Überwachung - 5

Ich versuch ja immer ein bisschen technisch mitzudenken, wenn unsere Politikerinnen Geschichten zu ihrem Stoppschild erzählen, aber irgendwie komm ich nicht weiter...

Wenn alles schlecht geht mit der Internetsperrerei haben wir ja dann dieses Stoppschild, das die Provider hosten. Dort schlagen dann alle Surfer auf, die dank DNS-Fälschung statt auf "porno.tld" auf irgendeine IP-Adresse des Providers umgelenkt werden. Dort entsteht ein Logfile, das im Wesentlichen die IP-Adresse des Surfers, die gesuchte URL (also z.B. "porno.tld/gallery.html") und mit einigem Glück für die Überwacher noch den "Referer" enthält. Dazu noch ein bisschen Infos über verwendeten Browser und Betriebssystem, aber wenn sich hinter dem Begriff "Stoppschild" nur eine Seite mit Bild und Link und nicht irgendwelche aktiven Spähprogramme verbergen, wars das dann auch.

Die URL wäre für die Polizei uninteressant. Weil die Liste der gesperrten Seiten hat sie ja selbst gemacht. Bestenfalls könnte man da schöne Statistiken zu Besucherzahlen draus generieren. Die IP-Adresse wäre wichtig, um den Pornosucher zu identifizieren. Und der Referer könnte interessant sein. Dort steht die Seite drin, auf der sich der Link auf "porno.tld/gallery.html" befindet, die der Besucher vorher angesurft hat und wo er eben den Link angeklickt hat. So könnte man Neuigkeiten erfahren, wo unerlaubte Inhalte verlinkt sind und dort eventuell weiterfahnden.

Aus Sicht  der Ermittler also keine so doofe Idee, sich das Log anzusehen. Aber dann ist wohl irgendwas bei der Übermittlung des Wunsches an die Verantwortlichen verlorengegangen.

Weil jetzt möchte unsere Justizministerin ja einerseits keinesfalls sämtliche Besucher des Stoppschildes speichern. Stattdessen möchte sie die Gelegenheit, sozusagen live auf das Log zugreifen zu können. Was natürlich auch wieder speichern hiesse, weil eine durchrauschende  live-Ansicht vermutlich eher aussieht wie der Matrix-Bildschirmschoner.

Ausserdem betont Frau Zypries, dass "Wie bei der Telekommunikationsüberwachung nur die Daten von Personen durchgereicht [würden], bei denen eine richterliche Genehmigung zur Überwachung vorliegt."

Bei Leuten, gegen die eine Genehmigung zur Überwachung vorliegt, kann der Provider ja ganz einfach sämtlichen Verkehr ausleiten. Dank der TKÜV haben die grossen Provider (und nur die haben diese Stoppschilder) sogar für viel Geld eigene Geräte zum bequemen Mitschnitt und reibungslosen Übertragung sämtlichen Internetverkehrs an die Behörden kaufen müssen. Für diese Leute bräuchte es die Stoppschild-Live-Beobachtung also eigentlich nicht.

Für eine spätere Zuordnung der Daten zum Beispiel zu Dank der Vorratsdatenspeicherung gespeicherter IP-Adressen braucht man das auch nicht. Weil der Provider muss schon vorher zuordnen, sonst weiss er ja nicht, gegen welche IP-Adresse gerade eine Überwachungsgenehmigung vorliegt. Die ist ja gegen die Person gerichtet und ausserdem ist aus Providersicht Kunde und IP-Adresse zu einem bestimmten Zeitpunkt praktisch das gleiche. Ausserdem schliesst die Ministerin eine Speicherung derzeit noch aus.

Ich kann mir Vorstellen, dass sich irgendwo in den Fachabteilungen der Polizei und Justiz die Leute ziemlich die Haare raufen, wenn die Leitungsebene beim Briefing wieder nur die Hälfte kapiert, den Rest frei erfindet und dann ein Fass aufmacht wegen Dingen, die man selbst eigentlich so nie gewollt hat. Entweder wollten die nur den Referer oder sie wollten auch die IP-Adressen. Dann aber unkompliziert ohne Richter, oder alles nur mit richterlichem Beschluss für die angesurfte Seite statt einer für den Besucher. Oder irgendwas völlig anderes, was weder die Ministerin noch ich verstehen.

Das Kabinett hat heute den Gesetzentwurf für die Internetzensur verabschiedet. Vermutlich wird das auch so zum Gesetz werden, weil der Gesetzgeber ändert nicht mehr viel an den Entwürfen und ausserdem eignet sich das Thema ja wirklich schwer als Wahlkampfthema, wenn die Union die "Wir tun was!"-Position schon besetzt hält.

Erstmal wirds eine DNS-Sperre geben, die Übersetzung von "www.boeseseite.tld"  auf den entsprechenden Server wird also verbogen auf eine Stoppseite, aber das Gesetz ist offen für weitere Sperrverfahren. Die tägliche Sperrliste des BKA soll auch nur an Grossprovider abgegeben werden, Kunden von Kleinbetrieben, Unis oder Behördennetzen bleiben also vor unerlaubten Inhalten ungeschützt. Ist natürlich dämlich, aber ich verstehe schon, warum man beispielsweise mir diese Liste nicht geben möchte...

Wer die Diskussionen der letzten Wochen zu den Thema verfolgt hat, wird ein wenig überrascht sein, dass die Behauptung auf dem Entwurf der Stoppseite nicht stimmt, weder Provider noch BKA würden speichern, wer diese Seite besucht. Also genau genommen stimmt sie schon, sie speichern nicht, sie schauen nur zu... Oder mit den Worten der Justizministerin, die dabei auch gleich die Beweislast umkehrt (von "SZ-Online audio" abgetippt):

"Die Daten werden nicht gespeichert. Aber die Strafverfolgungsbehörden können in Echtzeit zugreifen und können sehen wer versucht hier gerade eine solche Seite aufzurufen. Und in dem Moment macht der sich bereits strafbar, es sei denn, er kann hinterher nachweisen, dass das irgendwie ein komplettes Versehen oder eine technische Umleitung war."

Mit solchen Aussagen verhindert man natürlich wunderbar, dass irgendein Inländer die Liste auch mal überprüft, ob die genauso unpassend ist wie ihre Vorbilder in anderen Staaten. Aber da muss man halt auf das befreundete Ausland ausweichen...

Ich stells mir auch schwierig vor, hinterher nachzuweisen, dass das ein Versehen war. Vermutlich hat da die Frau Zypries irgendwie andere Vorstellungen vom Internet als ich:

Der normale Besucher z.B. von bild.de macht mit einem Klick auf die Seite eine Verbindung auf zu google-analytics.com, googlesyndication.com, fbcdn.net, facebook.com, uimserv.net und ivwbox.de. Auf noch grässlicheren Seiten wird das nicht anders aussehen, das Stoppschild muss für den Besucher auch nicht unbedingt sichtbar sein. Ich glaube, nicht einer der Bild-Besucher könnte hinterher auch nur vermuten, wieso er täglich zu facebook surft, "nachweisen" wird gänzlich unmöglich sein.

Auf dem Papier wird das Gesetz übrigens ein voller Erfolg werden. Bei den Zahlen, die sie in der Begründung nennen (111% Steigerung der Fallzahlen in der Kriminalstatistik) sind ja die vielen Verdächtigen der "Operation Himmel" dabei. Falls also 2009 die Staatsanwälte sich ein wenig zurückhalten bei Aktionen, die massig Verdächtige hervorbringen, aber zu keinen Verurteilungen führen, könnte 2009 zum Jahr des sauberen Internets werden. Seriöse Politiker wissen, dass die Kriminalstatistik eher ein Arbeitsnachweis der Polizei als ein Überblick über die tatsächliche Kriminalität ist. Das wird sie aber nicht davon abhalten, uns nächstes Jahr einen deutlichen Rückgang dieses Kriminalitätsbereichs zu beweisen...

Wenn ich den zeitlichen Verlauf der Anzahl der Tor-Nodes so ansehe, haben ja anscheinend staatliche Massnahmen zur Piratenbekämpfung auch eine positive Seite: Es werden neue Tor-Server installiert. In Schweden zum Beispiel kamen letzte Woche ein paar dazu nachdem dort ein Gesetz zur Durchsetzung von Urheberrechten in Kraft getreten ist:

Ähnliches ist in Frankreich zu beobachten, wo neuerdings Raubkopierern ihre Internetverbindung weggenommen wird:

Das wird natürlich den Filesharern nicht helfen. Falls wirklich der Internetverkehr in Schweden seitdem um 30% gesunken ist, machen ein paar dutzend Tor-Server nicht viel aus und ausserdem ist Tor für Tauschbörsen eh nicht besonders gut geeignet. Vielleicht wird der Anstieg deshalb auch nicht von Dauer sein.

Vielleicht bleibt es aber auch dabei. In den beiden Ländern gab es ja auch eine grössere öffentliche Diskussion über diese Gesetze und dabei kam wohl schon auch ins Bewusstsein, dass die Staaten immer intensiver in das Internet steuernd und überwachend eingreifen werden.

Bei den deutschen Servern hat sich übrigens nicht viel getan im letzten Vierteljahr. Ich hab die Aufzeichnung eigentlich geschrieben, um zu sehen, wie sich die Vorratsdatenspeicherung auf die Gründung oder Abschaltung von Tor-Nodes in Deutschland auswirkt, aber da tut sich nichts. Vermutlich geht es den meisten Leuten hier wie mir. Man schwankt zwischen "man braucht jetzt erst recht ein paar Anonymisierer" und "ich will keiner Ärger" und so wartet man zumindest auf den Spruch des Verfassungsgerichts in dieser Sache.

Ein wirkliches Rätsel sind mir ja die chinesischen Anonymisierungsserver:

In meiner Vorstellung vom chinesischen Internet kann dort ja kein Server betrieben werden ohne bei irgendwelchen Überwachungsbehörden aufzufallen. Allerdings ist China mit rund 50 Nodes stets unter den Top 10 der Länderliste. Dazu kommt dass fast alle diese Server nicht nur als middelman konfiguriert sind (das heisst in freieren Ländern so viel wie "ich will mitmachen, aber keinen Ärger") sondern als Exit-Node. Das sind die Server, deren IP-Adresse für alles herhalten muss, was über Tor läuft. Die haben den Ärger mit Provider und Polizei. Der Anteil der Exit-Nodes sollte also irgendwie ein Mass dafür sein, wie gelassen ein Serverbetreiber dem Ärger entgegensehen kann. In allen anderen Ländern liegt der Anteil bei 30-60% (Deutschland 32%, USA 37%, Frankreich 61% ...), während im Reich der Mitte fast jeder Node auch ein Exit-Node ist.

Entweder ist mein Bild von China also völlig falsch, oder es gibt dort im Netz Freiräume, die ausser für den Betrieb von Spamservern und Phishingseiten auch für Anonymisierungsdienste genutzt werden können.

Die Interpretation, dass mit Wissen der Behörden Tor-Server betrieben werden, ist natürlich auch möglich. Hätte auch Sinn, falls sich die Internet-Aufseher dort für den Traffic durch das Netz interessieren. Dann wären auch nur Exit-Nodes wirklich interessant, das sind ja die einzigen Knoten, die den Verkehr unverschlüsselt mitschneiden können. Bleibt zu hoffen, dass die chinesichen Nutzer technisch geschickt genug sind, die Nodes im eigenen Land nicht zu verwenden, sondern dass von dort z.B. nur der schwedische Verkehr ins unanonymisierte Internet gelangt.

(Die Bilder zeigen den Verlauf von 1.1.09 bis 7.4.09. Aktuelle Zahlen und Diagramme auch für andere Länder gibts bei einem Klick auf eines der Bilder...)

Ich hab mal über Nacht die australische Zensurliste nach Ländern aufgelöst. Die wurde ja neulich bei Wikileaks veröffentlicht, ich kann aber nicht darauf verlinken, wenn ich dieses schöne Land nicht aus meiner Urlaubsplanung ausschliessen will. 2/3 der dort aufgeführten URLs zeigen allerdings derzeit ins leere, lediglich ein Drittel liess sich noch nachverfolgen.

Das Ergebnis ist schon fast langweilig. Ebenso wie Dänemark, Finnland und andere Vorbilder für unser geschütztes Internet  in Deutschland filtern die Australier halt auch hauptsächlich Seiten in befreundeten Staaten der westlichen Welt mit stabiler Rechtsordnung und ähnlicher Situation, was unerlaubte Veröffentlichungen betrifft. Ist auch wieder irgendwie klar, rechtsfreie Räume in exotischen Staaten, von denen unsere Zensurfreunde so gerne schwadronieren sind in der Regel auch Gegenden ohne stabile Stromversorgung und ohne vernünftige Bandbreite. Keine guten Voraussetzungen fürs Serverhosten.

Die Australier vermuten das Böse dort:

59% der gefilterten Adressen liegen in den USA
 7%  in den Niederlande
 6%  in Deutschland (davon die Hälfte bei Sedo geparkt)
 2%  in der Türkei
 2%  in Russland
 2%  in Australien (komisch, irgendwie...)
 2%  in Japan
 2%  in der EU (ohne Angabe zum Land)
 1%  in Korea
 1%  in Spanien
 1%  in Kanada
Der Rest verteilt sich auf weitere 19 Länder (->vollständige Liste)
(Auflösung der IP-Adressen zu Ländern mit der "GeoLite City"-Datenbank von Maxmind)

Die australischen Behörden stellen übrigens keine Listen gefilterter Domains oder IP-Adressen auf, sondern nennen Hostnamen oder Domains oder komplette URLs (eine URL hatte allerdings Backslashe im Pfad, was nicht für gewissenhafte Prüfung spricht). Deshalb landet auch beispielsweise Google mit ein paar Hosts in der Liste. Das sind dann z.B. URLs auf den Usenet-Zugang  groups.google.com. 2 der 23 deutschen Server sind ebenfalls Usenet-Archive. Das ganze Usenet mit seinen 1000 Zugangsarten bleibt allerdings ungefiltert, weil auch australische Entscheider die Begriffe "Internet" und "www" für Synonyme halten.

Volker Beck wartet übrigens anscheinend immer noch auf eine Antwort, wo denn unser Familienministerium die schlimmen Server vermutet. 8 Wochen reichen dort anscheinend nicht aus, ein paar "rechtsfreie Räume" zu finden, ohne Nachbarn und Verbündeten auf die Füsse zu steigen. Ausserdem müsste man begründen, warum man trotz bekannter Mängel nach Internetzensur ruft, wo doch auch eine schnelle Mail an Provider oder Polizei das Problem (oder zumindest jeweils eine Seite) aus der Welt schaffen könnte. Vermutlich dauert das einfach so lange, weil Alternativen erst gar nicht in Betracht gezogen werden, sobald die Chefin des Hauses die Marschrichtung festgelegt hat.

Ich freu mich ja immer, wenn Überwachungsthemen auch in den grossen Medien auftauchen. Wenn zum Beispiel die Tagesthemen über die Gefahren von Handyortung berichten, einen Datenschützer zu Wort kommen lassen und die Techniken grob vorstellen.

Schade ist es nur, wenn das ganze wieder kaputtgemacht wird von Journalisten, die sich nicht mal die ersten zwei Zeilen zu "GPS und Datenschutz" in der Wikipedia durchlesen, sondern sich stattdessen irgendwas lustiges zusammenphantasieren (ab 06:12min):

Einige Handys verfügen über GPS. Die Satellitenortung liefert die genauesten Daten. Satelliten im All verfolgen die Position des angepeilten Telefons und geben dessen Standort metergenau weiter.

Zur Klarstellung: Satelliten peilen nichts an, sie verfolgen nichts und sie geben nichts weiter. Sie versetzen lediglich den Empfänger in die Lage, zu erkennen wo er ist. Es liegt an diesem Gerät und dessen Besitzer, ob das Ding etwas weitergibt und an wen. Ob das Gerät das überhaupt kann und wie der Besitzer das beeinflusst, steht hoffentlich in der Gebrauchsanweisung.

Die dann folgende Behauptung

Handys die über lokale WLAN-Funknetze ins Internet gehen, können über deren Daten geortet werden. Eine vom Handy verschickte E-Mail enthält Informationen über welches WLAN-Netz sie gesendet wurde. Alle WLAN-Netze haben eine Ortskennung.

ist auch irgendwie eher falsch. Hier war jedenfalls noch niemand, um unser WLAN zu kennzeichnen. Dass irgendein vorbeiradelnder Wardriver mal das Netz "00:0C:F6:27:87:FA" unserer Wohnung zugeordnet hat, mag sein. Aber wie diese Information in die Mail kommen soll, ist mir ein Rätsel. Vielleicht hat Google oder ein anderer Geheimdienst eine Liste sämtlicher Hotspots mit fester IP, aber als Ortskennung würde ich das nicht bezeichnen.

Wirklich schade: Wenn ich in einem Bericht solche Schnitzer sehe, glaube ich nämlich dem Rest der Nachrichten auch nicht mehr. Dabei schaue ich eigentlich die Tagesthemen, um über Themen informiert zu werden, bei denen ich mich nicht auskenne und seriöse Berichte brauche. Mich über skurrile Meldungen amüsieren kann ich bei RTL Exclusiv auch.