Vorratsdatenspeicherung - Worüber reden wir da überhaupt

Klaus Peukert » 14 Dezember 2011 » in Politisches » 3 Kommentare

Ein Versuch der Rationalisierung

Vorratsdatenspeicherung. VDS. Böse Geschichte. Keiner will sie, aber die parlamentarischen Zwänge, wisster Bescheid. Ich versuch mich hier mal an einer rationalen Zusammenfassung dessen, worüber wir eigentlich reden, wenn wir rufen "Keine VDS" oder uns zugerufen wird "Aber die EU schreibt das vor" und versuch auch das mit der Neutralität, lasse also möglichst jede Wertung, wie ich persönlich was finde, außen vor.

Disclaimer: Ich garantiere nicht für die juristisch einwandfreie Verwendung von Begriffen, versucht das also bitte mit den Augen eines normalen Menschen zu sehen, wer ne Ungenauigkeit findet, darf sich ein Eis kaufen. Außerdem kratz ich eher an der Oberfläche und versuch nur alles zu streifen, damit klar wird, das wie bei "BGE" hinter den drei Buchstaben "VDS" alles mögliche stecken kann und es notwendig ist, jeweils über die konkrete Implementierung zu reden, statt zu schreien "Das ist VDS, das muss schlimm sein".

Also meine lieben Leser. Stelln wir uns mal janz dumm. Watt is'n Dampfmaschin^WVorratsdatenspeicherung?

Welche Übertragungsformen/Medien betrifft das eigentlich?

Vereinfacht gesagt: "Telefon und Internet". Wir haben da den Mobilfunk also GSM, GPRS, HSUPA, UMTS und wie das alles heißt, Festnetztelefonie, diese abgehangenen Techniken wie ISDN, analoges Telefon (gibts sowas im Backend eigentlich noch?) und Internet, also so grob alles was mit einem TCP/IP-Paket transportiert wird. Überschneidungen (Voice über Internet über UMTS) existieren, ebenso Sonderfälle wie Skype. Für Briefe gibts das Postgeheimnis, da traut sich noch keiner ran. Im Rahmen der VDS geht es seltener darum live mitzuerleben (das ist dann "Quellen-TKÜ", Telefonüberwachung. Lauschangriff usw., noch ne andere böse Geschichte) was über diese Medien geht, sondern eher später nachzulesen, was es so war oder wer mit wem. Daten, Vorrat, Speicherung, ihr erkennt das Muster.

Und von welchen Daten reden wir?

Da gibts einmal die Bestandsdaten, wie halt Kundennummern und Adreßdatensätze, wie sie bei Telefon- und Internetanbietern eben fürn Vertrag gespeichert sind. Rechnungen, Auftragsbestätigungen, Lieferscheine, sowas. Dann gibts "Verkehrsdaten", also im Grunde alles das was unter "Wer, wann, mit wem, wie lange" fällt, gilt für Telefon und E-Mail gleichermaßen. Bei Mobilfunk, Internet per Smartphone usw. kann man das dann noch mit Standortinformationen garnieren, also neben "wer mit wem" auch noch "wo". Und dann noch so Dinge wie "virtuelle Autokennzeichen", also wer hat wann welche IP-Adresse gehabt, wo man bei der Vergabestelle (welche es da gibt: weiter unten) zwar weiß wem die Nummer gehört, aber nicht wo er "langgefahren" ist.

Und wieviel ist das so? Welche Daten sind das genau?

Müssen wir wieder unterscheiden. Beim Handy sind es so Dinge wie Anruflisten, Gesprächsdauer, Standort des Handys usw. Beim Festnetz ähnlich, nur das der Standort da eher statisch ist (Kontinentaldrift kann hier wohl vernachlässigt werden). Also all das, was man im Telefon heutzutage selbst so wiederfindet, aber eben beim Provider gespeichert. Und halt von allen. Bei Internet unterscheidet es sich dann auch in Provider (ISP, sowas wie T-Com) und Diensteanbieter (Facebook wird als Beispiel da gern genommen). Beim Provider haben wir neben den schon erwähnten Vertragsdaten in der Regel noch die statische oder (verbreiteter) dynamische Zuordnung der IP-Adressen zu Anschlüssen (und über die Kundendaten zu deren Inhabern).

Was wir an der Stelle noch nicht haben sind "Surfprotokolle", aus den Listen "Wer hatte wann welche IP" sieht man also nicht, wer mit welcher IP wo im Netz rumgesurft ist. Diese "Protokolle" findet man dann (jeweils separat) bei den einzelnen Diensteanbietern: Amazon, Facebook, dem Angelfreundeforum usw. Dort steht dann so ziemlich all das, was man dem Diensteanbieter so in den Rachen gekippt hat. Theoretisch kann man so ein Angelforum-Logfile mit dem ISP-Logfile verheiraten und rausfinden, von welchem Anschluß "PetriHeil88" Blödsinn ins Forum geschrieben hat. Meist braucht man die IP aber nicht, da man, etwa bei Amazon, ja eh mit Namen, Adresse und Kreditkartennummer verewigt und mit Einkäufen verknüpft ist.

Nicht zu vergessen die gute alte E-Mail, dort sind im Rahmen der VDS die Mailprovider gefragt, GMX, web.de etc. die sich merken sollen wer wann wem eine Mail geschrieben hat und je nach VDS-Wunschliste auch noch was im Betreff stand. Inhalte der Mails interessieren die VDS bisher eher nicht, da gibts dann auch wieder das TKG. In der Regel bezieht sich Vorratsdatenspeicherung aber nicht auf die Daten bei den Diensteanbietern, dafür gibts dann wieder andere Regelungen im TKG oder so, wenn z.B. GMX dem BKA den Inhalt einer Mailbox zeigen muss oder Bedarfsträger über Schnittstellen wie SINA bei größeren Providern einen "Lauschangriff" fahren dürfen.

Und warum speichert man denn überhaupt was? Und wieso?

Hier muss man zwischen Erfassung, Speicherung und Zugriff durch Behörden unterscheiden. Bestimmte Dinge müssen technisch irgendwie zumindest mal "erfasst" werden. Der Mobilfunkprovider muss wissen in welcher Zelle ein Handy grad steckt um einen Anruf durch-, und der ISP wissen welcher Anschluß welche IP hat, um Internetpakete zustellen zu können. Ohne gehts halt nicht. Auch bei Mails ist irgendwann mal notwendig, das irgendwelche Software Absender, Empfänger und Inhalt sieht.

Dann Speicherung. Alles was so "erfasst" wird bzw. technisch zwingend anfällt kann in Logfiles gespeichert werden und oft ist das auch, zumindest kurzfristig, technisch sinnvoll. Hier gibt es Freiheitsgrade bei der Dauer der Speicherung (24h? ne Woche? ein Vierteljahr? 12 Monate?). Neben technischen Notwendigkeiten gibts auch unternehmerische/buchhalterische. Man will dem Kunden auch mal ne Rechnung schreiben, also muss man sich merken wieviele SMS er verschickt hat. Und wegen Reklamationen ist es durchaus sinnvoll sich zu merken wann und an wen er das tat.

Jetzt kommt der Trick und die netzpolitische Gretchenfrage: Wer außer Kunden/Dienstleister darf denn im Bedarfsfall drauf zugreifen? Jeder Dorfpolizist auf Zuruf bei nem umgekippten Blumenkübel? Oder nur der Generalstaatsanwalt nach irgendwas richtig Großen? Polizei, StA, LKA/BKA, Geheimdienste etc, wer hat noch nicht, wer will nochmal? Hier gibts auch wieder viele Freiheitsgrade und Abstufungen, bei nem Betrugsfall ist vielleicht sinnvoll rauszufinden wem die Bestellrechner-IP gehörte aber es wäre sicher grob unverhältnismäßig alle Kunden eines ISP für 3 Monate abzuschnorcheln um zu schauen ob der Typ es sich nochmal traut.

Wir haben also technische Realitäten, die bedingen das bestimmte Daten irgendwo mal langlaufen wo sie gesehen und gespeichert werden können, Freiheitsgrade in Umfang und Dauer einer Speicherung dieser (und weiterer) Daten und wiederum Freiheitsgrade in der Überlegung, wer, wann und unter welchen Vorraussetzungen beim Provider anklopfen und um ne Kopie bitten darf. Und man kann Regelungen treffen, die eine Mindestdauer an Speicherung vorschreiben oder (knappe) Maximalfristen festlegen, die nicht überschritten werden dürfen.

Warum denkt man denn überhaupt über sowas nach?

Auf der einen Seite haben wir da die netzpolitisch hochgehaltenen Fahnen, beschriftet mit "Recht auf Anonymität", "Recht auf in Ruhe gelassen zu werden", "Datenschutz", "Informationelle Selbstbestimmung" usw. Auf der anderen Seite ist dann aber auch das "Recht auf Sicherheit" zu sehen, ein Recht darauf, das bspw. die Polizei bei Straftaten sinnvoll ermitteln und aufklären kann, auch bei "kleineren" Sachen wie Betrug, Stalking, Mobbing usw., auch wenn sie in/mit/über das Internet begangen wären.

Jedes für sich genommen ist wichtig und notwendig, der Staat hat sich nicht dafür zu interessieren wann ich ins Internet gehe, wem ich E-Mails schreibe und wer mich wann anruft. Auf der anderen Seite soll der Staat sich mal bitteschön anstrengen rauszubekommen, wer das blöde Arschloch ist, der mir ständig bei zalando Schuhe ins Büro bestellt und als Anschrift/Bankverbindung die des heise Verlags hinterlegt hat. Das diese beiden Rechte/Ansprüche miteinander kollidieren ist offensichtlich.

Die Aufgabe hier ist also die Abwägung gegeneinander. Wie weit darf ich in die Rechte des Einzelnen eingreifen um das Recht des anderen sicherzustellen und ab wann wirds unverhältnismäßig und sinnvoller auch mal einen Fall unaufgeklärt zu lassen, weil die sonst notwendige Überwachung und Präventivverdächtigung jedes vernünftige Maß sprengen würde. Zu unterscheiden ist wohl auch bei der "Eingriffstiefe" in die einzelnen Rechte, eine einmalige "Halterabfrage" von IP-Adressen ist sicher weniger schlimm als ein komplettes Bewegungsprofil von 12 Monaten, eine nicht aufgeklärte Beleidigung muss man dann halt auch mal hinnehmen, wenn man kein "PreCrime" aufbauen will.

Und die letzte Herausforderung ist dann noch, das alles so zu bauen, das Mißbrauchsmöglichkeiten minimimiert oder gar ausgeschlossen werden. Man kann bspw. solche Eingriffe kostenpflichtig machen, man wird die Betroffenen informieren müssen, die technischen und organisatorischen Prozesse kann man für Bedarfsträger möglichst schmerzhaft gestalten, so das die es sich (neben der kommenden Rechnung) dreimal überlegen, ob bspw. "klassische Ermittlungen" zwar anstrengend sind, aber eine Datenabfrage beim Provider noch viel umständlicher ist.

Das wars?

Ja. Und ihr dürft daraus jetzt nen mentales multiple-choice-Formular basteln, drüber nachdenken und überlegen, wie ihr das ausfüllen würdet und wie man die Gemengelage aus den verschiedenen und wichtigen und konkurrierenden Rechtsgütern so auflöst, das beide Seiten gleichermaßen unzufrieden sind. Genügend Freiheitsgrade und Stellschrauben gibt es ja. Sturbockiges "Wir müssen aber speichern! Alles! Immer! Wegen EU, weißte" ist genausowenig hilfreich wie ein plattes "Nein. Gar nichts. Niemals. GuyFawkes-Masken für alle!"

Ein neues Notebook, Linux und ich

Klaus Peukert » 06 Dezember 2011 » in Privates » 10 Kommentare

Ich kaufe mir einen Laptop. Weil ich einen brauche. Mein Desktop stirbt mittelfristig und ich brauch was für unterwegs und was ich in München und Leipzig nutzen kann. Für Mail, News, Browser, Twitter, VPN (in die Firma und zu den Piraten). Ein bißchen Office und privater Zuckerguss (Skype, wasweissich) und das wars eigentlich schon. Angesichts unschlagbarer Angebote von Rechnern "ohne Betriebssystem" und der Verfügbarkeit von Linux liegt nahe, das man sich die/eine Windowslizenz wohl echt sparen kann. Das, was ich brauche dürfte unter Linux ja locker gehen, da ich Thunderbird, Firefox, OpenVPN und LibreOffice nutze erst kein Ding. Und den goldenen Käfig MacBook, der dreimal so teuer ist, das kommt ja mal wohl gar nicht in die Tüte.

Jetzt kenne ich Linux schon was länger. Ich habe angefangen mit einem SuSE 4.3, habe verschiedene Debians wegen dem EDV-Äquivalent zu Marmite, diesem unsäglichen dselect, fluchend von der Platte geschmissen, hab RedHat (und Derivate) gehabt, mit fvwm2/95, windowmaker, KDE und GNOME rumgefummelt. "Irgendwas war immer". Mal hat in der Firma die Firewalldistribution bei der Installation ob dreier gleicher NICs das Handtuch geworfen, mal störte der riesige Salat an automagisch installierter Software und die Alternative dazu war stundenlang Pakete abzuwählen (oder mit der Minimalinstallation an irgendwas essentiell fehlendem zu scheitern), mal musste man den positix für sasl manuell patchen und neu kompilieren.

Ich habe mit Ubuntu rumgefummelt und war begeistert, wie easy da alles geht, Grafik, Sound, ja sogar Netzwerkdrucker und bin dann verzweifelt weil das UMTS-Modul nachm ersten Funkloch die Grätsche machte und für VPN erstwas nachinstalliert werden musste, habe mit FreeBSD gespielt (und würde eigentlich gern damit fahren, da es das coolere Maskottchen hat), ich habe Slackware und ArchLinux installiert, Mandrake und Mandriva gesehen, Gentoo gebootstrapped und einmal ein LFS-manual durchgespielt. Sogar ein TripleBoot mit Win95 und zwei verschiedenen Linuxen gab es (und das war echt knfflig damals :) ). Seit Jahren also gibt es (meinerseits) an jedem Linux etwas auszusetzen und etwas zu fummeln.

Dazu kommt noch, das ich nach der (zugegeben etwas provokanten) Frage "Was für ein Linux nimmt man denn so" alle möglichen Antworten bekomme. "Fedora", sagt der eine. "Debian (aber nicht stable)" der andere. Ubuntu sei inzwischen Müll wegen Unity, dafür gibts jetzt Linux Mint. In ner "normalen" und ner "Debian"-Installation, das irgendwas backported, die andere Hälfte aber nicht. Kubuntu gibts noch, irgendwas mit XFCE aufm Deskop soll auch cool sein und wenn man ganz hart ist, dann nimmt man Gentoo oder ist der Uberhacker, weil man alles selber backt. FreeBSD sei zwar nice, aber nix fürn Desktop. Das ist, um es diplomatisch zu sagen, erstaunlich unhilfreich.

Mir ist klar, das das Teil des Konzepts ist, das man sich alles so hinkonfigurieren kann wie man will und noch an der abstrusesten Ecke ne Einstellung findet. Ich muss mich trotzdem zw. KDE, GNOME, Unity oder was anderem für eine "Grundplattform" entscheiden, alles andere (KDE mit Evolution oder wasweissich) braucht wieder Bastelarbeit und verursacht Schmerzen. Ich will aber, zumindest für den Anfang weder basteln noch Schmerzen erleiden, noch mit irgendwelchen nervigen Kleinigkeiten leben müssen. Auf Arbeit hab ich ein CentOS mit Gnome und komm klar, aber da brauch ich eh nicht mehr als nen Browser und nen screen.

Zu Hause will ich aber auch mal skypen (ohne mir erst für das webcamodul nen neuen kernel backen zu müssen), dieses Mumble für Piratenkram über nen Bluetooth-Headset wäre ganz nett, im Zug sollte der UMTS-Stick funktionieren, ohne das ich erst auf der bash nen init-script manuell starten muss, die Handvoll Podcasts sollte ab und zu aufs iPhone, den TC-Container aufm USB-Stick will ich möglichst einfach einbinden,ich möchte ohne vorher wissen zu müssen ob das WLAN nun WPA, WPA2-PSK oder sonstwas hat über Funk ins Netz und ab und zu ne DVD oder einen (*hust*) geliehenen Film solls auch ab und zu sehen geben.

Und ich hab keinen Bock, mich erstmal durch ein halbes Dutzend virtualbox-Images zu wühlen bis ich was finde, was halbwegs passt. Da war bei meinen bisherigen Erfahrungen immer irgendwo nen Haken, und wenn man sich wie Bolle freut, weil die Webcam vn Skype automagisch erkannt wird oder die Kiste beim ersten Booten nach der Installation tatsächlich Sound hat und das einem besonders toll vorkommt, dann is doch irgendwas faul. Man kann sicher über vieles an Windows schimpfen, aber mit nem per ninite.com initial anwendungsbefülllten Win7 kommt man irgendwie erstaunlich schmerzfrei erstaunlich weit (mit dem Bonus, das ich nicht per globaler Paketauswahl 80% nie benutzte Software aufm Rechner hab).

Garniert ist diese schlechte Linuxerfahrung (allerdings OS-unabhängig) mit einer unglaublichen Schwarmdummheit im Netz. Googlet man nach einer Fehlermeldung oder einem Problem findet man auf Seite eins einen Link zum kostenpflichtigen expertsexchange, in drei verschiedenen Foren dieselbe Anfrage, die entweder gar nicht, mit "A geht nicht? Also bei mir geht das mit B hervorragend" beantwortet wird, was nahtlos in irgendeine Advocacy-Diskussion übergeht oder wo nach drei Wochen der Frager "Hat sich erledigt, habs hinbekommen" ergänzt, OHNE DIE VERFICKTE SCHEIßLÖSUNG EINFACH MAL KURZ HINZUSCHREIBEN.

Das ist doch alles Mist. Ja, es ist vielleicht arrogant gegenüber den Unmengen an Freiwilligen, Enthusiasten und Nerds, die Linux (weiter)entwickeln und Distributionen pflegen. Aber Leute, tut mir leid. Ich möchte ein Werk- und kein Spielzeug. Ich habe im Gegensatz zu früher weder Zeit noch Lust noch Spieltrieb Ewigkeiten damit zu verbringen alle Hebelchen in die richtige Stellung zu bringen und auf dem Weg dahin o.g. Schmerzen zu erleiden.

Erklärt mir doch mal, warum ich mir nicht doch einfach ein MacBook holen soll.

cronjob