[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Debate] Die Politik mit der Angst (IP-Logging)
Hallo Martin,
Verzeihung, hat etwas gedauert -- dafür ist es auch ausführlich
geworden:
-- Martin Uecker <muecker@gmx.de> wrote:
Viel interessanter ist doch, welcher konkreter Schaden in den
jeweiligen Fällen auftreten kann und die dann gegeneinander
abzuwägen.
Siehe z.B. Holger Voss.
ja, das wird gerne als Beispiel angeführt. Aber auch hier ist das
Verhalten der Ermittlungsbehörden was die IP-Protokollierung angeht (und
nur da) vollkommen korrekt:
Wir haben einen Täter (Holger Voss) und eine Tat. Er hat -- nach Lesart
der ermittelnden Beamten -- eine Straftat begangen und wurde daher
angeklagt. Und freigesprochen, weil es offensichtlich gar keine Straftat
war.
Es war ganz normale, alltägliche Polizeiarbeit: da wurde ein
Äußerungsdelikt begangen, Polizei erfragt beim Websitebetreiber die IP
de Täters, danach erfragt sie beim Provider den Anschlußinhaber und
ermittelt den Täter.
Wo ist hier ein Schaden für einen Unbeteiligten? Es gibt keinen
Unbeteiligten. Das hört sich hart an für Holger Voss, aber es ist --
solange man annimmt dass sein Text eine Straftat darstellt -- ein
vollkommen legitimes Verhalten. Dass die Ermittler sofort hätten
erkennen müssen, dass es sich bei dem Text nicht um eine Straftat
handelt, das ist ein anderer Punkt.
Und letztendlich gibt es dafür die Gerichte.
Wir (=die Gesellschaft) kann doch nicht sagen: wir verzichten auf die
Gerichte und die Ermittlung des Täters, da es ja vorkommen kann, dass
ein Freispruch stattfindet. Das hat mit Rechtsstaat nichts zu tun sondern
wäre ein (erster, kleiner) Schritt in eine Willkürherrschaft oder zur
Anarchie. Wie gesagt: ein kleiner Schritt, aber immerhin.
Was ist an dem Vorgehen falsch? Warum soll eine Ermittlung eines Täters
schon am Anfang scheitern und nicht ein Gericht entscheiden? So hart das
für einen Betroffenen ist: das ist ein korrektes Vorgehen.
Soll auf eine wichtige und sinnvolle Ermittlungsmethode zur Aufdeckung
von Online-Straftaten verzichtet werden?
Der Schaden ist aber letztlich noch weitaus größter nur leider
nicht so konkret: Man könnte plötzlich Angst haben in seinem Forum
seine Meinung zu sagen oder man hat Angst sich zu informieren.
Dies ist ein wichtiger Punkt, gegen diese Ängste muss auf jeden Fall
vorgebeugt werden und das BVerfG ist ja auch insbesondere seiner
bekannten Entscheidung zur Volkszählung darauf eingegangen.
Die wichtige Frage ist doch aber: ist die Angst berechtigt? Ist sie
realistisch? Ich behaupte: nein. Natürlich gibt es immer wieder
besonders paranoide Menschen (und ein bißchen Paranoia ist ja auch nicht
schlecht), die sich von allem und jedem verfolgt fühlen. Aber nur weil
einige Menschen eine Regelung falsch interpretieren ist sie noch lange
nicht böse.
Oder anders gesagt:
Beleidigung, Rufmord und so weiter sind aus gutem Grund Straftaten. Man
kann sich immer darüber streiten, ab welchem Punkt es strafbar sein
sollte, aber dass es Straftaten sind, darüber besteht doch ein breiter
Konsens. Und das hat auch explizit etwas mit Abschreckung zu tun.
Jetzt können sich manche Menschen eingeschränkt fühlen und Angst
haben, ihre Meinung zu äußern. Soll Beleidigung, Rufmord etc. deswegen
nun nicht mehr strafbar sein, nur weil manche Menschen die gesetzlichen
Regelungen falsch auslegen und/oder Angst haben?
Nicht zu Unrecht, man vergleiche zum Beispiel die Geschichte vom BKA,
die versucht haben jeden zu identifizieren, der sich auf ihrer Website
über die "Millitante Gruppe" informieren wollte.
Da haben wir wiederum eine ganz andere Situation, die BKA-Sache ist ein
ganz anderer Fall:
Zum einen wäre das gleiche auch bei untersagter IP-Protokollierung
möglich gewesen. Eine entsprechende Anordnung ist leicht zu besorgen,
ein Einschalten der Protokollierung und wenns sein muss die
Echtzeitabfrage beim Access-Provider auch. Ein Verbot von
IP-Protokollierung wäre also keinerlei Schutz vor einem solchen
Unsinn, weder rechtlich noch technisch.
Zur Not würde eben eine entprechende TKÜ angeordnet.
Aber:
Meines Erachtens dürfte es sich in diesem Fall -- auch mit
Vorratsdatenspeicherung -- um eine illegale Rasterfahndung handeln. Aber
das ist ein anderer Punkt.
Ganz klar: was das BKA da gemacht hat ist einfach nur dämlich. Wenn
selbst der 100%ig gesetzestreue Bürger, der den Ermittlungsbehörden
nach deren Aufruf bei der Ermittlung helfen will, in Verdacht kommt,
dann ist das nicht nur peinlich sondern kontraproduktiv. Das wäre
genauso, als ob jeder der sich ein Fahndungsplakat oder Aktenzeichen
XY ungelöst anschaut als Verdächtiger geführt wird. Das ist einfach
nur lächerlich, dumm, peinlich. Der Staat bzw. die Polizei kann doch
schon aus eigenem Interesse nicht jeden, der sich für einen solchen
Fall interessiert, helfen oder darüber berichten will als
Verdächtigen behandeln.
Das sagt doch schon der gesunde Menschenverstand -- aber scheinbar
setzt der manchmal auch im BKA aus.
Ich halte diese indirekten und leider nicht immer konkret
festzumachenden Nebenwirkungen auf das Verhalten der Menschen für
extrem gefährlich.
Tatsächlich ist das sehr gefährlich, ja. In meiner BBA-Laudatio 2006
habe ich das ja auch thematisiert.
Hier setzt aber auch meine Kritik an manchen Menschen vom AK
Vorratsdatenspeicherung an: Da wird deutlich übertrieben und schon bei
der IP-Speicherung auf einem Webserver behauptet, der Webserver-Betreiber
könnte intimste Details über eine konkrete Person herausfinden. Das ist
falsch.
Siehe auch <http://www.fitug.de/debate/0710/msg00103.html>
Die Aufzeichnung sämtlicher Kommunikationsvorgänge halte ich für
gefährlich, zumal das halb-zentral geschieht.
Aber eine Protokollierung von IPs auf einem Webserver ist nicht
gefährlich: Es ist NICHT möglich, dass der Staat oder jemand anderes
herausfindet, was ein Mensch den ganzen Tag im Internet treibt und welche
Websites er sich anschaut. Das wäre mit einer Überwachungsanordnung
möglich, aber das ist ein anderes Thema.
Auf einen wirklich stichhaltiges Argument warum man bei einen
Webserver unbedingt die IP-Adresse für jeden Zugriff speichern
müßte, bin ich immer noch sehr gespannt.
Selbstverständlich kann man das nicht verallgemeinern, und ich spreche
mich auch keineswegs für eine Pflicht aus.
Aber ich kann einige Beispiele nennen, bei denen das mehr als hilfreich
ist.
Zum Beispiel bei der Strafverfolgung:
So haben vor ein paar Wochen zwei Menschen im Assoziations-Blaster --
http://www.assoziations-blaster.de/ -- eindeutig konderpornographische
Texte gepostet. In zwei von drei relevanten Texten wurde der Mißbrauch
von Kindern durch den Autor beschrieben.
Ich habe Strafanzeige gestellt und anhand der IPs konnten die
Anschlußinhaber ermittelt werden. Der ermittelnde Beamte sagte dann
noch, dass bei den anstehenden Hausdurchsuchungen in der Regel genügend
einschlägiges Material gefunden wird.
Da mag man nun einwenden: ist ja alles nicht so schlimm, vielleicht waren
es nur Phantasien. Möglich. Aber das habe nicht ich zu entscheiden,
sondern ein Gericht. Es handelt sich hier eindeutig um Täter.
Ich bin sehr für die freie Meinungsäußerung, aber manches ist dann zu
viel -- vor allem wenn es permanent vorkommt. Und: Ich muss mich nicht
auch noch in jedem Extremfall quasi als Richter aufspielen. Und
riskieren, dass die Typen dauernd solchen Mist in den Blaster schreiben.
Ein anderer Fall:
Ein anderer Nutzer hat im Blaster einen Amoklauf angekündigt. Ein
weiterer Nutzer hat das gemerkt und die Polizei informiert. Die fragen
bei mir nach der IP und beim Provider nach dem Anschlußinhaber, einen
Tag später wollte der Mensch vom LKA, der den Rechner in der
Zwischenzeit auf dem Tisch stehen hatte, noch ein paar Details, damit er
weiß wonach er suchen kann. Ist es richtig oder falsch, wenn dieser
Täter nach einer konkreten Tat ermittelt werden kann?
Ohne die IP wäre es schlicht unmöglich. Der Assoziations-Blaster hat
keine Zwangs-Registrierung, ich habe keinerlei weitere Informationen
über den Nutzer. Es würde also keine Chance bestehen, den Täter zu
erwischen -- man könnte nur hoffen, dass der angekündigte Amoklauf
nicht stattfindet.
Ähnliches hatte ich auch schon mit einem angekündigten Selbstmord.
Und eine weitere Sache:
Im (leider vor sich in gammelnden ) Forum von ODEM.org haben sich zwei
Nutzer gegenseitig beleidigt; ich habe die Beiträge von beiden zeitnah
gelöscht -- dank immer wieder ähnlicher IP waren die auch halbwegs
leicht herauszufinden. Einer der beiden Streithähne ruft dann zum Mord
an mich auf, mit dem Hinweis "macht es blutig!". Es war ein eindeutiger,
klarer Mordaufruf. Mehrfach gepostet, immer mit Name und Anschrift.
Nun war aufgrund der Formulierung mehr oder minder klar, welcher der
beiden Streithähne das geschrieben hat. Ich habe dann -- mit Angabe der
IP -- Strafanzeige gestellt. Dummerweise war es eine Arcor-IP, und Arcor
speichert derzeit nicht mehr.
Was nun?
In dem Falle denke ich, dass das eingestellt wird, es gab genug andere
Sachen wegen deren gegen den Typ vorgegangen wird, wie ich nachträglich
erfahren habe.
Aber wenn wir uns nun vorstellen, dass anhand des vom Nutzer angegebenen
Autor-Namens und dem Schreibstil auf eine Person als Täter geschlossen
wird, aber es gibt keine IP. Dann gibt es eine Hausdurchsuchung und
Beschlagnahme -- und es stellt sich heraus, dass es doch jemand anderes
war um dem vermeintlichen Täter zu schaden. Tja, weil *nicht* geloggt
wurde, hat dann ein Unschuldiger sehr viel Ärger bekommen ...
Es gibt natürlich viele weitere Beispiele aus dem Bereich der
Strafverfolgung. Betrügereien bei E-Commerce-Kram zum Beispiel:
Massenweise Bestellung auf den Namen eines anderen, um diesem zu schaden.
Jetzt mag man einwenden: "aber wenn der Täter einen
Anonymisierungsdienst nutzt!" Ja, richtig: wenn! Passiert aber selten.
Denn wer so schlau ist, macht wohl keine solchen Sachen ;-)
Und man mag einwenden: dann wird nicht jede Straftat verfolgt, was solls.
Aber wenn der angekündigte Amoklauf tatsächlich stattfindet, wer will
dafür den Kopf hinhalten?
Einige andere Beispiele abseits des Strafrechts.
Nehmen wir mal die Wikipedia. Da wird bei nicht registrierten Nutzern
nicht nur die IP gespeichert, sondern auch für jeden öffentlich
angezeigt. Nach Lesart mancher Menschen beim AK Vorrat ist das streng
illegal.
Aber genau damit und nur dadurch war es möglich, Manipulationen und
Veränderungen an Artikeln einzelnen Organisationen zuzuordnen.
Wohlgemerkt: Organisationen wie Firmen, Parteien und so weiter, nicht
Einzelpersonen. Es konnte dann immer auf den anonymen Praktikanten
geschoben werden. ;-)
Soll die Wikipedia nun darauf verzichten, zurückverfolgen zu können aus
welchem Netz welche Änderung kam?
Eine Zwangs-Registrierung wäre viel bedenklicher, wenn man die
Privatspäre der Autoren betrachtet.
BTW: Wenn wir die Ansicht einiger aus dem AK Vorrat nehmen, dann
bräuchten wir eine Sperrungsverfügung gegen die Wikipedia, da sie sich
ja nicht an deutsches Recht hält ... ;-)
Und noch ein Beispiel vom Assoziations-Blaster:
Es kommt vor, dass manche Menschen auf verschiedenste Art und Weise
Sabotage betreiben, sich Bewertungspunkte erschleichen und so weiter. In
einem solchen Fall kann ich anhand der IP schauen, welche Texte,
Bewertungen und so weiter vom vermutlich gleichen Nutzer kamen und
Gegenmaßnamen ergreifen, im Exremfall die Texte löschen oder
Bewertungen rückgängig machen. Und ich kann schauen, ob die
Bewertungen, die regelmäßig massenweise zu ominösen Texten kommen, aus
dem gleichen IP-Block kommen, um entsprechende Gegenmaßnahmen zu
ergreifen.
Allgemein: Ich kann im Einzelfall -- ohne die Identität des Nutzers zu
kennen -- Maßnahmen ergreifen. Ich brauche das dauernd. Und kenne nie
die Identität der Nutzer.
Ohne die IP müsste ich eine Zwangsregistrierung einführen, was einen
eindeutig höheren Eingriff in die Privatsphäre bedeuten würde, da mir
dann i.d.R. eine E-Mail-Adresse bekannt ist. Das bräuchte ich dann nur
noch (automatisiert!) mit den Nutzungsdaten zu verknüpfen, schon hätte
ich ...
Manche Dienste, die Session IDs vergeben, speichern zum Schutz vor dem
Kapern der Sitzung durch Dritte in der Session die IP und vergleichen
diese (oder einen Teil) mit der aktuellen. Auch dafür muss die IP (in
den Sessiondaten) gespeichert werden.
Aber auch der hundsgewöhnliche Website-Betreiber, der (vollkommen
anonyme!) Nutzungsstatistiken erstellen will, braucht die IP-Adresse. Zum
Beispiel für die Zuordnung, aus welchem Land ein Nutzer kam oder für
die Zuordnung von Seitenimpressionen zu Besuchern. Da HTTP ein
statusloses Protokoll ist, ist das anders gar nicht herausfindbar (und
auch mit nur ungefähr möglich), wenn man keine weiteren
Identifizierungsdaten erhebt.
Nebenbei und zur Erinnerung:
Das Finanzministerium verwendet Google-Analytics, sprich: Google erhält
die gesamten Nutzungsdaten der Besucher der Website des
Bundesfinanzministeriums. Das halte ich tatsächlich für einen Skandal.
Was könnte man sonst tun?
Aus der IP eine Prüfsumme berechnen und mit der arbeiten. Aber wenn man
eine IP als personenbezogenes Datum ansieht, dann ist eine Prüfsumme das
auch, denn das ist reversibel. Es gibt ja nur 4 Milliarden, in der Praxis
sogar deutlich weniger.
Eine zufällige oder aufeinanderfolgende nicht rückverfolgbare ID
vergeben? Dann geht der IP-Block verloren, man kann für die Statistik
also nicht das Herkunftsland auswerten. Und beim Blaster könnte ich
viele nicht erwünschte Gebrauchsfälle nicht mehr nachvollziehen.
Außerdem gibt es Provider wie AOL, bei denen ein Benutzer während der
Sitzung mit mehreren verschiedenen (ähnlichen) IPs zugreift. Da würden
dann schnell aus einem Nutzer ruck-zuck vier, fünf oder mehr.
Jetzt ist es natürlich so, dass all diese mehr oder minder sinnvollen
Anwendungsfälle der Speicherung von IPs nicht ausreichen würden, wenn
anhand der IP jeder hundsgewöhnliche Serverbetreiber tatsächlich
heimlich personenbezogene Nutzungsprofile erstellen könnte. Oder wenn
gar jemand (ob Staat oder privat) Websiteübergreifende Nutzungsprofile
einzelner Personen anfertigen könnte. Dies ist aber keinesfalls der Fall.
Letztendlich ist die IP-Speicherungs-Diskussion nur eine
Schatten-Diskussion. Es gibt, selbst wenn man das als böse ansehen mag,
tatsächlich viel schlimmeres. Sehr viel schlimmeres. Angefangen bei den
üblichen Webbugs, weiter bei den algegenwärtigen IVW-Tags und das ist
bei der der Datensammel- und Verkaufs-Wut diverser Portale noch lange
nicht zuende.
Ciao
Alvar
--
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.assoziations-blaster.de/
** http://www.wen-waehlen.de/
** http://odem.org/
** heute mit <http://www.assoziations-blaster.de/info/heisefizierung.html>
** und <http://blog.assoziations-blaster.de/>
** ;-)
Attachment:
pgp00011.pgp
Description: PGP signature
_______________________________________________
Debate mailing list
Debate@lists.fitug.de
http://lists.fitug.de:8080/mailman/listinfo/debate