Leaker des deutschen Web-Index: „Die veralteten Porno-URLs gehören ins Museum.“

Am Montag hat ein Hacker die geheime Sperrliste veröffentlicht, mit der die Bundesprüfstelle für jugendgefährdende Medien versucht verbotene oder jugendgefährdende Inhalte im deutschen Internet unsichtbar zu machen.

Laut dem anonymen Leaker lassen sich die Seiten in die zu erwartenden Kategorien einteilen: „Normale Pornographie, Tierpornos, Kinder- und Teenpornographie, Gewalt, Nazis und Magersucht." In einem längeren Austausch rechnete mir der Leaker aber auch vor, dass die Liste seiner Meinung nach ohnehin weit weniger als ein Prozent aller pornographischen Inhalte abdecke.

Ein Blick auf die nun veröffentlichten 3.000 URLs zeigt neben den üblichen, unangenehmen und illegalen Seiten des Internets aber auch die Ineffizienz solcher Web-Zensur: Über die Hälfte der indizierten Webseiten führt längst ins Leere. Und unter dem Rest finden sich haarsträubende technische Fehler, einige absurd-harmlose Webseiten und auch übermotivierter Zensurbeifang, der weit über das eigentliche Ziel hinaus schießt. Kritiker sehen sich nach dem Leak auch in ihren  Vorwürfen des Overblocking bestätigt.

Die Behörde hat die Echtheit der Liste inzwischen  bestätigt und gleichzeitig Strafanzeige gegen den unbekannten Leaker gestellt. Und nicht nur das: Sie droht auch mit Strafantrag gegen mehrere Medien, die in ihren Berichten auf die Leak-Webseite verlinkt hatten. Die BPjM befürchtet im Einklang mit ihrem gesetzlichen Auftrag, dass die Liste sich als „Hitliste" entpuppen könnte und sich Kinder und Jugendliche „Zugang zu gerade diesen Medien verschaffen."

Das Blog Netzpolitik sah sich daraufhin das erste Mal in seiner Geschichte genötigt, einen  Link zu entfernen. Man sei aufgefordert worden, den Link auf den „BPjM-Leak" beim Freehoster Neocities zu deaktivieren, wie Andre Meister doppeldeutig schreibt.

Seit vorgestern Mittag war dann auch die Leak-Seite selbst nicht mehr über Suchmaschinen aus Deutschland auffindbar—zumindest nicht ohne Circumvention-Tools. Denn online ist die Seite bis heute.

Ich habe in den vergangenen Tagen mehrfach mit dem anonymen Leaker kommuniziert, um mehr über seine Motivation und seinen Leak zu erfahren. Nach längerer redaktioneller Diskussion haben auch wir uns bei VICE dazu entschieden, keine Links auf die entsprechende Webseite des Leakers zu setzten. Auch die Seiten auf dem Index können wir nur in Teilen darstellen (selbst wenn die Begründung für eine Indizierung in manchen Fällen möglicherweise gesundem Menschenverstand zuwider läuft) und auch über zu viele Details zur technischen Realisierung des Leaks können wir nur eingeschränkt berichten.

Auf keinen Fall wollen wir hier die harmlos-absurden Seiten verschweigen, die es auf den Index geschafft haben, und die in den vergangenen Tagen nun wohl mit einem unverhofften Traffic-Anstieg gesegnet wurden:

• Auf einer Blog-Seite mit dem Titel Frauenhaus findet sich zum Beispiel sträflich dummer Maskulinismus: „Ein Mann hat dasselbe Recht, den Klodeckel oben zu lassen, wie die Frau hat, den Klodeckel nach unten zu klappen."
• Eine Seite auf Bible.org philosophiert über Weisheit und Kindererziehung. Solltest du diesen Inhalt tatsächlich gefunden haben, wirst du hier nicht mit persönlich inspirierten Erfahrungen verschont, die begründen, warum die Rute gerecht sei.
• Und dann wäre da noch die Sell Liste von Discogs. Ja genau, tatsächlich ist die allgemeine Verkaufsseite des vielgenutzten Ebay für Schallplatten gesperrt.

Der Index von über 3.000 URLs bildet die Grundlage für Kinderschutzfunktionen in bestimmten Router-Modellen von Fritzbox und wird auch verschlüsselt an Suchmaschinenbetreiber geschickt, die die Seiten dann unauffindbar machen. Mit Reverse-Engineering von den Quell-Listen verschiedener Kinderschutzsoftware ist es dem Leaker gelungen die Liste zu ermitteln.

Der Leaker machte sich dabei nicht reine Rechenkraft zu Nutze, sondern nahm einen gezielteren Abgleich mit Listen von vermuteten Domains vor. Er erläutert mir und auch auf seiner Webseite ausführlich, warum er „ziemlich sicher [ist], dass die Liste, die ich gepostet habe mehr als 99 Prozent des BPjM Moduls abdeckt. Aufgrund zahlreicher Duplikate ist die eigentliche Liste lediglich etwas länger."

Bis zum Jahr 2003 waren die Index-Sublisten C und D, mit denen die BPjM Medien im Internet (sogenannten Telemedien) regelt, noch öffentlich abrufbar. Eine Liste der indizierten Videos, Bücher und CD's ( Trägermedien) kannst du übrigens noch heute auf Anfrage in öffentlichen Bibliotheken einsehen. Falls dich die Verbote von vor 2003 interessieren, so sei es deiner Suchmaschinenkreativität überlassen dir die entsprechenden Listen aller Medien im Internet zu besorgen.

Die Klagedrohung auf Grund des Setzen eines Links ist mindestens rechtlich umstritten, vermutlich sogar fragwürdig, wie mehrere Juristen gegenüber Netzpolitik ausführten. Allerdings warnt Sönke Hilbrans: „Auch experimentelle Rechtsansichten können überzeugte Strafverfolger finden."

Auf meine Anfrage hat das BPjM bis heute nicht reagiert. Sollte ich von der Behörde Antworten erhalten, werde ich diese hier einfügen. Das Löschen von kinderpornographischen Inhalten hat sich übrigens durchaus erfolgreich bewährt, wie die BPjM selbst in ihrem Jahresbericht belegt—über die Umstände und Nebeneffekte einer oberflächlichen Zensur habe ich mich mit dem anonymen Leaker unterhalten.

Was hältst du von der Klagedrohung der Behörde?

Ich weiß gar nicht, was ich dazu sagen soll. Ich möchte jedenfalls lieber anonym bleiben. Eigentlich habe ich aber gar nichts besonderes getan. Jeder mit ein bisschen Computer-Basiswissen und etwas Neugier, wäre in der Lage gewesen diese Daten zu sammeln.

Die Hausaufgaben im ersten Semester eines Informatikstudiums sind schwieriger.

Ich kann nicht glauben, dass niemand zuvor auf diese Idee gekommen ist. Es ist absurd, dass die Behörden das BPjM-Modul nach all diesen Jahren immer noch für vollständig sicher halten.

Warum hast du die gesperrte Liste geleakt?

Ich habe das vor allem aus technischer Neugier gemacht. Ich bin zufällig auf die gehashede md5 gestoßen. Nachdem ich manuell ein paar Links probierte, die ich auf der Liste vermutet hatte, war das Prinzip der verschlüsselten Übertragung irgendwann klar und ich habe das Funktionsprinzip des BPjM-Moduls wie ein Puzzle wieder zusammengesetzt.

Ich halte Internet-Zensur für falsch. Wenn es auf einem Webserver wirkliche schlimme Inhalte wie zum Beispiel Kinderpornographie gibt, dann sollten diese gelöscht und die Produzenten bestraft werden. Das ist möglich. Aber einfach nur eine schwarze Liste zu erstellen und so zu tun, als hätte man alles getan, was möglich wäre? Das reicht nicht. [Update: In einem Interview gegenüber Netzpolitik merkt der Leaker an, dass er Links zu Kinderpornographie von der Liste entfernen würde, sollte er von den genauen URLs Kenntnis erhalten.]

Aber die Liste hat doch geholfen den Zugang zu bestimmten Inhalten zu erschweren?

Kommerzielle schwarze Listen haben normalerweise viele Millionen Einträge. Momentan gibt es über 300.000 .com-Domains da draußen, die Sex enthalten. Natürlich findet sich nicht auf allen Pornographie—aber das gibt dir einen Richtwert. Diese BPjM Liste mit viel weniger als einem Prozent pornographischer Webseiten ist einfach nur dumm.

Neben den Inhalten, die unter Strafrecht oder Jugendschutz fallen, hält die Liste doch aber auch einige wundersame Einträge bereit? Welche Zensur-Fails gefallen dir besonders gut?

Ich finde es lustig, dass Beamten nicht zu wissen scheinen, dass irgend.ein.name.*** kein Platzhalter für eine ganze Webseite-Gruppe ist. Stattdessen wird mit dem Eintrag auf der Liste nur genau diese eine Domain geblockt.

An manchen Stellen haben die aufgelisteten URLs auch einfach zu viele, gar keine oder falsche Slashes, so dass die Zensur technisch unmöglich wird. Für mich sieht das fast so aus als würde sich da ein Kommittee ausgedruckte Webseiten anschauen und dann entscheiden, was zensiert wird.

Auf der Liste finden sich auch Webseiten von angestaubten oder längst veralteten Porno-Pages aus den 90ern. Da gibt es URLs, die könnten in einem Museum ausgestellt werden. [Der Leaker nennt hier einige URLs; nach längerer interner Diskussion haben wir uns entschieden diese Seiten, die höchstens zu schmutzigen Schulhofwitzen der 1990er beitrugen, aufgrund der Klageandrohung der Behörde nicht zu nennen]

Wie lange hast du für den Leak gebraucht?

Insgesamt hat sich die Arbeit über mehrere Monate hingezogen. Aber alles in allem habe ich nur rund 30 Stunden daran gesessen. In jedem Monat wurde eine neue Liste veröffentlicht und ich hatte neue gesperrte Einträge zum entschlüsseln.

Ich war mir gar nicht sicher, wie ich damit umgehen sollte. Alles für mich behalten? Die Daten Wikileaks oder dem Spiegel zukommen lassen? Oder einen Artikel unter meinem bürgerlichen Namen schreiben, in dem ich die geanzen Daten veröffentliche und die technischen Details liefere?

Ist es nicht moralisch falsch, diese nach dem Gesetz geheime Liste zu veröffentlichen und dadurch Aufmerksamkeit auf diese Seiten zu lenken?

Ich bin mir sicher, dass es irgendwo auf der Liste auch Seiten mit Kinderpornographie gibt. Die wirkliche Schande ist aber doch, dass diese Seiten den Behörden bekannt sind, diese jedoch nichts Substantielles dagegen unternehmen.

Das Dokument stellt eine veraltete Auswahl von nur 3000 Domains da und ist einfach lächerlich. Die negativen Aspekte wie Kosten, der Aufbau einer Struktur zur Web-Zensur und das Overblocking überwiegen die positivien Folgen um ein Vielfaches.

Hältst du weitere Leaks in der Zukunft für richtig, wenn sich nichts verändert?

Für mich war die Aktion nicht nur eine technische Herausforderung, ich will damit auch für eine gute Sache kämpfen. Es ist nicht in Ordnung, wenn staatliche Beamte ohne einen Gerichtsentscheid festlegen, welche Webseiten gut und schlecht sind.

Allerdings würde ich eine Welt ohne Internet Zensur und allgemein ohne Zensur bevorzugen. So etwas kann jedoch nur erreicht werden, wenn das Thema bekannter wird und „Circumvention Tools" so weit verbreitet sind, dass Zensur einfach keinen Sinn mehr macht.