Sven Rautenberg: Anmerkungen zur Protestaktion „Vorratsdatenspeicherung”

Eine Zusammenfassung von Reaktionen und Informationen zur Protestaktion, der wir uns auf unseren Startseiten von SELFHTML angeschlossen haben.

Am Anfang sollte es eigentlich nur eine simple Teilnahme an einer Aktion sein, die wir für sinnvoll erachten.

Es hat sich aber schon nach kurzer Zeit durch das Feedback, dass uns per Mail und Kontaktformular erreicht hat, herausgestellt, dass diese Aktion erklärungswürdig ist.

„Seid ihr etwa gehackt worden?”

Klare Antwort: Nein, natürlich nicht. Offenbar haben viele Besucher von SELFHTML nicht erwartet, dass auf der Startseite de.selfhtml.org das Protestoverlay des Arbeitskreises Vorratsdatenspeicherung erscheint.

Allerdings beweist das uns, dass diese Seite eine relativ hohe Aufmerksamkeit genießt, so dass vermutlich viele Menschen, die bislang mit dieser Thematik nichts zu tun hatten, sich jetzt zumindest wundern. Minuspunkt: Es gibt bislang keinen gut sichtbaren Ansatzpunkt, aus der Verwunderung zu einer Erklärung zu gelangen.

„Ich finde gut, dass ihr bei dieser Protestaktion mitmacht!”

Nur Mitmachen ist allerdings nicht wirklich ausreichend, wenn man selbst dann widersprüchlich handelt, und seine eigene kleine Vorratsdatenspeicherung trotzdem weiter betreibt. Der Prozess des Umdenkens ist allerdings langwieriger, als die simple Einbindung einer Protestgrafik.

Typische Vorratsdatenspeicher bei Webservern sind die Logfiles. Dort sammeln sich, oft über Jahre hinweg, Daten an. Diese werden vielleicht noch statistisch ausgewertet, um schöne Grafiken zu erzeugen, aber ansonsten interessieren sie niemanden mehr. Warum muß man Logfiles aufbewahren? Etwas, weil man nachvollziehen will, wie lange irgendeine IP-Adresse schon missbräuchlich Ressourcen aufbraucht? Das mag im Falle akuter Angriffe relevant sein, aber genau diese Information steckt im tagesaktuellen Logfile. Hilft es z.B. bei der Strafverfolgung, wenn man noch wissen könnte, was vor einem Monat oder einem Jahr gewesen war? Eher nicht. Verantwortungsvolle Web-Admins haben tagtäglich ihr Auge auf dem Webserver und merken schnell, wenn etwas nicht stimmt.

Muß man wirklich die IP-Adressen ins Logfile schreiben? Wenn man es sich genau überlegt: Solange alles perfekt funktioniert, muß man das eigentlich nicht. Und wenn etwas falsch läuft, könnte man IP-Adressen-Logging immer noch reaktivieren. Damit eventuell nachgeschaltete Tools wie die Statistik nicht an einem geänderten Logformat scheitern: Was spricht dagegen, anstelle der tatsächlichen IP-Adresse einfach den String "127.0.0.1" ausgeben zu lassen? Der Apache-Webserver erlaubt die Definition beliebiger Logformate - auch statische Strings sind erlaubt. Nahezu überall wird das sogenannte Common Logfile Format benutzt, dass durch folgenden Parameter definiert wird: LogFormat common "%h %l %u %t \"%r\" %>s %b" - %h steht für die IP des Clients. Spricht etwas gegen diese Variante: LogFormat common_anonym "127.0.0.1 %l %u %t \"%r\" %>s %b"? Genau dieselben sonstigen Informationen für die Statistik, außer der IP-Adresse.

Dies ist nur ein Beispiel von vielen. Jeder normale Server-Daemon loggt, was er tut. Oft inklusive der IP-Adresse des Rechners, mit dem er kommuniziert. Muß das immer sein?

Wir als Betreiber von SELFHTML sind sicherlich noch keine Vorbilder. Wir haben unserem Apachen das Loggen von Klartext-IP-Adressen abgewöhnt (stattdessen gibts einen "gesalzenen" Hashwert im Logfile), aber die Zahl weiterer Daemons, die die IP-Adresse protokollieren, ist groß. Doch wir denken um. Beispielsweise ist unser riesiges Forumsarchiv eine Quelle spannenden Wissens - sowohl fachlich, aber leider auch überwachungstechnisch. Die Mailadressen der Teilnehmer werden schon seit längerem nicht mehr angezeigt. Und den bislang nur vereinzelt geäußerten Wünschen nach Anonymisierung oder Löschung von Postings können wir jetzt, nachdem es für diesen Vorgang ein Softwaretool gibt, auch endlich ohne großen Aufwand nachkommen. Das ist also schon mal ein Anfang.

„Kann ich den Code auch auf meine Seite einbauen?”

Selbstverständlich. Auch wir haben diesen Code nur „geklaut“, nämlich beim Arbeitskreis Vorratsdatenspeicherung. Dort ist zur Zeit als aktuellere Version der Online-Demo (auf dieser Seite) die Einbindung eines sogenannten Page Peels beschrieben. Außerdem gibt es dort noch eine Reihe von Alternativen für den persönlichen Protest, inklusive diverser Banner. Und natürlich Hintergrundinformationen.

„Kann ich sonst irgendwie mitmachen?”

Wie wäre es, sich an der Klage gegen die Vorratsdatenspeicherung vor dem Bundesverfassungsgericht zu beteiligen? Noch bis zum 24.12.2007 (Datum des Poststempels! Jawohl, man muss 55 Cent investieren und einen Brief abschicken!) kann man sich unter verfassungsbeschwerde.vorratsdatenspeicherung.de beteiligen. Die Teilnahme ist abgesehen vom Porto für den Brief kostenlos. Aber natürlich gilt: Eine hohe Beteiligung an dieser Klage gibt der Beschwerde insgesamt ein höheres Gewicht.

Wollen wir hoffen, dass das Bundesverfassungsgericht sich nicht zu lange Zeit lässt, um zu einer Entscheidung zu kommen. Beim „großen Lauschangriff” hat es acht Jahre gedauert, bis dieser als in großen Teilen verfassungswidrig eingestuft wurde. Und interessanterweise hat sich das Interesse der Strafverfolger an dieser Maßnahme in dieser Zeit auch abgestumpft - anscheinend war er doch nicht so unverzichtbar für die Bekämpfung der organisierten Kriminalität, wie die Politiker damals behauptet hatten.

Was bedeutet das wohl für die Vorratsdatenspeicherung?

  1. Hallo Sven,

    vielen Dank für Deine Informationen zu dieser Aktion und auch dafür, dass sich SELFHTML daran beteiligt.

    Möge es dazu führen, dass sich einige mehr aus der "Ich habe doch nichts zu verbergen"-Fraktion Gedanken darüber machen und ich bin mir sicher, dass Eure Aktion dazu beigetragen hat.

    Viele Grüße an Alle, Horst Haselhuhn

  2. Wieso sollten denn welche aus dieser Fraktion aufgrund dieses Artikels wechseln? Der Artikel hat lediglich die Ziele der Aktion erklärt und wie man an ihr teilnehmen kann. Er gibt dem "Ich habe doch nichts zu verbergen"-Nutzer keine Gründe umzudenken.

  3. Ist denn das Speichern der IP-Adresse in den Logfiles nach deutschem Datenschutzrecht eigentlich „erlaubt“, schließlich verstößt es gegen das Prinzip der Datenarmut?

  4. Könnt ihr das mit dem "salted hash" genauer erklären? Wenn er wirklich zufällig ist, ist doch auch die Speicherung des Hashs überflüssig?

    Speichert ihr IP-Adressen im error log?

    Kennt ihr http://www.wirspeichernnicht.de ?

    Gruß,

  5. Robert: laut Technikwürze ist es verboten. Das hindert übrigens diverse Webseiten des Bundes, z. B. auch des BKAs, nicht daran.

  6. Danke, SELFHTML.

  7. Ich find es toll, dass man den Protestbanner jetzt überall sieht. Mir hat allerdings der "Alte" mit Schäuble 2.0 rein vom Design besser gefallen, auch wenn der neue Spruch mehr Leuten etwas sagen wird. Ganz schrecklich find ich nur die Schrift -- welcher Mensch hat das um Himmels willen designt?

  8. Ich habe lange überlegt, ob ich auf den Beitrag antworten sollte, doch mir platzt mittlerweile der Kragen. Lasst mich vier Beispiele bringen:

    1. Thüringer Meldegesetz 2007

      Nach o.g. Gesetz können Meldedaten an Religionsgemeinschaften zum Zwecke der Erhebung von Kirchensteuer, an Parteien und Wählervereinigungen zum Zwecke der Wahlwerbung (innerhalb eines halben Jahres vor Wahltermin), an parlamentarische und kommunale Vertretungskörperschaften zum Zwecke der Ehrung von Alters- oder Ehejubiläen, für Melderegisterauskünfte über das Internet und an Adressbuchverlage weiter gegeben werden. In anderen Bundesländern gibt es ähnliche Regelungen. Zwar hat man ein Widerspruchsrecht, doch wem nutzt das, wenn es nur spärlich kommuniziert wird?

    2. Einheitliche Steuernummer

      Wusstet ihr, dass alle deutschen Meldeämter ihre Daten an das Bundeszentralamt fü Steuern zum Zweck der Erteilung einer einheitlichen Steuernummer ("Identifikationsmerkmal") weitergeben? Zwar werden allen Steuerpflichtigen diese Nummer und die zu diesem Zweck übermittelten und gespeicherten Daten mitgeteilt, aber ein Widerspruchsrecht gibt es nicht.

    3. Elektronische Übermittlung von Umsatzsteuer-Voranmeldungen

      Gesetzliche Vorschrift für formell ordnungsgemäße Rechnungen ist neben Namen und Anschrift des Unternehmers auch die Angabe seiner Steuernummer oder seiner USt-IdNr. Wer seine Steuernummer angibt, läuft Gefahr, dass Dritte unter seinem Namen und mit seiner Steuernummer unrichtige Umsatzsteuer-Voranmeldungen abgeben. Es gibt keinen Schutzmechanismus dagegen.

    4. Elektronische Lohnsteuerkarte

      Es ist geplant, die Merkmale, die bisher auf der papiernen Lohnsteuerkarte verzeichnet sind, in einer zentralen Datenbank zu speichern. Jeder Arbeitgeber soll darauf Zugriff über die einheitliche Steuernummer erhalten (siehe Punkt 2). Wie soll denn bitte ein Kontrollmechanismus aussehen, wie soll verhindert werden, dass ich mich nicht mit der Identifikationsnummer von Lieschen Müller bei meinem Arbeitgeber erfassen lasse?

    Die Vorratsdatenspeicherung ist in meinen Augen gegen die genannten Beispiele einfach nur polpulärer Kinderkram. Der Staat ist Euch um Längen voraus, und keiner scheint davon Notiz zu nehmen.

  9. Was die Verbindungsdaten beim Surfen betrifft, so bleiben nur Anonymisierungsdienste übrig, deren Effizienz nach dem Abfischen einiger Tor-Exit-Nodes zumindest fraglich ist. Wichtig fände ich vor allem die Propagierung von E-Mail-Verschlüsselung, die in diesem Blog erfolgen könnte. Beiträge über GnuPG und dessen Installation anhand verbreiteter Clients könnten ihren Beitrag dazu leisten.

    Siechfred, eine eindeutige Identifikationsnummer ist in Österreich Gang und Gäbe. Es handelt sich dabei um die Sozialversicherungsnummer. Sie dient bei vielen sensiblen Daten als Identifikationsmerkmal, so auch bei Versicherungs- und Steuerdaten. Dienstgeber übermitteln bis Ende Februar all meine Einkünfte des Vorjahres elektronisch an Krankenkassen und Finanzämter. Die Autorisierung als Dienstgeber erfolgt formlos, das heißt ohne besondere Legitimation. Nach Eingabe der Dienstgeber-Kontonummer (diese muss bekannt sein, lässt sich aber bei der Krankenkasse auch telefonisch erfragen) wird das Passwort per E-Mail zugesandt. Es ließe sich vermutlich recht einfach Schindluder treiben …

  10. Ziviler Ungehorsam!
    Tor-Server wie Pilze aus dem Boden?
    In letzter Zeit ist die Geschwindigkeit von (akzeptablen) 56k auf instabil gesunken.

    • So kann ich nicht mehr surfen.
    • Habe 16.000 ADSL und würde eventuell einen Tor-Server aufsetzen.
    • Wieviele Torserver gibt es überhaupt? Resonanz?
    Grüße aus Berlin

  11. Wir Menschen sind wie die Frösche: Wenn man uns schlagartig in einen Topf mit kockendem Wassrer wirft, springen wir spontan heraus und retten damit unser Leben. Wenn man uns aber in einen Topf mit kaltem Wasser setzt und dieses langsam erwärmt, bis es kocht, tun wir nichts. Unser Leben und unsere Freiheit haben anscheinend einen relativen Wert... je nach den Anfangs- und Umgebungsbedingungen.