SEARCH

Wichtiger Hinweis für Nutzer und Interessenten von http-analyze in Deutschland

Im Hinblick auf die in Deutschland seit 1.1.2009 geltende Vorratsdatenspeicherung haben eifrige Juristen Verfahren angestrengt, in denen die Speicherung von IP-Nummern der Besucher eines Web-Angebots aufgrund der Klassifizierung dieser IP-Nummern als personenbezogenes Datum verboten wurde. Nun sind für einen gesunden Menschenverstand IP-Nummern ebenso "personenbezogen" wie beispielsweise Kraftfahrzeug-Kennzeichen, denn ohne eine Zuordnungsmöglichkeit der Nummern zu einer Person können keinesfalls personenbezogene Daten aus IP-Nummern gewonnen werden. Nichtsdestotrotz hat sich die Rechtsprechung darauf geeinigt, IP-Nummern als ebensolche personenbezogene Daten zu bewerten und die Speicherung zu verbieten. Bei Zuwiderhandlung drohen Geldbußen von bis zu 50.000 Euro.

Nun sprechen wir uns strikt gegen die Vorratsdatenspeicherung und auch gegen Missbrauch dieser Daten durch Staatsorgane aus, aber wir sind auch gegen ein wenig zielführendes "Herumdoktern" an Symptomen sowie insbesondere und ausdrücklich gegen die Generalamnestie, die so manches Gericht bei Staatsbediensteten hat walten lassen, wenn letztere einmal Gesetze übertraten oder diese zu unsachgemässen Zwecken missbrauchten. Man kann hirnrissige Vorschriften nicht dadurch abschaffen, indem man andere hirnrissige Maßnahmen durchsetzt. Zudem sind die Behörden bei einer berechtigten, richter­lich angeordneten Tele­kommuni­kations­über­wachung auf Logfiles eines Servers überhaupt nicht angewiesen. Da gibt es ganz andere Mittel und Wege, um an bestimmte Daten zu kommen (und damit sind nicht die Daten aus der Vorrats­daten­speicherung gemeint).

Von Technik wenig Ahnung

Bei http-analyze sind jedoch unverkürzte IP-Nummern wesentliche Grundlage für die Erstellung einer Statistik, um so den Provider zu bestimmen, über den ein Nutzer auf die Web-Angebote eines Betreibers zugreift. Entgegen den Behauptungen der mit Grundwissen zu technischen Zusammenhängen nicht gerade gesegneten Juristen kann mit verkürzten IP-Nummern nicht zuverlässig auf einen Provider geschlossen werden. Anhand Verfahren wie NAT mappen wir selbst mehrere hundert Benutzer auf gut ein Dutzend offizielle IP-Nummern, die jedoch bei Verkürzung auf ein 16er-Subnetz — wie es von Juristen gefordert wird — einen anderen Provider identifizieren: im besten Fall den Uplink-Provider, den ein kleiner Provider für die Erbringung seiner Dienstleistungen benutzt. Insofern ist mit dem Verbot der Speicherung von IP-Nummern der Statistik von http-analyze die funktionelle Grundlage entzogen.

In diesem Zusammenhang legen wir allergrößten Wert auf die Feststellung, dass mit http-analyze noch nie Nutzerprofile erstellt werden konnten und auch zukünftig nicht erstellt werden. Anwender von http-analyze sind folglich nicht an Nutzerprofilen interessiert, da sich unsere Software hierzu nicht eignet. Vielmehr geht es Anwender von http-analyze darum, festzustellen, wie ihr Server ausgelastet ist und aus welchen Netzen diese Auslastung herrührt — also ob es beispielsweise zu Engpässen aufgrund der Popularität eines Web-Angebots kommt und ob folglich der Ausbau der eigenen Infrastruktur oder ein verbessertes Routing in bestimmte Providernetze geboten ist.

Von DDoS-Abwehr noch weniger Ahnung

Von den Befürwortern des Verbots der Aufzeichnung von IP-Nummern wird auch immer wieder gerne behauptet, eine Aufzeichnung der IP-Nummern zur Abwehr von DDoS-Attacken sei nicht nötig. Aktuell (Januar 2010) überflutet uns gerade wieder eine (simple) DoS-Attacke aus dem Netz einer Schweizer Bank. Festgestellt werden konnte das nur durch die von dieser Bank verwendeten IP-Nummern ihres Providers. Zur Abwehr der DoS-Attacke bedienen wir uns des Blacklistings des betreffenden Netzes. Nicht jeder kleine Anbieter verfügt über finanzielle Mittel, um high-sophisticated Equipment anzuschaffen, das DoS-Attacken am Muster des Zugriffs erkennt und ausfiltert — ganz davon abgesehen, dass auch diese Geräte IP-Nummern intern aufzeichnen und blacklisten. Wir sind hier aber auf alte, bewährte "Hausmittel" angewiesen, zumal unsere Web-Angebote im Sinne einer für die Allgemeinheit nutzbringenden Leistung zum überwiegenden Teil kostenlos sind. Daher mussten wir das Logging auch vorübergehend wieder einschalten, um den Übeltäter zu lokalisieren und unsere Infrastruktur zu schützen. Nur unter diesen Voraussetzungen ist überhaupt ein vorübergehendes Logging erlaubt. Wer natürlich seine Web-Site bei einem der großen Provider hostet, braucht sich um solche "Kinkerlitzchen" wie DoS-Attacken nicht kümmern — es ist ja nicht seine Bandbreite, die da missbraucht wird, nicht seine Arbeitszeit, die draufgeht und nicht sein Geld, das da verschleudert wird.

"Einwahl" war einmal — vor gefühlten 20 Jahren

Auch das von Juristen Mantra-artig vorgetragene Argument, Nutzer hätten ohnehin mit jedem "Einwahlversuch" (wählen Sie eigentlich noch oder surfen Sie schon?) eine neue IP-Nummer, ist in Zeiten von DSL-Flatrates vollkommener Bullshit. Eine IP-Nummer wird von mehreren hundert bis tausend Personen über einen bestimmten Zeitraum (oft 24 Stunden) simultan genutzt. Abgesehen davon werden IP-Nummern von http-analyze ausschließlich dazu verwendet, die (anonymisierte) Top-Level-Domain des Providers — also die Domain verkürzt um den tatsächlichen Rechnernamen — zu ermitteln und darzustellen. Mit IP-Nummern, bei denen die Subnetz-Teile fehlen, ist dies jedoch nicht zuverlässig möglich. Nicht jeder Provider verfügt über ein /16-IP-Block; gerade kleinere Provider bekommen nur ein Bruchteil der verfügbaren IP-Ranges des Uplink-Providers zugeteilt.

Wenn es um Nutzerprofile und Surfverhalten sowie der Vorbeugung gegen selbiges geht, spielen weiterhin IP-Nummern überhaupt keine Rolle. Dazu benutzen die entsprechenden Schnüffelprogramme ganz andere Techniken wie Cookies oder Markierungen in URLs. IP-Nummern werden aber beispielsweise benötigt, um bei Authentifizierungen einem Idendity Theft durch unberechtigtes Auslesen von Cookies durch Dritte wirksam vorzubeugen. Aber das baucht man einem Fachmann nun nicht weiter zu erklären und bei Juristen haben wir ohnehin jede Hoffnung aufgegeben.

Über die technische Qualität und HPC-Tauglichkeit der von einigen Spaßvögeln vorgeschlagenen Logfilter- und CGI-Skripte (sic!) — auch noch in perl (ach Du liebe Zeit!) — zur Verkürzung von IP-Nummern beim Logging und Einbindung externer Inhalte von bösen ausländischen Sites, die immer noch IPs loggen, lassen wir uns an dieser Stelle mal besser nicht weiter aus. Nur so viel: Um einen Web-Server effizient auszubremsen, könnte man auch einfach das Interface auf 10 Mbit/s halb-duplex einstellen. Oder wieder die Modems rauskramen — dann klappt's auch mit der Einwahl!1

1Für den Fall, dass uns jemand darauf hinweisen will, dass "Einwahl" nur ein Terminus technicus ist: Wissen wir. "Spaßvogel" übrigens auch.

Schuss in's eigene Knie

Aufgrund des Verbots der Speicherung von IP-Nummern wechselten zahlreiche Anwender von http-analyze zu Angeboten ausländischer Betreiber von Statistik-Diensten. Dadurch, dass diese Anbieter sich nun einiger technischer Tricks bedienen, um lückenlose Nutzer- und Bewegungsprofile anzufertigen, ist der gesamte Vorgang des Verbots der Speicherung von IP-Nummern für Dienstanbieter in Deutschland in letzter Konsequenz ein gezielter Schuss in's eigene Knie. Von der Tatsache, dass IP-Verkehrsdaten (und natürlich auch Nutzerprofile) nun zunehmend in der bekanntermaßen datensammelwütigen USA erhoben und gespeichert werden, einmal ganz abgesehen.

Sehr witzig in dem Zusammenhang ist die Tatsache, dass mindestens fünf der ein "Wir speichern nicht"-Siegel-Berechtigten Google Analytics nutzen, eine andere solche Site immerhin abspeichert, woher ein Besucher kommt (Referrer-URL) und in einem Fall ein Tracker-Hersteller mit der "Live-Besucherverfolgung" sowie Ermittlung von "Klickpfaden" wirbt, was sogleich auch eine andere der "speicherfreien" Sites freudig nutzt (Stand: 24.01.2010). Aber Hauptsache man hat irgendein "Qualitätssiegel". *facepalm*

Weiterhin ist es das typisch deutsche "Herumdoktern an Symptomen", sich via Verbot der Speicherung von IP-Nummern bei Diensten gegen mutmaßlich verfassungswidrige Gesetze wie dem über die Pflicht zur Vorratsdatenspeicherung wehren zu wollen. Das wäre das selbe, wie etwa KFZ-Kennzeichen zu verbieten, um damit dem ebenfalls verfassungswidrigem KFZ-Nummern-Scan in Hessen, Baden-Württemberg und Bayern zu entgehen. Warum eigentlich nicht gleich das Autofahren in diesen Bundesländern insgesamt verbieten?

Konsequenzen für Nutzer von http-analyze in Deutschland

Die Juristen, die das Verbot der Aufzeichnung von IP-Nummern durchsetzten, fordern die Hersteller von Statistikprogrammen dazu auf, ihre Software entsprechend anzupassen, so dass keine IP-Nummern mehr ausgewertet werden. Wir antworten: No way!

Wie oben ausgeführt ist für http-analyze die Analyse von aus IP-Nummern ermittelten Domainnamen unabdingbare Grundlage zur Erstellung des Teils der Statistik, der Auskunft über die von Benutzern verwendeten Provider gibt. Dabei wird der Domainname verkürzt, so dass noch nicht einmal der ausliefernde Proxy-Rechner ermittelbar ist, den hunderte oder tausende Kunden eines Providers nutzen. Und dieser von zahlreichen Leuten gleichzeitig genutzte Domainname eines NAT-Proxies soll nun deswegen ein personenbezogenes Datum sein, um so durch das Verbot der Aufzeichnung die mutmaßlich verfassungswidrige Vorratsdatenspeicherung auszuhebeln? Vollkommen gaga, zumal nach einem möglichen Kippen der Vorratsdatenspeicherung durch das BVerfG diese unsinnige Vorschrift des Verbots der Speicherung von IP-Nummern voraussichtlich auch weiterhin bestehen bleiben wird.

Damit keine Missverständnisse entstehen: Die Live-Statistik unserer Server haben wir abgeschaltet. Aber unsere Software ändern wir nicht. Nicht wegen irgendwelcher Reglementierungsfanatiker. Keine Chance. Deutschland ist nun wirklich nicht der Nabel der Netzwelt, sondern dank unzähliger Rechts­vor­schriften eher auf der anderen Seite in Höhe des "verlängerten Rückens" zu lokalisieren.

Wir haben aber noch eine andere Idee, wie wir unser Angebot gesetzeskonform gestalten können nach den neuen Vorschriften und wir orientieren uns da einfach mal am typisch deutschen Wesen, die Dinge, die man nicht gutheisst, über allerlei Umwege totzureglementieren:

Wir verbieten hiermit die Nutzung von http-analyze in Deutschland. Sollten Diensteanbieter trotz dieses Verbots unsere Software benutzen, geschieht das auf eigenes Risiko und unter Ausschluss einer eventuellen Mitstörerhaftung von RENT-A-GURU® (wer weiss schon, auf welche Ideen die Juristen noch so kommen).

Das Verbot der Nutzung von http-analyze und der Verzicht auf bezahlten Support hat ganz nebenbei auch noch den netten Effekt, dass dem deutschen Fiskus früher gern eingenommene Steuern aus kostenpflichtigen Supportleistungen entgeht, aus denen auch — wenn auch nur zu einem sehr geringen Teil — die Gehälter der Verwaltungsmonarchen in Deutschland bezahlt werden, die auf solche Ideen wie dem Verbot der Aufzeichnung von IP-Nummern kommen. Das Internet ist nicht auf Deutschland und unser Business nicht auf http-analyze oder auf die Erbringung von anderen Diensten im Technik-Entwicklungsland Deutschland beschränkt, das sich selbst immer weiter an das Ende in der Liste der fortschrittlichsten Länder in Sachen Internet manövriert.

Copyright © 1996-2010 by RENT-A-GURU®