Vorratsdatenspeicherung light – auch ohne Schaar

Derzeit ist die Empörung groß über Herrn Schaar, der aus Sicht einiger Aktivisten mal eben den Kampf gegen die Vorratsdatenspeicherung einseitig beendet hat und ohne Not die Kapitulationsbedingungen verhandeln will. Kai Biermann kommentiert auf Zeit Online:

Nach dem Urteil des Verfassungsgerichts war das alte Gesetz gestoppt worden, ein neues wurde nicht erarbeitet. Zwischen dem Justizministerium, das sich weigert, ein neues Speichergesetz zu schreiben und dem Innenministerium, das dies fordert, besteht ein Patt. Doch was schadet das?

Nun: solche Patts sind nichts Gutes. Ein Personenwechsel an der Spitze eines Ministeriums würde reichen, um das Steuer komplett herumzureißen — ob nun in die eine oder in die andere Richtung. Schaar argumentierte auf dem netzpolitischen Kongress in Berlin, dass im europäischen Rahmen der Kampf eh verloren sei – und stieß dabei auf unter anderem auf Widerspruch von Ralf Bendrath, der im EU-Parlament hart daran arbeitet, das zu verhindern.

Doch der politische Streit wird wieder einmal von der Technik überholt. Ein wesentlicher Streitpunkt ist nämlich, ob Provider die vergebenen IP-Adressen abspeichern sollen, damit Strafverfolger später nachvollziehen können, wer verbotene Online-Aktivitäten begangen hat. Denn im deutschen Markt sind seit 20 Jahren dynamische IP-Adressen die Regel. Bei jeder Einwahl bekommt man eine neue Nummer. Nach dem spektakulären Scheitern der Vorratsdatenspeicherung sind nun einige Provider wieder dazu übergegangen, gar nicht mehr zu speichern. Trennt der Kunde seine Verbindung, ist er nicht mehr ermittelbar. Andere Provider speichern sieben Tage — wenig Zeit für die Strafverfolger.

Durch diese scheinbare Konstante der dynamischen IP-Adressen haben sich Netizens einen halbwegs anonymen Raum eingerichtet, der der Offline-Öffentlichkeit ähnelt: in der Regel gehen wir unerkannt durch die virtuellen Straße – manchmal stellen wir uns einem Gegenüber vor, selten müssen wir uns ausweisen. Die IP-Nummern, die weithin sichtbar an unserer digitalen Brust kleben, würden einen solchen unverbindlichen Umgang mit dem Lebensraum Internet erschweren oder unmöglich machen — Computer vergessen nicht. Durch den ständigen Wechsel der Adressen wurde das Problem nicht allzu drängend. Wenn hingegen die IPs erfasst werden, können sie auch missbraucht werden — so das Argument der Gegner der Vorratsdatenspeicherung. Wir müssen uns beobachtet fühlen.

Ich persönlich erlebe das heute schon: Statt wie früher zwei Mal täglich weist mir mein Kabel-Provider nun höchstens alle paar Monate eine neue IP-Adresse zu. Wenn die Polizei also wissen wollte, wer hinter meiner IP-Nummer steht, muss sie nicht mehr auf eine Vorratsdatenspeicherungs-Datenbank zuzugreifen – sie kann schlichtweg meinen Provider fragen, wer jetzt gerade hinter der IP steht. Die Wahrscheinlichkeit, dass ich auch vor 14, 30 oder 90 Tagen die selbe Adresse hatte, ist ziemlich hoch – im Gegensatz zu Providern wie zum Beispiel Hansenet. Ich wäre also ziemlich dumm, wenn ich von meinem Kabel-Anschluss Hollywood-Filme tausche, mich in fremde Server hacke oder Verleumdungen in die Wikipedia poste. Ich stehe unter potenzieller Beobachtung und bin leicht zu finden.

Offensichtlich kann ich damit leben. Die schlechte Nachricht: bei Euch sieht es demnächst auch so aus. Zumindest vielleicht. Denn obwohl die Internetwirtschaft sich auf Biegen und Brechen darum herumdrücken wollte, IPv6 kommt nun endlich. Die Provider investieren Millionen. Mit der neuen IP-Technik fällt die Notwendigkeit der dynamischen IP-Adressen komplett weg. Mein Wohnzimmer könnte eine Million IP-Adressen reservieren – und es wären immer noch genug Adressen für jeden da.

Und es kommt noch besser:

Zunächst ist der wichtige Umstand festzuhalten, dass eine IPv6-Adresse zweifach weltweit eindeutig werden kann und meistens auch wird. Zum einen geschieht dies zwingend im Präfix, also grob in den ersten 64 Bit der Adresse, welche dem Kunden vom Internetprovider zugewiesen werden. Dies ist erforderlich, um Datenverkehr dem entsprechenden Internetanschluss zuführen zu können. Zum anderen wird oft noch einmal der Interface Identifier, also die letzten 64 Bit der Adresse, die vom Kunden eines Providers eigentlich völlig frei für jeden Rechner gewählt werden könnten, weltweit eindeutig. Die 128 Bit lange IPv6-Adresse besteht aus Präfix und Interface Identifier und jede einzelne Information lässt für sich recht sicher auf einen Teilnehmeranschluss oder gar Teilnehmer schließen. Wenn auch nur eine dieser Informationen sich nicht regelmäßig ändert, hat man also ein eindeutiges Indentifizierungsmerkmal.

Lange Rede, kurzer Sinn: mit IPv6 könnte zumindest bei den reinen IP-Daten die Notwendigkeit zur Vorratsdatenspeicherung wegfallen. Es gibt zwar privacy extensions im IPv6-Protokoll — aber wie die auf Provider-Seite umgesetzt werden und in der Hard- und Software der Kunden tatsächlich unterstützt werden, steht in den Sternen. Es gibt keinen Masterplan — und offenbar auch keine politische Auseinandersetzung darum.

Code is law. Es wäre tragisch mit anzusehen, wie die Politik mal wieder so von der Technik überrollt wird, weil das Thema doch ach so kompliziert ist. Dass keiner davon gewusst hat, kann später niemand sagen – die privacy extensions des IPv6-Protokolls sind schon fast zehn Jahre alt.

Leave a comment

15 Comments.

  1. Thomas Schäfer

    „Es gibt zwar privacy extensions im IPv6-Protokoll — aber wie die auf Provider-Seite umgesetzt werden und in der Hard- und Software der Kunden tatsächlich unterstützt werden, steht in den Sternen.“

    Das stimmt einfach nicht. Windows 7 und Vista wenden in der Voreinstellung die privacy-extensions an.

    Was die Möglichkeit der statischen Zuweisung von IPv6-Adressen(Netzteil) bzw. der gewollten dynamischen Zuweisung für Privatkunden betrifft, so hat die deutsche Telekom Ihre Pläne für 2011 schon längst veröffentlicht.

    Insofern ist die Aussage „Zunächst ist der wichtige Umstand festzuhalten, dass eine IPv6-Adresse zweifach weltweit eindeutig werden kann und meistens auch wird.“ nur noch faktenlose Panikmache.

    Mit freundlichen Grüßen
    Thomas Schäfer

    Übrigens: RFC4941 hat RFC3041 ersetzt

  2. Thomas Schäfer: Besten Dank für den Hinweis. Allerdings ist eine Unterstützung der Privacy Extensions in Windows 7 und Vista nicht Mal die halbe Miete. Was nutzt eine perfekte Implementation in Windows, wenn Dein Smartphone, Dein Internet-Fernseher, Dein Router die privacy ignorieren?

    Und was die Telekom-Pläne betrifft — die bestätigen genau das, was ich oben erläutere:

    Für die DSL-Anschlüsse von Privatkunden geht es erst in der zweiten Jahreshälfte mit einem Pilotversuch los. Ein genauer Termin steht zwar noch nicht fest, aber einige technische Details: Der IPv6-Zugang wird zusammen mit dem zu IPv4 in PPPoE ausgehandelt. Privatkunden erhalten dabei einen /56-Prefix, der jeweils dynamisch zugewiesen wird und sich daher ändern kann. Doch gleichzeitig soll die DSL-Zwangstrennung nach 24 Stunden abgeschafft werden. Und wenn die Neuanwahl kurz nach der Trennung erfolgt, erhält der Kunde denselben Prefix wieder. Bei einer Dauerverbindung wird sich der Prefix also nur äußerst selten ändern.

    Quelle: heise.de/-1102458

  3. Privacy Extensions betreffen die Addresse, die sich ein Gerät aus dem angebotenen Subnetz (eures Heimnetzes) nimmt. Es wird nicht das Subnet beinflussen können, dass der ISP euch nach Hause routet.

  4. Thomas Schäefer

    Hallo Torsten,

    „Was nutzt eine perfekte Implementation in Windows, wenn Dein Smartphone, Dein Internet-Fernseher, Dein Router die privacy ignorieren?“

    1. Ein Router, der Router Advertisements verschickt, ignoriert keine Privacy Extensions. Der routet alles, was aus dem Subnetz kommt weiter. Oder anders ausgedrückt, wenn Windows sich eine IP(Hostteil) zusammenwürfelt, ändert der Router daran nichts mehr.

    2. Was Smartphone und Internetfernseher betrifft. Sorry, ich kann auch ich nur vermuten, warum sollen die im WLAN nicht auch die PE anwenden? Im umts/lte-Netz scheinen die Provider selbst noch nicht zu wissen, was sie wollen. Desweiteren wird sich der Internetfernseher wohl auch eher für Multicast-Adressen interessieren.

    3. Was Deine richtig zitierte Mitteilung der DTAG betrifft – die Präfixe sind nicht statisch, auch wenn sie vielleicht weniger wechseln. Wünschenswert wäre hier vielleicht eine individuelle Konfiguration im Kundencenter, weil hier die Geschmäcker bekanntlich verschieden sind – nicht umsonst ist dyndns so weit verbreitet.

    Im Prinzip bleibt alles wie gehabt, Server sind statisch konfiguriert und Firmenrechner auch, und private Kunden werden nur gegenüber ihren ISPs identifiziert.

    Was noch genauer zu beobachten wäre, aber das geht erst, wenn es da ist, ob die Telekom die /56-Netze tatsächlich zwischendurch auch mal den Nachbarn zuweist, oder ob die nur innerhalb eines fest zugewiesenen /48 rotieren. Dann wäre die dynamische Prefixvergabe tatsächlich Augenwischerei und nur dazu da, das Geschäftsmodell für statische IP-Adressen aufrecht zu erhalten.

    Mit freundlichen Grüßen
    Thomas Schäfer

  5. Wichtige Debatte, aber was ich finde was man nochmal klarstellen sollte:
    Es geht bei der VDS um weit mehr als die IP-Adressen von Internetzugängen. Das ist einer von einem ganzen Blumenstrauß von Punkten. Dazu kommen Telefonanrufe, SMS ( Funkzelle), E-Mails.

    Deine Überlegungen betreffen nicht „die Vorratsdatenspeicherung“ sondern einen kleinen Punkt unter vielen.

  6. Hanno: Richtig, deshalb schrieb ich oben von Vorratsdatenspeicherung light.

    Ich hätte mit einem Kompromiss zu IP-Adressen kein großes Problem – schließlich wird meine Post-Adresse auch vom Meldeamt erfasst und eine Telefonnummer bekomme ich nur mit Ausweis. Ein Problem hätte ich mit der Speicherung von Verkehrsdaten.

  7. Thomas Schäefer: Danke für den Beitrag.

    Ich bin etwas pessimistischer als Du, was die privacy extensions angeht. Wenn sie nicht restlos in jedem Gerät musterhaft implementiert sind, lässt sich ein noch so dynamisches Präfix umgehen. Und da die extensions nicht die primäre Funktion der meisten Netzgeräte betreffen, werden sich viele Hersteller das sparen, befürchte ich.

    Wenn man IPv6 nicht zur Vorratsdatenspeicherung light werden lassen will, muss man jetzt aktiv werden. Eigentlich schon vor zwei Jahren.

  8. Gegen die Abfrage der Verbindungsdaten von laufenden Verbindungen im Verdachtsfall (Quickfreeze) hat niemand etwas. Vorratsdatenspeicherung ist die aber die verdachtslose Speicherung aller Kommunikationsdaten.
    Vorratsdatenspeicherung betrifft viel mehr als nur das Internet. IP-Speicherung kann ich relativ einfach durch geeignete Schutzprogramme umgehen. MAC-Adressen von Netzwerkkarten lassen sich leicht ändern. Die Speicherung der Positionsdaten von Mobiltelefonen finde ich problematischer, weil sie auch meine Offlinelebensweise protokolliert.

  9. Tuttle: Doch — einige haben sich sehr deutlich gegen Quickfreeze jeder Natur ausgesprochen. Und IMHO macht ein Quickfreeze ohne erfassbare Daten genau so viel Sinn wie Stoppschilder im Netz: gar keinen. Ob die Daten nun wegen einer Mindestspeicherfrist oder wegen IPv6 vorliegen, mag rechtsphilosophisch sehr spannend sein — im Endeffekt sehe ich aber keinen Unterschied.

    Eine Differenzierung zwischen IP und sonstigen Daten habe ich in der Debatte der vergangenen Tage schlichtweg nicht gesehen.

  10. @Torsten: Wenn die Verbindung noch steht, wie bei Dir monatelang, liefert ein Quickfreeze genau die benötigten Daten. Das die Polizei monatelang braucht um überhaupt Ermittlungen anzufangen ist ein anderes Problem, was durch VDS und IPv6 auch nicht gelöst wird. Das sich die Diskussion zu sehr auf IP-Adressen konzentriert ist mir auch aufgefallen und Schade, denn es geht um viel mehr.

    Positiv an der (Diskussion um die) Vorratsdatenspeicherung ist hingegen das gestiegene Bewußtsein für Datenspuren. Vermutlich deshalb ist die Aufklärungsquote für Internetstraftaten im Jahr der VDS (2009) um einige Prozent zurückgegangen. Die Täter schützen sich besser.

  11. Trotzt DHCP ist meine IP-Nummer am DSL-Anschluss seit Monaten gleich, und das obwohl ich öfters mal für eine Weile unterwegs bin und die Internetverbindung neu aufgebaut wird.

  12. Erstmal, damit das hier fundiert ist:

    * IPv6 Spezifikation: http://tools.ietf.org/html/rfc2460
    * Privacy Extentsion: http://tools.ietf.org/html/rfc4941

    IPv6 bedeutet, dass die IP gleich bleibt, potenziell solange der Anschluss besteht.

    Die Vorratsdatenspeicherung bedeuetet, dass gespeichert wird, mit welchen anderen IPs wir Kontakt hatten.

    Unsere Telefonnummer ist fast immer sichtbar und bleibt meist gleich. Solange niemand speichert, mit wem wir telefonieren, kann uns das reichlich egal sein.

    Vorratsdatenspeicherung bedeutet nun, dass von unserer Telefonfirma mitgeschrieben wird, wann wir wen angerufen haben.

    IPv6 ohne privacy extension sagt zusätzlich, dass wir identifiziert werden können, egal von wo aus wir uns einwählen. Das ist ungefähr so wie bei heutigen Handies: Da bleibt die Nummer auch gleich, egal wo wir sind. Wer das nicht will, sollte Geräte mit privacy extension nutzen.

    Es heißt aber immernoch nur, dass der Angerufene wissen kann, wer anruft. Wirklich kritisch wird das wieder nur, wenn die Telefongesellschaften mitschreiben, wer wann wen anruft.

    Und praktisch gilt das gleiche wie heute: Wer nicht erkannt werden will, sollte Anonymisierungsnetze wie i2p¹, tor² und freenet³ nutzen.

    ¹: http://i2p2.de
    ²: https://www.torproject.org/
    ³: http://freenetproject.org

  13. Privacy-Extensions sind schon OK fürn PC. Fernseher … gut, die wenigsten surfen damit nennenswert, wenn das angefangen wird gibt es hoffenltich gute PE.

    Aber der Präfix wird eventuell statisch vergeben werden. Das wäre fatal, weil der soviel wert ist wie eine IP jetzt. Hier muss es Druck geben, dass man (auf Wunsch) dynamischen Präfix bekommt.

    • Dein Fernseher wird die Internet-Connection nutzen, um Programminfos herunterzuladen, den neusten Wetterbericht, Firmware-Updates. Du musst nicht surfen, damit der digitale Spuren hinterlässt.

Trackbacks and Pingbacks: