sperrliste. Er hat nicht einmal ein Anrecht zu erfahren, dass er auf der Sperrliste steht.
Kloiber: Über die Sperrmaßnahme selbst ist aber intensiv öffentlich diskutiert worden. Insofern weiß man doch, wie die aussieht.
Welchering: In dem letzten Vertragsentwurf, der mir vorliegt, der ist aber auch schon wieder einige Tage alt, ist diese Sperrmaßnahme nicht genau definiert und festgelegt. Diesem Vertragsentwurf zufolge ist vorgesehen, dass die Internet-Service-Provider eine Sperrliste mit vollqualifizierten Domainnamen erhalten, und sie verpflichten sich im Paragraf 3 dieses Vertrages, den Zugang zu diesen Domains zu erschweren. Und jetzt wird spannend. Denn in dem hier vorliegenden Vertragsentwurf heißt es (Zitat): "Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN" (Zitat Ende) Also der auf der Ebene voll qualifizierten Domainnamens. Spannend ist dabei das Wort mindestens. Denn dadurch werden diesem Vertragsentwurf zufolge verschiedene Sperrmaßnahmen möglich. Die schwächste Sperrmaßnahem ist dabei die sogenannte DNS-Sperre, die stärkste Sperrmaßnahme ist die Paketsperre in den Routern.
Kloiber: Dann sollten wir die nach dem gestrigen so genannten BKA-Vertrag möglichen Sperrmaßnahmen doch einmal etwas genauer untersuchen. Als ziemlich wirkungslos gilt ja die reine DNS-Sperre. Warum?
Welchering: Das ist ein Sperrmechanismus, der auch einmal als Sperre für die Dummen bezeichnet wurde. Wenn eine Domain wie dradio.de aufgerufen wird, übersetzt das Domain Name System bei den Internet-Providern diesen klingenden Domainnamen in eine Internet-Protokolladresse, also zum Beispiel 194.31. und so weiter. Und anhand dieser IP-Adresse landet dann der Nutzer auf der Dradio-Seite. Bei der DNS-Sperre, da wird nun nicht auf diese originale IP-Adresse verwiesen, wenn der Domainname eingegeben wird, sondern auf eine Ausweichadresse, zum Beispiel die Stoppseite, die Frau von der Leyen bevorzugt. Kabel Deutschland und die Telekom tragen allerdings eine solche Umleitung auf eine Stoppseite laut dem gestern geschlossenen Vertrag nicht mit. Diese DNS-Sperre ist leicht zu umgehen, wenn der Nutzer statt des Domain-Namens die eigentliche IP-Adresse in das Adressfeld seines Browsers eingibt.
Kloiber: Das sieht bei den IP-Sperren anders aus. Sind die denn im Vertrag mit den Internet-Service-Providern vorgesehen?
Welchering: Nach dem hier vorliegenden Entwurf sind IP-Sperren durch den BKA-Vertrag abgedeckt, und zwar durch Paragraf 3, Absatz 2. Da aber die gestern geschlossenen Verträge geheim sind, lässt sich nur vermuten, dass diese Verträge den vorab zirkulierenden Entwürfen entsprechen. Bei einer solchen IP-Sperre blocken die Internet-Service-Provider die tatsächliche IP-Adresse. Das heißt, dass Datenpäckchen mit einer gelisteten Zieladresse schon im Router abgefangen werden. Hier haben wir es also mit einer regelrechten Transportsperre zu tun. Selbst durch Ausweichen auf einen ausländischen DNS-Server kann solch eine IP-Adresssperre nicht umgangen werden.
Kloiber: Das unterscheidet sich aber von der Internetsperre durch so genannte Zwangsproxy-Server?
Welchering: Ja, die Einrichtung von so genannten Zwangsproxys wird gegenwärtig auch diskutiert. Proxyserver sind ja eigentlich ganz sinnvolle Einrichtungen. Auf denen hinterlegt beispielsweise der Administrator eines lokalen Netzwerkes bestimmte Web-Seiten, die ganz oft aufgerufen werden. Wer immer von seinem PC aus solch eine Seite aufruft, landet dann nicht auf dem Server des Web-Seiten-Betreibers, sondern auf dem zwischengeschalteten Proxyserver. Damit lässt sich bei Seiten, die häufig von vielen Nutzern auf einer Domain zugleich abgerufen werden, der Datenverkehr im Netz reduzieren. Und da gibt es in Sicherheitskreisen Erwägungen, den gesamten Datenverkehr über zwischengeschaltete Proxyserver laufen zu lassen, für die dann ja auch jeweils garantiert werden kann, dass keine rechtlich bedenklichen Inhalte darauf liegen. Internet-Service-Provider betreiben auch heute schon Proxyserver. Bisher allerdings ohne jede Zensurabsicht, nur zu dem Zweck, den Datenverkehr bei gleichartigen Aufrufen derselben Webseiten zu reduzieren. Solche vorgehaltenen Seiten werden auch auf den Proxyservern ständig aktualisiert und entsprechen den Original-Webseiten. Aber ein solcher Proxyserver kann eben auch als Filter eingesetzt werden und darüber können sehr wirkungsvolle Sperren eingerichtet werden. Wer immer eine Webseite aufruft landet auf einem Proxy-Server. Ist die aufgerufene Webseite freigegeben, wird sie auf diesem Proxy-Server vorgehalten. Ist sie nicht freigegeben, erscheint eine Fehlermeldung. Das ist sozusagen die chinesische Methode der Internetsperre, die aber selbst im Reich der Mitte zu Olympiadezeiten nicht durchgehalten werden konnte. Die Proxy-Server waren einfach überlastet.
Peter Welchering: Das weiß man nicht, denn dieser Vertrag ist geheim. Es handelt sich um einen zivilrechtlichen Vertrag, den die Bundesrepublik Deutschland, vertreten durch den Bundesminister des Inneren und dieser vertreten durch den Präsidenten des Bundeskriminalamtes mit fünf Internet-Service-Providern geschlossen hat. Entwürfe des Vertrages kursierten im Netz. Doch sowohl der gestern geschlossene Vertrag, es ist sogar teilweise von mehreren Verträgen die Rede, als auch die künftig vom BKA herauszugebende Sperrliste mit Web-Seiten unterliegen der Geheimhaltung, sind also weder öffentlicher Kontrolle, noch dem Rechtsweg zugänglich. Ist ein Web-Seitenbetreiber von dieser Sperre betroffen, hat er kein Anrecht zu erfahren, warum er auf der Sperrliste. Er hat nicht einmal ein Anrecht zu erfahren, dass er auf der Sperrliste steht.
Kloiber: Über die Sperrmaßnahme selbst ist aber intensiv öffentlich diskutiert worden. Insofern weiß man doch, wie die aussieht.
Welchering: In dem letzten Vertragsentwurf, der mir vorliegt, der ist aber auch schon wieder einige Tage alt, ist diese Sperrmaßnahme nicht genau definiert und festgelegt. Diesem Vertragsentwurf zufolge ist vorgesehen, dass die Internet-Service-Provider eine Sperrliste mit vollqualifizierten Domainnamen erhalten, und sie verpflichten sich im Paragraf 3 dieses Vertrages, den Zugang zu diesen Domains zu erschweren. Und jetzt wird spannend. Denn in dem hier vorliegenden Vertragsentwurf heißt es (Zitat): "Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN" (Zitat Ende) Also der auf der Ebene voll qualifizierten Domainnamens. Spannend ist dabei das Wort mindestens. Denn dadurch werden diesem Vertragsentwurf zufolge verschiedene Sperrmaßnahmen möglich. Die schwächste Sperrmaßnahem ist dabei die sogenannte DNS-Sperre, die stärkste Sperrmaßnahme ist die Paketsperre in den Routern.
Kloiber: Dann sollten wir die nach dem gestrigen so genannten BKA-Vertrag möglichen Sperrmaßnahmen doch einmal etwas genauer untersuchen. Als ziemlich wirkungslos gilt ja die reine DNS-Sperre. Warum?
Welchering: Das ist ein Sperrmechanismus, der auch einmal als Sperre für die Dummen bezeichnet wurde. Wenn eine Domain wie dradio.de aufgerufen wird, übersetzt das Domain Name System bei den Internet-Providern diesen klingenden Domainnamen in eine Internet-Protokolladresse, also zum Beispiel 194.31. und so weiter. Und anhand dieser IP-Adresse landet dann der Nutzer auf der Dradio-Seite. Bei der DNS-Sperre, da wird nun nicht auf diese originale IP-Adresse verwiesen, wenn der Domainname eingegeben wird, sondern auf eine Ausweichadresse, zum Beispiel die Stoppseite, die Frau von der Leyen bevorzugt. Kabel Deutschland und die Telekom tragen allerdings eine solche Umleitung auf eine Stoppseite laut dem gestern geschlossenen Vertrag nicht mit. Diese DNS-Sperre ist leicht zu umgehen, wenn der Nutzer statt des Domain-Namens die eigentliche IP-Adresse in das Adressfeld seines Browsers eingibt.
Kloiber: Das sieht bei den IP-Sperren anders aus. Sind die denn im Vertrag mit den Internet-Service-Providern vorgesehen?
Welchering: Nach dem hier vorliegenden Entwurf sind IP-Sperren durch den BKA-Vertrag abgedeckt, und zwar durch Paragraf 3, Absatz 2. Da aber die gestern geschlossenen Verträge geheim sind, lässt sich nur vermuten, dass diese Verträge den vorab zirkulierenden Entwürfen entsprechen. Bei einer solchen IP-Sperre blocken die Internet-Service-Provider die tatsächliche IP-Adresse. Das heißt, dass Datenpäckchen mit einer gelisteten Zieladresse schon im Router abgefangen werden. Hier haben wir es also mit einer regelrechten Transportsperre zu tun. Selbst durch Ausweichen auf einen ausländischen DNS-Server kann solch eine IP-Adresssperre nicht umgangen werden.
Kloiber: Das unterscheidet sich aber von der Internetsperre durch so genannte Zwangsproxy-Server?
Welchering: Ja, die Einrichtung von so genannten Zwangsproxys wird gegenwärtig auch diskutiert. Proxyserver sind ja eigentlich ganz sinnvolle Einrichtungen. Auf denen hinterlegt beispielsweise der Administrator eines lokalen Netzwerkes bestimmte Web-Seiten, die ganz oft aufgerufen werden. Wer immer von seinem PC aus solch eine Seite aufruft, landet dann nicht auf dem Server des Web-Seiten-Betreibers, sondern auf dem zwischengeschalteten Proxyserver. Damit lässt sich bei Seiten, die häufig von vielen Nutzern auf einer Domain zugleich abgerufen werden, der Datenverkehr im Netz reduzieren. Und da gibt es in Sicherheitskreisen Erwägungen, den gesamten Datenverkehr über zwischengeschaltete Proxyserver laufen zu lassen, für die dann ja auch jeweils garantiert werden kann, dass keine rechtlich bedenklichen Inhalte darauf liegen. Internet-Service-Provider betreiben auch heute schon Proxyserver. Bisher allerdings ohne jede Zensurabsicht, nur zu dem Zweck, den Datenverkehr bei gleichartigen Aufrufen derselben Webseiten zu reduzieren. Solche vorgehaltenen Seiten werden auch auf den Proxyservern ständig aktualisiert und entsprechen den Original-Webseiten. Aber ein solcher Proxyserver kann eben auch als Filter eingesetzt werden und darüber können sehr wirkungsvolle Sperren eingerichtet werden. Wer immer eine Webseite aufruft landet auf einem Proxy-Server. Ist die aufgerufene Webseite freigegeben, wird sie auf diesem Proxy-Server vorgehalten. Ist sie nicht freigegeben, erscheint eine Fehlermeldung. Das ist sozusagen die chinesische Methode der Internetsperre, die aber selbst im Reich der Mitte zu Olympiadezeiten nicht durchgehalten werden konnte. Die Proxy-Server waren einfach überlastet.