FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Sperrungen im Internet

Fragen und Antworten

Eine systematische Aufarbeitung der Zensurdiskussion.

Kristian Koehntopp, Marit Koehntopp, Martin Seeger
Kiel, 14.05.97

Zusammenfassung

Wie alle anderen Medien wird auch das Internet zur Verbreitung von beispielsweise rechtsradikalen oder kinderpornographischen Informationen missbraucht. Dies hat in letzter Zeit den Ruf nach einem staatlichen Eingriff laut werden lassen, um zentrale Sperrungen bestimmter Inhalte zu erreichen.

Die Autoren halten einen solchen Schritt fuer nicht angemessen. Zum einen haben bisher alle technischen Ansaetze zur Realisierung versagt. Strukturelle Ueberlegungen lassen vermuten, dass dies auch in Zukunft der Fall sein wird. Auf der anderen Seite haben Sperren stets Auswirkungen auch auf Bereiche, deren Sperrung nicht beabsichtigt ist. Diese Nebenwirkungen sind um so schwerwiegender, je wirksamer die Sperren sein sollen.

Dezentrale Loesungsansaetze koennen dem Nutzer die Moeglichkeit geben, im eigenen Bereich selbstverantwortlich Inhalte zu filtern. Bewertungen von Inhalten durch nichtstaatliche Organisationen koennen dazu fuehren, dass der Bewertungsmechanismus zur Durchsetzung fragwuerdiger Interessen missbraucht wird. Um diesem Risiko entgegenzuwirken, ist es unverzichtbar, dass nicht nur die Bewertungsmassstaebe, sondern auch die Bewertungen selbst vollstaendig offengelegt werden.

Jede Art von staatlicher Regulierung treibt die Kosten in die Hoehe. Es ist abzusehen, dass der Versuch, Inhalte im Internet zu bewerten, sehr personalintensiv sein wird. Bereits heute sind die Kommunikationskosten am Standort Deutschland wesentlich hoeher als bei konkurrierenden Nationen wie den USA. Regulierungen koennen daher zu einem Standortnachteil fuehren.

Was soll mit einer Sperrung erreicht werden?

Bevor man ueber technische Massnahmen zur Sperrung von Inhalten im Internet und die Chancen ihrer Realisierung reden kann, muss man sich darueber klar werden, welche Ziele man mit einer solchen Sperrung erreichen moechte. Moegliche Ziele sind:

Law Enforcement: Man moechte verhindern, dass nach den Kriterien einer nationalen oder regionalen Rechtsordnung strafrechtlich relevantes Material fuer die Subjekte dieser Rechtsordnung erreichbar ist bzw. von ihnen veroeffentlicht werden kann, und zwar auch dann, wenn der Ort der Veroeffentlichung ausserhalb des Durchsetzungsbereiches dieser Rechtsordnung liegt. Traumziel waere es, das Begehen solcher Straftaten technisch unmoeglich zu machen.
Indecency: In den USA wurde mit dem communication decency act (CDA) in seinen verschiedenen Formulierungen und Gesetzesvorlagen versucht, eine noch weitergehende Regelung zu etablieren: Es sollte verboten werden, Material ueber Datennetze zugaenglich zu machen, das indecent ist, d.h. nach den Grundsaetzen der jeweils herrschenden Moraldefinition ungehoerig, obszoen oder in anderer Weise stoerend (zu Free Speech siehe z.B. The Electronic Frontier Foundation (EFF), http://www.eff.org/).
Jugendschutz: Nur Minderjaehrigen (Kindern und Jugendlichen) soll der Zugang zu bestimmten Materialien verwehrt werden, waehrend Volljaehrigen weiterhin die gesamten Inhalte des Internet zugaenglich bleiben sollen.
Rating: Fuer jeden Teilnehmer im Netz soll weiterhin frei definierbar sein, welches Material empfangen/nicht empfangen werden soll, aber es soll eine Bewertungsstruktur geschaffen werden, die es jedem Konsumenten in eigener Verantwortung ermoeglicht, seine Praeferenzen anzugeben (kein Sex/viel Sex, keine Gewalt/Blood and Splatter, politisch links/politisch rechts, konform mit den Vorstellungen der katholischen Kirche/islamisch korrekt) und nur noch den Ausschnitt aus dem Internet wahrzunehmen, der diesen selbstgewaehlten Filter passieren kann.
Nichtregulation: Jeder Netzteilnehmer soll freien Zugriff auf alle angebotene Information haben. Sogar die Existenz von Bewertungskriterien Dritter wird als schaedlich angesehen und die Bildung einer Bewertungsinfrastruktur nicht gefoerdert bzw. sogar behindert.

Welche Dienste werden betrachtet?

Unter der Bezeichnung Inhalte im Internet wird in der Regel eine ganze Reihe von Diensten subsumiert, die technisch vollkommen unterschiedlich realisiert werden und administrativ zu grossen Teilen disjunkte Strukturen aufweisen. Allen Diensten ist lediglich gemeinsam, dass ihnen das Datenuebertragungsprotokoll TCP/IP zugrunde liegt.

Man muss mindestens die beiden folgenden Dienste unterscheiden:

WWW, World Wide Web: Das World Wide Web ist der graphisch ansprechendste Dienst des Internet. Es handelt sich um Server, die auf die Anfrage eines Benutzers Seiten beliebigen Inhaltes an das Darstellungsprogramm (Browser) auf seinem Rechner ausliefern. Der Zugriff auf diese Seiten erfolgt in der Regel mit Hilfe des HyperText Transport Protocol (HTTP). Dieses Protokoll erfordert keine Identifizierung oder Authentisierung des Abrufers und des Anbieters; die Daten werden im Klartext und nicht faelschungssicher uebermittelt.
Eine optional einsetzbare Modifikation von HTTP uebermittelt Anfragen und Antworten mit Hilfe des Verschluesselungsverfahrens Secure Socket Layer (SSL). Bei diesem Verfahren muss sich mindestens der Anbieter gegenueber dem Abrufer identifizieren. Weiterhin ist sichergestellt, dass die Verbindung nicht im Klartext abhoerbar ist (Dritten wird nicht bekannt, welche Anfragen gestellt wurden oder welche Inhalte die ausgelieferten Seiten haben) und dass Inhalte nicht durch Dritte waehrend der Uebertragung unerkannt verfaelscht werden koennen.
Die abgerufenen Seiten bestehen aus Formatierungsanweisungen der HyperText Markup Language (HTML) und optional weiteren Bild-, Ton- oder Videodaten. Bei kleineren Servern liegen die abrufbaren Seiten haeufig statisch als vorgefertigte und unveraendert ausgelieferte Dateien auf der Festplatte vor. Groessere Server erzeugen die Seiten jedoch oftmals dynamisch in Abhaengigkeit von der Identitaet des Abrufers, seiner Netzadresse, seiner bevorzugten Landessprache (im Browser konfigurierbar), dem vom Abrufer verwendeten Browsertyp, der Uhrzeit des Abrufs oder anderen Kriterien, die frei progammierbar sind. Es ist also nicht sichergestellt, dass zwei aufeinanderfolgende Abfragen derselben Seite identische Antworten ergeben.
Falls die Seiten aus einer Datenbank dynamisch erzeugt werden, kann sich der Datenbestand des Webservers durch die Updates der Datenbank staendig aendern. Dies ist zum Beispiel der Fall bei Katalogsystemen fuer Onlinehandel (Preis- und Produktupdates, Aenderungen im Lagerbestand mit Auswirkungen auf die Lieferbarkeit usw.), bei Nachrichtenagenturen mit Anschluss an Presse- und Tickerdienste und bei Webverzeichnissen und Suchmaschinen, die einen Volltextindex fuer Seiten generieren und eine Recherche nach Inhalten erlauben.
Grundsaetzlich ist der Datenbestand im Web als hoechst dynamisch anzusehen: Neue Versionen von Seiten lassen sich zu sehr geringen Kosten erzeugen und in Verkehr bringen. Der elektronische Charakter des Mediums im Zusammenhang mit der zentralen Datenhaltung (es sind keine verteilten Kopien einer Seite auf Stand zu bringen) beguenstigen weiterhin eine sehr hohe Auflagenfrequenz.
USENET News: Das USENET ist ein verteiltes System vom Diskussionsforen (Newsgroups). Es handelt sich um ein teilweise zusammenhaengendes Netz von Servern, von denen jeder eine Auswahl von Artikeln zum Abruf bereithaelt. Die Artikel sind in der Regel in thematisch gegliederten Diskussionsforen in der Reihenfolge des Eingangs abgelegt. Leser koennen eine Verbindung zum netztopologisch am guenstigsten gelegenen Server aufbauen und Artikel nach Diskussionsforen und Eingangsdatum selektiert abrufen.
Leser koennen grundsaetzlich auf jeden gelesenen Artikel antworten (to follow up on an article) oder unabhaengig eigene Artikel auf dem Server ablegen (posten, von engl. to post a notice). Der Server wird dann seine Nachbarserver darueber informieren, dass er einen neuen Artikel vorraetig hat, und den Artikel ggf. an seine Nachbarserver replizieren (to feed an article to a neighboring system). Diese verbreiten den Artikel dann wieder an ihre Nachbarn usw. (flood fill algorithm of USENET). Nach einigen Stunden existieren Hunderttausende von Kopien dieses Artikels auf der gesamten Welt. Die Vernetzung der Server ist hochredundant; Unterbrechungen in Serverstrecken haben in der Regel keine oder nur lokal messbare Auswirkungen auf Verfuegbarkeit oder Transportgeschwindigkeit der Artikel.
Um Platz zu gewinnen, werden die jeweils aeltesten Artikel nach einiger Zeit geloescht. Die genaue Zeitspanne bis zur Loeschung haengt von der individuellen Konfiguration des Servers und seiner Platzsituation ab, liegt aber in der Regel nicht ueber 14 Tagen. Es existieren jedoch auch einige Newsarchive, die Diskussionen ueber mehrere Jahre hinweg abspeichern und diesen Datenbestand durch weitgehende Recherchemoeglichkeiten erschliessen (z.B. Dejanews, Altavista im Newsmodus).

Dadurch, dass jeder Leser auf beliebige Artikel direkt und ohne redaktionelle Bearbeitung antworten kann, entspinnen sich in der Regel unmoderierte, oeffentliche Diskussionen zu allen moeglichen Themen. Ein Grossteil der Diskussionsforen wird global ausgetauscht. Daher ist die Zusammensetzung der Diskussionsrunden zufaellig und international.

Die Kommunikation zwischen Leser und Server sowie die Kommunikation zwischen den Servern erfolgt in der Regel unverschluesselt und ohne Identifizierung und Authentisierung der Leser oder der Autoren von Artikeln. Die Faelschung von Absenderadresse oder Herkunftspfad eines Artikels ist trivial und in einigen Diskussionsforen sogar ueblich. Es existieren Konverter von E-Mail nach USENET News und Anonymous- sowie Pseudonymous-Server, die zum Teil mit kryptographisch starken Methoden die Identitaet des Absenders sowie seinen Aufenthaltsort im Netz zu verschleiern suchen. Einige Newsserver lassen Lese- und Schreibzugriff von jedermann und ohne Authentisierung zu (open servers); es ist Sache des Veroeffentlichenden, seine Identitaet in einem Artikel offenzulegen oder nicht.

Die Entscheidung ueber die von einem Server angebotenen Diskussionsforen obliegt in der Regel jedem einzelnen Serverbetreiber. Teilweise existieren Kataloge von offiziellen Newsgroups, diese sind jedoch in der Regel weder vollstaendig noch fuer irgendwen verbindlich. Name oder Ueberschrift einer Newsgroup haben nur den Charakter von Empfehlungen. Thematisch falsch eingeordnete Artikel (off topic postings) oder bewusst massenhaft in alle Newsgroups verbreitete Artikel (spam) machen einen festen Anteil aller Artikel aus.

Die Dienste IRC (Internet Relay Chat) und E-Mail (Private elektronische Post sowie halboeffentliche Mailinglists als Diskussionsforen) waeren ebenfalls zu betrachten, sollen hier aber im Interesse einer kompakten Darstellung nicht diskutiert werden, da sie weniger im Rampenlicht der oeffentlichen Diskussion stehen. Die genannten Argumente gelten aber in aehnlicher Form auch dort. Es existieren weitere Dienste, die fuer die oeffentliche Kommunikation in der Regel von geringerer Bedeutung sind (telnet) oder deren Diskussion keine neuen Aspekte zu Tage foerdern wuerde (ftp, siehe http).

Wie koennen zu sperrende Inhalte identifiziert werden?

Um Inhalte zuverlaessig sperren zu koennen, ist es notwendig, diese Inhalte in irgendeiner Form zu identifizieren. Diese Identifizierung kann von unterschiedlicher Aufloesung sein.

Auf der Basis von IP-Adressen kann ein einzelner Rechner identifiziert werden. Ein solcher Rechner erbringt jedoch in der Regel eine Vielzahl von Diensten fuer mehrere unterschiedliche Anbieter. Webserver von IP-Providern bringen unter einer IP-Adresse teilweise die Angebote von Tausenden Inhaltsanbietern ins Netz, Rechner von Kleinprovidern bieten teilweise alle Dienste des Providers unter einer IP-Nummer an. Eine Sperrung von IP-Nummern trifft also ausser den zu sperrenden Inhalten meist auch eine grosse Menge von Inhalten und Diensten, deren Sperrung nicht beabsichtigt ist.

Mit entsprechendem Mehraufwand koennen dienstspezifische Kennzeichen von einzelnen Einheiten des Angebotes identifiziert werden. Im World Wide Web ist dies der Name einer Seite (ihr Universal Resource Locator, URL), in den USENET News erfolgt die Identifizierung ueber die Message-ID einer einzelnen Nachricht oder den Namen einer Newsgroup. Fuer neu entstehende Dienste muessen dienstspezifische Methoden zur Identifikation einzelner Einheiten neu gefunden werden.

Die zu bewertenden Datenmengen sind riesig: Die Suchmaschine Altavista hatte im Mai 1996 schon 30 Millionen Webseiten in ihrer Volltextdatenbank (siehe Altavista) gespeichert; im April 1997 betrug das Newsaufkommen mehr als 72 Gigabyte fuer etwa 5,4 Millionen Artikel (Statistik von Eunet Deutschland GmbH aus de.admin.lists vom 01.05.97).

Es bleibt das Problem, zu sperrende Inhalte aus der Menge aller Inhalte zu isolieren. Hier gibt es nur zwei grundsaetzlich verschiedene Systeme:

Die automatische Bewertung von Inhalten auf der Basis formaler Merkmale wie etwa dem Vorhandensein bestimmter Schluesselworte.
Die manuelle Bewertung von Inhalten durch den Anbieter oder Dritte nach bestimmten Kriterienkatalogen (rating).

Verfahren zur automatischen Bewertung von Inhalten aufgrund von Schluesselworten scheitern bei Komponenten, die keinen Text enthalten (Audiodateien, Bilder oder Animationen) schon im Ansatz. Einige Online-Dienste (Prodigy, AOL) haben versucht, Diskussionen in dem IRC-Dienst aehnlichen Chatraeumen aufgrund des Gebrauchs bestimmter Schluesselworte bewerten zu lassen; die Ergebnisse waren wenig befriedigend. Einerseits waren normale Diskussionen ueber bestimmte Themen nicht mehr moeglich: Eine Sperrung des Wortes 'suck' erschwerte den Meinungsaustausch zu Staubsaugern in einem Haushaltsforum, eine Sperrung des Wortes 'breast' behinderte Diskussionen ueber Brustkrebs oder Kochrezepte (Huehnerbrust), und die Webseiten von Frau Cindy Tittle Moore (tittle@netcom.com) wurden durch das Programm Cybersitter wegen ihres Namens gesperrt.

Andererseits veraenderte die eigentliche Zielgruppe einfach ihr Vokabular, so dass die Sperrung auf diese Zielgruppe keine nennenswerte Auswirkung hatte. Auch andere automatisierbare Bewertungsmethoden vermoegen nicht die Semantik der Inhalte zu erkennen. Wer solche formalen Sperrkriterien kennt, kann leicht die Darstellung seiner Informationen je nach Bedarf an diese Kriterien anpassen, ohne die inhaltliche Aussage zu veraendern. Das Kindersicherungsprogramm Cybersitter ist beispielsweise in der Lage, als offensive eingestufte Worte aus Webseiten herauszuschneiden. Durch geschickte Formulierung sind so Aussagen in ihr Gegenteil verkehrbar, wenn sie unter Cybersitter betrachtet werden (Nachricht von Bennett Haselton auf der Mailingliste fight-censorship@vorlon.mit.edu, Message-ID: <01IAZF6R8I0I8XKGCV@ctrvax.Vanderbilt.Edu>).

Verfahren und Standards zur Bewertung von Inhalten durch den Anbieter oder Dritte liegen fuer den Bereich des World Wide Web bereits vor, das System PICS (Platform for Internet Content Selection, siehe http://www.w3.org/pub/WWW/PICS/) ist dabei zur Zeit fuehrend. PICS erlaubt die Installation frei definierbarer Bewertungsmaszstaebe mit einer beliebig feinen Aufloesung. Bewertungen von URLs koennen von den Anbietern selbst oder durch Dritte erfolgen. Gaengige Bewertungsmassstaebe sind dabei etwa Gewalt, Sex oder unanstaendige Sprache, die Abstufungen reichen von digitalen 0-1-Skalen bis zu sehr fein abgestuften Systemen. Die Auswertung von PICS-Einstufungen kann entweder im Clientprogramm des Anwenders erfolgen (dies wird zur Zeit vom Microsoft Internet Explorer unterstuetzt) oder auf Routern auf dem Weg zum Empfaenger (dies geschieht zur Zeit nicht).

Das Hauptproblem bei der manuellen Bewertung von Inhalten ist die grosse Menge der anfallenden neuen oder veraenderten Seiten. Der Betreiber des Nachrichtenservers www.msnbc.com (Joint-Venture von NBC und Microsoft) hat die Bewertung seiner Beitraege auf der Basis des von Microsoft gefoerderten Bewertungsschemas RSACi fuer PICS eingestellt, da die Bewertung einzelner Beitraege zu aufwendig war und eine Pauschalbewertung des Servers nach den Regeln von PICS den Server fuer Minderjaehrige unzugaenglich gemacht haette (Briefwechsel zwischen Irene Graham, Michael Sims, Stephen Balkam (RSAC Ratingaufsicht) und Danielle Bachelder (MSNBC Systembetrieb), zitiert in <3339dd1a.500215@mail.thehub.com.au> und <199703191314.IAA03203@arutam.inch.com> auf derselben Mailingliste).

Hinzu kommt, dass die Webseite abhaengig vom Kontext des Abrufes unterschiedlich aussehen kann, so dass eine Bewertung nach dem PICS-System problematisch waere. Gerade diejenigen Seiten, die die interaktive Komponente des Internet ausnutzen, koennten so wegen ihrer dynamischen Generierung aus der Bewertung herausfallen und wuerden damit in entsprechend konfigurierten Browsern und Suchmaschinen nicht mehr dargestellt.

Die Bewertung von Angeboten erfolgt im Rahmen von PICS derzeit durch private Organisationen. Die Moeglichkeiten des Widerspruchs gegen eine bestimmte Einstufung sind dabei begrenzt. Insbesondere ist es fuer einen Buerger schwierig, ein korrektes Rating einzufordern, wenn die Ratingorganisation in einem fremden Land sitzt. Im Prinzip liegt hier dasselbe Problem vor, das sich zur Zeit bei der Strafverfolgung auslaendischer illegaler Angebote stellt, nur dass die Ressourcen und Beweislasten nun andersherum verteilt sind: Ein Anbieter muss nun bei falscher Einstufung beweisen, dass sein Angebot legal ist, und er muss dazu den schwierigen Weg der Durchsetzung von Anspruechen im Ausland gehen. Im Vergleich zu einer Staatsanwaltschaft ist ein Anbieter von Webseiten dafuer im Durchschnitt schlechter ausgebildet, und ihm stehen weniger Ressourcen zur Verfuegung.

Weiterhin orientieren sich die Ratingorganisationen an Werten und kulturellen Massstaeben ihrer Nation. Die Uebernahme auslaendischer Bewertungen fuer deutsche Benutzer ist daher problematisch. Da jedoch keine deutsche Zugriffssoftware existiert, werden meist nur auslaendische (speziell US-amerikanische) Ratingsysteme unterstuetzt.

Die meisten Ratingorganisationen dokumentieren ihre Ratings nicht oder nur sehr ungern. Zum Teil erfolgt noch nicht einmal eine Benachrichtigung des Bewerteten ueber die Bewertung seines Angebotes. Vollstaendige Verzeichnisse aller vergebenen Ratings werden meist mit der Begruendung unter Verschluss gehalten, dass diese Verzeichnisse als Kataloge fuer Schmutz und Schund missbraucht werden koennten. Bei den Programmen, die die Bewertungen von Webseiten Dritter nicht online beziehen, sondern als Datei auf der lokalen Festplatte installiert haben, ist diese Liste grundsaetzlich verschluesselt - und meistens auch veraltet. Auch gegenueber dem Benutzer solcher Software ist damit nicht offengelegt, welche Angebote ihm nicht mehr zugaenglich sind.

Inzwischen existieren (illegal) entschluesselte Versionen der Sperrlisten aller Hersteller von Programmen mit statischer, in Dateien gelieferter Sperrliste. Die Auswertung der Sperrungen hat bei allen Herstellern eine klare politische Agenda und persoenliche Feindschaften dokumentiert. Beispielsweise wurden vielfach Angebote von womens organizations, Informationsangebote ueber Abtreibung und Angebote schwuler und lesbischer Gruppen zensiert. Es ist weiterhin ueblich, Webseiten in die Sperrlisten aufzunehmen, die den Hersteller des Sperrprogramms kritisieren, die Sperrliste offenlegen oder allgemein gegen Rating argumentieren. Beim Hersteller des Programms Cybersitter geht dies so weit, dass bei installiertem Cybersitter alle Seiten nicht mehr abrufbar sind, in denen die Namen von Kritikern seines Programms erwaehnt werden.

Mit welchen Mitteln kann eine Sperrung erreicht werden?

Sperrungen koennen auf unterschiedlichen Ebenen der Kommunikation ansetzen:

Um erfolgreich zu kommunizieren, muessen beide Kommunikationspartner eine physikalische Verbindung zueinander aufbauen. Dies kann eine Standleitung, eine Telefonleitung, eine Richtfunkstrecke oder eine andere Kommunikationsform sein. Eine normalerweise nicht praktikable Moeglichkeit der Sperrung besteht darin, diese physikalische Kommunikation zu verhindern, indem man etwa einen Telefonanschluss sperrt oder bestimmte Telefonnummern nicht erreichbar schaltet, Standleitungen unterbricht oder Stoersender in Richtfunkstrecken einbringt. Das Opfer der Sperrung verliert damit in der Regel alle seine Kommunikationsmoeglichkeiten.

Im Internet wird meist keine homogene physikalische Verbindung verwendet, sondern diese Verbindung wird aus Teilstuecken unterschiedlicher Technologie zusammengestueckelt. An den Uebergangspunkten zwischen den Teilstuecken befindet sich ein Router, der IP-Pakete von einem Teilstueck zum naechsten hinueberhievt. Die Funktionalitaet des Routers wird dabei von den Adressen in den einzelnen IP-Paketen und seinen Routingtabellen gesteuert. In den Routingtabellen ist eingetragen, in welche Richtung der Router Pakete mit einer gegebenen Zieladresse weiterzuleiten hat. Die klassische Dienstleistung eines Providers besteht darin, einen Uebergang zwischen einer Waehlverbindung (Privatkunden) oder einer regionalen Standleitung (Firmenkunden) und einer oder mehreren Standleitungen in das Ausland zu bieten. Dem Provider ist dabei nicht bekannt, welche Dienste der Kunde in Anspruch nimmt oder welche Daten abgerufen werden.

Sperrungen koennen hier ueber Eingriffe in die Routingtabellen von Routern vorgenommen werden. Es ist beispielsweise leicht moeglich, alle Pakete an bestimmte Zieladressen am Router verwerfen zu lassen (eine Route zu erden). Mit diesem Verfahren werden ganze Rechner unerreichbar: Bei der durch den DFN-Verein praktizierten Sperrung des Rechners mit dem Namen www.xs4all.com waren auf diese Weise die Webseiten von mehr als 6000 Anbietern nicht mehr abrufbar, es konnte keine Mail auf der Maschine www.xs4all.com eingeliefert werden, und auch alle andere Kommunikation des DFN-Vereins mit dieser Maschine wurde unterbunden.

Die Auswahl eines Dienstes erfolgt im TCP/IP-Protokoll in der Regel durch die Angabe einer TCP-Portnummer. Mit Hilfe dieser Portnummer koennte eine selektivere Sperrung eines Dienstes erfolgen. Beispielsweise sind einige Router in der Lage, nach entsprechender Konfiguration TCP-Verkehr fuer den Port 80 (HTTP) zu einer Zieladresse zu sperren, Verkehr auf Port 25 (Mail) zu derselben Adresse aber zu gestatten.

Mit Hilfe eines Vermittlungsrechners (proxy) oder anderer Firewallsoftware, denen die im Netzmodell hoeher liegenden Ebenen zugaenglich sind, kann eine selektive Sperrung auf der Ebene von Dienstelementen (einzelnen Seiten, einzelnen Nachrichten) erreicht werden. Die Firewallsoftware muss herbei jedoch fuer jeden Dienst (WWW, News, Mail, IRC etc.) angepasst werden. Solche Systeme sind in der Regel sehr aufwendig im Betrieb, da sie fuer die nutzenden Clients die volle Leistung aller durch den Client in Anspruch genommenen Dienste simulieren muessen. Mit steigender Zahl von Clients skalieren sich diese Systeme ausgesprochen schlecht. Trotzdem setzen einige totalitaere Staaten auf dieses System, um das Eindringen missliebiger Inhalte in das Land zu erschweren: In China, Singapur und in den Golfstaaten laeuft saemtliche Kommunikation mit dem Ausland durch staatlich betriebene Firewalls.

Sperrung von IP-Adressen und der Einsatz von Firewalls ist unter bestimmten Voraussetzungen kombinierbar, dadurch ist eine Entlastung der Firewallmaschine moeglich: Anstatt die Route zu einer zu sperrenden Maschine zu erden, laesst man alle Routen zur zu sperrenden Maschine auf einen Firewall zeigen, der dann die Dienste der zu sperrenden Maschine ueberwacht. Diese Loesung ist je nach Art der zu sperrenden und zu simulierenden Dienste sehr aufwendig zu konfigurieren und zu warten. Zum einen setzt sie einen zentralen Uebergangspunkt zwischen dem zu kontrollierenden deutschen Netz und dem Rest der Welt voraus. Zum anderen handelt es sich bei diesem Verfahren um einen klassischen Man in the middle-Angriff. Dadurch versagt das Verfahren bei aller stark verschluesselten Kommunikation, die unempfindlich gegen solche Angriffe ist.

Grundsaetzlich sind die Auswirkungen von Filtermechanismen auf die Systemleistung um so hoeher, je feiner die Granularitaet der Sperrungen ist und je groesser die Liste der zu sperrenden Informationsquellen ist. Systeme wie PICS lassen sich nicht effizient an zentralen Stellen im Netz etablieren, sondern koennen nur dezentral funktionieren. Alle bisher diskutierten Verfahren der Sperrung setzen auf dritten Maschinen zwischen dem Anbieter der zu sperrenden Information und dem Abrufer an. Denkbar waere auch eine Sperrung beim Anbieter der Information sowie eine Sperrung beim Abrufer. Dies setzt jedoch eine Kooperation des Anbieters bzw. Abrufers voraus.

Eine Sperrung beim Anbieter wuerde bedeuten, dass der Anbieter die zu sperrenden Inhalte entweder niemandem anbietet oder dass er sie nur bestimmten Personen nicht anbietet. Ein personenselektives Anbieten von Inhalten setzt selbst bei Kooperation des Anbieters voraus, dass der Anbieter den Abrufer einer Information zweifelsfrei identifizieren kann und dass ihm genaue und juristisch hieb- und stichfeste Entscheidungstabellen vorgelegt werden, die es ihm erlauben, automatisch zu entscheiden, wem er welche Inhalte ausliefern darf. Ein Identifikationsmechanismus, der das Geforderte leistet, existiert derzeit nicht einmal im Ansatz und ist auch nicht in absehbarer Zeit realisierbar. Insbesondere kann nicht aus der IP-Adresse oder dem Rechnernamen eines Absenders auf seine Identitaet oder seinen physikalischen Aufenthalt geschlossen werden: Deutsche Kunden von amerikanischen Online-Diensten erscheinen im Netz als aus den Vereinigten Staaten kommend. Aehnliches gilt fuer Mitarbeiter multinationaler Konzerne.

Eine Sperrung beim Abrufer wuerde bedeuten, dass die angebotenen Inhalte nach bestimmten Bewertungskriterien ausgezeichnet sind (rating, z.B. nach PICS) und dass der Abrufer selbst seine Software so konfiguriert, dass Seiten mit bestimmten Ratings nicht mehr abgerufen werden koennen. Eine Kooperation des Anbieters waere hier wuenschenswert, ist aber nicht notwendig, da die Bewertungen auch von Servern Dritter geliefert werden koennen.

Auf welche Weise koennen Sperrungen unterlaufen werden?

Fuer den Nutzer stellt sich eine Sperrung von Inhalten als Betriebsstoerung dar. Er wird nach Wegen suchen, die ordnungsgemaesse Funktion des Netzes wiederherzustellen, d.h. die Sperrung zu unterlaufen. Diese Motivation ist um so groesser, je staerker sich der Benutzer durch die Sperrung behindert fuehlt.

Bei einer Sperrung der physikalischen Kommunikation ist dies nur durch einen Wechsel des Mediums moeglich: Wenn etwa ein Stoersender in Betrieb genommen wird, wird man versuchen, auf das Telefonnetz auszuweichen und umgekehrt.

Bei einer Sperrung von bestimmten IP-Adressen stehen dem Benutzer mehrere Moeglichkeiten offen, die Stoerung zu umgehen. Alle laufen darauf hinaus, den sperrenden Router vollstaendig zu umgehen (siehe auch Ulf Moeller: Internet-Zensur: Routingsperren umgehen, http://www.fitug.de/ulf/zensur/):

Der Benutzer wechselt den Internet-Anbieter, notfalls wird er Kunde bei einem auslaendischen Provider. Er baut eine Telefonverbindung oder Standleitung zu diesem Provider auf und wickelt seine Kommunikation ueber diesen nichtsperrenden Provider ab. Der sperrende Router des lokalen Providers wird nicht mehr verwendet, die Sperre ist wirkungslos.
Diese Situation tritt automatisch ein, wenn der Nutzer Mitarbeiter eines (multinationalen) Konzerns mit einem eigenen Konzernverbundnetz ist, das an mehreren Stellen (im Ausland) mit dem Internet verbunden ist.
Der Benutzer wird Kunde bei einem zweiten, nichtsperrenden Internet-Anbieter, notfalls im Ausland. Er baut eine TCP/IP-Verbindung zu diesem Provider auf und laesst seine Anwendungen auf dem entfernten Rechner, ggf. im Ausland, ablaufen.
Es gibt inzwischen eine Reihe von Providern, die solche Angebote routinemaessig anbieten. Die Palette reicht dabei von der Bereitstellung einzelner Dienste (Postboxen fuer E-Mail (z.B. pobox.com), Webservices (z.B. geocities.com) usw.) bis zu kompletten Exil-Logins (z.B. c2.org, acm.org, xs4all.nl).
Der sperrende Router des lokalen Providers sieht keine Kommunikation mit einer gesperrten Adresse, sondern nur Kommunikation mit dem entfernten Provider. Die Zugriffe auf die gesperrten Adressen erfolgen von dort, also erst hinter dem sperrenden Router. Die Sperre durch den Router wird wirkungslos.
Der Benutzer wird Kunde bei einem zweiten, nichtsperrenden Internet-Anbieter, notfalls im Ausland. Er baut eine Mobile-IP-Verbindung zu diesem Provider auf, d.h. seine IP-Pakete werden in anderen IP-Paketen verpackt zum zweiten Internet-Anbieter geschickt, dort ausgepackt und eingespielt. Optional kann die Kommunikation zum zweiten Provider verschluesselt erfolgen.
In Linux muessen dazu die folgenden beiden Kommandos gegeben werden:
1. Aktivierung des Interface tunl0 zum entfernten Anbieter myriad.ml.org > ifconfig tunl0 (your.ip.address) pointopoint myriad.ml.org
2. Legen einer Route zu www.xs4all.nl ueber tunl0 > route add www.xs4all.nl tunl0

Fuer einen Beobachter erscheint der Nutzer als normaler Kunde des zweiten IP-Providers. Der sperrende Router des lokalen Providers sieht nur eine Verbindung zum entfernten zweiten Provider. Die Sperre ist wirkungslos. Mobile-IP ist ein Routineangebot fuer IP-Provider, die Geschaeftskunden betreuen.

Der Anbieter der gesperrten Information kann Abrufer unterstuetzen, indem er ebenfalls versucht, die Sperre zu unterlaufen. Im Falle der Sperrung des Rechners www.xs4all.nl hat der gesperrte Anbieter die Internet-Adresse seines Rechners alle paar Minuten veraendert. Sperrungen einer einzelnen Adresse wurden dadurch wirkungslos, statt dessen mussten ganze Teilnetze gesperrt werden (die Sperrung wurde noch unspezifischer, es wurden als Nebenwirkung noch mehr unbeteiligte Anbieter mitgesperrt).

Waehrend die bisher diskutierten Moeglichkeiten des Unterlaufens von Sperrungen unabhaengig vom gesperrten Dienst waren, sind die folgenden Moeglichkeiten dienstspezifisch:

WWW:

Aehnlich der erwaehnten Veraenderung der IP-Nummer eines Serverrechners kann auch die Adresse eines Angebotes auf einem Server automatisch veraendert werden. Eine automatische Sperrung einzelner Angebote wuerde dadurch unterlaufen werden, und man muesste wieder den gesamten Rechner pauschal sperren. Dort greifen dann wieder die Methoden zum Unterlaufen einer Komplettsperrung.

Wenn zu einem Angebot eine Suchmaschine existiert, mit der alle Seiten eines Angebotes nach bestimmten Begriffen durchsucht werden koennen, ist eine einzelne Seite praktisch unter beliebig vielen Adressen zu bekommen (naemlich allen Begriffen, die den Text in der Suchmaschine finden). Eine Sperrung muesste hier zusaetzlich den Zugriff auf die Suchmaschine verhindern.

Das Verfahren des indirekten Zugriffs, wie es unter Mobile-IP diskutiert wurde, laesst sich mit Veraenderungen auch fuer WWW einsetzen: Mit Hilfe eines entfernten Webservers, der Zugriffe im Auftrag Dritter abwickelt (Proxy-Server), ist ein indirekter Abruf der Seite moeglich. Da Proxy-Server mit Zwischenspeicher zur Beschleunigung von Zugriffen ueblich sind, ist es in der Regel kein Problem, einen solchen dritten Server zu finden. Im Rahmen der Zensurdiskussion der letzten Monate sind mittlerweile im In- und Ausland auch schon Proxy-Server fuer solche Umgehungen explizit eingerichtet worden (etwa am MIT fuer chinesische Staatsbuerger, die die Zensur im eigenen Land unterlaufen moechten).

Bei verschluesselter Kommunikation (etwa mit dem in allen gaengigen Browsern eingebauten SSL-Support) entsteht ein nicht mehr in Echtzeit einsehbarer und nicht einfach verfaelschbarer Kanal zwischen Server und Client. Fuer Dritte ist nicht erkennbar, welche Seiten abgerufen werden und welche Informationen sie enthalten.

News:

Artikel in den USENET News liegen in zahlreichen Kopien auf Tausenden von Servern ueberall auf der Welt vor. Loeschungen (Cancel) werden von vielen dieser Server nicht mehr ausgefuehrt, nachdem es seit einigen Jahren immer wieder zu gefaelschten Loeschaufforderungen von Saboteuren kam. Die grossen Archive fuer USENET News (DejaNews und AltaVista) fuehren grundsaetzlich keine Loeschungen aus. Ueber Archivanfragen ist es daher in der Regel moeglich, auch auf aeltere und lokal nicht mehr verfuegbare Texte zuzugreifen. Dabei gilt wie bei Suchmaschinen fuer Webseiten (siehe oben): Artikel sind nicht nur unter einer festen Bezeichnung abrufbar, sondern werden auch zu beliebigen im Artikel enthaltenen Stichworten gefunden.

Im Rahmen einer Untersuchung der bayrischen Staatsanwaltschaft wurde der Betreiber Compuserve aufgefordert, einige Newsgroups grundsaetzlich nicht mehr bereitzustellen, da bei ihnen davon auszugehen sei, dass diese in Deutschland strafrechtlich relevante Inhalte enthielten. Die Leser dieser Gruppen beziehen diese jetzt direkt von anderen, nicht gesperrten Newsservern. Ausserdem gehen die Autoren von Artikeln fuer solche schlecht verbreiteten Newsgroups immer mehr dazu ueber, ihre Artikel zusaetzlich in andere, thematisch unpassende, aber besser verbreitete Gruppen zu setzen. So kam es zum Beispiel anlaesslich der Sperrung des Servers www.xs4all.nl wegen des Angebotes der verbotenen Zeitschrift Radikal, Ausgabe 154 zweimal zu je einem Posting der Komplettausgabe der Radikal in den Diskussionsforen de.soc.zensur (Diskussion ueber Zensur und Inhaltskontrolle) und de.org.politik.spd (Forum des virtuellen Ortsverbandes der SPD).

Da die Neueinrichtung von Newsgroups technisch automatisiert werden kann, kommt es vielfach zur Neueinrichtung schlecht verbreiteter Gruppen unter neuem Namen oder zum Angebot bekannter Gruppen unter Aliasnamen. So wurde die Gruppe de.talk.sex (Diskussionsforum ueber Sexualitaet) an einer deutschen Universitaet mehrere Jahre lang unter dem Namen de.soc.verkehr gefuehrt, nachdem dort entschieden worden war, keine Gruppen mehr anzubieten, deren Bezeichnung den Begriff sex enthaelt.

Andere Effekte von Sperrungsversuchen

Jede Sperre kann unterlaufen werden, indem die gesperrte Information vielfach repliziert wird. Dann ist jedes Vorkommen dieser Information gesondert zu sperren. Dadurch werden die unangenehmen Nebenwirkungen der Sperrung vervielfacht, bis die Kosten fuer die Sperrung ihren Nutzen uebersteigen. Im Falle der Sperrung von www.xs4all.nl wegen des Angebotes der verbotenen Radikal 154 existierten innerhalb kuerzester Zeit ueber 40 Kopien der gesperrten Information. Die 6000 aus technischen Gruenden mitgesperrten Anbieter wurden jedoch nicht repliziert. Bezueglich der angestrebten Wirkung wurde also eher das Gegenteil erreicht, waehrend viele Anbieter durch die unbeabsichtigten Nebenwirkungen Verluste hinnehmen mussten.

Mit Hilfe der USENET News ist diese Replikation tausendfach automatisiert und mit minimalem Aufwand vorzunehmen. Aus diesem Grunde kam es nach der Sperrung von xs4all auch zu einer Verbreitung der Webseiten der Radikal in den News (die Webseiten der anderen 6000 Kunden von xs4all wurden nicht in die News eingespielt).

Alle Kommunikation mit Hilfe des TCP/IP-Protokolls ist konstruktionsbedingt eine individuelle Ende-zu-Ende-Kommunikation zwischen zwei Partnern. Selbst bei Betrachtung des Dienstes ist nicht erkennbar, ob die abgerufenen Informationen privater Natur sind (es ist moeglich und fuer viele Anwender auch notwendig, ihre persoenliche Post per WWW zu lesen) oder ob es sich um oeffentliche Information handelt. Derartige Information kann sogar gemischt auf einer Webseite auftreten. Es ist zweifelhaft, inwieweit eine Kontrolle solcher Verbindungen durch unspezifisches Abhoeren (ohne richterlichen Beschluss) gestattet ist, selbst wenn dieses Abhoeren durch einen Roboter geschieht, der auf Schluesselworte oder Ratings reagiert.

Nicht nur vom Standpunkt der Kontrolle der Bewerter, sondern auch vom Standpunkt des technischen Netzbetriebes ist eine Offenlegung aller Sperrungen unbedingt notwendig. Wenn Sperrungen von Rechnern oder einzelnen Angeboten massenhaft umgesetzt werden, ist fuer den einzelnen Systembetreiber genau wie fuer den einzelnen Anwender naemlich nicht mehr entscheidbar, ob eine technische Stoerung vorliegt, die zu beheben ist, oder ob eine inhaltlich begruendete Sperrung vorgenommen wurde. Damit wird einer zuverlaessigen Fehleranalyse durch die Betreiber von Netzen oder einzelnen Maschinen jede Grundlage entzogen, da aus dem Vorliegen einer Stoerung keine sichere Verhaltensvorschrift zu ihrer Behebung abgeleitet werden kann. Andererseits koennen offengelegte Sperrlisten natuerlich leicht als Kataloge fuer sexuell explizite oder gewalttaetige Angebote missbraucht werden. Eine Sperrung waere dann eine Art Qualitaetssiegel. Offengelegte Sperrungen sind mit entsprechend modifizierten Programmen ausserdem automatisiert umgehbar.

Modifikation des Internet

In dem heutigen Internet koennen Sperren nach den obigen Ausfuehrungen also nicht oder nur mit unvertretbar hohen Kosten und Nebenwirkungen realisiert werden. Daraus ergibt sich die Frage, inwieweit das Internet modifiziert werden muesste, um effizientes Sperren von Inhalten zu erlauben.

Prinzipiell bieten Firewallsysteme (die von Unternehmen eingesetzt werden, um ihr Netz gegen unbefugtes Eindringen aus dem Internet zu schuetzen) einen Ansatz, effektive Sperren aufzubauen. Durch die Philosophie, nur solchen Daten das Passieren der Barriere zu gestatten, denen es explizit gestattet wurde, erzwingt man das Einhalten von Richtlinien.

Aehnliche Richtlinien muessten fuer die Nutzung der Internet-Dienste durch die Benutzer aufgestellt und ihre Einhaltung erzwungen werden. Dies kann durch die Verwendung der Firewalltechnologie als Barriere zwischen den Anwendern und dem Internet oder durch die Verwendung proprietaerer Protokolle erzwungen werden. Entscheidend ist, dass Teilnehmer im Netz ausschliesslich identifizierbar agieren koennen, dass nur freigegebene Dienste, Protokolle und Datenformate verwendet werden, dass die Verwendung kryptographischer Verfahren verboten wird und dass saemtliche Aktivitaeten protokolliert werden. Durch diese Massnahmen soll sichergestellt werden, dass der Benutzer einer Sperre nicht mehr ausweichen kann durch Wechsel der Identitaet, des Protokolls oder durch Verschleierung der Daten.

Unabhaengig von der Frage, ob ein solches Verfahren mit einem demokratischen Rechtsstaat vereinbar waere, gibt es auch wirtschaftliche und technische Gruende, die dagegen sprechen: Ein solches Netz waere zentralistisch gesteuert und koennte nur unter grossem Zeit- und Kostenaufwand an veraenderte Anforderungen angepasst werden. Saemtliche Online-Dienste haben dieses Modell auf Druck ihrer kommerziellen Benutzer aufgegeben. Der administrative Overhead einer solchen Loesung auf nationaler Ebene waere gewaltig. Ausserdem wuerde jede Beschraenkung kryptographischer Verfahren eine Nutzung des Internet zur Uebermittlung sensitiver Informationen beeintraechtigen.

Insgesamt koennte ein solches Modell katastrophale Standortnachteile mit sich bringen. Kommunikation ist eine Ressource, die in ihrer Bedeutung den Arbeitskraeften oder der Verkehrsinfrastruktur in keiner Weise nachsteht. Auf der anderen Seite kann man, wie sich am Beispiel China zeigen laesst, selbst auf diese Art die Verbreitung unerwuenschter Inhalte nur begrenzt unterbinden, denn fuer jede der oben genannten Massnahmen existieren wiederum Gegenmassnahmen.

Bewertung

Eine zentrale Sperre von Inhalten im Internet laesst sich technisch nicht passgenau vornehmen, liesse sich von den Benutzern bei Bedarf umgehen und waere mit hohen Kosten verbunden (siehe auch Heimo Ponnath: Pornographie im Internet? Dichtung und Wahrheit, inside online 2/3 1996, http://bda.netuse.de/bda/jp/home/heimo.ponnath/articles/SiN.html). Bedingt durch die globalen Datennetze zeigt sich hier der Paradigmenwechsel in den Aufgaben des Staates durch die Informationsgesellschaft, wie Alexander Rossnagel beschreibt (Alexander Rossnagel: Globale Datennetze: Ohnmacht des Staates - Selbstschutz der Buerger, ZRP 1997, Heft 1, 26-30). Die Ohnmachtserfahrung des Staates in der globalisierten Welt bedeutet jedoch nicht gleichzeitig eine Kapitulation vor den neuen Gefahren, sondern die modernen Informationstechnologien bergen vielfaeltige Moeglichkeiten, dass der Buerger sich selbst schuetzen kann. Daraus erwaechst die Verpflichtung fuer den Staat, Strukturen zu schaffen, die seine Buerger befaehigen, ihre Interessen in der Welt der Netze selbstbestimmt zu schuetzen.

Hier bietet also die dezentrale Kontrolle und Filterung durch den Benutzer einen Loesungsansatz. Dazu muessen jedoch die Bewertungen durch Dritte (etwa nach dem PICS-System) transparent und nachvollziehbar sein. Beispielhafte Filterkonfigurationen koennen von einer Vielzahl von Interessengruppen vorgeschlagen werden; der Benutzer muss jedoch die Moeglichkeit haben, seine eigene Konfiguration individuell vorzunehmen oder anzupassen.

Ein universelles Rating wie PICS ist mit erhoehtem Zeitaufwand und zusaetzlichen Kosten verbunden. Eine Reihe von Anbietern wird daher darauf verzichten. Den Ratingorganisationen kommt ein hohes Mass an Verantwortung zu, da jede Vorbewertung bereits zur Meinungsbildung der potentiellen Abrufer beitraegt und da absichtliche oder unabsichtliche Fehlbewertungen grossen Schaden anrichten koennen. Geht es lediglich um die Gewaehrleistung eines Jugendschutzes im Internet, waere es sehr viel billiger und unkritischer, wenn die Anbieter auf freiwilliger Basis ihre kindgerechten Materialien kennzeichneten und spezielle Kinderbrowser aehnlich dem TV-Kinderkanal nur solche Angebote darstellten (siehe The Net Labelling Delusion: Protection or Oppression, http://www.thehub.com.au/~rene/liberty/label.html).

Die Erfahrungen in den USA zeigen, dass Organisationen das Instrument der Bewertung von Inhalten fuer die Durchsetzung ihrer eigenen politischen Ziele unter dem Deckmantel des Jugendschutzes oder der Aufrechterhaltung der oeffentlichen Moral missbrauchen. Es ist zu verhindern, dass die Definition moralischer und gesellschaftlicher Werte in den Aufgabenbereich privater Organisationen uebertragen wird. Durch eine Offenlegung der Bewertungsmassstaebe und aller Bewertungen kann diese Gefahr des Missbrauchs reduziert werden.

Danksagung

Wir danken Hannes Federrath und Andreas Pfitzmann von der Technischen Universitaet Dresden fuer zahlreiche Anregungen und Diskussionen, die zur Entstehung dieses Textes beigetragen haben.

Die Autoren

Kristian Koehntopp ist Diplominformatiker und arbeitet als freiberuflicher Consultant fuer heterogene Datennetze und Rechnersicherheit.

Marit Koehntopp ist Diplominformatikerin und arbeitet beim Landesbeauftragten fuer den Datenschutz Schleswig-Holstein als Referentin in den Bereichen "Neue Medien und Informationstechnologien" sowie "Technikfolgenabschaetzung".

Martin Seeger ist Diplominformatiker und Geschaeftsfuehrer der NetUSE Kommunikationstechnologie GmbH. Das Unternehmen beschaeftigt sich mit der Internet-/Intranet-Technologie und der Sicherheit von Rechnern in Netzen.