[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Debate] Die Politik mit der Angst (IP-Logging)



Hallo Martin,

Verzeihung, hat etwas gedauert -- dafür ist es auch ausführlich geworden:

-- Martin Uecker <muecker@gmx.de> wrote:

Viel interessanter ist doch, welcher konkreter Schaden in den
jeweiligen  Fällen auftreten kann und die dann gegeneinander
abzuwägen.
Siehe z.B. Holger Voss.
ja, das wird gerne als Beispiel angeführt. Aber auch hier ist das Verhalten der Ermittlungsbehörden was die IP-Protokollierung angeht (und nur da) vollkommen korrekt:

Wir haben einen Täter (Holger Voss) und eine Tat. Er hat -- nach Lesart der ermittelnden Beamten -- eine Straftat begangen und wurde daher angeklagt. Und freigesprochen, weil es offensichtlich gar keine Straftat war.

Es war ganz normale, alltägliche Polizeiarbeit: da wurde ein Äußerungsdelikt begangen, Polizei erfragt beim Websitebetreiber die IP de Täters, danach erfragt sie beim Provider den Anschlußinhaber und ermittelt den Täter.

Wo ist hier ein Schaden für einen Unbeteiligten? Es gibt keinen Unbeteiligten. Das hört sich hart an für Holger Voss, aber es ist -- solange man annimmt dass sein Text eine Straftat darstellt -- ein vollkommen legitimes Verhalten. Dass die Ermittler sofort hätten erkennen müssen, dass es sich bei dem Text nicht um eine Straftat handelt, das ist ein anderer Punkt.
Und letztendlich gibt es dafür die Gerichte.

Wir (=die Gesellschaft) kann doch nicht sagen: wir verzichten auf die Gerichte und die Ermittlung des Täters, da es ja vorkommen kann, dass ein Freispruch stattfindet. Das hat mit Rechtsstaat nichts zu tun sondern wäre ein (erster, kleiner) Schritt in eine Willkürherrschaft oder zur Anarchie. Wie gesagt: ein kleiner Schritt, aber immerhin.


Was ist an dem Vorgehen falsch? Warum soll eine Ermittlung eines Täters schon am Anfang scheitern und nicht ein Gericht entscheiden? So hart das für einen Betroffenen ist: das ist ein korrektes Vorgehen.

Soll auf eine wichtige und sinnvolle Ermittlungsmethode zur Aufdeckung von Online-Straftaten verzichtet werden?


Der Schaden ist aber letztlich noch weitaus größter nur leider
nicht so konkret: Man könnte plötzlich Angst haben in seinem Forum
seine Meinung zu sagen oder man hat Angst sich zu informieren.
Dies ist ein wichtiger Punkt, gegen diese Ängste muss auf jeden Fall vorgebeugt werden und das BVerfG ist ja auch insbesondere seiner bekannten Entscheidung zur Volkszählung darauf eingegangen.

Die wichtige Frage ist doch aber: ist die Angst berechtigt? Ist sie realistisch? Ich behaupte: nein. Natürlich gibt es immer wieder besonders paranoide Menschen (und ein bißchen Paranoia ist ja auch nicht schlecht), die sich von allem und jedem verfolgt fühlen. Aber nur weil einige Menschen eine Regelung falsch interpretieren ist sie noch lange nicht böse.


Oder anders gesagt:
Beleidigung, Rufmord und so weiter sind aus gutem Grund Straftaten. Man kann sich immer darüber streiten, ab welchem Punkt es strafbar sein sollte, aber dass es Straftaten sind, darüber besteht doch ein breiter Konsens. Und das hat auch explizit etwas mit Abschreckung zu tun.
Jetzt können sich manche Menschen eingeschränkt fühlen und Angst haben, ihre Meinung zu äußern. Soll Beleidigung, Rufmord etc. deswegen nun nicht mehr strafbar sein, nur weil manche Menschen die gesetzlichen Regelungen falsch auslegen und/oder Angst haben?


Nicht zu Unrecht, man vergleiche zum Beispiel die Geschichte vom BKA,
die versucht haben jeden zu identifizieren, der sich auf ihrer Website
über die "Millitante Gruppe" informieren wollte.
Da haben wir wiederum eine ganz andere Situation, die BKA-Sache ist ein ganz anderer Fall:

Zum einen wäre das gleiche auch bei untersagter IP-Protokollierung
möglich gewesen. Eine entsprechende Anordnung ist leicht zu besorgen,
ein Einschalten der Protokollierung und wenns sein muss die
Echtzeitabfrage beim Access-Provider auch. Ein Verbot von
IP-Protokollierung wäre also keinerlei Schutz vor einem solchen
Unsinn, weder rechtlich noch technisch.
Zur Not würde eben eine entprechende TKÜ angeordnet.

Aber:
Meines Erachtens dürfte es sich in diesem Fall -- auch mit Vorratsdatenspeicherung -- um eine illegale Rasterfahndung handeln. Aber das ist ein anderer Punkt.


Ganz klar: was das BKA da gemacht hat ist einfach nur dämlich. Wenn
selbst der 100%ig gesetzestreue Bürger, der den Ermittlungsbehörden
nach deren Aufruf bei der Ermittlung helfen will, in Verdacht kommt,
dann ist das nicht nur peinlich sondern kontraproduktiv. Das wäre
genauso, als ob jeder der sich ein Fahndungsplakat oder Aktenzeichen
XY ungelöst anschaut als Verdächtiger geführt wird. Das ist einfach
nur lächerlich, dumm, peinlich. Der Staat bzw. die Polizei kann doch
schon aus eigenem Interesse nicht jeden, der sich für einen solchen
Fall interessiert, helfen oder darüber berichten will als
Verdächtigen behandeln.

Das sagt doch schon der gesunde Menschenverstand -- aber scheinbar
setzt der manchmal auch im BKA aus.


Ich halte diese indirekten und leider nicht immer konkret
festzumachenden Nebenwirkungen auf das Verhalten der Menschen für
extrem gefährlich.
Tatsächlich ist das sehr gefährlich, ja. In meiner BBA-Laudatio 2006 habe ich das ja auch thematisiert.
Hier setzt aber auch meine Kritik an manchen Menschen vom AK Vorratsdatenspeicherung an: Da wird deutlich übertrieben und schon bei der IP-Speicherung auf einem Webserver behauptet, der Webserver-Betreiber könnte intimste Details über eine konkrete Person herausfinden. Das ist falsch.

Siehe auch <http://www.fitug.de/debate/0710/msg00103.html>


Die Aufzeichnung sämtlicher Kommunikationsvorgänge halte ich für gefährlich, zumal das halb-zentral geschieht.
Aber eine Protokollierung von IPs auf einem Webserver ist nicht gefährlich: Es ist NICHT möglich, dass der Staat oder jemand anderes herausfindet, was ein Mensch den ganzen Tag im Internet treibt und welche Websites er sich anschaut. Das wäre mit einer Überwachungsanordnung möglich, aber das ist ein anderes Thema.


Auf einen wirklich stichhaltiges Argument warum man bei einen
Webserver unbedingt die IP-Adresse für jeden Zugriff speichern
müßte, bin ich immer noch sehr gespannt.
Selbstverständlich kann man das nicht verallgemeinern, und ich spreche mich auch keineswegs für eine Pflicht aus.

Aber ich kann einige Beispiele nennen, bei denen das mehr als hilfreich ist.

Zum Beispiel bei der Strafverfolgung:
So haben vor ein paar Wochen zwei Menschen im Assoziations-Blaster -- http://www.assoziations-blaster.de/ -- eindeutig konderpornographische Texte gepostet. In zwei von drei relevanten Texten wurde der Mißbrauch von Kindern durch den Autor beschrieben.
Ich habe Strafanzeige gestellt und anhand der IPs konnten die Anschlußinhaber ermittelt werden. Der ermittelnde Beamte sagte dann noch, dass bei den anstehenden Hausdurchsuchungen in der Regel genügend einschlägiges Material gefunden wird.

Da mag man nun einwenden: ist ja alles nicht so schlimm, vielleicht waren es nur Phantasien. Möglich. Aber das habe nicht ich zu entscheiden, sondern ein Gericht. Es handelt sich hier eindeutig um Täter.
Ich bin sehr für die freie Meinungsäußerung, aber manches ist dann zu viel -- vor allem wenn es permanent vorkommt. Und: Ich muss mich nicht auch noch in jedem Extremfall quasi als Richter aufspielen. Und riskieren, dass die Typen dauernd solchen Mist in den Blaster schreiben.


Ein anderer Fall:
Ein anderer Nutzer hat im Blaster einen Amoklauf angekündigt. Ein weiterer Nutzer hat das gemerkt und die Polizei informiert. Die fragen bei mir nach der IP und beim Provider nach dem Anschlußinhaber, einen Tag später wollte der Mensch vom LKA, der den Rechner in der Zwischenzeit auf dem Tisch stehen hatte, noch ein paar Details, damit er weiß wonach er suchen kann. Ist es richtig oder falsch, wenn dieser Täter nach einer konkreten Tat ermittelt werden kann?
Ohne die IP wäre es schlicht unmöglich. Der Assoziations-Blaster hat keine Zwangs-Registrierung, ich habe keinerlei weitere Informationen über den Nutzer. Es würde also keine Chance bestehen, den Täter zu erwischen -- man könnte nur hoffen, dass der angekündigte Amoklauf nicht stattfindet.

Ähnliches hatte ich auch schon mit einem angekündigten Selbstmord.


Und eine weitere Sache:
Im (leider vor sich in gammelnden ) Forum von ODEM.org haben sich zwei Nutzer gegenseitig beleidigt; ich habe die Beiträge von beiden zeitnah gelöscht -- dank immer wieder ähnlicher IP waren die auch halbwegs leicht herauszufinden. Einer der beiden Streithähne ruft dann zum Mord an mich auf, mit dem Hinweis "macht es blutig!". Es war ein eindeutiger, klarer Mordaufruf. Mehrfach gepostet, immer mit Name und Anschrift.

Nun war aufgrund der Formulierung mehr oder minder klar, welcher der beiden Streithähne das geschrieben hat. Ich habe dann -- mit Angabe der IP -- Strafanzeige gestellt. Dummerweise war es eine Arcor-IP, und Arcor speichert derzeit nicht mehr.
Was nun?
In dem Falle denke ich, dass das eingestellt wird, es gab genug andere Sachen wegen deren gegen den Typ vorgegangen wird, wie ich nachträglich erfahren habe.

Aber wenn wir uns nun vorstellen, dass anhand des vom Nutzer angegebenen Autor-Namens und dem Schreibstil auf eine Person als Täter geschlossen wird, aber es gibt keine IP. Dann gibt es eine Hausdurchsuchung und Beschlagnahme -- und es stellt sich heraus, dass es doch jemand anderes war um dem vermeintlichen Täter zu schaden. Tja, weil *nicht* geloggt wurde, hat dann ein Unschuldiger sehr viel Ärger bekommen ...


Es gibt natürlich viele weitere Beispiele aus dem Bereich der Strafverfolgung. Betrügereien bei E-Commerce-Kram zum Beispiel: Massenweise Bestellung auf den Namen eines anderen, um diesem zu schaden.


Jetzt mag man einwenden: "aber wenn der Täter einen Anonymisierungsdienst nutzt!" Ja, richtig: wenn! Passiert aber selten. Denn wer so schlau ist, macht wohl keine solchen Sachen ;-)

Und man mag einwenden: dann wird nicht jede Straftat verfolgt, was solls. Aber wenn der angekündigte Amoklauf tatsächlich stattfindet, wer will dafür den Kopf hinhalten?


Einige andere Beispiele abseits des Strafrechts.
Nehmen wir mal die Wikipedia. Da wird bei nicht registrierten Nutzern nicht nur die IP gespeichert, sondern auch für jeden öffentlich angezeigt. Nach Lesart mancher Menschen beim AK Vorrat ist das streng illegal.
Aber genau damit und nur dadurch war es möglich, Manipulationen und Veränderungen an Artikeln einzelnen Organisationen zuzuordnen. Wohlgemerkt: Organisationen wie Firmen, Parteien und so weiter, nicht Einzelpersonen. Es konnte dann immer auf den anonymen Praktikanten geschoben werden. ;-)
Soll die Wikipedia nun darauf verzichten, zurückverfolgen zu können aus welchem Netz welche Änderung kam?
Eine Zwangs-Registrierung wäre viel bedenklicher, wenn man die Privatspäre der Autoren betrachtet.

BTW: Wenn wir die Ansicht einiger aus dem AK Vorrat nehmen, dann bräuchten wir eine Sperrungsverfügung gegen die Wikipedia, da sie sich ja nicht an deutsches Recht hält ... ;-)


Und noch ein Beispiel vom Assoziations-Blaster:
Es kommt vor, dass manche Menschen auf verschiedenste Art und Weise Sabotage betreiben, sich Bewertungspunkte erschleichen und so weiter. In einem solchen Fall kann ich anhand der IP schauen, welche Texte, Bewertungen und so weiter vom vermutlich gleichen Nutzer kamen und Gegenmaßnamen ergreifen, im Exremfall die Texte löschen oder Bewertungen rückgängig machen. Und ich kann schauen, ob die Bewertungen, die regelmäßig massenweise zu ominösen Texten kommen, aus dem gleichen IP-Block kommen, um entsprechende Gegenmaßnahmen zu ergreifen.

Allgemein: Ich kann im Einzelfall -- ohne die Identität des Nutzers zu kennen -- Maßnahmen ergreifen. Ich brauche das dauernd. Und kenne nie die Identität der Nutzer.
Ohne die IP müsste ich eine Zwangsregistrierung einführen, was einen eindeutig höheren Eingriff in die Privatsphäre bedeuten würde, da mir dann i.d.R. eine E-Mail-Adresse bekannt ist. Das bräuchte ich dann nur noch (automatisiert!) mit den Nutzungsdaten zu verknüpfen, schon hätte ich ...


Manche Dienste, die Session IDs vergeben, speichern zum Schutz vor dem Kapern der Sitzung durch Dritte in der Session die IP und vergleichen diese (oder einen Teil) mit der aktuellen. Auch dafür muss die IP (in den Sessiondaten) gespeichert werden.


Aber auch der hundsgewöhnliche Website-Betreiber, der (vollkommen anonyme!) Nutzungsstatistiken erstellen will, braucht die IP-Adresse. Zum Beispiel für die Zuordnung, aus welchem Land ein Nutzer kam oder für die Zuordnung von Seitenimpressionen zu Besuchern. Da HTTP ein statusloses Protokoll ist, ist das anders gar nicht herausfindbar (und auch mit nur ungefähr möglich), wenn man keine weiteren Identifizierungsdaten erhebt.

Nebenbei und zur Erinnerung:
Das Finanzministerium verwendet Google-Analytics, sprich: Google erhält die gesamten Nutzungsdaten der Besucher der Website des Bundesfinanzministeriums. Das halte ich tatsächlich für einen Skandal.


Was könnte man sonst tun?
Aus der IP eine Prüfsumme berechnen und mit der arbeiten. Aber wenn man eine IP als personenbezogenes Datum ansieht, dann ist eine Prüfsumme das auch, denn das ist reversibel. Es gibt ja nur 4 Milliarden, in der Praxis sogar deutlich weniger.

Eine zufällige oder aufeinanderfolgende nicht rückverfolgbare ID vergeben? Dann geht der IP-Block verloren, man kann für die Statistik also nicht das Herkunftsland auswerten. Und beim Blaster könnte ich viele nicht erwünschte Gebrauchsfälle nicht mehr nachvollziehen.
Außerdem gibt es Provider wie AOL, bei denen ein Benutzer während der Sitzung mit mehreren verschiedenen (ähnlichen) IPs zugreift. Da würden dann schnell aus einem Nutzer ruck-zuck vier, fünf oder mehr.


Jetzt ist es natürlich so, dass all diese mehr oder minder sinnvollen Anwendungsfälle der Speicherung von IPs nicht ausreichen würden, wenn anhand der IP jeder hundsgewöhnliche Serverbetreiber tatsächlich heimlich personenbezogene Nutzungsprofile erstellen könnte. Oder wenn gar jemand (ob Staat oder privat) Websiteübergreifende Nutzungsprofile einzelner Personen anfertigen könnte. Dies ist aber keinesfalls der Fall.

Letztendlich ist die IP-Speicherungs-Diskussion nur eine Schatten-Diskussion. Es gibt, selbst wenn man das als böse ansehen mag, tatsächlich viel schlimmeres. Sehr viel schlimmeres. Angefangen bei den üblichen Webbugs, weiter bei den algegenwärtigen IVW-Tags und das ist bei der der Datensammel- und Verkaufs-Wut diverser Portale noch lange nicht zuende.


Ciao
Alvar

--
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.assoziations-blaster.de/
** http://www.wen-waehlen.de/
** http://odem.org/
** heute mit <http://www.assoziations-blaster.de/info/heisefizierung.html>
** und <http://blog.assoziations-blaster.de/>
** ;-)

Attachment: pgp00011.pgp
Description: PGP signature

_______________________________________________
Debate mailing list
Debate@lists.fitug.de
http://lists.fitug.de:8080/mailman/listinfo/debate