Linux soll Ausweise prüfen: Wie die Community sich dagegen wehrt

Mehrere US-Bundesstaaten erzwingen künftig eine Altersverifikation für Nutzer. Wie sollen und können Linux-Distributionen darauf reagieren?

128

(Bild: heise medien)

11:57 Uhr

Lesezeit: 8 Min.

iX Magazin

Von

Martin Gerhard Loschwitz

Linux soll Ausweise prüfen: Wie die Community sich dagegen wehrt

Simpsons-Fans kennen die Szene aus Staffel 8, Folge 18: Helen Lovejoy weist energisch darauf hin, dass man unbedingt auch an die Kinder denken müsse – im Englischen „Won't somebody please think of the children?“. Mittlerweile ist der Spruch ein Meme, und es zitieren viele Anwender aus der Linux-Welt dieser Tage besonders häufig. Denn es ist etwas im Busch. Colorado und vor allem Kalifornien haben in kürzlich erlassenen Gesetzen festgelegt, dass „Anbieter von Betriebssystemen“ künftig einen Mechanismus zur Altersverifikation anbieten müssen. Er greift, sobald jemand einen Account auf dem jeweiligen Computer anlegt. Weil Vertrauen gut ist, Kontrolle aber besser, schreibt Kalifornien zusätzlich vor, dass das System die eingegebenen Daten bei der Registrierung mit öffentlichen Datenbanken abgleichen muss. Konkret ist das Gesetz noch nicht, Governor Newsom hat Änderungen und Erweiterungen aber bereits angekündigt.

Die Linux-Welt stellt die Posse vor ein Dilemma. Microsoft, Apple und Google (für Android) lassen sich einigermaßen leicht zwingen, solche Abfragen in ihre Betriebssysteme einzubauen. In der Linux-Welt sieht es anders aus: Wer ist ein „Operating System Provider“, wie es im kalifornischen Gesetz heißt? Für Red Hat, Canonical und SUSE mag sich diese Frage noch beantworten lassen. Was aber ist mit reinen Community-Projekten wie Debian oder Linux Mint? Debian ist in den USA keine eigene Rechtsperson, weder als Stiftung nach amerikanischem Recht noch in anderer Form. Schon immer war das Projekt eine „Meritokratie“, in der zu Einfluss gelangt, wer aktiv mitarbeitet. Es ist nahezu unmöglich, einen Ansprechpartner zu benennen, der sich um die Einrichtung einer solchen Funktion kümmern könnte. Wer die Debian-Community kennt, kann sich leicht vorstellen, dass die Entwickler das kalifornische Gesetz – vorsichtig ausgedrückt – ablehnend betrachten.

In den diversen Foren und Mailinglisten geht es in Sachen Altersverifikation aktuell heiß her. Das Spektrum der Diskussion bildet die volle gesellschaftliche Bandbreite ab. Manche Teilnehmer bringen konkrete technische Vorschläge ein, die Debian für eine solche Funktion nutzen könnte. Andere lehnen die Umsetzung strikt ab. Wieder andere sehen im kalifornischen Gesetz leicht zu umgehenden Unsinn, der vor allem die Freiheit regelmäßiger Computernutzer einschränken soll. Um diese gegensätzlichen Positionen zu verstehen, hilft ein genauerer Blick auf die einzelnen Standpunkte.

Pragmatismus über Idealismus

Da ist zunächst die Fraktion derer, die pragmatisch an die Sache herangeht und die Funktion in Linux implementieren möchte. Konkret liegt ein Vorschlag vor, eine Schnittstelle für Altersabfragen in D-Bus zu implementieren. Der Plan sieht so aus: Man erweitert D-Bus um eine Definition org.freedesktop.AgeVerification1, die im Backend über Plug-Ins an staatliche Dienste andocken kann. Auf diese Schnittstelle greifen dann Programme zu, etwa das Werkzeug zur Benutzerregistrierung. Die neue Schnittstelle soll sich vor allem an die existierenden D-Bus-Standards für die AccountsService-Funktion anhängen. Der Vorschlag von Aaron Rainbolt geht tief ins technische Detail. Er beschreibt, wie die Prüfung des Alters abzuwickeln ist, wo auf dem System vermerkt sein soll, welcher Benutzer welches Alter hat, und wie das System diese Daten vor unautorisiertem Zugriff schützt – nämlich indem sie dem Systemverwalter „root“ gehören. So soll eine Balance entstehen: einerseits den gesetzlichen Anforderungen genügen, andererseits verhindern, dass der eigene Computer zu einer Außenstelle der Exekutive wird. Allzu viel Begeisterung löste Rainbolt mit seinem Vorschlag allerdings nicht aus.

Noch die sanfteste Kritik am Vorschlag zielt auf den praktischen Nutzen der gesamten Maßnahme ab. Es sei, so die vielerorts vertretene Meinung, nicht möglich, auf Systemen von Endanwendern Jugendschutz durch staatliche Kontrolle sinnvoll umzusetzen. Das kalifornische Gesetz diene stattdessen lediglich dazu, die Verantwortung für Verstöße gegen Jugendschutzvorschriften von den Dienstebetreibern in die Haushalte zu verlagern. Denn, so das Credo: Überließen Eltern ihren Kindern den Zugang zu einem Computer, den diese mangels Alters eigentlich nicht nutzen dürften, trügen die Eltern die Verantwortung – nicht der Staat und nicht die Dienstebetreiber. Genau das werde aber reihenweise passieren, weitgehend ohne jede Konsequenz bleiben und den Sinn des Gesetzes damit ad absurdum führen.

In Kalifornien nötig, anderswo illegal?

Andere Teilnehmer an den teils heftig geführten Debatten werfen ein, dass eine Distribution wie Debian eine solche Funktionalität gar nicht umsetzen könne, ohne dass das System zeitgleich in anderen Gegenden der Welt wegen Rechtsverstößen nicht mehr nutzbar wäre. Ob die in Kalifornien und Colorado geltende Vorschrift zur Altersverifikation mit europäischen Vorgaben in Einklang zu bringen ist, ist wenigstens fragwürdig. Dann aber steckten Debian & Co. in einer unmöglichen Situation: Sie müssten die Verifikation in Kalifornien zur Vorgabe machen, sie in anderen Teilen der Welt aber deaktivieren. Wer einmal versucht hat, den Standort eines Computers anhand objektiver Kriterien zuverlässig zu bestimmen, weiß, wie kompliziert das ist. Das einfachste Mittel wäre, sich auf die Angabe des Anwenders zu verlassen, der bei der Installation den Standort angegeben hat. Dann aber wäre das gesamte Konzept hinfällig. Denn wer auf die Altersverifikation keine Lust hat, könnte einfach ein anderes Land angeben, in dem es derartige Vorgaben nicht gibt, und die Verifikation so umgehen. Auch die EU arbeitet an vergleichbaren Vorgaben, um besseren Jugendschutz im Internet zu gewährleisten.

Lesen Sie auch

Hand hält mehrere bunte Schnüre, die zu einer einzelnen Schnur verbunden werden

Open Source statt kostenpflichtig: Alpha-Version von Vite+ steht bereit

Termix 2.0.0: Vom SSH-Client zum Remote-Desktop-Allrounder

Digitale Souveränität in der Praxis – Cloud, KI und Security krisensicher machen

Passbolt: Den europäischen Open-Source-Passwortmanager selbst hosten

Login-Bildschirm auf Desktop und Smartphone, roter Hintergrund

Ubuntu 26.04 LTS: Authd für Cloud-Authentifizierung offiziell verfügbar

Fernab von diesen Positionen finden sich im Netz haufenweise extreme Ansichten in jede Richtung. Mancher sieht den Weltuntergang nahe und in der vorgeschriebenen Altersprüfung ein Werkzeug zur Abschaffung von Grundrechten. Wenn einmal ein Programm auf Computern flächendeckend vorhanden sei, mittels dessen sich der Zugang zu bestimmten Inhalten einschränken lässt, würde es jemand früher oder später missbrauchen. Das mag überzeichnet sein. Über die Frage der Grundrechte in diesem Kontext nachzudenken, lohnt sich vor dem Hintergrund der technischen Entwicklungen der vergangenen Jahre aber durchaus. Sämtliche Hardwarehersteller legen heute großen Wert darauf, Chain-of-Trust-Konstrukte zu bauen, die das Ausführen von bestimmtem Code verhindern können – Secure Boot ist ein Beispiel. Es ist alles andere als unmöglich, diese Werkzeuge so weiterzuentwickeln, dass sich mit ihnen Kontrolle über die Nutzer von Endgeräten sowie über deren konsumierte Inhalte erlangen lässt. In der Einführung einer zwangsweisen Altersüberprüfung sehen manche einen Vorboten solcher Bestrebungen, getarnt unter dem Deckmantel des Jugendschutzes – „think of the children“ in Reinform.

Auf gar keinen Fall

Nicht fehlen darf im Kanon der Meinungen innerhalb der Debian-Gemeinde die Auffassung, das Problem ginge Debian gar nichts an. Einerseits sei man kein „Operating System Provider“, weil man keine juristische Person ist und niemand das Projekt haftbar machen könne, weder in den USA noch anderswo. Andererseits seien jegliche Bemühungen, soziale und erzieherische Probleme durch Technik lösen zu wollen, ohnehin für die Katz. Denn insbesondere die Eigenschaft Debians, ausschließlich auf freier Software zu basieren, unterbinde jeden derartigen Ansatz von vornherein. Freie Software gilt in den USA nämlich auch nach Auffassung US-amerikanischer Bundesgerichte als freie Meinungsäußerung, also als „Free Speech“. Man könne einem Entwickler nicht verbieten, freie Software zu veröffentlichen, und somit habe jeder Anwender jederzeit die Möglichkeit, Jugendschutzfunktionen durch Änderungen am Code komplett zu entfernen. Das mache im Übrigen auch die manchmal vertretene Auffassung überflüssig, Debian solle die Nutzung seiner Linux-Distribution in Kalifornien und Colorado einfach verbieten. Ein Schritt, mit dem viele in Debian kaum einverstanden wären, würde der Ansatz doch klar gegen die Prinzipien freier Software verstoßen. Nicht zuletzt die Debian Free Software Guidelines (DFSG) verbieten nämlich explizit, eine bestimmte Gruppe von Nutzern zu benachteiligen oder zu bevorzugen.

Videos by heise

Fazit

Man kann den Eindruck gewinnen, dass die Debatte rund um verpflichtenden Jugendschutz insbesondere die klassischen Community-Distributionen unvorbereitet trifft. Anhand des Debian-Projektes lässt sich gut nachzeichnen, dass jene weder Infrastruktur noch die Absicht haben, derartige Vorgaben zu erfüllen. Wie sich der Widerspruch zwischen Wunsch und Wirklichkeit letztlich auflösen lässt, ist derzeit nicht absehbar. Dass Debian tatsächlich umfassende Funktionen implementiert, um dem im Januar 2027 in Kalifornien in Kraft tretenden Gesetz zu genügen, erscheint gegenwärtig unwahrscheinlich. Gerade vor dem Hintergrund, dass die EU ähnliche Vorgaben plant, tun interessierte Nutzer wie Entwickler aber gut daran, die tobenden Debatten zumindest weiter zu verfolgen.