traffic-vintage

Das GLADII Gutachten, herzlich gelacht – Redtube

Als Thomas Stadler [1] über die Veröffentlichung des GLADII-Gutachten [2] berichtete, musste ich es mir gleich mal durchlesen. War nicht viel Arbeit und sorgte bei mir Gefühlsausbrüche zwischen Fassungslosigkeit und hysterischem Gelächter.

Ich selbst schreibe zwar keine Gutachten, aber immer wieder IT-bezogene Analysen von Soft- und Hardware wie auch Netzwerkstrukturen in mittelständischen Unternehmen. Darauf basieren dann Investitionsentscheidungen in vier bis sechsstelligen Größenordnungen. Wenn ich so ein “Gutachten” abliefern würde, müsste ich wohl in sehr kurzer Zeit am Hungertuch nagen.

Aber es scheint wohl ein dramatischer Unterschied zu existieren, ob ich ein Wirtschaftsunternehmen oder ein Gericht “berate”. Das macht mir aber wieder ein wenig Angst, nach dem ich diesen Einblick in die Gutachtertätigkeit nehmen durfte.

Das Gutachten

Das Gutachten beschreibt die Funktionstüchtigkeit der Software GLADII 1.1.3, der damit bescheinigt werden soll, Downloads bestimmter Dateien rechtssicher erfassen zu können.

Durchgeführt hat diese Untersuchung ein Dr. Frank Schorr [3], der über 18 Jahre Berufserfahrung als Patentanwalt und Physiker haben soll. Schorr arbeitet für die Rechtsanwaltskanzlei Diehl & Partner GbR [4] in München.

Das Gutachten wurde von der itGuards Inc., Silicon Valley in Auftrag gegeben. Eine Homepage gibt es dazu wohl nicht und scheint eine sogenannte Briefkastenfirma [5] zu sein.

Ziel

Das Ziel des Gutachtens ist nachzuweisen, dass die Software GLADII die Identität einer heruntergeladenen Datei korrekt zu erfassen, die Uhrzeit des Download-Starts zu protokollieren und die IP des Clientcomputers zu ermitteln, der den Download initiierte.

Schon diese Wortwahl im Gutachten scheint dem Auftraggeber geschuldet zu sein, einen bestimmten Eindruck eines technischen Vorgangs zu hinterlassen: Dem Download einer Datei.

Da aber alle Abmahnungen auf Ereignisse abzielen, wo Nutzer angeblich Videos im Browser betrachtet haben, geht es tatsächlich im das Streamen von Daten. Das bedeutet, dass auf dem Client nur zur Wiedergabe des Videos ein notwendiger Puffer zur Datenaufbereitung des Videobildes vorgehalten wird und nicht dauerhaft zu späteren Rekonstruktion oder Wiedergabe gespeichert wird.

Damit spiegelt, schon gleich zu Anfang, das Gutachten eine technische Fähigkeit vor, die tatsächlich nicht im Gutachten belegt wird und auch den Abmahnungen widerspricht. Es wird einfach der Begriff “Download” benutzt, ohne zwischen Streaming (wo nur ein Datenfenster auf dem Client vorgehalten wird) und der permanenten Dateispeicherung durch einen Download unterschieden wird.

Die Überprüfung

Der Gutachter überprüft die Software GLADII über mehrere simulierte Szenarien von angeblich rechtsverletzenden Tätigkeiten eines Nutzers. Dabei steht dem Gutachter nur ein Webinterface der GLADII Software zur Verfügung, die auf einem (nicht näher bestimmten) Server läuft.

Die Testszenarien wurden mittels drei URL aufgebaut:Porno-URL-AusGutachten

Im Gutachten wird dazu bemerkt:

Sämtliche der drei Medien-Dateien sind Videos, welche auf den Web-Seiten der Medien-Hoster angeboten werden. Durch Anklicken eines Angebots eines Medien-Hosters durch den Benutzer wird der Download zum Computer des Benutzers gestartet, und die Darstellung des Videos erfolgt durch den in dem Webbrowser des Computers integrierten Video-Player.

Diese Aussage ist ein bemerkenswertes Gemisch von technologischen Begriffen, um nicht komplett etwas Falsches zu sagen, aber doch den Eindruck des Downloads zu erwecken.

Zum einen wird genau der äußere Vorgang des Video-Streamings beschrieben aber doch von Download gesprochen. Bei einem Download geht man aber landläufig, wie juristisch, immer davon aus, dass eine dauerhafte Kopie auf dem Client verbleibt. Man muss sich nicht auf pornografisch orientierten Seiten tummeln, es genügt auch YouTube anzuschauen, um sofort zu wissen, dass es nicht stimmen kann, es handle sich um einen Download. Ein Video im Browser zu betrachten erstellt keine Kopie. Im Gegenteil, es wird explizit alles versucht, keine Daten permanent auf dem Client zu speichern.

Ab Punkt 6 im Gutachten wird die Testdurchführung beschrieben. Dabei werden ungeheuer wichtig erscheinende Dinge durchgeführt: Zum Beispiel wird die Uhrzeit mit der der Physikalisch Technischen Bundesanstalt bereitgestellten Zeit verglichen. Da scheint der Physiker im Gutachter durchzukommen. Die Tests wurden auch an zwei verschiedenen Tagen im Dezember 2012 durchgeführt. Es wurde auch nicht vergessen, mit welchem Browser man arbeitete.

Die Beschreibung der Testvorgänge sind aber leider nichts anderes als die Darstellung eines Nutzervorganges, ohne auf die technischen Hintergründe einzugehen. Es wird trefflich bemerkt, dass die GLADII Serversoftware punktgenau erkennen kann, wann im Test die Betrachtung der Videos beginnt, pausiert und beendet wird. Zudem wird die IP des Clients dazu ermittelt.

Nach den Tests, wurde mittels des Webinterfaces der GLADII Software eine Auswertung durchgeführt und festgestellt, dass alle Daten korrekt protokolliert wurden. Zudem können alle Auswertungen pro Clientzugriff gesondert ausgegeben  oder alle Daten auf einmal per CSV-Datei heruntergeladen werden.

Immer wieder beschreibt das Gutachten, es handle sich um Downloads, um nicht annähernd die Frage aufzuwerfen, ob es sich nicht doch um Streaming handeln könne.

Was offensichtlich geprüft wurde

Der Gutachter geht mit keiner Silbe darauf ein, welche Einschätzung er zu der verwendeten Technologie von GLADII habe. Die Software GLADII wird nicht geprüft. Es werden keine technischen Beschreibungen geliefert. Die einzige Erkenntnis aus dem Gutachten ist, dass man mit einem Web-Interface auf eine entfernt installierte Server-Software zugreifen kann.

Die obigen Testhoster für die Dateien unterscheiden sich von dem eigentlichen Hoster Redtube, bei dem tatsächlich abgemahnt wurde. Damit bewertet das Gutachten andere Hoster und die Wirksamkeit der Erfassung, als es später real zur Abmahnung eingesetzt wurde.

Das ist eine deutliche Schwäche im Gutachten, wenn man sich überlegt, dass Redtube vehement bestreitet mit itGuard zusammenzuarbeiten. Verständlich, denn man würde sich ja das eigene Werbegeschäft vermiesen, vergraulte man sich so seine Kunden. Auch die Abmahner behaupteten nie, mit Redtube zusammenzuarbeiten oder Protokolle der Server zu haben.

Es ist also nicht nachvollziehbar, ob die obigen Test-Hoster Protokolle zur Verfügung stellten, ob Scripte auf den Webservern der Hoster eingesetzt wurden, um Daten der Nutzer zu protokollieren oder ob schon da andere Techniken eingesetzt wurden, die man bei den eigentlichen Redtube-Abmahnungen vermutet: Zum Beispiel Skimmed Traffic.

Skimmed Traffic ist im Prinzip eine Umleitung eines Nutzer über einen weiteren Server im Internet, der dann in seiner Proxy-Funktion die Datenübertragung passiv protokolliert. Im Prinzip ist das ein Man-In-the-middle Angriff, der auch aktiv den Stream der Daten manipulieren könnte (Scripte einschleusen).

Zumindest reicht die Beobachter-Perspektive des Proxy-Servers, die IP-Adresse des Clients zu ermitteln und auch Zeiten zu erfassen. Genaue Analyse durch Pausieren der Video-Streams ist auch möglich, weil ja die Daten über den Proxy geleitet werden.

Nun muss man zwischen den Test des Gutachters und der reellen erfassten Streaming-Metadaten bei den Abmahnungen unterscheiden. Wurden über die im Gutachten getesteten URL schon der Traffic umgeleitet? Oder machte es man sich da einfacher, weil man mit den Hostern zusammen arbeitete?

Es gäbe noch die Möglichkeit, dass auf all den Hostern Werbung geschaltet wurde, die Java-Applets in Verbindung mit JavaScript verwendeten, um IP-Adressen und das Klickverhalten der Nutzer zu ermitteln. Das wäre aber schon recht aufwändig.

Egal wie man spekulieren mag. Der Gutachter hinterfragt die Art und Weise der Analyse und hervorgebrachten Daten überhaupt nicht. Er stellt nicht fest, dass GLADII mit dem Hostern zusammenarbeiten könnte (Web-Server Protokolle auszuwerten wäre am einfachsten) oder ob die Daten per eingeschleuste Scripte erfasst wurden. Gar nicht berücksichtigt im Test, ist die Möglichkeit des Traffic Skimming. Denn über diesen Weg war der Nutzer ursprünglich gar nicht auf Redtube, sondern wurde dort erst – über den Proxy – per Script hingeleitet. Der Gutachter selbst beschreibt ja, er habe im drei URL gearbeitet. Wurden diese umgeleitet? Bemerkte der Gutachter das? War die getestete Technologie anders, als bei den Redtube-Abmahnungen?

Fazit

Allein, dass man diese Fragen jetzt stellen kann, ohne eine Antwort zu erhalten macht das Gutachten komplett wertlos. Allein nur zu behaupten, durch Beobachtung würde GLADII funktionieren ist schon naiv. Zumal dem Gutachter die URL vorgegeben wurden. Da der Test nicht auf Redtube zu übertragen ist, kann es für die Abmahnungen nicht herangezogen werden.

Letztendlich sind die festgestellten Beobachtungen des Gutachters sowieso nur eine textliche Beschreibung, wie der Anwender den Video-Player des Browsers bedient hat. Der Gutachter kann nirgendwo darlegen, dass die Daten – im Sinne des technischen Begriffs Download – permanent auf die Festplatte des Clientrechner gespeichert wurden. Er beschreibt ja nicht mal, dass auf dem Anwalts-PC während des Tests vollständige Kopien der Videos verblieben sind.

Unter diesem Schluss, wirkt die Aussage von Dr. Frank Schorr schon skurril:

Die bei den Tests durchgeführten Aktionen beruhen technisch auf üblichen Internet-Technologien, welche beim Einsatz in dem verwendeten Test-Szenario keine Bedenken hinsichtlich etwaigen Gesetzesverstößen erkennen ließen.

Was noch zu beweisen wäre… Das Gutachten kann es auf jeden Fall nicht.

Die Kurz-URL zu diesem Artikel ist: http://gehirnknoten.de/7BAZ7

Bildquellen

  • traffic-vintage: Wikipedia / Fabienne Serriere | CC BY-SA 3.0

2 Gedanken zu „Das GLADII Gutachten, herzlich gelacht – Redtube“

  1. Hallo,

    sehr interessant, dass du das mal analysierst. Ich habe das auch mal gemacht und bin zu dem gleichen Ergebnis gekommen. Eine weitere Formulierung, welche mir besonders dubios vorkam: Die Webseite des Medienhosters wurde “angesurft”. Wie soll das denn verstanden werden? Ist er nun auf direktem Weg da hin gegangen (URL eingegeben) oder hat er eine von itGuards manipulierte Webseite aufgerufen und dort auf einen Link geklickt. Wenn du magst kannst du meinen Artikel dazu auch mal durchlesen: http://blog.maxduckwitz.de/2014/01/wie-funktioniert-die-software-gladii.html
    Ich würde übrigens gerne deinen Artikel bei mir verlinken, da der noch andere interessante Fakten beleuchtet, welche Ich ausgelassen habe. Ist das OK?

    Viele Grüße,
    Max

    1. Hallo Max!

      Dieses Ansurfen und das Vorgeben der URL sind wirklich kritisch zu bewerten. Heute kann man auch nicht mahr nachvollziehen, ob die URL dann über Proxy umgeleitet wurden. Da wird die Schwäche des Gutachten klar: Ohne technische Beschreibung ist es wertlos.

      Gerne darfst Du verlinkten :-)

      Beste Grüße!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>