| Start | Bilder und Berichte | über uns | Kunst und Krempel | Links | Neues | Blog | Geodienste | Kontakt |

Schnipsel

< Wirtschaftsminister Goppel | legal, aber nicht hinreichend legitimiert >

Tuesday, 21. October 2008

Teure Vorratsdatenspeicherung

so wie es aussieht, muss BT Germany die Vorratsdatenspeicherung nicht durchführen, weil es für sie zu teuer wird. Schonmal ein guter Ansatz...

Ich frag mich sowieso, wie die anderen eigentlich speichern wollen. Verpflichtet sind sie ja streng genommen auch jetzt schon, nur Bussgeld ist erst ab 1.1.09 fällig. Bisher, ca. 50 Werktage vor Silvester, ist allerdings keine "Technische Richtlinie" zur Datenspeicherung erschienen. Ohne die wissen wir gerade mal, dass die Zuordnung (Kunde, IP-Adresse, Zeit) bei Einwahlprovidern und (Client-IP, Zeit) bei Proxies und Anonymisieren gespeichert werden soll. In einem Anfall von Detailverliebtheit hat der Gesetzgeber noch "Zeitzone" ins Gesetz geschrieben, das wars aber schon.

Alles andere, also z.B. die Frage nach dem Format der Speicherung, der Anfragen und der Übermittlung, Verschlüsselungsvorschriften, Zugriffsberechtigungen, Vorschriften zur Lagerung der Datenträger, Haftung bei versehentlicher Beschädigung dieser Daten, ist bisher völlig ungeklärt und wird "Anfang 2009" vermutlich nachgereicht. Bis dahin wird anscheinend irgendwas gespeichert, um dem Gesetz zu genügen.

Mir solls recht sein, je verworrener die Daten und je länger die Wege, desto sinnloser wird die Veranstaltung, aber ich wundere mich, dass nicht mehr Provider auf die Barrikaden gehen.

Bei den Tor-Betreibern wird auch gerade fleissig diskutiert, wie man mit der Speicherpflicht umgehen soll. Im wesentlichen gibts zwei Meinungen

  1. Wir müssen nicht Speichern, weil das gegen die Verfassung ist und/oder ein Anonymisierer kein Telekommunikationsdienst im Sinne des Gesetzes ist. Deshalb machen wir ohne Speicherung weiter und mobilisieren im Zweifel unsere Anwälte.

  2. Speichern wir halt! Ein Server hat ein paar Hundert bis ein paar Tausend Verbindungen gleichzeitig. Wir müssen nur eingehende Verbindungen speichern, nicht die Zielserver. Wir können also lediglich sagen "diese 1000 Rechner hatten zu uns Kontakt. Jede dieser Adressen kann ein Server sein, der wiederum 1000 Kontakte..."
    Die Daten helfen also niemanden, müllen schlimmstenfalls unsere Platten zu.


Die erste Meinung ist natürlich mutig, aber eben auch riskant.

Der zweiten Meinung könnte ich mich anschliessen. Wie gross der Müllberg ist, kann ich aber nicht abschätzen, es könnte schon allein am Plattenplatz scheitern und am (dank fehlender Richtlinie) nicht abschätzbaren organisatorischem Aufwand. Ich fürchte aber, dass dieses Vorgehen international nicht so richtig auf Zustimmung stossen wird. Das bisherige Paradigma "Ein Tor-Node loggt nicht!" hat schon seinen Reiz und ist vielleicht mehr wert als der deutsche Teil des Tor-Netzwerks, das immerhin im Moment 30% des ganzen Netzes ausmacht.

Bleibt die Frage, was man mit deutschen Nodes macht...

  1. Abschalten

  2. Alle Server runterstufen auf middleman-Betrieb, damit sie nicht loggen müssen

  3. Falls doch einer loggen möchte: runterstufen auf Betrieb als middleman

  4. Ein Flag setzen, dass es den Usern erlaubt, loggende Server zu meiden


Abschalten wäre teuer.

Runterstufen wäre ok. Die Frage ob ein Server loggen muss, der nicht als exit-node den sichtbaren Ausgang aus dem Tor-Netz bildet, ist allerdings ungeklärt. Bestimmt wird er seltener in die Verlegenheit kommen, seine Logs herzuzeigen, vor allem wenn der vorgelagerte Exit nichts geloggt hat, aber wirkliche Sicherheit dafür gibt es nicht.

Loggende Server runterstufen oder markieren würde die "Tor loggt nicht!"-Regel verletzen. Aus meiner Sicht könnte man dagegen verstossen, aber ich wüsste auch nicht so recht, wie ich das den Nutzern verkaufen sollte. Das Argument "Bisher musstest Du auch davon ausgehen, dass von den Nodes ein paar Deinen Verkehr mitgeschnitten haben" ist gut, aber die Spanner hatten bisher selten zentrale Datensammelstellen bei den Behörden.

Ich muss noch bisschen drüber nachdenken, aber vermutlich schalte ich meinen Node ab. Mit seinen 70GB im Monat gehört er eh zu den Winzlingen im Netz, exit-node war er eh fast nie und meinen Provider wirds freuen, einen Kunden weniger zu haben, der sein Tarifvolumen fast ausreizt.

Als Alternative zu privat betriebenen Nodes bietet sich übrigens die Spende an einen Verein an, der sowas betreibt. Die "German Privacy Foundation" hätte sowas, der CCC auch.
Geschrieben von Max in Überwachung um 21:42 | Kommentare (0) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag



Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA
  Deine IP-Adresse wird beim Absenden für maximal 2 Tage gespeichert und zur Spamvermeidung gegen eine lokale schwarze Liste abgeprüft. Falls Du "Daten merken" ankreuzt, werden Deine eingegebenen Daten einen Monat lang auf Deinem Rechner in Form von Cookies gespeichert. Wer keine Mailadresse angeben will, muss das auch nicht tun. Der Name darf gerne, muss aber nicht Dein echter Name sein...
 
 
 
 

Kategorien

Verwaltung des Blogs

Login