2016, Blog

Die IP

Eine aktuelle Entscheidung des EuGH zum Thema IP-Adresse macht die Runde. Ein Abgeordneter der Piraten im Landtag von Schleswig Holstein klagte gegen die Bundesrepublik, da die Webseiten des Bundes die IP-Adressen der Nutzer speichern. Dadurch fühlt sich der Kläger eingeschüchtert und nicht frei in seiner Online-Bewegungsfreiheit. Kann man so sehen, muss man aber nicht.

Gegen diese Überwachung wollte er vorgehen, um das Speichern von IP-Adressen zu untersagen. Rückblickend gesehen, gab es schon wichtigere und bessere Klagen. Ich sehe nur einen kleinen Erfolg, ansonsten nur eine überflüssige Show. Das Speichern von IP-Adressen ist nicht gleich eine Überwachung.

Das Positive zuerst. Der EuGH hat einer dynamischen IP einen personenbezogenen Charakter zugebilligt. Nicht so 100%, aber immerhin etwas. Wenn ein Webseitenbetreiber in der Lage ist die hinter einer IP-Adresse stehende Person zu identifizieren, könnte eine IP-Adresse ein personenbezogener Datensatz sein. Das ist erstmal gut. Ich persönlich bin etwa seit der Zeit der Dinosaurier der Position, dass eine IP datenschutzrelevant ist und als personenbezogener Datensatz angesehen werden sollte.

Grundsätzlich ist aber festzustellen, dass eine solche Identifikation doch mehr schwer als leicht machbar ist. Ich nehme gerne Vergleiche zur Abmahnmafia zu Hilfe und sehe hier für Webseitenbetreiber eher keine leichte Möglichkeit eine Identifikation durchzuführen oder durchführen zu lassen. Hinter einer deutschen dynamischen IP-Adresse steht ein Hausanschluss, der in der Regel von mehr als einer Person genutzt wird. Mobile Geräte mal ausgenommen. Während manche Richter Anschlussinhaber bei Abmahnungen in Haftung nehmen, könnten bei einer Strafanzeige gegen den unbekannten Inhaber einer gespeicherten IP-Adresse wegen dem Versuch (m)eine Webseite zu hacken, mehr Maßnahmen nötig sein. Hier ist dann auch die Argumentation des Bundes, dass die IP-Adressen benötigt werden, um Angriffe festzustellen und auch dagegen vorgehen zu können richtig. Wird eine Seite angegriffen und ist die IP einem deutschen Zugangsprovider zuzuordnen, dann kann eine polizeiliche Ermittlung den Täter vielleicht überführen. Anders als in Abmahnprozessen (Zivilrecht) muss hier jedoch eine richtige Tätersuche durchgeführt werden.

Vermutungen, vage Verdächtigungen und dubiose oberflächliche Pseudogutachten reichen hier nicht aus. Deshalb glaube ich, dass der BGH in dieser Sache feststellen wird, dass Webseitenbetreiber IP-Adressen weiter speichern dürfen, da sie nur im Rahmen von Strafverfahren an die Daten der IP-Adressinhaber kommen und keine massenhafte Identifikation aller Besucher möglich ist. Diese Entscheidungsfindung hat der EuGH dem BGH mit besten Grüßen zurückgesendet.

Dass die Webseiten des Bundes irgendwie mit den Providern verbunden sind, um auch jeden Besucher gleich zu identifizieren, ist eher einer dieser Angstzustände, die man bei all der Überwachung zwar bekommen kann, aber eher nur eine digitale Angstattacke darstellt.

Ein weiterer Punkt, der jetzt weniger das Verfahren und das Urteil angeht, ist die Praxis. In meinem Webfuck-Beitrag habe ich über die Angriffe gegen diesen Blog geschrieben. Sie gehen weiter, natürlich erschwert und zeitweise blockiert. Bis auf eine IP-Adresse, werden die Angriffe aus dem Ausland durchgeführt. Damit wäre jedes Ermittlungsverfahren bereits erschwert bis unmöglich, weil die zuständigen deutschen Ermittlungsbehörden eher keine bis wenig Hilfe aus dem Ausland zu erwarten haben. Je nach Wichtigkeit der angegriffenen Webseite vielleicht etwas mehr, aber wohl eher weniger Hilfe. Bei Angriffen gegen Bundesseiten mag die staatliche Zusammenarbeit besser sein, aber Privatleute und kleine Unternehmen werden hier leer ausgehen.

Aber selbst, wenn eine deutsche IP festgestellt wird, ist die Wahrscheinlichkeit hoch, dass es sich um einen virtuellen Server handelt, der als VPN-Gateway oder sogar TOR-Exit arbeitet. Gemietet aus dem Ausland, bezahlt mit Wegwerfkreditkarte oder BitCoin. Logs, die den Nutzer identifizieren würden, legt er gar nicht erst an. Damit wird eine weitere Identifikation drastisch erschwert oder sogar völlig unmöglich sein. Sollte der Angriff auf eine IP-Adresse und einen Anschluss und damit auf eine Person zurückzuführen sein, würde ich tatsächlich behaupten, dass die Person entweder doof ist, oder ihre Systeme gehackt wurden. Wahrscheinlich übernommen durch einen Trojaner per E-Mail *grins*.

Auf kowabit.de habe ich lange Zeit die IP-Adressen gehasht. Ausnahme waren Angriffe und Fehlermeldungen, die ich abarbeiten muss, um den Betrieb zu gewährleisten. Diese Argumentation ist grundsätzlich richtig. Mittlerweile hashe ich keine IPs mehr, weil ich einfach keine IPs des normalen Nutzers mehr speichere. Ich speichere nur noch IPs, die Fehler oder Angriffe produzieren. Fehlermeldungen gehen dabei in der Regel Hand-in-Hand mit Angriffen. Wegen meines Absatzes davor könnte man jetzt argumentieren, dass ich die IPs der Angreifer ja auch gar nicht benötige, da ich durch die weltweit vernetzte Gangsterwelt keine Möglichkeit habe den Verursacher zu identifizieren. Mag sein, aber zur Angriffsanalyse gehört die IP nunmal, um herauszufinden woher der Angreifer kommt und welche Infrastruktur er nutzt (VPN, TOR, dyn.IP). Außerdem kann ich so ganze Netzwerke nach Bekanntwerden blockieren.

In der Regel, ich würde sagen zu 99,99%, müssen wir die Angriffe hinnehmen. Durch die weltweite Vernetzung ist eine Identifikation der Adressinhaber kaum möglich. Man könnte jetzt Putin oder Trump die Schuld geben, aber das würde nicht helfen. Der zuständige Admin wird weiter hingucken müssen. Und wenn Webseitenbetreiber IP-Adressen speichern, auch der Bund, so besteht noch lange keine Verbinudng zum Internetprovider und zur Meldebehörde, um in Echtzeit abzugleichen wer von Euch gerade welchen Porno oder welches Formular durch die Leitung saugt.

Diese Klage wird keine großen Auswirkungen haben. Irren kann ich mich zwar auch, aber hier bin ich mir sehr sicher, dass das Ziel des Freibeuters nicht erreicht wird. Da lege ich lieber ein paar Honeypots aus. Auch, wenn ich nicht weiß wer mich angreift, so kann ich dem Sackgesicht wenigstens ein Geschenk machen.

Tagged , , , , , ,