ScusiBlog

background emmission of scusi.

ZensurVertrag Zwischen ISPs Und BKA Geleakt

| Comments

Der Vertrag den das BKA mit den ISPs in Deutschland abschließen möchte ist geleakt und steht beim CCC zum download bereit.

Der Vertrag untersagt den ISPs die Sperre zu realisieren, während er gleichzeitig genau das erreichen möchte. Das Vertragswerk in seiner jetzigen Form widerspricht sich selbst. Zum Beispiel §3 Absatz 5:

§ 3 Pflichten des Internet Service Providers … (5) Die Liste darf nur den für die Sperrung zuständigen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden. Der ISP verpflichtet sich, die in den Listen enthaltenen Angaben nicht an Dritte weiterzugeben oder sonst zu ver- wenden. Er hat sie durch geeignete Maßnahmen gegen die Kenntnisnahme durch Dritte zu sichern.Er hat überdies sicherzustellen, dass alle Personen, die mit der Sperrung der VDN betraut sind, die in der Liste enthaltenen Informatio- nen nicht an Dritte weitergeben oder sonst verwerten. Diese Verpflichtungen gelten auch im Falle einer Beendigung des Vertrages fort.

Also wenn der Provider das ‘sicherstellen’ muss, dann kann er die geforderte Sperre leider nicht umsetzen. Zumindest nicht auf Ebene einer DNS-Sperre wie es die viel zitierten ‘Vorbilder’ in Skandinavien tun.

Um eine DNS-Sperre zu realisieren muss der DNS-Server zwangsläufig auf die Frage nach dem Eintrag für eine zensierte Domain antworten. O.K. der Server lügt in seiner Antwort, schließlich gibt er die IP Adresse der Stoppseite zurück statt den echten Eintrag, aber das reicht ja. Man muss halt noch ein paar DNS Server fragen, oder gar den zuständigen DNS für diese Domain um die echte IP Addresse zu bekommen. Der gewählte technische Ansatz zwingt zur Veröffentlichung der Liste, anders geht’s gar nicht.

Also ich bin gespannt wie die ISPs den Vertrag einhalten wollen. Meiner Meinung nach ist das unmöglich. Liebe Internetprovider wenn ihr das unterschreibt habt ihr euch selber ein Bein gestellt. Entweder ihr erfüllt den Vertrag nicht oder ihr verstoßt gegen den Vertrag, könnt ihr euch aussuchen, toll oder?

Ich würde sagen das ist locker eine 8,5 auf der nach oben offenen Ziercke-Skala.

Gut ist auch:

§ 7 Vertragsdauer und Kündigung (4) Dem ISP überlassene Listen sowie alle gegebenenfalls vorhandenen Kopi- en sind unverzüglich nach der Kündigung zu vernichten und dem Bundeskrimi- nalamt schriftlich die Vernichtung zu bestätigen.

Tja, wie der ISP den Cache meines DNS-Servers aus der ferne und ohne meine Hilfe löschen möchte ist mir auch vollkommen schleierhaft. Hallo, ihr vom BKA, DNS ist ein verteiltes System es lässt sich nicht verhindern das die Einträge der Liste weiterverteilt, gecached, gelogged, usw. werden und zwar nicht nur von einem oder ausschließlich innerhalb eines ISPs. Selbst wenn das in diesem Fall normalerweise so ist (das die Daten im Netz des ISP bleiben) kann der ISP das keineswegs garantieren. Man muss schon damit rechnen, dass DNS Einträge sich verteilen - mit unter - rasend schnell quer durch das Netz, also weltweit. Und meinen DNSCache beherrsche immer noch ich und nicht mein ISP und auch nicht das BKA!

Die Anlagen hätte ich auch gerne, wenn mir die mal jemand anonym schicken möchte, bitte

Update Fr 13. Feb 22:46:05 CET 2009: fefe hat dazu auch eine lesenswerten Beitrag Lustig dabei ist ja dass sie von vollqualifizierten Domainnamen (sie meinen FQDN, siehe RFC 1035, 1123, 1535, 2181) reden. Ich bin da - wie fefe - auch gespannt was passiert wenn sie das erste mal auf einen wildcard Eintrag im DNS stoßen. Hehe, da sind halt die besten der besten der besten am Werk! Weiter so!

Comments