Kommentar zu DNS-Zensur in der Schweiz auf watson.ch

Ungekürzter Kommentar zu Beitrag "DNSzensur.ch" auf Watson.ch: https://www.watson.ch/!329355872

War zu erwarten, dass DNS-Sperren eine umfangreiche Diskussion hervorrufen und ebenso umfangreich auch wieder mit Halbwissen und unreflektierten Annahmen um sich geworfen wird. Die folgenden Punkte mögen daher (wenn man sie denn liest) vielleicht zu etwas mehr Verständnis und reflektiertem Nachdenken beitragen:

DNS-Sperren sind nutzlos:
Das ist so, wenn man es nur aus dem Blickwinkel der Umgehbarkeit betrachtet. Ein etwas anderes Bild ergibt sich, wenn man den Schutzaspekt für den 0815-Internet-Nutzer vor schädlichen Inhalten betrachtet. Hier ist durchaus ein Nutzen gegeben.Jeder, der in der IT-Security eines grossen Unternehmens arbeitet, weiss, dass es fast an der Tagesordnung ist, dass Benutzer auf selbst schlecht gemachte Phishing-Angriffe hereinfallen und auf gefälschten Webseiten Credentials eingeben oder einen bösartigen Mail-Anhang öffnen der unbemerkt Schadsoftware herunterläd und installiert. In KMUs oder gar bei Privat-Nutzern, gibt es meist nicht mal jemanden, der die Infizierung der Rechners oder den Account-Klau bemerkt und zumindest reaktiv Schaden verhindern oder eingrenzen kann (eine PassiveDNS-Recherche zu einschlägigen Malware-Domains zeigt hier oftmals Erschreckendes hinsichtlich der Zugriffsversuche). Wenn diese Zugriffe durch eine DNS-Sperre verhindert werden, spart das erhebliche Arbeit beim Bereinigen von Rechnern oder verhindert Folgeschäden durch Rechner- oder Credential-Missbrauch. Natürlich ist mittels Sperrung kein vollständiger Schutz möglich, aber jede Rechner-Infektion und jeder Account-Klau, der verhindert werden kann, bringt einen klaren Nutzen. Das auch, da viele der Virenscanner auf den PCs (in der Standardeinstellung) leider bei weitem nicht so wirkungsvoll sind, wie man hoffen möchte…

Zensur oder  Einschränkung des "Internet-Erlebnisses":
Vorweg: die Sperrung von ausländischen Glückspiel-Anbietern im Rahmen des überarbeiteten Glückspielgesetzes lehne ich auch ab, hier fängt für mich tatsächlich Zensur mit dem Ziel der Unterdrückung unliebsamer Inhalte zugunsten einer (legitimen) Interessensgemeinschaft an und dies sollte in einer Demokratie äusserst kritisch diskutiert werden.
Darüber hinaus ist aber das Internet kein rechtsfreier Raum. Wenn jemand auf die Idee käme, in der Innenstadt einen Laden für harte Drogen oder nen "Nepper, Schlepper, Bauernfänger"-Shop zu eröffnen, dann würde dieser Laden sehr schnell wieder geschlossen werden, da illegal. Eine Webseite mit solcherlei Dienstleistungen ist ebenfalls illegal und kann als Sofortmassnahme gesperrt und im Nachgang möglichst gelöscht werden. Wer bewusst das Gesetz brechen und solche Dienste in Anspruch nehmen oder sich damit Geld ergaunern will, findet aber einen Weg, das Trotz Sperre zu tun. Der gesetzestreue, unbescholtene und oft etwas naive Bürger wird aber durch die Schliessung/Sperre geschützt. Sollte doch mal eine Seite zu Unrecht gesperrt werden (ja, das kann vorkommen), dann kann der Seitenbetreiber reklamieren und die Wiederfreischaltung erfolgt meist sehr schnell. Häufig ist es aber so, dass eine grundsätzlich legitime Webseite (z.B. eines KMU oder Privatperson) gehackt wurde und zur Verteilung von Schadsoftware oder illegalen Inhalten missbraucht wird. Der Webseitenbetreiber erfährt meist erst durch die Sperre, das er ein Problem hat. Gerade, wenn es sich um Webseiten mit grosser Reichweite handelt (z.B. mal "drive-by-angriff auf pctipp" googeln), kann durch eine kurzfristige Sperre (bis zur Bereinigung) ein wirksamer Schutz für die Kunden des sperrenden Providers erfolgen. Das sind aber Einzelfälle. Der überwiegende Teil der gesperrten Seiten ist klar illegaler Natur und kein normaler Internet-Nutzer ruft diese Seiten gezielt auf (und wird daher durch die Sperre "eingeschränkt"). Vielmehr wird er durch Phishing-Mails oder bösartige Umleitungen auf gehackten Webseiten oder Ad-Networks auf diese umgeleitet. Eine Sperre der Ziel-Domain schützt den Nutzer dann.

Abuse-Meldung oder Löschen statt Sperren:
DNS-Sperren bei Swisscom gehen automatisch mit einem Takedown-Request (Löschaufforderung) an die Abuse-Adresse des Domain-Hosters einher (weiss ich aus sicherer Quelle). Bei Kinderpornos klappt das ganz gut, aber für Alles andere gibt es nach wie vor eine Menge Hoster, die sich nicht um die Abuse-Meldung zum Takedown einer Phishing-Domain scheren oder dies erst mit grosser Verzögerung tun, wenn der Schaden bei den Benutzern schon angerichtet ist. Daher ist Sperrung hier eine kurzfristige Schutzmassnahme. Gesperrte Seiten werden regelmässig überprüft und wieder freigeschaltet, wenn der Grund für die Sperre beseitigt wurde.Eine Offenlegung der Seiten ist m.E. nicht notwendig, bzw. teilweise (-> Kipo, sogar illegal). Wer über eine gesperrte Seite stolpert, merkt das und kann sich im Zweifel beschweren.

DNS-Sperren können leicht umgangen werden:
Ja, das ist so. Aber für den normalen Internet-Nutzer (in der Schweiz) gibt es kaum einen Grund, das zu tun (ggf. notorische Glückspieler bei ausländischen Anbietern zukünftig ausgenommen, aber dazu siehe oben). Ich würde Freunden oder Familie aber niemals raten, per se den DNS-Server von Swisscom oder Cablecom zu ändern, da ich der Meinung bin, dass der Schutzvorteil durch die Sperrung nachweislich illegaler oder bösartiger Domains für den Grossteil der Internet-Nutzer klar überwiegt.
Auch ich verfechte grundsätzlich ein freies Internet und der Zensur legitimer Inhalte müssen wir in einer Demokratie entgegenwirken. Wenn ein Internet-Provider aber mit Aufwand und Kosten versucht, seine Kunden aktiv vor kriminellen Aktivitäten oder illegalen Inhalten zu schützen, dann halte ich das für eine gute Sache. Und wer das partout nicht will, kann ja zu einem Provider gehen, der das nicht tut oder die Sperren eben umgehen. Oder der eigene (sperrende Provider) gibt dem Kunden die Möglichkeit, eigenverantwortlich zu entscheiden, eine gesperrte Seite trotz eindringlicher Warnung (mittels Splash-Page à la Google Safe Browsing) trotzdem aufzurufen. Hier ist noch Potenzial :-)