Kinderschutz: Internet sperren?

Oft wird die Meinung vertreten, man könnte das “Internet sperren”. Das basiert häufig auf der falschen Annahme das Internet bestehe aus den oben im Suchfeld angezeigen “Adressen” im Web wie z.B. www.seo-woman.de. Dieser Ansatz ist falsch.

Bereits seit mehreren Jahren versuchen Politiker/innen in Deutschland (populistisch meist vor Wahlen) bei der technisch nicht so versierten Bevölkerung mit diesen falschen Aussagen zu Zustimmung und damit zu Stimmen zu kommen – weit voran die CDU.

Traurigerweise werden sie dabei häufig von den Medien unterstützt, die natürlich jede Möglichkeit Angst in der Bevölkerung zu schüren (und damit ihre Einschaltquoten hochzutreiben), nutzen. Dabei werden dramatische Einzelschicksale rausgegriffen und passende Statistiken so geschickt eingeflochten, daß sich der normale TV-Konsument das Einschalten des Staates wünschen muß.

2 Beispiele aus der Sendung 1 gegen 1 vom Juni 2011:

1. Beispiel: 13-jähriger Junge wird im Internet diffamiert und bringt sich um

Ein 13-jähriger Junge wird in der Schule in einem Porno-Portal mit einem verfälschten Bild als schwul diffamiert und bringt sich um. Dabei wird vom TV-Sender die (gutaussehende, blonde) weinende Mutter am Grab des Kindes gezeigt. Ist sofort klar, daß JEDE Mutter mit dieser Frau mitfühlt und sich eine strengere Regelung, wenn nötig gesetzlich, wünscht.

ABER: das ist in dieser Sache weder gerecht noch hilfreich – egal wie schrecklich oder traurig ein einzelnes Schicksal ist.

DENN: wir reden hier von einem technisch zu lösenden Problem, bei dem jegliche Einzelschicksale außen vor bleiben MÜSSEN – sachliche Argumentation und eine Diskussion mit klarem Kopf sind sonst nicht mehr möglich (weiter unten dazu mehr).

Eltern in die Pflicht – Kindersicherung am PC

Mit einem kindgerechten Zugang über einen eigenen Benutzeraccount (kann in jedem Windows eingerichtet werden, ist nicht schwer) hätte der Junge die Porno-Portal-Seite gar nicht angezeigt bekommen können.

Warum hatte der Junge in dem Alter so einen offenen Zugang ins Internet?

Könnte die “Schuld” auch bei der Mutter bzw. den Eltern liegen?

Programme und Anleitungen dafür gibt es massenweise, um nur einige Links zu nennen:

• Computerbild: Windows-Kindersicherung
• Blogwache: Windows 7 Kindersicherung Download-Links und Einrichtungstipps (Zeitlimits einrichten, Webfilter, Programme zulassen oder blockieren)
• Salfeld Kindersicherung (kostenlose und kostenpflichtige Version, hab ich selbst nicht getestet)

Wenn ich also sicherstellen will, daß meine Kinder im Internet ungefährdet surfen können und sie ernsthaft schützen möchte, ist es wirklich einfach:

Ich installiere einen eigenen Benutzer, auf dem lasse ich nur die Internetseiten zum aufrufen offen, die ich mir vorher angesehen und für gut befunden habe.

So einfach ist das und hätte der PC des 13-jährigen eine Sicherung gehabt, würde er heute vielleicht noch leben!

2. Beispiel: Kinder haben nach einer Studie Probleme wegen Cyber-Mobbing

In der bei 1 gegen 1 gezeigten Studie einer Krankenkasse und der Forsa werden folgende Zahlen angeführt:

Nach der Darstellung in der TV-Sendung hätten deutschsprachige Schüler also massive und ansteigende Probleme mit dem Cyber-Mobbing, das in dieser Sendung irreführend in 18% der Fälle mit Schlafstörungen zusammengeführt wird.

Sind das die Probleme die unsere Schüler wirklich massiv haben?

Schülerproblem: Probleme mit Mathematik

In einer Studie (ebenfalls 2011) kommt ein anderes Problem-Bild zu Tage:

65% der Schüler geben an das Fach Mathematik macht Ihnen Probleme und sogar 40% der Schüler brauchen dafür Nachhilfe, wobei 31,5% der Befragten den Lehrern nur eine Note 4 für deren “Erklärfähigkeit” geben!

Depression und Suizide bei Jugendlichen

Nach einer Studie der WHO 2010 stellen Suizide (Selbstmord) in der Altersgruppe der 10-24-Jährigen weltweit die zweithäufigste Todesursache nach Unfällen dar. Dazu hat die Uni Heidelberg 2010 an 26 Schulen (Haupt-, Realschule und Gymnasium) mit 1.444 Schülern eine Studie durchgeführt:

DAS sind erschreckende Zahlen: über 90% der Schüler gaben an schon unter Depressionen gelitten zu haben. Fast die Hälfte aller Schüler gab an schon über Selbstmord nachgedacht bzw. bereits konkrete Pläne gemacht zu haben.

Die Fragen zur Depressivität bezogen sich dabei auf die vorangegangenen 2 Wochen und Bereiche wie Traurigkeit, Verlust von Freude, Interessensverlust und Schuldgefühle.

Die Fragen zur Suizidalität (Paykel-Skala zur Suizidalität in den vorangegangenen 2 Wochen) umfassten dabei die Antworten “Nein”, “nicht lebenswert”, “Todeswunsch”, “Suizidgedanken”, “Suizidplan” sowie “Suizidversuch”. Dabei haben bei der Erstbefragung vor präventiven Maßnahmen an den Schulen 70,3% der männlichen sowie 43,3% der weiblichen Schüler mit “Nein” geantwortet, woraus ich im Umkehrschluß (70,3 + 43,3 : 2 = 56,8% -> 100% – 56,8% = 43,2%) geschlossen habe, daß sich 43,2% damit schon beschäftigt haben.

Prüfungsangst und Schlafstörungen bei Schülern

Die DAK hat in einer Studie folgende Ergebnisse gewonnen:

Jeder 2. Schüler hat Prüfungsangst, jeder 3. Schüler leidet unter Stress-Symptomen (Kopf- und Rückenschmerzen, Niedergeschlagenheit, Nervosität, Schwindelgefühle, Bauchschmerzen) und jeder 4. Schüler hat Einschlafprobleme.

Dabei ist in allen Studien eins gemeinsam: die Probleme unterscheiden sich geschlechts-/herkunftsspezifisch nach Jungen, Mädchen und Kindern mit Migrationshintergrund sowie nach Schulen mit besonders gutem oder schlechten Klassenklima.

Wie in der Sendung von 1 gegen 1 dargestellt hängen die Schlafstörungen von Schülern aber definitiv NICHT ausschließlich mit Cyber-Mobbing zusammen, sondern haben vielschichtige Ursachen. Das ist eine m.E. grobe und absichtliche Falschdarstellung zur “Panik-Mache”.

Internet sperren

Absichtlichen Falschdarstellungen und fehlendes technisches Verständnis sind die Ursachen für die Forderung nach einer Sperre des Internets für kinder- und jugendgefährdende Inhalte im Web.

Die Politik bauscht das Thema vor Wahlen absichtlich auf, um bei besorgten und/oder unwissenden Eltern ein Angst-Gefühl zu erzeugen. Das ist m.E. übelste Irreführung der deutschen Bevölkerung und fast schon strafrechtlich schlimmer als “grob fahrlässig”.

Technische Un-Möglichkeiten der Internet-Sperren

Tatsächlich ist es NICHT MÖGLICH “das Internet” zu sperren, denn viele Inhalte sind nicht auf deutschen Servern bzw. gehören Privatpersonen oder Firmen, die Ihren Sitz nicht in Deutschland haben.

Eine ausführliche Darstellung der technischen Probleme möchte ich hier nicht bringen, sondern nur die Eckpunkte:

(Anm.: Vorsicht technisch und Sie sind nicht “dumm” wenn Sie nicht alle Punkte oder auch gar keinen verstehen – nein, die Sache IST EINFACH SO TECHNISCH UND KOMPLIZIERT! Darum möchte ich mich an dieser Stelle von den Lesern verabschieden, danke für die Aufmerksamkeit und freue mich über Kommentare.)

1. Einfaches Trivialbeispiel: Wir greifen mit dem Browser ganz normal auf eine HTML-Webseite auf dem Server A zu. In der HTML-Seite ist per img-Tag ein Pornobild vom Server B eingebunden. Sollen wir dann A oder B sperren? (Richtet sich die Sperre also nach dem Ursprung der tragenden Webseite oder dem Ursprung des eigentlich nur strafbaren Bildes?)Hört sich so profan an. Hat es aber in sich. Und da hatte noch niemand drüber nachgedacht.Sperrt man A, kann man in Teufels Küche kommen. Läuft auf A beispielsweise ein Forum, in das irgendwer per Posting mit img-Tag Pornobilder geklebt hat, könnte man damit auch andere Postings sperren, die der Meinungsfreiheit unterliegen. Vielleicht ist der Betreiber auch unschuldig, weil er das Forum zu einem Zeitpunkt kontrolliert hat, als das Bild hinter dem Link noch normal war, und irgendwer hat dann auf B das Bild gegen ein Pornobild ausgetauscht. Die politische Vorgabe war, daß es auf keinen Fall dazu kommen dürfe, daß irgendwelche durch Meinungsfreiheit geschützten Seiten gesperrt würden (was mit der Schrotschußmethode einer DNS-Manipulation niemals auszuschließen wäre).Will man aber B sperren, geht das womöglich schief. Zwar hatte man eingesehen, daß man in URLs auch numerische IP-Adressen angeben kann und dann auf Server direkt unter Umgehung des DNS zugreifen kann (so sie nicht virtuell sind), aber das Restrisiko wäre zu tragen man bereit gewesen, weil man das nur einer verschwindend geringen Bevölkerungsschicht zutrauen würde. Das zieht hier aber nicht, denn wenn auf einer Webseite ein Bild per URL mit numerischer IP-Adresse eingebunden ist, merkt der Nutzer ja gar nichts davon, und auch Doofe können das benutzen. Zumal von man B noch weniger weiß, was dort herumliegt und welche Nebenwirkungen man auslöst.Man neigte nach Diskussion dazu, A zu sperren. Das aber wäre dann völlig wirkungslos, wenn man statt dem Link auf eine Webseite direkt die Links auf die Bilder verteilt (oder beispielsweise HTML-Mails verschickt). Klappt also auch nicht mit der erwünschten Zuverlässigkeit. Man hätte den Server, von dem die Bilder tatsächlich kommen, gar nicht gesperrt.Schon eine so triviale und naheliegende (und auch rechtlich sehr wichtige) Frage wie ob man die Webseite oder das Bild sperrt, brachte das ganze Projekt zum Stolpern und zeigte, daß man darüber (wohl auch in Norwegen) noch nicht nachgedacht und die Forderung nicht hinreichend spezifiziert hat. Schon da war in den Gesichtern zu lesen, daß denen gerade bewußt wurde, was für Probleme da noch auf sie zukommen.
2. Und was wäre, wenn man auf einer Seite C statt irgendwelcher Inhalte einfach nur einen Redirect auf einen URL mit numerischer IP-Adresse bekommt? Zur Sperre von C hätte man keine Rechtsgrundlage.
3. Noch’n Trivialproblem. An das auch keiner gedacht bzw. das keiner entdeckt hatte. Von der Leyen wollte unbedingt und ganz feste diesen Stopp-Server haben, der Besuchern von Kinderpornoseiten das berühmte knallrote achteckige Stoppschild anzeigt.Wie das bei HTTPS oder nicht-graphischen Programmen wie FTP oder Torrent oder sowas gehen soll, wäre ein ungelöstes Problem, aber schon zu weit gedacht.Unterstellen wir einfach mal – wie vom Ministerium gedacht – einen ganz ordinären, einfachen HTTP-Zugriff auf eine verbotene Seite, die vom Provider auf den Stopp-Server umgeleitet wird. Was soll denn der dann als Antwort auf den HTTP-Request liefern? Eine HTML-Seite? Oder doch ein GIF-Bild? Oder ein Video?Das Problem ist, daß bei HTTP der Browser in der Anfrage nicht mitteilt, welchen Datentyp er gerade braucht, sondern unter einer beliebigen URL abholt, was dort zu finden ist, und der Server mitteilt, welchen Daten-(MIME-)Typ das hat. Und der Browser muß dann entscheiden, ob es gerade reinpaßt oder nicht. Der Server erfährt aber nicht, ob der Browser gerade eine HTML-Seite holen will, oder doch ein Bild, das von einem img-Tag dort eingebettet wird. Oder ein CSS-Style-Sheet. Eine Java-Script-Datei. Oder ein Video. Oder ne zip-Datei, die man speichern will.Gibt man schöne rote STOPP-Seiten per HTML raus, während der Benutzer aber (siehe Beispiel oben) schon eine andere HTML-Seite drin hat und der Browser nur die Bilder noch holen will, dann klappt das mit dem roten STOPP-Schild einfach nicht. Es war aber als juristische Voraussetzung angegeben worden, daß man bei den Sperren immer angezeigt bekommt, von wem und warum etwas gesperrt wurde.Man hätte also nicht nur Hostnamen, sondern tatsächlich URLs in der Sperrliste speichern und zu jedem URL den zugehörigen Datentyp erfassen müssen. Diese Liste hätte der STOPP-Server gebraucht, um auf einen Request richtig reagieren zu können. Das ging aber nicht, weil die Liste ja geheim gehalten werden und nicht an den Hoster des STOPP-Servers hätte weitergegeben werden dürfen.
4. Dieser Stopp-Server wäre auch ein Datenschutzproblem.Die Provider lehnten überwiegend ab, so einen Server zu betreiben. Blocken und Umleiten würde man tun, falls man jemals herausfinden würde, wie das geht. Aber den Server möge bitteschön das BKA oder die Regierung bereitstellen. Wie aber wäre das mit dem Fernmeldegeheimnis zu vereinbaren? Und wie mit den personenbezogenen Daten, die in einem umgeleiteten Request mitfahren können, etwa im URL, in den Cookies, im Authentifikationsheader, im Referer, in POST-Daten und so weiter ?
5. Ein Beispiel: Unter xxx.lolita.com gäbe es Kinderpornos, während es unter www.lolita.com zulässige Inhalte gäbe. Würde der Anbieter nun in der DNS-Zone zu lolita.com den Eintrag www auf die zulässigen Daten zeigen lassen, und die Wildcard * auf die Pornoseite, also nicht nur xxx, sondern jeden beliebigen anderen Namen, wie sollte man das mit DNS-Sperren formulieren und implementieren?Gute Frage. Nächste Frage.
6. Es gibt keine DNS-Einträge spezifisch für Web-Zugriffe. Das sind A-Records, die für alles mögliche verwendet werden. Blockiert man die, kann man sehr viel lahmlegen, auch Protokolle wie FTP, Jabber, Telefonie, oder sogar das DNS selbst. Die Folgen sind nicht absehbar.Was etwa, wenn man damit direkt oder indirekt E-Mail blockiert? Unterdrückung des E-Mail-Verkehrs ist strafbar. (MX-Records zeigen meist auf A-Records, und Mail-Relays verwenden den A-Record, wenn es keinen MX gibt, weshalb man mit solchen Blockaden auch den E-Mail-Verkehr mit erwischt.)Oder was wäre, wenn man auf diese Weise Voice-over-IP stört und dadurch beispielsweise ein Notruf nicht abgesetzt werden kann?
7. Auf welchen Ports sollte der STOPP-Server denn überhaupt antworten? Nur Port 80?Das wäre fatal. Denn ein absendender Mail-Server würde auf seinen SMTP-Versuch, der ebenfalls umgeleitet würde, ein Connection Refused oder Timeout bekommen und deshalb die Mail aufbewahren, um es später wieder zu versuchen. Typischerweise eine Woche oder so. Das heißt, daß weder Absender noch Empfänger bemerken, daß da eine Mail blockiert wurde – bis es etwa zu spät ist, etwa weil sie eine Frist versäumen. Man müßte also beispielsweise auf dem STOPP-Server auch einen Dämon aufsetzen, der SMTP-Versuche mit einer Fehlermeldung ablehnt. Und für SIP. Und für Torrent. Und für SAP. Und, und, und.Was wäre denn, wenn der Kinderpornoserver die Pornos auf Port 5678 bereithält? Soll der STOPP-Server auf Port 5678 vorsorglich mal HTTP sprechen? Oder doch ein anderes Protokoll? Machen wir dann alle Ports auf?Außerdem gab es ja viel mehr zu sperrende Domains als STOPP-Server. Angenommen, auf Pornoserver A liegt auf Port 25 E-Mail per SMTP, während der Pornoserver B lustigerweise seine Webseiten auf Port 25 gelegt hat. Was reden wir denn dann auf Port 25 des STOPP-Servers? HTTP oder SMTP?
8. Und wieviele HTTP-Verbindungen soll der STOPP-Server denn bedienen können? Wenn man den Web-Verkehr von – angeblich – mehreren tausend Kinderpornoservern auf einen STOPP-Server umleitet, der noch dazu ne billige Kiste sein soll, wie soll der das denn hinkriegen? Zudem wäre es für Hacker sicherlich ein trivialer Spaß, den Server mit Syn-Flooding oder halben HTTP-Requests zu bombardieren. Und das Ding soll Ende Februar laufen?
9. Es wurde bald klar, daß die Variante mit der DNS-Sperre viel zu schrotschüssig ist um die Anforderung zu erfüllen, daß möglichst nur die angegebenen Kinderpornos, nicht aber andere Seiten mitgesperrt werden.Ob man nicht im laufenden Verkehr nach Kinderpornodateien oder den URLs filtern könnte, war die Frage.Wie stellt Ihr Euch das vor? Der URL wird ja erst im Laufe des HTTP-Requests übermittelt. Bis dahin ist die TCP-Verbindung schon aufgebaut. Soll man die nachträglich unterbrechen und umbiegen? Wie soll man eine schon begonnene TCP-Verbindung auf einen STOPP-Server umlenken? Und was schickt man dem ursprünglichen Server? Ein gefälschtes Paket zum Verbindungsabbau? Woher weiß der Filter überhaupt, daß wir noch innerhalb eines HTTP-Requests sind? Sollen wir jede TCP-Verbindung statusorientiert mitlesen und zwischenspeichern, damit wir wissen, daß wir noch am Anfang der HTTP-Verbindung sind? Und was machen wir, wenn der URL nicht in einem Paket, sondern auf mehrere verteilt übertragen wird? Den gesamten TCP-Strom zusammensetzen? Für wieviele Verbindungen sollen wir denn da Speicher vorhalten?
10. Es wurde diskutiert, daß man dazu nicht nach Hostnamen, sondern konkreten URLs filtern müsse. Auch schick. Man kann auf Webservern trivial ein Rewrite konfigurieren, der einen Teil des URLs ausschneidet und wegwirft, man also einen Teil des URLs zufällig wählen kann. Wie will man das mit einer festen Liste von nur ein paar Tausend URLs abhandeln?
11. Und was ist, wenn die Auswahl des Bildes nicht über den URL, sondern über die mitgegebenen Parameter, das Cookie, oder POST-Daten erfolgt? Kommen die Parameter mit in die Sperrliste? Und was ist, wenn die in der Reihenfolge wechseln? Oder wenn ein Parameter die Bildnummer und der andere eine Zufallszahl ist?
12. Und was machen wir, wenn ein Server unter ein und demselben URL, auf den man immer wieder klickt, zyklisch jedesmal ein anderes Bild anzeigt?