DNS-Panne: heise.de landet bei 1&1 im Copyright-Filter

Inhaltsverzeichnis

Durch einen Fehler im DNS-Server von 1&1 war heise online für Kunden des Providers mehrere Tage lang nicht zu erreichen. Offenbar war die Domain fälschlich in einem Copyright-Filter gelandet.

Am Freitag, 17. März, erreichte unsere Redaktion der erste Hinweis, am Montag folgten weitere Nachrichten, allesamt von Kunden des Providers 1&1: Beim Versuch, heise online zu öffnen, antwortete der Browser teils mit einem Zertifikatsfehler, teils mit dem Text "Diese Webseite ist aus urheberrechtlichen Gründen nicht verfügbar." Noch am Freitag begannen Redakteure und Administratoren des Systemmanagements, den Fehler genauer einzukreisen. Von einem Leser erhielten wir entscheidende Details: Er hatte als DNS-Server in seinem Router den Standard-DNS-Server seines Providers mit der IP-Adresse 82.144.41.8 eingerichtet. Dieser antwortete zeitweilig auf eine Frage nach www.heise.de mit einem CNAME-Eintrag, der auf die Seite notice.cuii.info verweist. Auch andere Leser bestätigten, dass sie die Standard-DNS-Server des Providers nutzten.

Mit einem 1&1-DSL-Anschluss in der Redaktion versuchten wir zu verschiedenen Zeiten, das Problem nachzustellen – aber ohne Erfolg. Und auch beim ersten Hinweisgeber verschwand das Problem später von allein. Am 21. März um 16 Uhr informierten wir schließlich telefonisch die Pressestelle von 1&1, man versprach uns, das Problem mit den technischen Abteilungen zu erforschen. Seitdem gingen keine weiteren Hinweise ein, 1&1 konnte uns aber auch noch keine Details zur Ursache nennen. Der Fall bleibt damit rätselhaft: Betroffen scheint nur ein kleiner Teil der Anfragen an 1&1-DNS-Server zu sein, um ein regionales Problem handelt es sich ebenfalls nicht. Die Hinweise kamen unter anderem aus Berlin und Hessen.

Was macht die CUII?

Hinter der Adresse notice.cuii.info, auf der im CNAME verwiesen wird, steckt die "Clearingstelle Urheberrecht im Internet"(CUII). Mitglieder der Organisation sind Telekommunikationsunternehmen wie die Deutsche Telekom, Vodafone, Freenet und 1&1, außerdem Rechteinhaber wie zum Beispiel die Deutsche Fußballliga (DFL), der Börsenverein des Deutschen Buchhandels und der Bundesverband Musikindustrie. Diese haben sich 2011 zusammengeschlossen. Das Ziel der Zusammenarbeit: "strukturell urheberrechtsverletzende Webseiten" (SUW) sollen schwerer zugänglich sein. Als strukturell urheberrechtsverletzend bezeichnen die Rechteinhaber Seiten, auf denen fast ausschließlich urheberrechtlich geschütztes Material angeboten wird – etwa Serien, Kinofilme und Sportübertragungen.

Um festzustellen, ob eine Seite zu den SUW gehört, hat die CUII ein zweistufiges Verfahren eingeführt. Wenn ein Rechteinhaber eine Seite zur Prüfung einreicht, tagt ein CUII-Prüfungsausschuss. Kommt der Ausschuss zum Entschluss, die Sperre sei zumutbar und zulässig, legt die CUII die Entscheidung der Bundesnetzagentur zu Prüfung vor. Wenn die zu dem Schluss kommt, dass die Netzneutralität nicht verletzt wird, setzen die beteiligten Internetprovider die DNS-Sperre in ihren DNS-Servern um. Alle Entscheidungen veröffentlicht die CUII unter der Adresse cuii.info/empfehlungen.

Problem und Auswege

Dass bei einzelnen 1&1-Nutzern zumindest zeitweilig eine Netzsperre beim Aufruf von heise.de auftauchte, macht deutlich, wie problematisch das Werkzeug der Netzsperre grundsätzlich ist. Eingriffe ins DNS, das Adressbuch des Internets, sind gefährlich und können nicht nur für Netzsperren gegen "strukturell urheberrechtsverletztende Webseiten" genutzt werden. Auch Zensur und Angriffe sind grundsätzlich möglich, wenn DNS-Antworten manipuliert werden.

Gegen die deutschen DNS-Sperren gibt es ein wirksames Mittel: Deutsche Internetkunden sind keinesfalls gezwungen, die Standard-DNS-Server ihres Providers nutzen. Im Gegenteil: Andere DNS-Server sind oft sogar schneller und nicht an Organisationen wie die CUII gebunden. Die Umstellung des DNS-Servers im heimischen Router ist schnell erledigt. In der Fritzbox zum Beispiel findet man die Einstellung unter dem Menüpunkt Internet/Zugangsdaten/DNS-Server.

DNS-Server ohne Sperren

Alternative DNS-Server, die nicht von den Providern betrieben werden, gibt es viele und die folgende Aufstellung ist keinesfalls vollständig. Bei der Entscheidung für einen DNS-Anbieter muss man sich grundsätzlich im Klaren sein, dass der Betreiber theoretisch Rückschlüsse auf das eigene Surfverhalten ziehen kann. Eine gute Idee ist es, den ersten und zweiten DNS von unterschiedlichen Anbietern zu nutzen – dann kann weiterhin aufgelöst werden, wenn ein Anbieter mal ein Problem hat.

Zu den bekanntesten DNS-Angeboten gehört Googles 8.8.8.8 (und 8.8.4.4 als Backup-Adresse). Von Cloudflare kommt 1.1.1.1 (und 1.0.0.1 als Reserve). Beide Unternehmen haben ihren Sitz in den USA. Eine europäische Alternative ist Quad9, betrieben von einer Stiftung aus der Schweiz. Deren IP-Adressen lautet 9.9.9.9 (und 149.112.112.112 als Reserve). Keine Rechtsform hat das Projekt DNS.Watch mit der IP-Adresse 84.200.69.80 (und 84.200.70.40).

Anbieter	Sitz	Erste IPv4	Alternative IPv4	Erste IPv6	Alternative IPv6
Cloudflare	USA	1.1.1.1	1.0.0.1	2606:4700:4700::1111	2606:4700:4700::1001
Google	USA	8.8.8.8	8.8.4.4	2001:4860:4860::8888	2001:4860:4860::8844
Quad9	Schweiz	9.9.9.9	149.112.112.112	2620:fe::fe	2620:fe::9
DNS.WATCH	Deutschland	84.200.69.80	84.200.70.40	2001:1608:10:25::1c04:b12f	2001:1608:10:25::9249:d69b

Dass alternative DNS-Anbieter der Aufforderung zu Netzsperren nicht nachkommen, ist den Rechteinhabern ein Dorn im Auge. Anfang März wurde eine Klage gegen die Stiftung hinter Quad9 in erster Instanz vom Landgericht Leipzig entschieden. Geklagt hatte Sony als Rechteinhaber, Quad9 hatte sich geweigert, eine Sperre einzubauen. Das Urteil ist noch nicht rechtskräftig.

Problem lag im Versatel-Netz

(jam)