Im März 2010 hatte Niedersachsens Innenminister Uwe Schünemann auf der Computermesse Cebit Pläne vorgestellt, wie Kinderpornografie im Netz bekämpft werden könnte. Das Projekt namens White-IT war als Gegenentwurf zu den damals noch diskutierten, aber umstrittenen Netzsperren geplant. Doch inzwischen scheint White-IT auf dem besten Weg, für ähnlich viel Ärger zu sorgen: Dieses Mal geht es zwar nicht um Netzsperren, dafür aber um mindestens ebenso problematische Netzfilter.

White-IT ist ein Verein , der dem niedersächsischen Innenministerium angegliedert ist und bei dem Polizeibehörden ebenso mitarbeiten wie Firmen, Verbände der Internetwirtschaft sowie Opfergruppen. Ursprünglich sollte White-IT eine Art Notrufknopf entwickeln. Nutzer sollten in ihrem Browser nur einen einzigen Button drücken müssen, um die Adresse einer Website, die ihnen zweifelhaft oder kriminell erscheint, an eine Beschwerdestelle des Verbandes der Internetwirtschaft (Eco) zu schicken. Die anonyme Meldung sollte dann vom Eco geprüft werden. Bei strafbarem Material sollte Eco sich darum kümmern, dass der betroffene Netzanbieter es löscht.

Einen Notrufknopf will man nun nicht mehr installieren, das Konzept wurde fallen gelassen. Schon damals hatte man jedoch überlegt, auch Suchmaschinen einzubeziehen. Immerhin durchforsten sie das Netz sowieso, warum nicht auch gezielt nach Kinderpornografie? Diese Idee wurde inzwischen ausgedehnt.

Die Suche nach Kinderpornografie im Netz soll nach den derzeitigen Vorstellungen der Verantwortlichen von White-IT nun "proaktiv" erfolgen, wie es in internen Projektpapieren heißt. Mit anderen Worten: Suchmaschinen, Mailanbieter, Websitehoster, Filesharing-Dienste, kurz: all jene, die im Netz Inhalte weiterreichen oder Nutzern zugänglich machen, sollen in ihren Systemen nach strafbaren Bildern suchen. Auch großen Firmen will man die Technik anbieten, damit sie in ihren internen Netzwerken auf den Rechnern der Mitarbeiter suchen können.

Die Technik ist bereits fertig entwickelt

Was im ersten Moment logisch klingen mag, ist aus gutem Grund rechtlich heikel, beziehungsweise bislang verboten. Handelt es sich dabei doch letztlich um eine Überwachung aller Nutzer ohne konkreten Anlass oder Verdacht.

Die Technik, die für diese Überwachung nötig wäre, gibt es längst, als Sicherheitsverfahren: Computer sind derzeit nicht in der Lage, von sich aus zu entscheiden, was auf einem Bild zu sehen ist. Sie können zwar Gesichter erkennen und finden, nicht aber zuverlässig und rechtlich sauber bewerten, ob sie gerade einen von Modigliani gemalten Akt vor sich haben oder Kinderpornografie.

Allerdings lassen sich digitale Bilder, die ja auch nur aus Daten bestehen, anhand sogenannter Prüfsummen mathematisch eindeutig darstellen. Werden die Bilddaten mit einer bestimmten Formel bearbeitet, ergibt sich als Ergebnis ein Zahlencode, der nur für dieses eine Bild existiert. Jede Änderung am Bild, sei sie noch so klein, würde zu einer anderen Prüfsumme führen.

Diese Prüfsummen, Hash-Werte genannt, wurden eigentlich als Sicherheitsverfahren entwickelt. Mit ihnen lässt sich erkennen, ob eine digitale Nachricht auf dem Weg vom Sender zum Empfänger manipuliert wurde. Aber Hash-Werte können eben auch als eine Art Fingerabdruck einer Datei dienen, um diese unter vielen anderen Dateien herauszufiltern.

Fahnder können Festplatten nicht Bild für Bild durchsuchen

Aus diesem Grund ist beispielsweise das Bundeskriminalamt an der Technik interessiert. Das BKA und die Landeskriminalämter haben mittlerweile Probleme damit, die bei Verdächtigen gefundenen Festplatten schnell genug auszuwerten. Zu groß sind die Datenmengen auf beschlagnahmten Computern, um noch jedes Bild und jede Information anzuschauen. Daher haben die Polizeien der Länder schon vor zehn Jahren begonnen, eine Datenbank mit den Hash-Werten von kinderpornografischen Fotos und Filmen aufzubauen – ähnlich der Sammlungen, die es zu Fingerabdrücken oder Täterfotos gibt. Nur dass in dieser Datenbank keine Bilder gespeichert sind, sondern lediglich diese Prüfsummen.

Der Algorithmus, mit dem die Hashes berechnet werden, stammt von einer privaten Firma . Die stellt jedem, der es wünscht, ihr Programm und ihre Datenbank namens Perkeo (eine Abkürzung für Programm zur Erkennung relevanter kinderpornografisch eindeutiger Objekte) gegen entsprechende Gebühr zur Verfügung. Die Polizeien nutzen die Datenbank und füttern sie gleichzeitig mit den Hashes neu gefundener Bilder. Schätzungsweise 170.000 Dateien sollen inzwischen in ihr enthalten sein.

Auch das Projekt White-IT will Perkeo nutzen, um im Netz nach verbotenen Bildern fahnden zu lassen. Dazu sollen die Hash-Werte an jeden Betreiber geschickt werden, der im Netz mit Inhalten hantiert. Gefunden werden können so zumindest die Bilder, die schon einmal als kinderpornografisch identifiziert worden sind, allerings keine Dateien, die neu in Umlauf gebracht werden.

Verstoß gegen das Telekommunikationsgeheimnis

Den Organisatoren von White-IT ist offensichtlich klar, dass sie damit in einem juristisch schwierigen Bereich operieren. Immerhin haben sie ein Rechtsgutachten in Auftrag gegeben, das klären soll, ob die Hash-Werte überhaupt weitergegeben werden können und ob Provider selbst nach Kinderpornos fahnden dürfen.

Nach Aussage der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter (FSM), die der Bekämpfung von Kinderpornografie dient und die an White-IT beteiligt ist, soll das Gutachten nur klären, ob Hashes weitergeleitet werden dürfen. Von einer geplanten Weitergabe an Firmen und Netzbetreiber wisse man nichts. Bislang liege auch noch kein Ergebnis dieser Prüfung vor, erklärte der Verein.

Auch der IT-Branchenverband Bitkom äußert sich zu dem Thema Einsatz von Hash-Werten nur vorsichtig: "Sollte die Politik diese Technologie auf einer klaren rechtlichen Grundlage einsetzen oder eine solche Grundlage neu schaffen wollen, würde sich die IT-Branche mit ihrem Know-how konstruktiv an einem Dialog beteiligen."

Überwachung tritt in den Vordergrund

Die Vorsicht ist kein Wunder, denn bislang ist die Rechtslage eindeutig. Zugangsanbieter im Netz dürfen und sollen nicht wissen, welche Inhalte sie transportieren. Genau wie es die Telekom und die Post nichts angeht, was ihre Kunden an Telefonen und in Briefen mitteilen, haben sich auch die Provider nicht darum zu kümmern, welche Informationen ihre Nutzer teilen. Ein solcher Bilderscanner verstieße gegen das im Grundgesetz festgeschriebene Telekommunikationsgeheimnis .

Paragraf 7 des Telemediengesetzes (TMG) besagt daher auch, dass Provider nicht verantwortlich sind für die Tätigkeit ihrer Kunden und nicht verpflichtet, diese zu überwachen. Denn es wäre eine Überwachung, wenn jeder Anbieter die Mails, Daten, Websites und Filme durchsuchte, die seinen Kunden oder – bei Firmen – seinen Mitarbeitern gehören.

Genau das aber ist im Rahmen von White-IT geplant, wie zumindest die Ausschreibung für das Rechtsgutachten verrät. Demnach soll es diese Punkte prüfen. Zwar würde nur nach Kinderpornos gesucht, das aber bei jedem und jederzeit. Unser Rechtssystem verbietet einen solchen Generalverdacht, trotzdem gibt es solche Überlegungen immer wieder , wohl weil es technisch problemlos machbar ist. Software und Datenbank existieren, und sollten die Provider mitmachen, könnte es morgen losgehen.

Christian Bahls ist Gründer des Opfervereins Mogis, der sich dem Kampf gegen Netzsperren verschrieben hat. Auch Bahls ist Mitglied bei White-IT. Er sagt: "Im Bündnis White-IT sind natürlich auch vernünftige Akteure vertreten. Jedoch sehe ich den tatsächlichen Schutz von Opfern immer weiter in den Hintergrund treten. Dafür treten immer deutlicher die Projekte nach vorne, die eine neue Kontroll- und Überwachungsstruktur zu etablieren scheinen."

Richterliche Prüfung der Sperrlisten ist nicht vorgesehen

Bahls lehnt die Pläne mit den Hash-Werten ab. Denn solche Kontrollstrukturen schaffen oft mehr Probleme als sie lösen. Wer garantiert beispielsweise, dass die Hashes, die die Provider bekommen, wirklich nur die von Kinderpornos sind? Wer lediglich die Prüfsumme sieht, kann nicht erkennen, was sich hinter ihr verbirgt und ob es nicht vielleicht Wahlvideos einer Partei sind, die damit gefiltert werden. Denn diese Infrastruktur lässt sich, wenn sie erst einmal in Betrieb ist, auf beliebige Inhalte ausdehnen, seien es nun Bombenbauanleitungen oder Michael-Jackson-Videos.

Und längst nicht jedes eklige Bild ist aus rechtlicher Sicht wirklich Kinderpornografie. Es gibt viele Zwischenstufen und Grauzonen. Das BKA und die Polizeibehörden der Länder jedoch würden damit festlegen, was kriminell ist und was nicht. Das ist jedoch nicht ihre Aufgabe, dafür sind hierzulande immer noch Gerichte zuständig.

Aus dem gleichen Grund sind auch die Netzsperren gescheitert . Bei diesen sollte das BKA irgendwelche Webadressen an die Provider geben. Die hätten sich darauf verlassen müssen, dass die Sperrlisten korrekt sind. Eine richterliche oder anderweitig unabhängige Prüfung war nicht vorgesehen. Das ist sie bei White-IT bislang auch nicht.

Bahls hat sich daher entscheiden, an die Öffentlichkeit zu gehen. Auf dem jährlichen Kongress des Chaos Computer Clubs will er am Dienstag einen Vortrag zu White-IT halten und seine Kritik daran vorstellen. Er sagt, er habe keine Möglichkeit mehr gesehen, "innerhalb der Strukturen von White-IT korrigierend auf diese einzuwirken". Dass Öffentlichkeit helfen kann, solche Pläne zu beerdigen, hat die Debatte um Netzsperren gezeigt.