Es ist wieder so weit, die Zensur in Deutschland greift um sich. Diesmal von oberster Stelle angeordnet: Laut Presseberichten wurde Arcor gerichtlich per einstweiliger Verfügung dazu aufgefordert den Zutritt zu www.youporn.com (als Arcor Kunde ggf. nicht mehr abrufbar!) zu verwehren. Da ich vermehrt gefragt wurde wie und warum so eine Sperre umgesetzt wird, gibt es jetzt diesen Blog-Eintrag. Der folgende Artikel entspricht meiner privaten Meinung und Erfahrung.

Über die Hintergründe kann und darf ich nichts sagen, 1. weil ich die Hintergründe nicht genügend kenne und 2. weil ich dazu nicht befugt bin. Arcor selbst beschäftigt mehrere Mitarbeiter, die für Öffentlichkeits- und Pressearbeit zuständig sind. Wie man diese Kollegen erreicht, erfährt man auf www.arcor.de im Bereich ‘Unternehmen / Presse’.

Über die Technische Machbarkeit: Wie im Artikel bei Heise schon erwähnt, lässt sich so eine Sperre nicht einfach, sinnvoll und nicht zu 100% wirksam umsetzen, vor allem nicht auf deutschem Gebiet und aktueller installierter Technik bei den Providern – da stimme ich Harald Summa voll und ganz zu. Ich weiß auch, dass IHR sowieso Mittel und Wege habt um euch nicht zensieren zu lassen, aber der Standard Otto Normalbenutzer hat dieses Wissen nicht und ist somit tatsächlich einer Zensur ausgesetzt. Welche Verfahren könnte Arcor einsetzen und wie kann man sie umgehen?

1. IP Sperre (Zugriffe auf eine bestimmte Ziel-IP verhindern)

Im Prinzip ist das die einfachste und schnellste Variante um Zugriffe auf ungewollte Seiten wie Youporn zu verhindern. Dazu werden auf den zentralsten Routern Konfigurationen eingespielt, die Zugriffe von Arcor eigenen IPs auf die IP(s) hinter www.youporn.com verwehren. Da Youporn allerdings ein gewisses Interesse daran hat so viele Benutzer wie möglich auf seine Seiten zu ziehen (Werbeeinblendungen, Clickrates usw.), braucht Youporn nur in unregelmäßigen Abständen seine IPs zu ändern, um die Sperre auszuhebeln. Arcor müsste also ständig die zuständige IP für www.youporn.com erfragen und die Sperren aktualisieren. Ein weiterer Nachteil dieser Art von Zensur ist es, dass heutzutage (und schon seit vielen vielen Jahren) hinter einer IP mehrere Websites stecken können. Bei Massen-Hostern wie 1&1, Strato oder auch GoDaddy ist das Gang und Gäbe. Daraus resultierend würde man mit dieser Art von Sperre alle Benutzer von verschiedensten Webangeboten aussperren, was weder im Interesse von Arcor noch vom Kläger liegt. Eine IP Sperre ist letztendlich durch die einfache Benutzung von Proxys zu umgehen, die nicht im Arcor Netz stehen. (siehe TOR)

2. Manipulation des Arcor DNS (Nameserver)

Der größte Teil der Arcor Kunden benutzt für seinen Internetzugang die Arcor Nameserver. Diese Nameserver werden benötigt, um www.youporn.com in eine IP-Adresse aufzulösen, mit der sich euer Rechner unterhalten muss, wenn er die Inhalte bei Youporn abrufen soll. Es ist für Arcor ein leichtes seine Nameserver so zu konfigurieren, dass diese gezielt falsche IP Adressen ausliefern um Zugriffe auf ungewollte Domains zu verhindern. Diese Variante hat den Charm, dass man die Benutzer mehr oder weniger Transparent auf eine Pseudo “Übergangsseite” umleiten könnte. Auf so einer Seite könnte Arcor seine Kunden über die Sperre und Hintergründe informieren. Umgehen lässt sich so eine DNS Falle indem man auf seinen Endgeräten einfach andere Nameserver konfiguriert als die, die Arcor seinen Kunden anbietet. Der CCC bietet allen Benutzern alternative Nameserver an. Andere offene Nameserver gibt es wie Sand am Meer in der ganzen Welt.

3. Zwangsproxy aller Verbindungen

Eine weitere Möglichkeit wäre es alle Anfragen auf Webseiten vorzufiltern. Dazu müsste Arcor allerdings jeglichen direkten Webtraffic unterbinden und über seine eigenen Proxy-Server zwischenleiten. Voraussetzung hierfür ist eine massive Proxy Struktur bei Arcor und die Möglichkeit Deutschlandweit Traffic der Benutzer zu filtern und umzuleiten. So ein Konstrukt hat man als Provider aber nicht mal eben so rumstehen, sondern müsste für viel Geld und Ressourcen angeschafft, getestet und in Betrieb genommen werden. Über eine schnelle Realisierung im Falle einer einstweiligen Verfügung kann hier also nicht gesprochen werden. Außerdem würde Arcor durch so einen Zwangsproxy allen Benutzern einen gefilterten Internetzugang aufdrücken – von freien Internetzugängen wäre dann keine Rede mehr. Resultierend aus dieser Maßnahme würden Arcor wohl etliche Kunden weglaufen oder man müsste alle Provider Deutschlands zwingen diese Art von Filterung einzusetzen um einen fairen Wettbewerb sicherzustellen. Umgehen kann man so eine Lösung durch Virtuelle Private Netzwerke, die Ihre Endpunkte im Ausland haben. Von dort aus hat man ggf. weiter ungestört Zugriff auf in Deutschland zensierte Seiten.

4. Zusammenarbeit mit den Anbietern

Arcor könnte natürlich auch mit Youporn zusammen arbeiten. Allerdings bezweifle ich, dass Youporn auch nur für 2Cent Interesse daran hat Arcor bei seinen Problemen zu helfen. Es wäre ein leichtes für Youporn alle Anfragen von Arcor Adressen zu verweigern. Allerdings hat Youporn natürlich auch finanzielle Interessen. Jeder Arcor Kunde bringt bares Geld, jeder Click, jedes angesehene Video, jede angesehene Seite spült Geld in die Kassen von Youporn. Auch diese Art der Sperre ließe sich durch Proxys für jeden Kunden umgehen.

Zusammenfassend bleibt nur zu sagen, dass es keine wirksame Möglichkeit gibt die Benutzer davon abzuhalten auf Seiten rumzusurfen, von denen die deutsche Rechtssprechung nichts hält ohne die Unternehmen, die Zugänge zum Internet anbieten, empfindlich zu stören oder einzuschränken. Soweit ich weiß fehlt hier in Deutschland dazu die Rechtssprechung und es bleibt zu prüfen ob Arcor bzw. ob ISPs als Mitstörer dafür zu haften haben, wenn deren Kunden auf in Deutschland als illegal deklarierte bzw. als unzureichend geschützt geltende Webseiten surfen.

Nachtrag: Mittlerweile hat sich Arcor für eine Art der Zugangsblockade entschieden – durch Manipulation der DNS Server, wird Kunden der Zugang zu Youporn verwehrt:

[ bundy@topenga ] ~ (2) $ telnet www.youporn.com 80
Trying 127.0.0.251…
telnet: connect to address 127.0.0.251: Operation timed out

127.0.0.251 ist keine über das Internet Erreichbare IP Adresse, weshalb der Zugriff scheitert. Die originale Antwort würde ungefähr so aussehen:

[ bundy@sinja ] ~ (1) $ host www.youporn.com
www.youporn.com has address 74.86.111.11
www.youporn.com has address 74.86.111.8

Wie lang diese Art von Blockade aufrecht erhalten werden muss, wird Arcor wohl vor Gericht klären müssen. Hoffen wir, dass das Thema dank klar denkenden Richtern bald ein Ende haben wird.

This entry was posted on Tuesday, October 23rd, 2007 at 4:27 pm and is filed under Job, Politik, Security, Sozialkritik, Sysadmin, made in germany. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.