Einträge von Max

Seit Montag geistert ein Urteil durchs Internet, wo ein Mensch vom Arbeitskreis Vorratsdatenspeicherung sich gegen das Justizministerium durchgesetzt hat: Das BMJ darf zukünftig die IP-Adresse seiner Homepagebesucher nicht mehr speichern. Die Idee des Richters hinter diesem Urteil ist irgendwie schon klar:

Eine Verneinung des Personenbezuges von dynamischen IP-Adressen [...] hätte zur Folge, dass diese Daten ohne Restriktionen an Dritte z.B. den Access-Provider übermittelt werden könnten, die ihrerseits die Möglichkeit haben, den Nutzer aufgrund der IP-Adresse zu identifizieren, was mit dem Grundgedanken des Datenschutzrechts nicht vereinbar ist. Abgesehen davon wird die Rechtsauffassung der Beklagten insoweit nicht geteilt, als vorgetragen wird, dass eine Bestimmbarkeit der Person nur gegeben sei, wenn der Betroffene mit legalen Mitteln identifiziert werden könne. Zu Recht weist der Kläger darauf hin, dass das Datenschutzrecht gerade vor dem Missbrauch von Daten schützen soll [...]

Also kurz gesagt, solange es irgendwen gibt, der die IP-Adresse einem Menschen zuordnen kann, ist sie personenbezogen. Und wenn der eine auch nur der eigene Provider des Besuchers ist, oder einer seiner Angestellten, der kriminell handelt wenn er den Kundennamen zur IP rausrückt.

Ich bin eher die Meinung von Chris bei F!XMBR, dass der Kläger da weit übers Ziel hinausgeschossen ist und bei konsequenter Umsetzung ganz schön viel Wartbarkeit und Sicherheit der Server den Bach runtergeht. Aber so ein bisschen Recht muss man dem Kläger schon geben.

Ich probiers jetzt jedenfalls mal, einen Server zu betreiben, der in den normalen Logfiles keine IP-Adressen speichert sondern ein paar Minuten nach Gebrauch in eine pseudonymisierte Form umwandelt (in den Datenschutzerklärungen verspreche ich überall "innerhalb einer Stunde", falls ich da doch noch Luft brauche). Ich glaube nämlich wirklich, dass es nicht weiter schlimm ist, die Zugriffe normaler Besucher nicht mit IP-Adressen zu protokollieren. Dank der schon vorher (wenn auch nur 1x täglich) angewendeten Pseudonymisierung bleibt auch noch genug Information erhalten, um Spass an seiner Serverstatistik zu haben.

Das schöne Siegel von "Wir Speichern Nicht" werd ich aber trotzdem nicht bekommen. Dafür geht deren Fragekatalog einfach zu weit. Der Knackpunkt sind die Kommentare hier. Wenn hier jemand kommentiert, wird seine IP-Adresse für fünf Tage gespeichert. Schlimmer noch, mein Spamfilter leitet die IP-Adresse des Kommentators an irgendwelche Schwarzen Listen weiter, deren Ergebnis dann eine Einschätzung der "Spamigkeit" des Kommentars ist. Momentan ist diese Option zwar ausgeschaltet, weil so wenig unerkannter Spam reinkommt, die Mailbenachrichtigung über neue Kommentare enthält ebenfalls keine IP-Adresse mehr, aber grundsätzlich möchte ich diese Möglichkeit noch behalten. Ich glaube damit komme ich nicht durch, die Kriterien beziehen sich eindeutig auch auf das "Absenden oder Veröffentlichen von Nachrichten". Ich hab mal einen Text unter das Kommentarfeld gesetzt. Der liest sich zwar schrecklich, beschreibt aber den ganz normalen Wahnsinn in der vermüllten Welt der Blogs, Foren und Gästebücher.

Auch der Punkt "Es werden keine personenbeziehbaren Logdaten gespeichert (z.B. in Logfiles einschließlich Error, Firewall und IDS logs)". geht mir zu weit. Eine vernünftige Firewall logt nur Verkehr, der ihr verdächtig vorkommt, oder gegen ihre Regeln verstösst. Ich würde Surfverhalten, das sich in Errorlogs und Firewalllogs niederschlägt nicht als bestimmungsgemässe Nutzung meines Servers sehen. Ein IDS (intrusion detection system, so eine Art Bewegungsmelder für verdächtig aussehenden Netzwerkverkehr) habe ich zwar nicht, aber ein IDS ohne IP-Aufzeichnung kommt mir so sinnvoll vor wie eine Überwachungskamera im Tresorraum, die absichtlich die Gesichter verpixelt, um keine Unschuldigen in Verdacht zu bringen.

Zum Glück habe ich keine fremden Banner, Counter und Statistiktools eingebaut und nur in einem, fast nie besuchten, Beitrag hier ein eingebettetes YouTube-Video. Ich hab das eigentlich eher deshalb vermieden, weil ich die Seiten hasse, wo schon fast alles geladen ist, der Browser aber noch auf ein wichtiges kleines Icon eines Counters warten muss. Hätte ich sowas verwendet, müsste ich auch noch für all diese Dienstleister versprechen, dass sie die Daten meiner Besucher sofort löschen. Ob ich von YouTube dazu überhaupt eine Auskunft bekäme?

Ich leite auch die IP-Adressen meiner Besucher ganz ungeniert zur Google weiter, wenn sie sich z.B. über offroad-Touren informieren wollen. Die ganzen Tracks und Landkarten bei dem Pyrenäen-Reisebericht kommen ja von Google-Maps. Das gleiche gilt für die Besucher meines Geo-Counters. Dort speichere ich zwar nicht selbst sondern Google, aber vertrauliche Behandlung von Besucherdaten ist was anderes...

Alle anderen Logs lasse ich übrigens bei ein paar Tagen Speicherfrist. Falls mir mal wieder einer ein paar GB Traffic beschert, will ich ihn im Fehlerlog finden und automatisch aussperren. Dienste mit Anmeldung (ssh, ftp ...) werden ausschliesslich von mir genutzt und ein anderer kommt da kaum ohne böse Absicht (zumindest böse Absicht seines verwurmten Rechners...) drauf. Und wer mir eine Mail schickt, darf ruhig im Log auftauchen, falls der Brief ankommt, sehe ich ja eh den Absender und alle dazwischenliegenden Mailserver.

Heute in der Süddeutschen über den RFID-Chip im Reisepass:

Der wesentliche Unterschied: RFID-Chips sollen die auf ihnen gespeicherten Informationen möglichst weit senden, bis zu zehn Meter. Einsatzgebiet wäre etwa der Supermarkt. [...]
Im Reisepass dagegen wird eine Technik eingesetzt, die die Auslesedistanz auf maximal zehn Zentimeter begrenzt. "Mehr ist nicht drin“, sagt Cord Bartels [vom Chiphersteller NXP]. Das hat ein einfachen Grund. Der Chip im Pass hat keine eigene Stromquelle wie der RFID-Chip auf der Getränkepackung.

Das ist natürlich Unsinn, wie eine schnelle Recherche bei der Metro, die den Chip ja so gerne einführen würden oder zur Not in der Wikipedia gezeigt hätte. Eine Wegwerfbatterie auf jeder Milchtüte und auf jedem Duplo würde ja auch ziemlich teuer werden.

Ich finde so einen Fehler garnicht so tragisch, wenn ich selbst erkennen kann, dass der Autor praktisch keine Ahnung vom Thema hat und auch irgendwie keine Lust auf 15 Minuten Recherche um sein Bild von der Welt zu hinterfragen.

Richtige Sorgen macht mir die Frage, ob das vielleicht überall so ist und mir bei den anderen Themen nur nicht auffällt.

Vielleicht hat ja der Autor von "Birmas Militär rächt sich an seinen Gegnern" auch keinen Plan von der Politik dort und nur durch Zufall kommt nicht raus, dass er in Wirklichkeit die dortigen Mönche für Benediktiner hält.

Ich bin eigentlich gegenüber den "seriöseren" Zeitungen ziemlich vertrauensselig. Aber ich glaube, ich muss umdenken. Es ist einfach irrational, zu glauben, dass in vielen Artikeln, bei denen ich mich auskenne grobe Patzer drin sind und trotzdem den Autoren zu glauben, wenn ich mit der Thematik nicht vertraut bin.

Ich red mir dann immer ein, dass in der SZ echte Politik von echten Journalisten gemacht wird und digitales Zeug vom Praktikanten. Aber einerseits gibts dafür keinen Anhaltspunkt und andererseits tu ich vielleicht den Praktikanten unrecht. Die recherchieren sicher strebsamer als die alten Hasen, weil die wollen ja echte Journalisten werden.

Nachtrag 4.10.: Sie habens korrigiert, ansxcheinend liest bei der SZ jemand auch die Leserbriefe unter den Artikeln:

"Mehr ist nicht drin", sagt Cord Bartels. Er bleibt so lange passiv, bis er in ein Lesegerät eingelegt wird. Der Chip bekommt dann drahtlos Energie zugeführt, wacht auf und sendet seine Daten.

Eigentlich wollte ich ja die Abschiedsrede vom Stoiber nachlesen. Aber irgendwie bin ich beim Bayernkurier gelandet und hab mir dort die Welt erklären lassen. Eine ganz eigene Sicht der Dinge dort, aber irgendwie in ihrer Skurrilität auch wieder lesenswert. Der Rentnerjob vom Stoiber, den ich letzte Woche noch als "Austrag" verspottet hab, wird dort ganz anders gesehen.

Unser Edmund reitet nämlich gen Brüssel um das europäische Volk von einem Ungeheuer zu befreien.

Unterstützt von einem Gremium hochrangiger Experten, wird er es mit einem Monster aufnehmen, das viele für unbezwingbar halten. [...] Was Edmund Stoiber schon in wenigen Wochen anpacken wird, ist kein Himmelsfahrtskommando, wie einige unken, sondern schlicht und einfach eine Herkulesarbeit, die zu bewältigen es nur wenige in Europa gibt.

 

Da sind wir ja froh. Auch wenn wir uns die Methoden, die er dort anwendet besser nicht so genau ansehen wollen. Vermutlich kämpft er dort eher wie James Bond mit allen Mitteln eines Mannes, statt nur die Lanze in den aufgerissenen Schlund der Aktenmappe zu stossen. Sein Innenminister zumindest weiss um die Tricks seines bald ehemaligen Chefs und seine Beziehung zu Aktenmonstern:

Beckstein prägte das Bonmot, dass Stoiber im Bett lieber eine dicke Akte habe als eine dünne Nackte.

Aber auch wenns nicht klappt mit der Herkulesarbeit und den Monstern, selbst wenn er scheitert an der Aufgabe, die nur wenige leisten können. Er hat auch als Künstler sein Auskommen, schliesslich hat er mit seiner Tochter zusammen fürs Hofbräuhaus einen eigenen Bierkrug entworfen.

Er zeigt einen Löwen, der eine Bayern-Fahne in der Tatze hält und sich auf das Hofbräu-Wappen stützt. Umrankt wird der Löwe von bunten Bändern, an denen allerlei Wiesn-Utensilien hängen. Signiert hat den Krug lediglich Stoiber. [Seine Tochter Veronika] Saß sagte, ihr Vater habe ein Herzerl, einen Fußball, Hendl und die Weißwürste gezeichnet. Der Entwurf sei an einem Wochenende auf der Terrasse in Wolfratshausen entstanden.

(Erhältlich im Hofbräuzelt und im Hofbräuhaus für 12,50, mit Zinndeckel 27 Euro)

Achso, die Rede hab ich auch gefunden. War aber nix besonderes. Das übliche halt:

Partei der Mitte, aber nicht Gesichtslos und Rechts davon gibts nichts mehr
Die Linken sind Gegner unserer Verfassungsordnung
Wir müssen die Ehe auch als Selbstzweck schützen unabhängig von der Familie
Europa ist christlich, die Türkei nicht
Moscheen dürfen bei uns nicht grösser werden als unsere Dome und Kathedralen
...

(Bilder aus der Wikipedia, St Georg vom Wikipedia-User "Brosen" und Stoiber von Alexander Hauk)

Bei der Zeit ist inzwischen auch ein Artikel über die Geschichte mit der Hausdurchsuchung bei einem Tor-Betreiber erschienen. Bisher war mit ja nicht klar, ob das ganze ein blödes Versehen aufgrund hastiger Ermittlung angesichts einer akuten Gefahr, echte Unfähigkeit oder eine Verschwörung war.

Ich habs mir ja eher als Flüchtigkeitsfehler gedacht, der halt passiert, wenn die Autobahncops mal in der Hektik und zwischen all den brennenden Autos den falschen verdächtigen:

• 22:00 MESZ: Eine Bombendrohung geht beim Copforum ein


• 22:30 MESZ: Der Moderator sieht das, verständigt sofort seinen Kumpel bei der Internetfahndung.


• 23:00 MESZ: Der Internetfahnder hat den Provider am Telefon, erzählt was von schrecklichem Unheil, das nur durch eine kleine Indiskretion verhindert werden kann, und erhält von der verstörten Nachtwache im Serverrraum die Kundenadresse.


• 23:15 MESZ: Das Mobile Einsatzkommando eilt zur Waffenkammer, rutscht die Feuerwehrstange runter und springt in die schwarzen BMWs mit dem Blaulicht im Seitenspiegel.


• 23:45 MESZ: Das MEK geht in Stellung, beobachtet das Haus, immerhin gehts um einen Amokläufer oder Bombenleger.


• 00:10 MESZ: Der Einsatzleiter flüstert leise aber bestimmt ein heiseres "Zugriff" in sein Kehlkopfmikrophon.


• 07:00 MESZ: Der Einsatzleiter beichtet seinem Chef, dass sie leider letzte Nacht den falschen erwischt haben, aber bei der gebotenen Eile passiert sowas halt.

Die Wirklichkeit sieht aber ganz anders aus, ich sehe offensichtlich die falschen Filme. Obwohl ... eigentlich nicht, es ist doch eher so als würde sich Chief Wiggum an die Schreibmaschine setzen und dann Toto und Harry ins Internet auf Streife trotten.

Für reale Einsätze muss man zunächst die Zeitachse ein wenig dehnen. So ungefähr um den Faktor 72. In Wirklichkeit wars nämlich so:

• Montag: Der Moderator gibt seine Anzeige bei der online-Wache in Kiel auf, weil in seinem Forum jemand einen Amoklauf in einer Arbeitsagentur ankündigt. Die Kieler geben den Fall ab an ihre Kollegen in Osterrönfeld. Die Polizei dort tippt einen Brief an den Provider (*).


• Dienstag bis Freitag: Die Antwort des Providers liegt vor, der Betreiber sitzt in Düsseldorf. Der Fall wird grenzüberschreitend(!) an die Polizei in Düsseldorf weitergereicht.


• Samstag: Am späten Abend erkennen die Beamten die schreckliche Gefahr und veranlassen eine mitternächtliche Hausdurchsuchung.


• Sonntag: Der Einsatzleiter beichtet seinem Chef, dass sie leider letzte Nacht den falschen erwischt haben, aber bei der gebotenen Eile passiert sowas halt.

(*) Das ist der Punkt, der mich stutzig macht... Wie haben die den Code zur IP <--> Provider-Zuordnung geknackt?

Ein derartiges Vorgehen lässt natürlich schon noch viel Raum für Verschwörungstheorien: Finstere Mächte mit Verbindungen nach Ganz Oben wollen einen Menschen einschüchtern, Furcht und Schrecken unter den Tor-Betreibern verbreiten, und scheuen dabei nicht davor zurück, ihre Untergebenen echt dämlich aussehen zu lassen.

Andererseits: Chief Wiggum ist zwar eine Zeichtrickfigur, Toto und Harry sind aber echt. Von daher könnte schon alles so sein, wie die Zeit das bei der Staatsanwaltschaft erfuhr. Oder wie der Betroffene meint "incompetent++".

Robert ist auch für die Inkompetenz-Theorie. Bei dem musste die Polizei ja ab und zu Aufnahmen aus der Überwachungskamera der Tankstelle abholen, weil dort Unfälle in der Tankstelle oder vielleicht ein paar Täter von Straftaten aus der Nachbarschaft drauf waren. Das ging gut, solange man die als Videokassette abholen konnte. Beim Präsidium oder LKA gabs dann sogar Spezialisten, die aus diesen gemultiplexten Einzelbildern aus mehreren Kameras wieder etwas zusammenschneiden konnten für die VHS-Vorführung beim Richter. Als dann allerdings dieses digitale Zeug aufkam und als Transportmedium der Daten eine polizeieigene Platte mit USB-Anschluss, war das System zum Scheitern verurteilt. Lediglich in einer Nachbarstadt gibts einen Polizisten mit einer mobilen Festplatte.

Was mich als schutzbedürftiger Bürger dabei ein bisschen stutzig macht:

• Wird jeder akuten Gefahr so begegnet, dass man erst auf die Briefpost wartet? Immerhin haben sie die Amokdrohung ja so ernst genommen, dass sie deshalb eine Wohnung des Nachts durchsuchen.


• Kann man in 6 Tagen nicht einfach jemanden fragen, der sich auskennt? Damit man wenigstens am Ende der Woche nicht vor der falschen Tür steht.

Dumm nur, dass die Finsteren Mächte mit Verbindungen nach Ganz Oben ihr Ziel trotzdem erreichen. Ganz ohne Verschwörungstheorie reicht einfach auch Inkompetenz, um Furcht und Schrecken zu verbreiten.

Irgendwie fühle ich mich an meine Jugend erinnert. Damals, in den Achtzigern wurde ein Lehrer bei uns noch unter fadenscheinigen Gründen vom Erdkundeunterrricht suspendiert, weil er das Strauß-Zitat von 1966 "Ich würde lieber Ananas in Alaska züchten als Bundeskanzler sein" genüsslich zitierte, als FJS seine Kandidatur zum Kanzleramt 1980 bekannt gab. Ein unbekannter Schüler seiner Klasse rannte daraufhin zu seinen Eltern, die zum Ministerium rannten, das dann die Schulleitung um Aufklärung über den Unterricht des Lehrers bat...

Die Schüler hatten damals alle "Stoppt Strauß"-Buttons (ok, nicht alle, nur die älteren aus der Kollegstufe und natürlich auch nicht die Streber aus der Jungen Union) und wurden von Lehrern angeherrscht, die in der Schule nicht zu tragen. Dafür wurden die dann umso deutlicher vor der Türe der Bildungsanstalt wieder angesteckt.

Im revolutionären München gabs Verweigerer, die deshalb von der Schule verwiesen wurden. Das gab einen kleinen Aufstand und der Direktor musste seinen Stuhl räumen. So kam er zu uns, aufs Land, wo sich Teile der Schüler und Eltern durch Denuntiation des Erdkundelehrers schon bestens für die Aufnahme des Dr. Dr. K. qualifiziert hatten.

Die Schulverweise waren übrigens rechtswidrig, wusste nur noch keiner, das musste dann der bayerische Verfassungsgerichtshof am Beispiel einer Regensburger Schülerin den Kultusbeamten erklären.

Auch heute sind Buttons gefährlich. Vielleicht nicht in den Schulen, aber im Strassenverkehr muss man schon aufpassen. Die im Internet so beliebte Schablone mit dem Konterfei unseres Innenministers regt zwar im Netz kaum jemanden auf, aber der Münchner Verkehrspolizist neigt bei ihrem Anblick zu ungewöhnlichem Pflichteifer. Ein Student jedenfalls, der sich das Bild ausgedruckt hat und seit April damit sein Auto schmückt, wurde jetzt festgenommen wegen des Anfangsverdachts der Beleidigung. Seine Geschichte wird in "Jetzt" erzählt.

Hoffentlich wirft unsere Verkehrspolizei nie einen Blick ins WWW, wo uns dieses Gesicht aus der rechten Ecke jedes zweiten Blogs entgegenblickt. Meistens wird damit übrigens auf die Seite des Arbeitskreis Vorratsdatenspeicherung verwiesen, der

am 22.9. in Berlin die Demonstration

Freiheit statt Angst - Stoppt den Überwachungswahn

veranstaltet.

Ich glaube übrigens dass da nichts weiter passieren wird. Die PR-Berater von Schäuble müssten ziemlich besoffen sein, vor Gericht zu gehen. Da müsste ja geklärt werden, ob der Vergleich Stasi/Innenministerium passt oder zumindest als satirische Überspitzung in Ordnung geht.

(Mehr Schablonen gibts bei Dataloo, dem Schöpfer dieses Kunstwerks)