Zensurgesetz: Provider und BKA mit löchrigen Konzepten

Christoph H. Hochstätter

Bei
fast allen deutschen Providern soll Nominum mit seinem Produkt Vantio
MDR die staatliche Zensur durchsetzen. ZDNet erklärt die Funktionen und
zeigt die Schwachstellen auf, die zur Veröffentlichung der Sperrliste
führen werden.

[zdnet.de] Wenn es nach dem Willen von Regierung und Parlament geht, tritt das Internetzensurgesetz
bereits am 1. August in Kraft. Auch ohne die Absicht, sich Zugang zu
kinderpornografischem Material zu verschaffen, kann man durch
unbedachtes Anklicken eines Links, beispielsweise in einer Spam- oder
Hoax-Mail, auf die Verdächtigenliste des BKA geraten.

Grundsätzlich ist es daher sinnvoll, sich der staatlichen Zensur
durch die Nutzung freier DNS-Server, die mit den Zensurservern der
Provider nicht verbunden sind, zu entziehen. Wie man das am besten
macht, beschreibt ZDNet in dem Artikel Internetzensur: Freie DNS-Server schützen vor falschem Verdacht.

Zudem
ist es sinnvoll, einiges über die Zensurserver zu wissen.
Beispielsweise lassen sie sich dazu nutzen, die Sperrliste des BKA
zumindest teilweise zu ermitteln. So kann jedermann überprüfen, ob das
BKA die Zensur eventuell über den zulässigen Bereich der
Kinderpornografie ausdehnt.

Das DNS-System ist eine verteilte Datenbank. Für eine Domain sind
ein oder mehrere DNS-Server zuständig. Nahezu alle Domain-Registries
verlangen mindestens zwei Server. Verbindliche Auskünfte gibt es nur
bei diesen Servern. Sie heißen autoritative Server.

Jeder Domaininhaber ist grundsätzlich selbst verantwortlich, diese
Server zu betreiben oder die Einträge für die eigene Domain auf
bestehenden DNS-Servern vorzunehmen. Im DNS-Jargon werden alle Einträge
für eine Domain "Zone" genannt. Wer konfektionierte Webhosting-Angebote
mit eigener Domäne ordert, bekommt allerdings normalerweise von seinem
Webhoster seine Zone automatisch auf dem DNS-Server des Hosters fertig
konfiguriert.

Damit die autoritativen Server gefunden werden können, müssen sie
neben der eigenen Zone immer in der Zone der nächsthöheren Domain
eingetragen sein. Bild 3 zeigt, dass eine Anfrage nach den DNS-Servern für die Zone free-germany.com bei einem autoritativen Server für die Top-Level-Domain (TLD) .com zum gleichen Ergebnis führt wie eine Anfrage bei einem autoritativen Server für die Domain free-germany.com. Fragt man hingegen einen autoritativen Server für die TLD .de, bekommt man nur den Fehler 5 (REFUSED), siehe Bild 4.
Manche Server geben statt eines Fehlers die "bestmögliche" Antwort
zurück, die ihr aktueller Cache erlaubt. Im Zweifel lautet diese
jedoch, dass man die Root-Server befragen solle.

Source: http://www.zdnet.de