Netzsperren: Was geht technisch?

Am 10. Juni 2018 stimmen wir über das neue Geldspielgesetz und die darin vorgesehenen Netzsperren ab. Doch die Netzsperren haben unerwünschte Nebenwirkungen, die uns alle treffen können. Aus technischer Sicht machen es sich Bundesrat und Parlament denkbar einfach: Der Gesetzestext ist technologie-neutral formuliert. Wie genau Netzsperren technisch umgesetzt werden, ist nicht bestimmt. Damit schafft das neue Geldspielgesetz erstmals eine gesetzliche Grundlage für sämtliche verfügbaren Sperrmethoden im Internet. In der Öffentlichkeit spricht man allerdings meist nur von sogenannten DNS-Sperren, die weniger Nebenwirkungen haben als andere Methoden. Doch mit dem neuen Geldspielgesetz werden in der Schweiz grundsätzlich auch «chinesische Methoden» möglich. Was das bedeutet und welche anderen Möglichkeiten es gibt, soll dieser Artikel erklären.

DNS-Sperren

Jeder Computer ist über seine IP-Adresse, also eine bestimmte Zahlenkombination, im Internet erreichbar. Weil der Mensch sich aber Zahlenfolgen nicht so gut merken kann, gibt es das DNS (Domain Name System). Damit werden Buchstabenkombinationen in Zahlen übersetzt und umgekehrt. Anstatt also zum Beispiel die IP-Adresse 46.38.239.44 in den Browser eingeben zu müssen, kann man dank DNS die deutlich einprägsamere Adresse www.isoc.ch benutzen.

Genau hier setzen DNS-Sperren an: Die Provider (Internet-Zugangs-Anbieter) beantworten die Anfragen nach gesperrten Domainnamen nicht mehr mit deren IP-Adresse, und die Webseite scheint – zunächst – nicht mehr erreichbar. DNS-Sperren können jedoch kinderleicht umgangen werden. Denn jedermann kann seinen DNS-Server frei wählen. Es gibt diverse im Internet frei zugängliche DNS-Server. Sperrt nun ein Schweizer Provider bei seinem DNS-Server einzelne Seiten, kann der Nutzer einfach einen anderen DNS-Server (z.B. 1.1.1.1, 8.8.8.8 oder 9.9.9.9) verwenden, der von solchen (staatlichen) Eingriffen nicht betroffen ist. Das Ändern des DNS-Servers ist in wenigen Sekunden erledigt.

Verbindungsaufbau zu Webseite mit DNS (Marcel Waldvogel, ISOC-CH)

Das Geldspielgesetz sieht vor, dass die Schweizer Provider nicht einfach Antworten auf Ihren DNS-Servern unterdrücken müssen: Sie sind sogar gezwungen, die Antworten zu fälschen, um die Benutzer auf eine Zwischenseite umzuleiten. Die Provider müssen also eine sogenannte MITM-Attack (Man-In-the-middle-Attack) ausführen. Sie verwenden damit die gleiche Methode, wie es Internet-Betrüger tun, die es auf Deine Kreditkarte oder Dein Bankkonto abgesehen haben.

Damit nicht jeder Ganove Deine E-Mails mitlesen oder Deine E-Banking-Überweisungen umleiten kann, rüsten immer mehr Betreiber ihre Websites mit Sicherheitselementen aus, z.B. indem sie ihre Web-Dienstleistungen nur noch verschlüsselt anbieten. Das wird Dir dann im Browser mit einem ‘https://” vor dem Domainnamen sowie einem geschlossenen Schloss angezeigt:

https-Fehler bei gesperrten Seiten

Sobald der Anbieter eines gesperrten Casinos seine Spiele mittels HTTPS-Verschlüsselung anbietet, wird die Zwischenseite nicht mehr angezeigt. Denn Dein Computer, Tablet oder Smartphone merkt, dass hier etwas nicht stimmt und bricht die Verbindung mit einer entsprechenden Fehlermeldung ab. Die Verbindungen zu Casino-Webseiten dürften weltweit praktisch ausnahmslos mit HTTPS verschlüsselt sein, so dass man bei gesperrten Seiten weder Casino-Seite noch staatliche Zwischen-Seite zu sehen bekommt, sondern nur einen Hinweis, dass ein (Sicherheits-)Fehler aufgetreten sei.

Seit ein paar Jahren verbreitet sich eine weitere Technologie zum Schutz vor Fälschungen im Internet: DNSSEC (Domain Name System Security). Damit kann Dein Computer, Tablet oder Smartphone sogar noch früher feststellen, dass die Antwort im DNS gefälscht wurde und Dir eine entsprechende Fehlermeldung anzeigen.

DNSSEC Registrierungen Schweiz (Quelle: SWITCH)

Wenn nun DNS-Antworten gefälscht werden müssen, gibt es vermehrt Fehlermeldungen mit falschem Alarm. Falsche Alarme sind Gift für jedes Sicherheitssystem, denn die Menschen sind geneigt, solche möglichst zu unterdrücken. Falsche Alarme haben auch schon zu Flugzeug-Abstürzen beigetragen: Piloten nahmen wegen ständiger Fehlalarme am Boden jeweils temporär eine bestimmte Sicherung raus, um sich besser auf ihre Arbeit konzentrieren zu können. Damit wurden allerdings auch wichtige System-Alarme unterdrückt. Die Piloten von Flug NWA255 hätten den Tod von 153 Menschen verhindern können, wären sie vom System gewarnt worden, was aufgrund der gezogenen Sicherung nicht der Fall war.

Wenn sowas selbst erfahrenen Airline-Piloten passiert, werden auch viele Internet-Benutzer versuchen, die nervigen Fehlalarme irgendwie zu unterdrücken. Damit werden sie dann zur leichten Beute für Internet-Betrüger. Dies betrifft nicht nur Online-Casino-Besucher, denn auch DNS-Sperren sind nicht immer punktgenau, sondern führen in vielen Fällen zu “Overblocking” (übers Ziel hinaus schiessende Sperren). Somit sind auch unbeteiligte Webseiten und Internet-Benutzer davon betroffen. Da auch E-Mail auf DNS aufsetzt, landen wegen Netzsperren mitunter auch E-Mails am falschen Ort.

Die Umgehung von DNS-Sperren ist auch schon fester Bestandteil in Browsern: z.B. hat Opera eine Funktion für VPN (Virtual Private Network) per Knopfdruck bereits eingebaut. Firefox und Chrome werden in Kürze DNS over HTTPS (DoH) einführen, eine Technologie für mehr Privatsphäre, welche DNS-Sperren automatisch umgeht.

IP-Sperren

Warum sperren nun die Provider nicht einfach die gesamte IP-Adresse? Das liegt vor allem daran, dass unter einer IP-Adresse nicht zwingend nur eine Internetseite erreichbar ist. IP-Adressen sind knapp und müssen sparsam eingesetzt werden. Deshalb ist es nicht nur möglich, sondern der Regelfall, dass sich mehrere unterschiedliche Internet-Angebote eine IP-Adresse teilen. Die Betreiber müssen noch nicht einmal voneinander wissen. Und nur weil unter einer IP-Adresse ein Angebot mit in einem in der Schweiz verbotenen ausländischen Geldspielangebot ist, heisst das noch lange nicht, dass nicht auch ganz harmlose Inhalte dieselbe IP-Adresse verwenden. Dieser Trend hat sich in den letzten Jahren sogar verstärkt: Die meisten grossen Angebote werden über sogenannte Content Delievery Networks (CDN) erreichbar gemacht, um die Geschwindigkeit und Verfügbarkeit sicherzustellen.

Verwendet nun zum Beispiel zufälligerweise ein in der Schweiz nicht bewilligtes Casino dasselbe CDN wie eine grosse Tageszeitung und würden die IP-Adressen dieses Casinos gesperrt, wäre auch die Tageszeitung nicht mehr erreichbar. Möglicherweise bekämen die Leser der Tageszeitung sogar den Hinweis angezeigt, dass diese Seite wegen illegaler Angebote gesperrt ist. Die Tageszeitung wäre damit nicht nur offline, sondern auch massiv im Ruf geschädigt. Wenn nun eine IP-Adresse gesperrt wird, könnten abertausende unbeteiligter Webseitenbetreiber betroffen sein. Overblocking ist somit bei IP-Sperren noch ein grösseres Problem, wie bei DNS-Sperren.

Hinzu kommt, dass jedem Server zwar theoretisch eine «statische» IP-Adresse zugeordnet wird. Der Betreiber kann diese IP-Adresse jedoch auch ändern. Bemerkt also der Betreiber einer Casino-Webseite, dass seine IP-Adresse auf einer Sperrliste steht, kann er relativ unkompliziert und z.T. binnen weniger Sekunden einfach eine neue IP-Adresse beziehen. Und schon ist für ihn die Sperre weg. Alle anderen Dienste, für die die Sperre gar nicht gedacht war, bleiben aber weiterhin unerreichbar. Es kann sogar vorkommen, dass die alte IP-Adresse irgendeinem neuen Dienst zugewiesen wird – der dann fälschlicherweise von der Sperrliste erfasst wird. Für die Praxis sind IP-Sperren deshalb kaum geeignet.

Auch IP-Sperren lassen sich relativ einfach umgehen, etwa mittels VPN-Tunnel. Viele Internet-Nutzer verwenden bereits VPN für andere Zwecke und, wie zuvor erwähnt, haben Browser wie Opera VPN sogar fest eingebaut.

The Great (Fire-)Wall

Bleibt nur noch eine Methode: Die Filterung von Inhalten. Theoretisch ist es möglich, dass Provider sämtliche Inhalte überprüfen, die durchs Internet übertragen werden. In China wird diese Methode praktiziert, um unerwünschte Inhalte aus dem „chinesischen Internet“ fernzuhalten. In Anlehnung an das Bauwerk „The Great Wall“ (Grosse Mauer) wird diese Filterung deshalb auch „The Great Firewall“ (Grosse Feuer-Schutz-Mauer) genannt.

Technisch wäre das wohl durchaus auch in der Schweiz möglich. Auch juristisch wird mit dem Geldspielgesetz die Gesetzesgrundlage dafür geschaffen. Jeder Provider müsste nach Schlüsselbegriffen im Internetverkehr der Kunden suchen und bei unbewilligten Geldspielen die Übertragung verweigern. Doch überprüft werden können nur Inhalte, welche die Filtermechanismen auch lesen können.

Verschlüsselte Daten können daher auf diese Art nicht gefiltert werden. Es sei denn, man schaltet die Alarmierungs-Mechanismen auf den Computern der Benutzer gezielt aus, z.B. indem diesen ein eigenes sogenanntes Root-Zertifikat untergejubelt wird, mit dem sämtliche HTTPS-Verschlüsselung aufgebrochen werden kann. Wenn der Staat die Provider verpflichtet, ihren Kunden die Installation solcher eigener Zertifikate zum Aufbrechen der Verschlüsselung nahezulegen, werden viele Internet-Benutzer annehmen, dass dieser Vorgang ganz normal ist. Wenn dann später wieder solche Aufforderungen daherkommen, setzen die Benutzer dann (meist unbewusst) weitere Sicherheits-Warnungen auf ihren Geräten ausser Gefecht. Das kann verheerende Folgen haben, denn auch Betrüger im Internet wissen diesen Umstand für ihre Zwecke zu nutzen.

Mittlerweile gibt es verschiedene Anonymisierungsdienste, die sehr einfach einzurichten und zu bedienen sind. Wer sich also den Netzsperren entziehen möchte, kann das auch bei einer Filterung von Inhalten problemlos tun.

Fazit

Die Erkenntnise sind nicht neu. Sie hinderten Bundesrat und Parlament aber nicht daran, an Netzsperren festzuhalten: Faktisch gibt es keine Möglichkeit, Internetseiten wirksam und frei von Nebenwirkungen zu sperren. Entweder gehen die Sperren viel zu weit, oder sie sind so leicht zu umgehen, so dass man sie auch gleich bleiben lassen kann. Und auch die fortgeschritteneren Methoden zur Sperrung von Internetseiten sind mit einfachen Mitteln zu umgehen. Es gibt mehrere Tools (auch kostenlose), die sogar eine vollständige Filterung von Inhalten ausschalten.

Wirksam sind Netzsperren höchstens für völlig unerfahrene Internetnutzer. Diese werden aber wohl kaum Online-Casinos besuchen: Bereits die Erstellung eines Benutzerkontos, die Eingabe des Zahlungsmittels und die persönlichen Anpassungen der Online-Spiele ist deutlich aufwändiger, als die Netzsperren spielend zu umgehen.

Netzsperren haben immer auch gravierende Nebenwirkungen, egal wie gut die Sperrlisten gepflegt werden. Overblocking kann mit keiner der Methoden vermieden werden. Auch die Internet-Sicherheit leidet, da neue Sicherheitstechnologien (z.B. DNSSEC) durch Netzsperren bewusst untergraben werden, was Internet-Betrügern aktiv in die Hände spielt. Die Nutzer werden verwirrt und suchen sich Wege, um das Problem zu lösen. Je nach Lösung können sie im besten Fall wieder normal arbeiten (z.B. mit sicherem VPN), im schlechtesten Fall öffnen sie unbewusst ihren Computer, ihr Tablet oder Smartphone für Cyber-Betrüger. Unbeteiligte Webshop-Betreiber riskieren wegen Netzsperren Umsatz und ihren guten Ruf. Wegen Netzsperren könnten auch ganz normale E-Mails nicht mehr ankommen.

Netzsperren machen das Internet unsicher und hinterlassen Kollateralschaden bei Unbeteiligten. Die Folgen können uns alle treffen.

Darum NEIN zum Geldspielgesetz am 10. Juni 2018.


Über den Autor

Bernie Höneisen ist Geschäftsführer des Schweizer Internet Beratungs-Unternehmens Ucom.ch. Er arbeitet in der weltweiten Internet Standardisierungs-Organisation IETF, u.a. in der Rolle eines offiziellen Fachexperten (Designated Expert) des Führungsgremiums IESG.

In der IETF werden (seit den Anfängen 1986) die Technischen Standards im Internet definiert, dokumentiert und weiterentwickelt. Da wird z.B. festgelegt, wie die verschiedenen Geräte im weltumspannenden Internet miteinander kommunizieren. Ohne die IETF gäbe es das freie und offene Internet, wie wir es heute kennen, nicht.

Weitere Beitragende

Dieser Blog-Artikel enthält Beiträge von verschiedenen Leuten aus dem Umkreis der Internet Society Schweiz und der Digitalen Gesellschaft. Er enthält auch Teile aus einem älteren Artikel von Adrian Schneider. Daher steht dieser Artikel unter derselben Creative Commons Lizenz.

Anpassungen

Nach Meldung von Ungenauigkeiten oder Fehlern kann dieser Artikel angepasst werden. Feedback bitte an bernie(a)isoc.ch

May 3rd, 2018 by | Posted in DNSSEC, Network Blocking |

Comments are closed.