Wieso DNS-Sperren wirkungslos sind und ob evtl. 92 Prozent der Deutschen für Kinderschänder sind, wird in diesem Standpunkt Sicherheit untersucht.

DNS-Sperren - Jetzt wirkungslos, bald funktionslos

Werfen wir mal einen Blick auf den Ablauf der geplanten Internetzensur auf Basis von DNS-Sperren:

Ein Benutzer klickt auf irgend einen Link. Sein Webbrowser fragt beim DNS-Server seines Providers nach der IP-Adresse des zugehörigen Domainnamens. Der DNS-Server guckt nun in seine streng geheime Liste und stellt fest, das diese Domain gesperrt ist. Statt der richtigen IP-Adresse 1.2.3.4 liefert er daher die Adresse 9.8.7.6 des Stoppschild-Servers des Providers zurück. Jetzt baut der Webbrowser eine Verbindung zum Stoppschild-Server auf und der Benutzer sieht das Stoppschild, gleichzeitig landet seine Adresse und vermutlich auch gleich sein Name und seine Anschrift beim BKA.

Wieso man daraus noch lange nicht schließen kann, das sich der Benutzer Kinderpornographie ansehen wollte, hatte ich bereits im Standpunkt Sicherheit vom 4. Mai beschrieben. Aber haben diese Sperren überhaupt irgend eine Wirkung? Natürlich nicht, und das aus zwei Gründen: Sie lassen sich jetzt schon umgehen, und demnächst funktionieren sie gar nicht mehr. Die DNS-Sperre scheitert an 2 Punkten (Beweis durch Gegenbeispiel, eigentlich würde schon der 1. Punkt reichen)

Punkt 1: Die Sperre funktioniert nur, wenn der Benutzer einen DNS-Server verwendet, der an den Sperren teilnimmt.
Sie lässt sich also in Null Komma nichts umgehen, es muss nur ein anderer, nicht an den Sperrungen teilnehmender DNS-Server eingestellt werden. Es gibt noch weitere Möglichkeiten, sie zu umgehen, aber schon diese reicht.

Punkt 2: Die Sperre funktioniert nur, wenn der Client die falsche Antwort des DNS-Servers akzeptiert.
Falsche Antwort vom DNS-Server - das ist ein altbekanntes Problem, man nennt es DNS-Spoofing. Um das zu verhindern, gibt es DNSSEC. Dabei werden die DNS-Informationen vom zuständigen DNS-Server signiert, und Fälschungen werden vom lokalen DNS-Resolver nicht mehr akzeptiert. Ups - auch die IP-Adresse des Stoppschild-Servers ist ja nicht vom zuständigen DNS-Server signiert, wird also als Fälschung verworfen. Und in Deutschland wird gerade in einer Testumgebung der Einsatz von DNSSEC getestet. Wenn DNSSEC erst mal eingeführt wurde, ist es mit den DNS-Sperren vorbei.
Je nachdem, wie DNSSEC umgesetzt wird, könnte der DNS-Server des Providers die Prüfung der Signatur übernehmen und dem Client deren Korrektheit bestätigen, das dann auch für die gefälschte IP-Adresse des Sperrservers. Diese Umsetzung ist aber unsicher, da sie nicht vor Angriffen auf den DNS-Server des Providers und Man-in-the-Middle-Angriffen zwischen diesem DNS-Server und dem Client schützt. Daher wird man zu einer "alles oder nichts"-Umsetzung greifen müssen: Entweder, DNSSEC wird durchgängig von den Rootservern bis zum Client durchgezogen, und damit funktionieren dann die DNS-Sperren nicht, oder es ist angreifbar. Dumme Sache, oder? Entweder sicherer E-Commerce ohne DNS-Sperren oder DNS-Sperren und ein gefährdeter E-Commerce - für was wird sich der Wirtschaftsminister entscheiden?

Halten wir also fest: Die geforderten Kinderporno-Filter funktionieren nicht.

92 Prozent der Deutschen sind für Kinderschänder?

Laut einer Umfrage der Deutschen Kinderhilfe sind 92 Prozent der Deutschen für die Sperrung von Websites mit Kinderpornographie - das berichtet die Welt. Leider wurde vergessen, zu verraten, was bzw. wie die Leute gefragt wurden. Wenn man sich ansieht, wo die Deutsche Kinderhilfe Unterschriften sammeln will, ist schon klar, das da sehr wahrscheinlich extrem populistisch vorgegangen wurde. Und die Deutsche Kinderhilfe selbst ist auch nicht gerade unumstritten.

Aber auch der eigentlich seriöse Deutsche Kinderschutzbund will anscheinend für die Sperren werben. Für die Sperren - nicht für das Abschalten der Angebote. Man ist also dafür, die Augen zu verschließen, statt die Täter zu verfolgen. Aber was will man erwarten, wenn schon der Wirtschaftsminister anscheinend nicht in der Lage ist, den Text der Onlinepetition zu verstehen? Also, mal ganz langsam und zum mitdenken:

"Begründung
Das vornehmliche Ziel – Kinder zu schützen und sowohl ihren Mißbrauch, als auch die Verbreitung von Kinderpornografie, zu verhindern stellen wir dabei absolut nicht in Frage – im Gegenteil, es ist in unser aller Interesse. Dass die im Vorhaben vorgesehenen Maßnahmen dafür denkbar ungeeignet sind, wurde an vielen Stellen offengelegt und von Experten aus den unterschiedlichsten Bereichen mehrfach bestätigt. Eine Sperrung von Internetseiten hat so gut wie keinen nachweisbaren Einfluß auf die körperliche und seelische Unversehrtheit mißbrauchter Kinder."

Also: Die Internetsperren sind so einfach zu umgehen, das sie keinerlei Einfluss auf das angebliche Geschäft der Kinderpornografie-Vertreiber haben. Ob die nun ihren Kunden nur die Adresse der Kinderpornos übermitteln oder zusätzlich noch erklären müssen, wie sie einen anderen DNS-Server eintragen, ist unerheblich. Wenn man den Kindern wirklich helfen wollte, gäbe es nur einen Weg: Den Weg über die Server mit den Kinderpornos bis zu den Herstellern der Kinderpornos zurückverfolgen und alle Beteiligten aus dem Verkehr und zur Verantwortung ziehen.

Logische Schlussfolgerung: Wer für die vorgesehene, leicht zu umgehende Sperre ist, ist logischerweise gegen die Verfolgung der Täter und das aus dem Verkehr ziehen der entsprechenden Angebote. Denn was man abschaltet, braucht man ja nicht mehr zu sperren. Oder habe ich das falsch verstanden?

Da kann ich dem Herrn Wirtschaftsminister nur die Worte klauen: Es macht mich schon sehr betroffen, wenn pauschal der Eindruck entstehen sollte, dass es Menschen gibt, die vor Kindesmissbrauch lieber die Augen verschließen, statt dagegen vorgehen zu wollen. Aber sie sind ja in guter Gesellschaft: Die Familienministerin macht es ihnen bereits vor.

Aber keine Panik, sehr wahrscheinlich sind 99,x % der Deutschen für die Verfolgung der Kinderschänder und das aus dem Verkehr ziehen entsprechender Angebote. Und auch die angeblichen 92%, die die Deutsche Kinderhilfe da gefunden haben will, wollen sicher nicht die Augen vor dem Leiden der Kinder verschließen. Man muss sie nur richtig informieren, bevor man sie fragt. Was bei den üblichen Umfragen ja i.A. nicht der Fall ist.

So, genug aufgeregt. Ich sollte vielleicht mal die Gesundheitsministerin informieren - ihre Kabinettskollegen schaden meinem Blutdruck. Und zum Schluss noch ein Hinweise zu einem kleinen Video auf YouTube: 'Mit Lego die DNS-Sperren erklärt'.

Carsten Eilers