So heißt es in Artikel 5 Absatz 1 des Grundgesetzes (GG) der Bundesrepublik Deutschland:
Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern uns zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Bericherstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.
Nun soll nach dem Zugangserschwernisgesetz, welches dem obigen GG-Artikel schon vom Namen her widerspricht, DNS-Server manipuliert werden, dass diese bei Aufruf bestimmter Seiten auf ein Stoppschild umleiten. Dieses Gesetz befindet sich im Moment im sogenannten Notifizierungsverfahren [1] bei der EU, und muss danach noch von Bundespräsident Horst Köhler unterschrieben werden. Diese Unterschrift gilt trotz aller Beschwerden, der am stärksten gezeichneten Petition überhaupt (134.015 Mitzeicher [2]) und verfassungsrechtlicher Bedenken als sicher.
Das Gesetz ist also noch gar nicht in Kraft, aber schon heute handeln Kommunikations-Unternehmen danach:
ZDNet berichtet nun [3], dass Vodafone als erster Anbieter überhaupt alle DNS-Anfragen auf die eigenen DNS-Server umbiegt. Dazu braucht der Anbieter nur allen Traffic über den Port 53 TCP / UDP abfangen. Im Moment soll die Manipulation nur im UMTS-Netz aktiv sein, aber es sollte klar sein, dass Vodafone das auch auf das von Arcor übernommene Festnetz ausweitet. Zudem dürften andere Anbieter das zunächst mal genau beobachten, und dann auch auf diesen Zug aufspringen.
Noch merkt der gemeine Internet-User nichts davon, da die DNS-Server noch nicht zensiert sind. Das dürfte sich aber nach Inkrafttreten des Zugangserschwernisgesetzes schlagartig ändern. Dann nämlich wird es für bestimmte Seiten gefälschte DNS-Antworten geben.
ZDNet: “Dieser Eingriff in das Fernmeldegeheimnis ist durch kein Gesetz gedeckt. Über DNS auf den TCP- und UDP-Ports 53 werden heutzutage weit mehr Dienste abgewickelt als die bloße Namensauflösung, beispielsweise der Zonentransfer von Blacklisten zur Spambekämpfung oder privaten Intranet-Domains. Eine zensierte DNS-Antwort mit gefälschtem Absender seitens des Providers unterbindet eine ganze Reihe legitimer DNS-Nutzungen, die mit der Bekämpfung von Kinderpornografie nichts zu tun haben.”
Und was nun, wenn ein Internet-Anwender zufällig auf eine gesperrte Seite kommt? Etwa, weil er einen Link in einer Mail oder auf einer anderen Webseite angeklickt hat? Der ursprüngliche Vorsatz, die in den Logfiles gespeicherten IP-Adressen auszuwerten, und deren Inhaber vor den Kadi zu zerren, ist zwar letztlich nicht im Gesetz. Es ist sogar verboten, die Logfiles strafrechtlich zu nutzen. Aber wer oder was will denn die Regierung oder das BKA oder sonst eine Polizeibehörde davon abhalten, die Logfiles auszuwerten? Und was dann mit den Auswertungen passiert, kann auch keiner nachvollziehen.
Und wie kann man das jetzt umgehen? Es wird ja immer gesagt: “Richtet euch alternative DNS-Server in der Netzwerkkonfiguration ein, damit ihr nicht die gefälschten DNS-Antworten eurer ISPs bekommt.” Klar, ist die einfachste Lösung. Man konfiguriert die Netzwerkkarte manuell, und gibt als bevorzugten DNS-Server einen Server beispielsweise in England an. Aber genau das hebelt Vodafone mit dem Umbiegen von Port-53-Anfragen ja aus!
ZDNet beschreibt in o.g. Artikel, wie man auf seinem PC einen eigenen DNS-Server einrichtet. Bind ist das Mittel der Wahl für alle Unix-, Linux- und Mac-Nutzer, da der Bind-Server bei nahezu jeder Distribution mitgeliefert wird. Aber Bind gibt es auch für Windows, und ZDNet beschreibt die Konfiguration.
[1] http://ec.europa.eu/enterprise/tris/pisa/app…F72E00E5DF8
[2]
[3] http://www.zdnet.de/sicherheit_in_…de_story-39001543-41502966-1.htm
So heißt es in Artikel 5 Absatz 1 des Grundgesetzes (GG) der Bundesrepublik Deutschland:
Nun soll nach dem Zugangserschwernisgesetz, welches dem obigen GG-Artikel schon vom Namen her widerspricht, DNS-Server manipuliert werden, dass diese bei Aufruf bestimmter Seiten auf ein Stoppschild umleiten. Dieses Gesetz befindet sich im Moment im sogenannten Notifizierungsverfahren [1] bei der EU, und muss danach noch von Bundespräsident Horst Köhler unterschrieben werden. Diese Unterschrift gilt trotz aller Beschwerden, der am stärksten gezeichneten Petition überhaupt (134.015 Mitzeicher [2]) und verfassungsrechtlicher Bedenken als sicher.
Das Gesetz ist also noch gar nicht in Kraft, aber schon heute handeln Kommunikations-Unternehmen danach:
ZDNet berichtet nun [3], dass Vodafone als erster Anbieter überhaupt alle DNS-Anfragen auf die eigenen DNS-Server umbiegt. Dazu braucht der Anbieter nur allen Traffic über den Port 53 TCP / UDP abfangen. Im Moment soll die Manipulation nur im UMTS-Netz aktiv sein, aber es sollte klar sein, dass Vodafone das auch auf das von Arcor übernommene Festnetz ausweitet. Zudem dürften andere Anbieter das zunächst mal genau beobachten, und dann auch auf diesen Zug aufspringen.
Noch merkt der gemeine Internet-User nichts davon, da die DNS-Server noch nicht zensiert sind. Das dürfte sich aber nach Inkrafttreten des Zugangserschwernisgesetzes schlagartig ändern. Dann nämlich wird es für bestimmte Seiten gefälschte DNS-Antworten geben.
ZDNet: “Dieser Eingriff in das Fernmeldegeheimnis ist durch kein Gesetz gedeckt. Über DNS auf den TCP- und UDP-Ports 53 werden heutzutage weit mehr Dienste abgewickelt als die bloße Namensauflösung, beispielsweise der Zonentransfer von Blacklisten zur Spambekämpfung oder privaten Intranet-Domains. Eine zensierte DNS-Antwort mit gefälschtem Absender seitens des Providers unterbindet eine ganze Reihe legitimer DNS-Nutzungen, die mit der Bekämpfung von Kinderpornografie nichts zu tun haben.”
Und was nun, wenn ein Internet-Anwender zufällig auf eine gesperrte Seite kommt? Etwa, weil er einen Link in einer Mail oder auf einer anderen Webseite angeklickt hat? Der ursprüngliche Vorsatz, die in den Logfiles gespeicherten IP-Adressen auszuwerten, und deren Inhaber vor den Kadi zu zerren, ist zwar letztlich nicht im Gesetz. Es ist sogar verboten, die Logfiles strafrechtlich zu nutzen. Aber wer oder was will denn die Regierung oder das BKA oder sonst eine Polizeibehörde davon abhalten, die Logfiles auszuwerten? Und was dann mit den Auswertungen passiert, kann auch keiner nachvollziehen.
Und wie kann man das jetzt umgehen? Es wird ja immer gesagt: “Richtet euch alternative DNS-Server in der Netzwerkkonfiguration ein, damit ihr nicht die gefälschten DNS-Antworten eurer ISPs bekommt.” Klar, ist die einfachste Lösung. Man konfiguriert die Netzwerkkarte manuell, und gibt als bevorzugten DNS-Server einen Server beispielsweise in England an. Aber genau das hebelt Vodafone mit dem Umbiegen von Port-53-Anfragen ja aus!
ZDNet beschreibt in o.g. Artikel, wie man auf seinem PC einen eigenen DNS-Server einrichtet. Bind ist das Mittel der Wahl für alle Unix-, Linux- und Mac-Nutzer, da der Bind-Server bei nahezu jeder Distribution mitgeliefert wird. Aber Bind gibt es auch für Windows, und ZDNet beschreibt die Konfiguration.
[1] http://ec.europa.eu/enterprise/tris/pisa/app…F72E00E5DF8
[2]
[3] http://www.zdnet.de/sicherheit_in_…de_story-39001543-41502966-1.htm