Nebenwirkungen von IP-basierten Filtern

Filter, die einzelne Webseiten gegenüber Zugriff sperren sollen, können weitaus mehr Seiten sperren, als beabsichtigt. Diese Problematik ist wohlbekannt, konkrete Beispiele fehlten jedoch bislang.

Im Februar 2002 stellte die Bezirksregierung Düsseldorf ausgewählten Netzbetreibern in Nordrhein-Westfalen eine sogennante Sperrverfügung (Kopie <http://odem.org/material/verfuegung/sperrungsverfuegung.pdf>, Abschrift in Textform <http://odem.org/material/verfuegung/>) zu, in der die Empfänger aufgefordert wurden,

"den Zugang zur Nutzung der Internet-Seiten http://www.s…t.org und http://www.n…o.com im Rahmen des von Ihnen vermittelten Nutzungsangebotes zu sperren."

Maximillian Dornseif beschrieb bereits die Probleme bei der ordnungsgemäßen Umsetzung der Sperrverfügung (Government mandated blocking of foreign Web content <http://md.hudora.de/publications/200306-gi-blocking/200306-gi-blocking.pdf>, Juni 2003; vgl. auch eine Mitteilung bei Heise Online, Chaotische Umsetzung der Sperrungsverfügung in NR <http://www.heise.de/newsticker/meldung/37632>, vom 2003-06-15).

Mittlerweile existiert mit passiver DNS-Replikation ein Verfahren, um die Auswirkungen der dritten, von der Bezirksregierung Düsseldorf vorgeschlagenen Sperrmaßnahme zu untersuchen (Seite 7f. der Sperrverfügung):

"3. Ausschluss von IPs durch Sperrung im Router

Der Router kann so konfiguriert werden, dass der komplette Datenverkehr zu einer bestimmten IP-Adresse nicht weitergeleitet wird."

Es ist technisch problemlos möglich, unter derselben IP-Adresse völlig verschiedene Web-Angebote für unterschiedliche Kunden anzubieten. Bei den großen Massenanbietern teilen sich so die aktiv genutzten Web-Angebote mehrerer tausender Kunden eine einzige IP-Adresse. Anhand der DNS-Replikation kann in vielen Fällen festgestellt werden, ob zu einer IP-Adresse, unter der ein bestimmtes Web-Angebot verfügbar ist, noch weitere Web-Angebote unter weiteren Domains vorhanden sind. Für die Domains aus der Sperrverfügung ergibt sich dabei folgendes:

Dieses Beispiel zeigt, daß rein IP-basierte Sperrungen nach wie vor problematisch sind. Dies gilt selbst für den Fall, daß die Sperrungen gepflegt und Neuzuweisungen von IP-Adressen zeitnah berücksichtigt werden. Die oben genannten Seiten werden zeitgleich zu den rechtswidrigen Angeboten betrieben, und nicht zeitlich nacheinander, wie das in einem anderen Fall bei IP-basierten Sperrungen in der Schweiz der Fall war (vgl. die Pressemitteilung der Swiss Internet User Group vom 2002-04-05, Schweizer Internet Service Provider sperren Konkurrenz aus dem Internet <http://www.siug.ch/presse/Presse.20020405.html>; die genannte IP-Adresse scheint heute jedoch ungenutzt zu sein).

Obwohl im zweiten Fall das rechtswidrige Angebot getrennte Domainnamen verwendet und somit prinzipiell eine Auftrennung durch den Server-Betreiber auch auf IP-Ebene möglich wäre, indem für die rechtswidrigen Seiten eine eigene IP-Adresse verwendet würde, ist entweder keinerlei Benachrichtigung seitens der Behörde erfolgt, oder die Benachrichtigung blieb ohne Wirkung. Immerhin gibt es heutzutage wegen der hohen Verbreitung getrennter Domains für unterschiedlicher Angebote für Anbieter die Möglichkeit, nicht rechtswidrige Angebote in dieser Weise auf nicht gesperrte IP-Adressen auszulagern, ohne daß sich die von den Kunden eingesetzten Adressen und URLs ändern. Diese Möglichkeit bestand beispielsweise nicht, als im Jahr 1997 ein Servers des niederländischen ISPs XS4ALL durch den DFN-Verein, (den Betreiber des größten deutschen Forschungsnetzes) und weitere ISPs gesperrt wurde, weil sehr viele Kunden-Seiten unter derselben Domain wie das rechtswidrige Angebot in das Netz gestellt wurden und die Trennung nur über verschiedene Pfade unter derselben Domain erfolgte (vgl. die Meldung Zensur im Deutschen Forschungsnetz <http://www.heise.de/newsticker/meldung/968> von Heise Online vom 1997-04-17).

Weitere Informationen zu Internet-Filtern

Revisions


Florian Weimer
Home Blog (DE) Blog (EN) Impressum RSS Feeds