Re: [Debate] ip adressen sind personenbezogene daten

[Gert Doering <gert@greenie.muc.de>]

Hi,

On Wed, Oct 10, 2007 at 10:58:19AM +0200, Martin Uecker wrote:
> > Wie man aus dieser Signature und der atypischen Aussage sehen kann, stammt
> > obige Mail natuerlich NICHT von Martin Uecker.  Den echten Urheber zu 
> > finden ist aber dank IP-Adress-Informationen in Logs und Headern relativ 
> > einfach...  viel Spass dabei, o.G. Aussage *ohne* das zu widerlegen.
> 
> Wie beweise ich denn bitte *mit* den Logs, daß ich nicht der echte Urheber
> bin? Nehmen wir mal an, Du hättest die Mail von einem Internet-Cafe
> geschrieben oder von einem offenen WLAN auf einem Flughafen? Muß
> ich dann nachweisen, daß ich dort nicht war? Befürwortest Du dann
> auch die Protokollierung meiner Reisetätigkeit, um mich gegen
> Identitätsdiebstahl zu schützen?

Identitaetsdiebstahl ist ein zunehmend massives Problem.

Man kann sich dagegen einerseits durch kryptographische Signaturen
schuetzen.  Das groesste Problem dabei ist aber: wie kannst Du beweisen,
dass Du die nicht-signierte Mail *nicht* geschrieben hast?  Das funktioniert 
also nur, wenn alle (!) Empfaenger eine nicht-signierte Mail, die vorgibt
von Dir zu sein, grundsaetzlich wegwerfen.

Gleichzeitig muss man aber in der Lage sein, gegen Kriminalitaet - und
darum handelt es sich bei Identitaetsdiebstahl zweifelsohne - vorzugehen,
und *dafuer* brauchst Du rueckverfolgbare Informationen.  

Einen Richtervorbehalt (und die Notwendigkeit des Korrelierens verschiedener 
Datenquellen, an die man ohne Richter nicht alle drankommt) unterstuetze 
ich dabei ausdruecklich.

Das erwaehnte "offene WLAN auf einem Flughafen" ist meist nicht sonderlich 
"offen", sondern verlangt eine monetaere Gegenleistung - d.h. wenn jemand
Dir durch eine entsprechende Mail einen Schaden zufuegt, wuerdest Du dann
nicht wollen, dass das (wiederum: mit Richtervorbehalt) ueber die Kette

Received:-Header -> IP-Adresse + Uhrzeit -> Kreditkarte (o.ae.) -> 
Verursacher

rueckverfolgbar waere?


Darf der WLAN-Betreiber die Zuordnung "welcher zahlende User hatte wann
die IP-Adresse x.x.x.x in Verwendung" nicht speichern, hast Du keine
Moeglichkeit mehr, juristisch vorzugehen.

[..]
> Aber wir reden wir hier über Webserver. Das entsprechende Beispiel
> wäre also ein Posting in einem Forum. Hier könnte man dem Nutzer
> anbieten, daß er sich mit Email-Adresse registriert und ein Pseudonym
> aussucht. Dann sind sie gegen Identitätsdiebstahl halbwegs geschützt.
> Das ist in vielen Foren ja auch gängige Praxis. Eine IP in den Logs
> braucht man dann auch nicht.

Nuja, dann registriere ich halt das Pseudonym mit einem "_" am Ende... wenn
das Posting geschickt genug gefaelscht ist, derjenige sich das selbe Bild
als "Avatar" nutzt, usw., merkt das erstmal niemand - der Schaden ist
passiert.

Was ist mit anderen Straftaten?  Beleidigung, usw., oder mal das beliebte
Totschlag-Argument "jemand postet ein KiPo-Bild in ein Forum".  Dinge die
eindeutig strafrechtlich relevant sind - wie ziehst Du denjenigen zur
Verantwortung?

Die bei der Anmeldung angegebene Mailadresse kann von einem Freemailer sein,
der keine Adresspruefung macht - und keine IP-Adressen in den Logs hat.


Ergo mein Argument: Balance zwischen Datenschutz, und der Moeglichkeit,
Rueckverfolgung der User zu betreiben (zu Diagnosezwecken und zur
Verhinderung unerwuenschten Verhaltens).  Beides ist ins Extrem 
getrieben nicht sinnvoll.

gert

-- 
USENET is *not* the non-clickable part of WWW!
                                                           //www.muc.de/~gert/
Gert Doering - Munich, Germany                             gert@greenie.muc.de
fax: +49-89-35655025                        gert@net.informatik.tu-muenchen.de
_______________________________________________
Debate mailing list
Debate@lists.fitug.de
http://lists.fitug.de:8080/mailman/listinfo/debate