Mein Internet ist kaputt. Das habe ich letzte Woche gemerkt, als Termine, die ich auf dem Telefon eingetragen habe, nicht mehr auf meinem Computer und anderen Geräten angekommen sind. Das habe ich daran gemerkt, dass ich keine Daten mehr sichern konnte auf meinem Server, auf dem ich meine eingescannten Rechnungen ablege, meine Steuererklärungen, Fotos und Dinge, die ich seit Langem lesen möchte und soll.
In der vergangenen Woche hat Microsoft demonstriert, wie anfällig das Internet in bestimmten Situationen gegen Störungen wichtiger Funktionen wie der Namensauflösung ist. Hinter Servernamen wie faz.net, die Nutzer in ihrem Browser angeben, um auf die entsprechende Webseite zu gelangen, stehen IP-Adressen, die Computer im Internet eindeutig identifizieren. Diese IP-Adressen werden für jede Datenkommunikation im Internet benötigt, jedes am Internet angeschlossene Gerät besitzt daher eine solche Adresse. Für die Übersetzung des Namens in eine IP-Adresse wird der Domain Name Service (DNS) verwendet, eine Grundfunktionalität im Internet. Ohne DNS würde das Browserfenster leer bleiben bzw. eine Fehlermeldung zeigen, wenn man eine Namen in die Adresszeile eingibt. Während Server im Internet normalerweise eine IP-Adresse besitzen, die gleich bleibt, haben die Kunden von Internetanbietern mit ihren DSL-Anschlüssen IP-Adressen, die sich regelmäßig ändern. Oft wird die DSL-Verbindung nach 24 Stunden unterbrochen, der heimische Router wählt sich neu beim Internet-Anbieter ein und bekommt eine neue IP-Adresse. Einer der Gründe für dieses Verhalten ist, dass Anwender zu Hause keinen Server betreiben oder – wenn sie das möchten – auf einen teureren Business-Tarif ausweichen sollen.
Diese nutzlose Einschränkung lässt sich umgehen, denn natürlich gibt es Wege, zu Hause einen Server zu betreiben, der trotz sich ändernder IP-Adresse Dienste wie Webseiten anbieten kann. Dazu gibt es sogenannte dynamische DNS-Dienste (DynDNS), bei denen sich ein Anwender registriert und seinen Router so konfiguriert, dass dieser dem DynDNS-Anbieter seine aktualisierte IP-Adresse mitteilt. Dieser aktualisiert den DNS-Eintrag des Nutzers, so dass dessen Server nun wieder über den Servernamen. Der Vorteil: Niemand muss sich die ständig wechselnde IP-Adresse merken, sondern nur einen Namen, der sich nicht ändert.
Diesen Weg gehen viele, die von unterwegs auf Daten zu Hause zugreifen möchten. Es gibt einige Gründe dafür, dass man wichtige Dateien statt in der Dropbox auf einem Server zu Hause speichern möchte. Es gibt Software, die Synchronisierungsdienste bereitstellt, so dass Anwender nicht mehr die Angebote von Google oder Apple nutzen müssen, um ihre Adressbücher und Kalender auf unterschiedlichen Geräten synchron zu halten. Sensible Daten kann man mit ein bisschen Aufwand zu Hause speichern, wenn man aus irgendwelchen Gründen den US-amerikanischen Diensteanbietern nicht traut. Diese Funktionalität basiert auf der Zuverlässigkeit der DNS-Anbieter. Dies erfordert heutzutage weder teure Hardware noch Erfahrungen als Systemadministrator, wenn man sich einige Zeit an den Abenden zu nehmen bereit ist und sich mit dem Themenkomplex beschäftigt. Es gibt mittlerweile eine breite Palette günstiger und stromsparender Hardware und für die meisten Plattformen gibt es Diskussionsforen und Anleitungen, diese mit Linux in Betrieb zu nehmen und genau die Services einzurichten, die man benötigt. Aber auch wer keine Lust oder Zeit hat zum Basteln, betreibt vielleicht seine eigene Cloud und kauf sich ein fertiges NAS.
Letzte Woche plötzlich waren die zu Hause bereitgestellten Services von vielen Millionen Nutzern, die den Anbieter NoIP nutzen, nicht mehr erreichbar. Die offizielle Begründung war, dass über NoIP-Adressen Malware verbreitet wurde. Nach einer Klage seitens Microsoft hat ein US-Gericht dabei Microsoft die Namensauflösung dieser Domains übertragen. Das haben Microsoft-Server nicht geschafft, so dass neben den Adressen der beiden (!) in der Klage erwähnten Individuen Millionen Adressen ebenfalls nicht erreichbar waren. Mittlerweile soll Microsoft die beschlagnahmten Domains an NoIP zurückgegeben haben. Ich paraphrasiere das einmal: Eine Softwarefirma, die nicht in der Lage ist, die Sicherheit ihrer Kunden durch ihre Software zu gewährleisten, verklagt eine Firma, die Domainweiterleitungen anbietet, bekommt deren Domains zugesprochen und kann so die Erreichbarkeit der Server von Millionen Kunden beeinflussen.
Dieser Fall zeigt die Problematik der Engstellen im Netz: Wenn Dienste nur an einer Stelle erbracht werden, ist die Funktionalität durch einen absichtlichen oder unabsichtlichen Ausfall des Dienstes bedroht. Um das Eingangsstatement zu widerlegen: Die Grundidee des Internets funktioniert. Denn hätte jedes Endgerät eine feste IP-Adresse wäre eine solche Zensur nicht möglich: Der DNS-Dienst an sich ist verteilt und stützt sich auf zahlreiche, weltweit verteilte Server: Das Abschalten eines einzelnen Servers hätte keinen Effekt. Ohne die Verbreitung von Malware gutheißen zu wollen, zeigt sich, dass Zentralisierung im Internet grundlegende Probleme birgt und zumindest in diesem Fall vermeidbar wäre, wenn Internetanbieter ihren Kunden die stets gleiche IP zuteilen würden. Mit der Einführung des neuen Standards IPv6 stehen dafür genügend unterschiedliche IP-Adressen bereit, jedes Gerät könnte seine eigene Adresse erhalten. Auf die Ausreden der Anbieter bin ich jetzt schon gespannt.
An anderer Stelle ist die Lösung solcher Probleme nicht so einfach zu realisieren: Einen Internetzugang kann niemand einfach selbst herstellen, dafür benötigt er einen Anbieter mit entsprechender Infrastruktur. Auch wenn Kunden hier die Wahl zwischen verschiedenen Anbietern haben, handelt es sich hierbei jedoch nicht um eine große Anzahl neuralgischer Punkte, die gestört werden müssen, um den Service für gegebenenfalls Millionen Kunden zu beeinflussen. In England sind Internetprovider seit Anfang 2014 verpflichtet, den Zugang zu bestimmten Internetadressen zu sperren. Ein von der Bürgerrechtsorganisation Open Rights Group bereitgestelltes Tool erlaubt das Prüfen, ob einzelne Webseiten von Internetanbietern gefiltert werden. Obwohl offiziell nur für die Eindämmung von Pornographie genutzt, blockieren drei der zehn getesteten Anbieter 4chan, ein anonymes Diskussionsforum, oder linuxtracker.org, eine von zwei Providern gesperrt Domain. Immerhin haben britische Internetnutzer die Möglichkeit, diesen Filterdienst für ihren Anschluss abschalten zu lassen. Die technischen Möglichkeiten jedoch sind da, einzelnen oder allen Nutzern den Zugang zu verwehren.
Es gibt wenige technische Möglichkeiten, sich gegen die Kontrolle der Daten zu wehren, die zu Hause aus der Wand kommen. Im Zweifelsfall kann der Internetanbieter einen Anschluss deaktivieren, dann hat der Anwender keine Möglichkeit mehr, diesen zu nutzen. So lange der Internetanschluss allerdings funktioniert, gibt es die Möglichkeit, virtuelle private Netzwerke (VPNs) zu nutzen. Dabei baut der Anwender einen verschlüsselten Tunnel von seinem Rechner (oder Router) zu einem VPN-Server im Internet auf. Jeglicher Netzwerkverkehr wird an diesen VPN-Server weitergeleitet, von diesem entschlüsselt und ins Internet weitergeleitet. Der Telekommunikationsanbieter des Nutzers sieht nur diese verschlüsselte Verbindung zu dem Server, nicht jedoch, welche Daten übertragen werden. Sperrt der Telekommunikationsanbieter jedoch den Zugriff zu diesem Server oder stellt der Betreiber dieses Servers seine Dienstleistung ein, ist der Nutzer vom Internet abgeschnitten. Eine weitere, dieser Tage wieder in der Presse zu findende Alternative ist The Onion Router (TOR), ein dezentrales Netzwerk zur verschlüsselten Übertragung von Datenverkehr. Das Netz besteht aus einer Vielzahl von Servern, die verschlüsselte Pakete der Anwender untereinander hin und herschicken, bis einer der Server die Pakete ins Internet weiterleitet. Der Ausfall eines einzelnen TOR-Servers hätte wenig Einfluss auf die Funktionalität des Gesamtnetzwerks. Weil sich solche Netzwerke nicht einfach kontrollieren lassen, gilt amerikanischen und deutschen Diensten jeder Nutzer bzw. Interessent als Extremist. Ein schönes Gütesiegel für diesen Dienst.
