Hadmut Danisch

Ansichten eines Informatikers

DNS4EU: Die EU will DNS filtern

Hadmut
20.1.2022 23:32

Und es stinkt ziemlich nach Ursula von der Leyen.

Weil wir doch gerade beim großen Sperren sind:

Golem berichtet darüber, dass die EU jetzt eigene DNS-Server aufbauen will, die alles Böse, Finstere und Unerwünschte aus dem Internet herausfiltern.

Kurzer Exkurs zum Verständnis: Das DNS, das Domain Name System, ist ein Verzeichnisdienst im Internet, dessen Hauptaufgabe (neben einigen anderen) es ist, Hostnamen in IP-Adressen aufzulösen. Wenn Ihr also gerade hier mein Blog lest und dazu auf www.danisch.de geht, würde Euer Computer das nicht finden können, wenn nicht das DNS ihm dazu sagen würde, unter welcher IP-Adresse www.danisch.de zu finden wäre, und die kann der Internet-Provider dann routen.

Ganz grob und etwas vereinfacht gesagt gibt es im DNS drei Arten von Teilnehmern:

  • Die anfragenden Clients, die gerne einen Namen aufgelöst haben wollen.
  • Die „authoritative Server“, die für eine Domain wie danisch.de zuständig sind und als Urquelle diese Information jedem anbieten, der fragt.
  • Im Prinzip würden die beiden genannten schon genügen, das würde sie aber überlasten, weil man sich schrecklich viel merken muss, um das schnell und effizient zu können, und dann auch viel zu viele bei den authoritative Servern anfragen würden, als dass die das noch beantworten könnten, weshalb es da ein Bindeglied gibt, nämlich den rekursiven Resolver (wie ihn viele nennen, aber eigentlich heißt das Ding Recursor), der ein Zwischenstück zwischen Client und Server darstellt, Informationen zwischenspeichert und dafür zuständig ist, die authoritatives zu finden und sich zu merken, wo die sind. Deshalb kann es sich der Client dann einfach machen und einfach fragen „Sag mir mal…“. Alle Internetprovider bieten sowas an, man kann as aber auch selbst machen. Privatleute machen das eher nicht, Firmennetzwerke aber eher schon.

Die EU macht nun wohl eine Ausschreibung, wer für die EU so einen DNS-Recursor bauen und betreiben will. Das ist jetzt eigentlich nicht so eine große Kunst, weil es dafür längst Hochleistungssoftware gibt, viele machen sowas ja schon.

Die EU will nun unter dem Namen DNS4EU so ein Ding betreiben: Equipping backbone networks with high-performance and secure DNS resolution infrastructures – Works

Hört sich schön an, ist aber erfahrungsgemäß fehlerträchtig, sich in die DNS-Daten anderer einzumischen. Die Idee dahinter ist, dass die EU einem anbietet, einen vor allem Unbill wie Phishing und sonstwas zu bewahren, in dem sie alles Böse (so sie davon Kenntnis erlangen) nicht mehr per DNS auflösen wollen.

Mit einem eigenen europäischen rekursiven DNS-Resolver will die EU genau dieses Probleme überwinden und startet dafür das Projekt DNS4EU. Ziel ist ein Dienst, der “sehr hohe Zuverlässigkeit und Schutz vor globalen und EU-spezifischen Cybersicherheitsbedrohungen (z. B. Phishing in EU-Sprachen)” biete.

Das Projekt sei damit außerdem Teil der “Cybersicherheitsstrategie” der EU. Angesiedelt ist DNS4EU bei der European Health and Digital Executive Agency (HaDEA).

Auf Deutsch: Zensur. Man wird anfangs, zur Rechtfertigung, ein paar Kinderpornoseiten und das böse Telegram sperren, langfristig dann aber eben auch unerwünschte Webseiten. Beispielsweise meine. Oder von Leuten, die was zu COVID-19 schreiben, was nicht gefällt. Oder sowas. Oder man wird damit drohen.

Als mögliche Nutzer werden dabei Institutionen, Organisationen, Unternehmen sowie private Nutzer genannt und geplant ist hier eine hohe Nutzungsrate.

Was darauf hindeuten dürfte, dass die Nutzung nicht so völlig freiwillig und freigestellt bleiben wird.

Viele werden das dann gar nicht merken, dass sie das Ding unfreiwillig benutzen, denn irgendwann werden die Routerhersteller oder Provider das automatisch einstellen, oder ihre eigenen Recursor, die man normalerweise verwendet, dazu bringen, den EU-Server zu fragen.

Damit dies aber auch wirklich gelingt, sollen einerseits einfache Hilfsmaterialien und Erklärungen bereitgestellt werden, wie das DNS-Angebot etwa in Routern und Betriebssystemen eingerichtet werden kann. Andererseits sollen Gespräche mit Browser-Herstellern oder ISPs geführt werden, damit der Dienst leichter von potenziellen Nutzern entdeckt werden kann.

Wer glaubt, dass das freiwillig bleibt?

Zu den Angeboten zählt offenbar auch, dass Phishing und Malware-Angriffe auf Ebene des DNS verhindert werden sollen, etwa auf Grundlage der Informationen einzelner CERTs. Dafür sind letztlich aber auch Filtertechniken bei dem Resolver selbst notwendig.

Diese Filtertechniken, die durchaus nützlich sein können, sollen darüber hinaus auch über ein Opt-in der Nutzer etwa einen Filterdienst für Eltern ermöglichen, um damit Kinder- und Jugendschutz umzusetzen. Zusätzlich dazu soll es im Rahmen der rechtlichen Vorgaben aber auch ein “gesetzeskonformes Filtern” geben.

Jo. Erst die Liste, wie toll und schön das ist, und dann am Ende noch kurz “gesetzeskonformes Filtern”.

Und dann ein Fehler, der mir sofort aufgefallen ist:

Als Vorgabe an mögliche Betreiber heißt es: “Filtern von URLs, die zu illegalen Inhalten führen, basierend auf gesetzlichen Anforderungen, die in der EU oder in nationalen Gerichtsbarkeiten (z. B. basierend auf Gerichtsbeschlüssen) gelten, unter vollständiger Einhaltung der EU-Vorschriften”.

Das stinkt 770 Kilometer (Entfernung Brüssel-Berlin) gegen den Wind nach Ursula von der Leyen.

Denn wie ich damals schon berichtet habe, wollte die schon mal Kinderpornos über DNS sperren, ohne verstanden zu haben, was das eigentlich ist. Die hatten auch nicht verstanden, dass Webseiten im Browser aus verschiedenen Teilen zusammengesetzt werden. Die haben das irgendwo in Skandinavien gelesen, dass da irgendein Mobilfunkprovider was am DNS dreht, haben das nicht verstanden, aber für die Lösung gehalten, und dachten, dass der DNS-Server so ein Art Webseitenschleuder ist, und der Internet-Provider so eine Art Webseitendealer, weil die nicht nur nicht verstanden hatten, dass Web und Internet zwei verschiedene Dinge sind, und sich das so vorstellten wie den alten Bildschirmtext, bei dem die Bundespost die BTX-Seiten verwaltete und auslieferte. Die dachten so, dass die Internetprovider ihr Geld damit machen, Kinderpornowebseiten zu verkaufen, und wollten die dazu bringen, die Kinderpornoseiten aus ihrem Lager zu entfernen, wie im Supermarkt, wenn ein Hersteller einen Warenrückruf macht.

War denen auch nicht klarzumachen. Weil die es nicht nur nicht verstehen konnten, sondern auch, weil sie es nicht verstehen wollten und durften. Das Ergebnis war von Ursula von der Leyen fest vorgegeben und jeder ihrem Jähzorn und ihrer Intriganz ausgeliefert, der was dagegen sagte.

Ich habe damals was dagegen gesagt, und nicht nur das, ich habe dem BKA die Problem so erklärt, dass die, obwohl sie eigentlich als Gegner angetreten waren, um die Provider plattzumachen, eingesehen haben, dass das nicht geht, und der Danisch recht hat und es begründen kann. Die Kindersperre war deshalb tot, noch bevor sie an die Öffentlichkeit ging, und von der Leyen wollte sich mit bekloppten Pseudoverträgen retten. Und weil sie so rachsüchtig ist und die CDU so korrupt, und ein CDU-Abgeordneter damals Aufsichtsratsvorsitzender in dem Konzern, in dem ich damals arbeitete, hat die mich dann direkt über den dort verleumden und kaltstellen lassen und dann allen anderen Providern gedroht, dass es jedem so gehe, der ihr nicht gehorche. Etwas zu verstehen ist nicht ihre Sache. Die versteht sich mehr aufs Durchsetzen durch Meucheln, egal wie dämlich. Die stellte sich ja auch damals in den Bundestag und beschimpfte jeden als „krachend unfähig“, der sich ihr nicht fügte. Charakterlich völlig ungeeignet.

Und im BKA hatten das auch nicht alle verstanden.

Manche zwar schon, aber nicht die, die zuständig waren. Weil die, die nach Kinderpornos forschten, zwar juristisch beurteilen konnten, was strafbar ist, oder was im Bild Hinweise auf den Täter lieferte, aber nicht verstanden hatten, wie ein Browser funktioniert. Immer dann, wenn sie was gefunden hatten, trugen sie den URL aus der Browserzeile per copy-paste in ein Excel-Sheet ein. Deswegen war die ursprüngliche Anforderung, dass die DNS-Server der Provider automatisch per Excel gesperrt wurden. Sie konnten nur Excel.

Und deshalb dachten die, dass Inhalte wie etwa Kinderpornos eine 1:1-Beziehung mit URLs eingingen. Das ist im Internet manchmal so, manchmal aber eben auch nicht.

Und dieser Satz da oben hört sich genau wie der Blödsinn an, den von der Leyen damals, im Januar 2009, verbreitet hatte. Das stinkt danach, dass sie jetzt, 13 Jahre später, auf EU-Ebene zwar mehr Macht hat, aber kein bisschen dazugelernt. Denn die Formulierung und der Glaube, dass der DNS-Server URLs filtere, das fand sich damals 2009 schon in den schriftlichen und mündlichen Darstellungen. Und neulich fing die ja schon wieder mit ihrer Kinderpornosperre an. Kein Zweifel, dass die wieder dahintersteckt, denn es sind dieselben Fehler, dieselben Formulierungen.

Eine schräge Sache war beispielsweise, dass man nicht verstanden hatte, das man so einen Recursor benutzen kann, aber nicht muss.

Das BKA hatte damals die Bitte vorgetragen, dass man das nur für die normale Bevölkerung mache, dem BKA aber auch noch einen DNS-Server zur Verfügung stelle, der die Kinderpornos nicht sperrt, denn wenn sie gesperrt wären, könnten sie ja nicht mehr ermitteln. Als ich ihnen aber sagte, dass sie das vermutlich gar nicht brauchten, weil sie gesagt hatten, dass das BSI ihnen das Netzwerk eingerichtet habe, und ich deshalb unterstellte, dass wenn das BSI seine Arbeit halbwegs richtig gemacht hat, ihnen, wie in jedem ordentlichen Firmennetzwerk, einen eigenen Recursor hingestellt hat, und die beabsichtigte Pornosperre auf sie, wie auf jedes Firmen- oder Universitätsnetzwerk völlig wirkungslos sei, sie davon nichts merkten und einfach ganz normal weitersurfen und ermitteln könnten, ohne dass man etwas tun müsste, hing der Raum voller Fragezeichen. Man hatte nicht verstanden, was ich gesagt hatte, beschwerte sich dann aber, ich sei so polemisch, wenn ich sagte, dass die Sperre keine Wirkung habe.

Und auch diesen Denkfehler findet man in diesem Projekt wieder.

Es riecht alles so nach Ursula von der Leyen 2009. Dieselben charakteristischen Fehler.

Vermutlich wird man das etwas probelaufen lassen und dann als Zwangs-Recursor einstellen und durchsetzen. Und dann mit der Größe und Gewalt der EU verhindern, dass man noch andere DNS-Server auf einfache Weise abfragen kann.

Ich halte es für erforderlich, aus der EU auszutreten. Und ihnen zu sagen, dass sie Ursula von der Leyen behalten sollen.