Hi Oliver, sorry für die späte Antwort! Oliver Gassner schrieb am Fri, 09 May 2003 09:44:15 +0200: >>> >>>Ich hab nicht 100% des Threads gelesen, aber wie genau sind denn >Deine>>Lösungsansätze zur Verhinderung/Ermittlung bei Hacking (DoS, >Spam und>>Betrugshandlungen im Netz? >> >>Das war nicht mein Ansatz. >> Meine Anzeige richtet sich nicht gegen DoS-Attacken, Spam oder >>Betrug, sondern gegen Datenschutzverletzungen. > >Ja, und? >Darf ich dich dann nicht fragen, wie sich Dein Ziel in KOnflikt mit >anderen Zielen positioniert? Doch, darfst Du. Nur glaube ich nicht, dass die (derzeitige und von mir angegriffene) Zuordnung dynamisch vergebener IP-Adressen zu Anschlüssen bzw. KundInnen wesentlich hilft bei der Bekämpfung von DoS, Spam oder Betrug. Gute Lösungsansätze etwa zur Verhinderung von Spam gibt es auch heute, also mit der Protokollierung von Nutzungsdaten, nicht: Mehrere Leute haben hier von ihrem riesigen Spam-Aufkommen berichtet. Ich finde es daher irreführend, mich im Zusammenhang mit meiner Anzeige zu fragen, ob ich nicht gute Lösungsansätze hätte. >>Bei Spam und Betrugshandlungen findet (im Erfolgsfall) Geldtransfer >>statt. Darüber wären ÜbeltäterInnen zu ermitteln. [...] > >a) Bei Spam fidnet in mienem Fall v.a. Zeitvernichtung statt. Nicht nur in Deinem. Aber Spam ohne Gewinnabsichten ist selten; darum ging es mir. >b) Der geldtransfer ist sicher einfacher zu verfolgen,m wenn man eine >der endpunbkte (oder gar beide) identifizieren kann. oder willst Du >einfach mal sichgerheitshalber alle Geldtranbsfers loggen? (*G*) Wenn jemand sich geschädigt fühlt und daraufhin die Polizei (RechtsanwältIn, Verbraucherschutzverbände ...) einschaltet, ist ein Endpunkt des Geldflusses identifiziert: der/die Geschädigte. Wenn jemand sich von Spam belästigt fühlt, kann er/sie zum Schein auf das Geschäft eingehen und somit einen Geldtransfer herbeiführen, der nur der Ermittlung der Gegenseite dient. Grundsätzlich möchte ich mittelfristig die Möglichkeit einer komfortablen, anonymen, sicheren und billigen (keine/geringe Zusatzkosten) Bezahlung haben - auch vom Schreibtisch aus ("über das Internet"). Diese Möglichkeit gibt es derzeit nicht, damit sind fast alle bargeldlosen Geldtransfers geloggt. Die Einführung guter elektronischer bzw. kryptographischer Bezahlsysteme, die den zahlreichen Anforderungen - insbesondere Datenschutz, Anonymität usw. - an solche Systeme gerecht werden, ist ein Thema für sich. >>Daher sehe ich nicht, warum mein Vorstoß (der ja im Wesentlichen >darauf>abzielt, dass das Verbot, die Zuordnung von IP-Adressen >personenbezogen>zu speichern, auch umgesetzt wird) die Bekämpfung von >Spam / Betrug>großartig behindern sollte. > >Du argumentierst so in etwa (hink, hink): >"Verbrecher hintrerlassen ja Fingerabdrücke, wozu DNA-Analysen?" Nein. Ich sage: Es soll keine DNA-Kartei aller Menschen geben! Und wenn der Einwand kommt, dass sich mit einer vollständigen DNA-Datei aller Menschen mehr Straftaten aufklären ließen, dann erwidere ich darauf unter anderem: Das gilt nur für die geringe Anzahl von StraftäterInnen, die zwar schlau genug sind, Fingerabdrücke zu verhindern, aber zu doof, brauchbare DNA-Spuren zu verhindern. Und: Das gilt nur so lange, bis auch doofe StraftäterInnen sich umgestellt haben und zusätzlich zu Handschuhen auch Haarnetze usw. tragen. >Real aber haben DNA-Analysen in den USA schon das Leben von >Todeskandidaten gerettet. Ich kenne keine verlässlichen Zahlen, aber ich wage die Behauptung, dass in den USA mehr Menschen "wegen" DNA-Analysen getötet wurden, als Menschen "wegen" DNA-Analysen "gerettet" wurden. (Das "wegen" immer in Anführungszeichen, weil Menschen nicht wegen wissenschaftlicher Analysen vom Staat gekillt werden, sondern wegen menschenverachtender Machterhaltungs-Systeme.) Aber grundsätzlicher: Das als Argument zu verwenden, ist haarsträubend! Es zementiert die - nicht nur in den USA übliche, aber dort besonders bekannt gewordene - Praxis, Menschen ohne Beweise und allein durch eine Mischung aus Diffamierungen, Indizien und (rassistischen) Vorurteilen zu verurteilen. Es akzeptiert (und begünstigt die Herangehensweise), dass Beschuldigte unschuldig verurteilt werden können, wenn die "echte" TäterIn keine Gegenbeweise (in Form von DNA- oder Fingerabdruckspuren) am Tatort hinterlassen hat. Und - noch grundsätzlicher: Es verdreht Täter-/Opferrollen. Die USA töten Menschen. Sie töten Menschen unter dem Vorwand, diese hätten Straftaten begangen, auch wenn das nicht stimmt. Sie töten vor allem sozial und rassistisch benachteiligte bzw. unangepasste Menschen. - Das alles ist meines Wissens ziemlich unbestritten. Wie kommst Du darauf, die USA würde mit dieser Tötungspraxis aufhören, nur weil ein paar Opfer mehr ihre Unschuld glaubwürdig machen können? Die Todesstrafe soll abschrecken; dafür ist es (in der Logik der USA) nötig, dass sie auch vollstreckt wird. Die USA (bzw. die Staaten mit Todesstrafe) sorgen dafür, dass so viele als schlechtes Beispiel geeignete Menschen getötet werden, wie sie es für sinnvoll halten. Ausreichend viele Opfer werden die USA finden - auch, wenn einzelne beweisen könne, dass nicht sie die Hauptschuld (im juristischen Sinne) an den fraglichen Straftaten tragen. Wer die Unschuldsvermutung mit Füßen tritt, tritt auch Gegenindizien mit Füßen. Und notfalls auch Gegenbeweise. (Wobei es tatsächliche Beweise oder Gegenbeweise bei fast keinem Strafverfahren gibt.) >> Und (D)DoS-Attacken gehen, soweit ich weiß, überwiegend von >>"gekaperten" Systemen aus. Auch da wüsste ich nicht, wie ein Erfolg >>meiner Anzeige wesentlich mehr Freiheiten für Angriffe bedeuten >sollte. > >Der Angriff hinterlässt aufd em gekaperten Syetem dann keine IP des >angreifers im LOg? Schreiben Windows 98-Rechner mit DSL-Anbindung und rund-um-die-Uhr-Betrieb brauchbare Logfiles über eingehende Verbindungen? Ich glaube kaum. Und wenn doch, wird die UrheberIn des Angriffs vermutlich wissen, wo diese Logfiles abgelegt werden und somit zu löschen sind. >>Handlungsbedarf; und auch das, wenn möglich, anonymisiert; und wenn es >>technisch nötig wird, personenbezogene Informationen zu >protokollieren,>die betroffenen User darüber (vorher) zu informieren. > >Personenbezogen wird ja ein IP-Log-Eeintrag (meist) erst dann, wenn >man (ggf. eber gerichtsgestützt) einen Provider zur Herausgabe der >IP-Person-Verbindung bewegt. Quatsch. Personenbezogenes Datum heisst, dass es einen Bezug zwischen dem Datum (hier: IP-Adresse) und einer Person (hier: Kunde/Kundin eines Internetproviders) gibt, der es ermöglicht, beides miteinander in Verbindung zu bringen. T-Online kann ohne Zugriff auf externe Datenbestände zuordnen, wer wann mit welcher IP-Adresse das Internet genutzt hat. (Wobei sich T-Online angeblich leicht täuschen lässt, welcher Telefonanschluss welchen Account nutzt. Und wobei sich natürlich kaum nachvollziehen lässt, wer tatsächlich an einem Rechner gesessen hat. - Aber das sind andere Themen.) Damit ist es für T-Online ein direkt personenbezogenes Datum, dass X zum Zeitpunkt Y IP-Adresse Z hatte. (Und damit ist es illegal, dass T-Online diese Information speichert.) www.pseudo-music-download.riaa.org kann feststellen, dass irgendwer mit IP-Adresse Z Lockangebote herunterlädt. Auch hier ist die IP-Adresse ein personenbezogenes Datum: Die Nutzung des Angebots wird einer personenbezogenen Adresse Z und damit der Person X zugeordnet. Wären IP-Adressen grundsätzlich nicht mehr Personen zuzuordnen, dann wären IP-Adressen keine personenbezogenen Daten mehr. Schönen Gruß Holger
Attachment:
pgp00004.pgp
Description: PGP signature