Von Mattias Schlenker

DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.

Die Funktionsweise der im „Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen“ geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des „Stoppseitenservers“, der entweder beim BKA oder beim Provider stehen wird.

Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.

Doch was geschieht, wenn die Anfrage an den Nameserver vorgenommen wird, um in der Folge eine E-Mail zustellen zu können?

Bei E-Mail folgt ein zweistufiges Auskunftsverfahren: Zunächst wird der Nameserver angefragt, welcher Host denn als Mail-Exchange zuständig ist. Bei „großen“ Domains ist das oft ein separater Server („mail.domain.xyz“, „mx.domain.xyz“ o.ä.; feste Regeln für den Namen existieren nicht), bei „kleinen“ Domains häufig „www.domain.xyz“.

In der zweiten Stufe – der Anfrage nach der IP-Adresse des so bekannt gewordenen Mail-Servers – wird folglich auch bei der Mail-Zustellung mit der IP-Adresse des „Stoppseitenservers“ geantwortet: Es folgt der Zustellversuch nicht an den eigentlichen Nameserver, sondern an den „Stoppseitenserver“.

An dieser Stelle wird spannend, wie der „Stoppseitenserver“ mit den Zustellversuchen umgeht: Die sauberste Konfiguration wäre wohl, einfach gar keine E-Mails anzunehmen oder durch die DNS-Sperren verursachte Fehlzustellungen korrekt als unzustellbar abzuweisen. In diesem günstigsten Fall findet nur ein kurzer Dialog zwischen Sender- und Empfänger-Mailserver statt, in dem lediglich die Absenderadresse mitgeteilt wird: Der „Stoppseitenserver“ erfährt nichts vom Inhalt der Nachricht.

Denkbar wäre jedoch auch eine weit perfidere Konfiguration, bei der das Mailsystem des „Stoppseitenserver“ einfach alle Nachrichten an die Domain der Sperrliste als vermeintlich zustellbar annimmt, vielleicht weiterleitet, aber für die Analyse durch die Polizeibehörden speichert. So gewonnene Informationen dürften für die Strafverfolger weit interessanter sein als die Webserverlogs der „Stoppseite“, aus denen bekanntlich nicht hervorgeht, ob ein Aufruf absichtlich oder zufällig erfolgt (beispielsweise weil eine Spam-Mail eine Grafik auf einem auf der Liste verzeichneten Server einbindet).

Bereits der schwächere Fall der Abweisung einer Nachricht als unzustellbar greift in das Fernmeldegeheimnis ein, weil hier die „näheren Umstände erfolgloser Verbindungsversuche“ bekannt werden. Eingriffe der Strafverfolgungsbehörden in Telekommunikationsvorgänge sind jedoch nur auf richterliche Anordnung zulässig.

Doch gerade auf die richterliche Anordnung wird – vorgeblich aus Zeitgründen – verzichtet, lediglich ein verwaltungsrechtliches Einspruchsverfahren im Nachhinein ist vorgesehen. Während der Gesetzentwurf im Detail die Sperrung auf Ebene der Auflösung in IP-Adressen fordert und sich auf Telemedienangebote konzentriert, trifft er keine Aussage darüber, was mit versehentlich „fehlgeleiteter“ E-Mail passieren soll.

Wird das Gesetz in seiner derzeit diskutierten Form Realität, dürften sich Strafverfolger und Gefahrenabwehrer bald über die neuen, einfachen Möglichkeiten der E-Mail-Überwachung per Sperrlisteneintrag freuen.

Mattias Schlenker ist Autor und EDV-Berater

http://blog.rootserverexperiment.de/

http://blog.mattiasschlenker.de/