BKA: DNS heißt VDN

Der Chaos Computer Club hat einen Entwurf des Vertrags veröffentlicht, den das BKA mit den Providern abschließen möchte, die sich an der ersten Runde von Kinderporno-Sperren beteiligen.

Kurze Zusammenfassung:

  • Das BKA stellt den Providern werktäglich bis 10 Uhr eine Liste von „Vollqualifizierten Domainnamen“ zur Verfügung. Die Provider haben sechs Stunden Zeit, die neue Liste einzuspielen. Diese Verzögerungen werden die Maßnahme jedoch weitgehend ins Leere Laufen lassen.
  • Die DNS-Sperre ist nicht das einzige Mittel. In Paragraph 3 heißt es:

    Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird.

    Das heißt: das BKA hätte gerne bessere Filterungs-Optionen – wie zum Beispiel das britische Cleanfeed-System, das nicht nur ganze Domains, sondern einzelne Dateien blockieren kann. Das Problem: Da laut Vertrag nur die Domainnamen geliefert werden, kann der Provider keine Filterung nach Hashes oder IP-Nummern draufsetzen.

  • Um grundgesetzlich unzulässige Eingriffe in die Telekommunikation zu vermeiden, möchte das BKA mit der Sperre so wenig zu tun haben wie möglich. Die Server der Stopp-Seite werden von den Providern selbst betrieben, die IP-Nummern der vermeintlichen Konsumenten von Kinderpornos werden nicht ans BKA weitergegeben:

    Dem Bundeskriminalamt sind jeweils montags bis 12.00 Uhr Statistiken über die Anzahl der abgewehrten Zugriffe pro Tag unter Benennung der Zugriffsziele für die vergangene Woche zu übersenden.

    Das Problem: Ein Loggen der IPs beim Provider ist nicht verboten. Ein zuständiger Admin kann – Schweigeverpflichtung hin oder her – mit den Daten seine eigenen Geschäfte machen. Bei einer Handvoll Provider ist das Problem vielleicht zu kontrollieren, aber kaum bei einer 100-prozentigen Umsetzung, die jeden Mini-Provider einschließt.

  • Im Falle von Störungen gibt es ein kleines Problem: Paragraph 5 lautet:

    Sollten das Bundeskriminalamt oder der ISP Umstände feststellen, die eine ordnungsgemäße Vertragsdurchführung gefährden (Störung), sind beide Parteien verpflichtet, einander hierüber unverzüglich in Kenntnis zu setzen und geeignete Maßnahmen zur Beseitigung der Störung zu unternehmen. Betrifft die Störung die vom Bundeskriminalamt nach § 1 Abs. 1 S. 1 erstellte Sperrliste, verwendet der ISP bis zur Beseitigung der Störung die zuvor vom Bundeskriminalamt bereit gestellte und umgesetzte Sperrliste.

    Laut Paragraph 3 Absatz 6 ist der Provider aber verpflichtet die Liste vom Vortag „unverzüglich zu löschen“. Sprich: wenn die Störung auftritt und die BKA-Verantwortlichen gerade nicht erreichbar sind, kann der Provider seinen Pflichten nicht nachkommen.