Zensur-City Dortmund

Das WLAN ist frei… oder auch nicht

Freies WLAN ist in. In vielen Branchen gehört das Anbieten von Gäste-WLANs auf möglichst einfache Weise mittlerweile zum guten Ton. Und auch viele Kommunen haben verstanden, dass freies WLAN in den Städten gut für den Tourismus und das Image der Stadt ist. Manchmal wird das freie WLAN-Projekt in einer Kommune aber auch komplett ad absurdum geführt. So z.B. in der Stadt Dortmund, wo die Stadttochter DOKOM21 ein angeblich freies WLAN aufbaut.

Allerdings ist dieses WLAN nicht nur zeitlich unfrei, auch der Zugang ins Internet an sich ist unfrei. Denn die DOKOM21 zensiert den Zugang zum Internet an ihren WLAN-Zugängen. Dafür wird sogar in den Datenverkehr der Kunden eingegriffen. Und als wären Zensur und Eingriffe in den Datenverkehr der Kunden nicht bereits schlimm genug, leitet die DOKOM21 auch noch einen Teil des Datenverkehrs ihrer Kunden zu einem augenscheinlich unseriösen Anbieter im Ausland. Spätestens hier kann man von einem völlig gescheiterten WLAN-Projekt in der Stadt Dortmund sprechen.

Wer ist eigentlich DOKOM21

DOKOM21, bzw. genauer DOKOM – Gesellschaft für Telekommunikation mbH, ist zu 86,65% eine Tochter der DSW21 Gruppe. Die DSW21 Gruppe gehört vollständig der Stadt Dortmund und sollte daher (inkl. aller ihrer Töchter) vor allem der Stadt und ihren Bürgern verpflichtet sein. Hier ein kurzer Ausschnitt aus dem Geschäftsbericht 2015 der DSW21 Gruppe:

DSW21 ist das Infrastrukturunternehmen für Dortmund. Mit seinen Tochter- und Beteiligungsgesellschaften bietet DSW21 bürgernahe Dienstleistungen in den Geschäftsfeldern »Mobilität und Logistik«, »Energie und Wasser«, »Lebensräume« sowie »Datennetze«. Gemäß der Satzung von DSW21 ist Gegenstand der Gesellschaft die Beförderung von Personen und Gü­ tern, die Gewinnung beziehungsweise die Erzeugung, der Bezug und die Lieferung von Energie und Wasser, die Durchführung von Aufgaben der Entsorgung, die Betätigung auf dem Gebiet der Telekommunikation sowie die Entwicklung und Vermarktung von Grundstücken. Diese zu erfüllenden Aufgaben sind teilweise auf Tochter- und Beteiligungsgesellschaften übertragen. Alleinige Aktionärin von DSW21 ist die Stadt Dortmund.

Die Verpflichtung gegenüber den Bürgern wird hier zwar nicht explizit herausgestellt, allerdings sollte man davon ausgehen, dass eine Kommune nicht absichtlich wider den Interessen ihrer Bürger handelt. Auch kann man imho davon ausgehen, dass die DSW21-Tochter DOKOM21 als der Stadt Dortmund verpflichtetes Unternehmen Grundlagen der Demokratie zumindest nicht zu untergraben versucht. Idealerweise sollte DOKOM21 ihre Datennetze sogar unter anderem unter den Aspekten Bürgerbeteiligung und Demokratie betrachten und daher diskriminierungsfreien Zugang gewähren.

DOKOM21 verspricht freies WLAN…

Seit einiger Zeit profiliert sich die Stadttochter DOKOM21 mit dem Projekt “WLAN-City Dortmund”. Sie suggeriert durch Werbung und Zeitungsarktikel, dass auf dem Stadtgebiet durch DOKOM21 “freie” WLAN-Zugänge realisiert werden. Allerdings wird meist unterschlagen, dass die freie Nutzungszeit stark begrenzt ist. Aber nicht nur das, die freie Nutzungszeit schwankt auch von Standort zu Standort zwischen 30 Minuten und tatsächlich frei.

…was unfreier ist als befürchtet

Aber nicht nur die intransparenten freien Nutzungszeiten sorgen dafür, dass man das Hotspot-Netz der DOKOM21 nicht als frei bezeichnen kann. Viel schwerwiegender ist, dass die DOKOM21 anscheinend Inhalte in ihren Hotspot-Netzen zensiert. Ohne nachvollziehbaren Grund sind Kunden der DOKOM21-Hotspots nicht in der Lage alle Inhalte im Internet abzurufen. So scheint die Seite dbna.de z.B. durch den Anbieter SafeDNS gesperrt zu sein, siehe https://twitter.com/rthbrst/status/799931167721951232).

SafeDNS scheint hier der Anbieter zu sein, der das Blocken der Inhalte und das Pflegen der Liste der gesperrten Inhalte übernimmt. Auf der Seite von SafeDNS ist leider nicht ersichtliche nach welchen Kriterien geblockt wird. Es wird lediglich erwähnt, dass Kunden von SafeDNS in der Lage sind Filterkategorien festzulegen und eigene Blacklists zu erstellen. SafeDNS scheint auf Zensur via DNS-Manipulation zu setzen. Dies ist die gleiche Filtertechnik die die Bundesregierung bereits mehrfach gegen Kinderpornographie, Glücksspiel etc. versucht hat bundesweit zu etablieren. Und die seitdem immer von Experten kritisiert und geradezu zerrissen wird. Anscheinend hat die DOKOM21 diese Diksussion in den letzten Jahren verschlafen.

Interessant ist auch, dass andere Hotspot-Anbieter wie Telekom, Vodafone, Unitymedia, BVG (in Kooperation mit Hotsplots) solche Zensurmaßnahmen nicht für notwendig halten. Es scheint also keinerlei juristische Begründung für die Zensur in den DOKOM21-Hotspots zu geben.

Was sagt die DOKOM21 dazu?

Dass ein Internetzugangsanbieter Zensur an seinen Hotspot-Zugängen betreibt ist sehr besorgniserregend. Vor allem wenn man bedenkt, dass die Stadt Dortmund sich bei verschiedenen Gelegenheiten mit dem Projekt “WLAN-City Dortmund” versucht als modern und zukunftsgewand zu profilieren. Auch der Aufbau des Hotspot-Netzes sieht sehr politisch forciert aus. Bei Preisen von 30€ pro Tag ist zumindest nicht zu erwarten, dass DOKOM21 damit rechnet, dass deren WLAN-Hotspots Gewinn erwirtschaften werden.

Die Benutzung der DOKOM21 Hotspots wirft also einige Fragen auf, welche ich an die DOKOM21 geschickt habe.

1. Bezieht die Dokom21 Produkte oder Dienstleistungen von SafeDNS.com oder ähnlichen Anbietern?
2. Ist es Absicht, dass ein Informationsangebot für homosexuelle Jugendliche blockiert wird?
3. Werden auch andere Seiten geblockt und was sind die Kriterien nach denen Seiten geblockt werden?
4. Ist die Liste der durch Dokom21 geblockten Seiten öffentlich einsehbar und wenn ja wo?
5. Falls die Dokom21 Internetseiten in ihren Hotspot-Netzen sperrt, welche Gründe hat das?
6. Werden Benutzer an irgendeiner Stelle transparent darüber informiert, dass im Netz der Dokom21 bestimmte Inhalte nicht verfügbar sind?
7. Werden Zugriffsversuche auf geblockte Inhalte protokolliert?
8. Werden die vermuteten Inhaltssperren ausschließlich auf DNS-Ebene realisiert?
9. Wird aktiv in den Internetverkehr der Hotspot-Nutzer eingegriffen um die Nutzung alternativer DNS-Server zu unterbinden?
10. Hat die Dokom21 die Rechtslage solcher Internetsperren klären lassen, insbesondere mit Hinblick auf die Grundrechte der informationellen Selbstbestimmung und dem Fernmeldegeheimnis und falls ja ist dieses Gutachten verfügbar?
11. Werden Inhaltesperren auch bei anderen Produkten der Dokom21 eingesetzt? Z.B. bei DSL-Anschlüssen?
12. Hat die Dokom21 einen offiziellen Standpunkt zu den Themen Netzneutralität und offene Netze?

DOKOM21 hat dazu folgende Antwort geliefert:

Sehr geehrter Herr Klocke,

das Angebot der von Ihnen angesprochenen Website richtet sich nach eigenen Aussagen an Jugendliche ab 14 Jahre. Da unsere HotSpots allen Altersklassen zugänglich sind, behalten wir uns vor, bestimmte Seiten aus Jugendschutzgründen zu sperren.

Mit freundlichen Grüßen …

Es wurde also keine der (imho berechtigten) Fragen beantwortet. Zumindest die technischen Fragen kann man sich aber recht einfach selbst beantworten. Interessant ist jedoch die Begründung, dass das Angebot von dbna.de sich an Jugendliche ab 14 Jahren richtet, die Hotspots jedoch allen zugänglich sind. Kein anderer Hotspot-Anbieter in Deutschland scheint damit ein Problem zu haben.

Die Technik der Dortmunder Internetzensur

Da die kurze Recherche ergeben hat, dass als Blocking-Dienstleister SafeDNS verwendet wird, war bereits recht klar, dass die Zensur auf DNS-Ebene stattfindet. Eine simple Implementierung von DNS-basierten Sperren wäre recht einfach zu umgehen. Allerdings ist die Implememtierung im Falle der DOKOM21-Hotspots nicht simpel, sondern ein tiefer Eingriff in den Datenverkehr der Kunden. Zuerst wurde die Domain dbna.de über einen freien Internetzugang aufgelöst.

; <<>> DiG 9.8.3-P1 <<>> dbna.de A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29094
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dbna.de.     IN  A

;; ANSWER SECTION:
dbna.de.    167 IN  A 88.99.173.71

;; Query time: 144 msec
;; SERVER: 192.168.100.1#53(192.168.100.1)
;; WHEN: Mon Mar 20 17:33:07 2017
;; MSG SIZE  rcvd: 41

Anschließend wurde die gleiche Anfrage aus dem DOKOM21-Hotspot-Netz heraus versucht:

; <<>> DiG 9.8.3-P1 <<>> dbna.de A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40944
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dbna.de.     IN  A

;; ANSWER SECTION:
dbna.de.    60  IN  A 195.46.39.1

;; Query time: 170 msec
;; SERVER: 10.30.128.1#53(10.30.128.1)
;; WHEN: Mon Mar 20 18:06:25 2017
;; MSG SIZE  rcvd: 41

Es ist deutlich zu sehen, dass hier eine andere IP als A-Record für dbna.de ausgegeben wird. In der Regel lassen sich DNS-basierte Sperren aber einfach umgehen, indem man einfach den DNS-Server wechselt. Ein entsprechender Versucht bringt jedoch folgendes Ergebnis:

dig @8.8.8.8 dbna.de A

; <<>> DiG 9.8.3-P1 <<>> @8.8.8.8 dbna.de A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16744
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dbna.de.     IN  A

;; ANSWER SECTION:
dbna.de.    29  IN  A 195.46.39.1

;; Query time: 54 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Mar 20 18:06:56 2017
;; MSG SIZE  rcvd: 41

Wie zu sehen ist wird wieder die falsche IP-Adresse (welche indirekt zu SafeDNS.com gehört) zurück gegeben. Daraus lässt sich schlussfolgern, dass sämtliche Datenpakete die einem DNS-Request ähneln, also vermutlich alle UDP-Pakete mit Zielport 53, abgefangen werden und an den DNS-Server von SafeDNS.com umgeleitet werden. Dies ist auf jeden Fall ein aktiver und vermutlich rechtlich unzulässiger Eingriff in den Datenverkehr der Kunden.

SafeDNS.com

SafeDNS.com ist ein augenscheinlich US-basierter Anbieter von Blocking-Systemen. Vordergründig wird der Dienst mit einem Mehr an Sicherheit durch das Blocken potentiell schädlicher Webseiten beworben. Jedem IT-Experten dürfte klar sein, dass dieser Mehrwert bestenfalls zweifelhaft ist. Es zeigt sich bei SafeDNS.com jedoch recht schnell, dass nicht nur potentiell gefährliche Webseiten geblockt werden sondern praktisch alles was den moralischen Vorstellungen dieses Anbieters zuwiderläuft. Dadurch erklärt sich auch, dass dbna.de dort blockiert wird. Eine Seite die in Deutschland die Mehrheit vermutlich nicht anstößig finden wird.

Hier hören die Probleme aber noch nicht auf. SafeDNS.com hat auf seinen Seiten nirgendwo ein Statement bezüglich EU Privacy Shield oder ähnlichen Vereinbarungen und hat auf eine dies bezügliche Anfrage vom 15.02.2017 bis heute nicht reagiert. Es befinden sich nicht einmal allgemeine Aussagen bezüglich Datenschutz und Sicherheit auf den Seiten dieses Anbieters. Dies legt die Vermutung nahe, dass DOKOM21 hier illegalerweise personenbezogene Daten zur Verarbeitung ins Ausland schickt. Und zwar an ein Unternehmen, dass sich nicht zu dem EU Privacy Shield oder ähnlichen Abkommen bekennt.

Leider ist es nicht ganz klar in welches Ausland die DOKOM21 personenbezogene Daten schickt. Denn SafeDNS.com ist zwar ein US-amerikanisches Unternehmen (welches nur unweit vom Pentagon beheimatet ist), die IP-Adresse die als DNS-Server und Blocking-Adresse genutzt wird, gehört jedoch dem russischen Unternehmen SkyDNS:

inetnum:        195.46.39.0 - 195.46.39.255
netname:        SkyDNS-NET
country:        RU
org:            ORG-SL348-RIPE
admin-c:        AP19621-RIPE
tech-c:         AP19621-RIPE
status:         ASSIGNED PI
mnt-by:         RIPE-NCC-END-MNT
mnt-by:         RIPE-DB-MNT
mnt-by:         MNT-SKYDNS
mnt-routes:     MNT-SKYDNS
mnt-domains:    MNT-SKYDNS
created:        2012-03-08T10:19:05Z
last-modified:  2016-11-25T11:03:01Z
source:         RIPE
sponsoring-org: ORG-ATS13-RIPE

organisation:   ORG-SL348-RIPE
org-name:       SkyDNS, Ltd.
org-type:       OTHER
phone:          +78003333372
address:        2 Kulibina, office 500, Ekaterinburg, Russia
admin-c:        AP19621-RIPE
tech-c:         AP19621-RIPE
abuse-c:        SLN24-RIPE
abuse-mailbox:  postmaster@skydns.ru
mnt-ref:        RIPE-DB-MNT
mnt-by:         RIPE-DB-MNT
created:        2012-03-06T13:40:51Z
last-modified:  2016-11-25T14:01:23Z
source:         RIPE # Filtered

person:         Dmitry Vostretsov
address:        500, Kulibina str. 2, Yekaterinburg, Russia
phone:          +79226062834
nic-hdl:        AP19621-RIPE
mnt-by:         MNT-IDECO
created:        2012-11-21T11:38:27Z
last-modified:  2017-01-31T09:09:52Z
source:         RIPE # Filtered

% Information related to '195.46.39.0/24AS57926'

route:          195.46.39.0/24
descr:          SKYDNS-ANYCAST
origin:         AS57926
mnt-by:         MNT-SKYDNS
created:        2014-10-14T05:44:19Z
last-modified:  2014-11-10T09:06:21Z
source:         RIPE

Dies lässt den Anbieter SafeDNS.com noch unseriöser erscheinen und wirft die Frage auf wie genau DOKOM21 sich seine Dienstleister und Vertragspartner eigentlich ansieht bevor diesen Kundendaten anvertraut werden.

Zusammenfassung

Die Stadt Dortmund wirbt zusammen mit ihrer Tochter DOKOM21 für freie und offene WLANs in Dortmund. Es ist bereits schlimm, dass sich diese Behauptung als Augenwischerei herausstellt, sobald man feststellt, dass die Hotspots zeitlich nur sehr begrenzt kostenlos sind. Viel schlimmer ist jedoch, dass die Hotspots auch keinen freien Zugang ins Internet bieten. DOKOM21 greift aktiv in den Datenverkehr der Kunden ein und leitet bestimmte Datenpakete um, um einzelne Inhalte zu sperren. Noch schlimmer ist jedoch, dass die DOKOM21 hier vollkommen fahrlässig auf einen ausländischen, augenscheinlich unseriösen Anbieter zurückgreift und ohne nachzudenken Datenpakete (und damit auch personenbezogene Daten) an diesen leitet.

Die DOKOM21 verstößt hier also vollkommen unnötig gegen Dateschnutzregelegungen und eventuell sogar gegen das Fernmeldegeheimnis (§88 TKG) und eventuell auch gegen das Recht auf informationelle Selbstbestimmung.

Der Sicherheitsgewinn dieser Zensurmaßnahmen ist bestenfalls fraglich. Im Gegenteil ist der Sicherheitsverlust durch diese Zensurmaßnahmen gewaltig für Hotspot-Kunden der DOKOM21. Zum einen werden sämtliche DNS-Anfragen an einen augenscheinlich unseriösen Anbieter im Ausland umgeleitet. Da in den DNS-Anfragen auch Client-IPs enthalten sind, die sich durch die notwendige Anmeldung mit E-Mail-Adressen und ggf. auch Handynummern verbinden lassen, handelt es sich hier vermutlich um die Weitergaben personenbezogener Daten. Zum anderen verhindern die Zensurmaßnahmen der DOKOM21 aber auch die Verwendung verbreiteter VPN-Anbieter. VPNs sind eine sinnvolle Sicherheitsmaßnahme für Nutzer öffentlicher Hotspots. Hier wird die Sicherheit der Nutzer also aktiv reduziert. Und zwar ohne Grund.

Sicherheitstechnisch, politisch und vermutlich auch rechtlich ist also das “WLAN-City Dortmund”-Projekt fraglich und die Behauptung, dass in Dortmund freies WLAN angeboten wird ist schlicht falsch.