Nun ist das Kind doch in den Brunnen gefallen, im EU-Parlament hat eine große Koalition der Willigen die Vorratsdatenspeicherung durchgewinkt :-((
Und was meint unser neuer großer Bruder dazu: "Niemand will jeden Mausklick überwachen." Tja, Herr Schäuble, es gab da vor Ihnen schon andere deutsche Politiker, die hatten auch nicht die Absicht, eine Mauer zu bauen, und auf einmal &emdash; ganz, ganz plötzlich &emdash; stand sie doch da... Außerdem ist der Herr Innenminister strikt gegen eine Kostenerstattung, es wäre ja schließlich staatsbürgerliche Ehrenpflicht, im Kampf gegen den Terror zu helfen. Im Endeffekt ist es ja relativ egal, ob wir unsere eigene Überwachung nun über Steuern oder Telefon/Internetzugangs-Gebühren mitzahlen, aber ein paar kleinere Provider wird es das Leben kosten.
Das Dumme ist nur, daß man mit dieser Mammutüberwachung keinen einzigen Terroristen fangen wird (außer vielleicht mal einen, der sich besonders doof anstellt.) Denn sie ist immer noch leicht zu umgehen: Man besorge sich ein Handy und Prepaid-Karte aus dem Ausland und die Gespräche sind nicht mehr einer Person zuzuordnen. Genauso kann man im Internet-Bereich auf anonymisierende Proxies zurückgreifen und dorthin verschlüsselt kommunizieren, am besten noch aus dem Internet-Cafe oder vom Anschluß eines unbeteiligten Dritten aus. Das hat den gleichen Effekt, die gespeicherten Daten lassen keinen Rückschluß auf die kommunizierende Person mehr zu.
Was ich mich immer gefragt habe ist, was denn da nun eigentlich genau gespeichert werden soll. Wenn man sich den Richtlinienvorschlag mal ansieht, fällt beim Überblättern des einleitenden Bla-Bla erstmal folgendes auf: (Seite 5)
Einholung und Nutzung von Expertenwissen\
Externes Fachwissen wurde nicht benötigt
Ja, das merkt man, daß da keiner Ahnung von der Technik hatte :-) Weiter hinten im Anhang findet sich dann eine lange Liste der zu speichernden Daten. Hier mal ein Auszug betreffend "Internetzugang, E-Mail per Internet und Sprachübermittlung per Internet" (Zitate kursiv):
-
zur Rückverfolgung und Identifizierung der Quelle einer Nachricht benötigte Daten:
-
die vom Internet-Provider für eine Nachrichtenübermittlung zugewiesene dynamische oder statische Internet-Protokoll-Adresse
-
die Benutzerkennung der Quelle einer Nachricht
Daß die einzelnen Nutzern zugewiesene dynamische IP-Adresse gespeichert werden solle, war ja von vornherein klar. Aber was bedeutet das im Zusammenhang mit E-Mail? Die vom Provider zugewiesene E-Mail-Adresse? Wer zwingt mich, die zu benutzen, geschweige denn den SMTP-Server des Providers?
-
die Anschlusskennung oder Rufnummer, die jeder Nachrichtenübermittlung über das öffentliche Telefonnetz zugewiesen wird
Hm, meint das wieder die IP-Adresse, oder die Telefonnummer des Analog/ISDN-Anschlusses, der zur Einwahl benutzt wurde? Was ist bei DSL?
-
Name und Anschrift des Teilnehmers bzw. registrierten Nutzers, dem die IP-Adresse, Anschlusskennung oder Benutzerkennung zum Zeitpunkt der Nachrichtenübermittlung zugewiesen war
-
-
zur Rückverfolgung und Identifizierung des Adressaten einer Nachricht benötigte Daten:
-
Anschluss- oder Benutzerkennung des bzw. der geplanten Empfänger einer Nachricht
Wenn man sich ins Internet einwählt, ist ja erstmal kein Empfänger in diesem Sinne vorhanden. Soll das also die Ziel-IP eines IP-Pakets sein? Und ist bei Mail die To:-Adresse gemeint? Dann müsste man den Datenstrom der SMTP-Verbindung mitschneiden, denn From:- und To:-Adressen werden auf Layer 7 vermittelt.
-
Name und Anschrift des bzw. der Teilnehmer oder registrierten Nutzer, an die die Nachricht gerichtet ist
Jetzt wird's lächerlich! :-) Woher bitte soll ein Provider das wissen? Innerhalb der EU könnte man die einzelnen Provider vielleicht noch zu gegenseitigem Datenaustausch verpflichten, aber wenn die Zieladresse außerhalb der EU liegt? Was ist, wenn man eine Mail an <johndoe@evil.org> schreibt, wie soll man bitte dessen Name und Anschrift rausfinden? Oder wenn man eine Webseite aufruft, die auf den Osterinseln gehostet wird?
-
-
zur Bestimmung von Datum, Uhrzeit und Dauer einer Nachrichtenübermittlung benötigte Daten:
-
Datum und Uhrzeit der An- und Abmeldung für eine Internet-Sitzung ausgehend von einer bestimmten Zeitzone
-
-
zur Bestimmung der (mutmaßlichen) Endeinrichtung benötigte Daten:
-
die für die Einwahl verwendete Rufnummer
-
der DSL-Anschluss oder eine andere Endpunktkennung des Urhebers der Nachrichtenübermittlung
-
die MAC-Adresse (Media Access Control) oder sonstige Gerätekennung des vom Urheber der Nachrichtenübermittlung verwendeten Geräts
Äh, welches Gerät soll da gemeint sein? Mein PC vielleicht? Woher soll mein Provider dessen MAC-Adresse kennen? Das bei Analogmodem und ISDN übliche PPP-Protokoll überträgt als Layer 3-Protokoll keine MAC-Adressen, die kann man also gar nicht auf Providerseite aufzeichnen. Wenn man ein per Ethernet angeschlossenes DSL-Modem/Router hat, dann wäre dort die Source-MAC noch sichtbar, als Protokoll zum DSLAM in der Vermittlungsstelle wird aber PPP-over-ATM eingesetzt, wo wiederum keine MACs transportiert werden. Soll es da ein spezielles Protokoll nebendran geben, das die Source-MAC übermittelt? Und selbst wenn man das tun würde, könnte man immer noch einen Router dazwischenschalten, so daß nur dessen MAC sichtbar wird.
Oder, andere Interpretation: Es könnte bei DSL irgendeine ID des Modems sein. Aber auch dafür gibt es meines Wissen kein Protokoll, das diese dem Provider mitteilt. Und abgesehen davon taugt es nicht als "Endpunktkennung", denn das Modem vermittelt ja wiederum nur.
-
Als Zusammenfassung kann da nur ein anderes Zitat dienen, diesmal deutlich älteren Datums: "Denn sie wissen nicht, was sie tun..." Technisch gesehen ist es grober Unfug, was da teilweise gespeichert werden soll. Nichtsdestotrotz werden die Provider verpflichtet, auf eigene Kosten riesige Datenhalden anzulegen, die die Überwacher mangels ausreichend dicker Leitungen wohl niemals abrufen können. (Das DE-CIX hat ausgerechnet, daß sie wahrscheinlich täglich 690000 CDs an Daten produzieren würden!)
