Hallo SBB?!

Noch ein anzügliches Bild von Bill Gates!

Diese Woche ist ein altes Thema wieder hochgekocht. Ich wurde von verschiedenen Seiten darauf hingewiesen, dass meine Website clickomania.ch im öffentlichen WLAN der SBB geblockt wird. Mit folgender Begründung:

Aus Jugendschutzgründen würde www.clickomania.ch geblockt. Sind Sie der Meinung, die Website fällt [sic!] nicht unter Kinder-/Jugendschutz, melden Sie www.clickomania.ch im unten stehenden Link. Sorry, www.clickomania.ch has been blocked by the sbb…

TrendMicro sucks
Die ganze Blockiererei ist nicht neu. Ich hatte schon 2011 ein Problem mit der Firewall von TrendMicro (Trend Micro sucks), die auch in Firmennetzwerken eingesetzt wird und den Zugang zu clickomania.ch verweigerte. Ich habe dort das ganze Prozedere zur Entsperrung durchgemacht, aber ohne Erfolg: Man bescheinigte mir, meine Website gelte weiterhin als unsicher, ohne eine Begründung dafür abzugeben. Ob das an Inhalten meiner Site liegt oder ob zum Beispiel mein Hosting-Provider (VTX) auf irgend einer schwarzen Liste steht oder mein CMS (Flatpress) nicht genehm ist – man weiss es nicht. Detail-Kommunikation findet nicht statt. Das einzige, was ich als betroffener Betreiber feststellen konnte: Andere Sicherheitsunternehmen haben keine Bedenken gegenüber meiner Site.

Google beispielsweise: Ich halte die Safe-Browsing-Einschätzung von Google im Auge. Die Sicherheit meiner Site ist mir, wie jedem verantwortungsvollen Webmaster, wichtig. Und man hat mir hinter vorgehaltener Hand zu verstehen gegeben, dass das Google-Safe-Browsing-Assesment bei der Switch eine Rolle spielt. Die Switch blockiert bekanntlich CH-Domains mit Schadcode, wenn das Problem nicht rechtzeitig behoben wird1.

Auch dazu gibt es eine schöne Geschichte: Ich habe im Herbst 2011 ein entsprechendes Mail von Switch erhalten und bin daraufhin der Sache nachgegangen. Die Switch hat geholfen, den Fall aufzuklären. Schuld war damals eine chinesische Variante meines Spiels «Clickomania». Die hat ein chinesischer Fan meines Spiels bereitgestellt, der zufällig auch Entwickler war. Diese Kombination – Chinesische Software auf einem Schweizer Server – war Grund genug, dass die Alarmglocken losgingen. Die Datei war selbstverständlich völlig harmlos. Ich hatte sie vor dem Hochladen getestet, und sie lag auch schon seit fast zehn Jahren auf meinem Server, ohne dass jemals jemand ein Problem damit gehabt hätte. Aber allein die Umstände waren verdächtig. Ich habe die Datei gezwungenermassen von meinem Server genommen – es war nämlich schlicht nicht möglich, sie irgendwie als sicher markieren oder einstufen zu lassen.

Wehe, wenn du nicht der Norm entsprichst!
Das zeigt meines Erachtens ein grundlegendes Problem der Bemühungen um Sicherheit – nicht nur im Bereich des Webs, sondern generell, also auch an Flughäfen und bei der Überwachung im öffentlichen Raum. Vermeintliche Gefahr soll anhand von Abweichungen von der Norm erkannt werden. Wenn man sich «durchschnittlich» aufführt, hat man nichts zu befürchten. Wenn man allerdings irgendwie aus dem Rahmen fällt – weil man als Schweizer ein Spiel entwickelt hat, das zufällig auch in China beliebt ist und daher mit chinesischen Programmtexten angeboten wird – dann gerät man automatisch in Verdacht. Und unter Umkehrung der Beweislast muss man darlegen, dass man unschuldig ist.

Dieser Beweis zu erbringen, ist schwierig bis unmöglich. Die Switch zeigte sich kooperativ, aber von den Flachpfeifen bei TrendMicro habe ich nie eine irgendwie nützliche Information erhalten. Da diese Website an sich nicht mehr als ein (abartig aufwändiges) Hobby meinerseits ist, habe ich mich entschieden, die Sache auf sich beruhen zu lassen – abgesehen davon, dass ich aufhänge, wenn mich ein PR-Mensch im Auftrag von TrendMicro auf der Redaktion anruft und mich damit volltexten will, wie toll doch die Produkte dieses Herstellers seien.

Es gibt mir allerdings schon zu denken, wenn ich lese, dass Sicherheitseinschätzungen immer häufiger anhand von Verhaltensweisen getroffen werden. Indect ist ein Forschungsprogramm, das laut Wikipedia mit «intelligenten und autonom vernetzten» Drohnen operiert, um…

…«verdächtige bewegliche Objekte» (Menschen, Fahrzeuge) sowohl zu identifizieren als auch im städtischen Raum verfolgen zu können.

Wenn da mit der gleichen Sorgfalt ans Werk gegangen wird, können sich all diejenigen auf etwas gefasst machen, die aus irgend einem Grund von der Norm abweichen, während sie sich durch die Stadt bewegen. Weil sie vielleicht auf Klo müssen, sich nicht entscheiden können, ob sie sich zu ihrem Rendezvous hingetrauen oder nicht, weil ihnen langweilig ist und sie die Zeit totschlagen wollen, oder weil es sich um Kinder handelt, die auf die Idee gekommen sind, CIA und Osama Bin Laden zu spielen.

… huch, ich habe in meinem Blog «Osama Bin Laden» geschrieben. Wenn das mal kein Fehler war!

140704-sbb-block.png
Die eigentliche Frechheit ist, dass in der URL «Malware» steht – grenzt IMHO an Rufschädigung. (Bild: Yves Moret/Twitter.com)

Jedenfalls zurück zur SBB und ihrem grandiosen Filter, der von den Genies bei OpenDNS zur Verfügung gestellt wird. (Randbemerkung: Der DNS-Dienst von OpenDNS ist wirklich gut. Ich habe ihn phasenweise gern benutzt, nachdem mich der DNS-Dienst der Cablecom fast in den Wahnsinn getrieben hatte. Allerdings fand ich es dann doch wenig sinnvoll, noch einem weiteren Unternehmen meine komplette Surf-Historie zukommen zu lassen.)

Time wasters?!
Die SBB gibt den «Jugendschutz» für die Sperre an. Es ist nun tatsächlich so, dass ich in diesem Blog schon geflucht habe. Es ist auch so, dass dass ein freizügiges Bild von Bill Gates zu sehen ist, wie @yvesmoret scharfsinnig bemerkte.

Die OpenDNS-Filterregeln blenden in der Filterstufe «High» allerdings nicht nur böse Dinge aus:

High protects against all adult-related sites, illegal activity, social networking sites, video sharing sites, and general time-wasters.

140704-opendns01.png
OpenDNS: Gegen den Dreck im Web

Es wird nun wohl so sein, dass man die Kinder vor meinem zeitverschwendenden Spiel «Clickomania» schützen will. Und es ist in der Tat wahr, dass man mit Clickomania sehr viel Zeit verschwenden kann. Eins müsste ich dann aber noch loswerden: Wenn eure Kinder aufgrund der vielen Freizeit auf die Idee kommen sollten, Drogen zu nehmen oder vorehelichen Geschlechtsverkehr zu praktizieren, dann geht bitte zur SBB heulen!

140704-opendns02.png
Die ganze Palette der Dinge, die man mittels OpenDNS blockieren kann.

Update von 15 Uhr

Update von 16:19 Uhr
Auch watson.ch hat die Geschichte aufgegriffen.

Update vom 7.7.2014
Auch der Zürcher Oberländer hat ein Artikel zum Thema verfasst (SBB setzt auf Pornofilter). Der Beitrag von Conradin Knabenhans, der für Radio Zürisee auch ein Interview mit mir geführt hat, ist in seinem Blog zu finden: SBB setzt auf Pornofilter und blockiert Schweizer Blogger.

Footnotes

  1. Mein Artikel im «Tagesanzeiger» und Berner «Bund» zum Thema vom 10. Oktober 2011:

    Rezept gegen verseuchte Sites
    Die Schweizer Domänenverwalterin Switch blockiert seit knapp einem Jahr verseuchte .ch-Websites. Die Bilanz ist positiv.
    Von Matthias Schüssler

    Seit Ende 2010 untersucht die Schweizer Domänenbetreiberin Switch hiesige Websites mit .ch-Endung auf Schadensoftware. Wird unerwünschter Code gefunden, erfolgt eine Warnung an den Halter der Site. Falls der Halter nicht reagiert, wird die Website für fünf Tage blockiert. Das soll verhindern, dass sich Surfer mit ungenügend geschützten PCs allein durch einen Besuch der Website infizieren. Sogenannte Drive-by-Downloads sind heute Ursache Nummer eins für den Malware-Befall.

    Eine gute Sache, müsste man meinen – sofern nur richtige Infektionen zu Warnungen und Sperrungen führen. Doch Virenscanner sind bekanntlich nicht gefeit vor Fehlalarmen. «False positives» kommen gelegentlich vor, denn moderne Scanner suchen auch mit heuristischen Methoden nach typischen Merkmalen bekannter Viren. Sie springen an, wenn eine an sich harmlose Software verdächtige Merkmale zeigt.

    0,3 Prozent «false positives»

    Fehleinschätzungen seien nicht ganz zu vermeiden, bestätigt Michael Hausding, stellvertretender Leiter der IT-Security-Abteilung bei der Switch. Fünf Fälle gab es bis jetzt bei insgesamt 1500 beanstandeten Domänen. Auf zwei Websites war nicht ausführbarer Schadcode vorhanden. Bei drei Websites gab es Programme, die von Sicherheitsexperten als «proof of concept» bereitgestellt wurden. Anhand von Beispielprogrammen wurde demonstriert, wie eine Sicherheitslücke missbraucht werden könnte.

    Wenn sich ein betroffener Halter telefonisch bei der Switch meldet und sich für seine Site verbürgt, wird keine Sperre verhängt. Entsprechend ist es bis jetzt auch nicht vorgekommen, dass eine Blockade fälschlicherweise erfolgte und sich die Switch mit Schadenersatzforderungen konfrontiert sah. Was schon vorkam, waren teure Aufräumarbeiten nach tatsächlichen Infektionen. In solchen Fällen haben sich Website-Betreiber auch schon erkundigt, auf welchem Weg der Verursacher zur Rechenschaft zu ziehen wäre. Eine nicht zu beantwortende Frage. Die Switch hat nicht die Aufgabe, zu verfolgen oder zu bestrafen.

    Die Aufgabe ist der Kampf gegen Malware. Die gesetzliche Grundlage ist eine auf dem Fernmeldegesetz basierende Verordnung des Bakom. Sie sieht bei einem begründeten Verdacht eine Sperrung für fünf Tage vor. Danach kann eine Behörde die Sperre verlängern, was aber laut Michael Hausding bislang nie vorgekommen ist. Im letzten Quartal wurden von allen gemeldeten Fällen 288 rechtzeitig behoben. Bei 22 Fällen kam es zu einer Blockierung, die nach dem Ablauf der Fünftagefrist aufgehoben wurde – meist, ohne dass der Halter sich gemeldet oder den Schadcode beseitigt hätte. Die Gefahr war meist trotzdem gebannt: Zur Herkunftsverschleierung setzen die Cyberkriminellen meist Weiterleitungen über mehrere Stationen ein, und diese Kette funktioniert nach einigen Tagen nicht mehr durchgängig.

    Informanten bleiben anonym

    Die Switch sucht nicht selbst auf den Websites nach Schadcodes, sondern verlässt sich auf Hinweise von Partnern. Wer diese Partner sind, lässt sich Hausding nicht entlocken. Die Hinweisgeber stammten aus der Branche, wollten aber nicht namentlich in Erscheinung treten: «Es gibt Geheimhaltungsverträge.» Die Vermutung liegt nahe, dass es ähnliche Zuträger sind, die die Non-Profit-Organisation Stopbadware.org mit Hinweisen versorgen.

    Die Meldung der Informanten wird durch die Sicherheitsexperten der Switch geprüft. Wenn ein begründeter Verdacht festgestellt werden kann, wird der Halter aufgefordert, die Bereinigung vorzunehmen. Bei rund einem Drittel der eingehenden Hinweise wird diese Massnahme nicht ergriffen. Oft, weil das Problem zum Zeitpunkt der Überprüfung bereits behoben ist. In anderen Fällen lässt sich der Verdacht nicht ausreichend erhärten. Rund eine Vollzeitstelle setzt die Switch für den Kampf gegen die Schadensoftware ein. Zusätzliche Ressourcen sind beim Helpdesk nötig. Finanziert wird dieser Aufwand durch die Domänenkunden.

    Erzieherischer Effekt

    Die Switch zieht nach einem Dreivierteljahr positive Bilanz. Zum Teil seien Infektionen behoben worden, die schon jahrelang vorhanden gewesen seien. Auch wenn bei dem groben Rechen nicht jede Software hängen bleibe, hätten die Warnungen einen nachhaltigen Effekt: «Wer von uns benachrichtigt wurde, ändert vielleicht sein FTP-Passwort oder entseucht seinen PC.»

    Kritik an diesem weltweit bisher einmaligen Verfahren gab es von den Internetprovidern. Sie riechen die Gefahr der Staatszensur – und unkten, nach dem Kampf gegen Malware werde bald in ähnlicher Weise auch gegen Urheberrechtsverletzungen und andere Dinge vorgegangen. Etwas, wofür es laut der Switch keine rechtliche Grundlage gibt.

    ^top

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

4 Gedanken zu „Hallo SBB?!“

  1. Guten Tag und vielen Dank für die fleissige Nutzung von SBB WiFi. Das freut uns sehr. Gemäss den AGBs von SBB WiFi gelten klare Auflagen für den Konsum von Inhalten gewisser Seiten. Es ist klar, dass wir dafür automatische Filter einsetzen und nicht eine Armada von Leuten beschäftigen können, welche jede einzelne Seite analysieren. Die Frage des Zugriffs auf clickomania ist bei unseren Spezialisten bereits in Abklärung.

    Freundliche Grüsse
    Christian Ginsig
    Mediensprecher SBB

  2. Bist schon wenig eine Heulsuse? 😉

    Das ist doch heute fast schon Standard, dass Proxy oder andere Schutzmassnahmen eingesetzt werden.
    Meine Seite wurde auch schon von Bluecoat als “Games” taxiert, weil ich einen einzigen Blogbeitrag von mehreren hundert einem uralten Spiel gewidmet habe.
    Die Seite wurde auf meine Bitte recht schnell entsperrt.

  3. Fürs nächste Mal ganz einfach eine kurze Mail an wifi (ät) sbb.ch senden und der Fall ist erledigt, wenn harmlose Webseiten können durch uns auf eine ‘Whitelist’ gestzt werden. Bei weiteren Fragen stehen wir gerne zur Verfügung.

    Freundliche Grüsse
    Christian Ginsig
    SBB Medienstelle

Kommentar verfassen