Internetzensur kommt in den besten Demokratien vor. Es sind keineswegs nur die Regierungen von China, Nordkorea und dem Iran, die Inhalte und Websites vor ihren Bürgern und Besuchern verstecken wollen. So etwas passiert auch mitten in Europa und praktisch allen anderen Ecken der Welt. Zu welchen Mitteln Staaten dabei greifen, wie Zensur sichtbar gemacht und wie sie umgangen werden kann, ist ein wichtiges Thema auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Die Beispiele aus Nordkorea und China sind aber zugegebenermaßen die – aus technischer Sicht – eindrucksvollsten.

Nordkorea etwa hat ein eigenes Betriebssystem für seine Bürger entwickelt, es heißt Redstar OS. Der Sicherheitsforscher Will Scott hatte es bereits im vergangenen Jahr auf dem 31C3 vorgestellt und sein Kryptografie-Modul näher untersucht. Niklaus Schiess und Florian Grunow gingen in diesem Jahr einen Schritt weiter und nahmen RedStar OS – so gut es ging – auseinander. Was die beiden Experten präsentierten, ist die in Code gegossene Allmachtsfantasie eines Autokraten, genauer gesagt die von Kim Jong Un.

Dafür, dass RedStar OS Datenschutz und Privatsphäre komplett aushebelt, kommt es aber ziemlich unauffällig daher. Die Oberfläche sieht ein wenig aus wie Apples OS X. Im Kern steckt hinter RedSar OS die Linux-Distribution Fedora 11. Im Wesentlichen basiert es auf drei Ideen: Integrität des eigenen Systems, Löschen unerwünschter Nutzerdaten und Verfolgung von bestimmten Dateien. Das Korean Computer Center, zeitweilig mit Sitz in Berlin, hat das RedStar OS entwickelt.

Systemgefährdende Dateien

RedStar OS funktioniert im Alltag ziemlich gut. So gut, dass Schiess und Grunow gleich ihre ganze Präsentation auf dem System erstellt haben. Zur Integrität: Das System hat einen eingebauten Selbstschutz. Werden bestimmte Kerndateien verändert, registriert das System dies und startet das System neu. Da beim Start wiederum erkannt wird, dass eine der Kerndateien anders ist, wird erneut neugestartet. "Das System ist in einer Neustartschlaufe gefangen und somit unbrauchbar", sagt Schiess.

Auch ein Virenscanner ist in RedStar OS integriert. Er lässt sich nicht ausschalten und scannt die Dateien auf dem Rechner. Erkennt er eine Datei, die bestimmten Mustern entspricht, wird diese gelöscht. Als gefährlich klassifiziert der Virenscanner nicht nur Dateien, die das System RedStar OS, sondern auch das System Nordkorea gefährden könnten. Schiess und Grunow vermuten, dass auch bestimmte Stichwörter wie "hungrig" oder "Strafe" die Löschfunktion auslösen. Zweifelsfrei nachweisen konnten die beiden Redner das aber nicht.

Versteckte Dateien

Außerdem ist RedStar OS imstande, Dateien wie Bilder, Videos und Textdateien mit einem Wasserzeichen zu versehen. Das wird für den Nutzer nicht erkenntlich in den Kopf oder an das Ende einer Datei geschrieben. Mit diesem Wasserzeichen wird klar, von welchem Rechner die Datei stammt. Wird sie an einen weiteren RedStar-OS-Rechner weitergegeben, fügt dieser sein Wasserzeichen hinzu. So kann die Verbreitung einer Datei von außen komplett nachvollzogen werden.

All das geschieht weitestgehend, ohne dass der Nutzer daran etwas ändern könnte. Schiess und Grunow gelang es nur durch langes Ausprobieren, die Zensur- und Überwachungsfunktionen von RedStar OS zu umgehen. "Der normale Nutzer hätte damit seine Schwierigkeiten", sagt Schiess.

Katz-und-Maus-Spiel mit der Great Firewall

Wie viele Nordkoreaner RedStar OS wirklich nutzen, ist allerdings unklar. Internetzugang und die nötigen Geräte dürften in dem wirtschaftlich armen Land die Ausnahme sein. Das nordkoreanische Netz ist vom Rest der Welt abgeschottet. Schiess und Grunow haben bislang nur ein Mal die Serverversion von RedStar OS im weltweiten Netz entdeckt. Will Scott, der RedStar OS im vergangenen Jahr beim 31C3 präsentierte, erklärte damals, die meisten Nordkoreaner in seinem Umfeld hätten Windows XP genutzt. Lizenzen dafür gab es aus China. Scott war Gastwissenschaftler an der Universität von Pjöngjang.

In China selbst sorgt seit Jahren die sogenannte Great Firewall dafür, dass unliebsame Inhalte im chinesischen Internet nicht zugänglich sind. Sicherheitsforscher wie Philipp Winter von der Universität Princeton wissen mittlerweile ziemlich gut, wie die Great Firewall funktioniert. Im Wesentlichen werden alle Datenpakete, die China verlassen, per Deep Packet Inspection gescannt. Die Inspektoren greifen sich also Datenpakete heraus und lesen sie schlicht aus. So erkennen sie, zu welchem Server ein Paket wollte. Ist dies zum Beispiel ein Facebook-Server, wird die Anfrage als unzulässig abgewiesen.

Einblick in jedes Datenpaket

Chinas zweite Mauer kann aber noch mehr: Auch Verbindungen zu Tor-Servern entdecken die Inspektoren und blockieren sie. Wie das funktioniert, hat Winter in einem Team untersucht und in seinem Vortrag erklärt (hier ihre Erkenntnisse in einem PDF). Demnach habe die Great Firewall in der Vergangenheit einfach die IP-Adressen der Tor-Server blockiert, die Listen dafür waren im Netz einsehbar. Darauf reagierten die Tor-Entwickler, indem sie nurmehr eine unvollständige Liste veröffentlichten.

Die chinesischen Zensoren wandten im Gegenzug wieder Deep Packet Inspection an. Sensible Dateiübertragungen im Netz werden typischerweise mit dem Transportprotokoll TLS verschlüsselt. Tor verwendete dieses Protokoll aber ein wenig anders, sodass der Tor-Datenverkehr ausgesiebt werden konnte. Als die Tor-Macher daraufhin die Daten in TLS-Blöcken versteckten, griffen die chinesischen Zensoren zum sogenannten Active Probing.

Tor, VPN, SSH – alles kann erkannt werden

Dabei gibt sich der chinesische Zensor als normaler Nutzer aus und stellt eine Anfrage an einen mutmaßlichen Tor-Server. Antwortet dieser mit einem typischen Tor-Handshake, werden verdächtige Verbindungen zu diesem Server unterbrochen. Die Server-Adresse kommt auf eine Liste und wird fortan generell geblockt. Das Verfahren nutzen die Zensoren so ähnlich auch bei VPN- und SSH-Verbindungen.

Winter erklärte jedoch auch, dass es bereits neuere Protokolle gebe, die Active Probing der chinesischen Zensoren verhindern oder zumindest erschweren könnten. Sie heißen obfs4 oder meek, und beide können Nutzer in ihrem Tor-Browser aktivieren.

Zensur entdecken und messen

Wichtig ist Sicherheitsforschern aber nicht nur die Technik zur Umgehung von Internetzensur und -überwachung, sondern auch jene zur Aufdeckung der Repressionen. Will Scott und Vasilis Ververis wiesen auf dem 32C3 erst auf staatlich erwünschte oder befohlene Filter und Blockaden hin. Sie führten Beispiele aus Großbritannien (hauptsächlich gegen Pornos, aber mit hässlichen Begleiterscheinungen) auf, aus Griechenland und anderen EU-Mitgliedsstaaten (gegen Onlineglücksspiel, aber ebenfalls mit Kollateralschäden) sowie aus anderen Teilen der Welt hin. Danach aber präsentierten die beiden eine ganze Reihe von Initiativen, Berichten und Analysewerkzeugen, die Zensur sichtbar machen.

Wer dabei mitmachen möchte, kann sich zum Beispiel die freie Software OONI installieren, an deren Entwicklung Ververis beteiligt ist. Je nachdem, in welchem Land man sich aufhält, kann die Teilnahme an den Analysen aber rechtliche Risiken mit sich bringen – Zensur lässt sich eben oft nur mithilfe von jenen vermessen, die darunter leiden. Alternativen sind Herdict, eine Plattform, die Berichte von Betroffenen über aktuellen Blockade und Filter sammelt, oder auch das Onlinetool Netalyzr für die Echtzeitanalyse der eigenen Internetverbindung. Website-Betreiber wiederum können eine Codezeile des Encore-Projekts in ihr Angebot einbinden, mit deren Hilfe jeder Besucher Daten über die Erreichbarkeit der Seite generiert und an die Encore-Macher schickt.

Selbstzensur lässt sich nicht messen

In Zukunft könnte auch der neue HTTP-Statuscode 451 die Nutzer auf zensierte Inhalte hinweisen. Die Fehlermeldung soll erscheinen, wenn Websites "aus rechtlichen Gründen nicht erreichbar" sind. Die Zahl 451 ist eine Anspielung auf Ray Bradburys dystopischen Roman 451 Fahrenheit. Während die Internet Engineering Task Force (IETF) hofft, dass der maschinenlesbare Code der Statusmeldung es Aktivisten erleichtern wird, Internetzensur weltweit zu messen, halten einige dieser Aktivisten den Ansatz für falsch. Vasilis Ververis etwa findet, ein offizieller Statuscode würde den Eindruck vermitteln, dass Zensur normal ist. Ihm wäre es lieber, wenn etwas, das kaputt ist, auch kaputt aussieht.

Was Forscher bisher nicht vermessen haben oder vermessen können, sind zum einen staatlich verordnete Drosselungen von Internetverbindungen, die einen ähnlichen Effekt haben können wie vollständige Blockaden. Zum anderen lässt sich schwer feststellen, inwieweit sich Inhalte-Anbieter und Internetnutzer selbst zensieren: Die einen stellen nicht alles auf ihre Seiten, was sie eigentlich wollen oder könnten, die andere rufen nicht alle Seiten auf, die erreichbar wären – aus Angst, sich verdächtig zu machen.