Drosselbande

Klaus Peukert » 24 April 2013 » in Politisches » 4 Kommentare

Weil es in meinem letzten Beitrag vom März nicht gut genug rauskam, hier nochmal. In der Debatte um die "Telekom-Drossel" gibt es drei Ebenen, die man voneinander unterscheiden muss:

Die Drossel an sich

Wenn die Telekom Volumentarife anbietet, dann ist das vielleicht unternehmerisch und für den Kunden doof aber keine Verletzung der Netzneutralität. Es wird halt entweder langsamer oder teurer. Wenn HaSe hier Recht hat, dann sind Volumentarife im Gegensatz zu Flatrates dem Netzausbau sogar förderlich, weil bei ersterem der "Wir müssen ausbauen"-Druck auf die Netzbetreiber steigt.

Bevorzugung von Diensten

Wenn plötzlich Spotify, Entertain (aktuell schon der Fall) oder später Skype, Youtube, netflix und andere Dienste bevorzugt bzw. von der Drosselung ausgenommen werden, weil/wenn entweder die Contentanbieter dem Netzbetreiber Wegzoll entrichten müssen, oder die Kunden des Netzbetreibers abkassiert werden, dann ist das ein Problem.

Je nachdem wie man sich nun Netzneutralität definiert immer noch keine Verletzung derselben (weil nix abgeblockt und keine Kommunikation verhindert wird), aber um ehrlich zu sein: Wirklich "neutral" ist daran nix mehr. Im aktuellen Fall haben wir hier also ein Problem, weil man dann irgendwann ein "Grundinternet" hat und für Skype, SocialMedia, OnlineTV usw. dann jeweils nen Extrapaket buchen muss. Das wäre doof.

Man könnte noch über Feinheiten reden, dass T-Entertain ja kein "Internet", sondern ein "interner" Dienst ist (technisch ist das auch so) und man daher das "Internet" auch nicht kaputt macht, sondern einen Nicht-Internetdienst separat anbietet und halt unabhängig vom Internetvolumen abrechnet, aber das lassen wir hier mal weg.

Deep Packet Inspection

Das Böse schlechthin. Jemand schaut direkt in die Übertragungsinhalte (liest also nicht nur die Anschrift aufm Briefumschlag, sondern auch das, was im Umschlag steckt) rein und popelt sich genau das raus, was tarzun grad auf Youporn anschaut, protokolliert es, meldet es oder blockt es. Das ist in der aktuellen Debatte offenbar nicht der Fall. Merken wir uns als "Böse. Will man nicht. BÖSE!" und lassen es aus der Telekom-Drossel-Netzneutralitäts-Debatte raus und behalten es im Hinterkopf.

Das Bonuslevel

Wißt ihr noch? Voss gegen Telekom? In den 90ern hat Robin Hood Holger Voss die Telekom gezwungen, seine Verbindungsdaten nicht zu speichern, weil das bei seiner Flatrate unnötig ist. Eines der Grundsatzurteile in der Vorratsdatenspeicherungdebatte. Wenn es nun aber statt Flatrates wieder Volumentarife gibt, dann sind die Verbindungsdaten wieder rechnungsrelevant und die Provider dürften speichern, wer wann welche IP-Adresse hatte.

Da haben wir dann obenauf also gleich noch die Debatte, ob die dann vermutlich wieder "erlaubte" Speicherung der Zuordnung einer IP-Adresse zu einem Kunden zu einem bestimmten Zeitpunkt zu den Bestandsdaten (weniger problematisch) oder zu den Verbindungs-/Bewegungsdaten (sehr problematisch) gehört. An der Stelle hab ich ja bekanntermaßen eine differenzierte Position und bin da eher auf der Linie von Alvar Freude, aber "VDS durch die Hintertür" hab ich gestern schon irgendwo gehört.

Zusammenfassung

Drei Ebenen + Bonus: Drossel, Bevorzugung, DPI, IP-Speicherung. Nicht miteinander einfach so miteinander vermischen bzw. wissen, was man wo wie meint.

  • Drossel: für flatrategewohnte Powerkunden doof, aber keine Verletzung der Netzneutralität.
  • Bevorzugung: Nicht neutral, tatsächlich ein Problem. Möglicher Dammbruch, weil man perspektivisch nur Basisinternet + Zusatzpakete bekommt
  • DPI: Spielt im Telekomfall keine Rolle, ist aber trotzdem Böse, Böse, Böse
  • IP-Speicherung: Bei Nicht-Flatratetarifen ist Speicherung idR zulässig, Thema hat daher lose Verbindung zur VDS-Debatte

Wie löst man das? Zum einen politisch, irgendwo im TKG steht, dass die Regulierungsbehörde ne entsprechende Verordnung zur Netzneutralität festlegen kann. Als Kunde: Wechseln zu einem Provider, der so nen Scheiß nicht macht (eher schwierig). Oder man baut sein eigenes Netz. Wie das geht, kann man nächste Woche in Leipzig bei den dortigen Piraten lernen.

Netzneutralität

Klaus Peukert » 22 März 2013 » in Politisches » 4 Kommentare

Soso. Die Telekom wird mal wieder evil und will plötzlich das umsetzen, was sie seit Monaten in ihre Verträge schreibt und DSL-Anschlüsse nach Aufbrauchen eines bestimmten "Internetverbrauchs" die Geschwindigkeit drosseln. Das ist jetzt nicht die schlaueste Idee, ist man sowas doch von Festnetzinternet nicht wirklich gewohnt, außerdem tritt man so seine Kunden in den Arsch. Damit "legt die Telekom die Axt an die Netzneutralität" habe ich heute gelesen. Nun, was ist jetzt eigentlich Netzneutralität?

Stellen wir uns mal ganz dumm und nehmen eine Autoanalogie: Bis auf Ausnahmen darf man die Straßen dieses Landes nutzen, egal womit, egal zu welchem Zweck. Egal wer die Straßen gebaut hat und egal wer die Schlaglöcher flickt. So ähnlich ist das auch auf der (Achtung: Wortspiel!) Datenautobahn. Jeder darf drauf und jeder darf von überall nach überall und darf erstmal alles machen. Das ist die klassische Definition von Netzneutralität: Die Provider transportieren alles, ohne Rücksicht auf den Inhalt, das Pornovideo, die Hausarbeit, das Katzenbild oder den neuesten Beitrag der Alphablogger.

Die Telekom nun macht folgendes: Wer im Monat schon 30mal über die Autobahn gebrettert ist, der darf weiter fahren, aber nicht schneller als. Warum man fährt und was man transportiert ist immer noch egal. Das Katzenbild kommt also etwas später an. Ihr merkt: Hier wird nicht inhaltlich eingegriffen und alle Internetinhalte sind weiterhin verfügbar. Das ist auch keine gar so ungewöhnliche Technik, so können per "Quality of Service"  bestimmte Internetdienste (Echtzeitübertragung von medizinischen Daten, Internettelefonie u.ä.) tatsächlich priorisiert werden. Der Dienst "Livevideo" kriegt also nen Blaulicht und nen Martinshorn und darf über die Datenautobahn brettern, der Rest muss halt mal kurz ranfahren.

Was  die Telekom macht heißt "traffic shaping", "Bandbreitenbegrenzung", Drosselung usw. Das ist jetzt erstmal unangenehm (wenn mein Smartphone nur auf GPRS läuft und die Bahnauskunft dann nicht mehr geht könnte ich ausrasten), aber das ist im Sinne der obigen Definition von Netzneutralität immer noch neutral, weil der Provider inhaltsunabhängig  arbeitet. Ja, dabei besteht natürlich die Gefahr (und mit "langsamen Youtube" und "kostenlosem Spotifytraffic" gibts auch die ersten Beispiele dafür), dass man am Ende da landet, das man zwar Internet hat, aber für alles interessante (Filme, iTunes, Streams aus den Parlamenten) nochmal extra löhnen darf oder gar für bestimmte Dienste ein Extra-Abo abschließen darf ("Youtube-Package", "Skype-Paket" ihr erkennt die Richtung).

Bei diesen Bonusleveln schaut die Telekom aber immer noch nicht in die Daten rein, sondern kuckt nur, von welcher Auffahrt sie kommen und sagt "Du kommst vom iTunes-Hof und willst zu Peukert ins Wohnzimmer? Du darfs lospreschen, der Peukert hat das Youtubepaket". Das klingt jetzt auch nicht sonderlich "neutral" ist aber keine Verletzung der klassischen Definition von Netzneutralität, weil ja immer noch keine Inhalte angefasst oder angesehen werden. Da wird auch nix zensiert, mitgelesen, abgeschnorchelt oder sonst an Inhalten manipuliert.

Was normalerweise mit einer "Verletzung der Netzneutralität" gemeint wird, ist das Reinschauen in die Internetdaten und feststellen "Facebook? Herr Peukert? Das hatten wir ihnen doch aber verboten!" und das ist echt ne eklige und fiese Sache, weil es plötzlich nicht mehr darum geht wieviel Internet ich nutze, sondern was ich da mache. Und das geht weder den Staat noch den Provider etwas an. Und schon gar nicht soll der irgendwie bestimmen dürfen, was ich mir in diesem Internet anschauen darf und was nicht.

Wir haben also drei Ebenen:

  • das Trafficshaping beim User, wenn er eine bestimmte Menge an Daten übertragen hat, wird der Rest langsamer, inhaltlich ändert sich aber nix. Bisher üblich bei mobilem Internet, jetzt auch Tisch für Telekom-DSL.
  • Vereinbarungen zwischen Providern und Dienstebetreibern, wo der eine dem anderen sagen kann "Bei uns gibts nur Fullsped wenn Du dafür zahlst", ansonsten gilt für Dich "(80 und mehr nicht), also sowas wie Terminierungsentgelte beim Telefonnetz.
  • Beobachten, Manipulieren und sonstnochwas von Internetinhalten mit "Deep Packet Inspection" (DPI), ner ziemlichen Sauerei.

Das wird leider immer vermischt und vielleicht schaffen wir es ja, in der Debatte irgendwie die Begrifflichkeiten sauber auseinander zu halten (ich bin ja so naiv).

Also. Das Trafficshaping beim User, ja mei. Ich finds auch blöd und 100/100MBit unlimitiert ins Wohnzimmer wären schon geil, aber wenn jeder ohne Probleme mit einem gedrosselten Handyvertrag klarkommt, dann ist die Empörung über die "plötzlichen" Pläne der Telekom irgendwie unglaubwürdig. Wo man noch ansetzen könnte wäre bei letzterem, ich hab nämlich keinen Bock auf ein Internet a'la Sky, wo ich mir die guten Sachen in irgendwelchen Paketen zusammenklicken muss. Hier wären mal definitive und gesetztliche Breitbandstandards sinnvoll, die auch bei Streits ums "Terminierungsentgelt" nicht unterschritten werden dürfen.

Die Ablehnung, Nichtanschaffung, das Verbot von DPI usw, dass ist in der Tat unheimlich wichtig, denn keinen Provider und keine Behörde geht es  etwas an, auf welchen Seiten ich mich rumtreibe und erst recht gehört  daran nicht rumgefuschelt, Inhalte verändert und ausgelesen und was für  Schweinereien mit DPI noch gehen. Diese Netzneutralität muss unter allen Umständen bleiben. Hier gibt es übrigens das persönliche Wort vom Telekom-Obermotz, das so etwas nicht, nie und nimmer kommen wird

P.S. Danke an Kristian Köhntopp für die Inspiration zu diesem Beitrag, der diese Unterscheidung von "Neutralitäten" vor längerem mal viel erklärbäriger aufschrieb, dessen Blog auf Grund diverser dämlicher gesetzlicher Rahmenbedingungen dieses Landes von uns gegangen ist.

De-Mail

Klaus Peukert » 21 März 2013 » in Politisches » 1 Kommentar

De-Mail. In aller Munde. Der CCC schimpft, die Zeitungen schreiben, die Netzgemeinde lacht über die Internetausdrucker im Ministerium. Das übliche mal wieder. Worum geht's da eigentlich und was ist das Problem an De-Mail überhaupt bzw. den neuen Änderungen?

Mit De-Mail wollte man irgendwie, ganz modern und schnieke, auch per Mail "offiziell" kommunizieren um nicht für jeden Furz einen Brief oder ein Fax schicken zu müssen. Was nicht so ohne weiteres geht, da E-Mail im Vergleich zu Briefen und Faxen (juristisch und technisch) "unsicher" ist und Dinge wie Vertraulichkeit ("Kein Unberechtigter liest mit"), Integrität ("Nachricht ist unverändert") und Authentizität ("Nachricht ist wirklich vom Absender") erstmal nicht so einfach und schon gar nicht einfach so für alle gehen.

Man baut nun, basierend auf haushaltsüblichen Techniken (SMTP, SSL, Zertifikate) eine geschlossene Benutzergruppe auf, um vordergründig obige Möglichkeiten zu schaffen und en passant plötzlich in der Lage zu sein, Mailversand-/empfang, hoppla wie ist das denn passiert?, monetarisieren zu können. Weil, man hat jetzt so ne schöne Sache, wäre doch schade, wenn sich das nicht finanziert. Dabei macht man nicht alles richtig oder perfekt, aber sich immerhin ein paar Gedanken was Prozesse, Spezifikationen und Ähnliches angeht, sorgt dafür, dass alle teilnehmenden Unternehmen "akkreditiert" sind, dass die Zertifikate für die Transportverschlüsselung immer aktuell gehalten und geprüft werden und sonst auch ne Menge Geshizzle, das man bei "normalen" Mails nicht macht.

Kleiner Einschub: Wir reden ja immer von Verschlüsselung. Dabei geht es einmal um die "Sicherung" des Transportwegs von jeweils einem Server der beteiligten Unternehmen zu einem anderen (gibt es auch zwischen "normalen" Mailservern, genaugenommen ist es sogar die gleiche Technik) und zum anderen um eine "Absicherung" direkt vom Sender zum Empfänger ("Ende-zu-Ende"). Ersteres ist Standard bei De-Mail, zweiteres geht auch, muss man sich aber selbst drum kümmern oder einen schlauen Piraten fragen, wie das denn geht. In ersterem Fall schreiben wir also einen Postkarte, die wir in eine verschlossene Kiste werfen, in die keiner reinschauen kann. Auf jedem Server wird die Kiste aber aufgemacht, die Karte "geröntgt" und in eine andere verschlossene Kiste geworfen, bis der Empfänger sie bekommt. In zweiterem Falle passiert dasselbe, nur dass auf der Postkarte eine Geheimschrift steht, die nur der Empfänger lesen kann.

OK, wir haben jetzt also eine Art "E-Mail 2.0" mit einem Haufen Spezifikationen und Schnick und Schnack und man kann dafür Geld verlangen. Nutzt nur keiner. Zu kompliziert, nicht weit genug verbreitet, der CCC und die Piraten schimpfen immer doll drüber. Finanziert sich also tatsächlich nicht. Was nun? Machen wir es doch zur Pflicht! Bzw. erlauben wir es an anderen Stellen, wo man heute noch Briefe u.ä. schicken muss. Das blöde ist, dass diese anderen Stellen (Steuergesetze, Abgabenordnung bspw.) jetzt ziemlich knackige Anforderungen stellen, was Geheimnisse und Schutz von Daten angeht und unsere schöne geschlossene Gesellschaft namens De-Mail diese Anforderungen halt nicht erfüllt, zumindest nicht, wenn wir uns nur auf die verschlossenen Kisten als Schutz verlassen und ohne Geheimschrift kommunizieren.

Statt jetzt aber die bisher optionale "Geheimschrift" irgendwie so hinzubekommen, damit dass auch geht, ohne immer einen schlauen Piraten fragen zu müssen, sagt man einfach "Ach, wißt ihr, wir schreiben in die Richtlinien einfach rein, dass das schon so passt". Man legitimiert also lieber die geschlossene Gesellschaft, um endlich seine Gelddruckmaschine zu bekommen, statt die Technik an das Gesetz und seine Anforderungen anzupassen. Das wäre ja anstrengend und außerdem effizient und sowas ist ja eher unerwünscht. Es ist in der Tat ein ziemlicher Skandal, da haben Piraten und CCC trotz ihrer oft eher empörungszentrierten Sicht auf die Welt einen validen Punkt, dass hier lieber Gesetze an technische Unzulänglichkeiten angepasst werden, anstatt die bisher optionale Vergeheimschriftlichung zwingend und automatisch und auch von Ottilie Normalverbraucherin bedienbar zu machen.

Weil, wenn die Bevölkerung jetzt nämlich plötzlich anfangen würde, großflächig richtig verschlüsselt zu kommunizieren, und den Behörden die gesetzlichen Priviliegien zum Zugriff auf Mails und andere Bestandsdaten (soll übrigens mal wieder beschlossen/erweitert werden) nix mehr nützen, ist es klar, dass Meister Friedrich nicht davon begeistert ist, wenn seine Schäfchen plötzlich die freie und  unbeobachtete Kommunikation entdecken.

Am Ende ist die bloße Existenz von De-Mail per se erstmal nicht das Problem, es muss ja (noch) niemand nutzen, es sind letztlich stinknormale (nur von Server zu Server verschlossen transportierte Klartext-)Mails innerhalb ner geschlossenen Benuzergruppe, die Technik ist nicht vollkommen blöde (nochmal: Da passiert technisch nicht mehr als jetzt überall auch schon, nur formaler und mit definierten Spezifikationen für die Teilnehmer), "richtig" verschlüsseln kann man selbst ja auch, wenn man will (und der schlaue Pirat es einem erklärt hat), also was soll's.

Es ist also nicht die aktuelle Technik das Problem, die ist, wenn gleich far from perfect sogar ein wenig besser als "normalen" E-Mails. Das Problem ist der Unwillen zu echter und kompletter Nutzung der "Geheimschrift", die Anpassung der Gesetze statt der Verbesserung der Technik, und da sollte das Ministerium lieber dafür sorgen, dass Ende-zu-Ende-Verschlüsselung alltagstauglich wird, statt zu sagen "Naja, ist halt kompliziert, fangen wir es lieber nicht an, könnte ja schön werden".

Aber bei aller Häme hat das Ministerium auch einen Punkt: GPG/PGP ist, richtig benutzt, eben tatsächlich noch kein Allerweltswerkzeug und wir sollten die unsägliche Arroganz des Netzbürgers mal loslassen und uns nicht immer als die Geilsten hinstellen, nur weil wir es hinbekommen haben, Thunderbird mit integriertem Enigmail zu installieren.

Vortrag zu Liquid Democracy, LiquidFeedback und anderem

Klaus Peukert » 27 Januar 2013 » in Politisches » 0 Kommentare

Irgendwie hab ich angefangen, zu politischer Beteiligung, Liquid Democracy und LiquidFeedback Vorträge zu halten. Damit ich die Folien immer wieder finde, verblogge ich das mal und wer mag, kann da ja mal reinschauen. Die Folien liegen in meiner Dropbox (auf bösen amerikanischen Servern!) und werden regelmäßig aktualisiert.

Die fünf W-Fragen politischer Beteiligung - Zusammenfassung eine Blogbeitrags.

Liquid Democracy - Idee und Prinzip

LiquidFeedback - Prämissen und Umsetzung

Bundesliquid - Zahlen, Daten, Fakten

Das ganze ist noch heavy "work in progress", so oft mach ich das dann doch noch nicht und ich find jedesmal nochwas zu verfeinern.


Grundrecht auf Internet

Klaus Peukert » 24 Januar 2013 » in Politisches » 3 Kommentare

Nach einem Bericht von SpiegelOnline hat der BGH unter dem Aktenzeichen III ZR 98/12 festgestellt, dass Internet-Nutzer Anspruch auf Schadenersatz haben, wenn der Anschluss ausfällt.

Damit ist klar: Der Zugang zum Internet gehört zum Leben wie Wasser und Strom. Daraus ergeben sich weitreichende Konsequenzen für die Politik: Zum Beispiel wird dies bei der Festlegung des Regelsatzes für Leistungen nach dem SGB II berücksichtigt werden müssen. Der Internetzugang darf auch nicht gekappt werden, damit gehören beispielsweise alle Vorschläge für "ThreeStrikes"- und ähnliche Regelungen ad acta. Die Bundes- und Landesregierungen haben weiterhin den klaren Arbeitsauftrag, Zugang zum Internet als Teil der Daseinsvorsorge zu betrachten und die "weißen Flecken" im Breitband-Atlas zu tilgen.

Die Piratenpartei hat sich bereits 2010 in LiquidFeedback für ein "Grundrecht auf Internet" ausgesprochen und setzt sich dafür ein, dass die Teilhabe an digitaler Kommunikation nicht eingeschränkt wird und flächendeckend allen Menschen zur Verfügung steht.


Datenschutztheater, Dezembervorstellung

Klaus Peukert » 17 Dezember 2012 » in Politisches »

Wie Spiegel Online und andere Medien übereinstimmend berichten, hat der schleswig-holsteinische Datenschützer Thilo Weichert, Chef des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) an Facebook in Kalifornien ein Ultimatum gekabelt, in dem er auffordert, dass Facebook Pseudonyme zulassen möge. Andernfalls drohe ein Zwangsgeld. Rechtsgrundlage ist der § 13 (6) des Telemediengesetzes (TMG)

Ich finde das erstaunlich. Da verlangen in Deutschland ansässige Unternehmen wie XING den echten Namen und auf Fotos muss man deutlich selbst erkennbar sein, verbieten studi- und meinVZ "die Angabe von Künstlernamen, Pseudonymen oder sonstigen Phantasiebezeichnungen", wer-kennt-wen will die komplette Meldeadresse haben und bei lokalisten.de hätte man die abgefragten Pflichtdaten gern wahrheitsgemäß.

Der Brief von Herrn Weichert geht aber an ein in Kalifornien ansässiges Unternehmen, dessen europäische Dependance in Irland residiert. Ist das nicht seltsam? Die o.g. Unternehmen haben alle ne deutsche Postleitzahl im Impressum, verlangen "Klarnamen", aber man arbeitet sich ausgerechnet an Facebook ab, wo noch nichtmal klar ist, ob da deutsches, irisches, US-, EU-Recht oder die Regeln der Liga für gerechten Datenschutz gelten sollen.

Lieber Herr Weichert, warum kehren sie in ihrer Allzuständigkeit denn nicht erstmal bei uns vorm Haus, statt sich mit populistischen Aktionen am bösen Endgegner Facebook zu profilieren? Es gibt tausend gute Gründe die Möglichkeit von Pseudonymen zu verlangen, aber backen sie doch mal kleinere, dafür vielleicht effizientere Brötchen. Wie wäre es mit einer konkreten Klage, um das Thema mal schwarz-auf-weiß geklärt zu bekommen?

Apolitische Technokratie

Klaus Peukert » 11 Dezember 2012 » in Politisches »

Laut einem Bericht der Süddeutschen Zeitung verteidigt der Fraktionsvorsitzende der Piratenfraktion im Schleswig-Holsteinischen Landtag, Patrick Breyer, die implizite Unterstützung der NPD durch eine positive Stellungnahme zu der Klage eines NPD-Politikers. Ralf Stegner, SPD-Vorsitzender in Schleswig-Holstein, kritisiert dies als "Bestenfalls naiv".

Die Bewertung von Herrn Stegner ist dabei sehr höflich und zurückhaltend ausgefallen. Mit der technokratischen Argumentation, dass es ja inhaltliche Schnittmengen zwischen der NPD und allen Parteien gäbe und man daher auf deren Argumente hören müsse, legt sich Patrick Breyer argumentativ in ein Bett mit Leuten wie Bodo Thiesen.

Mit Verfassungsfeinden wie der NPD macht man keine gemeinsame Sache. Man bewertet ihre Argumente nicht. Man gibt ihnen keinen Fußbreit Raum und Platz. Das ist unabhängig davon, ob man irgendwo "inhaltliche Schnittmengen" finden möchte. So funktioniert Politik nicht. Politik ist nicht das nebeneinander legen und vergleichen von Programminhalten.

Politik ist keine Softwareentwicklung, Politik funktioniert nicht nach deterministischen Algorithmen, Politik ist kein per Checkliste abprüfbares Regelwerk, Politik ist keine Turing-Maschine. Zu Politik gehört Haltung und Leidenschaft. Patrick Breyer hat keine Haltung gezeigt. 

Politik ohne Haltung aber ist apolitische Technokratie, die nicht in Parlamente gehört.

Datenschutztheater, neue Runde.

Klaus Peukert » 31 Oktober 2012 » in Politisches »

Die Tagesschau berichtet über den "Verkauf von Kundendaten", die Datenschutzwelt ist wieder in heller Aufregung und die "Datenschutz-Experten" der Piratenpartei stehen Kopf. Dass der Kram komplett anonymisiert werden soll (vergleiche die angenehm unaufgeregte Stellungnahme von Marit Hansen, stellvertretender DSB in Schleswig-Holstein, hier) wird ignoriert, dafür aber steil behauptet, dass solche Daten gar nicht erst erhoben werden dürften.

Ich bin ja mal gespannt wie ein Mobilfunktprovider die Rechnung zu einem "Homezone"-Tarif schreiben oder überhaupt den Dienst betreiben will, wenn "In welcher Zelle stecktz das Telefonino?" nicht beantwortet werden darf. Oh, und dass bspw. Vodafone sowas schon lange (für Verkehrsvorhersagen) macht, war komischerweise bisher auch uninteressant.

Dass in Deutschland mit dem unsäglichen Listenprivileg eine vom Gesetzgeber für Marketingzwecke explizite Ausnahme vom Datenschutz gemacht wird, Geoscoring seit Jahrzehnten Menschen anhand der Adresse diskriminiert, staatliche Behörden hochauflösende Satellitenbilder verkaufen, während StreetView verteufelt wird, alles vergessen, übersehen, ignoriert.

Hauptsache mal wieder über eine "Datenkrake" aufgeregt und einen Prototypen eines Dienstes in einem andern Land "aufs Schärfste" kritisiert, lieber einer tagespolitisch Meldungen hinterher gehechelt statt nachhaltig daran zu arbeiten, erlobbyierte Ausnahmeregelungen zu kippen. Das ist nicht die andere, neue Art von Politik, die ich machen möchte (es gibt positive Ausnahmen).

Seit Jahren weiß man, dass die aktuellen Regelungen zum Datenschutz an den Realitäten des 21. Jahrhunderts scheitern, aber es passiert: Nichts außer Hysterie, Bigotterie und technisch unsinnigen, den Nutzer bevormundenen Ideen ("Cookie-Richtline"). Oh, schrieb ich ja sogar hier schonmal. Naja, irgendwann wird das schon.

Vorratsdatenspeicherung - Worüber reden wir da überhaupt

Klaus Peukert » 14 Dezember 2011 » in Politisches » 3 Kommentare

Ein Versuch der Rationalisierung

Vorratsdatenspeicherung. VDS. Böse Geschichte. Keiner will sie, aber die parlamentarischen Zwänge, wisster Bescheid. Ich versuch mich hier mal an einer rationalen Zusammenfassung dessen, worüber wir eigentlich reden, wenn wir rufen "Keine VDS" oder uns zugerufen wird "Aber die EU schreibt das vor" und versuch auch das mit der Neutralität, lasse also möglichst jede Wertung, wie ich persönlich was finde, außen vor.

Disclaimer: Ich garantiere nicht für die juristisch einwandfreie Verwendung von Begriffen, versucht das also bitte mit den Augen eines normalen Menschen zu sehen, wer ne Ungenauigkeit findet, darf sich ein Eis kaufen. Außerdem kratz ich eher an der Oberfläche und versuch nur alles zu streifen, damit klar wird, das wie bei "BGE" hinter den drei Buchstaben "VDS" alles mögliche stecken kann und es notwendig ist, jeweils über die konkrete Implementierung zu reden, statt zu schreien "Das ist VDS, das muss schlimm sein".

Also meine lieben Leser. Stelln wir uns mal janz dumm. Watt is'n Dampfmaschin^WVorratsdatenspeicherung?

Welche Übertragungsformen/Medien betrifft das eigentlich?

Vereinfacht gesagt: "Telefon und Internet". Wir haben da den Mobilfunk also GSM, GPRS, HSUPA, UMTS und wie das alles heißt, Festnetztelefonie, diese abgehangenen Techniken wie ISDN, analoges Telefon (gibts sowas im Backend eigentlich noch?) und Internet, also so grob alles was mit einem TCP/IP-Paket transportiert wird. Überschneidungen (Voice über Internet über UMTS) existieren, ebenso Sonderfälle wie Skype. Für Briefe gibts das Postgeheimnis, da traut sich noch keiner ran. Im Rahmen der VDS geht es seltener darum live mitzuerleben (das ist dann "Quellen-TKÜ", Telefonüberwachung. Lauschangriff usw., noch ne andere böse Geschichte) was über diese Medien geht, sondern eher später nachzulesen, was es so war oder wer mit wem. Daten, Vorrat, Speicherung, ihr erkennt das Muster.

Und von welchen Daten reden wir?

Da gibts einmal die Bestandsdaten, wie halt Kundennummern und Adreßdatensätze, wie sie bei Telefon- und Internetanbietern eben fürn Vertrag gespeichert sind. Rechnungen, Auftragsbestätigungen, Lieferscheine, sowas. Dann gibts "Verkehrsdaten", also im Grunde alles das was unter "Wer, wann, mit wem, wie lange" fällt, gilt für Telefon und E-Mail gleichermaßen. Bei Mobilfunk, Internet per Smartphone usw. kann man das dann noch mit Standortinformationen garnieren, also neben "wer mit wem" auch noch "wo". Und dann noch so Dinge wie "virtuelle Autokennzeichen", also wer hat wann welche IP-Adresse gehabt, wo man bei der Vergabestelle (welche es da gibt: weiter unten) zwar weiß wem die Nummer gehört, aber nicht wo er "langgefahren" ist.

Und wieviel ist das so? Welche Daten sind das genau?

Müssen wir wieder unterscheiden. Beim Handy sind es so Dinge wie Anruflisten, Gesprächsdauer, Standort des Handys usw. Beim Festnetz ähnlich, nur das der Standort da eher statisch ist (Kontinentaldrift kann hier wohl vernachlässigt werden). Also all das, was man im Telefon heutzutage selbst so wiederfindet, aber eben beim Provider gespeichert. Und halt von allen. Bei Internet unterscheidet es sich dann auch in Provider (ISP, sowas wie T-Com) und Diensteanbieter (Facebook wird als Beispiel da gern genommen). Beim Provider haben wir neben den schon erwähnten Vertragsdaten in der Regel noch die statische oder (verbreiteter) dynamische Zuordnung der IP-Adressen zu Anschlüssen (und über die Kundendaten zu deren Inhabern).

Was wir an der Stelle noch nicht haben sind "Surfprotokolle", aus den Listen "Wer hatte wann welche IP" sieht man also nicht, wer mit welcher IP wo im Netz rumgesurft ist. Diese "Protokolle" findet man dann (jeweils separat) bei den einzelnen Diensteanbietern: Amazon, Facebook, dem Angelfreundeforum usw. Dort steht dann so ziemlich all das, was man dem Diensteanbieter so in den Rachen gekippt hat. Theoretisch kann man so ein Angelforum-Logfile mit dem ISP-Logfile verheiraten und rausfinden, von welchem Anschluß "PetriHeil88" Blödsinn ins Forum geschrieben hat. Meist braucht man die IP aber nicht, da man, etwa bei Amazon, ja eh mit Namen, Adresse und Kreditkartennummer verewigt und mit Einkäufen verknüpft ist.

Nicht zu vergessen die gute alte E-Mail, dort sind im Rahmen der VDS die Mailprovider gefragt, GMX, web.de etc. die sich merken sollen wer wann wem eine Mail geschrieben hat und je nach VDS-Wunschliste auch noch was im Betreff stand. Inhalte der Mails interessieren die VDS bisher eher nicht, da gibts dann auch wieder das TKG. In der Regel bezieht sich Vorratsdatenspeicherung aber nicht auf die Daten bei den Diensteanbietern, dafür gibts dann wieder andere Regelungen im TKG oder so, wenn z.B. GMX dem BKA den Inhalt einer Mailbox zeigen muss oder Bedarfsträger über Schnittstellen wie SINA bei größeren Providern einen "Lauschangriff" fahren dürfen.

Und warum speichert man denn überhaupt was? Und wieso?

Hier muss man zwischen Erfassung, Speicherung und Zugriff durch Behörden unterscheiden. Bestimmte Dinge müssen technisch irgendwie zumindest mal "erfasst" werden. Der Mobilfunkprovider muss wissen in welcher Zelle ein Handy grad steckt um einen Anruf durch-, und der ISP wissen welcher Anschluß welche IP hat, um Internetpakete zustellen zu können. Ohne gehts halt nicht. Auch bei Mails ist irgendwann mal notwendig, das irgendwelche Software Absender, Empfänger und Inhalt sieht.

Dann Speicherung. Alles was so "erfasst" wird bzw. technisch zwingend anfällt kann in Logfiles gespeichert werden und oft ist das auch, zumindest kurzfristig, technisch sinnvoll. Hier gibt es Freiheitsgrade bei der Dauer der Speicherung (24h? ne Woche? ein Vierteljahr? 12 Monate?). Neben technischen Notwendigkeiten gibts auch unternehmerische/buchhalterische. Man will dem Kunden auch mal ne Rechnung schreiben, also muss man sich merken wieviele SMS er verschickt hat. Und wegen Reklamationen ist es durchaus sinnvoll sich zu merken wann und an wen er das tat.

Jetzt kommt der Trick und die netzpolitische Gretchenfrage: Wer außer Kunden/Dienstleister darf denn im Bedarfsfall drauf zugreifen? Jeder Dorfpolizist auf Zuruf bei nem umgekippten Blumenkübel? Oder nur der Generalstaatsanwalt nach irgendwas richtig Großen? Polizei, StA, LKA/BKA, Geheimdienste etc, wer hat noch nicht, wer will nochmal? Hier gibts auch wieder viele Freiheitsgrade und Abstufungen, bei nem Betrugsfall ist vielleicht sinnvoll rauszufinden wem die Bestellrechner-IP gehörte aber es wäre sicher grob unverhältnismäßig alle Kunden eines ISP für 3 Monate abzuschnorcheln um zu schauen ob der Typ es sich nochmal traut.

Wir haben also technische Realitäten, die bedingen das bestimmte Daten irgendwo mal langlaufen wo sie gesehen und gespeichert werden können, Freiheitsgrade in Umfang und Dauer einer Speicherung dieser (und weiterer) Daten und wiederum Freiheitsgrade in der Überlegung, wer, wann und unter welchen Vorraussetzungen beim Provider anklopfen und um ne Kopie bitten darf. Und man kann Regelungen treffen, die eine Mindestdauer an Speicherung vorschreiben oder (knappe) Maximalfristen festlegen, die nicht überschritten werden dürfen.

Warum denkt man denn überhaupt über sowas nach?

Auf der einen Seite haben wir da die netzpolitisch hochgehaltenen Fahnen, beschriftet mit "Recht auf Anonymität", "Recht auf in Ruhe gelassen zu werden", "Datenschutz", "Informationelle Selbstbestimmung" usw. Auf der anderen Seite ist dann aber auch das "Recht auf Sicherheit" zu sehen, ein Recht darauf, das bspw. die Polizei bei Straftaten sinnvoll ermitteln und aufklären kann, auch bei "kleineren" Sachen wie Betrug, Stalking, Mobbing usw., auch wenn sie in/mit/über das Internet begangen wären.

Jedes für sich genommen ist wichtig und notwendig, der Staat hat sich nicht dafür zu interessieren wann ich ins Internet gehe, wem ich E-Mails schreibe und wer mich wann anruft. Auf der anderen Seite soll der Staat sich mal bitteschön anstrengen rauszubekommen, wer das blöde Arschloch ist, der mir ständig bei zalando Schuhe ins Büro bestellt und als Anschrift/Bankverbindung die des heise Verlags hinterlegt hat. Das diese beiden Rechte/Ansprüche miteinander kollidieren ist offensichtlich.

Die Aufgabe hier ist also die Abwägung gegeneinander. Wie weit darf ich in die Rechte des Einzelnen eingreifen um das Recht des anderen sicherzustellen und ab wann wirds unverhältnismäßig und sinnvoller auch mal einen Fall unaufgeklärt zu lassen, weil die sonst notwendige Überwachung und Präventivverdächtigung jedes vernünftige Maß sprengen würde. Zu unterscheiden ist wohl auch bei der "Eingriffstiefe" in die einzelnen Rechte, eine einmalige "Halterabfrage" von IP-Adressen ist sicher weniger schlimm als ein komplettes Bewegungsprofil von 12 Monaten, eine nicht aufgeklärte Beleidigung muss man dann halt auch mal hinnehmen, wenn man kein "PreCrime" aufbauen will.

Und die letzte Herausforderung ist dann noch, das alles so zu bauen, das Mißbrauchsmöglichkeiten minimimiert oder gar ausgeschlossen werden. Man kann bspw. solche Eingriffe kostenpflichtig machen, man wird die Betroffenen informieren müssen, die technischen und organisatorischen Prozesse kann man für Bedarfsträger möglichst schmerzhaft gestalten, so das die es sich (neben der kommenden Rechnung) dreimal überlegen, ob bspw. "klassische Ermittlungen" zwar anstrengend sind, aber eine Datenabfrage beim Provider noch viel umständlicher ist.

Das wars?

Ja. Und ihr dürft daraus jetzt nen mentales multiple-choice-Formular basteln, drüber nachdenken und überlegen, wie ihr das ausfüllen würdet und wie man die Gemengelage aus den verschiedenen und wichtigen und konkurrierenden Rechtsgütern so auflöst, das beide Seiten gleichermaßen unzufrieden sind. Genügend Freiheitsgrade und Stellschrauben gibt es ja. Sturbockiges "Wir müssen aber speichern! Alles! Immer! Wegen EU, weißte" ist genausowenig hilfreich wie ein plattes "Nein. Gar nichts. Niemals. GuyFawkes-Masken für alle!"

IP-Adressen: Teufelszeug oder harmlos? Ein datenschutzkritischer Dreiteiler – Teil 3: IPv6

Klaus Peukert » 09 November 2011 » in Politisches »

Ich hab wieder bei der Spackeria gebloggt und kann dank eines Artikels von Lutz Donnerhacke zu IPv6 meine bisher immer noch offene Miniserie zu IP-Adressen mit einem Verweis darauf abschließen. Kommentare bitte drüben, Flattrs gerne hier :-)


Nach Teil 1 ("Motivation") und Teil 2 ("Vorschlag") habe ich immer noch den abschließenden Teil 3 meiner Miniserie offen, der sich mit IPv6 beschäftigen sollte. Bisher fand ich allerdings keinen passenden "Ansatz" um das Thema greifen zu können. Inzwischen ist mir Lutz Donnerhacke mit einem wunderbaren Artikel zuvorgekommen, der mir den dritten Teil letztlich erspart und auf den ich dann schlicht verweisen möchte.

Lutz Donnerhacke spannt in seinem Beitrag einen lesenswerten Bogen von der Historie technischer Kommunikationsmittel wie Telefon und Brief zum Internet, der darauf basierenden Umsetzung von Datenschutz in der "Prä-Internet"-Zeit, dem Mythos "Dynamische IP", einer Erklärung von IPv6 bis hin zu einer Vision in der, im Gegensatz zu der von Datenschützern teilweise als Allheilmittel propagierten Dynamisierung von IP-Adresszuweisungen, statische IP-Adressen zusammen mit einem mündigen Bürger für eine tatsächliche Stärkung des Datenschutzes und der Durchsetzung des Rechts auf informationelle Selbstbestimmung sorgen können.

Er konstatiert zunächst schonungslos ehrlich und völlig zu Recht:

"Die hart erkämpfte datenschutzrechtliche Forderung nach anonymer oder zumindest pseudonymer Kommunikation – wie sie ins IuKDG eingegangen ist – ist also technische Illusion ."

entzaubert dann insbesondere den Mythos "Dynamische IP" und erklärt, das für die dynamische Vergabe von IP-Adressen bei früher üblichen Einwahlverbindungen eben nicht der Datenschutz, sondern schlicht wirtschaftliche Gründe dafür ausschlaggebend waren, und lediglich "geschicktes Marketing" dafür sorgte, das alle Welt heute dynamische IP-Adreßvergabe geil findet und Datenschützer daher auf dieser "dynamischen Bühne" letztlich nur jede Woche eine neue Folge in der Datenschutztheater-Soap vorführen.

Er endet mit dem Vorschlag und der Vision, das mit IPv6 gerade statische IP-Adressen für ein Mehr an echtem Datenschutz und informationeller Selbstbestimmung sorgen könnten, da man so seine Daten eben viel besser unter eigener Kontrolle haben kann als dies beim Ablegen in zentralen Netzdiensten der Fall möglich ist, womit sich der Kreis zur Ende-zu-Ende-Kommunikation per Telefon vom Beginn des Artikels schließt. Dies erfordert aber ein komplettes Umdenken im Hinblick auf "Datenschutz im Internet" notwendig, auch und insbesondere von Seiten der Datenschützer, die erkennen müssen, das die Werkzeuge der 80er Jahre des letzten Jahrtausends nicht mehr funktionieren.

Bleibt zu hoffen, das Beiträge wie der von Lutz Donnerhacke zu diesem Umdenken führen. Das es so wie bisher auf Dauer nicht weiter gehen kann ohne das Netz kaputt zu regulieren, nun, das ist der Grund warum es dieses Blog und die Datenschutzkritische Spackeria gibt.

Den kompetten Artikel gibt es hier: http://www.iks-jena.de/ger/Blog/IPv6-und-der-Datenschutz

cronjob