CUII-ListeDiese Websites sperren Provider freiwillig

Damian, 17 Jahre, legt sich mit Internetanbietern und Unterhaltungsindustrie an. Er hat die geheime Liste der Websites veröffentlicht, die nach Absprache von Unternehmen und Verbänden in Deutschland gesperrt werden.

Ein Mensch der am Computer sitzt.
So in etwa sieht es aus, wenn Damian an cuiiliste.de arbeitet (Symbolbild). – Public Domain Midjourney

Diese Liste ist eine Goldkiste für Kulturpiraten. 144 Internetseiten stehen darauf, die Kulturgüter gratis zur Verfügung stellen: Portale für Filme, Musik, Games oder Sportübertragungen. Einige der dort auffindbaren Inhalte sind urheberrechtlich geschützt, daher werden die Seiten wegen „struktureller Urheberrechtsverletzung“ von sechs Providern in Deutschland gesperrt.

Eigentlich ist die genaue Liste geheim. Die Clearingstelle Urheberrecht im Internet (CUII), die sie zusammengestellt und die Sperrung der verzeichneten Seiten veranlasst hat, besitzt ein ernstes Interesse daran, dass die Links darauf nicht angesurft werden. In ihr sind neben den Providern auch Rechteinhaber der dort angebotenen Unterhaltungsdateien vertreten.

Damian, 17 Jahre, Schüler in Deutschland, hat die Liste am 20. Juli geleakt. Zwar listet die CUII selbst, die gesperrten Seiten auf. Aber eben nicht alle Domains, die zu der Seite gesperrt sind. Zur Sperre der Schattenbibliothek Sci-Hub etwa steht in der „Empfehlung“ der CUII nur:

Für die SUW [strukturell urheberrechtsverletzende Webseite] werden die Domains „*****“, „*****“, „*****“, „*****“, „*****“ und „*****“ benutzt, die nach wie vor verfügbar sind.

Damian hat ein Problem mit der CUII. Genauer gesagt mindestens zwei, erzählt er im Interview mit netzpolitik.org. Einmal ist er dagegen, dass die CUII seiner Meinung nach eine Art privatwirtschaftliche Paralleljustiz betreibe. Bei der CUII sind sechs Internetprovider und neun Rechteinhaber wie Motion Pictures Association, Bundesverband Musikindustrie und Deutsche Fußballliga beteiligt.

„Eine Art Selbstjustiz“

„Wenn eine private Organisation ohne Anhörung von Richter*innen entscheiden kann, welche Internetseiten sie sperrt, dann ist das ein Problem“, sagt Damian. Dabei sei es ja möglich und schon öfter vollbracht worden, eine Domain mit juristischen Mitteln und einem richterlichen Beschluss sperren zu lassen.

„Es gibt einen richtigen Weg, wie man solche Ansprüche durchsetzen kann. Das ist mit Aufwand für die Rechteinhaber verbunden. Die müssen beweisen, wo genau die Urheberrechtsverstöße stattfinden, versuchen, den Betreiber ausfindig zu machen, beim Hoster eine Löschung erbitten. Und für die Internetanbieter ist das auch unpraktisch, denn dann müssen sie vor Gericht. Der Rechtsweg stellt aber sicher, dass das im gesetzlichen Rahmen abläuft. Die CUII hingegen entscheidet das ganz allein. Das ist eine Art Selbstjustiz“, sagt er.

Die Rechteinhaber in der CUII beantragen die Sperren, die CUII prüft, ob eine „strukturelle Urheberrechtsverletzung“ vorliegt und weist, wenn dem so ist – und die Bundesnetzagentur ihr okay gibt – die beteiligten Internetprovider an, die Seite zu sperren. Mirror-Domains, die den gleichen Inhalt bieten, werden ohne erneutes Prüfverfahren gesperrt. „Das wird dann nichtmal mehr an die Bundesnetzagentur weitergeleitet“, sagt Damian. „Keine dritte Partei kennt diese gesperrten Domains. Die können da frei welche hinzufügen.“

Die CUII selbst beruft sich zum einen darauf, dass sie lediglich „Empfehlungen“ abgibt, über die ein „dreiköpfiger unabhängiger Prüfausschuss“ entscheidet. „Die Empfehlung des Prüfausschusses folgt den geltenden Gesetzen und den bislang ergangenen Urteilen des BGH und des EuGH sowie der unterinstanzlichen Rechtsprechung, die diese höchstrichterliche Rechtsprechung konkretisiert“, heißt es auf der Website. Die Prüfung der CUII diene dazu, „unnötige Gerichtsverfahren zu vermeiden“.

Fehlende Transparenz

Das Recht auf freie Information steht in Artikel fünf des Grundgesetzes, es sollte eigentlich nicht ohne richterlichen Beschluss einschränkbar sein, das ist verfassungsrechtlich bedenklich. Außerdem werden bei den Sperren ganze Domains blockiert, auf denen sich teilweise auch ganz legale Inhalte befinden. Diese werden ebenso den Nutzer*innen verborgen.

Dazu kommen wettbewerbsrechtliche Schwierigkeiten, weil die Piratenseiten eine Konkurrenz für die CUII-Mitglieder sind.

Damians zweites großes Problem mit der CUII ist die fehlende Transparenz. Die CUII hält geheim, welche Websites genau von ihren Sperren betroffen sind. Wer eine Seite ansurft und nicht auffindet, weiß, dass diese gesperrt ist, aber nicht, ob von der CUII oder von einem Gericht oder zum Beispiel aufgrund eines EU-Embargos, so wie derzeit viele russische Nachrichtenseiten.

Und die surfende Person kennt auch nicht das Ausmaß der privatwirtschaftlich initiierten Sperren. Sie kann sich kein Bild davon verschaffen, welches Muster dahinter steht. „Deshalb wollen wir die CUII transparenter machen“, sagt Damian.

Ein Spaßprojekt mit ernstem Hintergrund

Damian hat seine Sommerferien in die Website cuiiliste.de investiert. Erst hat er zur CUII recherchiert, festgestellt, dass es cuiiliste.de schon einmal gab und die Domain frei ist. „Da dachte ich mir, das bringe ich mal als Spaßprojekt wieder auf Vordermann“.

Daraufhin hat er innerhalb von zwei Wochen die Seite geschrieben. Zunächst war die Idee, dass Menschen auf cuiiliste.de automatisch prüfen lassen können, ob und bei welchen Providern eine Website gesperrt ist, um so nach und nach ein Archiv in Deutschland gesperrter Seiten aufbauen zu können.

Doch dann bekam Damian von einer Person, die sich im Netz Northernside nennt, eine aktuelle CUII-Sperrliste zugespielt. Die Liste stammt offenbar von einem Internetprovider.

Eine andere Person hat daraufhin die Adressen aller DNS-Resolver der in CUII versammelten Internetprovider gesammelt, damit Damian testen kann, ob alle die gleiche Liste sperren. Das war der Fall, die aufgetauchte Sperrliste ließ sich bestätigen. Daraufhin hat Damian ein Skript geschrieben, das die Sperrliste jede Minute einmal auf Aktualität überprüft. Acht Seiten wurden kürzlich entsperrt, wohl weil sie sowieso nicht mehr erreichbar sind.

Die Sperre ist leicht umgehbar

Vier Bekannte haben Damian zeitweise unterstützt, alle nah an der Volljährigkeit. Sie kennen sich aus dem Internet. Damian ist viel im Netz unterwegs. Er programmiert, seit er zwölf ist, hat es sich selbst beigebracht. Sein bekanntestes Programm, ServerSeeker, durchsucht das Internet nach Minecraft-Servern. Neben der Arbeit an cuiiliste.de – und der Schule – entwickelt er gerade einen Programmierkurs für Kinder.

Damian nutzt nach eigener Aussage keine der auf der CUII-Liste versammelten Seiten. Er käme aber problemlos an die Inhalte, die die CUII eigentlich gerne gesperrt wüsste. Dafür bräuchte es auch gar kein Skillset wie das von Damian.

Gesperrt sind nämlich nicht die Inhalte auf den Websites, sondern nur die Domains – Adressbezeichnungen wie cuiiliste.de. Die werden von DNS-Servern in die IP-Adresse der Website übersetzt, einen Zahlencode. Und die DNS-Server der CUII-Internetprovider verweigern bei den gesperrten Seiten die Arbeit. Aber es gibt zahlreiche weitere DNS-Server. Auf seiner Website zeigt Damian für jedes Betriebssystem Wege, wie man die DNS-Server der CUII-Mitglieder einfach umgehen kann.

Das ist nicht nur relevant für diejenigen, die ohne zu zahlen Filme und Serien schauen wollen, sondern auch für die wissenschaftliche Community. Unter den gesperrten Seiten befindet sich auch Sci-Hub, eine Plattform, die wissenschaftliche Aufsätze zugänglich macht. Die werden zwar meist staatlich finanziert, die Rechte liegen aber dennoch oftmals bei Wissenschaftsverlagen. Die verlangen für den Zugang oft hohe Preise.

17 Ergänzungen

  1. Ob das wirklich eine gute Idee ist, alle zu Cloudflare zu treiben und damit das DNS zu zentralisieren? Ich benutze auch schon seit langem Quad9 und spende gelegentlich, aber mehr als Schutz vor neugierigen WLAN-Betreibern und Malware, aber prinzipiell widerstrebt mir Zentralisierung und Oligopole, weil es aus dem Internet letztlich eine Mall gemacht hat.

    Auf Android muss man auch seit langem keine App mehr installieren um verschlüsseltes DNS zu nutzen. Wenn man so ein uraltes Android noch nutzen sollte, ist DNS das kleinste (Sicherheits)-Problem. Bitte entsorgen!

    Quad9 könnte man auch prominenter verlinken (https://www.quad9.net/) statt einfach irgendwelche „magischen“ IP-Adressen aufzulisten ohne wirklich zu erklären, was das bedeutet. Quad9 erklärt auf seiner Seite eigentlich ganz gut, was ihr Zweck ist. Ansonsten fehlt stormfront.org auf der Liste oder ist die nur in NRW gesperrt?

    1. Hey, ich bin Damian, und allgemein wollte ich die Seite zum Umgehen knapp halten.
      Dort, wo man IP-Adressen manuell eingibt, habe ich auch quad9 als primary DNS-Resolver gestellt und Cloudflare nur als secondary.
      Bei Android hatte ich leider das Problem, dass es so viele Android-Varianten gibt, die alle die Einstellungen wo anders verstecken. Die Nutzung von der 1.1.1.1-App vereinfacht das.
      Bei Apple gab es das Problem, dass man es für jedes WLAN-Netzwerk die Einstellung manuell ändern müsste – hier hat wieder die App von Cloudflare geholfen.
      Wie gesagt, ich bin da nicht drauf eingegangen, warum man einen Schritt macht, ich wollte es einfach so simpel wie möglich erklären. Leute, die sich mit solchen Sachen bereits auskennen und auf sowas Wert legen, werden eher nicht auf mein „Tutorial“ zurückgreifen.
      Ich kann gerne noch eine allgemeine Erklärung dazu, was man machen soll, zusammenschreiben.
      Ich habe die Sachen echt knapp gehalten und nicht viel Arbeit in die Umgehungs-Seite reingesteckt.
      Bei den Browsern gab es leider quad9 nicht als DoH zum auswählen.

      1. Hi Damian, danke für deine ausführliche Antwort. Eigentlich sollte das bei Android relativ einfach sein, da die Einstellungen durchsuchbar sind. Wenn man nach Private DNS sucht, sollte man die Einstellung finden. Das Feature gibt es seit Android 9 (Pie).

        Dein Anliegen und deine Motivation finde ich sehr gut und die Umsetzung ist auch nicht schlecht. Prinzipiell finde ich es immer besser Aufzuklären und zu Erklären als schnelle Lösungen zu bieten. Es gibt im Netz schon zuviel gemeingefährliche Life Hacks, gutmeinte Tipps, die auf gefährlichem Halbwissen basieren etc. Gerade DNS ist zentral wichtig für Sicherheit und Privätsphäre, dank HTTPS/TLS vielleicht etwas weniger sensibel als früher, aber letztlich immer noch Dreh- und Angelpunkt. Wenn man Kontrolle über DNS hat, hat man sehr weitreichende Macht, vom Einsammeln welcher Websites und Dienste man so nutzt, über das komplette Blockieren dieser oder gar der Manipulation durch Umleitung. Daher muss man seinem DNS-Provider schon sehr weitreichend vertrauen können.

        OpenDNS hat z.B. in der Vergangenheit DNS-Anfragen die in NXDOMAIN (also nicht gefunden) resultierten auf eigene IP-Adressen umgeleitet, um dann im Browser Werbung und Vorschläge anzuzeigen. Was im Browser bestenfalls nur ätzend ist, macht bei jeder anderen Anwendung massiv Ärger. Die Telekom und andere ISPs haben dieses „Feature“ später aus bestimmt altruistischen Gründen kopiert und man konnte es nur auf Antrag für den eigenen Anschluss deaktivieren (oder eben die DNS-Server in seinem Router manuell eintragen):

        https://bugs.launchpad.net/linuxmint/+bug/1133777

        Bei Firefox in der Desktop-Version kann man einen eigenen DNS-Provider für sicheres DNS eintragen. Wenn bei anderen Browsern nur Cloudflare zur Auswahl steht, würde ich davon ausgehen, dass sie dafür bezahlt werden, was ich zumindest fragwürdig finde.

        Lange Rede, wenig Sinn: Ich finde gut, was du machst und hoffe, dass du deswegen keinen Stress bekommst.

    2. Ergänzung:
      stormfront.org ist nicht durch die CUII gesperrt, worauf ich mich nicht beziehe.
      Sie scheint außerdem bei allen DNS-Servern der 4 großen Internetanbieter erreichbar zu sein.

  2. „Sein bekanntestes Programm, ServerSeeker, durchsucht das Internet nach Minecraft-Servern.“ Das ist übrigens ein Tool, welches, welches u.A. damit wirbt, Spieler*innen ohne ihr Einverständnis zu tracken. Weiterhin wurden solche Tools in der Vergangenheit schon genutzt und auch speziell dazu entwickelt, ungeschützte Server durch Scans über die gesamte IPv4-Range zu identifizieren, um dort dann die Freizeitprojekte von teils Kindern zu zerstören, die nicht wissen, dass sie die Allowlist aktivieren sollten. Die schweren Fehler liegen hier offensichtlich bei Mojang/Microsoft, aber trotzdem weiß ich nicht, ob man hier solche Exploit-Tools noch bewerben sollte…

    1. TL;DR: Server-Scanner sind Google für Minecraft.

      Ein Minecraft-Server-Scanner ist ein recht einfaches und rudimentäres Werkzeug. Es funktioniert in etwa so:

      socket = connect(server_ip);
      send(socket, „\xfe\x01“)
      response = receive(socket);

      So in etwa funktionieren dein Browser, eine Suchmaschine, cURL, und so weiter, nur dass diese nicht das Minecraft-Protokoll nutzen, sondern HTTP.

      Dass das Programm dem Nutzer die Möglichkeit gibt, diese Antworten zu durchsuchen, ist also mit Google’s Indizierung von Schlüsselworten zu gleichzusetzen. Dass das genutzt werden kann, um Bauten kleiner Kinder zu zerstören, ist, wie zu behaupten, dass Google genutzt werden kann, deren Social-Media-Konten zu finden: faktisch korrekt, aber irreführend.

      Google wird oft genutzt, um Sicherheitslücken zu finden. Das macht es aber bei weitem nicht zum Exploit-Tool. Wie ServerSeeker das Zerstören von Bauten, heißt Google das finden von Sicherheitslücken mit Google nicht gut. Ergo: kein Exploit-Tool, sondern harmlose Suchmaschine.

  3. „Eine Art Selbstjustiz“
    Na ja, ehr eine Art private Zensur, weil man sich nicht mehr ungehindert aus öffenlich zugänglichen Quellen unterrichten kann.

    Was aber objektiv gesagt werden kann: die sperrenden Provider bieten keinen Internetzugang. Denn die gesperrten Seiten sind Teil des Internet und nicht verboten. Folglich dürfen sie auch nicht mit Internetzugang werben. Die Sperrung muss offen kommuniziert werden.

    1. Gibt es denn einen DNS Fehlercode der dem aufrufenden Resolver/Server zurückmeldet „Domain gesperrt wegen eintrag in Sperrliste XYZ“

      So was gibt es für Spamdomains aber da läuft das noch etwas anders. Und ob der Provider Endkundenzugang zum Internet bietet ist m.E. auch irrelevant. Transparenter wird es weder mit noch ohne. Es ist nur effektiver wenn die ISP die ganzen abfragen nach domainX weg filtern. Dann muß sich ein Core-provider nicht mehr darum kümmern. Umgekehrt könnte der die aggregierten anfragen weg filtern und den ISP damit zeit sparen – wenn deren Routing/Peering dazu passt.

      Und wenn eine Seite im Internet nicht verboten wäre, so müsste sie erlaubt sein und die Sperrliste wäre unnötig. Nationale Details sind dann wohl eher Geoblocking.

      1. Nein, so einen Fehlercode gibt es nicht. Allerdings leiteten die Sperren anfangs auf notice.cuii.info weiter. Seitdem Damian CUIIListe veröffentlicht hat, hat sich das geändert: jetzt gaukeln sie Nichtexistenz (NXDOMAIN) vor. Das ist ein noch schwerwiegenderer Eingriff in die korrekte Funktionsweise des Internets als zuvor.

    2. Die Netzneutralität ist in Deutschland und EU-weit geltendes Recht. Dass die BNetzA diese Verstöße dagegen nicht ahndet, beruht einzig auf ihrer engen Zusammenarbeit der CUII.

  4. Also wenn die BNetzA die Beschlüsse vorab erhält und dann sein okay gibt, dann entscheidet ja eine private Organisation nicht ganz alleine. Die BNetzA als höchte Aufsichtsbehörde hat diese dann genehmigt.

    1. Das scheint mir in dem Konstrukt aber eher so als ob eine Hand (Des Staates) abnickt was die andere (Private) Beschlossen hat. Und die BNetzA wird derart neue „Genehmigungen“ wohl auch nicht veröffentlichen oder? Dann wäre es zumindest an einer Stelle Transparent und einsehbar.

      Was den Zweck der Liste wiederum unterliefe: Austrocknung anderer Quellen „by Obscurity“.

      Man könnte auch sagen: Die Medienkonzerne wollen ihr Gelddruck-monopol behalten also beißen sie jeden Weg der Alternativen anbietet weg. Denn selbst bieten sie keine so günstigen und Niederschwelligen Dienste an (Reine Theorie weil ich so was auch nicht nutze – aber das Thema ist ebenfalls nicht neu). Das verkennt natürlich das sie für Film u.a. Produktionen auch kosten hatten die gedeckt werden müssen und was verdienen sollen. Aber danach ist jede weitere 1:1 Kopie Monopoly-Geld. Das z.B. in so was fließt.

    2. Das ist aber jetzt „sehr“ falsch. Die Bundesnetzagentur ist in den Entscheidungsprozess eingebunden, erhält vermutlich auch Zahlungen dafür. Dann überwacht sie sich sozusagen selbst.
      So etwas findet man selbst in Diktaturen eher selten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.