BPjM-Leaker im Interview„Erfahre ich von Kinderpornografie, nehme ich das von der Liste und aus dem Netz“

Falls es auf der veröffentlichten Liste indizierter Webseiten wirklich Kinderpornografie geben sollte, würde der Leaker diese URLs entfernen und sich für die Löschung der Inhalte einsetzen. Das sagte der oder die anonyme Hackerin im Interview mit netzpolitik.org.

Screenshot of the website „BPJM-Leak“ with a description of the hack and the extracted list of URLs.

Falls es auf der veröffentlichten Liste indizierter Webseiten wirklich Kinderpornografie geben sollte, würde der Leaker diese URLs entfernen und sich für die Löschung der Inhalte einsetzen. Das sagte der oder die anonyme Hackerin im Interview mit netzpolitik.org. Eigentlich war sie nur neugierig und wollte die technische Herausforderung lösen – das war einfacher als eine Uni-Hausaufgabe. Er äußert Verständnis für unsere Entscheidung, den Link zu entfernen – und grundsätzliche Kritik an geheimen Sperrlisten.

Am Dienstag haben wir darüber berichtet, dass die geheime Liste in Deutschland indizierter Webseiten veröffentlicht wurde. Gestern haben wir uns entschieden, den Link zur Originalseite herauszunehmen, da die KJM gedroht hat, uns wegen „Zugänglichmachung von Kinderpornografie“ anzuzeigen. Jetzt haben wir ein Interview mit dem oder der anonymen Hacker/in geführt. (Hier gibt’s das auch auf englisch, danke an Kilian für’s Übersetzen!)

netzpolitik.org: Warum hast du die Liste reverse-engineered?

BPjM-Leaker: Ich habe das im Grunde aus (technischer) Neugier gemacht.

Ich bin zufällig über die MD5-gehashte BPjM-Liste gestolpert und war einfach neugierig. Es war wie ein „Hacker-Puzzle“, ich habe versucht, herauszufinden, wie das BPjM-Modul funktioniert. Schließlich habe ich das System herausgefunden (MD5-Hash-URL mit http:// am Anfang und ohne www-Subdomain, anderer MD5-Hash für den Pfad) und probierte manuell Domains aus, die ich auf der Liste vermutete (rotten.com und youporn.com). Jetzt, da das Rätsel gelöst war, entwickelte es sich zu einer neuen Herausforderung: ich versuchte alle Domains auf dieser Liste zu finden, indem ich riesige Listen von Domains sammelte und dann abglich, ob sie auch auf der BPjM-Liste sind. In einer idealen Welt würde dieser Leak zum Ende der Netz-Filter von der BPjM/FSM/KJM führen und das Geld würde stattdessen für Pädophilen-Präventionsprogramme ausgegeben…

netzpolitik.org: Warum hast du die Liste veröffentlicht?

BPjM-Leaker: Ich war mir nicht sicher, was der beste Weg ist, mit diesen Informationen umzugehen. Sie einfach für mich behalten, die Daten an WikiLeaks schicken, einen Artikel/Blog-Post mit meinen echten Namen schreiben, oder sie einfach selbst leaken, mit den Rohdaten und den technischen Details wie die Liste zu überprüfen ist? Am Ende habe ich mich für die letzte Option entschieden. Durch die Veröffentlichung der Liste können jetzt alle sehen, wie lächerlich sie ist, mit ihren absurden Einträgen.

netzpolitik.org: Wie viel Zeit hast du für den Hack insgesamt gebraucht?

BPjM-Leaker: Die Liste zu extrahieren und das MD5-„Verschlüsselungs“-System herauszufinden waren zwei Abende, wenn ich mich richtig erinnere. Die ganzen Domain-Listen sammelte ich über mehrere Monaten, aber insgesamt waren es nicht so viele Stunden.

netzpolitik.org: Die Veröffentlichung der Liste ist nach deutschem Recht verboten. Warum hast du dich entschlossen, es trotzdem zu tun? Erwartest du, angezeigt zu werden? Glaubst du, dass du erwischt wirst?

BPjM-Leaker: Meiner Meinung nach ist es falsch, diese Liste überhaupt anzulegen. Technisch gesehen hat die BPjM die Liste veröffentlicht und ich habe nur eine Art von Transformation der Daten vorgenommen. Ich hoffe, anonym zu bleiben. Eigentlich habe ich nichts Besonderes getan. Alle, die grundlegende Computer-Kenntnisse haben und und neugierig sind, dürften in der Lage sein, an diese Liste zu gelangen. Die Hausaufgaben im ersten Semester eines Informatikstudiums sind in der Regel schwieriger. Ich kann nicht glauben, dass das bisher niemand gemacht hat und dieses BPjM-Modul jahrelang als völlig sicher angesehen wurde.

netzpolitik.org: Wir hatten deine Website verlinkt, aber die KJM hat gedroht, uns zu verklagen, weil angeblich einige der URLs in der Liste Kinderpornografie enthalten, was in Deutschland nach § 184b StGB illegal ist. Kennst du irgendwelche konkreten URLs auf der Liste, die solches Material hosten? Wenn ja: Hast du etwas dagegen getan?

BPjM-Leaker: Erst einmal vielen Dank für das Verlinken auf die Webseite! Und danke auch, dass ihr gezögert habt, den Link wieder zu entfernen und transparent darüber berichtet! Ich kenne keine Domain auf der Liste, die Kinderpornografie beinhaltet. Zuerst habe ich versuchte, die Listeneinträge genauer zu analysieren, indem ich jede URL einzeln aufrief und dann manuell kategorisierte (wie die anderen Analysen des AK-Zensur und von Matti Nikki, die ich verlinkt habe). Aber 3.000 blöde Webseiten anzugucken war mir einfach zu viel und ich habe ziemlich schnell aufgegeben.

netzpolitik.org: Wärst du bereit, URLs von der Liste zu nehmen, wenn dir konkret welche genannt werden, die solches Material enthalten?

BPjM-Leaker: Wenn ich von URLs auf der Liste erfahren würde, die solches Material enthalten, würde ich sowohl eine Abuse-Mail an sowohl den Domain-Kontakt als auch den Hoster schreiben und den Missbrauch melden. Die zuständigen Behörden des Landes, in dem die Website gehostet wird, über die URL zu informieren, wäre auch eine gute Idee. Dann würde ich erwarten, dass die Website innerhalb weniger Stunden vom Netz genommen wird. Wenn ich weiß, dass eine Domain Material über Kindesmissbrauch enthält, würde ich die URL mit ihrem MD5-Hash ersetzen.

netzpolitik.org: Was ist deine Meinung zu Blacklists im Allgemeinen? Sollte Staaten Blacklists für Kinder-/Jugendschutz erstellen? Sollten die verpflichtend sein? Sollten sie geheim sein?

BPjM-Leaker: Für mich fühlt es sich falsch an, dass es viele unterschiedliche Gesetze für verschiedene Menschen gibt. Je nachdem, in welchem Land du lebst und wie alt du bist, entscheiden andere Menschen, was du sehen darfst. In China haben sie ihre große Zensur-Infrastruktur, in Großbritannien wird Filesharing gesperrt, in Deutschland werden Webseiten gesperrt, die alte Helme verkaufen, weil da ein Hakenkreuz drauf ist. Wenn die Liste geheim ist, gibt es keine Kontrolle und dadurch ist die Qualität der Einträge wirklich schlecht, wie das aktuelle BPjM-Beispiel beweist. Die Filterung von Webseiten zum Kinderschutz könnte in einigen Fällen ein nützliches Werkzeug sein, aber nicht durch eine Regierung und nicht auf eine intransparente Art und Weise.

netzpolitik.org: Vielen Dank für das Interview.

(Anmerkung: Gender-Rants in den Kommentaren könnt ihr euch sparen. Ich werde keine „Ratschläge“ annehmen. Meint wer, sich trotzdem aufregen zu müssen, gibt’s hatr. Danke für das Verständnis.)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

33 Ergänzungen

  1. […]Ich kenne keine Domain auf der Liste, die Kinderpornografie beinhaltet.[…]

    Sorry, den Menschen enttäuschen zu müssen, aber eine Url in den Textdateien führt zu dem obengenannten, allerdings nicht zu Bildern, sondern zu Texten (allerdings nur nach Anmeldung) mit der Thematik.

    bombjack

    1. Ein reiner Text kann kein „tatsächliches oder wirklichkeitsnahes Geschehen“ im Sinne des Gesetzes wiedergeben. (BGH Az. 1 StR 8/13)

      1. Einfach nach dem „doppelten“ Mister suchen…
        Ist bei meiner unzensierten Suchmaschine dann der erste Treffer…

        bombjack

  2. Nennt mich von mit aus konservativ, aber ich finde, dass abwechselnd von Männlein und Weiblein zu reden den Aufmerksamkeitsfokus in eine völlig falsche Richtung lenkt.

  3. Danke für den Hinweis auf vergebliche Gender-Rants. Ich musste kurz aus Sympathie schmunzeln :) Ich unterstütze deinen abwechselnden Gebrauch, auch wenn ich aus Jux einfach das generische Femininum verwenden würde.

  4. Netzpolitik darf die Liste zwar nicht posten aber dafür die User. Und da ich nicht aus DE komme sondern aus Österreich ist mir das mit den deutschen Gesetzen auch Latte. Hier die Liste Jungs

    http://txs.io/oBob

  5. Also ein Teil der Links sind auch auf http://someonewhocares.org/hosts/ zu finden, hab ich auch eingestellt bei mir.
    Nett ist auch das da Kreuz.net Artikel mit drinne stehen, ja auch gläubige Christen müssen Zensiert werden^^.
    Hm sonst sind da so ziemlich alle Pornoseiten dabei die es gibt, naja ich wusste schon immer das ich ein schlechter Mensch bin ;). Das ist so peinlich, ich glaub da sind vielleicht 20% der Links die unansehnbar oder strafrechtlich relevant sind.
    Ich glaub ich muss mich selber anzeigen da sind Seiten dabei auf denen ich auch gern mal unterwegs bin. Hab zwar noch nichts schlimmes gefunden aber wenns drauf steht muss es ja schlimm sein.

    Eine brühmte Seite die kennt jedes Kind, wirklich jedes Kind (das ist so wie „warum liegt hier Stroh“):
    (XXX – von uns gelöscht)
    Ok nicht unbedingt lecker aber das kanns nicht sein das das da drauf ist.
    Diese Liste ist ein parade Beispiel für schlechte Arbeit. Mal abgesehen davon das man Gesetzeswridige Seiten löschen sollte und nicht sperren.

  6. Wenn auf netzpolitik.org ein Link auf eine Liste mit Links zu Kinderpornographie veröffentlicht wurde, hätte ich erwartet, daß der Link allein deswegen entfernt wird, um Kinderpornographie nicht zu unterstützen.
    Der Eindruck aus diesem Ablauf ist ein Anderer. Kinderpornographie, und alle die den Zugang dazu unterstützen, machen sich mitschuldig an diesem Unrecht!

    Rudolf Fiedler

    1. Die Aussage greift zu kurz. Angeblich – ich weiß es selbstverständlich nicht, weil ich als gesetzestreuer Bürger niemals die Liste suchen und URLs daraus aufrufen würde, weil ja Kinderpornografie dahinter stehen könnte – zeigt die Liste massives Overblocking. Viele URLs sind angeblich veraltet, etliche verweisen nicht (mehr) auf jugendschutzgefährdende Angebote. Wenn die BPjM solche Listen verteilt stellt sich die Frage, ob sie ihrem Job gewachsen ist, was durchaus berichtenswert ist. Die BPjM kommt aber jetzt und versucht, die Berichterstattung mit Verweis auf Kinderpornografie einzuschränken. Wenn die BPjM diese Aussage wirklich ernst meint frage ich mich, was der Verein den ganzen Tag macht. „Echte“ Kinderpornografie ließe sich relativ schnell vom Netz nehmen, bei einer entsprechenden Meldung wären die URLs also innerhalb kürzester Zeit veraltet. Und „unechte“ Kinderpornografie – also alles, was kein wirklichkeitsnahes Geschehen wiedergibt wie Texte, Lolicons oder 3D-Animationen – ist nicht strafbar.

      Mir kommt es so vor, als würde die BPjM mit ihren Drohungen nicht wirklich irgendjemanden schützen wollen. Das Ziel ist eher, die Berichterstattung einzudämmen. Dummerweise zieht bei so einer Liste das beliebte Urheberrechtsargument nicht, also wird die Kinderpornografie aus dem Hut gezaubert.

    2. Eigentlich sollten auf so einer Liste gar keine Links auf kinderpornographische Inhalte stehen. Vielmehr sollte die BPjM, sobald sie Kenntnis von diesen Links erhält, die entsprechenden Mechanismen in Gang setzen, um diese Inhalte zu löschen.
      Egal wo auf der Welt sowas gehostet wird, in der Regel dauert das maximal ein paar Tage, dann sind die Seiten down. Wenn die BPjM, statt die zuständigen Hoster und Behörden zu informieren, solche Links einfach in die geheime Liste mit aufnimmt, ist sie es, die sich (zumindest moralisch) mitschuldig macht.

  7. Toll, dass ihr hier das Interview veröffentlicht. Echt super. Denn das gibt auch den Staatsbeamten mal einen Einblick in die wahren Beweggründe der/des Hackerin/Hackers. Und die passen halt so gar nicht zu dem Bild des bösen Hackers, das der Staat gerne zeichnet.

    Im Interview wird geäußert, dass es eine solche Liste eigentlich gar nicht geben sollte. Meine Meinung dazu: Jein. Natürlich ist es nicht Aufgabe des Staates eine solche Liste zu führen. Heute sind abnormale Perversitäten auf ihr zu finden und morgen politisch unliebsame Meinungen.

    Genauso verständlich ist es, dass beispielsweise Eltern gerne eine Liste mit solchen Seiten hätten, damit sie sie sperren können und ihre Kinder keinen Zugriff mehr darauf haben (sei es absichtlich oder aus Zufall). Sofern also Institutionen, die nicht dem Staat unterstehen, solche Listen anlegen, spricht nichts dagegen. Zumal ja jeder selbst entscheidet, ob er sie anwendet oder nicht.

    Letzteres ist auch bei der staatlichen Liste so. Niemand wird gezwungen, sie zu verwenden. Es gibt also keine Zwangssperrungen. Aber dahin ist es ja nur noch ein klitzekleiner Schritt. Und genau das ist das Gefährliche.

    1. „Heute sind abnormale Perversitäten auf ihr zu finden und morgen politisch unliebsame Meinungen. “

      Wieso morgen? Die aktuelle Sperrliste ist doch voll von politisch unliebsamen Meinungen.

  8. „Integration des BPJM-Moduls (Bundesprüfstelle für jugendgefährdende Medien), welches zusätzlichen Schutz Ihrer Kinder vor ungeeigneten Internetseiten bietet. Dabei werden die von der BPJM indizierten Online-Angebote herausgefiltert. Somit werden auf dem PC Ihrer Kinder keine Inhalte angezeigt, die nicht altersgerecht sind.“

    http://tarife-und-produkte.t-online.de/mit-kinderschutz-software-surfen-ihre-kinder-sicher-im-internet-/id_12727562/index
    ____________________

    wenn da mal nicht die bpjm-zensurliste eingebaut ist….

    da kann sich aber die teledoof frisch machen, mit ihrer 0€ software und verbreiten der liste, die keiner sehen darf…. *hust*

    *pfeif*

  9. „Somit werden auf dem PC Ihrer Kinder keine Inhalte angezeigt, die nicht altersgerecht sind.”
    _________________________

    die software erkennt sogar das alter der kinder vor dem pc! *staun*

    *facepalm*

    1. Das ist wichtig. Erwachsene dürfen die illegalen Inhalte wie Kinderpornographie natürlich abrufen und sich strafbar machen. Auf der Liste sind natürlich einige Seiten mit verdächtigen Namen drauf, aber statt die löschen zu lassen …

  10. > Wenn ich von URLs auf der Liste erfahren würde, die solches Material enthalten, würde ich sowohl eine Abuse-Mail an sowohl den Domain-Kontakt als auch den Hoster schreiben und den Missbrauch melden.

    Die Bundesprüfstelle für jugendgefährdende Medien sollte genau das machen. Wenn sie schon so eine tolle Liste hat. In den allermeisten Fällen (soweit ich mich erinnere gab es darüber mal einen Artikel irgendwo bei heise) funktioniert das.
    Sperren macht das ja nicht weg, Löschen macht das weg. Und die Domains zu kennen und nichts zu unternehmen ausser sie in diese dumme Liste einzutragen grenzt schon an unterlassener Hilfeleistung.

  11. Es heißt, ungefähr die Hälfte aller in Deutschland eingesetzten DSL-Router seien Fritzboxen, die die BPjM-Zensurliste automatisch aktualisieren. Nutzt hier jemand so ein Gerät und kann kurz erklären, wie das praktisch funktioniert? Gibt es ein Opt-In oder ein Opt-Out? Ist die Zensur zwangsweise dauerhaft aktiv?

    Einen Hersteller, der freiwillig solche Zensurmaßnahmen in seine Hardware einbaut, könnte man möglicherweise schon aus Prinzip boykottieren.

    1. Zitiert von der Originalseite:

      The list is distributed about once per month to more than 27 companies who offer child protection software or DSL/Cable routers (for example AVM FRITZ!Box Router, Draytek Vigor Router, Telekom Kinderschutz Software, Salfeld Kindersicherung and Cybits JusProg and Surfsitter). This companies usually implement the blocklist as opt-in – users have to enable it by choice to filter the websites.

    2. Nachtrag zu meinem Kommentar unten. Aufgefallen ist mir das, als ich diesen Eintrag im Log gesehen habe:
      09.07.14 [hh:mm:ss] Filter-Liste der von der BPjM indizierten Internetseiten erfolgreich aktualisiert.

      Es war also schon vorher aktiv (aber nicht aktiv von mir eingeschaltet).

      1. Nochmal von der Seite:

        About half of all DSL/Cable routers in Germany are AVM FRITZ!Boxes. They support the BPjM-Modul and update the list about once per month even if you don’t opt-in to use the filter.

  12. Ja, Fritzbox 7270 – vorher ging da alles ohne Einschränkungen. Gestern habe ich ein Firmware-Update gemacht und dabei ist mir aufgefallen, dass der Jugendschutzfilter aktiv war. Aktiv eingeschaltet hatte ich ihn bei der Einrichtung vor ~20 Monaten nicht (hier sind nur erwachsene Nutzer im Haus und ich muss mich manchmal von Berufs wegen auf zweifelhaften Seiten tummeln).

    Abschalten kann man ihn aber über einen Haken in den Voreinstellungen – es scheint mir also opt-out zu sein. Blöde Bevormundung – so ein Teil wird mir nicht wieder ins Haus kommen.

  13. ob der BPjM eigentlich bewusst ist, das es beim Hash’en auch zu verfahrensbedingt auch zu Kollisionen kommen kann? Naja ist ja nur theoretisch ein Problem.

  14. Seiten mit Kinderporno nur zu löschen und das war es schon … ist doch bisschen wenig, oder?
    Die Betreiber solcher Seiten gehören angezeigt und hinter Gitter, genau wie die Täter, welche Kinder für ihre schmutzigen Spielchen benutzen. Persönlich habe ich dafür kein Verständnis, finde ich durch Zufall solche Seiten, dann zeige ich es an, dass die Seiten gelöscht werden versteht sich dann von selbst.
    Null- Toleranz … von meiner Seite …

  15. Da die Liste LEIDER schon weg ist kann man auch ruhig auf die offizielle Seite nochmal verlinken. Aber bringt ja nix weil die Liste eben nicht da ist. Hab mir natürlich gleich zig Backups von gezogen und veröffentliche hier nochmal die unzensierte Liste

    XXX

    Es gibt übrigens keine Kinderporno Seiten drauf – hab sogar extra danach gesucht. Auch die GEMA Spaken konnten nicht sagen welche Seiten denn Kinderpornos enthalten sollen denn nur die hätten ja aus der Liste bei Neocities entfernt werden können. Der Betreiber hätte ebenfalls darauf bestehen können bzw. MÜSSEN NUR die Seiten rauszunehmen die es enthalten. Stattdessen hat er gezeigt dass statt prallen Schlepphoden nur winzige Kichererbsen hat und hat sofort nen Kniefall gemacht und BIS HEUTE die Liste komplett entfernt …

    GEBT ZENSUR KEINE CHANCE !

    TRANSPARENZ IST ALLES !!!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.