Archiv für die Kategorie „Internetsperren“

Digitale Strafen

Samstag, 10. Dezember 2011

Dass Handlungen im Cyberspace sehr reale Strafen nach sich ziehen können (z.B. Geld- oder Gefängnisstrafen), dürfte inzwischen auch dem letzten Computerstraftäter klar sein – auch wenn die Täter (zum Teil zu Recht) davon ausgehen, dass die Chancen, entdeckt zu werden, in der Regel recht gering sind. In England wird jetzt über weitere Strafmaßnahmen nachgedacht.

In der UK Cyber Security Strategy wird u.a. ausgeführt, dass Richter in England ermutigt werden sollen, zukünftig bei online begangenen Straftaten (neben den regulären Strafen) verstärkt auch Online-Sanktionen zu verhängen. Hierzu gehören z.B. die Überwachung oder Einschränkung des Internetverkehrs nach der Haftentlassung, etwa um zu verhindern, dass eBay-Betrüger Online-Auktionen nutzen oder dass Cyber-Stalker zum Schutz der Allgemeinheit nur eingeschränkten Internetzugang erhalten. Diese Maßnahmen sind bereits nach geltendem britischen Recht möglich.

Darüber hinaus sollen zukünftig so genannte “cyber-tags” eingeführt werden. Darunter versteht die Regierung offenbar bestimmte Verhaltensweisen einer verurteilten Person im Internet, die Indikator dafür sein sollen, dass diese sich nicht an die gerichtlich vorgegebenen Verhaltensweisen hält (z.B.: ein verurteilter Betrüger stellt erneut Artikel auf eBay ein, obwohl der Richter dies untersagt hat). In diesem Fall soll automatisch die Polizei oder der Bewährungshelfer informiert werden. The Register spekuliert diesbezüglich schon über Twitter- und Facebook-Verbote für einschlägige Täter.

England hatte bereits im Jahr 2010 mit der Three-Strikes-Regelung als eines der ersten Länder Online-Sanktionen eingeführt. Das Three-Strikes-Modell erlaubt es, den Internet-Zugang mehrfach ertappter Urheberrechtsverletzer zu sperren oder die Bandbreite zu drosseln, um auf diese Weise künftige Taten zu unterbinden. Auch in Frankreich gibt es seit 2009 ein derartiges Verfahren. Angeblich droht dort momentan 60 Nutzern die letzte Stufe dieses Verfahrens.

Betrachtet man die Geschwindigkeit, mit der gefordert wurde, die englischen und französischen “Innovationen” (trotz aller Kritik) auch auf Deutschland zu übertragen, so dürfte es nicht lange dauern, bis auch hierzulande die ersten Forderungen nach “Online-Sanktionen” laut werden.

Sinnvoller erscheinen da die Begleitmaßnahmen, die nach der Cyber Security Strategie ebenfalls geplant sind. So sind etwa allgemeine Informationskampagnen vorgesehen, mit der grundlegende Sicherheitsmaßnahmen der breiten Bevölkerung und in der Privatwirtschaft vermittelt werden sollen. Nach Auffassung der britischen Regierung sollen sich so bis zu 80% der gegenwärtig begangenen Online-Taten verhindern lassen:

Because prevention is key, we will work to raise awareness and to educate and empower people and firms to protect themselves online. 80% or more of currently successful attacks exploit weakness that can be avoided by following simple best practice, such as updating anti-malware software regulary.

Hierfür sollen auch soziale Netzwerke eingesetzt werden, um auf diesem Weg schnell große Teile der Bevölkerung über erkannte Gefahren aus dem Internet (z.B. Betrugsmaschen) informieren zu können.

Im Übrigen spricht sich das Vereinigte Königreich an mehreren Stellen seiner (auch sonst durchaus lesenswerten) Cyber Security Strategie dafür aus, aktiv die Cybercrime-Konvention des Europarates zu unterstützen und deren weitere Verbreitung zu fördern. Insbesondere das 24/7-Netzwerk, das eine schnelle transnationale Kontaktaufnahmen bei Cybercrime-Fällen erlauben soll, wird hervorgehoben.

UN-Bericht zu Websperren

Donnerstag, 16. Juni 2011

Nachdem bereits die G8 in ihrem Abschluss-Communiqué die Bedeutung des Internet betont haben, kommt auch ein Kommentar aus den Reihen der UN. Frank La Rue, seines Zeichens Sonderbeauftragter der UN für Meinungs- und Pressefreiheit, hatte vor einigen Wochen seinen Bericht zu diesen Rechten abgeliefert. Darin betont er vor allem die Bedeutung des Internet und kritisiert willkürliche und intransparente Filtermethoden. Wörtlich heißt es in seinem Bericht:

Unlike any other medium, the Internet enables individuals to seek, receive and impart information and ideas of all kinds instantaneously and inexpensively across national borders. By vastly expanding the capacity of individuals to enjoy their right to freedom of opinion and expression, which is an “enabler” of other human rights, the Internet boosts economic, social and political development, and contributes to the progress of humankind as a whole. In this regard, the Special Rapporteur encourages other Special Procedures mandate holders to engage on the issue of the Internet with respect to their particular mandates.

The Special Rapporteur emphasizes that there should be as little restriction as possible to the flow of information via the Internet, except in few, exceptional, and limited circumstances prescribed by international human rights law. He also stresses that the full guarantee of the right to freedom of expression must be the norm, and any limitation considered as an exception, and that this principle should never be reversed.

Gleichwohl ist La Rue der Auffassung, dass auch Filter- und Sperrmaßnahmen unter bestimmten Umständen gerechtfertigt sein können. Zu möglichen Sperrgründen zählt er (unter anderem) die Verbreitung von Kinderpornographie, weist in diesem Zusammenhang aber darauf hin, dass Staaten sich zu häufig alleine auf die Sperrmaßnahmen verlassen, statt sich auf die notwendige Strafverfolgung zu konzentrieren.

Deutlich ist der Report schließlich in Bezug auf die “Three-Strikes”-Ansätze, die gegenwärtig etwa in Frankreich oder England eingesetzt werden:

In addition, he is alarmed by proposals to disconnect users from Internet access if they violate intellectual property rights. This also includes legislation based on the concept of “graduated response”, which imposes a series of penalties on copyright infringers that could lead to suspension of Internet service, such as the so-called “threestrikes-law” in France and the Digital Economy Act 2010 of the United Kingdom.

Gerade vor dem Hintergrund dieser Äußerung verwundert es nicht, dass sich unter den 41 Nationen, die gemeinsam den Bericht zustimmend zur Kenntnis genommen haben, gerade die Länder Frankreich und das Vereinigte Königreich nicht befinden. Aber auch Deutschland hat die Erklärung nicht unterzeichnet, was eher verwundert. Netzpolitik.org hat hierzu gestern beim Auswärtigen Amt zu den Hintergründen angefragt, bislang aber noch keine Auskunft hierzu erhalten.

Der Unterschied zwischen Löschen und Sperren

Mittwoch, 6. Oktober 2010

Golem berichtet über eine aktuelle Untersuchung des “Arbeitskreises gegen Internetsperren und Zensur”, die zusammen mit anderen europäischen Bürgerrechtsorganisationen durchgeführt wurde. Mit der Untersuchung sollte überprüft werden, in welchem Verhältnis Sperr- und Löschaktivitäten bei kinderpornographischen Angeboten in Großbritannien, Schweden und Dänemark stehen.

Die Ergebnisse erinnern an die Zahlen, die auch schon bei früheren Untersuchungen durch Netzaktivisten Zweifel am Sinn von Sperrmaßnahmen hervorriefen:

  • Von 167 aktuellen Sperreinträgen in Dänemark enthielten gegenwärtig nur (noch?) drei Seiten tatsächliche Abbildungen von Kindesmissbräuchen.
  • 92 Websites – und damit weit über die Hälfte der auf der skandinavischen Sperrliste eingetragenen – waren in der Zwischenzeit bereits gelöscht worden und damit überhaupt nicht mehr zugänglich.

Die an der Untersuchung beteiligten Organisationen konnten zudem zeigen, welche Folgen eine einfache E-Mail entfalten kann. Zwei der oben erwähnten Webseiten mit kinderpornographischen Darstellungen wurden in den USA gehostet und befanden sich schon seit dem Jahr 2008 auf der dänischen Sperrliste. Mit einer einfachen E-Mail wurden die Provider auf die Natur der bei ihnen abrufbaren Inhalte hingewiesen. 30 Minuten später waren beide Webseiten gelöscht. Die dritte Webseite verschwand innerhalb weniger Stunden, nachdem die Domain von der zuständigen (in diesem Fall indischen) Domainvergabestelle abgeschaltet worden war.

Vera Bunse vom AK Zensur fasst das Ergebnis des Versuchs prägnant zusammen. Für die Politiker und Behörden, die Sperrmaßnahmen propagieren gelte offenbar das Motto “Verstecken statt Verfolgen”.

Die Nadel im Heuhaufen

Sonntag, 26. September 2010

Haystack war ein Programm, das iranischen Dissidenten ermöglichen sollte, unkontrolliert über das Internet zu kommunizieren. Anders als andere Programme sollte es verdächtige Anfragen so verschleiern, dass es für die Zensoren so aussieht, als ob lediglich unverdächtige Webseiten angesurft würden. In der Masse der unverdächtigen Anfragen sollten verdächtige Kommunikationsinhalte einfach untergehen – wie die sprichwörtliche Nadel im Heuhaufen.

Das Programm war von Beginn an in der Presse hochgejubelt worden. Der Guardian hatte den Direktor des Censorship Research Center Austian Heap, der für die Entwicklung maßgeblich verantwortlich zeichnete, zum Beispiel zum Erfinder des Jahres gekürt. Das Programm wurde als “Schlüsseltechnologie” beschworen. Auch Newsweek, die BBC, Forbes und viele andere lobten das Programm in den Himmel, obwohl es noch gar nicht offiziell verfügbar war. Selbst die amerikanische Regierung gab an, das Programm werde dem freien Datenfluss in und aus dem Iran helfen. Auch Heap selbst war begeistert und lobte sein Programm in höchsten Tönen: “Es ist absolut sicher für die Anwender, so dass die Regierung ihnen nicht mehr nachschnüffeln kann.”

Damit ist es nun (wohl) vorbei. Ein wesentliches Problem von Haystack war von Beginn an, dass es nicht öffentlich verfügbar gemacht wurde. Lediglich eine kleine Gruppe von Testnutzern, darunter auch iranische Dissidenten, hatte das Programm erhalten, um es auszuprobieren. Im Hinblick auf die Gefahren für die Beteiligten ist solche operative Sicherheit durchaus verständlich. Dies gilt allerdings nicht für den Code der Software selbst. Insbesondere bei sicherheitsrelevanter Software ist der Ansatz “security by obscurity” schon seit Ewigkeiten überholt. Nur Programme und Algorithmen, die von der weltweiten Community ausgiebig getestet wurden und bei denen von unabhängigen Experten keine Sicherheitslöcher oder sonstigen Probleme gefunden werden können, gelten gemeinhin als ausreichend sicher. Bereits bei der Testgruppe gab es allerdings Probleme, denn das Programm kam nicht durch die Firewall.

Bei diesem Problem blieb es aber nicht. Als die ersten Sicherheitsexperten Zugriff auf die Software hatten, häufte sich die öffentliche Kritik. Besonders drastisch drückte sich Jacob Appelbaum, einer der Entwickler des Tor-Netzes aus. Er habe das Programm zusammen mit ein paar Freunden an einem Nachmittag (“und das ziemlich verkatert”) auseinandergenommen und sei danach zu einem eindeutigen Ergebnis gekommen:

Haystack is the worst piece of software I have ever had the displeasure of ripping apart.

Nicht nur sei das Programm besonders schlecht, es sei auch so konzipiert, dass selbst nach dem Abschalten des Haystack Services Nutzer, die das Programm weiterhin laufen ließen in extreme Gefahr gerieten, von den iranischen Zensurbehörden erkannt zu werden. Es sei unverantwortlich von den Programmierern, diese ungetestete Version ausgerechnet gefährdeten Iranern in die Hände zu geben. Auch die Medien hätten eine unrühmliche Rolle gespielt, indem sie ein quasi nicht-existentes Programm ungeprüft in den Himmel gelobt hätten. Appelbaum wollten zum gegenwärtigen Zeitpunkt keine weiteren Details über die von ihm gefundenen Schwachstellen öffentlich bekannt machen, denn dies könnte dazu führen, dass die iranische Regierung sehr schnell und automatisiert Nutzer von Haystack identifizieren könnte.

Heap versucht hingegen, sein Vorgehen zu rechtfertigen. Alle Testnutzer (bis auf einen) seien über die Risiken informiert gewesen. Gleichwohl habe er die Konsequenzen gezogen und den Service abgeschaltet. Bis auf die Testgruppe sei es nicht mehr zugänglich. Appelbaum widerspricht dem und weist darauf hin, dass das Programm über diverse Webseiten, darunter auch die von Heap selbst, nach wie vor abrufbar sei.

Das Debakel hat inzwischen weitere Kreise gezogen, denn der Chef-Programmierer von Haystack hat inzwischen seinen Hut genommen. Dies habe er nicht getan, weil das Programm so schlecht bewertet worden sei: “It is as bad as Appelbaum makes it out to be”. Vielmehr habe er das Programm aber bisher immer als eine Test-Version behandelt, die niemals für eine öffentliche Verbreitung vorgesehen gewesen sei. Hierüber habe er auch mit Heap gestritten. Wegen dieser unverantwortlichen Handlungsweise, bei der ein Hype über die Sicherheit gestellt worden sei, sehe er sich nicht mehr weiter in der Lage, am Projekt mitzuarbeiten.

Appelbaum misst dem Projekt zum gegenwärtigen Zeitpunkt kaum mehr Chancen bei. Es gebe zwar “definitiv” Möglichkeiten für steganographische Protokolle. Er habe aber “null Vertrauen”, dass es das Haystack-Team jemals schaffen könne: “Wenn Scharlatane Versprechungen machen, dann sollte man ihnen nicht vertrauen.”

Kollateralschäden bei Internetsperren

Dienstag, 9. März 2010

Wie TorrentFreak berichtet, werden die ersten internationalen Kollateralschäden bei Internetsperren bekannt. Der Anbieter Melita Cable bietet offenbar als einziger Provider auf der Insel Malta Internetzugänge mit bis zu 30 MBit an und ist daher dort insbesondere bei Filesharern sehr beliebt. Melita ist jedoch über einen italienischen Backbone angebunden, was nun zu ernsthaften Problemen führt. In Italien werden nämlich Internetsperren forciert, u.a. gegen Pirate Bay. Diese haben durch die Anbindung von Melita nun auch unmittelbare Auswirkungen auf Malta, d.h. Nutzer von Melita können auf Pirate Bay nicht mehr zugreifen, obwohl die Seite auf Malta nach wie vor legal ist. So viel zum Thema nationale Souveränität in der Praxis…