Vor einigen Tagen (inzwischen zwei Wochen) berichteten netzpolitik.org und andere Portale in der Medienlandschaft über eine seit Januar 2024 bestehende Blockade des Portals Sci-Hub.
Einen derartigen Sperrunfug hat es bereits 2002 auf Betreiben des damaligen Regierungspräsidenten Jürgen Büssow (Regierungsbezirk Düsseldorf) gegeben. Damals konnte man noch von einer behördlichen Anordnung reden. Ebenso gab es damals Proteste seitens der Zivilgesellschaft und - welch' Überraschung - seitens der Provider.
Inzwischen ist viel Wasser den Rhein hinunter geflossen. Statistisch sind das einige Wassermoleküle sogar mehrfach. Und die Zeiten haben sich geändert. Wo früher Grundrechte verteidigt wurden, stehen heute Wirtschaftsinteressen ganz weit oben auf der Prioritätenliste. Diese Wirtschaftsinteressen werden koordiniert durch die Clearingstelle Urheberrecht im Internet (CUII). Die Clearingstelle empfiehlt die Sperrung von Webseiten, die von ihr als strukturell urheberrechtsverletzend eingestuft werden. Für das Zustandekommen einer derartigen Empfehlung gibt es einen Verhaltenskodex, eine Verfahrensordnung, es gibt Richtlinien und einen Prüfungsausschuss unter Vorsitz eines pensionierten Richters des Bundesgerichtshofes. Das klingt alles sehr offiziell, aber es ist nicht amtlich. Die CUII ist eine Geschäftsstelle innerhalb des zivilrechtlichen Vereins Selbstregulierung Informationswirtschaft e. V. mit Sitz in Berlin. Gegründet wurde er im Januar 2021 - also mitten in der Corona Pandemie. Daher ist es möglich, dass die mediale Aufmerksamkeit zu dieser Zeit nicht auf die Privatisierung des Rechtsstaates fokussiert war.
Aktuelles Ziel der Aktivität im Januar 2024 war Sci-Hub (en). Es wird nicht nur das DNS so manipuliert, dass einige Domains nicht mehr erreichbar sind, es wurde auch eine Informationsseite geschaltet:
Auf diese Informationsseite soll man durch die DNS-Manipulation kommen. In der englischsprachigen Wikipedia finden sich im Informationskasten oben rechts drei URLs:
Diese drei Seiten sind bei einem lokalen Test nicht aufrufbar. Das ist beruhigend. Der Browser haut eine unübersehbare Warnmeldung raus: Your connection is not private. Und auch: Attackers might be trying to steal your information. Grund dafür ist NET::ERR_CERT_COMMON_NAME_INVALID, denn das Zertifikat ist ausgestellt für Subject: notice.cuii.info. Damit wird völlig korrekt ein sicherheitsrelevanter Vorfall getriggert. Da wir noch keine Zustände wie im Iran haben, fällt das auf - noch (mehr dazu im Hintergrund am Ende des Blogposts).
Wie verhält es sich nun mit der lokalen DNS-Auflösung? Ein erster Test:
$ dig -t A sci-hub.se | grep cuii sci-hub.se. 3600 IN CNAME notice.cuii.info. notice.cuii.info. 51063 IN A 167.233.14.14
Ist das identisch mit dem, was Andere irgendwo in der Welt sehen? Befragen wir einen Nameserver von Google:
$ dig @8.8.4.4 -t A sci-hub.se | grep ^sci sci-hub.se. 60 IN A 186.2.163.219
Das sieht nach deutlich unterschiedlichen IP-Adressen aus. Fragen wir doch nach dem SOA Resource Record . Diesmal zuerst Google:
$ dig @8.8.4.4 -t SOA sci-hub.se | grep ^sci sci-hub.se. 2125 IN SOA 1-you.njalla.no. you.can-get-no.info. 2401191133 21600 7200 1814400 3600
So soll das vermutlich auch aussehen. Was sagt der manipulierte DNS Nameserver?
$ dig -t SOA sci-hub.se | grep cuii sci-hub.se. 996 IN CNAME notice.cuii.info. cuii.info. 0 IN SOA hydrogen.ns.hetzner.com. dns.hetzner.com. 2024041707 86400 10800 3600000 3600
Die Domain sci-hub.se hat gar keinen SOA RR!? Das ist ein wenig seltsam... wird aber noch besser.
$ dig @8.8.4.4 -t ANY sci-hub.se | grep ^sci sci-hub.se. 3600 IN SOA 1-you.njalla.no. you.can-get-no.info. 2401191133 21600 7200 1814400 3600 sci-hub.se. 21600 IN NS 3-get.njalla.fo. sci-hub.se. 21600 IN NS 1-you.njalla.no. sci-hub.se. 21600 IN NS 2-can.njalla.in. sci-hub.se. 60 IN A 186.2.163.219 sci-hub.se. 10800 IN MX 10 mail.sci-hub.se. sci-hub.se. 60 IN TXT "google-site-verification=L7LbXayxbIGP1jN8ac8cNzvLHLTrL3Uoj7XixrTzBmQ" sci-hub.se. 60 IN TXT "unstoppable-domains=aVynJDspOyIzR0v0OS5bZcOsdjoeLiRj4FO8W5Fe"
Die Abfrage vom Typ ANY über den Provider schenke ich mir an dieser Stelle, da fehlt alles. Insbesondere fehlt auch eine sinnvolle Antwort zu folgender Abfrage:
$ dig -t MX sci-hub.se
Ich kann demnach über das normale DNS und den Nameserver des lokalen Providers keinen MX Eintrag abfragen und somit keine E-Mail direkt abliefern. Hier hat man sogar doppelt vorgesorgt. Das Original:
$ dig @8.8.4.4 -t A mail.sci-hub.se | grep ^m mail.sci-hub.se. 10800 IN A 95.215.19.18
Unter dieser Domain und IP liegt gar keine urheberrechtsverletzende Webseite. Dennoch wird fleißig manipuliert, ohne dass die Bundesnetzagentur eine Beanstandung hinsichtlich Netzneutralität äußert.
$ dig -t A mail.sci-hub.se | grep ^m mail.sci-hub.se. 3600 IN CNAME notice.cuii.info.
Das Urheberrecht und die damit verbundenen Wirtschaftsinteressen müssen von einer extremen Wichtigkeit sein, wenn man zur Durchsetzung Selbstjustiz im privatisierten Rechtsstaat übt und sogar Verstöße gegen das StGB riskiert. Um welche Verstöße es sich handeln könnte? Spekulieren wir ein wenig:
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt [...] 2. eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt [...]
Natürlich ist zu klären, ob dieser Paragraph für E-Mail Anwendung finden kann. Eine eindeutige Nichtanwendbarkeit ist jedoch nicht erkennbar, da es sich um elektronische Post und Fernmeldekommunikation handelt. Klarer sieht der Sachverhalt beim nächsten Paragraphen aus:
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.
Hier ist rechtswidrig der entscheidende Begriff. Welche Rechtsgrundlage gibt es für das Verändern der Daten im DNS? Ist die Veränderung rechtswidrig oder ist sie es nicht? Die folgenden Paragraphen dienen der weiteren Präzisierung, weil auf sie Bezug genommen wird.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, [...] wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Kommen wir nun zum Highlight. Der Provider übermittelt meine Anfrage an die entsprechende Webseite an die extra geschaltete Notice-Webseite. Das sieht nach einem Anwendungsfall für den folgenden Paragraphen aus:
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Nicht nur wird die beabsichtigte Anfrage unterdrückt, zusätzlich wird das auch noch einem anderen (CUII) bekannt gegeben und ein unbeteiligter Verein speichert meine IP-Adresse. Hier kommt als Sahnehäubchen dann auch noch die DSGVO ins Spiel. Eine Einwilligung zu dieser Umleitung habe ich sicherlich nicht gegeben.
Sieht man sich die Gründung und den Zweck von CUII an, ist das alles natürlich kein Zufall. Diese Art von Internetsperren sind das erklärte Ziel der Beteiligten. Ist das ein Anwendungsfall für folgende Schokostreusel auf dem Sahnehäubchen?
(1) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer eine Vereinigung gründet oder sich an einer Vereinigung als Mitglied beteiligt, deren Zweck oder Tätigkeit auf die Begehung von Straftaten gerichtet ist, die im Höchstmaß mit Freiheitsstrafe von mindestens zwei Jahren bedroht sind. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer eine solche Vereinigung unterstützt oder für sie um Mitglieder oder Unterstützer wirbt.
Glück gehabt - dieser Paragraph kommt nicht zur Anwendung, weil eine Freiheitsstrafe von mindestens zwei Jahren notwendig wäre. Demnach handelt es sich bei der Clearingstelle Urheberrecht im Internet nicht um eine kriminelle Vereinigung.
Wie auf Wikipedia nachzulesen ist, haben sich zwei Bundesoberbehörden zu CUII geäußert: das Bundeskartellamt und die Bundesnetzagentur. Beide sind dem Bundeswirtschaftsministerium zugeordnet und haben keine Bedenken hinsichtlich des Zwecks und dessen Umsetzung. Warum sollten sie auch? Das Wirtschaftsministerium kümmert sich eben um Wirtschaftsinteressen...
Interessanter scheint ein Blick auf die verfassungsmäßige Ordnung zu sein:
(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten.
Jeder hat demnach das Recht, sich aus der Quelle Sci-Hub zu unterrichten. Eine Einschränkung bedarf eines Gesetzes, und da es um Grundrechtseinschränkungen geht, muss dass explizit spezifiziert werden. Über welches Gesetz genau als Rechtsgrundlage für die Sperraktion reden wir also?
Immerhin hat sich der BGH vor anderthalb Jahren zu diesem Thema geäußert.
Dieses Thema bedarf dringend einer politischen Debatte. Die juristischen Unklarheiten und die nicht ausgereifte Sichtweise der Zivilgesellschaft machen das fast zwingend erforderlich. Auch die mit diesem Thema verbundene Privatisierung des Rechtsstaates ist nicht einfach hinnehmbar. Ein Versuch, letztere abzuwenden, ist mit einem Antrag der damaligen Fraktion DIE LINKE im deutschen Bundestag gescheitert.
Bis es zu einer ernsthaften politischen Debatte kommt, betrachten wir die Lage als bildungsfördernde Maßnahme. Wer sich ein kaputt konfiguriertes DNS nicht bieten lassen will, verwendet einfach einen anderen Nameserver als den des Providers. Es gibt reichlich davon, z.B. bei Digitalcourage:
Weiterer Lesestoff
Und nun zum Hintergrund mit DigiNotar und dem Iran.