Skip to content

Realitätsfern

2. Oktober 2007

Es passiert mir wirklich selten, dass ich in einer Frage einmal nicht uneingeschränkt auf Seiten der Datenschützer und Liberalen bin. Wer mich kennt, weiß das, und wer das nicht tut, kann sich in diesem Blog gerne selbst überzeugen. Heute allerdings ist so ein Fall dann doch eingetreten, ein Fall, in dem meine Einschätzung als Informatik-Studentin und Betreiberin eines eigenen Servers, meine Erfahrung, die ich in der Zeit gesammelt habe, in der ich mit erfahreneren Leuten in dieser Branche zusammenarbeiten und von ihnen lernen durfte, mich gegen die Mehrheitsmeinung der Datenschützer und Bürgerrechtler stellen.

Es geht dabei um das Urteil zur Speicherung von IP-Adressen. Während die Hardcores, die das ganze angeleiert haben, oder so denken wie diese, das Urteil als großen Schritt in Richtung mehr Datenschutz feiern, macht sich bei mir eher Ernüchterung breit.

Ich bin der Ansicht, dass dieses Urteil zu noch mehr Rechtsunsicherheiten führen wird, und bisher habe ich noch kein Argument gehört, dass mich von dieser Ansicht abgebracht hätte. Es ist also verboten, IP-Adressen von Besuchern eines Web-Angebots „über die Dauer der Nutzung heraus“ zu speichern. Das betrifft beispielsweise Websites, Foren und wohl auch das direkte Logging des Apache (oder was immer man alternativ verwendet). Aber welche Formen der „Speicherung“ sind noch betroffen? Was ist beispielsweise mit dem Log meiner Firewall? Dem auth.log des Servers? Irgendwelchen Antispam-Programmen? Der Banlist eines IRC-Networks? Antispam-Blacklists von Mailprovidern? Mit Wikipedia? Die Liste ließe sich fortsetzen. Hat der zuständige Richter wirklich alle diese Fälle bedacht? Oder wird auch das wieder einmal durch ein paar Prozesse „am lebenden Objekt“ geklärt?

Die Implikationen sind nicht sehr beruhigend. Was ist mit der Bekämpfung von Spam oder Angriffen? Wenn ich eine IP-Adresse nicht speichern kann, wie kann ich sie dann sperren und verhindern, „zugeballert“ zu werden? Theoretisch bräuchte ein Angreifer
doch nur zehn Minuten Pause zu machen, dann wäre die „Nutzung des Angebots“ vorbei, und ich müsste die IP löschen? Oder ist das „nicht so gemeint“? Wer garantiert das? Mache ich mich jetzt strafbar, weil ich mich und meine Website schütze?

Oder was ist mit folgendem Szenario: Ich betreibe eine Website. Diese hat eine Sicherheitslücke (vielleicht von PHP oder was auch immer), über die Angreifer auf meinen Server kommen, diesen fernsteuern und die Server von zehn anderen Leuten aus dem Netz ballern. Denkbar, oder? Natürlich tue ich alles, um so etwas zu verhindern, aber wie ich bereits öfter schrieb gibt es vor dieser Art Szenario keinen zu 100% sicheren Schutz. Jetzt habe ich als Admin ein Problem. Die Opfer kommen mit Schadenersatzforderungen, weil eine Kunden-Website mit hohem Umsatz stundenlang nicht erreichbar war. Mein Provider winkt mit einer Traffic-Rechnung von 200 Euro. Möglicherweise wird auch noch wegen Verstoß gegen Paragraphen wie 303 und 202 gegen mich ermittelt. Normalerweise müsste ich jetzt, um die Sache halbwegs unbeschadet zu überstehen, beweisen, dass mein Server vernünftig abgesichert war (ich also nicht fahrlässig gehandelt habe) und dass ich von außerhalb angegriffen wurde, also nicht selbst verantwortlich bin. Wenn ich aber keine Logs habe, habe ich ein „kleines“ Problem. Das setzt die Admins ziemlich unter Druck, oder? Ebenso wird es schwierig, beispielsweise verfassungsfeindliche Äußerungen in Foren zu verfolgen, und und und…

Man könnte nun sagen, dass die IT-Branche sich andere Möglichkeiten ausdenken muss, Server sicher und Straftaten schwierig zu machen. Das ist möglicherweise sogar richtig. Jedoch gebietet es in meinen Augen der gesunde Menschenverstand, dass man sich zuerst eine (praktikable!) neue Lösung ausdenkt, bevor man die alte verbietet. Alles andere grenzt an russisches Roulette, insbesondere in einem Bereich, der ohnehin schon vor derart großen Herausforderungen steht.

Man könnte auch argumentieren, dass Freiheit vor Sicherheit geht (grundsätzlich sicher richtig) oder dass diese Argumentation an die beispielsweise der Befürworter der Vorratsdatenspeicherung erinnert. In einer perfekten Welt hätte man recht. Nur leben wir nicht in einer solchen. Es gibt meist weder schwarz noch weiß, sondern verschieden helle Grautöne. Man kann die Welt nicht in Gut und Böse einteilen. Genau daher muss man jeden Fall einzeln abwägen und sein Gewissen befragen, was das geringere Übel, der bessere Weg ist. In diesem Fall sagt mein Gewissen mir, dass die Eingriffe wesentlich geringer wären als bei den von Schäuble & Co. teilweise vorgeschlagenen Maßnahmen. Ein “normaler Mensch” kann mit den IPs sowieso nicht viel anfangen. Das einzige, was sich daraus entnehmen lässt, ist der Provider. Mehr ergibt auch ein Whois-Lookup bei einer dynamischen IP-Adresse nicht. Mit einer Person verbinden kann man das nur nach Auskunft durch den Provider und dazu muss ein begründeter Verdacht vorliegen, womit wir wieder bei Kriminalitätsbekämpfung wären und was im Übrigen nur mit Richtervorbehalt ginge. Das ist in meinen Augen etwas anderes, als weit umfangreichere und detailliertere Daten zentralisiert zu speichern, noch dazu mit den schwachen Absicherungen, die momentan vorgesehen sind. Auch der Nutzen ist in meinen Augen in diesem Fall wesentlich konkreter als bei der VDS oder der Online-Durchsuchung.

Datenschutz ist ein lobenswertes Ziel (und dass das kein bloßes Lippenbekenntnis ist, sollte man mir hoffentlich schon glauben), aber muss er wirklich mit allen Mitteln an der bedenklichsten Stelle durchgesetzt werden? Es scheint, als ginge hier mit einigen Leuten der Idealismus durch. Wie sagt ein Sprichwort so schön: Der Weg zur Hölle ist gepflastert mit guten Absichten.

Ganz nebenbei bin ich auch etwas enttäuscht von der Diskussionskultur einiger Leute, die einem automatisch unterstellen, man wäre ein Verfassungsfeind oder ein „verantwortungsloser Techie“, weil man aus fachlicher Sicht an diesem Urteil seine Zweifel hat. Das aber wirklich nur als Randnotiz.

Nach 202c ist das der nächste Fall, der einem das Gefühl gibt, dass die Admins und Security-Leute nicht wirklich gefragt und/oder gehört werden. Wieder einmal werden einem hier „für das höhere Ziel“ Steine in den Weg gelegt und die Arbeit schwer gemacht- diesmal von der anderen Seite, aber der Effekt ist leider der selbe. Im ersten Schrecken kann man da fast auf Wörter wie „Bauernopfer“ oder „Redshirt“ kommen…

Manchmal muss man auch ein bisschen praktisch denken und nicht nur rein moralisch. Gesunder Menschenverstand ist oft unentbehrlich. Es wäre schön, wenn wir in einer Welt leben würden, in der wir unsere Ziele zu 100% verwirklichen können, aber davon sind wir leider sehr weit entfernt, und genau daher bleibt einem nicht erspart, auch die Realität im Auge zu behalten. Diese besteht leider in der IT-Welt momentan zu einem großen Teil aus dem Kampf gegen Kriminalität und Angriffe. Ich denke, auch die eifrigsten Verfechter uneingeschränkter Privatsphäre wollen nicht, dass diese Probleme noch weiter Überhand nehmen. Genau dieses Risiko besteht aber. Außerdem: Auch im Real Life können wir nicht tun, was uns passt. Dort wie im Cyberspace gibt es auch noch einen sehr breiten Mittelweg zwischen Totalüberwachung und Anarchie. Genau diesen Mittelweg sollte man vielleicht öfter einmal treffen, anstatt andauernd rechts und links danebenzuschießen.

Da ich mit dieser Meinung scheinbar doch nicht ganz so allein dastehe, wie es zwischenzeitlich den Anschein hatte, hier noch ein paar Links zu Blogs, in denen eine ähnliche Ansicht vertreten wird:
Letztes Blog vor der Autobahn: Es darf abgemahnt werden!
Open Mind Blog: Sicherheitstechnisch gesehen sehr gefährlich
Jens Ferner: Datenschutz absurd
F!XMBR: Lieber Arbeitskreis Vorratsdatenspeicherung!
Basic Thinking: Gericht verbietet IPs
man bedim len?: Erstes Gerichtsurteil: Webserver-Logfiles ohne IP-Adresse

Advertisements
7 Kommentare leave one →
  1. 2. Oktober 2007 7:18 am

    „Jedoch gebietet es in meinen Augen der gesunde Menschenverstand, dass man sich zuerst eine (praktikable!) neue Lösung ausdenkt, bevor man die alte verbietet.“

    Das Problem ist wohl, daß die praktikabelste Lösung meistens auch die einfachste Lösung ist. Da die Einfachheit umgekehrt proportional zur Juristenkompatibilität ist, darf es keine einfachen, sondern nur absurde Lösungen geben…

  2. Smuggler permalink
    2. Oktober 2007 3:32 pm

    „Mit einer Person verbinden kann man das nur nach Auskunft durch den Provider und dazu muss ein begründeter Verdacht vorliegen, womit wir wieder bei Kriminalitätsbekämpfung wären und was im Übrigen nur mit Richtervorbehalt ginge.“

    TKG §113 (Bestandsdatenauskunft beim Provider) ist NICHT durch einen Richtervorbehalt geschützt sondern kann von jedem Polizisten bei fast jedem Anfangsverdacht für fast jedes Verbrechen durchgeführt werden. Haben wir fast zwei mal die Woche.

    Zu der Speicherung selber:
    Wir speichern nur noch gekürzte IPs. Also konkret nur die ersten 10bits, der Rest wird auf Null gesetzt. Reicht für eine Menge Fälle (Sicherheit, Gewährleistung, etc.).

  3. freiheitblog permalink*
    2. Oktober 2007 3:38 pm

    Okay, dann stimmt das mit dem Richtervorbehalt nicht. Ich sollte mir echt mal solide Jura-Kenntnisse zulegen. Danke für die Berichtigung.

    Trotzdem muss man aber erst einmal zur Polizei gehen, und das setzt schon (bei den allermeisten Leuten) voraus, dass man einen guten Grund hat. IPs Personen zuzuordnen ist jedenfalls nichts, das ein Scriptkiddy mal eben aus Langeweile tun kann.

    Okay, die Idee mit den gekürzten IPs hat etwas für sich. Aber vielleicht sollte man ERST die Verbreitung solcher Maßnahmen betreiben, und DANN die bisher gängige Praxis verbieten? Abgesehen davon, dass beispielsweise verfassungsfeindliche oder gesetzeswidrige Foren-Postings und Ähnliches davon noch nicht abgedeckt wären.

  4. Smuggler permalink
    2. Oktober 2007 3:46 pm

    ERST die Lösung, DANN das Gesetz: Volle Zustimmung, falls das funktionieren würde.
    Rein rechtlich war die Sache ja schon länger klar und nicht wenige HowTos zur Anonymisierung oder Verwässerung von Logfiles gibt es im Netz.
    Dein zweiter Einwand (Verfolgen von böse Postings) ist allerdings äußerst zutreffend. Hier haben sich die deutschen Gerichte und Gesetzgeber leider nicht dazu durchringen können, die Haftungsfrage endgültig zu klären. Das wäre sehr dringend notwendig. Als Foren-Betreiber für Postings verantwortlich zu sein ohne Kenntnis von Ihnen zu haben etc. ist völliger Mist und gehört in die dunkelste Tonne.

    Eine andere Frage ist auch zu lösen:
    Die IP Adresse eignet sich heutzutage nicht als Identitätsmerkmal (trojaner, offene oder geöffnete wlans, anonymisierung etc.). Meiner Meinung nach ist hier der Kern des Datenpudels: Die Strafverfolger und Gerichte sollten endlich kapieren, dass eine IP nunmal kein Fingerabdruck ist.

  5. freiheitblog permalink*
    2. Oktober 2007 3:56 pm

    Da ist wohl etwas dran. Andererseits muss es auch eine gewisse Verifizierbarkeit geben. Nicht im Sinne von Totalüberwachung, aber auch im Real Life kann man wie gesagt nicht völlig anonym ein paar 100 Straftaten begehen, ohne dafür zur Rechenschaft gezogen zu werden (das ist zumindest sehr unwahrscheinlich und alles andere als wünschenswert). Wenn dann noch der Admin fällig ist, weil in seinem Forum zum vierten Reich aufgerufen wird oder sein Server über eine fehlerhafte Website elegant in ein rumänisches oder chinesisches Botnet überführt wurde, wird es vollkommen absurd und kontraproduktiv.

    Sicher, jeder von uns war im Urlaub schonmal über das WLAN irgendeines Dorfbewohners ohne Peilung online. Solange man lieb ist und nur Mails liest, ist das ja auch weiter kein Problem. Aber die IP sagt dann kaum etwas aus.

    Das riesige Problem ist einfach, ein Mindestmaß an Sicherheit und Verfügbarkeit zu gewährleisten, ohne gleich das riesige Missbrauchspotential zu haben, dass eine zentralisierte Speicherung über lange Zeiträume und ein ungehemmter Zugriff der Behörden bieten.

    Eine wirkliche Lösung zu sehen fällt mir da schwer. Aber durch Schnellschüsse wie den von Herrn Breyer wird die Situation nicht besser.

  6. Smuggler permalink
    2. Oktober 2007 4:11 pm

    Will Dir nicht den gesamten Blog zumüllen, deshalb hier der letzte Kommentar (mehr per E-Mail, hast ja meine Adresse):

    Meiner Meinung nach ist die _technische_ Sicherheit definitiv zu lösen, wenn auch mit Aufwand. Das Problem ist, dass in der modernen Informatik Datensparsamkeit keine wirkliche Rolle mehr spielt und deshalb in die Richtung wenig getan wird.

    Zu dem rechtlichen Aspekt muss ich leider sagen, dass staatliche Gesetze, Internet und Freiheit nicht zusamme gehen. Auf eines von den drei Sachen muß man wohl verzichten. Ich habe meine Wahl bereits getroffen…

Trackbacks

  1. Open Mind Blog » Blog Archive » Sicherheitstechnisch gesehen sehr Gefährlich

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: