[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Datenschutz: Anzeige gegen T-Online



Hi Oliver,

sorry für die späte Antwort!


Oliver Gassner schrieb am Fri, 09 May 2003 09:44:15 +0200:
>>>
>>>Ich hab nicht 100% des Threads gelesen, aber wie genau sind denn
>Deine>>Lösungsansätze zur Verhinderung/Ermittlung bei Hacking (DoS,
>Spam und>>Betrugshandlungen im Netz?
>>
>>Das war nicht mein Ansatz.
>>   Meine Anzeige richtet sich nicht gegen DoS-Attacken, Spam oder
>>Betrug, sondern gegen Datenschutzverletzungen.
>
>Ja, und?
>Darf ich dich dann nicht fragen, wie sich Dein Ziel in KOnflikt mit
>anderen Zielen positioniert?

Doch, darfst Du. Nur glaube ich nicht, dass die (derzeitige und von mir
angegriffene) Zuordnung dynamisch vergebener IP-Adressen zu Anschlüssen
bzw. KundInnen wesentlich hilft bei der Bekämpfung von DoS, Spam oder
Betrug.
   Gute Lösungsansätze etwa zur Verhinderung von Spam gibt es auch
heute, also mit der Protokollierung von Nutzungsdaten, nicht: Mehrere
Leute haben hier von ihrem riesigen Spam-Aufkommen berichtet. Ich finde
es daher irreführend, mich im Zusammenhang mit meiner Anzeige zu fragen,
ob ich nicht gute Lösungsansätze hätte.


>>Bei Spam und Betrugshandlungen findet (im Erfolgsfall) Geldtransfer
>>statt. Darüber wären ÜbeltäterInnen zu ermitteln. [...]
>
>a) Bei Spam fidnet in mienem Fall v.a. Zeitvernichtung statt.

Nicht nur in Deinem. Aber Spam ohne Gewinnabsichten ist selten; darum
ging es mir.


>b) Der geldtransfer ist sicher einfacher zu verfolgen,m wenn man eine
>der endpunbkte (oder gar beide) identifizieren  kann. oder willst Du
>einfach mal sichgerheitshalber alle Geldtranbsfers loggen? (*G*)

Wenn jemand sich geschädigt fühlt und daraufhin die Polizei
(RechtsanwältIn, Verbraucherschutzverbände ...) einschaltet, ist ein
Endpunkt des Geldflusses identifiziert: der/die Geschädigte.
   Wenn jemand sich von Spam belästigt fühlt, kann er/sie zum Schein auf
das Geschäft eingehen und somit einen Geldtransfer herbeiführen, der nur
der Ermittlung der Gegenseite dient.

Grundsätzlich möchte ich mittelfristig die Möglichkeit einer
komfortablen, anonymen, sicheren und billigen (keine/geringe
Zusatzkosten) Bezahlung haben - auch vom Schreibtisch aus ("über das
Internet"). Diese Möglichkeit gibt es derzeit nicht, damit sind fast
alle bargeldlosen Geldtransfers geloggt.

Die Einführung guter elektronischer bzw. kryptographischer
Bezahlsysteme, die den zahlreichen Anforderungen - insbesondere
Datenschutz, Anonymität usw. - an solche Systeme gerecht werden, ist ein
Thema für sich.


>>Daher sehe ich nicht, warum mein Vorstoß (der ja im Wesentlichen
>darauf>abzielt, dass das Verbot, die Zuordnung von IP-Adressen
>personenbezogen>zu speichern, auch umgesetzt wird) die Bekämpfung von
>Spam / Betrug>großartig behindern sollte.
>
>Du argumentierst so in etwa (hink, hink):
>"Verbrecher hintrerlassen ja Fingerabdrücke, wozu DNA-Analysen?"

Nein.
   Ich sage: Es soll keine DNA-Kartei aller Menschen geben!
   Und wenn der Einwand kommt, dass sich mit einer vollständigen
DNA-Datei aller Menschen mehr Straftaten aufklären ließen, dann erwidere
ich darauf unter anderem: Das gilt nur für die geringe Anzahl von
StraftäterInnen, die zwar schlau genug sind, Fingerabdrücke zu
verhindern, aber zu doof, brauchbare DNA-Spuren zu verhindern. Und: Das
gilt nur so lange, bis auch doofe StraftäterInnen sich umgestellt haben
und zusätzlich zu Handschuhen auch Haarnetze usw. tragen.


>Real aber haben DNA-Analysen in den USA schon das Leben von
>Todeskandidaten gerettet.

Ich kenne keine verlässlichen Zahlen, aber ich wage die Behauptung, dass
in den USA mehr Menschen "wegen" DNA-Analysen getötet wurden, als
Menschen "wegen" DNA-Analysen "gerettet" wurden. (Das "wegen" immer in
Anführungszeichen, weil Menschen nicht wegen wissenschaftlicher Analysen
vom Staat gekillt werden, sondern wegen menschenverachtender
Machterhaltungs-Systeme.)

Aber grundsätzlicher: Das als Argument zu verwenden, ist haarsträubend!
Es zementiert die - nicht nur in den USA übliche, aber dort besonders
bekannt gewordene - Praxis, Menschen ohne Beweise und allein durch eine
Mischung aus Diffamierungen, Indizien und (rassistischen) Vorurteilen zu
verurteilen.
   Es akzeptiert (und begünstigt die Herangehensweise), dass
Beschuldigte unschuldig verurteilt werden können, wenn die "echte"
TäterIn keine Gegenbeweise (in Form von DNA- oder Fingerabdruckspuren)
am Tatort hinterlassen hat.

Und - noch grundsätzlicher: Es verdreht Täter-/Opferrollen.
   Die USA töten Menschen. Sie töten Menschen unter dem Vorwand, diese
hätten Straftaten begangen, auch wenn das nicht stimmt. Sie töten vor
allem sozial und rassistisch benachteiligte bzw. unangepasste Menschen.
- Das alles ist meines Wissens ziemlich unbestritten.
   Wie kommst Du darauf, die USA würde mit dieser Tötungspraxis
aufhören, nur weil ein paar Opfer mehr ihre Unschuld glaubwürdig machen
können? Die Todesstrafe soll abschrecken; dafür ist es (in der Logik der
USA) nötig, dass sie auch vollstreckt wird. Die USA (bzw. die Staaten
mit Todesstrafe) sorgen dafür, dass so viele als schlechtes Beispiel
geeignete Menschen getötet werden, wie sie es für sinnvoll halten.
Ausreichend viele Opfer werden die USA finden - auch, wenn einzelne
beweisen könne, dass nicht sie die Hauptschuld (im juristischen Sinne)
an den fraglichen Straftaten tragen.
   Wer die Unschuldsvermutung mit Füßen tritt, tritt auch Gegenindizien
mit Füßen. Und notfalls auch Gegenbeweise. (Wobei es tatsächliche
Beweise oder Gegenbeweise bei fast keinem Strafverfahren gibt.)


>>   Und (D)DoS-Attacken gehen, soweit ich weiß, überwiegend von
>>"gekaperten" Systemen aus. Auch da wüsste ich nicht, wie ein Erfolg
>>meiner Anzeige wesentlich mehr Freiheiten für Angriffe bedeuten
>sollte.
>
>Der Angriff hinterlässt aufd em gekaperten Syetem dann keine IP des
>angreifers im LOg?

Schreiben Windows 98-Rechner mit DSL-Anbindung und
rund-um-die-Uhr-Betrieb brauchbare Logfiles über eingehende
Verbindungen? Ich glaube kaum.
   Und wenn doch, wird die UrheberIn des Angriffs vermutlich wissen, wo
diese Logfiles abgelegt werden und somit zu löschen sind.


>>Handlungsbedarf; und auch das, wenn möglich, anonymisiert; und wenn es
>>technisch nötig wird, personenbezogene Informationen zu
>protokollieren,>die betroffenen User darüber (vorher) zu informieren.
>
>Personenbezogen wird ja ein IP-Log-Eeintrag (meist) erst dann, wenn
>man (ggf. eber gerichtsgestützt) einen Provider zur Herausgabe der
>IP-Person-Verbindung bewegt.

Quatsch.
   Personenbezogenes Datum heisst, dass es einen Bezug zwischen dem
Datum (hier: IP-Adresse) und einer Person (hier: Kunde/Kundin eines
Internetproviders) gibt, der es ermöglicht, beides miteinander in
Verbindung zu bringen.

T-Online kann ohne Zugriff auf externe Datenbestände zuordnen, wer wann
mit welcher IP-Adresse das Internet genutzt hat. (Wobei sich T-Online
angeblich leicht täuschen lässt, welcher Telefonanschluss welchen
Account nutzt. Und wobei sich natürlich kaum nachvollziehen lässt, wer
tatsächlich an einem Rechner gesessen hat. - Aber das sind andere
Themen.) Damit ist es für T-Online ein direkt personenbezogenes Datum,
dass X zum Zeitpunkt Y IP-Adresse Z hatte. (Und damit ist es illegal,
dass T-Online diese Information speichert.)

www.pseudo-music-download.riaa.org kann feststellen, dass irgendwer mit
IP-Adresse Z Lockangebote herunterlädt. Auch hier ist die IP-Adresse ein
personenbezogenes Datum: Die Nutzung des Angebots wird einer
personenbezogenen Adresse Z und damit der Person X zugeordnet.

Wären IP-Adressen grundsätzlich nicht mehr Personen zuzuordnen, dann
wären IP-Adressen keine personenbezogenen Daten mehr.


Schönen Gruß


Holger

Attachment: pgp00004.pgp
Description: PGP signature