1 Punkte von GN⁺ 2025-08-25 | 1 Kommentare | Auf WhatsApp teilen
  • Ein großer deutscher Internet-Service-Provider (ISP) hat kürzlich die Funktionsweise seines DNS geändert, kurz nachdem seine interne Organisation CUII öffentlich gemacht wurde
  • Da CUII keine Liste blockierter Websites veröffentlicht, hat der Autor eine Website erstellt, mit der sich eine Blockierung prüfen lässt
  • Um die Blockierung zu verbergen, begannen ISPs, in DNS blockierte Websites so darzustellen, als würden sie nicht existieren
  • Kürzlich blockierte Telefonica seine eigene Test-Domain und besuchte danach die Website des Autors, um zu prüfen, ob die Erkennung funktioniert
  • Daraufhin verschleierte Telefonica das Blockierungssignal, wodurch Transparenz und Kontrolle geschwächt wurden

Deutscher ISP: Hintergrund zur DNS-Manipulation rund um die CUII-Sperrliste

Einer der bekanntesten deutschen ISPs hat das Verhalten seines DNS geändert, unmittelbar nachdem die Existenz seiner internen Organisation (CUII) öffentlich gemacht wurde.
Die CUII (Clearingstelle Urheberrecht im Internet) entscheidet darüber, ob Websites gesperrt werden, und ist eine private Organisation, in der große ISPs und Rechteinhaber ohne rechtliche Prüfung oder Transparenz eigenständig eine Liste verwalten.
Da CUII die Sperrliste nicht öffentlich zugänglich macht, entwickelte der Autor eine Website, auf der jeder gesperrte Domains nachschlagen kann: cuiiliste.de.
Die vier größten deutschen ISPs – Telekom, Vodafone, 1&1 und Telefonica (o2) – sind alle Teil der CUII.

Wiederholte Fehler der CUII und Änderungen bei DNS-Sperren

Netzpolitik.org berichtete kürzlich auf Grundlage von Informationen des Autors über Fehler der CUII, bei denen sogar bereits abgeschaltete Domains blockiert wurden.
Bisher wurden Anfragen zu gesperrten Websites über ISP-DNS auf notice.cuii.info umgeleitet, sodass sich die Blockierung leicht erkennen ließ.
CUII begann jedoch, diese Prüfmöglichkeit zu unterbinden, um die Sperrliste geheim zu halten.
Einige ISPs tarnen im DNS blockierte Websites inzwischen so, als existierten sie überhaupt nicht.
Eine Ausnahme war Telefonica (o2), das weiterhin Antworten über notice.cuii.info nutzte.

Zugriffe von einer Blog-Website zur Prüfung einer Domain-Sperre

Auf cuiiliste.de kann jeder prüfen, ob eine eingegebene Domain von CUII blockiert wird – getrennt nach ISP.
Nachdem Telefonica seine eigene Test-Domain blau-sicherheit.info blockiert hatte, besuchte das Unternehmen aus dem eigenen Netzwerk die Website des Autors, um zu testen, ob sich die Sperre erkennen lässt.
Das Tool des Autors erkannte korrekt, dass diese Domain von CUII blockiert wurde.

  • Das DNS von Telefonica antwortete für die Test-Domain mit einer Blockierung
  • Aus dem Telefonica-Netzwerk wurde die Website des Autors aufgerufen
  • Die Sperrerkennung war erfolgreich

Umstellung der Sperrmethode bei Telefonica und Verdacht auf Behinderung der Website des Autors

Etwa zwei Stunden später änderte Telefonica seine DNS-Sperrmethode von einer Umleitung auf notice.cuii.info zu einer Antwort, dass die angefragte Domain nicht existiere.
Dadurch erkannte das System des Autors fälschlich die Aufhebung von hunderten Sperren, sodass ein dringender Fix nötig wurde.
Auch nach dem Patch wurde die Erkennung von Sperren schwieriger.
Um Fälle zu unterscheiden, die nicht auf CUII-Sperren, sondern auf andere Gründe zurückgehen (z. B. Terrorismusbezug), erfolgt nun ein Abgleich mit einer Liste von nicht durch CUII blockierten Domains.

Hintergrund und das Problem sinkender Transparenz

Diese Änderung lässt sich so erklären, dass CUII in einer Phase der Kritik wegen ungenauer Sperren Überwachung und Transparenz gezielt umgehen wollte.
Letztlich führt dies zu einer Schwächung des öffentlichen Informationsrechts und der Kontrollmechanismen und schafft eine Struktur, die nur CUII und den ISPs nützt.

Verwandte Artikel und Referenzlinks

1 Kommentare

 
GN⁺ 2025-08-25
Hacker-News-Kommentare
  • In Deutschland gibt es die Clearingstelle Urheberrecht im Internet (CUII), eine private Organisation rund um Internet-Urheberrecht, die Website-Sperren entscheidet; ein Konstrukt, in dem ISPs und große Rechteinhaber ohne Richter und ohne Transparenz festlegen, was man sehen darf. Laut ihrer offiziellen Seite (cuii.info/en/about-us/) heißt es jedoch, man „koordiniere die Durchführung gerichtlicher Sperrverfahren und die Vollstreckung gerichtlicher Anordnungen“, also wirke es so, als würden nur Gerichtsbeschlüsse umgesetzt; allein diese Formulierung schließt andere Sperren aber nicht aus.
    • Der Blogbeitrag wurde geschrieben, bevor die Seite geändert wurde. In der Version im Webarchiv wird CUII als unabhängige Stelle in Deutschland beschrieben, die fair prüft, ob Sperren von klar urheberrechtsverletzenden Websites rechtmäßig sind. Geht ein Antrag ein, empfiehlt ein Prüfgremium DNS-Sperren nur dann, wenn einstimmig eine „offensichtliche Urheberrechtsverletzung“ vorliegt; diese Empfehlung wird an die Bundesnetzagentur (BNetzA) weitergeleitet. Nach Prüfung durch die BNetzA und sofern keine Probleme vorliegen, werden ISPs zur Sperre angewiesen. In einem neuen Blogbeitrag derselben Autorin zur aktuellen Version heißt es nun, dass nur noch Sperren nach Gerichtsbeschluss koordiniert werden: „Keine geheimen Abstimmungen mehr, keine Zensur durch Unternehmen; die neue Website-Version erklärt, dass nur noch rechtliche Sperranordnungen umgesetzt werden.“
    • Der Blogbeitrag wurde im Februar geschrieben; danach stellte CUII von einem Verfahren um, bei dem eine interne Gruppe willkürlich sperrte, bis ein Gerichtsbeschluss vorlag, auf ein Verfahren, bei dem strikt nur die in Gerichtsbeschlüssen genannten Domains gesperrt werden. Früher wurde unter Verweis auf „ähnliche frühere Fälle“ auch ohne Gerichtsbeschluss gesperrt, doch nach Hinweisen der Aufsicht wurde dieses willkürliche Sperren ohne gerichtliche Anordnung eingestellt.
    • Das ist ein bisschen wie: „Früher war die Politik sehr korrupt; heute ist sie es immer noch, aber früher war es schlimmer.“
    • Der Titel ist irreführend. Tatsächlich wurde nicht die DNS der Website der Autorin gesperrt, sondern CUII sperrte die DNS der eigenen Seite selbst, damit die Autorin testen konnte, wie sie DNS-Blacklists erkennt; danach wurde die Strategie geändert.
  • Man sollte berücksichtigen, dass sich das CUII-Sperrverfahren inzwischen von einer willkürlichen Unternehmensentscheidung zu einem auf Gerichtsbeschlüssen basierenden Verfahren verändert hat. Zugehöriger Blog
    • Schade ist, dass die früher gesperrten Domains weiterhin auf der Liste bleiben.
    • Laut dem gerade verlinkten Artikel wird die problematische bzw. bösartige Sperrliste derzeit weiterhin beibehalten, es kommen nur keine neuen Einträge hinzu.
    • Ich frage mich, wie man wissen soll, ob CUII wirklich aufgegeben hat oder nur so tut, bis es eine Methode gefunden hat, Sperren vor Beobachtung zu verbergen.
  • Im Westen wurde traditionell über Urheberrecht zensiert; wenn es unter dem Vorwand von Geld oder Geschäft geschieht, wird es nicht als Zensur betrachtet. Heute erzwingen die USA Selbstzensur durch Macht und Ausschlussmechanismen (z. B. Nachteile im öffentlichen Dienst, Einreisebeschränkungen in die USA usw.), und Europa findet wieder eine andere Methode. Da alle Sicherheit und Kontrolle wollen, scheint inzwischen nur noch eine technische Lösung als Antwort zu gelten; rechtliche oder politische Wege funktionieren nicht. Freiheit ist zu einer „sinnlosen Mode“ geworden, und selbst diejenigen, die sie fordern, wollen am Ende nur Freiheit für sich selbst. Die Ironie, mit Menschen zu posieren, die auf der Erde inhaftiert wurden, weil sie „ohne Erlaubnis gereist“ sind, während man zugleich davon spricht, die Menschheit ins All zu bringen. Deshalb braucht man als technikinteressierter Mensch, den solche Zensur beschäftigt, neue Werkzeuge statt bestehender Websites; der Mainstream wird letztlich immer so kontrolliert werden, wie es die Herrschenden wollen.
    • Früher wollte ich das über Gesetze lösen, heute kann ich mich eher mit technischen Lösungen anfreunden. In den 90er- und 2000er-Jahren fanden junge Menschen einen Ausweg im Internet, wenn die Freiheit im realen Raum eingeschränkt wurde. Ein Haus zu bauen oder ein Startup zu gründen war schwer, aber eine Website zu erstellen war vergleichsweise frei. Heute greifen Regierungen und Interessengruppen auch ins Internet ein, und die Freiheit von früher ist verschwunden. AI-Inhalte und Bots, schlechte Auffindbarkeit über Suche und menschliche Verifikation machen das Internet immer erstickender. Deshalb erscheint es notwendig, neue Netzräume wie freenet, yggdrasil, alfis, gemini, reticulum oder B.A.T.M.A.N. zu schaffen; und solche Orte machen auch Spaß. Es wird zudem dauern, bis Regierungen auch dorthin nachziehen.
    • Ich lebe in den USA und teile die heutige Freiheitsentwicklung nicht. Ich unterstütze die Prinzipien, für die die USA einmal standen oder zumindest stehen wollten. Einzelne Polizisten oder Soldaten verteidige ich, aber nicht die autoritären Befehle, die sie ausführen sollen. Viele sind für Recht und Ordnung und zum Schutz aller in den Dienst gegangen, nicht weil sie Schlechtes tun wollten; es fühlt sich eher so an, als würde die Struktur sie dazu zwingen. Das Gerrymandering-Gesetz in Texas wurde verabschiedet, und man sollte nicht nur auf Selbstkorrektur hoffen. Vorstöße ins All halte ich für eine Herausforderung, die sich lohnt, solange Leben und andere Räume nicht geschädigt werden. Alles Leben muss sich am Ende aus irgendeinem Grund bewegen.
    • Auf die Aussage „Diese Website selbst handelt von Zensur; wer sich dafür interessiert, sollte keine Websites mehr benutzen; man braucht neue Werkzeuge; der Mainstream wird letztlich von den Herrschenden kontrolliert“ fällt es mir schwer, mir konkret vorzustellen, wie das aussehen soll. Zeitlich wirkt es auch so, als sei es bereits zu spät. Geräteattestierung wird zunehmend erzwungen, und Passkeys werden ebenfalls schnell eingeführt. Man kann zwar alternative Protokolle schaffen, aber nur, solange Machtgruppen sie dulden. Signal, VPNs, BitTorrent und Tor könnten irgendwann ebenfalls blockiert werden. Wenn am Ende die Mehrheit Geräte benutzt, die von Big Tech wie Apple oder Google kontrolliert werden, bringt womöglich kein Protokoll mehr etwas.
    • Interessanter Gedanke, dass kommerzielle Zensur weithin akzeptiert wird, Zensur „zum öffentlichen Wohl“ aber im Kern vielleicht gar nicht so anders ist. Am Ende besteht immer das Risiko, dass Freiheit übermäßig beschnitten wird.
    • Zu der Formulierung „Im Westen geschah Zensur über Urheberrechte; wenn es um Geld und Geschäft ging, galt es nicht als Zensur“: Ich finde, die beiden Sätze widersprechen sich. Zensur über Urheberrecht und Rechteansprüche aus geschäftlichen Motiven sehen letztlich gleich aus. Dass traditionell nur das eine nicht als Zensur gegolten haben soll, wirkt logisch widersprüchlich.
  • Je mehr Zensur es gibt, desto größer wird der Anreiz, wirklich zensurresistente Protokolle aufzubauen, in die ISPs nicht eingreifen können.
    • Solche Protokolle oder Gegenmaßnahmen existieren bereits, etwa DNSSEC pro Website oder DoT/DoH auf Nutzerseite, wodurch sich bösartige Antwortmanipulationen durch ISPs verhindern lassen. Praktisch sind sie jedoch nicht breit im Einsatz, und ISPs können zu schwerer zu umgehenden Zensurmitteln wie SNI-Inspektion oder IP-Sperren greifen.
    • Letztlich hängt alles von der physischen Netzwerkschicht ab. Wer diese Ebene kontrolliert, kann Kommunikation jederzeit blockieren. Das einzige wirklich ISP-unantastbare Protokoll würde eine riesige Armee erfordern, und diese Armee müsste man dann so motivieren, dass sie nicht selbst stört.
    • Beispiele für bereits existierende Protokolle wären: mit einem I2P-Router ein Darknet aufbauen, mit Yggdrasil ein verteiltes privates Internet der nächsten Generation aufbauen oder ganz einfach verschlüsseltes DNS (Njalla DNS, Mullvad DNS) beziehungsweise ein gutes VPN wie Mullvad verwenden. Parallel dazu sollte man auch für datenschutzfreundliche Politik stimmen und Abgeordneten schreiben.
    • Es gibt auch das Problem, dass sich alternative Protokolle im praktischen Einsatz nur schwer breit durchsetzen. In normalen Zeiten kann man allein durch ihre Nutzung bereits zum „Ziel“ werden; oft werden solche Werkzeuge erst nach Katastrophen oder großen Krisen massenhaft angenommen.
    • Mehr Zensur sollte eher ein Grund sein, bessere Regierungen zu wählen, statt nur nach Umgehungslösungen zu suchen. Eine Diktatur hinzunehmen und nur Umgehungswege zu bauen, ist problematisch.
  • Die Umgehungstipps auf dieser Seite empfehlen meist große öffentliche Resolver. Falls die Autorin HN liest, wäre es gut zu wissen, welche Domains von 9.9.9.9, 1.1.1.1 und insbesondere vom DNS4EU-Dienst blockiert werden.
    • Reaktion darauf, dass man von DNS4EU noch nie gehört habe; geteilt wurde der Link joindns4.eu/about.
    • Ich frage mich, welche DNS-Server-Software DNS-Anbieter wie dns4eu oder nextdns einsetzen, also etwa nsD, bind oder Eigenentwicklungen.
  • Angesichts des heutigen Trends zu verschärfter Urheberrechtsdurchsetzung und Torrent-Jagd frage ich mich bei Protons Entscheidung zum Umzug nach Deutschland wegen des schweizerischen Systems, wie genau das zu verstehen ist. Dass der Betrieb aus Datenschutzgründen schwieriger wird, leuchtet ein, aber warum man ausgerechnet Deutschland gewählt hat, verstehe ich nicht. Ich habe mir den neuen Schweizer Gesetzesentwurf nicht genau angesehen, aber wenn er noch problematischer als die deutsche Regulierung sein soll, frage ich mich, worin genau. (Mullvad sitzt übrigens in Schweden.)
    • Als Schweizer habe ich es nicht im Detail verfolgt, aber soweit ich weiß, soll das neue Gesetz eine Pflicht zur sechsmonatigen Speicherung von Nutzerdaten bringen. Das ist natürlich nicht erfreulich, aber die EU fordert fortlaufend Backdoors in Verschlüsselung, was noch schwerwiegender ist. Deshalb ist meine Deutung, dass Proton vor allem Kosten sparen will und das Schweizer Gesetz eher als Vorwand dient.
  • Wenn eine Domain „beschlagnahmt“ wird, frage ich mich, ob der neue „Eigentümer“ dann die Verlängerungsgebühr zahlt. Falls ja: Könnte man Kopien gesperrter Domains auf Vanity-TLDs mit hohen Verlängerungskosten registrieren, sie bekannt machen und daraus Profit schlagen?
    • Hier werden Domains nicht beschlagnahmt, sondern nur gesperrt. Manipuliert werden lediglich die Nameserver-Antworten auf den Standard-DNS-Servern der ISPs. Selbst wenn die Polizei eine Domain beschlagnahmen würde, würde sie nicht wie bei einem Mietwagen auch noch die laufenden Gebühren übernehmen.
    • Eine Domain-Beschlagnahme könnte prozessual mehr kosten; Website-Sperren haben in der Regel nichts mit ICANN zu tun, und der Betreiber behält das Eigentum an der Domain. Die ISP manipulieren nur die Ergebnisse von DNS-Anfragen, weshalb sich das relativ leicht umgehen lässt.
    • Ich glaube nicht, dass Regierungen bei einer Domain-Beschlagnahme tatsächlich Geld zahlen.
    • Nach Schritt 1 (eine TLD schaffen) wirkt der Rest der Idee ein wenig wie „zeichne den Rest der Eule“.
  • Deutschland ist in solchen Fragen wirklich rückständig. Fähige Ingenieure sollten in freiere Länder auswandern.
    • Reaktion darauf mit der Frage, wie ein freieres Land denn definiert sei.
    • Das passiert bereits.
    • Die Ansicht, dass auch die USA in der Trump-Ära keine freie Welt seien.
  • Frage, ob sich diese Form der Zensur einfach durch die Nutzung öffentlicher DNS-Server wie 8.8.8.8 umgehen lässt.
    • Auch das Betreiben eines eigenen DNS-Resolvers wie unbound ist eine Alternative.