Dienstag, 17. Juli 2012

Call For Help: IPv6 Datenschutz

Dies ist ein Call For Help: Ich beschäftige mich aus beruflichem Anlaß mit IPv6 und dabei werfen sich mir Datenschutzfragen auf, die mich irgendwann als zukünftiger IPv6 Privatnutzer betreffen werden.

Eins voraus: Ich habe Lutz Donnerhacke gelesen, aber das hat nicht dazu geführt, mich zu beruhigen. Im Gegenteil habe ich jetzt den Eindruck "Es ist eh alles verloren, also mach nen Striptease, dann ist Dein Vorteil, dass Du Dir dessen bewusst bist, dass Du nackt da stehst".

Aber ich habe noch keine Lösung für folgendes Szenario gesehen:

Ich habe also meine statischen IPv6 Adressen. Ich kann aus einer handvoll Millionen Adressen auswählen, die ich zugewiesen bekommen habe, aber mein Adressblock ist mein Adressblock, egal welche IP daraus ich verwende.

Es wird immer jemanden im Netz geben, der meine IP (bzw zumindest meinen IP Block) mit meinem Namen verknüpfen können wird. Egal, ob das jetzt Facebook, Google oder GMX tut, oder ob das ein kleines Forum ist, wo ich mich mit meinem Realnamen anmelde, diese Stellen können die beiden Infos "IP" und "Name" zusammenführen.

Die Schufa zeigt eindrucksvoll, daß die Privatwirtschaft ein großes Bestreben hat, Erkenntnisse zum Durchleuchten von Menschen zusammenzuführen und mit anderen Unternehmen zu teilen. Bei diesem kleinen Datensatz "IP" <-> "Name" muß das ja um so leichter gehen. Stellen wir uns also vor, jemand betreibt eine Datenbank, bei der jedes angeschlossene Unternehmen diesen Datensatz eintragen kann, wenn es die Info zur Verfügung hat. Und nehmen wir an, diese Datenbank kann man genau so einfach abfragen wie eine Whois DB oder einen DNS Server etc.

Wenn ich jetzt also auf einen beliebigen Webserver verbinde, könnte der Betreiber eine automatische Suche in dieser Datenbank machen, und obwohl ich noch nie auf diesem Server war, es keinen Cookie gibt, der mich identifiziert, ich mich nicht einlogge, nur eine Webseite aufrufe, kann der Betreiber sagen, wer ich bin. Wenn ich Glück habe, benutzt er das nur, um mich mit meinem persönlichen Namen anzusprechen.

Was wäre denn aber noch möglich? Ich könnte nirgends ein Pseudonym benutzen, wie "Sleeksorrow". Sobald ich auf ein Blog gehe, und kommentieren will, kann der Betreiber genau sehen, wer hinter diesem Pseudonym steckt. Eine Sockenpuppe? Geht nicht mehr. Anonym ein Forum über psychische Störungen lesen? Nope.

Oh, die Musikindustrie wird sich freuen: Wenn sie eine Bittorrent Verbindung zu Dir aufbaut und sieht, daß Du ein lizenzpflichtiges Musikstück anbietest, dann hat sie 0,2 Sekunden später Deinen Realnamen. Das entlastet die Gerichte sehr, die Abmahnung mit Kostennote kann automatisiert sofort an Dich rausgehen. Riesen Vorteil. Not.

Mir ist also klar, über welche anderen Methoden Tracking sonst noch funktionieren kann, jedoch kann ich die bisher alle umgehen. Ich kann Cookies löschen oder gleich im Vorfeld ablehnen, auch im Flash oder HTML5 Speicher, ich kann mein ganzes Browser Profil löschen, ich kann den Privacy/Inkognito Mode meines Browsers aktivieren, und so weiter. Ja, das ist anstrengend, die meisten tun es nicht, aber immerhin, es ist möglich. Mit der jetzigen dynamischen IPv4 Adresse schützt mich das vor der Identifizierung durch den Serverbetreiber, und es ist mir schnurz piep egal, ob das nun bei der Einführung dynamischer IPs so geplant war, oder ein ungeplanter Nebeneffekt ist. Wer wissen will, wer ich bin, muß einige sehr krasse Klimmzüge auf sich nehmen, wie eine Anzeige und darauf folgende Akteneinsicht. Mit der IPv6 Adresse jedoch ist es meines bisherigen Wissens nach nicht möglich, das oben beschriebene Szenario zu verhindern, denn allein die IP reicht dem Gegenüber aus, mich zu identifzieren. Die Privacy Extentions shuffeln - soweit ich das verstanden habe - fröhlich den hinteren Teil der Adresse spazieren, aber der Block, aus dem die neue Adresse stammt, ist weiterhin auf mich zugewiesen.

Jetzt gibt es den Gedanken, daß der Provider auch den Adresspräfix bei jeder Einwahl verändert. Das würde wohl das Problem beheben. Aber das ist ja das, was die sogenannte "Spackeria" ablehnt. Also ist meine Frage an diese Meinungsverfechter nun:

Kann mir jemand von Euch verständlich erklären, wie ohne ein Prefix-Shuffle das o.g. Szenario verhindert werden kann? Wenn das jemand schon verbloggt hat, bin ich auch über einen wortlosen Link sehr erfreut.

Herzlichen Dank.

Kommentare:

tante hat gesagt…

Also.
Du hast Sorgen, dass man Dich zuordnen kann, weil Deine Adressblöcke Eindeutig sind, deshalb willst Du "dynamische Vergabe", weil dann nur noch Dein Provider die Zuordnung zu Dir herstellen kann.

Wie Lutz Donnerhacke ja schon dargestellt hat, ging es bei dynamischen IPs nie um Privacy oder Anonymität. Und heute ist es immer noch so, dass Dein Provider nur zu gerne Deine Kontaktdaten rausgibt (vgl. Serienabmahnungen). Deine dynamische IP bringt Dir also für Deine Anonymität nichts bis kaum was (weder bei IPv4 noch bei IPv6), beschränkt aber Deine Möglichkeiten ganz massiv (keine statischen IPs bedeuten, dass das Anbieten von Diensten für Dich schwerer wird, zum Beispiel auch das Hosten "Deiner eigenen" Daten).

Du sitzt demselben Irrglaube auf, den auch die Abmahnindustrie verwendet: Dass IPs Nutzer zugeordnet sind. IPs sind Geräteadressen. Wer Dich wirklich tracken will (aus welchen Gründen auch immer) verläßt sich eh nicht auf die IP Adresse, weil über Proxys, Tor usw. damit zu einfach rumgetrickst werden kann. Getrackt wirst Du über "Undeletable Cookies" (http://ashkansoltani.org/docs/respawn_redux.html) oder einfach über die Daten, die Dein Browser versendet (https://panopticlick.eff.org/), eben weil die Anbieter Nutzer und nicht Geräte tracken wollen.

Du legst Dir für die nutzlose Illusion von Anonymität eine ganze Menge Fesseln an durch die dynamische IP Vergabe. Das halte ich für die denkbar schlechteste Alternative. Wenn man denn an sowas wie Privacy glaubt, dann will man Menschen es einfacher machen, ihre Daten selber zu hosten (vgl. Freedombox), genau das wird durch dynamische IP Vergabe torpediert.

Sleeksorrow hat gesagt…

Hi Tante! Vielen Dank für Deine ausführliche Antwort. Das heißt, wenn ich jetzt bei Deinem Provider anrufe, ihm Deine IP und den Zeitstempel nenne, sagt der mir umgehend, wer sich hinter "Tante" verbirgt? Ich glaube eher, der lacht mich dann aus. Soweit ich weiß, muss es mindestens eine Anzeige gegen Unbekannt geben, damit die Behörden die Anfrage an Deinen Provider stellen, und dann muss ich Akteneinsicht beantragen, um zu dem Ergebnis zu kommen. Das ist sicher nicht sehr wünschenswert, denn die Hürde ist für Großkonzerne lange nicht hoch genug, wie man sehen kann, aber für Dich und mich ist es eine Hürde. Das ist um Welten besser, als wenn es in meinem Webserver Interface den "Wer ist eigentlich Tante?" Button gäbe.

Daß die Abmahnindustrie mit IPv6 dann sagt "Hey, alles klar, wir wissen zwar jetzt innerhalb Sekunden, wer der Anschlussinhaber ist, aber wir können ja gar nicht beweisen, daß der auch das Vergehen begangen hat, also lassen wir es", bezweifle ich sehr stark. Wäre dem so, würden sie das jetzt auch schon so sagen. Tun sie aber nicht.Deine Argumentation basiert eher auf dem Standpunkt: "Ja, Du hast Recht, aber es ist ja jetzt bereits ziemlich scheiße, also wenn wir was Neues machen, dann kann es auch noch viel beschissener sein als jetzt, macht auch schon nichts mehr. Dafür kriegen wir Bells, Whistles und Whipped Cream, nach Wunsch sogar mit Cherry On Top". Das ist eine fatalistische Weltanschauung, die ich nicht teile, denn mit dieser wäre ich nicht politisch aktiv. Ich versuche, das Neue besser zu machen, als das Alte. Und das ist nicht nur auf Features beschränkt.

Was ich suche, ist ein Weg, das beschriebene Szenario zu verhindern, und nicht tolle Gimmicks, die mir dieses Szenario schmackhaft machen.

tante hat gesagt…

(Wir einigen uns also darauf, dass es Dir um Anonymität geht, denn weshalb statische IPs für Privacy besser wären habe ich illustriert).

Du willst Anonymität im Netz und glaubst das über dynamische IPs sicherstellen zu können. Das zerfällt bei allen Anbietern, die ein Login erfordern (weil sie ja das Login über IPs hinweg tracken) und allen Anbietern, die Dir Cookies setzen. Es zerfällt wannimmer ein Anbieter mehrere aufeinanderfolgende Aktionen von Dir aufnehmen kann (weil man über sowas sehr schnell recht genaue Nutzerklassen und Übereinstimmungen herausfindet) und es zerfällt, sobald Du Inhalte an den Anbieter übermittelst (Textanalyse).

Das Problem ist - losgelöst davon, ob man Anonymität will oder nicht - dass Du Dich auf die IP als Geräteadresse konzentrierst und die irgendwie ein bisschen verschleiern willst, anstatt Dich mit den Technologien, die Dich als Person verfolgbar machen, zu beschäftigen.

Anonymous hat gesagt…

Ein Blog, bei dem Ghostery 6x klingelt (Disqus, Adsense, Analytics, Piwik, Topsy und Twitter Badge) diskutiert über Privacy-Bedenken bei V6?

Äh.
Ja.

Sleeksorrow hat gesagt…

> Du willst Anonymität im Netz und glaubst das über dynamische IPs sicherstellen zu können.

Nein. Ich kann die Anonymität durch dynamische IPs nicht sicherstellen, aber ich kann die Hürde hoch genug legen, daß es nur bei halbwegs glaubwürdig vorgetragenen Gesetzesverstößen aufgehoben werden kann, anstatt von jedermann nach Lust und Laune. Und ich habe die Entscheidungsgewalt, ob ich einem Anbieter meine Identität durch einen Login offen lege, oder nicht.

> [...] anstatt Dich mit den Technologien, die Dich als Person verfolgbar machen, zu beschäftigen.

Ich beschäftige mich mit den Technologien. Nur die Tatsache, daß noch andere existieren, ist für mich noch kein Argument, daß man noch eine Technologie oben drauf setzen kann, ohne, daß es was ausmacht.

Vor allem, wenn die neue Techologie alles andere in den Schatten stellt, und es dann - im Gegensatz zu jetzt - jedem kleinsten Serverbetreiber ermöglicht, mich zu identifizieren.

Sleeksorrow hat gesagt…

> Du willst Anonymität im Netz und glaubst das über dynamische IPs sicherstellen zu können.

Nein. Ich kann die Anonymität durch dynamische IPs nicht sicherstellen, aber ich kann die Hürde hoch genug legen, daß es nur bei halbwegs glaubwürdig vorgetragenen Gesetzesverstößen aufgehoben werden kann, anstatt von jedermann nach Lust und Laune. Und ich habe die Entscheidungsgewalt, ob ich einem Anbieter meine Identität durch einen Login offen lege, oder nicht.

> [...] anstatt Dich mit den Technologien, die Dich als Person verfolgbar machen, zu beschäftigen.

Ich beschäftige mich mit den Technologien. Nur die Tatsache, daß noch andere existieren, ist für mich noch kein Argument, daß man noch eine Technologie oben drauf setzen kann, ohne, daß es was ausmacht.

Vor allem, wenn die neue Technologie alles andere in den Schatten stellt, und es dann - im Gegensatz zu jetzt - jedem kleinsten Serverbetreiber ermöglicht, mich zu identifizieren.

Sleeksorrow hat gesagt…

Na sicher, gerade deswegen.

tante hat gesagt…

Du wirfst hier Dinge durcheinander.

Wenn wir IPv6 haben, kann ein Anbieter potentiell sehen, dass bestimmte Accounts zu einem Adressbereich gehören. Wem dieser Adressbereich gehört weiß er nicht. Klar, Du kannst nicht beliebig Sockenpuppen hochziehen, aber solange Du Deine Adressdaten nicht mit Deinem Adressblock verbunden hast, kann der Anbieter Dir nicht automagisch Hundekot vor die Haustür schicken. An IPv6 hängt nicht plötzlich Deine postalische Adresse.

Du willst undetektierbare Sockenpuppen bauen können. Da wirst Du halt immer auf Tor/Proxies, ne Menge Browserheaderfuzzing und ein massives Talent für Sprachanalyse zurückgreifen müssen. IPvX tut da gar nix zur Sache.

tante hat gesagt…

 Nein, hättest Du nicht. Du könntest nur u.U. sehen, dass aus dem Adressbereich schonmal jemand mit dem Usernamen "Hotzenplotz" hier kommentiert hat.

Sleeksorrow hat gesagt…

> Wem dieser Adressbereich gehört weiß er nicht.

Siehe mein Szenario in Artikel. In diesem mMn sehr plausiblen Szenario weiß er es. Und jeder andere auch.

Sleeksorrow hat gesagt…

Tut mir leid, anscheinend ist mein Szenario oben zu verwirrend geschrieben. In diesem baut die Privatwirtschaft eine öffentliche DB auf, mit deren Hilfe die Zuordnung zum Echtnamen möglich ist. Wenn nur eine Firma diese Zuordnung machen kann (Facebook Konto mit Realnamen), dann kann die DB damit gefüttert werden. Dann kann ich die DB abfragen (ob gegen Geld oder nicht, ist dabei erstmal zweitrangig) und erfahre den Realnamen.

Sleeksorrow hat gesagt…

Der Einwand von Anonymous (und auf Twitter von Reizzentrum) ist nichtsdestotrotz natürlich völlig valide. Ich nutze hier einige Dienste, die die Privatsphäre meiner Leser gefährden, und das tut mir ehrlich leid.

Während ich auf Twitter/Topsy noch ganz gut verzichten könnte, ist ein Verzicht auf Disqus mit großen Funktionalitätseinschnitten verbunden. Die eingebaute Kommentarfunktion von Blogger ist gelinde gesagt scheußlich, und ob es besser ist, wenn der Kommentar bei Google landet anstatt bei Disqus ist sicher fragwürdig.

Und Google Analytics und Adsense ist bei Blogger fest eingebaut (wenn ich mich nicht irre), und ich kann es hier nicht los werden.

Die einzige Möglichkeit, mein Blog so zu betreiben, wie es meinen Ansprüchen genügen würde, wäre, es selbst zu hosten. Leider fehlen mir die Mittel, das zu tun, sowohl finanziell, als auch zeitmäßig (Sicherheitsupdates, etc).

Ich bin mir daher der Ironie sehr bewußt, daß mein Blog hier genau in dem Bereich Defizite hat, den ich mit meiner Frage hier bearbeite. Auch wenn es mir in diesem Artikel um einen anderen Aspekt des Datenschutzes geht, macht es das nicht besser.

Kommentar veröffentlichen