Hadmut Danisch

Ansichten eines Informatikers

Analyse zum Entwurf eines Gesetzes zur Bekämpfung der Kinderpornographie im Internet KBekG

Meine erste Analyse des ersten Entwurfs.

Vorbemerkung: Vor ein paar Tagen ist im Internet eine Version des Arbeitsentwurfs aufgetaucht, von der ich noch nicht weiß, ob sie mit der offiziellen Version übereinstimmt, denn die offizielle Version liegt mir noch nicht vor. Die Analyse erfolgt unter der Annahme, daß die im Internet gefundene Version inhaltlich echt ist. Ich bin kein Jurist.

Aufgrund meiner derzeitigen Tätigkeit bin ich zur Neutralität und Zurückhaltung gehalten. Ich werde mich daher einer Wertung soweit wie möglich enthalten und mich auf technisch/rechtliche Aspekte beschränken.

Ich möchte hier eindeutig klarstellen, daß ich hier in keiner Weise für irgendeine andere natürliche oder juristische Person rede, sondern ausschließlich meine eigene, private, unmaßgebliche und vielleicht falsche Auffassung darstelle.

Der Entwurf zielt erkennbar darauf ab, die von verschiedenen Seiten geäußerte Kritik zu berücksichtigen oder zu umgehen:

  1. Es wurde von vielen Seiten Kritik geäußert, daß DNS-Blockaden nur geringe Sperrwirkung haben, weil sie ziemlich einfach zu umgehen sind. Der Gesetzentwurf spricht daher von “erschweren”, legt sich nicht mehr auf eine bestimmte Sperrtechnik fest und versucht, “technologieneutral” zu sein. Erst in der Begründung wird weit hinten davon gesprochen, daß man “grundrechtsschonend” davon ausgeht, daß DNS-Sperren eingesetzt werden. Teil des Gesetzesentwurfs ist das aber dann nicht.
  2. Es wurde von vielen Seiten Kritik geäußert, daß Sperren nicht verhältnismäßig seien, weil zunächst das geringere Mittel der Abschaltung der Server/Entfernung der Inhalte zu wählen wäre, soweit die Server in Ländern mit funktionierender Polizei und entsprechender Rechtslage stehen. Der Entwurf spricht nur noch von Webseiten, die in Drittländern außerhalb des Anwendungsbereiches der Richtlinie 2000/31/EG stehen. Ich weiß nicht, was das genau heißt, interpretiere das aber als “außerhalb der EU”. Womit auch ein Teil der Kritik an der Zensur umgangen wird.
  3. Es wurde Kritik geäußert, daß eine solche Sperre implizit immer auch eine Auflistung der “bösen” Webseiten beinhaltet und damit Konsumenten gerade dazu anleiten könnte, wo die Seiten zu finden sind. In den letzten Tagen wurden Listen aus Dänemark, Schweden, Norwegen und Australien öffenlich bekannt. Der Gesetzentwurf enthält den Passus, daß die Sperrliste “streng vertraulich” ist und durch geeignete Maßnahmen gegen Kenntnisnahme Dritter zu sichern sei. Es ist momentan für mich nicht ersichtlich, was genau “streng vertraulich” hier konkret bedeutet und worin es sich von beispielsweise “vertraulich” unterscheidet. Die in der Begründung gegebene Erklärung entspräche einem “VS-NFD” oder “VS-Vertraulich”. Wieviel Aufwand muß man nun treiben, um die Anforderung zu erfüllen? Fenster zu oder Panzerschrank?
  4. Es wurde die Befürchtung geäußert, die Sperre könnte für andere Zwecke als die Bekämpfung von Kinderpornographie mißbraucht werden. Jedenfalls ist das Gesetz explizit als Kinderpornographie-Bekämpfungs-Gesetz gekennzeichnet und redet nur von Kinderpornographie. Eine explizit und begründete Abgrenzung von anderen schweren Straftaten sehe ich jedoch nicht.
  5. Es wurde das Fehlen eines Rechtsweges angemahnt. Zwar enthält der Gesetzentwurf die Vorschrift, daß das BKA eine Art Bilderproben zum Nachweis vorhalten muß, wie aber der konkrete Rechtsweg aussieht, steht nicht im Entwurf. Es wird vermutlich auf den normalen Verwaltungsrechtsweg und die Ausbildung des Richterrechts hinauslaufen.
  6. Es wurde kritisiert, daß eine Sperre einen Eingriff in das Fernmeldegeheimnis darstellt. Der Gesetzentwurf enthält keine Ermächtigung zum Eingriff in das Fernmeldegeheimnis. Die Begründung spricht davon, daß alle vorhandenen technischen Möglichkeiten in Betracht gezogen werden können, soweit diese den Dienstanbietern zuzumuten sind und damit kein Eingriff in das durch Art. 10 geschützte Fernmeldegeheimnis verbunden ist.
  7. Es wird dazu auch ausgeführt, daß ein Eingriff in eine DNS-Anfrage keinen Eingriff in das Fernmeldegeheimnis darstellte, weil das mit einem Blick in das Telefonbuch zu vergleichen sei. Der Gesetzentwurf sagt, es wäre “einhellige” Meinung, daß eine DNS-Modifikation kein Eingriff in das Fernmeldegeheimnis ist. Das ist für mich nicht nachvollziehbar, denn wenn ich nicht ins Telefonbuch schaue, sondern – was besser paßt – bei der Telefonauskunft anrufe, unterliegt auch dieser Anruf dem Fernmeldegeheimnis. Außerdem schützt das Fernmeldegeheimnis auch vor Unterdrückung und schützt das Vertrauen in die Integrität der Übertragung. Auf welche technische Weise der Eingriff erfolgt, darauf kann es meines Erachtens nicht ankommen, das wären unvertretbare Spitzfindigkeiten. Auch unterliegt es meines Erachtens dem Fernmeldegeheimnis, welche DNS-Anfragen man stellt, weil dies z. B. Rückschlüsse auf besuchte Webseiten oder Absender/Empfänger von E-Mail und VoIP-Telefonaten zulassen kann. Also können diese nicht außerhalb des Fernmeldegeheimisses wie ein Blick ins Telefonbuch liegen. Es ist auch nicht einhellige Meinung. Meines Wissens geht dies in erster Linie auf das Sieber-Gutachten zurück, das ich in diesem Punkt nicht nachvollziehen kann und für nicht richtig halte. Allerdings findet sich in der Begründung sogar eine Anmerkung, daß eine ausführliche Begründung folgen müßte, warum eine DNS-Sperre keinen Eingriff in Art. 10 GG darstelle und auch § 88 TKG irrelevant sei. Eine solche Begründung braucht man in der Tat. Ich bezweifle, daß man diese überzeugend wird liefern können.
  8. Es wurde kritisiert, daß das BKA und die Bundesregierung nicht zuständig seien. Da das Gesetz dem BKA explizit diese Aufgabe zuweist, wäre das erste Problem mit diesem Gesetz gelöst. Nicht aber das zweite. Der Gesetzentwurf spricht davon, daß die Gesetzgebungskompetenz des Bundes sich daraus ergebe, daß es um das wirtschaftliche Leben und die wirtschaftliche Betätigung als solche ginge und die Kompetenz des Bundes wirtschaftsregulierende und wirtschaftslenkende Maßnahmen abdecke. Diese Auffassung erscheint mir unhaltbar und an den Haaren herbeigezogen. Die Provider verdienen nicht an den Zugriffen (sollen aber die Kosten tragen), zumal sich das Gesetz ohne Unterscheidung auch auf kostenlose Pornoangebote bezieht und die Anbieter kommerzieller Kinderpornos selbst von dem Gesetz nicht erfaßt werden. Ich halte es dafür für nicht vertretbar, hier wirtschaftslenkende Maßnahmen in den Vordergrund zu stellen. Es geht um die Verhinderung von Straftaten und die Beschränkung von Inhalten. Das könnte letztlich leicht darauf hinauslaufen, daß die Sache – wie das Rauchverbot – eigentlich Angelegenheit der Länder ist, zumal für die Verfolgung von Kinderpornographie derzeit die normalen Polizeien und die Landeskriminalämter zuständig sind.

Ich möchte mich – wie gesagt – an dieser Stelle der Meinung enthalten, ob man eine solche Sperre umsetzen sollte. Ich möchte darstellen, welche Probleme ich sehe, wenn man sie umsetzen möchte:

  • Die Methode der Sperren durch DNS-Veränderungen halte ich nach diesem Gesetzentwurf für nicht umsetzbar. Es wird gefordert, daß die Methoden geeignet sind und daß die Sperrliste streng vertraulich ist und Dritten nicht zur Kenntnis gegeben werden darf.

    DNS-Sperren sind – nach weit überwiegender technischer Ansicht – nicht geeignet, um einen ernsthaften Sperreffekt zu erzielen. Man kann auch eine Liste, die nicht öffentlich bekannt werden soll, nicht auf einen öffentlich zugänglichen DNS-Server legen, denn damit macht man sie ja gerade öffentlich zugänglich. Es ist bekannt, daß Spammer, Bots, Spione usw. in hoher Dichte Webseiten scannen, wozu sie zweifellos ziemlich vollständige Listen von Domains der verschiedenen TLD wie .com haben. Man müßte nur – z. B. über ein Bot-Net – alle .com-Adressen bei den DNS-Servern deutscher Provider abfragen und schauen, zu welchen Domains man die IP-Adressen von Stopp-Servern bekommt. Also wäre die DNS-Methode nach dem Gesetz eigentlich ausgeschlossen, obwohl die Begründung davon ausgeht.

  • Methoden zum Sperren des eigentlichen Netzverkehrs greifen nach allen mir bekannten Auffassungen (und meiner eigenen) in das Fernmeldegeheimnis ein. Dazu gehören etwa IP-Adressbasierte Sperren, Änderungen im Routing, Umleitungen über transparente Proxies usw. Dies wäre rechtlich wohl möglich, wenn der Gesetzentwurf eine Aussage enthielte, daß dieses Gesetz in das Fernmeldegeheimnis des Art. 10 GG eingreift, um das Zitiergebot zu erfüllen. Das steht im Gesetz aber gerade nicht, die Begründung spricht davon, daß eben keine Methode verwendet werden darf, die in das Fernmeldegeheimnis eingreift. Diese Methoden fallen also auch weg.
  • Letzlich fallen damit eigentlich alle mir bekannten Sperrmethoden weg. Und ich kenne sie eigentlich ziemlich alle. Ich wüßte derzeit nicht, wie ich diesen Gesetzentwurf umsetzen könnte, ohne ihn zu verletzen.
  • Der Gesetzentwurf will technikneutral sein und bleiben. Der Teil des Gesetzentwurfes, der das Telemediengesetz ändert, spricht daher nicht einmal vom Internet, sondern über Kommunikationsnetze schlechthin. Also müßten prinzipiell auch Telefonnetze, SMS, Faxabruf und dergleichen unter das Gesetz fallen. Andererseits spricht der Teil für das BKA von “Informationen über Webseiten”, womit doch wieder eine Einschränkung auf eine bestimmte Technik vorliegt. Unklar ist aber, was als Information in die Sperrliste kommt. In Betracht käme nach dem Wortlaut viel, beispielsweise
    • Fully Qualified Domain Name
    • Second Level Domain
    • URL
    • IP-Adresse
    • Provider
    • Ripe/Whois-Daten wie Inhaber, Admin-C, Tech-C
    • Schlüsselworte
    • Letztlich sogar die Daten selbst, etwa eine Liste der zu sperrenden Bilder.

    Insofern ist der Gesetzentwurf sehr unpräzise darin, worum es eigentlich geht. Unlogisch ist auch, daß im Entwurf steht, daß die Sperrtechnik den Providern überlassen bleibt, während andererseits dem BKA überlassen sein soll, welche Daten in die Liste aufgenommen werden. Das paßt nicht zusammen.

  • Auch hier ist wieder der oft gemachte Fehler zu finden, daß das Internet mit dem World Wide Web gleichzusetzen ist. Teils explizit, meistens implizit. So muß der Diensteanbieter die Zugriffe auf eine Stoppseite umlenken, deren inhaltliche Ausgestaltung das BKA bestimmt. Schon für das HTTP-Protokoll ist das schwierig, denn woher sollte der Stopp-Server erkennen können, ob unter einem URL http://…/xyz, auf den gerade jemand zugreift, gerade eine HTML-Seite, ein JavaScript-Programm, ein JPEG-Bild, ein Video, ein RSS oder ein Style-Sheet erwartet wird und entsprechende Inhalte liefern können?

    Es wäre auch gar nicht so einfach, einen Webserver wie z. B. den Apachen so zu konfigurieren, daß er die Aufgaben eines Stopp-Servers übernähme. Der muß nämlich einerseits jeden beliebigen URL auf die Stoppseite umlenken, andererseits die Stoppseite selbst ausliefern und noch Statistiken erstellen. Man müßte sich überlegen, ob man ein ein- oder zweistufiges Verfahren einsetzt, also entweder alle Anfragen mit Webseiten beantwortet, was es nicht einfach macht, z. B. das BKA-Logo einzublenden, oder alle Anfragen mit einem Redirect beantwortet. Da geht noch viel Hirnschmalz und Testen rein. Oder man kauft für viel Geld fertige Produkte (die man dann vermutlich auch erst einmal debuggen und ändern lassen muß).

  • Wie sollte der Diensteanbieter den Zugriff auf eine HTTPS-Seite auf einen Stopp-Server mit Anzeige der vom BKA bestimmten Inhalte umlenken können? Schließlich ist es eines der Eigenschaften des SSL-Protokolls, die Integrität zu gewährleisten und “gefälschte” Daten nicht durchzulassen. Es ist mir unklar, wie diese Umlenkung im Falle von HTTPS vor sich gehen sollte.

  • Ebenfalls unklar ist, wie das bei anderen Protokollen geschehen soll. FTP, SMTP, NNTP, und dergleichen, oder dann noch File-Sharing-Protokolle werden auch für die Übertragung von Kinderpornographie verwendet. (Die SSL-/TLS-Varianten will ich hier jetzt nicht einmal betrachten.) Wie sollte man solche Zugriffe auf eine Stopp-Seite umlenken und dazu dann noch vom BKA bestimmte Inhalte anzeigen? Man müßte zu jedem Dienst einen Ersatz schreiben, der zu jeder angefragten Datei entsprechende BKA-Warnmeldungen ausliefert. Wie aber würde man das z. B. bei FTP machen? Da müßte etwa der Server erst einmal ein Directory mit den “passenden” Pfaden und Dateinamen anzeigen. Oder doch nur eine einzige Datei ins Top-Level-Verzeichnis? Selbst wenn man zu vielen Diensten mehr oder weniger gute Lösungen fände – es wäre viel Aufwand, das zu implementieren.

Man wird sehen, was daraus wird.