1 Punkte von GN⁺ 2024-08-07 | 1 Kommentare | Auf WhatsApp teilen
  • ClownStrike, eine von IT-Berater David Senk nach einem großflächigen IT-Ausfall erstellte Website, ersetzte das CrowdStrike-Logo durch eine Clown-Parodie; der Fall weitete sich zu einer Debatte darüber aus, ob die Takedown-Anfrage auf eine Fair-Use-Äußerung zielte
  • CSC Digital Brand Services, ein Vertreter von CrowdStrike, forderte Cloudflare auf, das Logo zu entfernen; Cloudflare warnte, dass bei Nichtbefolgung die gesamte Website gesperrt werden könne
  • CrowdStrike erklärte, man habe in den vergangenen zwei Wochen mehr als 500 Takedown-Anfragen gestellt, um gegen bösartige Websites und Phishing vorzugehen; die Parodie-Website sei nicht das beabsichtigte Ziel gewesen. Senk entgegnete jedoch, ihm sei tatsächlich Schaden entstanden
  • Corynne McSherry von der EFF hält den Einsatz des DMCA in Markenrechtsstreitigkeiten für unangemessen; zunächst müsse geprüft werden, ob Fair Use vorliegt
  • Der Fall zeigt, dass bei lockeren Meldeverfahren großer Service Provider legale Online-Äußerungen wie Kritik und Satire genau dann verschwinden können, wenn sie am wichtigsten sind

Hintergrund der Entstehung von ClownStrike

  • David Senk erstellte ClownStrike, nachdem CrowdStrike wegen eines problematischen Sicherheitsupdates als Ursache eines weltweiten IT-Ausfalls genannt worden war
  • Der Ausfall verursachte über längere Zeit Störungen an Flughäfen, in Krankenhäusern und in Unternehmenssystemen
  • Senk war zwar nicht direkt betroffen, unterstützt aber Dezentralisierung, weil Zentralisierung in der Tech-Branche große Kollateralschäden verursachen könne
  • Die am 24. Juli veröffentlichte Website war schlicht aufgebaut: Das CrowdStrike-Logo verwandelte sich in einen Cartoon-Clown, während beim Übergang Zirkusmusik abgespielt wurde
    • In den ersten 48 Stunden nutzte sie das Logo der CrowdStrike-Cybersecurity-Plattform Falcon unverändert
    • Danach fügte sie dem Falcon-Kopf einen regenbogenfarbenen Propellerhut hinzu
  • Senk sagte, er habe die Website zunächst „einfach zum Spaß“ online gestellt und möge alte Parodie-Websites

DMCA-Takedown-Anfrage und Reaktion von Cloudflare

  • Am 31. Juli erhielt Senk vom Trust-&-Safety-Team von Cloudflare, das die Website damals hostete, eine DMCA-Takedown-Mitteilung
  • In der Mitteilung hieß es, das Global-Anti-Fraud-Team von CSC Digital Brand Services, das CrowdStrike vertrat, verlange die sofortige Entfernung des CrowdStrike-Logos von ClownStrike
  • Cloudflare warnte, dass die gesamte Website abgeschaltet werden könne, falls das Logo nicht entfernt werde
  • Senk hielt die Website für eine eindeutige Parodie und unabhängig davon, ob das Logo verändert wurde, für Fair Use; er schickte daher umgehend eine Gegendarstellung
  • Cloudflare bestätigte den Eingang der Gegendarstellung nicht und antwortete nicht; später schickte das Unternehmen erneut eine Warn-E-Mail wegen mutmaßlicher Rechtsverletzung
  • Senk verlegte die Website zu einem Anbieter, der weniger anfällig für DMCA-Takedown-Anfragen ist, und nutzte schließlich einen Hetzner-Server in Finnland

Erklärung von CrowdStrike und Senks Gegenargument

  • CrowdStrike lehnte einen direkten Kommentar zur Takedown-Anfrage gegen ClownStrike selbst ab
  • Das Unternehmen erklärte jedoch, dass seine Anti-Fraud-Partner in den vergangenen zwei Wochen mehr als 500 Takedown-Mitteilungen eingereicht hätten, um bösartige Aktivitäten zu unterbinden, die „aktuelle Vorfälle“ ausnutzten
    • Ziel sei es, Kunden und die Branche vor Phishing-Websites und bösartigen Aktivitäten zu schützen
    • Parodie-Websites seien nicht das beabsichtigte Ziel, könnten aber versehentlich betroffen sein, hieß es
    • CrowdStrike erklärte, man werde die Verfahren prüfen und die Anti-Fraud-Aktivitäten gegebenenfalls verbessern
  • Senk kritisierte dies als typische Unternehmensreaktion, die „überhaupt keine Verantwortung übernimmt“
  • Unabhängig von der Erklärung, dass die Parodie-Website nicht beabsichtigt betroffen war, betonte er, dass seine Website tatsächlich beeinträchtigt wurde
  • Auf der ClownStrike-Website kann man durch Anklicken eines CSC-Logos mit Clownperücke Senks Kritik daran sehen, dass Unternehmen Inhalte entfernen lassen wollen, mit denen sie nicht einverstanden sind

Fair Use und parodistische Äußerung

  • Corynne McSherry, Legal Director der EFF, hält es für möglich, dass selbst die Verwendung eines unveränderten Logos unter Fair Use fällt
  • Wenn die Logo-Nutzung eindeutig als Parodie erkennbar ist, sei sie in vielen Fällen legal; auch Gerichte hätten dies bestätigt
  • Da Fair Use per Definition legal ist, hätte CrowdStrike ihrer Ansicht nach prüfen müssen, ob Fair Use vorliegt, bevor das Unternehmen behauptet, die Nutzung sei rechtswidrig
  • Senk argumentiert, seine Website sei eine für vernünftige Menschen klar erkennbare Parodie und es gebe keine kommerzielle Nutzung, keine verkauften Produkte und keine Monetarisierung
  • McSherry hält es zwar für legitim, dass CrowdStrike bösartige und Phishing-Websites ins Visier nimmt; legale Rede zu entfernen, sei jedoch kaum akzeptabel

Cloudflares spätere Haltung und Verfahrenslücken

  • Cloudflare reagierte nicht auf mehrere Anfragen um Stellungnahme, schickte Senk später jedoch eine Nachricht
  • Cloudflare teilte mit, Senks Gegendarstellung nicht erhalten zu haben; problematisch ist das, weil die Frist zur Anfechtung einer Takedown-Mitteilung auf 72 Stunden begrenzt ist
  • Nachdem sich die Nachricht über die Takedown-Anfrage gegen ClownStrike online verbreitet hatte, stieg der Traffic der Website von einigen Hundert Aufrufen auf mehr als 80.000 Unique Visitors
  • Cloudflare erklärte, man habe durch die öffentliche Berichterstattung verstanden, dass Senk auf Basis des parodistischen Charakters der Website berechtigte Einwände vorbringen könne
  • Sollte Senk wieder zu Cloudflare-Hosting zurückkehren und eine berechtigte Gegendarstellung zum Parodiecharakter vorlegen, werde Cloudflare Inhalte nicht allein aufgrund von Meldungen über Markenrechtsmissbrauch entfernen, hieß es
  • Senk erklärte, er habe nicht vor, ClownStrike zu Cloudflare zurückzubringen
    • Eine Bestätigung des Eingangs von Gegendarstellungen
    • Ein Webportal zur Nachverfolgung von Abuse-Meldungen
    • Den Entzug der Meldeberechtigung von CSC wegen unberechtigter Takedown-Anfragen
    • Diese drei Punkte schlug er Cloudflare vor

Risiko übermäßiger Löschungen durch große Plattformen

  • McSherry sieht große Service Provider wie Cloudflare als mögliche Engpässe für Online-Inhalte
  • Wenn Plattformen zu groß werden und viele Meldungen eingehen, wird eine sorgfältige Bearbeitung unabhängig von der Absicht schwieriger, und legale Äußerungen können entfernt werden
  • Sie weist darauf hin, dass es reale Probleme schaffen kann, wenn wenige große Unternehmen übermäßigen Einfluss darauf haben, welche Inhalte online sichtbar sind
  • CrowdStrikes Takedown-Anfrage erfolgte zu einem Zeitpunkt, als ClownStrike als Kommentar zu den Folgen des IT-Ausfalls am relevantesten war
  • Die bis zu zwei Wochen, die eine Wiederherstellung nach einer DMCA-Gegendarstellung dauern kann, könnten dazu führen, dass eine Parodie-Website in der Phase der stärksten Kritik offline erscheint
  • McSherry bewertet den Fall als Beispiel dafür, dass große Unternehmen große Verfahren einsetzen, ohne ausreichend sorgfältig zu sein; das sei inakzeptabel
  • Cloudflares Abuse-Verfahren müssten Fair Use klar berücksichtigen; insbesondere bei Online-Äußerungen sollte der Erhalt legaler Rede der Standard sein

Grenze zwischen DMCA und Markenrechtsstreitigkeiten

  • McSherry nennt als größtes Problem daran, dass CrowdStrike die Parodie-Website „versehentlich“ ins Visier nahm, den Umstand, dass der DMCA kein Verfahren für Markenrechtsstreitigkeiten ist
  • Der DMCA wird breit genutzt, weil er ein einfaches Mittel ist, Inhalte schnell entfernen zu lassen; für Markenrechtsbeschwerden ist er jedoch ursprünglich nicht gedacht
  • Die Erklärung, man sei unachtsam gewesen, bedeute auch, dass vor der Nutzung dieses Verfahrens nicht sorgfältig genug geprüft wurde
  • Senk erklärte, er plane keine rechtlichen Schritte gegen CrowdStrike wegen der unberechtigten Takedown-Mitteilung
  • Er sagte, er wäre zu 100 % zufrieden, wenn CrowdStrike sich öffentlich entschuldige; noch besser wäre es, scherzte er, wenn CrowdStrike-CEO George Kurtz in Clownskostüm ein Entschuldigungsvideo aufnehmen würde

1 Kommentare

 
GN⁺ 2024-08-07
Hacker-News-Kommentare
  • Ich habe die Website vor etwa 20 Jahren erstellt, sie ist jetzt unter https://whatisbifidusregularis.org/ zu finden. Damals wurde ich von Dannon / Danone mit einer Klage bedroht, und ich musste die erste Domain wegen Markenrechten abgeben, habe aber vorher eine 301-Weiterleitung eingerichtet, damit Google den Wechsel mitbekommt
    Das war noch die unschuldigere Zeit vor dem DMCA, als Unternehmen noch nicht gut wussten, wie sie ohne Anwälte ISPs kontaktieren und irgendetwas sperren lassen konnten, und ich hatte viel Spaß an einem ziemlich langen E-Mail-Austausch mit Danones vermutlich sehr teurem Anwalt
    Ursprünglich hatte ich aus Verärgerung darüber, wie lächerlich es war, dass sie ihre wunderbaren Bakterien in der Werbung „Bifidus Digestivum“ nannten, die Website auf bifidusdigestivum.com erstellt und so viel wie möglich recherchiert und geschrieben, damit sie suchmaschinenoptimiert ist und Suchende meine Seite finden. Seitdem gab es etwa 1,5 Millionen Aufrufe, und noch immer kommen 400 bis 500 Besuche pro Monat herein, was mich gelegentlich zum Lachen bringt

    • Der Kommentarbereich wirkt stark nach Astroturfing, besonders weil er rund um 2014 plötzlich begann und dann wieder aufhörte
      Allerdings hörten auch die negativen Kommentare auf, also waren die Leute vor 10 Jahren vielleicht einfach begeisterter von Joghurt
  • Senk hatte sofort das Gefühl, dass der Löschantrag Murks war, und war der Ansicht, dass die Nutzung eines abgewandelten CrowdStrike-Logos auf einer eindeutig parodistischen Website unter Fair Use fallen müsste. Er legte umgehend Widerspruch bei Cloudflare ein, doch Cloudflare bestätigte nicht einmal den Eingang der Gegendarstellung und schickte nur eine zweite Verwarnungs-E-Mail wegen einer Rechtsverletzung
    Ich mag Cloudflare im Großen und Ganzen und halte das Unternehmen für einen guten Akteur, aber das muss unbedingt behoben werden. Das DMCA-System ist ohnehin schon zulasten der kleineren Seite gekippt, und das Mindeste, was ein Hosting-Anbieter wie Cloudflare tun sollte, ist, beide Seiten anzuhören. Im Idealfall sollte er ein neutraler Vermittler sein
    Ich nutze Cloudflare viel und gebe dort jeden Monat ziemlich viel aus, aber das lässt mich zögern, ob ich dort echte Inhalte hosten sollte. Ich selbst habe noch nie direkt einen DMCA-Takedown abbekommen, aber ich kenne Leute, bei denen das Verfahren missbraucht wurde, und es kann jeden treffen
    Ich hoffe, dass Cloudflare nicht Teil des Problems wird. Ich habe lange für ein offeneres Web plädiert, ein Web, das auch von kleinen Einzelpersonen betrieben werden kann, und Cloudflare war fast eines der besten Unternehmen dafür, solche Kreativen zu ermöglichen, also sollte es keine DMCA-Schläger unterstützen oder ihnen Vorschub leisten

    • Es ist schon komisch, dass Unternehmen Takedown-Mitteilungen anderer Unternehmen sehr schnell weiterleiten, die laut DMCA ebenfalls vorgeschriebene Gegendarstellung aber verschleppen oder „vergessen“
      Außerdem habe ich meines Wissens noch nie ein Unternehmen gesehen, das wegen einer falschen DMCA-Takedown-Mitteilung strafrechtlich verfolgt wurde, vermutlich weil man die Absicht nachweisen müsste. Das Gesetz ist lächerlich stark gegen die kleinere Seite gerichtet
    • Ich weiß nicht, wie Cloudflare jemals ein Verfechter des offenen Webs gewesen sein soll. Seit ich das beobachte, war Cloudflare durchgehend eine Bedrohung für das offene Web
    • Cloudflare hat seine Neutralität aufgegeben, als es Daily Stormer abgeschaltet hat. Davor wurde noch diskutiert, ob Cloudflare überhaupt die technische Fähigkeit habe, eine einzelne Website abzuschalten, da sich Inhalte in verteilten Speichern nur schwer entfernen lassen
      Je mehr politische Aktionen Cloudflare unternimmt, desto größer wird der Schaden für das Unternehmen
    • Als ich eine betrügerische Klon-Seite unter einer ".shop"-Domain vom Netz nehmen wollte, war Cloudflare völlig nutzlos, und ich musste am Ende direkt zum Registrar gehen, um die Löschung durchzusetzen
      Außerdem sind Cloudflares wiederholte CAPTCHA-Abfragen extrem nervig, und solche Praktiken sollten als eine Form von Missbrauch bezeichnet werden
  • Ich frage mich, ob man genug Recht günstig lernen kann, um sich gegen solche unseriösen DMCA-Mitteilungen zu wehren. Im Emulationsbereich sieht man oft, dass ein Projekt am Ende geschlossen wird, obwohl das Produkt selbst technisch legal ist, weil die Leute, die das Projekt hosten, wissen, dass sie an den Verteidigungskosten bankrottgehen würden
    Es wäre schön, den Spieß umzudrehen und zu Orten wie N sagen zu können: „Gut, macht nur weiter. Verbrennt ruhig einen Berg Geld mit eurer Rechtsabteilung.“

    • Möglich ist es, aber der größte Nachteil einer rechtlichen Gegenwehr gegen eine gefälschte DMCA ist, dass man dem Melder persönliche Daten offenlegen muss
      Wenn die Identität ohnehin schon öffentlich ist, gibt es nach dem Erlernen des Verfahrens kaum noch weitere Nachteile
    • Um rechtlich vorzugehen, muss man seine Identität faktisch offenlegen, und selbst wenn man alles selbst macht, kostet es Geld
      Das Rechtssystem ist im Kern zugunsten von Unternehmen. Normale Menschen in den USA haben weder Anwälte noch eine Rechtsabteilung, Unternehmen dagegen haben selbst dann, wenn sie im Unrecht sind, faktisch unbegrenzte Ressourcen, um das Beweisverfahren so lange in die Länge zu ziehen, bis die Gegenseite aufgibt oder ihr das Geld ausgeht
      Wie der Autor sagt, ist ein erheblicher Teil des US-Rechtssystems ziemlich unverblümt für Unternehmen ausgelegt
    • In diesem Fall sieht es so aus, als hätte CrowdStrike die Website über Cloudflare auch ohne rechtliches Verfahren offline nehmen können, unabhängig davon, ob die DMCA-Mitteilung gültig war, weil Cloudflare nicht geholfen hat
      Wäre ClownStrike nicht zu einer Nachricht geworden, hätte CrowdStrike denselben DMCA-Trick womöglich auch bei Hetzner weiter versucht
    • Es gibt keinen großen Unterschied. Hosting-Anbieter sind entweder ideologische Kämpfer für freie Meinungsäußerung, denen DMCA völlig egal ist, oder sie kümmern sich um das Löschen, aber nicht um die Wiederherstellung
      Ersteres sind zum Beispiel Anbieter wie njalla, die 5- bis 10-mal teurer sind und deshalb normalerweise nicht genutzt werden, während die tatsächlich häufig genutzten wie Hetzner oder Cloudflare eher zur zweiten Kategorie gehören
    • Es ist an sich nicht schwer, dem Diensteanbieter eine DMCA-Gegendarstellung zu schicken [1]
      Damit sie gültig ist, braucht man die physische oder elektronische Unterschrift des Abonnenten, die Angabe des entfernten oder gesperrten Materials und seines früheren Speicherorts, eine eidesstattliche Erklärung über die gutgläubige Überzeugung, dass es durch Irrtum oder Verwechslung entfernt wurde, Name, Anschrift und Telefonnummer sowie eine Erklärung zur Zustimmung zur Zuständigkeit des Bundesgerichts und zur Annahme der Zustellung
      Damit der Diensteanbieter unter die DMCA-Safe-Harbor-Regelung fällt, muss er Inhalte nach Erhalt der Gegendarstellung allerdings mindestens 10 Tage und höchstens 14 Tage offline lassen. Wenn der ursprüngliche Melder danach eine weitere Mitteilung schickt, dass wegen der Verletzung Klage eingereicht wurde, bleibt der Inhalt offline, bis der Fall geklärt ist
      In vielen Fällen sind schon 10–14 Tage Ausfall viel zu lang, und man möchte dem Melder oder Anbieter womöglich keine Identitätsdaten geben. Auch eine gutgläubige Erklärung unter Strafandrohung wegen Meineids kann abschreckend sein
      Wenn der ursprüngliche Melder wirklich vor Gericht gehen will, wird es mühsam; wenn er nur massenhaft DMCA-Mitteilungen verschickt und keine Folgeschritte unternimmt, kann es in Ordnung sein. Umgekehrt wäre es ebenfalls mühsam, wenn ich versuchen wollte, sie vor Gericht zu zerren
      Man könnte auch versuchen, den Anbieter davon zu überzeugen, dass die ursprüngliche Mitteilung strukturell keine gültige DMCA-Mitteilung ist, aber dafür braucht man einen kooperativen Anbieter. Dieser Fall scheint, soweit man die Zusammenfassung sieht, ein mögliches Beispiel dafür zu sein, dass Markenrechtsverletzung per DMCA geltend gemacht wurde; DMCA behandelt jedoch kein Markenrecht und ist daher strukturell nicht gültig. Der Anbieter ist nicht verpflichtet, das zu bearbeiten, und erhält dadurch auch keinen Haftungsschutz. Es kann zwar Pflichten geben, auf Markenrechtsbeschwerden zu reagieren, aber das wären keine Pflichten, die aus der DMCA entstehen
      [1] https://www.law.cornell.edu/uscode/text/17/512 section (g)(3)
  • Jeder Gerichtsbedienstete, der eine unseriöse DMCA-Mitteilung unterzeichnet, verletzt seinen Eid und kann disziplinarisch belangt werden. In manchen Bundesstaaten scheint das außerdem unter das zivilrechtliche Delikt des barratry zu fallen

    • Ich sehe nicht, dass man für eine DMCA-Mitteilung einen Gerichtsbediensteten braucht
    • Zumindest in Illinois ist barratry eine Straftat
    • Interessant, aber ich weiß nicht, ob man auch nur einen Fall nennen kann, in dem ein Missbrauchstäter wegen einer unseriösen DMCA-Mitteilung tatsächlich sinnvoll bestraft wurde
  • Normalerweise läuft so eine Diskussion darauf hinaus, dass man aufhören solle, sich aufzuregen, weil Hosting-Anbieter gesetzlich verpflichtet seien, auf DMCA-Löschanfragen so schnell wie möglich zu reagieren
    Diesmal behauptete Cloudflare aber, die zwei Gegendarstellungen des Betreibers der Parodieseite nicht erhalten zu haben, und nachdem nach dem Umzug seines Dienstes negative Aufmerksamkeit entstanden war, kam nur eine schwache Antwort, die ungefähr auf „Wir hätten geholfen“ hinauslief. Das war ein vollständiges Versagen

  • Zu versuchen, Markenrecht mit dem Digital Millennium Copyright Act durchzusetzen, ist absurd, und den Antworten nach zu urteilen scheint derselbe Trick auch bei 500 anderen Websites ohne jede Sanktion eingesetzt worden zu sein
    Ich hasse es, dass Unternehmen wegen der Reaktionen auf DMCA-Löschanfragen nun alles in DMCA-Löschanfragen hineindrücken wollen. Schon schlimm genug, dass es benutzt wird, um Anti-Umgehungsbestimmungen zu umgehen, aber Markenrecht fällt in den Bereich völlig anderer Gesetze

    • Sind unbegründete DMCA-Anfragen nicht strafbar?
  • Ich verstehe nicht, warum Unternehmen den Streisand-Effekt immer unbedingt am eigenen Leib lernen müssen
    Diese Parodieseite mit minimalem Aufwand hätte ich sonst nie wahrgenommen, und selbst wenn doch, hätte ich sie wegen der geringen Qualität nicht weitergeteilt
    Aber jetzt habe ich definitiv Interesse daran, diese Seite zu 100 % zu unterstützen und zu verbreiten. Offenbar wurde hier ein Nerv getroffen

  • Zum Zeitpunkt der Diskussion hatte sie vor 5 Tagen 1221 Punkte und 229 Kommentare https://news.ycombinator.com/item?id=41133917

  • Der Satz „[Senk] told Ars he is "a proponent of decentralization."“ klingt komisch, wenn es um jemanden geht, der seine Website bei Cloudflare gehostet hat

    • Man kann nicht bei jeder Entscheidung ideologisch vollkommen konsequent sein. Wir leben in einer unordentlichen Welt
      In diesem Fall kann ich verstehen, wenn er bestehende Technik nutzen wollte, um die Website schnell und stabil online zu bringen, oder wenn er aufgrund des früheren Auftretens von Cloudflare tatsächlich glaubte, dass sie seine Website entschieden verteidigen würden
    • Nur weil man eine bestimmte Idee unterstützt, heißt das nicht, dass man sich persönlich vollständig diesem Lebensstil verschreiben muss. Müssen alle, die Dezentralisierung unterstützen, außerhalb des Stromnetzes leben, selbst Silizium abbauen und ihre Computer bauen?
  • Der Teil „Apparently, Cloudflare never received“ ist ein weitaus größeres Problem als alles andere in diesem Fall