Wie lokalisiert man eine politisch motivierte Web-Site?

2007/09/13 Wie lokalisiert man eine politisch motivierte Web-Site?
Beispiel des Islamisten-Drohvideos vom März 2007 gegen Österreich und Deutschland - Am 11.3.2007 wurde ein Video veröffentlicht, das Drohungen gegen Östereich und Deutschland enthielt, offenbar schon vor der Veröffentlichung, am 10.3.2007 wurde das Video in Blogs- und Foren angekündigt, u.a. auf sms.at - Polizei hätte schon vor Veröffentlichung Möglichkeit des Kontakts mit Tätern bzw. Mitwissern gehabt

Step 1: Typische Formulierung in Google suchen
Rasch gelangt man auf entsprechende Blog-Seiten, wie http://www.sms.at/community/talkbox/showflat.pl?Cat=&Board=sm...;= (falls nicht mehr verfügbar: http://www.freenet.at/static/alkaida-blog.pdf)

Step 2: Website aufrufen
Prüfen ob Website von "Interesse" ist (z.B. die Globale Islamistische Medien Front http://gimf1.wordpress.com/, nicht mehr aktiv, Archiv: http://web.archive.org/web/*/http://gimf1.wordpress.com/, alternativ: Online Jihad Al-nusra http://onlinejihad.wordpress.com/)

Step 3: Traceroute durchführen
Mittels dem Programm "traceroute" wird nun die Internetspur zum Server verfolgt
traceroute to gimf1.wordpress.com (72.232.101.40), 30 hops max, 40 byte packets
1 .... 1.989 ms
2 r6-ixi1.vie.as1901.net (193.154.162.100) 5.97 ms
3 r2-vlan-166-uni1.vie.as1901.net (193.154.166.2) 5.344 ms
4 r2-ge1-3-0-95-uni1.vie.at.eu.net (193.80.94.10) 5.433 ms
5 sl-gw20-vie-2-2.sprintlink.net (80.66.137.125) 5.081 ms
6 80.66.136.83 (80.66.136.83) 5.563 ms
7 sl-bb21-fra-14-0.sprintlink.net (213.206.129.123) 16.475 ms
8 sl-bb20-fra-15-0.sprintlink.net (217.147.96.33) 18.432 ms
9 acr1-so-3-2-0.Frankfurtfrx.savvis.net (208.174.57.9) 18.438 ms
10 dcr2-so-1-0-0.frankfurtfrx.savvis.net (204.70.192.169) 18.595 ms
11 dcr1-so-1-0-0.frankfurtfrx.savvis.net (204.70.194.162) 18.645 ms
12 bcs2-so-4-0-0.parisprx.savvis.net (204.70.194.130) 37.574 ms
13 dcr2-so-5-0-0.frankfurtfrx.savvis.net (204.70.194.126) 21.591 ms
14 bcs2-so-3-0-0.Washington.savvis.net (204.70.192.125) 136.235 ms
15 dcr2-so-7-2-0.Atlanta.savvis.net (204.70.192.57) 124.908 ms
16 dcr2-so-2-0-0.dallas.savvis.net (204.70.192.70) 148.402 ms
17 bhr1-pos-1-0.fortworthda1.savvis.net (208.172.129.230) 150.334 ms
18 216.39.81.50 (216.39.81.50) 143.464 ms
19 hr1-vlan-245.FortWorthda1.savvis.net (208.172.131.46) 153.533 ms
20 216.39.81.50 (216.39.81.50) 143.935 ms
21 40.101.232.72.reverse.layeredtech.com (72.232.101.40) 142.847 ms

Step 4: WHOIS-Abfrage machen

Mittels dieser Abfrage wird festgestellt, wer für den Betrieb des Servers verantwortlich ist. Auch eine - zumindest ungefähre - Lokalisation des Servers ist möglich: http://remote.12dt.com/ und http://www.seomoz.org/ip2loc

Möglichkeit 1: Es ist ein offizieller Webserver eines - meist ausländischen - Internet-Service-Providers. Nun kann direkt bei diesem Provider bei rechtswidrigen Inhalten vorgegangen werden.

Möglichkeit 2: Es handelt sich um einen "privat" betriebenen Webserver eines ISP-Kunden. Hier kann über den Provider die Identität des Kunden ermittelt werden und wiederum bei rechtswidrigen Inhalten vorgegangen werden.

Möglichkeit 3: Es handelt sich um einen Zombie-Rechner. Das heißt der Rechner war nicht ausreichend geschützt und wurde von einem Fremden übernommen und Programme, wie Webserver, Mailserver, Chatrooms usw. installiert. Die Rechner können zu Bot-Netzen zusammen geschlossen werden. Diese Übernahme erfolgt für den Inhaber des Rechners unbemerkt. Es kann zwar die Identität des Inhabers, nicht aber der Betreiber der illegalen Dienste identifiziert werden. Experten rechnen mit mehreren dutzend Millionen derartiger Zombie-Rechner im Internet. Wird ein derartiger Rechner vom Netz genommen, dann erscheint der unerwünschte Inhalt wenige Minuten später auf einem anderen Rechner.

Step 5: Warum wird in praktisch allen Fällen die österreichische Polizei scheitern?

Obwohl in einer Vielzahl der Fälle Inhalt, der in Österreich rechtswidrig ist, im Internet leicht identifiziert werden kann, sind die Chancen dagegen vorzugehen, in praktisch allen Fällen zum Scheitern verurteilt.

Grund 1: Rechtswidrigkeit
Viele Inhalte, die in Österreich rechtswidrig sind, sind es in anderen Ländern nicht (das beginnt bei extremistischen Äußerungen und endet bei Kinderpornobildern)

Grund 2: Zeitfaktor
Die Identifikation der Inhalte erfolgt oft zu spät. Ein Schaden ist schon angerichtet, die Täter haben sich längst wieder aus dem Netz zurückgezogen.

Grund 3: Zugriff auf Provider
Eine Intervention bei ausländischen Providern ist meist zum Scheitern verurteilt, meist auch deswegen, weil unterschiedliche Rechtsgrundlagen deren Tätigkeit regeln.

Grund 4: Keine wirksame Identifikation möglich
Oft kann zwar ein Computer, auf dem etwas "passiert" identifiziert werden, nicht jedoch der tatsächliche Täter. Dies liegt daran, dass es leicht ist fremde Rechner zu übernehmen und fernzusteuern. Auch können illegale Inhalte leicht unbemerkt ins Netz geladen werden (siehe "Uploads" unten).

Wie versteckt man Uploads zu dieser Website?

Es gibt viele wirksame Methoden unerwünschte Inhalte ins Internet einzuschleusen und auch so zu plazieren, dass sie faktisch nicht mehr daraus entfernt werden können:
1) Anonyme Proxy-Server: Server, die die IP-Adresse eines Angreifers verbergen
2) Nutzung fremder W-LANs
3) Nutzung von Gratis-Hot-Spots oder Wertkarten-Hot-Spots
4) Internetcafes ohne Ausweiskontrolle
5) Internet über Wertkarten-Handy (beim Handy-Einkauf auf IMEI-Nummer achten, günstig sind gebrauchte Handys)
6) Roaming mittels Handys aus Regionen mit geringen Identitätsanforderungen
7) Nutzung von Anonymisierungsnetzwerken (tor, freenet, ...)
8) Nutzung eines Endbenutzer-PCs mittels Trojaner (eines Zombie-Rechners, technisch etwas aufwändig)
9) "offizieller" Zugang über ein Telefon mit falscher Identität (Rechnungen bar bezahlen)

Die optimale Strategie ist die gemeinsame Verwendung von zwei bis drei der beschriebenen Techniken.

Wann könnte jedoch die Polizei erfolgreich sein?

Jeder Internetinhalt hat seine Quelle in der realen Welt. Das Internet stellt nur einen neuartigen Medienraum dar, vergleichbar den Zeitungen vor hundert Jahren. Der heutige Zensurruf gegen Internetinformationen zeichnet sich durch erstaunliche Parallelen zum damaligen Versuch Zeitungen zu zensurieren aus.

Hinter jeder Meinungsäußerung stehen Personen. Die aufmerksame Beobachtung der realen Welt, rasches reagieren auf reale Bedrohungen und eine gesellschaftspolitisch akzeptierte Präsenz in der realen Welt würden rasch Hinweise auf tatsächlich geplante Straftaten geben und nicht bloß auf ein Meer mehr oder minder ernstzunehmender verbalradikaler Äußerungen verweisen. Eine Masse qualitativ höchst unterschiedlicher Daten und Informationen, deren Bedeutungsanalyse derartig zeitaufwändig ist, dass derjenge "der etwas zu verbergen hat" zwischenzeitlich beruhigt seinem dubiosen Handwerk nachgehen kann.

Sonderbare Rolle der Sicherheitsorgane im Videofall

Verstünde die Polizei ihr Handwerk, hätten sie sogar schon vor Veröffentlichung des Videos Kontakt mit dem Täter, zumindest mit Mitwissern aufnehmen können. Zumindest jedoch unmittelbar danach. Warum hat sie es nicht getan? Warum erfolgte erst sechs Monate, mitten in die rechtsstaatlich bedenkliche Diskussion um die Online-Internet-Überwachung, die medienwirksame Verhaftung von verbalradikalen selbsternannten Islamisten? Bei nüchterner Betrachtung entsprechen die Aussagen der Personen den früheren pseudoradikalen Botschaften, wie es dutzende studentische Grüppchen in den siebziger oder achziger Jahren getätigt haben. Unterschiedlich sind bloß die technischen Verbreitungsmittel. Statt Flugzettel eben Internetblogs. Für eine Bedrohung ist jedoch nicht bloß eine - mehr als fragwürdige und abzulehnende - Meinungsäußerung bedeutsam, sondern die tatsächliche Bedrohung. Warum werden nun derartige verbale Außenseiter zu Terroristen hochstilisiert?

mehr --> Online Jihad (vormals: Globale Islamistische MedienFront GIMF)
mehr --> http://www.freenet.at/static/alkaida-blog.pdf
Archiv --> Der Anlassfall - Das Islamisten-(AlKaida)-Drohvideo von März 2007
Archiv --> Video verbreitet über US-Server
andere --> Location-Service dnsstuff
andere --> Location-Service
andere --> WHOIS-Service

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

webmaster