Verbotene Links reizen zum Anklicken, und DNS-Sperren lasse sich leicht umgehen. Wohin das führen kann, beschreibt dieser Standpunkt Sicherheit.

Clickjacking bei Twitter

Ein Wurm nutzte Clickjacking und die Nachricht "Don't click <TinyURL-Link>", um sich auf Twitter zu verbreiten: Beim Klick auf den Link wurden die Opfer auf eine Seite weitergeleitet, auf der ein Button mit dem gleichen Text aufs Anklicken wartete. Inzwischen wurde aber ein unsichtbarer iFrame unter den Mauszeiger geschoben, der beim Anklicken den Tweet unter dem Namen des Opfers abschickte. Diese Angriffstechnik wurde von Twitter inzwischen blockiert, indem das Einbinden von Twitter in iFrames durch einen Framebuster verhindert wird. In sofern also technisch nichts Neues, weder beim Clickjacking-Angriff noch bei dessen Verhinderung.

Und wieso funktioniert das ganze? Das altbekannte Problem: Wenn man möchte, das etwas gemacht wird, muss man nur "Macht das bloss nicht!" sagen, irgendwer machts dann schon. Irgendwer wird immer neugierig genug sein, auf den verbotenen Knopf oder Link zu klicken. Und wer erst mal auf den ersten Link geklickt hat, obwohl er das doch gerade nicht tun sollte, klickt dann auch auf den Button auf der nächsten Seite. Einfach, weil er wissen, möchte, was dahinter steckt. Im Prinzip ist das auch gut so, denn ohne Neugier und Forscherdrang würden wir wohl noch immer gemeinsam mit den Affen auf den Bäumen hocken. Was für die Erde an sich vielleicht gar nicht mal so schlecht wäre, für die Menschheit aber doch ziemlich unbefriedigend.

Das man in diesem Fall nicht weiß, was sich hinter dem Link verbirgt, ist dabei eigentlich nebensächlich, denn das weiß man streng genommen nie. Über einen Link weiß man nur 2 Dinge: Das, was der Link-Setzer als Beschreibung angegeben hat, und das, was die zugehörige URL aussagt. Wenn sie denn in der Statuszeile angezeigt und nicht durch irgend eine Spielerei überschrieben wird. Ob die Beschreibung zutrifft, weiß man erst, wenn man dem Link gefolgt ist. Und die URL verrät auch wenig: Selbst wenn sie zu einem vertrauenswürdigen Server führt, kann eine dort vorhandene Redirect-Funktion zu einer bösartigen Seite führen. Selbst die Annahme, das vertrauenswürdige Websites nur zu anderen vertrauenswürdigen Websites verlinken, ist falsch. Zum einen können bösartige Links eingeschleust worden sein (siehe das Twitter-Beispiel), zum anderen kann sich der Inhalt einer verlinkten Seite durchaus ändern.

Halten wir einfach mal fest: Wenn etwas verboten ist, reizt es besonders. Und wohin ein Link führt, weiß man erst, wenn man ihm gefolgt ist.

Filtern gegen Kinderpornografie

Frau von der Leyen hat ein neues Lieblingsthema: Kinderpornografie, bzw. genauer: Filter, die den Zugriff darauf verhindern. Das sowas nicht funktionieren kann, zumindest nicht so, wie sie es sich vorstellt, ignoriert sie, so wie viele Minister alles ignorieren, was nicht in ihr Weltbild passt. Im Unterausschuss "Neue Medien" des Bundestags gab es jetzt eine Expertenanhörung zum Thema. Mal ganz davon abgesehen, das ein Filter gegen Kinderpornografie ganz schnell auch zu einem Filter vor unliebsamen Meinungen werden kann und schon von daher mit äußerster Vorsicht zu betrachten ist, bringt er in der vorgeschlagenen Form einer DNS-Sperre überhaupt nichts.

"80 Prozent der Nutzer seien durchschnittliche Nutzer, die sich durch eine Zugangserschwerung vielleicht davon abhalten lassen würden, sich den Zugang anderweitig zu verschaffen." lautet eine Aussage im oben verlinkten Text. Was für "durchschnittliche Nutzer" damit gemeint sind, steht da nicht. Wenn damit Nutzer gemeint sind, die zufällig auf Links zu Kinderpornografie klicken, dann ist eine DNS-Sperre überflüssig: Da sie nicht an Kinderpornografie interessiert sind, schließen sie die Seite wieder und die Sache ist erledigt. Also sind wohl 80% der Kinderpornografie-Konsumenten "durchschnittliche Nutzer". Da die aber an der Kinderpornografie interessiert sind, werden sie sich von einer "Diese Seite ist gesperrt"-Seite kaum aufhalten lassen. Eine kurze Google-Suche verrät ihnen dann, wie sie diese "Sperre", die keine ist, umgehen können. Aufhalten lassen sie sich damit garantiert nicht.

Halten wir also fest: Eine DNS-Sperre ist keine Sperre, sondern ein Witz, da sie sich problemlos umgehen lässt. Sie erzeugt nur Kosten ohne jeden Nutzen.

Sperr-Listen sind interessant

Die Liste der zu sperrenden Domains ist aus vielen Gründen interessant: Zum einen für Kinderpornografie-Konsumenten, für die stellt die ja wohl sowas wie ein Empfehlungsschreiben dar ("Vom BKA verboten..."). Zum anderen für jeden, der überprüfen will, das da wirklich nur Kinderpornografie ausgefiltert wird und sonst nichts. Glaubt man wirklich allen Ernstes, diese Listen geheim halten zu können? Irgendwann werden diese Listen bekannt. In anderen Ländern, die auf DNS-Sperren setzen, ist das bereits passiert.

Halten wir als letzten Punkt fest: Irgendwann werden die Sperr-Listen bekannt.

Und nun alles zusammen:

So, und nun fassen wir mal zusammen:

• Wenn etwas verboten ist, reizt es besonders.
• Wohin ein Link führt, weiß man erst, wenn man ihm gefolgt ist.
• Eine DNS-Sperre ist keine Sperre, sondern ein Witz, da sie sich problemlos umgehen lässt. Sie erzeugt nur Kosten ohne jeden Nutzen.
• Irgendwann werden die Sperr-Listen bekannt. In anderen Ländern, die auf DNS-Sperren setzen, ist das bereits passiert.

Da ergeben sich doch einige interessante Verknüpfungen, oder? Muss ich dazu noch mehr sagen? Ich denke, nicht.

Wenn man schon unbedingt filtern will, warum nimmt man dann nicht die in der Expertenanhörung auch vorgeschlagene Lösung auf Basis von Hash-Werten? Die ist wenigstens wirksam. Natürlich ist die nicht von heute auf morgen zu implementieren, aber das dürfte kein Argument sein. Zumal eine gesetzliche Regelung ja auch einige Zeit in Anspruch nimmt. Ach, ich vergaß: Im Herbst sind Bundestagswahlen, es ist also eilig, damit man das ganze noch im Wahlkampf ausschlachten kann.

Anderen Ansatz gefällig?

Microsoft hat 250.000 US-Dollar Belohnung für Hinweise ausgesetzt, die zur Ergreifung der Entwickler des RPC-Wurms Conficker führen. Wie wäre es mit einer entsprechenden Belohnung für Hinweise, die zur Ergreifung von Kinderschändern und Kinderpornografie-Produzenten führen? Ohne Kinderschänder keine Kinderpornografie, und wenn es keine entsprechenden Angebote mehr gibt, muss man sich auch nicht mehr damit beschäftigen, mögliche Konsumenten aufzuhalten. Und vor allem wäre den Kindern damit sehr viel mehr geholfen. Und darum geht es doch letztendlich, oder etwa nicht?

Carsten Eilers