- Ein großer deutscher Internet-Service-Provider (ISP) hat kürzlich die Funktionsweise seines DNS geändert, kurz nachdem seine interne Organisation CUII öffentlich gemacht wurde
- Da CUII keine Liste blockierter Websites veröffentlicht, hat der Autor eine Website erstellt, mit der sich eine Blockierung prüfen lässt
- Um die Blockierung zu verbergen, begannen ISPs, in DNS blockierte Websites so darzustellen, als würden sie nicht existieren
- Kürzlich blockierte Telefonica seine eigene Test-Domain und besuchte danach die Website des Autors, um zu prüfen, ob die Erkennung funktioniert
- Daraufhin verschleierte Telefonica das Blockierungssignal, wodurch Transparenz und Kontrolle geschwächt wurden
Deutscher ISP: Hintergrund zur DNS-Manipulation rund um die CUII-Sperrliste
Einer der bekanntesten deutschen ISPs hat das Verhalten seines DNS geändert, unmittelbar nachdem die Existenz seiner internen Organisation (CUII) öffentlich gemacht wurde.
Die CUII (Clearingstelle Urheberrecht im Internet) entscheidet darüber, ob Websites gesperrt werden, und ist eine private Organisation, in der große ISPs und Rechteinhaber ohne rechtliche Prüfung oder Transparenz eigenständig eine Liste verwalten.
Da CUII die Sperrliste nicht öffentlich zugänglich macht, entwickelte der Autor eine Website, auf der jeder gesperrte Domains nachschlagen kann: cuiiliste.de.
Die vier größten deutschen ISPs – Telekom, Vodafone, 1&1 und Telefonica (o2) – sind alle Teil der CUII.
Wiederholte Fehler der CUII und Änderungen bei DNS-Sperren
Netzpolitik.org berichtete kürzlich auf Grundlage von Informationen des Autors über Fehler der CUII, bei denen sogar bereits abgeschaltete Domains blockiert wurden.
Bisher wurden Anfragen zu gesperrten Websites über ISP-DNS auf notice.cuii.info umgeleitet, sodass sich die Blockierung leicht erkennen ließ.
CUII begann jedoch, diese Prüfmöglichkeit zu unterbinden, um die Sperrliste geheim zu halten.
Einige ISPs tarnen im DNS blockierte Websites inzwischen so, als existierten sie überhaupt nicht.
Eine Ausnahme war Telefonica (o2), das weiterhin Antworten über notice.cuii.info nutzte.
Zugriffe von einer Blog-Website zur Prüfung einer Domain-Sperre
Auf cuiiliste.de kann jeder prüfen, ob eine eingegebene Domain von CUII blockiert wird – getrennt nach ISP.
Nachdem Telefonica seine eigene Test-Domain blau-sicherheit.info blockiert hatte, besuchte das Unternehmen aus dem eigenen Netzwerk die Website des Autors, um zu testen, ob sich die Sperre erkennen lässt.
Das Tool des Autors erkannte korrekt, dass diese Domain von CUII blockiert wurde.
- Das DNS von Telefonica antwortete für die Test-Domain mit einer Blockierung
- Aus dem Telefonica-Netzwerk wurde die Website des Autors aufgerufen
- Die Sperrerkennung war erfolgreich
Umstellung der Sperrmethode bei Telefonica und Verdacht auf Behinderung der Website des Autors
Etwa zwei Stunden später änderte Telefonica seine DNS-Sperrmethode von einer Umleitung auf notice.cuii.info zu einer Antwort, dass die angefragte Domain nicht existiere.
Dadurch erkannte das System des Autors fälschlich die Aufhebung von hunderten Sperren, sodass ein dringender Fix nötig wurde.
Auch nach dem Patch wurde die Erkennung von Sperren schwieriger.
Um Fälle zu unterscheiden, die nicht auf CUII-Sperren, sondern auf andere Gründe zurückgehen (z. B. Terrorismusbezug), erfolgt nun ein Abgleich mit einer Liste von nicht durch CUII blockierten Domains.
Hintergrund und das Problem sinkender Transparenz
Diese Änderung lässt sich so erklären, dass CUII in einer Phase der Kritik wegen ungenauer Sperren Überwachung und Transparenz gezielt umgehen wollte.
Letztlich führt dies zu einer Schwächung des öffentlichen Informationsrechts und der Kontrollmechanismen und schafft eine Struktur, die nur CUII und den ISPs nützt.
Verwandte Artikel und Referenzlinks
- Netzpolitik.org: Provider verstecken, welche Domains sie sperren
- Weitere Referenzen und Quellen siehe Literaturverzeichnis am Ende des Originalartikels
Noch keine Kommentare.