BKA: DNS heißt VDN

Der Chaos Computer Club hat einen Entwurf des Vertrags veröffentlicht, den das BKA mit den Providern abschließen möchte, die sich an der ersten Runde von Kinderporno-Sperren beteiligen.

Kurze Zusammenfassung:

  • Das BKA stellt den Providern werktäglich bis 10 Uhr eine Liste von „Vollqualifizierten Domainnamen“ zur Verfügung. Die Provider haben sechs Stunden Zeit, die neue Liste einzuspielen. Diese Verzögerungen werden die Maßnahme jedoch weitgehend ins Leere Laufen lassen.
  • Die DNS-Sperre ist nicht das einzige Mittel. In Paragraph 3 heißt es:

    Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird.

    Das heißt: das BKA hätte gerne bessere Filterungs-Optionen – wie zum Beispiel das britische Cleanfeed-System, das nicht nur ganze Domains, sondern einzelne Dateien blockieren kann. Das Problem: Da laut Vertrag nur die Domainnamen geliefert werden, kann der Provider keine Filterung nach Hashes oder IP-Nummern draufsetzen.

  • Um grundgesetzlich unzulässige Eingriffe in die Telekommunikation zu vermeiden, möchte das BKA mit der Sperre so wenig zu tun haben wie möglich. Die Server der Stopp-Seite werden von den Providern selbst betrieben, die IP-Nummern der vermeintlichen Konsumenten von Kinderpornos werden nicht ans BKA weitergegeben:

    Dem Bundeskriminalamt sind jeweils montags bis 12.00 Uhr Statistiken über die Anzahl der abgewehrten Zugriffe pro Tag unter Benennung der Zugriffsziele für die vergangene Woche zu übersenden.

    Das Problem: Ein Loggen der IPs beim Provider ist nicht verboten. Ein zuständiger Admin kann – Schweigeverpflichtung hin oder her – mit den Daten seine eigenen Geschäfte machen. Bei einer Handvoll Provider ist das Problem vielleicht zu kontrollieren, aber kaum bei einer 100-prozentigen Umsetzung, die jeden Mini-Provider einschließt.

  • Im Falle von Störungen gibt es ein kleines Problem: Paragraph 5 lautet:

    Sollten das Bundeskriminalamt oder der ISP Umstände feststellen, die eine ordnungsgemäße Vertragsdurchführung gefährden (Störung), sind beide Parteien verpflichtet, einander hierüber unverzüglich in Kenntnis zu setzen und geeignete Maßnahmen zur Beseitigung der Störung zu unternehmen. Betrifft die Störung die vom Bundeskriminalamt nach § 1 Abs. 1 S. 1 erstellte Sperrliste, verwendet der ISP bis zur Beseitigung der Störung die zuvor vom Bundeskriminalamt bereit gestellte und umgesetzte Sperrliste.

    Laut Paragraph 3 Absatz 6 ist der Provider aber verpflichtet die Liste vom Vortag „unverzüglich zu löschen“. Sprich: wenn die Störung auftritt und die BKA-Verantwortlichen gerade nicht erreichbar sind, kann der Provider seinen Pflichten nicht nachkommen.

Leave a comment

12 Comments.

  1. Wg 35 Störungen usw. „… die zuvor vom Bundeskriminalamt bereit gestellte und umgesetzte Sperrliste.“
    Das bedeutet, denke ich im hinblick auf das *umgesetzt*, das die DNS halt nicht refreshed werden, aber auch nichts gelöscht wird.
    Die Daten im DNS bleiben einfach unverändert bis eine neuere Version der Liste vom BKA kommt.
    Rein technisch gesehen ist die BKA-Liste ungleich der DNS Konfiguration.

    Ich tippe auch mal darauf das die vom BKA gelieferte Liste einer technischen Überprüfung unterzogen wird bevor diese als Konfiguration in den DNS Servern landet. Immerhin sind die, aller wahrscheinlichkeit nach, genutzten DNS Server essentiell für die Provider und deren Kunden.

    Kein Provider wird sowas von Hand machen. Mit Perl kann man sogar Excel lesen und bearbeiten ;).
    Da werden Scripte laufen die die Konfiguration in die DNS Server drücken und die logs als mail/printjob Richtung BKA auswerten.

    So würde ich sowas jedenfalls umsetzen wenn ich müsste.

  2. Olaf: Wenn der Provider die Fehler im voraus sieht, klappt Paragraph 5 wunderbar. Wenn aber eine Störung erst nachträglich auffällt, dann landet der Provider im Graubereich.

  3. Graubereich? Hrm, ich kann dir jetzt grade nicht folgen. Vielleicht betrachte ich das zu technisch. Ich persönlich würde den „Vertrag“ nicht unterzeichnen.
    Ohne Gesetz würde ich mich nicht auf eine solche, wieder dem Grundgesetz entstehende, „Vereinbarung“ nicht einlassen.

    Rechtlich ist Paragraph 5 nichts neues. Sinngemäß steht das in jedem Gesetz/Verordnung zur Telekommunikationsüberwachung/Ausleitung von Emails und Abhören von Internetzugängen.

    Abgesehen von den G10 Behörden (Verfassungsschutz Bund/Länder, MAD, etc.) und dem LKA Bayern (hier ein Herr M. insbesondere ;) haben die „berechtigten“ technischen(!) Ansprechpartner einen pragmatischen Ansatz bei Störungen.
    Man weiss das etwas kaputt gehen kann und vertraut dem gegenüber das alles mögliche zur Behebung der Störung unternommen wird.

  4. Olaf:
    Freitag 10 Uhr: Eine Liste mit einem Fehler kommt vom BKA
    Freitag 14 Uhr: Die Liste beim Provider A in das Filtersystem eingespeist, die Liste des Vortags gemäß Vertrag gelöscht
    Freitag 16 Uhr: Kundenbeschwerden stapeln sich
    Freitag 17 Uhr: der Admin kann den Fehler zurückverfolgen
    Freitag 17:10 Uhr: Ansprechpartner beim BKA ist leider schon außer Haus.

  5. „Da laut Vertrag nur die Domainnamen geliefert werden, kann der Provider keine Filterung nach Hashes oder IP-Nummern draufsetzen.“ Was hält die Provider davon ab, nach einer IP-Adresse hinter einem zu blockierenden Domainnamen zu filtern?

  6. Noch etwas. „Das Problem: Ein Loggen der IPs beim Provider ist nicht verboten.“ Ich nehme an, du meinst damit „die IP-Nummern der vermeintlichen Konsumenten von Kinderpornos“? Wie kommst du darauf, dass das trotz Art. 10 GG. nicht verboten sei?

  7. Nettes Detail im Vertrag: Die Stopp-Seite wird zwar vom ISP gehostet, aber sie wird vom BKA vorgegeben und muss unverändert übernommen werden. Ein Schelm wer da an Webbugs oder andere „Statistikhilfen“ denkt.

  8. Niklas: Der Artikel 10 bindet nur den Staat. Um es den Providern zu verbieten, braucht man schon ein Gesetz. Und wenn die Provider IP-Adressen sperren, wären sie dafür haftbar. Zudem können die sich schnell ändern.

    ik: Etwas Realismus bitte. Ein Provider kann Webbugs erkennen.

  9. DNS heißt nicht VDN

    Der “Vollqualifizierten Domainname” (würg) ist ein FQDN full qualified domain name

  10. Mit dem VDN* ist nicht die Sperre von Dateien, sondern von einzelnen Servern gemeint.

    Statt einer Domainsperre (z.B. computernotizen.de) soll auf ebene des FQDN (z.B. ganzboesehomepage.computernotizen.de) gesperrt werden.
    notes.computernotizen.de wäre weiterhin erreichbar.

    Unfug ist es trtzdem!

    * zu ISP ist denen scheinbar keine blöde Übersetzung eingefallen :D

  11. Torsten: Naja, direkt geltendes Privatrecht ist GG 10 nicht, dafür gibts aber § 202 StGB und außerdem das BDSG.