32C3: Das große Jugendschutzfilter-Debakel

Posted on Posted in 32C3 - CCC Event 2015, Hacker News, SecConf

Der Internetaktivist Alvar Freude hat die Kinderschutz-Software der Telekom als rechtswidrig bezeichnet, da sie ungefragt sensible persönliche Daten ins Ausland übertrage. Der ganze Filter- und Alterskennzeichenansatz funktioniere nicht.

Schwere Vorwürfe gegen den Jugendschutzfilter der Deutschen Telekom hat der Kommunikationsdesigner und IT-Berater Alvar Freude erhoben. Bei jedem Systemstart und damit erfolgendem Zugriff auf die “Kinderschutz-Software” des Bonner Konzerns werde neben der IP-Adresse ungefragt die Mac-Adresse der Netzwerkkarte übertragen, monierte der Netzaktivist am Montag auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Die sensiblen personenbezogenen Daten, die als eindeutige Kennung fungieren können, gingen an eine IBM-Tochterfirma ins Ausland. Dies erkläre sich damit, dass Big Blue das Jugendschutzprogramm ursprünglich entwickelt habe.

Der Transfer sei “klar rechtswidrig”, holte Freude weiter aus. Die Software müsse daher “sofort vom Markt”. Dazu komme, dass das Programm offenbar auch das Surfverhalten der Kinder detailliert ausspähe. Zumindest werde seiner Erkenntnis nach eine manuell verschlüsselte Liste aufgerufener Webseiten an einen Telekom-Server gesendet. Der entsprechende Binärblock werde zumindest
entsprechend der Länge einer angesurften URL größer oder kleiner, bedürfe aber noch einer genaueren Analyse.

Besonders brisant ist an dem Tadel, dass die Kinderschutz-Software zu den wenigen Filterprogrammen gehört, die die Kommission für Jugendmedienschutz (KJM) als zuständige Kontrollbehörde offiziell anerkannt hat. Dies trifft laut Freude auch auf ein paar andere Lösungen zu, die vielfach auf die Software JusProg zurückgingen. All diese Programme seien “furchtbar schlecht”, sie stellten nicht mehr als eine “Notlösung” und “Alibi-Funktion” für die Porno-Industrie dar. So würden meist viele Kinder- und Spieleseiten sowie YouTube blockiert. Der Telekom-Filter sei sogar zeitweilig “so schlau gewesen”, alle mit HTTPS verschlüsselten Webangebote zu sperren. Damals sei nicht einmal mehr die Wikipedia gegangen. Inzwischen habe der Rosa Riese diese Grundeinstellung geändert.

Als “angebliche Lösung” für das Problem der Kollateralschäden betrachte die Politik nach wie vor einen Ansatz, bei dem im Idealfall jeder Webseitenbetreiber seine Angebote maschinenlesbar mit einer Altersfreigabe versehe, erklärte der Zensurgegner. Auch der neue, lange umkämpfte Jugendmedienschutz-Staatsvertrag (JMStV) enthalte eine Klausel, wonach jeder kommerziell betriebene Webauftritt mit Alterskennzeichen bestückt werden “soll”. Dies komme rechtlich gesehen einer “Muss”-Verpflichtung mit begründeten Ausnahmen gleich. Selbst E-Books müssten gelabelt werden, gedruckte Buchausgaben dagegen nicht. Die Frage sei nur, ob diese Auflage künftig durchgesetzt werde.

Dass ein Landesparlament die JMStV-Reform erneut ablehnt, wie es 2010 beim vormaligen Anlauf der Fall war, hält Freude für unwahrscheinlich. Sonst stürben auch die geplanten Kindersender von ARD und ZDF, die ein Prestigeprojekt der Länder darstellten und an den Vertrag gekoppelt seien. Sollte die Landespolitik nicht umdenken, müsse der Bereich Jugendmedienschutz zumindest auf den Bund verlagert werden, forderte der Experte. Dort habe man weniger Ansprechpartner und könne ein Gesetz gegebenenfalls schneller ändern.

Die Alterseinstufung funktioniert nach Ansicht Freudes generell nicht. Das System sei aufwändig, kostenintensiv, diskriminierend, nicht ernsthaft international einsetzbar und ignoriere Echtzeitkommunikation wie Chats. Schier alle über die Jahre hinweg entwickelten einschlägigen technischen Versuche seien gescheitert.

Diese These versuchte der Aktivist mit einer kleinen Feldstudie zu untermauern. Er habe dabei rund 4,5 Millionen Webseiten getestet, von denen weltweit nur 1662 beziehungsweise 0,036 Prozent entsprechend gekennzeichnet gewesen seien. Bei den enthaltenen deutschen Angeboten habe dies auch nur für 0,22 Prozent, selbst bei Kinderseiten nur für 0,68 Prozent zugetroffen. Das Auslesen des einschlägigen “age-de.xml”-Merkmals habe eine Bank in Hongkong sogar dazu veranlasst, eine Missbrauchsmeldung auszulösen. Die Zahl der Nutzer, die ein “anerkanntes” Filterprogramm installiert haben, sei parallel verschwindend gering.

Die Folge sei, dass Jugendschützer und KJM-Vorsitzende bereits wiederholt nachvoreingestellten Porno-Zwangsfiltern mit Opt-out-Möglichkeit nach britischem Vorbildgerufen hätten, warnte Freude. Noch lehnten die Bundesländer diesen Weg zwar ab, doch aus der Ecke “Websperren” drohe immer wieder neues Ungemach. Hier gelte es frühzeitig gegenzusteuern.

Quelle:heise.de

Facebooktwittergoogle_plus