Feuerwächter

Bereits seit 2009 entfaltet das von Uwe Schünemann (CDU) gegründete Bündnis „White IT“ seine Aktivitäten zur Bekämpfung von Kinderpornografie. Hierzu bedarf es nach eigener Aussage mehr als einer „Sperre“ (besser bekannt als Internet-Stoppschild). Auf der CeBIT wurde nun eine Software als dieses „Mehr“ vorgestellt, doch dazu unten mehr. Verantwortlich für White IT zeichnet laut Impressum das »Niedersächsische Ministerium für Inneres und Sport Geschäftsstelle „White IT“«. Niedersachsen ist nicht nur bekannt für seinen Sumpf um den ehemaligen Bundespräsidenten Christian Wulff, sondern auch für eine der vehementesten Kämpferinnen für das Stoppschild und Internetsperren: Ursula von der Leyen, auch bekannt als Zensursula. Diesmal ist allerdings die treibende Kraft Uwe Schünemann, der Innenminister von Niedersachsen. Die Aktivitäten rund um „White IT“ spielen sich im undurchsichtigen Bereich der „Public Private Partnership“ ab. Für die Gründung solcher PPPs in diesem Bereich gibt es eigentlich nur zwei Gründe:

• Verschleierung von Geldflüssen zwischen Auftraggeber (Politik) und Auftragnehmer (Privatunternehmen) und zur Verduncklung damit einhergehender personeller Verflechtungen.
• Durchsetzung politischer, rechtlich-fragwürdiger Interessen, für die es keine parlamentarische Mehrheit gibt.

Aufbau, Konzept und Namensgebung¹ von „White IT“ erinnern stark an das von der EU initiierte Clean IT Project, bei dem ganz offen zugegeben wird, daß es sich um einen nicht-legislativen Ansatz handelt. Sinn von „Clean IT“ ist das Zusammenbringen von Strafverfolgungsbehörden und Providern um die illegale Nutzung des Internet zu unterbinden, vorgeblich zur Bekämpfung von Terrorismus. Auch hier ist der Ablauf deckungsgleich mit dem Ansatz von Frau Ursula von der Leyen aus dem Jahre 2009, in dem ohne gesetzliche Grundlage zwischen dem BKA und den Providern geheime Verträge geschlossen werden sollten, in denen diese sich zur Ausfilterung bestimmter URLs verpflichten sollten. Auch wenn bei den Projekten unterschiedliche Ziele genannt werden, bleibt die Tatsache bestehen, daß in beiden Fällen in Hinterzimmern in nicht öffentlichen Verhandlungen mehr oder weniger geheime Handlungsrichtlinien, euphemistisch „best practice“ genannt, entwickelt werden, die der demokratischen Kontrolle entzogen sind. Sind solche Verfahren erst einmal etabliert, besteht nicht nur die Gefahr des Missbrauchs, sondern sie werden mit Sicherheit missbraucht werden, denn der Anreiz auf diese Art die Verbreitung jedweden unliebsamen Inhaltes unterbinden zu wollen, ist zu groß. Paradebeispiel ist wieder das Leyensche Stoppschild. Zunächst sollte es nur gegen Kinderpornografie eingesetzt werden, doch wurden schnell Forderungen laut, es auch gegen Musikdownloads anzuwenden. Beide Projekte stellen letztendlich nichts anderes dar, als die generalstabsmäßige Vorbereitung zur Einführung einer flächendeckenden Zensurinfrastruktur. Die technischen Lösungen sollen auch beim „Clean IT Project“ durch das Konstrukt von „Public Private Partnerships“ erstellt werden.

Non-legislative approach

The main objective of this project is to develop a non-legislative ´framework´ that consists of general principles and best practices. The general principles will be developed through a bottom up process where the private sector will be in the lead. Through a series of workshops and conferences, the private and public sector will define their problems and try to draw up principles. These principles can be used as a guideline or gentlemen’s agreement, and can be adopted by many partners. They will describe responsibilities and concrete steps public and private partners can take to counter the illegal use of Internet.

[…]

Public-Private-Partnerships

In this project it is the private sector we would like to be in the lead for finding solutions. The projectteam facilitates an open dialogue by organising several workshops and conferences. The public partners, mainly Law Enforcement or Security / Counter Terrorist Organisations, will focus on explaining the phenomenon of terrorism on the Internet. At least after each workshop, a working document is published on this website, based on the input from participants in CleanIT workshops. During the project this document does not necessarily fully reflect the opinions of all persons and organisations involved. It is open for online discussion. A small editorial board is formed from people from the private sector to collect and edit all comments (editorialboard@cleanITproject.eu).

Festzuhalten bleibt: Beide Projekte sind sich sehr ähnlich und führen zur flächendeckenden Kontrolle der Netzinhalte, nicht aber zur Verbesserung der technischen Sicherheit der IT Struktur (Netzwerk & Betriebssysteme). Man darf wohl getrost annehmen, daß den politisch Verantwortlichen für die Realisierung Letzterer nicht nur der Wille, sondern schlicht und ergreifend die Kompetenz fehlt. Außerdem kann man in weiten Teilen der Bevölkerung noch immer leichter mit dem für jedermann verständlichen „Kampf gegen Kinderpornografie und Terrorismus“ Stimmen fangen, als mit dem eher abstrakten Projekt „technische Sicherheit“.

Nach dem kurzen Ausflug in die EU, nun wieder zurück nach Niedersachsen und zu der jetzt auch auf der CeBIT von der Firma itWatch für „White IT“ hergestellten Software zur Bekämpfung der Verbreitung von Kinderpornografie. Bereits Ende letzten Jahres berichtete die Zeit durchaus kritisch über dieses Projekt.

Die „White IT Edition“ genannte Software soll auf Rechnern Bild- und Videomaterial beim Öffnen der Dateien anhand von Hashwerten („Fingerabdrücke“) auf strafrechtliche Inhalte prüfen und ggf. lokal die Datei löschen oder verändern. Da die Hashwerte von den Ermittlungsbehörden geliefert werden sollen, könne es keine falsch Positiven, also Dateien die fälschlicherweise als strafrechtlich relvant eingestuft werden, geben, so die Firma itWatch. Diese Aussage und die Verwendung von Hashwerten, läßt auf einen Mangel an Sachverstand im Hause itWatch schließen.

Der Sinn von Hashwerten ist der Versuch der Beschreibung einer (beliebig) langen Zeichenfolge durch eine kurze, möglichst eindeutige Zeichenfolge fester Länge mittels eines mathematischen Algorithmus. Dieses Abbilden von lang auf kurz kann aber niemals eindeutig sein. Es liegt in der Natur der Sache, daß es mehr lange Zeichenfolgen gibt, als Kurze und es somit immer mehrere lange Zeichenfolgen mit gleichem Hashwert geben muss. Ein Vorgang der als Kollision bezeichnet wird, hier würde man von falsch Positiven sprechen. Anders ausgedrückt, gleiche Bitfolgen liefern immer denselben Hashwert, aber zu einem Hashwert gibt es mehrere Bitfolgen. Auch wenn die Wahrscheinlichkeit von Kollisionen mit zunehmender Hashlänge abnimmt, wird sie eben nicht Null, wie in der Aussage von itWatch behauptet. Die Hashlänge ist insofern begrenzt, als dass ein Hashwert der mindestens ebenso lang ist wie die zu testende Zeichenfolge, unsinnig wird, denn dann könnte man gleich das Original nehmen. Aus technischer Sicht sind Hashfunktionen nicht dazu konzipiert eine definierte Bitfolge aus vielen Ähnlichen oder Gleichen, aber anders dargestellten, herauszufiltern.

Da die Software auf (kinderpornografische) Bilder abzielt, stellt sich ungehend die Frage, ab wann zwei Bilder als identisch anzusehen sind. Wird auch nur ein einziges Pixel minimal abgeändert, ergibt sich ein vollkommen anderer Hashwert. Bei einem Bild mit einer Farbtiefe von 32 Millionen Farben, ergeben sich somit für jedes einzelne Pixel 32 Millionen Möglichkeiten. Pixelzahl pro Bild hoch Farbtiefe führt zu einer unüberschaubaren Anzahl an Variationen für ein einzelnes Bild. Zweifellos wird das menschliche Gehirn alle diese Bilder als identisch einstufen, d.h. alle Varianten wären ggf. strafrechtlich relevant, werden aber mehrheitlich nicht erkannt (falsch Negative). Es müsste für jedes Bild eine Vielzahl an Hashwerten berechnet und in einer Datenbank erfasst werden. Dabei bleibt es jedoch nicht. Praktisch alle Bildformate bieten die überaus nützliche Möglichkeit den eigentlichen Bilddaten beliebige Metadaten (EXIF, IPTC etc.) variabler Länge in Textform (Aufnahmedaten, Copyright, GPS, Beschreibung, Schlagworte etc.) beizufügen. Auch hier wieder unzählige Variationsmöglichkeiten, ohne jedoch die eigentliche Bildinformation überhaupt anzufassen. Denn auch ein einzelnes, abgewandeltes Zeichen in den Metadaten, lässt eine Prüfung des Hashwertes ins Leere laufen.Hinzu kommt noch, das die Berechnung der Hashwerte nicht umsonst zu haben ist, sie kostet Rechenzeit, selbst wenn man sich nur auf die Dateien beschränkt die gerade geöffnet werden, was beim Ansurfen einer Webseite schon mal Dutzende sein können. Bewegen sich Bilder noch in Größenordnungen von KByte bis einigen Megabyte, bewegen sich die Dateigrößen bei kleinen Filmen bereits im Bereich von zwei bis dreistelligen Megabytezahlen, da wird es dann nichts mehr mit „schnell den Hashwert“ berechnen. Der technische Ansatz einer Filterung basierend auf Hashwerten ist Unsinn!

Nach den Vorstellungen der Beteiligten soll die Software integraler Bestandteil des Betriebssystems werden, gemeint ist hier ganz konkret Windows von Microsoft (MS). Der Ansatzpunkt ist sicherlich nicht falsch, stellt doch Windows ein Quasimonopol bei den Tischrechnern dar und vor allen Dingen hat die Politik einen konkreten Ansprechpartner, den es bei Linux so nicht gibt. Alle anderen Betriebssysteme (MacOS, Smartphones und Tablett-PCs) bleiben außen vor. Anscheinend will man wohl auf MS einwirken, eine solche Lösung freiwillig — eine Rechtsgrundlage fehlt ja — zu implementieren. Offen bleibt, ob nur deutsche, europäische oder alle Windows-Versionen betroffen sein werden. Aber mal angenommen, MS-Windows wird tatsächlich mit einer riesigen Hashwert-Datenbank ausgeliefert, was wäre die Folge? Jeder der sich für derartiges Bildermaterial interessiert, vollzieht auf einem Rechner einen Probelauf, sieht welche Bilder von der Software erkannt werden, um dann an diesen eine der geschilderten Veränderungen vorzunehmen. Das auch dieses Hase-Igel-Spiel, wie schon beim Stoppschild, nicht gewonnen werden kann, sollte inzwischen klar geworden sein. Insbesondere auch im Hinblick auf den, seit den Zeiten des Stoppschildes unter Ursula von der Leyen in den Köpfen der Beteiligten herumgeisternden, Milliardenmarkt im Bereich der Kinderpornographie ist dieser Wettlauf verloren, denn wo derart viel Geld im Spiel ist, wären auch die Ressourcen vorhanden, diese Abläufe zu automatisieren, was nebenbeibemerkt eher trivial ist. Abgesehen von der Tatsache, daß es diesen Milliardenmarkt nicht gibt, ist er nur eine gefährliche Scheinrealität in der Politik.

Die hochgradig invasive „White IT Edition“ Software ist weitaus grundrechtsverletzender, als das damals geplante Stoppschild, denn sie sperrt nicht nur den Zugang zu etwas, sondern sie nimmt im staatlichen Auftrag, ohne Gerichtsbeschluss Veränderungen am eigenen PC vor. Das ist nach heutigem Recht strafbar! Dritte haben keinerlei Befugnis ungefragt auf Rechnern etwas zu löschen oder etwas zu verändern. Das hat mit rechtsstaalichem Handeln nichts mehr gemein, daher wohl auch der nicht-legislative Ansatz. Wer übernimmt die Haftung bei einer Fehlfunktion? Microsoft? itWatch? White IT? Das niedersächsische Innenministerium? Die Filtersoftware ist im Grunde nichts weiter, als die Vorstufe zu einem Staatstrojaner (Bundestrojaner), denn es fehlt nur die Möglichkeit der Steuerbarkeit (Hin- und Rückkanal) von außen, doch fehlt sie wirklich? Darüberhinaus gilt alles, was bereits gegen die Einführung des Stoppschildes sprach, auch für diese Software:

• Die Bildquelle bleibt unangetastet.
• Das Mißbrauchspotential ist enorm, höher noch als beim Stoppschild.
• Die Umgehungsmöglichkeiten sind einfach und vielfältig.
• Die Forderung nach Ausweitung der Hashwertkontrolle wird kommen.
• Der technische Ansatz ist verfehlt.
• Das Bekanntwerden von Hashwerten kinderpornografischer Dateien, erleichtert die Suche nach entsprechendem Material.

Das ganze Projekt hört sich nach einem ziemlich kostenintensiven Windei an, technisch unsinnig und rechtlich äußerst fragwürdig. Außerdem hätten die rechtlichen Rahmenbedingungen geklärt werden müssen, bevor der Auftrag zur Programmierung erteilt wurde. Es müsste durch den Rechnungshof geklärt werden, ob für dieses Unsinnsprojekt Steuergelder aufgewendet wurden. Darüberhinaus scheint eine tiefere Beleuchtung der personellen Verflechtungen angebracht zu sein.

Mehr zum Thema:

• Clean IT: Die EU will das Internet “sauber” und “gesund” halten (Netzpolitik)
• The Clean IT Project – EU against illegal use of Internet, Blogbeitrag von Michal Hrušecký
• White IT stellt „Kinderporno-Scanner“ vor (heise, 2010)
• Software soll Darstellung von Kinderpornografie verhindern (heise, 2012)