Die 10 gefährlichsten Schwachstellen in Webanwendungen

Die Experten des Open Web Application Security Project (OWASP), einer Community die sich mit den Aspekten sicherer Programmierung in Webanwendungen beschäftigt, haben kürzlich ihre alle drei Jahre neu erstellte Top-10-Liste gefährlicher Schwachstellen und qualitativer Mängel in Webapplikationen neu veröffentlicht. Grundlage der Klassifizierung der darin enthaltenen Probleme sind Risikobewertungen, die die OWASP-Experten mittels einer eigenen OWASP Risk Ratig Methodology bewertet haben. Genauere Erläuterungen dieser Schwachstellenklassen sowie Hinweise zu ihrer Eindämmung geben sie in einer 22-seitigen Broschüre „OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks“, die man als PDF (2,5 MB) herunterladen kann.

Die Broschüre enthält eine übersichtliche Darstellung der zehn Problemklassen und stellt Bezüge zu weiteren frei verfügbaren Referenzen her, so z.B. zu den OWASP-Projekten Enterprise Security API (ESAPI) und Application Security Verfication Standard (ASVS). Gegenstand dieser Projekte ist die Entwicklung prüf- und testbarer Standards zur Implementierung von Sicherheitsfunktionen in Webanwendungen.

Bei den zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind, handelt es sich um:

•    Code Injection
•    Cross-Site Scripting (XSS)
•    Broken Authentication and Session Management
•    Insecure Direct Object References
•    Cross-Site Request Forgery (CSRF)
•    Security Misconfiguration
•    Insecure Cryptographic Storage
•    Failure to Restrict URL Access
•    Insufficient Transport Layer Protection
•    Unvalidated Redirects and Forwards

Das Ziel sicherer und qualitativ hochwertiger Software wird inzwischen von mehreren Organisationen mit jeweils eigenen Schwerpunkten verfolgt. So legten die Institute MITRE und SANS im Auftrag mehrerer Unternehmen und Organisationen, darunter auch OWASP, die zweite Auflage ihrer 25 gefährlichsten Programmierfehler erst kürzlich vor.

Dave Wichers, Mitglied des OWASP-Vorstandes betont, die zunehmende Bedeutung der Risiken, die letztlich hinter den einzelnen Schwachstellen stehen. Sicherheitslücken nur zu priorisieren ohne das dazugehörige Anwendungsumfeld zu betrachten, ergäbe keinen Sinn so Wichers.

Diese neue Konzentration auch auf denkbare Risiken soll Organisationen helfen zu einem reiferen Verständnis von Anwendungssicherheit zu kommen sowie ihre Prozesse bzgl. sicherer Programmierung, Testmanagement und Softwarequalität entsprechend weiterzuenwickeln.

SGD-Seminar zur IT-Sicherheit in Rechnernetzen

Um über die IT-Sicherheit nicht nur zu lesen und zu schreiben sondern mich darin auch anderweitig fortzubilden, habe ich mich vor einiger Zeit für den Fernstudienkurs „IT-Sicherheit in Rechnersystemen und -netzwerken“ der Studiengemeinschaft Darmstadt (SGD) eingeschrieben und ihn mittlerweile auch erfolgreich abgeschlossen. In elf Modulen werden darin Themen wie Sicherheitskonzepte nach IT-Grundschutz, Durchführung von Bedrohungs- und Risikoanalysen, Angriffsmethoden und Angriffsabwehr, Sicherheit als Qualitätskriterium von Software, Malware, Betriebssysteme und Datensicherheit, VPNs, Verschlüsselung, Firewallkonzepte, Datenschutz und Sicherheitskriterien behandelt. Alles in allem eine solide Grundlage für eine Tätigkeit im Umfeld der IT-Sicherheit.

Ergänzend zu diesem Kurs wurde ein dreitägiges Seminar angeboten, an dem ich die letzten Tage am SGD-Schulungszentrum in Pfungstadt zusammen mit sechs weiteren Teilnehmern teilnahm. Zwei Dozenten der Firma Diginet führten das Seminar für die SGD durch.

Inhaltlich wurden zunächst die praktischen Aspekte der Systemsicherheit behandelt. Also z.B. das Absichern und Härten von Servern durch die konsequente Entfernung unnötiger Dienste, Konten und anderer Bestandteile. Wobei sich hier speziell Microsoft in den letzten Jahren deutlich verbessert hat. Galt früher bei Betriebssystem- und Serverinstallationen die Devise „alles erstmal rauf, später ausmisten“ so werden inzwischen beim Aufspielen der Grundinstallation zunächst nur minimale Basiskomponenten eines Servers installiert. Und man kann je nach geplantem Verwendungszweck des Servers nach und nach die dafür erforderlichen Komponenten nachinstallieren und konfigurieren, was das grundlegende Sicherheitsniveau eines solchen Systems bereits deutlich steigert und den dafür erforderlichen Aufwand senkt.

Es folgten Netzwerksicherheit, Details zur TCP/IP-Protokollfamilie, das Aufbauen und Konfigurieren von Routern und Firewall-Systemen, Kryptoalgorithmen, die Datenübertragung über VPNs, der Aufbau einer PKI sowie als Highlight das Angreifen von Systemen mit Hackertools wie Scannern, Sniffern und Rootkits.

Am Ende standen eine theoretische und eine praktische Prüfung, die ich erfolgreich abschloss. Alles in allem ein mit Sicherheit lohnenswertes Seminar.

Censilia legt bei Websperren nach – kommt jetzt die neue Zensursula?

EU-Kommissarin Cecilia Malmström, von Kritikern inzwischen auch „Censilia“ genannt,  zeigt sich enttäuscht über die Reaktion bloggender Bürgerrechtler auf ihre geplante EU-Richtlinie zur Internetzensur. Zu offensichtlich war der Versuch christlich-konservativer Kreise, die in Deutschland aber auch in etlichen anderen europäischen Ländern verbrannte Idee der Internetzensur als Mittel zur Eindämmung von Kinderpornographie quasi „über Bande“ per EU-Richtlinie und damit bequem an jedem Parlament vorbei Gesetz werden zu lassen. Denn für EU-Richtlinien besteht Zwang zu deren Umsetzung in nationales Recht – egal was die Mehrheit der Bürger dazu denkt (s.  Beispiel Vorratsdatenspeicherung).

Dabei wird rasch deutlich, dass sich Frau Malmström derselben Tricks zu bedienen scheint wie im letzten Jahr Frau von der Leyen. Behauptung von Dingen, die sich bei näherem Hinsehen als falsch erweisen (z.B. das es einen Markt gäbe auf dem Kinderpornographie gegen Geld gehandelt wird – tatsächlich wird sie wie so vieles andere ohne Geld getauscht). Nennung von aus der Luft gegriffenen, nicht belegbaren Zahlen (z.B. zum Aufkommen entsprechenden Materials). Erfindung neuer Begriffe, die dann weitergetragen werden („Pädokriminelle“). Schlichtes Lügen wenn es argumentativ dünn wird (z.B das Löschen nicht effektiv sei). Was auch in der ct’ (9/2010) zu einem entsprechend kritischem Artikel führte, der sich mit den Details des neuen Vorstoßes für Websperen und Internetzensur auseinandersetzt.

Mich erinnert das an Zeiten als Deutschland noch ein Reich war und wir neben einem Führer auch noch einen Propagandaminister hatten.

Seltsam auch, dass es trotz milliardenschwerer EU-Etats für Forschungsförderung kaum Mittel für forensische Forschungen gibt. Oder zur Suche nach Antworten auf die Frage was Pädophilie eigentlich genau ist und wie man sie wirksam bekämpft.

Seltsam auch, dass es trotz milliardenschwerer Länder-Etats für die Versicherheitsstaatlichung keine Mittel für die Aufstockung entsprechender Fachbereiche der Polizei gibt. Es beschäftigen sich in Deutschland bestimmt 1.000 x mehr Polizisten mit Parkverstößen als mit Ermittlungen gegen Kinderpornografie im Internet. Das dokumentiert die Prioritäten deutlichst! Von Falschparkern geht demnach eine größere Gefahr für die Gesellschaft aus als von Kinderschändern.

Das Ganze ist also nur eine Ausrede um tatsächlich eine ganz andere und bestimmt nicht mehrheitsfähige Agenda umsetzen zu können: Die Wiederherstellung der politischen Kontrolle über die Medien und Informationsflüsse durch Etablierung von Mechanismen der Internetzensur. Schengen-Internet, Jugendschutz auch für Erwachsene, Internet erst ab 23 Uhr abends, Vorratsdatenspeicherung, DE-Mail, Abschaffung der Netzneutralität und was es an schrägen Ideen der politischen Klasse mehr gibt. Politischer Kindesmissbrauch zur Durchsetzung nicht mehrheitsfähiger Vorhaben.

Das Wohl von Kindern ist Politikern wie Malmström dabei völlig egal. Die würden auch Analverkehr mit Fünfjährigen auf Wahlplakate drucken lassen, wenn das in nennenswertem Umfang Stimmen brächte. Nur gut, das EU-Kommissare nicht gewählt sondern von den Mitgliedsregierungen im Zuge von Hinterzimmergesprächen ausgehandelt und dann formal eingesetzt werden.

Inzwischen denke ich manchmal, das nicht alles was die US-Waffenlobby zum Thema Selbstschutz, Waffen für alle und selbstbewusste Bevölkerung durch Möglichkeit der Verteidigung gegenüber Verbrechern (zu denen man auch etliche Politiker zählen kann) argumentativ vorträgt, wirklich grundfalsch ist.

Auskunfteien und andere Datensammler – was bringt die neue Datenschutzreform?

Zum 01.04. trat eine weitere Stufe der im Vorjahr beschlossenen Datenschutzreformen in Kraft. Seitdem werden datenschutzrechtliche Aspekte des Scorings und des Aggregierens von Daten bei Wirtschaftsauskunfteien neu geregelt.

Wirtschaftsauskunfteien hatten sich in den letzten Jahren zunehmend zu einem Problem für Datenschutz, Verbraucherschutz und Bürgerrechte entwickelt. Mit mehr oder weniger intransparenten Verfahren sammelten sie Daten unklarer Herkunft und Verlässlichkeit, um daraus Aussagen über die Bonität von Leuten zu treffen, mit denen sie sich niemals persönlich auseinandergesetzt hatten. So seriös sich Unternehmen wie die Schufa, Creditreform oder Bürgel in ihrer Öffentlichkeitsarbeit auch geben – letztlich handelt es sich um einen Graumarkt irgendwo zwischen Prostitution, Schmuggel und Kleindealerei.

Andererseits gibt es tatsächlich Geschäfte, die Vertrauen erfordern. Da aber Vertrauen erst im längerfristigen geschäftlichen Austausch entstehen kann, bieten die Wirtschaftsauskunfteien mit ihren Diensten eine Art „Methadon“, also eine Ersatzdroge für fehlendes Vertrauen an. Und wie beim Dealer um die Ecke ist deren Wirksamkeit und Zusammensetzung ebenfalls Vertrauenssache …

Und so verwundert es nicht, dass die Änderungen im Bundesdatenschutzgesetz, Kritikern von Wirtschaftswillkür und Datenhehlerei nicht weit genug gehen, während Wirtschaftsverbände darin bereits den Gang an die Schmerzgrenze ihrer Klientel sehen.

Im Einzelnen haben sich folgende Dinge im Bundesdatenschutzgesetz verändert:

Wirtschaftsauskunfteien und Datensammeldienste
Grundsätzlich ist es Auskunfteien auch weiterhin erlaubt, Daten zu sammeln und daraus im Auftrag Dritter Schlüsse über die Bonität von Unternehmen und Verbrauchern zu ziehen. Sie müssen es jetzt aber in einem insgesamt geregelteren und transparenteren Rahmen tun.

Schon bisher konnten Unternehmen (also Auskunfteien ebenso wie alle anderen Firmen) sogenannten Negativdaten sammeln und für geschäftliche Entscheidungen verwenden. Also Daten zu Problemen bei der Bezahlung von Rechnungen und sonstigen Zahlungsverpflichtungen. Dafür gibt es jetzt mit dem § 28a BDSG sogar eine Rechtsgrundlage.

Wenn demnach eine der folgenden Forderungen nicht bezahlt, muss grundsätzlich damit rechnen, dass ihn sein Vertragspartner als säumigen Schuldner an eine Auskunftei meldet:
•    Forderungen, die durch rechtskräftige Urteile festgestellt worden sind
•    Forderungen im Rahmen von Insolvenzverfahren
•    ausdrücklich anerkannte Forderungen
•    Jede Art der Forderung, die mindestens zweimal schriftlich gemahnt wurde, auf die per Einmeldung hingewiesen wurde und die vom Schuldner nicht bestritten wurde.
•    Jede Art von Forderung, die einen Vertragspartner zur fristlosen Kündigung berechtigt und zu der der Schuldner vorher über die Einmeldung bei einer Auskunftei informiert wurde.

Wer bereits Erfahrung mit den größtenteils automatisierten Bestellabwicklungs-, Reklamations- und Kundenservice-Prozessen großer Konzerne hat, weiß wie oft da heute schon etwas schiefgeht. Und das Einwände da oft erst dann ernstgenommen werden, wenn sie statt vom Betroffenen von einer Anwaltskanzlei, einer Behörde oder der Presse kommen.

(die Rubrik „Vorsicht Kunde“ in der ct‘ ist da eine regelmäßige Quelle teilweise haarsträubender Vorkommnisse aus dem Reich des automatisierten Servicemanagements)

Es bleibt abzuwarten, in wie weit die Folgen allgemeiner Datenschlamperei im Zusammenhang mit dieser Rechtsnorm zu Prozessen führen werden.

Weiterhin dürfen Auskunfteien von Kreditinstituten Informationen wie etwa Angaben über Girokonten mit Disporahmen, laufende Kredite, beantragte Hypotheken oder andere Bankgeschäfte erhalten. Damit entfällt die bislang eher formell erhobene „Schufa-Klausel“, deren Freiwilligkeit schon länger kritisch hinterfragt wurde, da ihre Streichung i.d.R. die Ablehnung der jeweiligen Vertragsleistung zur Folge hatte. Auch dafür gibt es jetzt mit dem § 28a Satz 2 BDSG eine Rechtsnorm im Interesse der Wirtschaft.

Telekommunikationsdienstleister und andere Unternehmen werden sich aber auch künftig  z.B. bei Handyverträgen oder der Bezahlung per EC-Karte eine solche „freiwillige“ Klausel vom Kunden unterschreiben lassen, da sie von der gesetzlichen Neuregelung nicht erfasst werden.

Scoring
Zu den umstrittensten Formen der Datennutzung der Auskunfteien zählt das Scoring, d.h. das Verdichten von komplexen Datensätzen zu einer einzigen Kennzahl, die als Vergleichsmaßstab z.B. für die Bonität oder eine andere Eigenschaft eines Kunden in Relation zum Durchschnitt der erfassten Datensätze dienen soll. Die dazu verwendeten Verfahren wurden bisher strikt geheimgehalten und beruhten oftmals aus einer wirren Mischung aus Wirtschaftsesoterik, Diskriminierung und Business Intelligence. Die zunehmend härter werdende Rechtsprechung zum Thema Schutz vor Rassismus, Sexismus, Ausschluss von sozialer Teilhabe und anderer Formen von Diskriminierung durch Wirtschaftswillkür lies hier eine Reform zunehmend unausweichlich werden.

Und so müssen Scoring-Verfahren nun wenn schon nicht der Allgemeinheit, so doch gegenüber den Aufsichtsbehörden offen gelegt werden. Die Seriosität von Scorewerten muss wissenschaftlich nachgewiesen worden sein (eben durch Offenlegung und Prüfung des Verfahrens). Die Berechnung von Scorewerten hat dem Prinzip der Datensparsamkeit zu genügen, d.h. es darf nicht automatisch der ganzen Datenbestand zugrunde gelegt werden. Ein Scorewert darf nicht überwiegend auf der Grundlage von Anschriftendaten ermittelt werden (Einschränkung des besonders umstrittenen Geoscorings). Wenn Anschriftendaten für Scoringzwecke verwendet werden, muss der Betroffene hierüber vorher unterrichtet worden sein. Geregelt ist das im § 28b BDSG.

Recht auf kostenlose Selbstauskunft
Um die Geschäfte der professionellen Datensammler für Verbraucher transparenter zu gestalten, wurden die datenschutzrechtlichen Auskunftsrechte ausgeweitet. Schon bislang konnte jeder nach § 34 BDSG Firmen und Auskunfteien dazu auffordern, Auskunft darüber zu geben welche personenbezogenen sie über den Auskunftsberechtigten gespeichert hat, welche Scorewerte zur Person des Auskunftsberechtigten gespeichert sind, woher man die Daten bekommen hat, an wen man diese Daten weitergegeben hat (mit Name und Adresse).

Neu sind dagegen im § 34 diese Verbesserungen:

Gegenüber Auskunfteien hat jetzt jeder das Recht, auch die Herkunft seiner Daten zu erfahren. Wer also die Daten an die Auskunftei übermittelt hat. Dies ist wichtig, um z.B. klären zu können, wer für falsch weitergegebene Daten haftet, da auf der Grundlage solcher Datenbestände oftmals existenzielle Entscheidungen getroffen werden. Eine wirksame (und hoffentlich auch ein paarmal spektakulär ausgeurteilte) Schadensersatzpflicht birgt für die Unternehmen ein Risiko, dass sie zu sorgfältigerem und kundenfreundlicheren  Arbeiten ermahnen wird.

Hinzu kommt ein Anspruch darauf zu erfahren, welche Scorewerte an wen innerhalb der letzten 12 Monate übermittelt wurden. Werden geschäftsrelevante Entscheidungen basierend auf Scorewerten getroffen, so muss künftig der jeweilige Geschäftspartner diesen konkreten Scorewert mitteilen und ihn auch  verständlich, einzelfallbezogen und nachvollziehbar erläutern. Da diese Verpflichtung  nicht nur die Auskunfteien selbst sondern auch jeden treffen, der ihre Dienste nutzt, werden Unternehmen es sich künftig nicht mehr so einfach machen können, wenn sie Scoring nutzen. Sie müssen sich nach außen transparent machen und ihre Entscheidungen in größerem Umfange offen legen, als sie das bislang taten. Daher richteten sich die Beschwerden der Wirtschaftslobbyisten im Vorfeld der Beratungen der Datenschutzreform gegen diese verbraucherfreundlichen Neuerungen.

Manches Unternehmen pflegten bisher Auskünfte an Verbraucher durch schikanöse Gebühren abzuwehren. Das geht jetzt nicht mehr. Einmal jährlich (pro Unternehmen) kann nun jeder unentgeltlich Auskunft darüber fordern, was dort über ihn gespeichert wurde. Für häufigere Auskünfte kann ein Kostenersatz verlangt werden.

Das eröffnet allerdings durchaus auch die Möglichkeit besonders hungrigen Datenkraken jährlich durch koordinierte Massenanfragen Tausender oder gar Zehntausender Leute nach dem Stand ihrer dort gespeicherten Daten aufgrund des Arbeitsaufwandes den Appetit zu verderben. Wenn das allein alle Mitglieder des Chaos Computer Clubs, des Foebud oder des Arbeitskreises Vorratsdatenspeicherung regelmäßig täten, käme da schon was zusammen…

Easterhegg 2010 – Follow the black rabbit

Von Karfreitag bis heute fand in München im dortigen Eine-Welt-Haus das 10. Easterhegg statt. Eine Veranstaltung des Chaos-Computer-Club, die jährlich an wechselnden Orten in Deutschland von den dortigen Regionalgruppen des CCC ausgerichtet wird und auf der sich Hacker, OSS-Fans, Entwickler, Bastler, Piraten und zahlreiche andere Freunde der kreativen Technologienutzung zum mehrtägigen Zusammensein und zum Austausch im Rahmen von Vorträgen, Workshops und gemeinsamen Arbeiten treffen. Die gut 300 Teilnehmer füllten das recht verwinkelte Eine-Welt-Haus, jeder Quadratmeter Raum war belegt. Nahezu jeder Platz, der nicht zu Vortrags- und Workshopräumen gehörte war mit Tischen undd Stühlen belegt, auf denen Leute vor mitgebrachten Laptops und Netbooks saßen und an was auch immer arbeiteten.

Dabei wurde in den vier Tagen ein breites Spektrum an Themen geboten. Es reichte vom LiMux-Projekt in der Münchner Stadtverwaltung über Cloud Computing, Semantic Web und IPv6  bis hin zu Entwicklung von Identitäten im Netz, über die Profiling-Methoden der Arbeitsagentur oder Einführungen in Social Engineering und den Umgang mit der UNIX-Shell bis hin zu Hardware-Workshops für Amateurfunkter, Lockpicker sowie Interessenten am Rapid Prototyping (3D-Drucker), selbstgebauten Schwarmrobotern, Schlafhacking, Geocaching, den Methoden des Reverse Engineerings von Mikrochips oder praktischen Rechtshilfetipps für Cyber- und Hacktivisten.

Da kaum jemand an allen Vorträgen gleichzeitig teilnehmen konnte und zudem viele Leute gar kein Ticket mehr bekommen hatten, werden die Vortagsunterlagen, Präsentationen und Videos (hoffentlich)  im Laufe der nächsten Tage online bereitgestellt.

Vorab schon mal ein dickes Danke an die Organisatoren des Chaos Computer Club München e.V., die diese tolle Veranstaltung geplant und durchgeführt haben. Echt tolle Leistung Leute!

Netzzensur – Sie versuchen es erneut!

Wenn Politiker unpopuläre Ideen in ihren Parlamenten zu platzieren versuchen, kann es schon mal vorkommen, dass sie dafür keine Mehrheit zusammenbekommen. Und das sie bei der nächsten Wahl abgewählt werden. Das ist das reinigende Element der Demokratie.

Daher wird von Politikern speziell in Europa mit zunehmender Häufigkeit versucht, „über Bande zu spielen“, indem nicht mehrheitsfähige Ideen statt ins Parlament in die EU-Kommission gegeben werden. Dort sitzen die jeweiligen Bundesminister und Funktionäre in den vorberatenden Fachgremien und Ausschüssen. Deren Zusammenkünfte sind nicht öffentlich und über besprochene Inhalte dringt nichts nach außen. Greift aber die EU-Kommission einen Wunsch der EU-Länder nach einer europäischen Regelung auf und wird daraus im weiteren Verlauf eine EU-Richtlinie, so können die Minister zuhause Vollzug melden und sich öffentlichkeitswirksam darüber beklagen, dass sie ja ganz anderer Ansicht wären, sie jetzt aber die missliebige Maßnahme in nationales Recht umzusetzen hätten – die „böse“ EU usw. …

Der Durchschnittsbürger verfügt i.A. nicht über hinreichende politische Bildung, um diesen Vorgang zu durchschauen, in dessen Verlauf er regelrecht ausgetrickst wurde. Und die Politiker aller EU-Länder wissen das.

Im letzten Jahr scheiterte das Netzzensurgesetz der früheren Bundesfamilienministerin Ursula von der Leyen letztlich am Widerstand zahlreicher Bürgerrechtsbewegungen. Auch wenn es inzwischen zwar formal in Kraft trat, die Regierung aber nach Wegen sucht, es still und leise irgendwie doch noch entsorgen zu können. Den Hauptbefürwortern CDU und SPD gingen in der letzten Bundestagswahl so viele Stimmen verloren, dass die große Koalition beendet werden musste, Linkspartei, Grüne und Piraten ordentlich zulegen konnten und die FDP sogar Koalitionspartner wurde. Aufgrund der Schwächung der Konservativen kann es in der demnächst anstehenden NRW-Landtagswahl sogar so kommen, dass die CDU ihre Bundesratsmehrheit einbüßt, was die schwarzgelbe „Tigerenten“-Koalition weiter schwächen würde.

Daran ist sicherlich nicht nur „Zensursula“ schuld. Sondern die Summe aus allen Einschränkungen der Bürgerrechte, aus verfassungswidrigen Gesetzen (CDU und SPD bringen es auf mehr dokumentierte Grundgesetzverstöße als NPD, Scientology und radikale Autonome zusammengenommen) und zahlreichen Vorkommnissen aus den Rubriken Korruption und Klientelismus.

Und trotzdem haben sie immer noch nichts daraus gelernt. Dumm, faul und korrupt, wie bereits Regierungskritiker Albrecht Müller in seinem Buch „Machtwahn“ vermutete.

Diese politische Vorgeschichte sollte man sich vergegenwärtigen, wenn man diese Tage liest, dass EU-Kommissarin Cecilia Malmström das Thema Netzzensur im Namen geschundener und missbrauchter Kinder wieder auf die politische Tagesordnung setzen will. Wer sie da wohl entsprechend gebrieft hat?

Tatsächlich schlägt Malmström in einem Richtlinienentwurf vor „dem Beispiel einiger Mitgliedstaaten zu folgen“ und den Zugriff auf Seiten mit Kinderpornographie schlicht zu sperren. Dafür sollten entsprechende Gesetze auf nationale Ebene eingeführt werden, um den Zugang zu solchen Inhalten zu filtern: „Die Mitgliedstaaten sollen selbst entscheiden, auf welchem Weg sie dieses Ziel am besten erreichen. Sie könnten beispielsweise Anbieter von Internetdiensten dazu ermutigen, freiwillige Verhaltensregeln und Leitlinien zu entwickeln, um Nutzern den Zugriff auf kinderpornographische Websites zu verweigern. Oder sie ermächtigen die zuständigen Polizei- und Justizbehörden per Gesetz, die Anbieter von Internetdiensten dazu aufzufordern, die Nutzung derartiger Seiten zu blockieren“ Diese Maßnahmen seien aber kein Ersatz für das Löschen kinderpornografischer Bilder und Videos schon an der Quelle.

Immerhin das hat man also erkannt. Das es aber tatsächlich in keinstem Maße um die Kinder geht, wird erst bei genauerem Hinsehen klar. Denn etwa 80% aller kinderpornografischen Inhalte liegen  nicht auf den Servern russischer „bullet proof“-Provider sondern im Zugriff europäischer und US-amerikanischer Betreiber. Also in Ländern, in denen es schon seit Jahrzehnten Rechtshilfeabkommen gibt. Und in denen man solche Inhalte ohne richterlichen Beschluss einfach so auf Zuruf aus dem Netz fegen kann. Was Bürgerrechtsorganisationen erst im vergangenen Jahr durch eine Art „Rama dama“-Aktion praktisch demonstrierten. Wo es zu diesem Zweck sogar Internet-Beschwerdestellen und bei jedem Provider eine Meldestelle für entdeckten Missbrauch gibt.

Wir haben es also mit einer Form des politischen Kindesmissbrauchs zu tun (und der ist völlig legal!). Die Agenda ist tatsächlich eine andere: Der Politik stoßen die Transparenz, der anarchische Charakter sowie die grenzübergreifende Unkontrollierbarkeit des weltweiten Netzes schon seit längerem sauer auf. Am liebsten hätten sie nationale und territorialisierte, politisch leicht zu kontrollierende Intranets, in denen sich lokale und oft recht krude Vorstellungen von Jugendschutz (auch für Erwachsene), Sexualstrafrecht, Urheberecht, Bezahldiensten und Shopping-Net oder auch zeitlich Altersgrenzen wie im Fernsehen („ab 18“-Filme erst ab 23 Uhr) leicht anordnen und durchsetzen lassen. Ohne dass der Nutzer dann eben einfach auf andere Seiten, andere Angebote, andere Proxies und Dienste etc. zugreift und sich von der Politik irgendwann gar nichts mehr sagen lässt. Das territorialisierte „Schengen-Internet“ sozusagen. Die Vielfalt des echten Internets soll aus Sicht der politischen Eliten gewissenermaßen zureguliert und wegverwaltet werden, wenn man darin schon regelmäßig mit den eigenen unlauteren Absichten schlecht dasteht.

Das es bereits 5 vor 12 ist, wurde mir gestern bewusst, als ich in der gedruckten Ausgabe des eher konservativ orientierten Münchner Merkur einen Hetzartikel gegen die kirchenkritische Humanistische Union las, in der diese in die Nähe der aktiven Unterstützung von Kinderpornografie gerückt wurde. Denn die HU fordert zusammen mit zahlreichen anderen Bürgerrechtsorganisationen schlicht deren Löschung statt bloßer Sperrung und lehnt politische Netzzensur grundsätzlich ab.

Wer zur Vernichtung von Kinderpornos aufruft, fördert demnach Kinderpornografie. Schon ganz schön gaga…