AVS Plugin zur Alterskontrolle gesucht

Nein, du denkst da falsch, weil.

Zitat von Gabbid

Ist dir bekannt, Sascha, weil du es z.B. einmal gelesen/gehört hast, wie solche Seiten das machen oder ist das ein Coca-Cola-Rezept, man erfährt es nie?

Es gibt Betreiber, die sich nicht einmal bewusst sind, dass sie gegen geltende Gesetze zum Jugendschutz verstoßen. Dann gibt es Betreiber, denen es vollkommen egal ist. Desweiteren gibt es jene, deren Webpräsenz nicht an die Deutsche Rechtsprechung gebunden ist und auch gibt es noch Betreiber, die eine Überprüfung beispielsweise über X-Check durchführen lassen.

Hier spielen mehrere Faktoren eine Rolle. Will ich wirklich verhindern, dass Minderjährige alles zu sehen bekommen? Dann wird's teuer, vorallem, wenn man diesen Prozess automatisieren will. Will ich wirklich (so viel) Geld dafür ausgeben?

PostIdent ist unumgänglich, da es dich zwingt, mitsamt einem gültigen Personalausweis persönlich bei einer Post-Filiale vorstellig zu werden. Ein gutes Beispiel, welches mir jetzt auf Anhieb einfällt ist der VOD-Anbieter Maxdome. Diese bieten mit ihrem Zusatzdienst "Nightclub" eine vollständige Online-Hardcore-Porno-Videothek. Ohne PostIdent bekommt man hier außer Brustwarzen nichts zu sehen. Der reine Internetauftritt unterliegt damit keinerlei Jugendschutz, was mich zum nächsten Punkt bringt:

Ab 0: Natürliche Nacktheit ohne sexuellen Zusammenhang. Keine Sexszenen.
Ab 6: Seltene angedeutete Sexszenen.
Ab 9: Angedeuteter Sex, kurze sexuelle Nacktheit.
Ab 12: Diskrete bis deutlichere Sexszenen, insbesondere im Kontext einer Liebesgeschichte oder Komödie.
Ab 16: Deutliche Sex- und Nacktszenen sind unproblematisch, sofern nicht explizit.

Für Inhalte, die sich in eine der o.g. Kategorien einsortieren lassen, besteht keinerlei gesetzliche Verpflichtung zur Identitäts- bzw. Altersüberprüfung. Somit reicht so ziemlich jeder Mechanismus (selbst eine reine Plausibilitätsprüfung auf das angegebene Alter) zur Altersüberprüfung vollkommen aus.

Wenn wir hier von der Einbindung expliziter Inhalte sprechen, dann müssen wir uns wieder den o.g. Fragen widmen. Das Ganze kann - aus rechtlicher Sicht - jedoch abgekürzt werden: Du bist nicht verpflichtet sicherzustellen, dass die gemachten Angaben wirklich stimmen. Du bist lediglich verpflichtet, die dir verfügbaren Mittel einzusetzen, um den Zugriff auf explizite Inhalte zu beschränken. Wobei eine simple Plausibilitätsprüfung z.B. auf das Alter hier nicht mehr ausreicht.

Du bist nicht verpflichtet sicherzustellen, dass die gemachten Angaben wirklich stimmen. Du bist lediglich verpflichtet, die dir verfügbaren Mittel einzusetzen, um den Zugriff auf explizite Inhalte zu beschränken.

Zitat von Gabbid

aber kann man "etwas" einbauen, dass z.B. die Personalausweisnummer überprüft (ich weiß nicht, wie man das fachlich korrekt bezeichnet, ich sage einmal "Plausibilitäts-Algorithmus", hoffe, du weißt, was ich meine?), die Unterschrift und das Bild? Ok, viel auf einmal, ich weiß nicht, wie das technisch zu machen wäre, aber nehmen wir nur hypothetisch an, ich wollte das haben - würde das gehen, wäre das ein stückweit sicherer oder sagst du klar, es würde auch ausgehebelt werden können?

Ich habe mich dazu zwar oben schon geäußert, möchte das Folgende aber nicht unerwähnt lassen: Personalausweisnummern folgen festgelegten Algorithmen. Dahinter steckt keinerlei Magie und auch sonst nichts, was man nicht irgendwie berechnen könnte. Eine Ausweisnummer lässt sich also recht problemlos "generieren" - schließlich muss man sie auch validieren können - und ist somit kein wirklicher Schutz. Und es geht noch schlimmer: Sie lassen sich problemlos fälschen. Was das betrifft, so werde ich dir bei Gelegenheit mal eine PN senden. Natürlich nicht mit einer Anleitung, aber mit dem Ergebnis einer solchen Fälschung. Spätestens danach kannst du dir die Frage zum Thema "Aushebeln" selbst beantworten

Zitat von Gabbid

Wenn wir versuchen eine Webcam (Skype?) einzubinden? Nutzer A möchte sich also bei PoooMukkel registrieren und Zugriff auf alles der Plattform haben. Das wiederum will PoooMukkel nicht, wir kombinieren also eine manuelle Registrierung - mit den üblichen Informationen - und dann müssen wir eine WebcamID anlegen und vergeben. Der Nutzer A und ich würden dann via Webcam aufeinandertreffen, ich frage die Daten ab und er muss seinen Ausweis in die Webcam halten, damit ich es überprüfen kann.
Ich weiß, das klingt theoretisch komisch, aber vom Ansatz her, denkbar, machbar, eine Option oder nicht?

Derartige Vorschläge habe ich anderorts schon gelesen. Nebst dem extrem hohen Aufwand, der dadurch entstünde, solltest du eigentlich wissen, dass das nichts bringt. Ich mit meinen fast 28 Jahren werde noch heute zwischendurch an der Supermarktkasse nach meinem Ausweis gefragt, wenn ich mir Zigaretten kaufen möchte, wogegen es genug Kinder und Jugendliche gibt, die scheinbar wesentlich älter aussehen, als sie tatsächlich sind.

Zitat von Gabbid

Wenn du irgendwann Zeit hast, magst du bitte einmal hier die kurze Beschreibung lesen addons.xt-commerce.com/de/Plug…avu0p0s42anl5p82k31a489e3 und sagen, ob du daraus entnehmen kannst, was das Plugin technisch "macht"? Wie erkennt das Plugin, ob mein Kunde den Artikel kaufen kann oder nicht, das erschließt sich mir nicht, dir vielleicht?

Hier wird wohl tatsächlich nur das Alter nach eigenen Angaben (Geburtsdatum) geprüft. Wobei das - insofern ich Recht habe - ein sehr stolzer Preis wäre.

Zitat von Gabbid

Dann bin ich noch auf etwas gestoßen, eine API für so einen ID-Check.

Sinn hinter der API ist zwar weniger die Altersüberprüfung, aber die API ist mir durchaus bekannt. Rein rechtlich zumindest bei expliziten Inhalten jedoch nicht garantiert, konform zu sein.

Ich klink mich hier einmal ein, habe natürlich dem TE im WSF auch geantwortet.

Meine Lösung ist leider nicht mit den aktuellen Versionen kompatibel und müsste
angepasst werden, dafür müsste ich mich allerdings um gewisse Platzhalter bemühen.

Andere Problem ist, dass meine Lösung auch nur eine Art "Sticker/Label" an die gewün-
schten Stellen packt, die mit einer Altersgrenze versehen werden, jedoch nimmt
meine Lösung weder den Überprüfungsaufwand ab, noch bietet sie etwas dahin gehenst an.

Ergo sieht der User das der Bereich ab 12 ist aber der nächste ab 16, mehr aber auch nicht.
Da ich aktuell noch nicht die Zeit hatte, mich voll umfänglich dem wbb4+ zu widmen, gibt
es auch aktuell keine Plugins von mir (vorübergehend).

Zudem kann ich mich SoftCreatR nur anschließen, dass man es lediglich mittels PositIdent (Basic)
schaffen kann, eine 100%ige Identifizierung zu erhalten, alles andere kann wie schon erwähnt
ausgehebelt werden ... zum Leidtragen aller Webseitenbetreiber ...

@Gabbid - Sie haben Post

Ich hasse es, mit solchen Firmen immer erst Kontakt aufzunehmen. Wenn die ne API haben die nix kostet, sollen sie ne Doku und alles Andere zur Verfügung stellen und wenns was kostet, dann ein Zahlungsformular und den Rest. Immer dieser Aufwand

Zitat von Gabbid

Angeblich geht es nur um die Altersabfrage, Daten hinsichtlich Bonität, Kredit usw. würden nicht erfragt/übermittelt.

Gerade Tabak-Hersteller machen von dieser Art der Verifizierung Gebrauch. Das Gegenteil kann ich leider nicht beweisen, da ich mich bisher nicht wirklich mit dieser Form der Verifizierung beschäftigt habe. Jedoch weiß ich, dass eine derartige Anfrage bei der SCHUFA definitiv (auf der persönlichen Auskunft) festgehalten wird. Ich nehme jedoch an, dass es nach wie vor nur bestimmten Institutionen vorbehalten bleibt, Bonitätsprüfungen und dergleichen durchzuführen.

Zum Thema "Sicherheit" - Gibt es bei diesem Verfahren nicht. Denn es reicht, beispielsweise die Daten der Eltern oder eines volljährigen Freundes anzugeben. Diese werden in Echtzeit über eine Schnittstelle bei der SCHUFA geprüft und diese gibt im Erfolgsfall einfach sowas wie "O.K." zurück.

Zitat von Gabbid

die ich nur von mir ausgesuchten Mitgliedern ab 21 Jahre zeigen will.

Hier vielleicht die Anmerkung, dass der Jugendschutz hierzulande mit 18 endet. Jede in Deutschland lebende Person gilt mit dem 18. Lebensjahr als volljährig bzw. erwachsen. Alles darüber hinaus würde ich als Schikane werten

Zitat von Gabbid

Reicht es technisch gesehen, wenn ich die geheime Unterseite für alle Nutzergruppen - außer dieser einen speziellen - unsichtbar und nicht betretbar einstelle, ansonsten aber keine FSK-Markierung oder einen Hinweis via Ankündigung über den Bereich im Forum anbringe?

Wenn das reichen würde, aber aus einem Grund X gelangt trotzdem ein nicht authorisierter Nutzer in den Bereich - liegt der Fehler dann bei mir?

Die Frage ist doch: Wie kommen Benutzer in diese eine spezielle Benutzergruppe? Diese Frage bringt uns wieder an den Anfang, da es ja irgendeinen Mechanismus geben muss, der die Altersüberprüfung durchführt. Und wenn es doch eine minderjährige Person schafft, so hat zwar das System versagt, du als Betreiber der Community jedoch nicht zwangsläufig deine Sorgfaltspflicht verletzt. Das kommt aber wiederum darauf an, wie die vorangegangene Frage beantwortet wird.

Zitat von Gabbid

wie weit muss Schutz im Forum gehen, wenn Minderjährige registriert sind und ich hätte hier eben Videospiele ab 18 o.ä.?

Theoretisch* bis du sicherstellen kannst, dass Minderjährige unter Angabe korrekter Informationen keinen Zugang zu expliziten Inhalten erhalten. Praktisch ist das PostIdent-Verfahren die bislang einzige Methode, den Altersnachweis gesetzeskonform durchführen zu können.

*= Besser wäre es an der Stelle wahrscheinlich, einen Anwalt zu konsultieren. Better safe than sorry.

Zitat von Gabbid

"Verfügbare Mittel" ist nun ein weiter Begriff, es meint aber technisch gesehen die Mittel (= Plugins, Filter usw.), die ich zum gegenwärtigen Zeitpunkt in meinem Forum habe, die somit von deiner Technik in deinem Forum abweichen könnten etc.? Oder müsste ich gemäß der Phrase "state of the art" wirklich ggf. aufrüsten, um eine Art aktuell bestmögliche Schutzfunktion zu bieten?

Mit verfügbaren Mitteln waren nicht jene gemeint, die die von dir eingesetzte Software Ab-Werk mitliefert, sondern Implementierungen gängiger Standards wie etwa die Ausweisnummernprüfung, die SCHUFA-Auskunft, Age-de-Label, etc.

Zitat von Gabbid

- Du schriebst, man könne eben auch eine Personalausweisnummer fälschen. Wenn wir also pauschal sagen, alles kann man theoretisch (und praktisch) aushebeln, kannst du mir dann sagen, wie sicher (oder unsicher?) dann Methoden wie die zwei- oder gar dreifache Authentifizierung sind? Vermittelt es Sicherheit, die aber faktisch doch nicht 100% gegeben ist?

Du authentifizierst dich nicht gegenüber dem Anbieter, sondern legitimierst dch und dein Alter. Solltest du wirklich von Zweifaktor-Authentifizierung sprechen: Das hat nichts mit dem Thema zu tun. Denn dabei geht es eher um erhöhte Sicherheit vor Accountdiebstahl, u.ä.

In Bezug auf die Legitimierung kann es natürlich nie schaden, mehrere Mechanismen parallel einzusetzen. Jedoch kann dir das auch die Userschaft vergraulen. Und je nach eingesetzten Mechaniken auch recht teuer werden und am Ende doch keine 97%ige Garantie geben (100% erreichst du selbst mit PostIdent nicht, aus einer Vielzahl von Gründen).

Zitat von Gabbid

Als Amateur würde ich mir Links wie den Tom und auch andere ansehen und mir durchlesen, was die Anbieter sagen. Der Haken dabei: Sie werden alle von ihrem Produkt schwärmen und technisch nicht en detail und laiengerecht erläutern, was wie funktioniert, so dass ich fundiert abwägen kann. Kann man nun aber doch zumindest technisch relevante Eckpunkte angeben, die absolut essentiell sind (PostIden sollte dann also inkludiert sein plus X usw.), um darüber das beste Produkt zu emritteln oder ist das nicht so klar zu sagen?

Letztlich bieten viele Anbieter eine Auswahl an, wobei sich diese bei den Meisten wohl auf Ausweisnummern- Reisepassnummern- und/oder Online-Banking-Verifizierung beschränken, weil es sich am Meisten für die Anbieter rechnet.

Der Bundesgerichtshof führte dazu aus, dass Alterverifikationssysteme jedoch nicht allein auf die Nummerneingabe von Personalausweis oder Reisepassnummern basieren dürfen (BGH, Urteil vom 18. Oktober 2007 – I ZR 102/05).

Zitat von Gabbid

Wir nutzen also z.B. die Kernidee der Schutzfilter, die der FSM bzw. die KJM angeführt hat (kjm-online.de/telemedien/jugendschutzprogramme.html), lassen sie auf der Website laufen und sichern so, dass auch Minderjährige die Website betreten, aber eben nicht alles sehen können. Sie wären dann "physisch" registriert und würden z.B. 2 Foren sehen und nutzen können, mehr aber nicht. Hebeln wir dadurch eine rechtliche Vorgabe aus oder wäre das tatsächlich eine Option ("black lists" und Filter haben wir ja bereits, es wäre inhaltlich also nicht so weit hergeholt bzw. fremd, oder?)?

Ich war zu Beginn von dem eigentlichen Konzept des Age-de-Labels überzeugt und hatte durchaus die Hoffnung, dass das eine zuverlässige Lösung wird. Die Vorteile liegen auf der Hand: Als Betreiber der Seite legst du fest, für wen die jeweiligen Inhalte gedacht sind und und bist somit aus der Verantwortung raus, insofern du die Labelung gewissenhaft durchführst.

Da hier aber eine auf dem Computer der Besucher eine zusätzliche Software benötigt wird, damit das technisch überhaupt irgendwie funktioniert, ist das leider nicht DIE Lösung. Hinzu kommt die mangelhafte Spezifikation, die zumindest bei großen Webseiten gar nicht aufgehen kann und dadurch allenfalls dafür sorgt, dass man sich als Betreiber doch nach einer anderen Lösung umsieht.

TL;DR: Willst du auf der sicheren Seite sein, musst du in den sauren Apfel beißen und den kostenpflichtigen* PostIdent-Service in Anspruch nehmen. Alles Andere ist in vielerlei Hinsicht bedenklich und somit nur bedingt zu empfehlen.

*= https://www.deutschepost.de/co…te-postident-20150526.pdf

@Gabbid - Gern doch:

Zitat von Gabbid

Marcel, schön, dich wieder unter uns zu sehen, magst du noch eine Weile verbleiben und deine Einschätzung zu einem Punkt äußern?

Bleiben wir bitte für einen Moment bei deinem Plugin für WBB 3.1 und der Label-Variante für FSK-Anlegung. Zuerst folgende Fragen zwecks Rahmen:

- Wie arbeitet dein Plugin technisch, könntest du es grob umreißen, damit man eine Vorstellung hat (ist es so wie bei SoftCreatR's mitgeschicktem Link oder ganz anders?)

A: Es arbeitet recht simpel. Die aller erste Version hat sich einen Platzhalter gesucht, in welchem das Altersbild dann angezeigt wurde, ob nun groß, mittel oder klein, das war egal. Später habe ich es eigentlich auf die Forumerstellungsform (ACP) erweitert, damit der Admin jede Kategorie/jedes Forum/jeden Link kennzeichnen konnte, aber dann gab es da so einen kleinen Rechtsstreit, dem ich jmd. zu verdanken habe, weil man demjenigen blind links vertraut hat (kann ich dir privat gerne näher erläutern, gehört aber definitiv nicht ins public), also kam dieses Release niemals zu tage und seit dem war Ruhe.

Mehr war auch eigentlich nicht geplant, als einfach nur zu symbolisieren: "Hey User, der Bereich ist ab xx Jahre und das Forum ab YX Jahre."
Es entstand ja auch deswegen, weil damals der dann doch abgelehnte JMStV es vorsah, dass sich alle Webseiten/Blogs mit einem Alterskennzeichen zu labeln haben, weshalb viele Blogs dicht gemacht haben, da die Umsetzung nicht tragbar gewesen wäre (man hätte ja alle Beiträge sortieren müssen --> zu viel Aufwand). Da das Forum auch darunter fallen könnte/würde, kam ich halt auf diese Idee, dem mit einer Einblendung von den bekannten Altersstufen nachzuhelfen und es ist mein kleines Plugin entstanden.

- Könnte man dein Plugin nehmen und es grundsätzlich so erweitern und abändern, dass es "mehr" machen könnte oder macht es weniger Sinn?

Das ginge, sogar eigentlich ganz gut, da es jetzt nicht so viele kritische Stellen hat, die man zerstören könnte. Es kommt halt nur auf die Änderung an bzw. was es am Ende den alles können soll und ob dies in einer realisierbaren Relation steht oder nicht.

- Ist es deiner fachlichen Meinung nach technisch möglich, dass wir bei (d)einem Plugin eine Art Zeit-Funktion einbauen? Das heißt, wir müssen irgendwie so eine Event-Stelle (?) hineinbringen, die man als Administrator individuell definieren kann (im ACP => select box?). Aufgabe unserer Eventstelle ist, dass sie unterschiedliche Inhalte einer Seite/-n gemäß der Zeit anzeigt oder auch nicht. Beispiel: Ich möchte, dass um 22 Uhr/00 Uhr/4:00 Uhr die Inhalte X auf den Y nicht für die Nutzergruppe(n) 1,2,3 angezeigt werden.

Das ist sehr einfach umsetzbar. Man nehme die PHP-Funktion "date()" oder man spricht "getTimestamp()" von der PHP-Klasse "DateTime()" an und wandelt diesen so erhaltenen Unix-Timestamp mittels "date()" dann um. Was nun genommen wird, ist Geschmackssache, beide Wege erfüllen den Zweck und würden dann Events auslösen, wobei dies noch nicht einmal notwendig ist, da im WBB doch Cronjobs diese Arbeit für uns übernehmen. Nun geht man einfach mit einem Cronjob hin und lässt den zu jeder Stunde laufen, der prüft dann die Zeit und die ihm übergebenen ForenIDs/KategorieIDs (per ACP einstellbar) und wenn da z. B. die hinterlegte Zeit für ein FSK 16+ "true" zurück gibt, entfernt dieser einfach die Option, den Bereich aus dem Forum auszublenden und gibt den Benutzergruppen dann die Rechte zum betreten dieses Forums wieder (diese können auch per Feld im ACP definiert werden).

Man muss hier einfach nur die IDs der Benutzergruppen und der Foren/Kategorien haben und diese dann eigentlich richtig einstellen. Dies umzusetzen ist zwar ein klein wenig aufwändig, aber nicht unschaffbar.


Ob das nun jedoch die eleganteste Lösung ist, sei dahin gestellt, es ist jedoch eine gute Möglichkeit, um den gesetzlichen Bestimmungen Herr zu werden :).

Das wäre also eine Art Filtermodul, sage ich einmal salopp, das es mir erlauben würde Inhalte gezielt ein- und auszublenden. Kannst du es dir grob vorstellen und wenn ja, bekäme man das für WBB hin und wie hoch wäre der Aufwand, könnte man das gar mit deinem Plugin koppeln?

Wenn SoftCreatR mir sein Plugin geben könnte und einverstanden ist, dann kann man bestimmt ein gemeinsames darauß erstellen. Es wäre aber auch so kein Problem, eine solche Funktion in mein Plugin zu implementieren, da man dies dann per Modul steuern könnte und es unabhängig von der Alteranszeige laufen könnte, fast wie ein eigenständiges Plugin, aber wir wollen ja jetzt nicht jede Option in ein Plugin packen, dafür gibt's Module :P.

Alles anzeigen

Was ich noch als Idee hätte, wäre ein kleines Browserplugin zu schreiben, was auf den neuen Personalausweis zugreifen kann (API). Der neue Ausweis kann ja per Kartenlesegerät und der zugehörigen PIN zur eindeutigen Identifikation genutzt werden.
Man müsste somit über dieses Plugin die Daten vom Ausweis, welche gebraucht werden (z. B. Alter) in diesem Speichern, am besten per JSON und dies dann wieder im Forum per Schnittstelle "parsen", also über den im 4er befindlichen JSON-Part abfragen und verarbeiten.

Allerdings weiß ich nicht, in wie fern das möglich ist und wie so ein Browserplugin geschrieben wird, müsste ich mir auch erst angucken (Chrome, FF wäre da nur ein Teil von vielen).

Es wäre mehr Aufwand, als das obige Szenario, aber auch zu gut 90% safe, wenn die Persoinhaber nicht gerad die PIN für andere offen liegen haben ^^. Allerdings muss die Seite dann zwingend SSL haben, damit diese Daten auch geschützt übertragen werden können, somit muss auch der Spaß im JSON-File encrypted sein und darf ist nach Erhalt bei der Gegenstelle systemintern decrypted werden, um so die Sicherheit noch höher zu setzen.

Fazit: Sehr aufwändig und komplex, aber wenn es möglich ist, wäre es auch ein gutes System, um zumind. einen Teil der Legitimationen kostengünstig/-frei halten zu können.

Beitragsfazit: Je nach dem, wie es schulisch läuft, könnte ich mich an die Sache (siehe Zitat) setzen, aber keine Wunder erwarten, muss erst einmal meine eingerosteten WL-Hirnfunktionen reaktivieren .