Dies ist ein Call For Help: Ich beschäftige mich aus beruflichem Anlaß mit IPv6 und dabei werfen sich mir Datenschutzfragen auf, die mich irgendwann als zukünftiger IPv6 Privatnutzer betreffen werden.
Eins voraus: Ich habe Lutz Donnerhacke gelesen, aber das hat nicht dazu geführt, mich zu beruhigen. Im Gegenteil habe ich jetzt den Eindruck "Es ist eh alles verloren, also mach nen Striptease, dann ist Dein Vorteil, dass Du Dir dessen bewusst bist, dass Du nackt da stehst".
Aber ich habe noch keine Lösung für folgendes Szenario gesehen:
Ich habe also meine statischen IPv6 Adressen. Ich kann aus einer handvoll Millionen Adressen auswählen, die ich zugewiesen bekommen habe, aber mein Adressblock ist mein Adressblock, egal welche IP daraus ich verwende.
Es wird immer jemanden im Netz geben, der meine IP (bzw zumindest meinen IP Block) mit meinem Namen verknüpfen können wird. Egal, ob das jetzt Facebook, Google oder GMX tut, oder ob das ein kleines Forum ist, wo ich mich mit meinem Realnamen anmelde, diese Stellen können die beiden Infos "IP" und "Name" zusammenführen.
Die Schufa zeigt eindrucksvoll, daß die Privatwirtschaft ein großes Bestreben hat, Erkenntnisse zum Durchleuchten von Menschen zusammenzuführen und mit anderen Unternehmen zu teilen. Bei diesem kleinen Datensatz "IP" <-> "Name" muß das ja um so leichter gehen. Stellen wir uns also vor, jemand betreibt eine Datenbank, bei der jedes angeschlossene Unternehmen diesen Datensatz eintragen kann, wenn es die Info zur Verfügung hat. Und nehmen wir an, diese Datenbank kann man genau so einfach abfragen wie eine Whois DB oder einen DNS Server etc.
Wenn ich jetzt also auf einen beliebigen Webserver verbinde, könnte der Betreiber eine automatische Suche in dieser Datenbank machen, und obwohl ich noch nie auf diesem Server war, es keinen Cookie gibt, der mich identifiziert, ich mich nicht einlogge, nur eine Webseite aufrufe, kann der Betreiber sagen, wer ich bin. Wenn ich Glück habe, benutzt er das nur, um mich mit meinem persönlichen Namen anzusprechen.
Was wäre denn aber noch möglich? Ich könnte nirgends ein Pseudonym benutzen, wie "Sleeksorrow". Sobald ich auf ein Blog gehe, und kommentieren will, kann der Betreiber genau sehen, wer hinter diesem Pseudonym steckt. Eine Sockenpuppe? Geht nicht mehr. Anonym ein Forum über psychische Störungen lesen? Nope.
Oh, die Musikindustrie wird sich freuen: Wenn sie eine Bittorrent Verbindung zu Dir aufbaut und sieht, daß Du ein lizenzpflichtiges Musikstück anbietest, dann hat sie 0,2 Sekunden später Deinen Realnamen. Das entlastet die Gerichte sehr, die Abmahnung mit Kostennote kann automatisiert sofort an Dich rausgehen. Riesen Vorteil. Not.
Mir ist also klar, über welche anderen Methoden Tracking sonst noch funktionieren kann, jedoch kann ich die bisher alle umgehen. Ich kann Cookies löschen oder gleich im Vorfeld ablehnen, auch im Flash oder HTML5 Speicher, ich kann mein ganzes Browser Profil löschen, ich kann den Privacy/Inkognito Mode meines Browsers aktivieren, und so weiter. Ja, das ist anstrengend, die meisten tun es nicht, aber immerhin, es ist möglich. Mit der jetzigen dynamischen IPv4 Adresse schützt mich das vor der Identifizierung durch den Serverbetreiber, und es ist mir schnurz piep egal, ob das nun bei der Einführung dynamischer IPs so geplant war, oder ein ungeplanter Nebeneffekt ist. Wer wissen will, wer ich bin, muß einige sehr krasse Klimmzüge auf sich nehmen, wie eine Anzeige und darauf folgende Akteneinsicht. Mit der IPv6 Adresse jedoch ist es meines bisherigen Wissens nach nicht möglich, das oben beschriebene Szenario zu verhindern, denn allein die IP reicht dem Gegenüber aus, mich zu identifzieren. Die Privacy Extentions shuffeln - soweit ich das verstanden habe - fröhlich den hinteren Teil der Adresse spazieren, aber der Block, aus dem die neue Adresse stammt, ist weiterhin auf mich zugewiesen.
Jetzt gibt es den Gedanken, daß der Provider auch den Adresspräfix bei jeder Einwahl verändert. Das würde wohl das Problem beheben. Aber das ist ja das, was die sogenannte "Spackeria" ablehnt. Also ist meine Frage an diese Meinungsverfechter nun:
Kann mir jemand von Euch verständlich erklären, wie ohne ein Prefix-Shuffle das o.g. Szenario verhindert werden kann? Wenn das jemand schon verbloggt hat, bin ich auch über einen wortlosen Link sehr erfreut.
Herzlichen Dank.
