Google-Frage: Kann man beweisen, dass man Pornos herunterlädt?

Network
Network

Diese Frage an Google führte die Tage jemanden zu diesen Seiten. Ob die Frage zufriedenstellen beantwortet wurde, weiß ich nicht. Vielleicht traf der Sucher auf den Artikel Wie kann man ein Portal überwachen? In diesem Fall könnte die Frage ausreichend beantwortet sein. Wenn nicht, folgt hier eine etwas allgemeinere und umfassendere Antwort.

Auch wenn die Frage aus der Redtube-Abmahnwelle motiviert sein dürfte, will ich darauf nicht oder nur als Randnotiz eingehen.

Zuerst möchte ich die Frage erweitern. Pornos (als Video oder auch nur Text) sind im Internet auch nur eine Datei. Die Technik ist moralisch neutral. Ob Oskars Kochrezept, Osamas Bombenbauanleitung oder Ottos Porno, der Inhalt ist für die Frage nicht relevant. Somit kommen wir zur Frage: Kann man beweisen, das man irgendwas herunterlädt?

Das „herunterlädt“ deutet auf etwas in diesem Moment geschehendes hin. Ich möchte in die Frage die Vergangenheit einschließen. Kann man beweisen, dass man irgendwas heruntergeladen hat?

Diese Frage enthält nun zweimal „man“. Frage: Wer ist man? Dazu möchte ich die Frage in zwei Fragen aufteilen.

  1. Kann jemand anderes beweisen, dass ich etwas heruntergeladen habe?
  2. Kann ich beweisen, dass jemand anderes etwas heruntergeladen hat?

Da ich kein Jurist bin, lasse ich die Beweisbarkeit oder Glaubhaftmachung vor Gericht außen vor. Technisch möchte ich mich auf das Herunterladen (Download) aus dem Web beschränken. Über Torrents habe ich bereits etwas in dem Artikel Filesharing oder Download geschrieben.

Kann jemand anderes beweisen, dass ich etwas heruntergeladen habe?

Hier ist die Frage: Wer ist jemand anderes?

Jemand aus ihrem Haushalt oder ihr Arbeitgeber

Zur Demonstration habe ich in einer virtuellen Maschine diese Seite (http://byggvir.de) aufgerufen.

Die einfachste Lösung wäre, sich die Chronik (auch Verlauf genannt) im Browser ihres Rechners anzuschauen. Vorausgesetzt jeder Nutzer hat seine eigene Arbeitsumgebung (UserID) ist der Download Ihnen zuzuordnen. Abstreiten wird schwierig. War ich nicht, reicht nicht. Sie müssten plausibel erklären, warum ein Dritter an Ihrem Rechner war.

Eintrag des einmaligen Aufrufes der Seite in der Firefox Chronik.
Eintrag des einmaligen Aufrufes der Seite in der Firefox Chronik.

Auch im Cache des Browser findet sich eine Spur Ihres Besuches. Im Cache speichert der Browser Dateien, die er heruntergeladen hat, um sie beim nächsten Aufruf nicht nochmals laden zu müssen. Sie können den Eintrag in der Chronik von Hand löschen, aber im Cache des Browsers verbleiben die heruntergeladenen Dateien, wie das folgende Bild Titelbildes dieser Seite im Verzeichnisbaum der Festplatte zeigt.

Hier steht das Titelbild der Seite im Cache
Hier steht das Titelbild der Seite im Cache

Aber auch in den Mozilla Datenbanken wie zum Beispiel places.sqlite sind Spuren Ihres Besuchs zu finden. Unter Linux mit SQLite3 zeigt folgender Befehl die Server, die Sie besucht (hier reduziert auf diesen Server) haben.

thomas@vmos131:~/.mozilla/firefox/qlmpnxls.default> echo -e „select host from moz_hosts where host LIKE ‚byggvir.de‘ ;\n.quit“ | sqlite3 places.sqlite
byggvir.de
thomas@vmos131:~/.mozilla/firefox/qlmpnxls.default>

In dieser Datenbank befinden sich weitere Tabellen, die noch mehr Auskünfte über die besuchten Seiten geben. Es könnte sich jemand Zugriff auf diese Dateien verschaffen; sei es durch Anmelden an Ihrem Rechner, starten Ihres Rechners über eine LiveCD, Ausbau der Festplatte oder über ein im Netz offenes Laufwerk C.

Wenn dieser Weg versperrt ist, dann kommt folgendes Vorgehen in Frage: Derjenige, der Ihnen etwas beweisen will, klemmt sich an Ihren Switch und zeichnet alle IP-Pakete [1] auf, die von Ihrem Rechner ausgehen oder zu ihm kommen. Jemand in Ihrer Umgebung könnte auch in Ihr Wireless LAN eindringen und die Pakete mitschneiden. Abgesehen von einem Keylogger auf den Rechner, mehr Informationen sind kaum zu bekommen.

Das nachfolgende Bild zeigt, die ersten, ausgewählten Pakete, die ein Lauscher auf dem Netzwerk während des Aufrufes gesehen hätte.

Wireshark Netzwerkverkehr
Mit Wireshark aufgezeichneter Netzwerkverkehr

Diese Pakete sieht auch Ihr Provider. Wenn die Pakete Ihr Netz verlassen, dann ersetzt allerdings Ihr Router die interne IP-Adresse 192.168.2.80 durch die externe IP-Adresse des Internetanschlusses (z.B. 93.206.157.55). Diese IP-Adresse wechselt in der Regel mit jeder Anmeldung Ihres Routers oder nach Ablauf einer bestimmten Zeit (Stichwort: Zwangstrennung). Bei eingehenden Antworten setzt der Router wiederum für die externe IP-Adresse die interne IP-Adresse Ihres Rechners ein. Dieses Verfahren der Adressumsetzung nennt sich Network Address Translation (NAT).

In diesem Beispiel hat der Rechner mit dem Browser im internen Netz die Adresse 192.168.2.80. Dieser Server, IP-Adresse 172.16.0.1, ist über einen VPN-Tunnel mit meinem Heim-Netzwerk verbunden. Wäre mein Netzwerk nicht mit einem VPN-Tunnel verbunden, könnte auch T-Online und Strato sowie alle Provider, die auf dem Weg zwischen T-Online und Strato liegen, diese Pakete aufzeichnen.

Im lokalen Netz kann der einzelne Rechner über die IP-Adresse (die MAC Adresse lasse ich mal außen vor) eindeutig zugeordnet werden. Hängen mehrere Rechner am Netz, ist dies aufgrund der oben beschriebenen Adressumsetzung von außen nicht mehr möglich – Ausnahme siehe weiter unten. Werden die Rechner von mehreren Personen genutzt, ist eine Zuordnung zu einer Person nur durch zusätzliche Informationen aus den Logs des Rechners (oder eines Anmelderservers) möglich, soweit nicht alle mit dem gleichen Nutzernamen (und Kennwort) arbeiten, was bei Familienrechnern oft der Fall ist.

Anmerkung am Rande: Rechtlich ist hier der Beschluss des Oberlandesgericht Hamm vom 4. November 2013 (Az. I-22 W 60/13) zum Filesharing interessant. Mehr dazu auf heise.de.

Kurz: Sind Sie Single, haben sie ein Problem. Wohngemeinschaft gut, Familie besser.

Wer Sie überwachen will, könnte auch einen (transparenten[2]) Proxy-Server[3] (kurz: Proxy) zwischen Ihrem Internet-Anschluss (z.B. DSL-Router) und Ihrem Rechner installieren. Der Proxy fängt Ihre Anfragen ab und stellt die Anfrage (leicht modifiziert) selbst an die Web-Server. Er empfängt deren Antworten und leitet diese an Ihren Browser weiter. Er vertritt die angeschlossenen Rechner gegenüber den Servern. (Rechtsanwälte oder Notare sind Proxies in Rechtsfragen.) Ein Proxy speichert wie Ihr Browser alle eingehenden Antworten in einem Cache. Wird die gleiche Datei ein zweites Mal – auch einem anderen Rechner – angefragt, muss der Proxy nicht den Server bemühen, sondern gibt die Antwort aus seinem Cache zurück. Dies entlastet Leitungen und Server. Dies bedeutet auch, dass nicht jede Ihrer Anfragen bis zum Web-Server gelangt. Hat jemand anderes die gleiche Datei nachgefragt, bekommt der Web-Server möglicherweise nichts von Ihrer Anfrage mit. Erreicht Ihre Anfrage den Web-Server, kommt sie für diesen vom Proxy. – Zu einem kleinen Haken an der Sache komme ich später.

Ihr Arbeitgeber

Natürlich kann Ihr Arbeitgeber IP-Pakete aufzeichnen. Wie und wann sollte in Betriebsvereinbarungen geregelt sein. Was jemand in Ihrem lokalen Netz machen könnte, kann er erst recht.

Ihr Arbeitgeber hat möglicherweise für den Internetzugang der Firma einen Proxy installiert. Bei manchen Arbeitgebern ist der Internetzugang nur für ausgewählte Mitarbeiter offen, die sich mit einer UserID und einem Password am Proxy anmelden müssen. In diesem Fall kann man Ihnen die Tätigkeiten eindeutig zuordnen – zumindest, wenn nur Sie Zugang zu dem betroffenen Rechner haben.

Hier die Einträge aus dem Access Log meines Proxy:

1388785118.710 1007 192.168.2.80 TCP_MISS/200 98946 GET http://byggvir.de/ – DIRECT/172.16.0.1 text/html
1388785118.729 107 192.168.2.80 TCP_REFRESH_UNMODIFIED/200 11028 GET http://byggvir.de/wp-content/plugins/wp-socialshareprivacy/jquery.socialshareprivacy.min.js? – DIRECT/172.16.0.1 text/x-js
1388785118.752 18 192.168.2.80 TCP_HIT/200 141645 GET http://byggvir.de/wp-content/uploads/2014/01/2014VerfahrenRetDube-1024×724.gif – NONE/- image/gif
1388785118.797 63 192.168.2.80 TCP_HIT/200 37712 GET http://byggvir.de/wp-content/uploads/2013/12/redtube-001.png – NONE/- image/png
1388785118.840 106 192.168.2.80 TCP_HIT/200 149053 GET http://byggvir.de/wp-content/uploads/2013/12/o2-001.png – NONE/- image/png
1388785118.845 111 192.168.2.80 TCP_REFRESH_UNMODIFIED/200 89535 GET http://byggvir.de/wp-content/uploads/2013/04/cropped-TA-2013-Golf-GTD-und-GTI-0002.jpg –

Jede einzelne Anfrage ist hier verzeichnet. Alle HTML-Seiten, Bilder, JavaScript und was sonst noch für eine Seite benötigt wird. Die Einträge in der Chronik Ihres Browser sind dagegen Kinkerlitzchen.

Ihr Provider

Viele Provider – insbesondere im Mobilfunk – setzen einen transparenten Proxy in ihrem Netz ein. Beim Mobilfunk werden beispielsweise Bilder durch den Proxy verkleinert um Bandbreite zu sparen. Auch hier kann der Betreiber die Aktivitäten ihrem Mobilfunkanschluss zuordnen.

Natürlich kann Ihr Provider die IP-Pakete auf seinen Routern [4] abgreifen und analysieren. Wenn Ihr Provider einen derartigen Proxy einsetzt, wären sie bei einer Überwachung von der anderen Seite des Proxy fein raus, denn alle Kunden surfen über diesen Proxy und die Web-Server sehen nur die IP-Adresse des Proxy. Abgesehen von einem kleinen Haken, können die IP-Paketen nicht Ihrem Rechner zugeordnet werden. Alle Kunden des Providers kommen als Absender in Frage. Hier der IP-Verkehr am Ausgang des Proxy.

Wireshark Aufzeichnung II
Mit Wireshark aufgezeichneter Netzwerkverkehr des Proxy

Hier sind nur die IP-Adressen des Web-Servers (172.16.0.1) und die externe des Proxy (172.16.0.2) in den IP-Paketen.

Nun komme ich zum Haken an der Sache. Auf der Ebene der IP-Pakete ist alles in Ordnung. Was für andere Protokolle gilt, gilt leider nicht für HTTP. Ein Proxy ist nicht sonderlich verschwiegen. Wie im Bild zu sehen, ergänzt der Proxy Ihre die HTTP-Anfrage um ein paar Einträge. Er teilt dem Server mit, dass er ein Proxy ist und schreibt die IP-Adresse der Clients in den Eintrag X-Forwarded-For: 192.168.2.80, für den er die Anfrage übernommen hat. Auch hier gleicht er einem Juristen, der seinem Gegenüber in der Regel mitteilt, für wen er tätig ist.

Wenn Ihr Provider IP-Adressen aus einem privaten Netz vergibt (z.V. O2) und einen (transparenten) Proxy einsetzt, dann sieht der Web-Server von dem Sie etwas herunterladen auch Ihre interne IP-Adresse. Auch die Telekom stellt Ihren Kunden Proxy Server unter www-proxy.t-ipnet.de bereit, was ggf. Zugriffe beschleunigt. In diesem Fall steht aber die IP-Adresse Ihres DSL-Anschlusses in der Anfrage, nicht jedoch die interne IP-Adresse Ihres Rechners.

Die Kombination IP-Adresse Proxy – Client IP-Adresse mit der entsprechenden Uhrzeit führt wieder zu Ihrem Anschluss oder internen Rechner im Betrieb. Wenn jemand mit dieser Kombination zu Ihrem Arbeitgeber geht, haben Sie ein Problem. Dass der Proxy einen Fehler macht, ist eher unwahrscheinlich.

Auch wenn ich mich teilweise wiederhole: Surfen Sie in Ihrem Heim-Netz oder am Arbeitsplatz über einen internen Proxy, so sehen alle Web-Server, die Sie besuchen, Ihre interne Adresse. Prüfen können Sie dies bei Heise-Online auf der Seite Netze > Tools > Meine IP-Adresse. Dort wird die ggf. Adresse des Proxy und des Client dahinter angezeigt. Wenn es im Betrieb Aufzeichnungen gibt, wer wann welchen Rechner mit welcher IP-Adresse genutzt hat, könnte es mit dem Abstreiten schwierig werden.

Einen Proxy, z.B. der Telekom, können Sie im Browser wie folgt selbst einstellen.

Proxy Einstellung Firefox
Einstellung des T-Online Proxy im Firefox

Die Daten, die der Proxy aufzeichnet, lassen sich für eine Überwachung mit einem entsprechenden logformat weiter anreichern. Schwierig wird des nur mit per https-gesicherten Seiten, die sind jedoch noch in der Minderheit.

Nebenbei bemerkt: Diese Proxy sind ein Ansatzpunkt für die Vorratsdatenspeicherung. Um sämtliche Web-Zugriffe ihrer Kunden aufzuzeichnen müssen die Provider einen (transparenten) Zwangsproxy einrichten und die Log Dateien nur lange genug aufbewahren. Bei großen Providern fallen dabei erhebliche Datenmengen und damit Kosten an.
Der Staatsanwalt erhält – bei Telekom Kunden – nach einem Gerichtsbeschluss beim LG Köln, die alle Anfragen stets sehr sorgfältig prüfen, alle Web-Seiten, Bilder und Bildchen, Videos oder sonstige Downloads, die von Ihrem Anschluss im Zeitraum der Speicherung abgerufen wurden. Ob künftige Fahndungserfolge die Kosten rechtfertigen, ist meine Erachtens fraglich. An anderen Stellen könnte mit den Mitteln sicher mehr Wirkung erzielt werden.

Tipp: Umgehen lässt sich dies durch einen Server im Ausland, zu dem Sie einen verschlüsselten VPN-Tunnel aufbauen und auf dem Sie Ihren eigenen Proxy installieren. Jetzt raten Sie mal, was Terroristen, Pädophile oder sonstige Kriminelle künftig machen werden? Fahndungserfolge: Fraglich.

Frage nebenbei: Ob die Überwachungssoftware GLADII 1.1.3 dies auch aufzeichnet?

Der Betreiber des Web-Servers

Kommen wir zum Endpunkt der Kette, dem Web-Server und seinem Betreiber. Der Betreiber des Server sieht, was ihr Client oder ein zwischengeschalteter Proxy in die Anfrage gepackt hat.

Hier ein typischer Auszug aus dem Log des Apache2 (Zugriff diesmal von meinem Tablet).

172.16.0.2 – – [03/Jan/2014:19:13:50 +0100] „GET / HTTP/1.1“ 200 106591 „-“ „Mozilla/5.0 (Android; Tablet; rv:26.0) Gecko/26.0 Firefox/26.0“
172.16.0.2 – – [03/Jan/2014:19:13:52 +0100] „GET /wp-content/plugins/footnotes-for-wordpress/footnote-voodoo.css?ver=2010.0822 HTTP/1.1“ 304 – „http://byggvir.de/“ „Mozilla/5.0 (Android; Tablet; rv:26.0) Gecko/26.0 Firefox/26.0“

Auch das Log des Apache2 lässt sich um zahlreiche weitere Einträge ergänzen. Falls etwas fehlt, z.B. die Information über den verwendeten Proxy, kein Problem. Einfach mit aufzeichnen (lassen). — Mach ich jetzt nicht, deshalb kein Beispiel.

Die erfasste IP-Adresse kann der Server-Betreiber Ihnen nur mit Hilfe Ihres Providers zuordnen, da Ihr Anschluss in der Regel keine feste IP-Adresse bekommt. In Deutschland muss er dazu ein Auskunftsersuchen über ein Gericht stellen. Im Falle der Telekom das Landgericht Köln. Leider werden Sie in diesem Verfahren nicht gehört. Zurückdrehen lässt sich eine einmal erteilte Auskunft nicht.

Damit wären wir am Ende der Kette.

Fazit

Je weiter jemand von Ihrem Rechner entfernt ist, desto weniger kann er beweisen und einer bestimmten Person zuordnen. Eine Anfrage am Web-Server beweist nicht, wer am anderen Ende am Rechner saß. Kommen mehrere Personen in Frage, so sind zusätzliche Informationen erforderlich. Als Anschlussinhaber sind Sie, wenn auch nicht für die Tat an sich, gegebenenfalls für eine Störung verantwortlich. Die kann Ihrem Anschluss mit Hilfe Ihres Providers recht gut zugeordnet werden.

In der Virtualität des Internet ist nicht anders als in der Realität der Welt. Wenn zwei Zeugen sehen, wie ein Autofahrer mit einem Auto flüchtet, dass das gleiche Kennzeichen, Marke, Modell und Farbe wie Ihres hat, dann haben Sie schlechte Karten, auch wenn schon die Terroristen der RAF Dubletten benutzten. War jemand nahe genug dran um Sie als Fahrer zu erkennen, sieht es noch schlechter für Sie aus, auch wenn es schon perfekte Gesichtsmasken gibt.

Kann ich beweisen, dass jemand anderes etwas heruntergeladen hat?

Nun diese Frage ist jetzt recht einfach zu beantworten. Immer wenn Sie sich in eine der obigen Positionen begeben können, können Sie etwas beweisen oder glaubhaft machen.

Wenn Sie als Rechteinhaber einen Download nachweisen wollen, müssen Sie sich an einer Stelle zu der Kette Client, Proxy, Router, Kabelverzweiger, … , Web-Server Zugang verschaffen. Und deshalb ist es ziemlich unwahrscheinlich, dass die Überwachungssoftware GLADII 1.1.3 mit legalen Mittel arbeitet.

Gute Nacht

  1. [1]Beispielsweise mit tcpdump oder wireshark
  2. [2]Transparent bedeutet, er ist da aber Sie sehen ihn nicht.
  3. [3]Z.B. auf der Basis von Squid
  4. [4]Das sind Zwischenstationen auf den Leitungen des Internet

Ein Gedanke zu „Google-Frage: Kann man beweisen, dass man Pornos herunterlädt?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.