Angriff auf Forschungsmafia.de
Juristische und andere Erkenntnisse über Angriffe, Meinungsfreiheit, staatliche Repressalien, Hacker-Tools und die Vorratsdatenspeicherung.
Am 4.10.2009 hatte ich dieses Blog Forschungsmafia.de eröffnet. Inhaltlich habe ich dabei nicht bei Null angefangen, sondern mein Blog unter Danisch.de inhaltlich aufgeteilt, um eine bessere thematische Trennung zu erreichen. Die universitäts- und forschungsbezogenen Artikel habe ich in das neue Blog verschoben, weshalb es auch viele Artikel enhält, die vor dessen Eröffnung liegen.
Schon 5 Tage später, in der Nacht vom 9.10 auf den 10.10.2009, kam es zu intensiven Angriffen auf den Webserver. Ich war zufällig gerade auf der Maschine eingeloggt, habe dabei eine Reihe von Warn- und Fehlermeldungen bemerkt und dem Angreifer dann über eine Stunde lang live zugesehen, was er da so alles treibt und probiert. Beispielsweise, daß er die Tools Nikto/2.03 und Zobat.SH eingesetzt hat. Weil dabei über den Angreifer nicht viel mehr als dessen deutsche IP-Adresse zu erfahren war und deren Traceroute in den Berliner Raum zeigte, habe ich entsprechene Strafanzeige erstattet. Bei der Kripo Nürnberg, weil die Maschine dort steht. Für gewöhnlich kommen solche Angriffe aus China, der Gegend der ehemaligen Sowjetunion oder sowas, wogegen man sowieso nicht viel ausrichten kann. Gelegentlich packe ich solche Netzwerke, für die meine deutschsprachigen Blogs ohnehin nicht von großem Interesse sein können, auf eine Blacklist und die Sache ist erledigt. Aber erstens beschränken sich die Angriffe aus China usw. in der Regel nur auf Spam-Versuche, zweitens kam der Angreifer hier aus dem Kundennetz eines großen deutschen Providers, den ich nicht einfach so aussperren kann ohne die Sichtbarkeit meines Blogs drastisch zu beschränken, und drittens hat der da weit über eine Stunde lang sehr intensiv und umfangreich gebohrt, sich nicht nur am Webserver, sondern auch an anderen Diensten wie Pop-Mailboxen usw. zu schaffen gemacht. Also durchaus ernste Sachen, zumal die Maschine nicht nur von mir, sondern noch von über 30 anderen Personen genutzt wird. Und damit notwendigerweise und wegen des begrenzten Administrationsaufwandes, der hineingesteckt werden kann, auch nicht völlig abzusichern ist. Wenn man es drauf anlegt, bekommt man früher oder später jeden normalen Webserver in die Knie.
Die Kripo Nürnberg hat über die Vorratsdatenspeicherung und eine gewöhnliche § 113 TKG-Anfrage vom Provider die Personalien des Anschlußinhabers festgestellt. Ich schreibe hier bewußt Anschlußinhaber und nicht Täter, denn es liegt keine Verurteilung vor, und damit gilt die Unschuldvermutung (obwohl ich als Privatperson zur Unschuldsvermutung nicht einmal verpflichtet bin). Ich weiß auch nicht, ob und wie er sich dazu geäußert hat. Ich war selbst einige Zeit in der Vorratsdatenspeicherung tätig und mit vielen polizeilichen Ermittlungsverfahren befaßt, und weiß deshalb aus eigener beruflicher Praxis, daß der Anschlußinhaber oft nicht der Täter ist, u.a. weil Anschlüsse von mehreren Personen genutzt werden, und es solche Dinge wie Bots, heimlich installierte Proxies, offene WLANs usw. gibt. Der Name dieses Anschlußinhabers ist mir bekannt. Es geht um dessen privaten Anschluß zuhause.
Die Identität dieses Anschlußinhabers ist aber – und die Polizei hat mich ja auch zur möglichen Motivlage befragt – brisant. Es handelt sich (sofern nicht ausgerechnet eine zufällige Namens- und Wohnortgleichheit vorliegt) um einen wissenschaftlichen Mitarbeiter aus dem Bereich der IT-Sicherheit am Potsdamer Hasso-Plattner-Institut. Dieses Hasso-Plattner-Institut hatte ich aus verschiedenen Gründen in der Vergangenheit bereits mehrfach deutlich kritisiert (z. B. 1, 2, 3, 4). Und dieser Mitarbeiter arbeitet, soweit ich ergooglen konnte, auch in diesen von mir kritisierten Bereichen. Unschuldsvermutung hin oder her, das ist für mich zu viel um nur ein Zufall oder Bot oder sowas zu sein.
Das Hasso-Plattner-Institut gehört zur Uni Potsdam und ist damit – auch wenn erheblich privat finanziert – eine staatliche Einrichtung und damit der Staatsgewalt Exekutive zuzuordnen. Außerdem bestehen enge Verbindungen zwischen dem HPI und der CDU, bis hin zur Kanzlerin Merkel. Zudem ist das HPI in den IT-Gipfel involviert, der ebenfalls eine Verflechtung von Hochschulen, Industrie und Politik bewirkt. Obwohl ich früher sogar mal CDU-Wähler war, stößt mir deren Politik inzwischen sehr sauer auf, und insbesondere deren Hochschul- und Forschungspolitik erscheint mir auf Bundes- und Landesebene immer öfter als systematischer und massiver Aufbau von Schwindel, Betrug und Korruption, und einem Ausverkauf von wissenschaftlichen Grundwerten an Industrieinteressen. Ich habe daher in meinen Blogs schon oft kritisiert, daß unsere Hochschul- und Universitätspolitik der wissenschaftlichen Denkweise entgegensteht, daß hier Wissenschaftsbetrug, Gefälligkeitsgutachten, krumme Geschäfte und Interessenschwätzerei geschützt, gefördert und manchmal geradezu erzwungen werden. Daher fühle ich mich durch solche Angriffe auf meinen Webserver nicht nur in technischer Hinsicht, sondern vor allem auch in Bezug auf die Meinungsfreiheit angegriffen und staatlichen und/oder politisch motivierten Repressalien ausgesetzt.
Schon vor einiger Zeit wollte mir eine Professorin kritische Äußerungen in meinem Blog und einer Dokumentation gerichtlich untersagen lassen, war damit aber nicht erfolgreich. Später zeigte sich, daß dahinter damals weniger die Professorin selbst stand, sondern das ganze vom Justitiar der Universität gesteuert und die Professorin nur als aktivlegitimierter Strohmann vorgeschoben worden war. Der Berliner Anwaltskanzlei, die dabei gegen mich tätig wurde, war ich früher schon mal begegnet – als von der CDU herangezogene Sachverständige für eine Bundestagsanhörung.
Juristisch weithin, bis ins Ausland, bekannt wurde auch der Rechtsstreit um die E-Mail-Sperre. Die Universität Karlsruhe, genauer gesagt deren Fakultät für Informatik, hatte damals heimlich und über ein Jahr lang die E-Mails von über 4.000 Personen gefiltert und Mails, in deren Header mein Name “danisch” vorkam, zunächst blockiert und später sogar eingesammelt, um den Informationsfluß zu unterbinden. Zunächst begann die Sache sehr schleppend, die Staatsanwaltschaft Karlsruhe wollte darin keine Straftat sehen. Weil die Rechner der Fakultät gehörten, und jeder mit seinem Rechner doch tun und lassen könne, was er wolle (eine Rechtsauffassung, die sie wegen des Konsums von Kinderpornographie Angeklagten vermutlich nicht zugestehen wollen). Erst im Klageerzwingungsverfahren stellte das OLG Karlsruhe damals aufsehenerregend und in der (m.W.) ersten (bekannten) deutschen Gerichtsentscheidung zu § 206 StGB fest, daß die Unterdrückung von E-Mail strafbar ist, und zwar auch an Universitäten. Der Landesdatenschutzbeauftragte von Baden-Württemberg stufte den Eingriff als datenschutzwidrig ein, und langem Streit konnte auch das ansonsten extrem universitätsfreundliche Verwaltungsgericht Karlsruhe nicht umhin festzustellen, daß ein solcher Eingriff auch verwaltungsrechtswidrig ist. Uneinsichtig geblieben sind jedoch die Universität Karlsruhe und ihre Professoren, auch auch all diesen Entscheidungen hat man sich geweigert, diese Zensurvorkehrungen aus der Benutzerordnung zu entfernen. Man rückt von Zensur nicht ab. Bemerkenswerterweise steht das auch im so oft gelobten und zum Maßstab erhobenen Skript zum Internetrecht des Juraprofessors Thomas Hoeren falsch drin (z. B. aktuelle Version, Seite 372 oben), wo von der „Mail-Zustellung an einen gekündigten Mitarbeiter” die Rede ist. Ich habe Hoeren damals angemailt und darauf hingewiesen, daß das sachlich falsch ist, weil erstens nicht die Uni mir oder ich damals der Uni gekündigt hatte, zweitens zwischen Kündigung und Sperre 5 Jahre lagen und deshalb kein Zusammenhang besteht, und es drittens nicht um Mail-Zustellung an einen Mitarbeiter, sondern um Unterdrückung des Informationsflusses zur Aufklärung von Korruption an der Uni ging. Hoeren hat darauf nicht reagiert. Er blieb bei seiner Darstellung, die dem Mitarbeiter unterschwellig Verfehlungen (warum sonst hätte man ihm gekündigt?) unterstellt und die Zensurmaßnahme damit verharmlost und als verständlich darstellt. Zensur geht mit Desinformation einher, die oft noch mit wissenschaftlichem Anspruch vermischt wird.
Gerade aktuell werde ich wegen eines Blog-Artikels von einem Hamburger Anwalt – angeblich – im Auftrag einer Professorin bedroht. Das in mehrfacher Hinsicht dubiose Anschreiben kann sich nicht so richtig zwischen Unterlassung und Gegendarstellung entscheiden und ist auch ansonsten krude. Kern des Vorhaltes ist, daß ich gar nicht erst kritisch über diese Professorin hätte schreiben dürfen, sondern mich vorher unbedingt an sie selbst hätte wenden müssen um ihre eigene Stellungnahme dazu abzuholen und wiederzugeben. Da herrscht inzwischen tatsächlich die Auffassung, daß Professoren selbst vorgeben und formulieren dürfen, was man über sie schreiben darf. Wissenschaft gibt es in Deutschland kaum noch. Das wurde alles ersetzt durch Meinungsmache, Interessenvertretung, Lobbyismus, Gefälligkeitsgutachten, Meinungslenkung. Je näher jemand der Politik als Vorzeigewissenschaftler steht, desto stärker wird die Erscheinung in der Presse modelliert. Dazu gehören beispielsweise ganzseitige personenpreisende Artikel in großen Tageszeitungen, aber auch die – teils von wissenschaftlichen Mitarbeitern, teils von beauftragten Agenturen betriebene – Manipulation von scheinbar privaten Seiten, wie eben Blog-Kommentare, Kommentare auf Bewertungsseiten und die inzwischen weitgehend manipulierten, zensierten und frisierten Wikipedia-Artikel über Professoren, Universitäten usw. Und dazu gehört eben auch, auf Blog-Autoren Druck auszuüben, wenn sie schreiben, was nicht ins Konzept paßt.
Dieser Anwalt droht mir unmittelbar juristische Schritte an, die zweifellos – es ist ein Hamburger Anwalt – vor dem berüchtigten LG Hamburg stattfinden werden, dessen extreme Rechtsansichten zwar wegen grober materieller und formaler Fehler immer wieder vom BGH kassiert werden, aber bis zum BGH ist es ein langer teurer Weg, und bis dahin ist die zensierte Information ohnehin veraltet. Der fragwürdige „fliegende Gerichtsstand” ist die Grundlage, um durch ein einzelnes Landgericht eines kleinen Stadtstaates die ganze Republik in ihrer Meinungsfreiheit und polistischen Meinungsbildung zu terrorisieren und jede von Politik und Industrieinteressen abweichende Meinung plattzuhauen. Es kommt nicht von ungefähr, daß man in Deutschland die Möglichkeiten der Meinungsfreiheit inzwischen am niedrigsten einschätzt. Der Staat hat – wieder einmal durch Delegation staatlicher Gewalt in den Privatbereich – ein Klima der permanenten schwerwiegenden Bedrohung jeder Meinungsäußerung geschaffen. Es werden Meinungsmonopole geschaffen, die auf längst durch Politik und Industrieinteressen durchsetzte willfährige Presselandschaft beschränkt wird. Kaum ein Verlag könnte noch auf die Werbeeinnahmen verzichten. Kaum eine Zeitung ist noch frei von politischem Einfluß. Und über die Einflußnahme der CDU auf die Stellenbesetzung im ZDF war auch allerhand zu lesen. So mancher Politiker und Professor (was eh kaum noch einen Unterschied macht) ist richtig schlecht für’s Klima der Meinungsfreiheit.
Ich fühle mich deshalb in meiner Meinungsfreiheit in Deutschland massiv bedroht. Und auch in meiner Wissenschaftsfreiheit, denn die Wissenschaftsfreiheit umfasst auch die Kritik an den Methoden anderer.
Ich werde juristisch bedroht, ich werde gefiltert, und nun kommen auch noch massive Angriffe gegen meinen Webserver hinzu. Und jedesmal stecken CDU-nahe Hochschulkreise dahinter. Und dazu habe ich in einem ganz anderen Zusammenhang unlängst einen Fall einer richtig dreckigen Einflußnahme und Meinungsgleichrichtung erlebt, über den ich hier nicht öffentlich reden darf.
Ich habe den Eindruck, daß Bloggen und die private Meinungsäußerung in diesem Land massiv unter Druck gesetzt und drastisch reduziert werden. Ob es dabei nur um inhaltliche Fragen geht, oder ob mal wieder die Urheber- und Verlagslobby dahintersteckt, die ja in letzter Zeit öfters mal geäußert haben, daß ihnen die kostenlose Konkurrenz durch Blogger ihre Geschäftsmodelle und Meinungsmonopole untergräbt, sei dahingestellt.
Im Falle dieses Angriffs gegen meinen Webserver war ich nun in einer günstigen Position. Ich war zufällig dabei. Der Angreifer hatte zwar offenbar weitaus mehr Wissen als ein durchschnittlicher Internet-Nutzer, aber der Angriff war dann doch auch wieder dilettantisch. Da kommt einer und brettert über eine Stunde voll Gas auf meinem Server rum, als würde eine Horde Elefanten davor herumtrampeln. Mehrere tausend Angriffsversuche führt er durch, dabei durchaus gefährliche. Aber in der Mehrzahl Angriffe gegen Windowsrechner, während mein Webserver unter Linux läuft. Und hat damit natürlich große Mengen an Fehlermeldungen erzeugt. Kurioserweise forscht der, den sie als Anschlußinhaber ermittelt haben, am Hasso-Plattner-Institut angeblich auch in Intrusion Detection (und promoviert darin vermutlich sogar). Was mein Bild des HPI durchaus festigt. Und der hat sicher bald seinen Doktor in IT-Sicherheit, solche Leute promovieren in Deutschland sehr schnell.
Jedenfalls war ich so in der Position, die Angriffe belegen zu können und eine IP-Adresse zu haben, die der Vorratsdatenspeicherung unterliegt.
Nun sind in Deutschland in Sachen Datenschutz und Vorratsdatenspeicherung gerade eine Menge Gutmenschen unterwegs. Die Vorratsdatenspeicherung will man abschaffen (das BVerfG-Urteil muß ich mir erst noch durchlesen, bin gerade erst aus dem Urlaub zurückgekommen), und man legt auch Wert auf die Feststellung, daß der Betreiber eines Webservers keine IP-Adressen loggen darf, weil dies personenbezogene Daten sind.
Viel habe ich mir dazu angehört und gelesen. Manche Argumente sind gut, andere völlig überzogen, absurd oder schwachsinnig. Allen gemeinsam ist aber, daß sie völlig einseitig sind und man nur die eigene Position hören will, Andermeinungen aber nicht zur Kenntnis nimmt. Mir kommt das ganze sehr ideologisch gefärbt vor. Gerade aus dem Dunstkreis des Chaos Computer Clubs habe ich dazu teils sehr krass-ideologische Meinungen gehört, und manchmal frage ich mich, wessen Interessen der CCC eigentlich vertritt bzw. von wem er unterwandert ist. Oder ob denen inzwischen jede beliebige Meinung recht ist, mit der man in die Presse kommt. Gewundert habe ich mich auch über Presse, Politik und sogar das Bundesverfassungsgericht. Wen die immer alles als „Experten” befragen, immer die selben Leute als Meinungsmacher. Bisher habe ich dabei nicht einen einzigen gesehen, der tatsächlich mal mit der Vorratsdatenspeicherung und Ermittlungsverfahren zu tun hatte und hinreichend wüßte, wovon er redet. Sachkunde ist out, heute zählt Meinungsmache, und die ist von Interessen gesteuert.
Ich muß den Leuten, die sich so für Datenschutz und gegen die Vorratsdatenspeicherung einsetzen (und urteilen) entgegenhalten, daß ich das insbesondere nach dem Angriff auf meinen Server (aber auch aus meiner beruflichen Erfahrung mit der VDS) anders sehe.
Ohne Vorratsdatenspeicherung und die Fehlerlogs hätte ich keine Möglichkeit gehabt, diesen Angriff hier rückzuverfolgen und zu entdecken, aus welcher Richtung er kam, und daß da nicht eben nur irgendein pickeliger Junghacker oder russischer Spammer dahintersteckt.
Vor diesem Hintergrund fühle ich mich durch das Fehlen einer Logmöglichkeit und das Fehlen einer Vorratsdatenspeicherung (bzw. des Zugriffs darauf wegen solcher einfacher Straftaten) in meiner Meinungsfreiheit und damit auch persönlich weit mehr bedroht als durch Logs und VDS selbst. Wer durch die Abschaffung von Logs oder VDS verhindert, daß man Angriffe auf meinungsbildende Blogs rückverfolgen kann, der bedroht die Meinungsfreiheit selbst.
Dahinter könnte allerdings auch ein systematischer Denkfehler, eine falsche Bedrohungsannahme stecken. Datenschützer und Speicherungsgegner sehen den Staat normalerweise dahingehend als Bedrohung, daß er die Bürger überwacht und verfolgt, was die Bürger im Netz treiben. Vielleicht ist das falsch. Vielleicht ist es genau andersherum. Vielleicht treibt der Staat – also Leute, die mehr oder weniger den Staatsgewalten oder den Lobbyisten zuzuordnen sind – selbst mehr Unfug im Netz, als er bei den Bürgern überwacht. Wie beispielsweise die von oder im Auftrag von Politikern geschönten Wikipedia-Seiten. Wie die anscheinend von Privatpersonen stammenden Blogkommentare, hinter denen Agenturen stecken. Wie solche Angriffe gegen Blogs. Vielleicht liegt die Bedrohung nicht (oder weniger) in der Überwachung durch den Staat, sondern im Handeln durch den Staat. Vielleicht ist das wichtige Ziel nicht mehr die Anonymisierung, sondern die Überwachbarkeit des Staates durch den Bürger. Vielleicht ist das Problem nicht, daß der Webseitenbetreiber sieht, wer die Seiten besucht, sondern daß der Besucher nicht sieht, wer die Seiten geschrieben hat. Vielleicht richten die, die gerade die Überwachbarkeit angreifen, damit mehr Schaden als Nutzen an. Vielleicht sind die, die gerade so auf Digital Citizen und Netzbürger machen, in ihrem Weltbild und ihrer Bedrohungsannahme noch gar nicht in der digitalen Neuzeit angekommen. Es wird immer Big Brother aus 1984 zitiert, der alles überwachte. Vielleicht sollte man mehr Augenmerk auf die im selben Roman beschriebene systematische und organisierte Desinformation legen.
Ich bin mittlerweile eigentlich schon an dem Punkt angekommen, an dem ich fast drauf pfeife, wer mir eigentlich beim Surfen zuguckt, und lieber genau wissen will, vom wem die Informationen stammen, die ich im Netz ständig konsumiere. Anonymität als Bedrohung der Bürgerrechte. Anonym erstellte Webinhalte, Wikipedia-Seiten, Angriffe auf meinen eigenen Server usw. könnten mir möglicherweise mehr schaden als der Verlust meiner eigenen Anonymität. Oder IT-technisch ausgedrückt: Mir kommt es inzwischen zunehmend so vor, als wären Integrität und Authentizität heutzutage viel wichtiger als Vertraulichkeit. Eine Abkehr von bisherigen Paradigma, der Nutzung von PGP, anonymisierenden Proxies und so weiter.
Freilich ist das eine Sichtweise, die mit der ideologisch verbrämten political correctness der Internet-Meinungsmacher nicht übereinstimmt. Es ist eine Sichtweise, die Verfassungsrichter aus ihrem Umfeld und mit ihrer geringen technischen Eigenerfahrung nicht erkennen konnten und die ihnen auch keiner der von ihnen eingeladenen „Experten” hätte vermitteln können (oder wollen). Aber es ist zumindest meine Sichtweise. Ich fühle mich deartigen Angriffen zunehmend schutzlos ausgeliefert. Zumal die Komplexität von Webservern und Betriebsystemen immer weiter steigt, und man – ich arbeite immerhin in dem Gebiet – mit vertretbarem (ob nun im kommerziellen Bereich oder als Hobby) Aufwand heute keinen stabilen und hinreichend angriffsresistenten Webserver betreiben kann. Ich bin der Auffassung, daß man das Zeug gar nicht sicher bekommt, solange das in C und von Leuten ohne umfangreiche Sicherheitsausbildung und genügend Zeit zum Programmieren geschrieben ist. Und selbst wenn man es mit allerlei Tricks, Schlichen und Konfigurationssorgfalt halbwegs sicher bekommt: Es setzt Fachwissen und Zeitaufwand voraus, der für viele nicht zu leisten ist und damit zu einer enormen Verengung der Meinungsfreiheit führt. Meinungsfreiheit bemißt sich auch an Schwelle und Aufwand. Man wird sich künftig darauf einstellen müssen, daß Blogs mit unerwünschten Meinungen einfach zusammengeschossen (oder sollte man vielleicht sagen „zusammengetreten” ?) werden. Gegenwehr gibt’s nicht mehr. Dazu nachfolgend mehr.
Zurück zum Angriff auf meinen Webserver. Ich habe also Strafanzeige bei der Kripo Nürnberg erstattet (weil der Server in Nürnberg steht). Die hat den Anschlußinhaber ermittelt, und das an die Staatsanwaltschaft Nürnberg gegeben. Die gab es an die örtlich zuständige Staatsanwaltschaft Potsdam weiter. Und die reichte es an die Schwerpunktstaatsanwaltschaft Cottbus weiter. Weil die sich damit angeblich besonders gut auskennen und fachlich zuständig sind.
Von der Staatsanwaltschaft Cottbus habe ich nun gerade die Verfügung erhalten, daß das Verfahren eingestellt wird. Bei der Begründung zieht’s einem die Schuhe aus:
- Ein Ausspähen von Daten (§ 202a StGB) sei nicht erfüllt, weil der Angriff nicht erfolgreich gewesen sei (jedenfalls soweit ich das noch live beobachten konnte). Es ist zutreffend, daß § 202a den Versuch nicht unter Strafe stellt. Man fragt sich aber, in welchem Maße die Bundesregierung die Bürger vor Angriffen wie Identitäts- und Kreditkartendiebstählen schützt, wenn der Versuch da straflos bleibt.
Das Prüfen von Webseiten oder eines Webservers auf vorhandene Schwachstellen sei nicht strafbar, weil ja dann, wenn eine Schwachstelle vorläge, diese eben nicht besonders gesichert wäre und damit die Voraussetzung des § 202a StGB nicht erfüllt wäre. Die Logik der Staatsanwaltschaft ist also die: Angreifen ist immer straflos. Entweder hat man Erfolg, dann ist es nicht strafbar, weil es ja eine Schwachstelle gab und es damit an der besonderen Sicherung fehlt, oder man hat keinen Erfolg, dann war es nur ein Versuch, und Versuche sind auch nicht strafbar.
Ich habe früher mal ein paar Jahre lang Sicherheitsuntersuchungen durchgeführt. Und mir jedesmal vorher schriftlich bestätigen lassen, daß und welche Server ich untersuchen soll und darf. Warum eigentlich? Laut StA Cottbus darf man auf jeden beliebigen Webserver ohne Einverständnis des Betreibers draufhauen, wie man will.
- Dann hatte ich noch Anzeige wegen des neuen Hacker-Tool-Paragraphen 202c StGB gestellt. Nee, der sei auch nicht erfüllt. Bei Nikto/2.03 und Zobat.SH handele es sich eben nicht um Hacker-Tools, sondern um „Dual-Use-Tools”, weshalb deren Besitz nach dem Beschluss des Bundesverfassungsgerichts 2 BvR 2233/07 v. 18.5.2009 auch nicht strafbar ist.
Wie sie aber darauf kommen, daß es sich dabei um Dual-Use-Tools handelt, verraten sie nicht. Ich habe im Security-Umfeld noch nie gehört, daß irgendwer die zu regulären Untersuchungen einsetzt.
Davon abgesehen hat die Sache den Schönheitsfehler, daß die Staatsanwaltschaft über den reinen Besitz dieser Tools redet, während es hier um den Gebrauch zum unbefugten Angriff gegen einen Server geht. Wenn man den Paragraphen aber genau liest, steckt da der Wurm drin:
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.Da steht verschafft, verkauft, überlässt, verbreitet, zugänglich macht. Da steht nichts von Gebrauch. Man kann sich die Tools also verschaffen, weil man sich immer irgendwie auf Dual-Use hinausreden kann, man könnte sie ja auch befugt einsetzen. Und dann kann man sie problemlos für böse Dinge einsetzen, weil der Gesetzgeber ausgerechnet in diesem Hacker-Paragraphen über Vorbereitungshandlung vergessen hat, den Gebrauch zu erwähnen. Da wird ein Mords Geschrei veranstaltet, weil der Gesetzgeber angeblich Hacker-Tools und Sicherheitssoftware verbietet, und wenn man genau hinschaut, verbietet er damit alles mögliche, nur nicht das, worauf es ankommt.
Das ist mal wieder so ein typischer Hintertür-Paragraph, mit dem man Leute verfolgen kann, obwohl sie nicht angreifen, aber die Angreifer ungeschoren bleiben.
- Datenveränderung und Computersabotage nach §§ 303a und 303b StGB lägen auch nicht vor. (Obwohl da ausdrücklich schon der Versuch strafbar ist.)
Port-Scans oder das Prüfen von Webseiten oder Webservern auf Schwachstellen stellten für sich genommen nur eine straflose Vorbereitungshandlung dar.
Das halte ich für Käse. Hier ging es nicht nur um Portscans. Wenn einer auf einem Webserver einen URL aufruft, der in eine Schwachstelle führen würde, dann ist das in meinen Augen weit mehr als eine Vorbereitungshandlung. Denn wenn der Server die Schwachstelle aufwiese, dann wäre der Angreifer „drin”.
Ich sehe darin einige technische Fehler, und zur juristischen Richtigkeit muß ich mir noch einige Gedanken machen.
Die Frage ist aber, was der ganze Paragraphenkram eigentlich soll, wenn er dann, wenn ein Server angegriffen wird, nicht greift. Da macht der Gesetzgeber ein Riesen-Theater um Internet-Sicherheit und die Erweiterung des Strafrechts, und wenn es drauf ankommt, stellt sich das alles nur als heiße Luft und Symbolpolitik mit verquasten Formulierungen dar, die so – juristische Genauigkeit eben – hakelig sind, daß sie eigentlich nirgends passen. Blogs – und damit die Meinungsfreiheit – werden nicht, oder wenn überhaupt, dann nur post mortem geschützt. Ich habe als Bürger keine Möglichkeit, mich effektiv gegen solche Angriffe der Exekutive zur Wehr zu setzen.
Oder hat da vielleicht der Zyniker in mir eine Idee? Sollte ich in meinen Server bewußt Schwächen offenlassen, damit jeder, der ihn scannt, Gefahr läuft, unversehens in einen Angriffserfolg zu laufen, damit die Paragraphen greifen? Dazu müßte man erst mal sehen, worauf das mit der Vorratsdatenspeicherung hinausläuft.
Vielleicht schaffe ich es ja nochmal, wie damals bei der E-Mail-Sperre und § 206 StGB, ein Klageerzwingungsverfahren durchzukriegen.
Was bleibt ist die Erkenntnis, daß es letztlich überhaupt keinen Schutz mehr gegen interessenmäßig und politisch motivierten Staatsvandalismus von oben gibt. Zu den bisherigen Repressalien und Bedrohungen der Meinungsfreiheit wird hinzukommen, daß unerwünschte Webserver einfach zusammengeschossen werden. Aber vielleicht ist das ja viel subtiler. Vielleicht geht es ja gerade nicht darum, den Server lahmzulegen. Vielleicht ist es ja gerade das Spiel, nur so zu tun als ob. Und viel Mist in den Fehlerlogs zu hinterlassen. Wie eine Horde Elefanten. Vielleicht geht es ja darum Leute zu warnen. Ob ich dann morgen eine Patronenhülse oder eine tote Katze vor der Haustür finde?
Ach, und über den bundesdeutschen politiknahen IT-Gipfel, in dessen Ausrichtung das HPI so intensiv involviert ist, bilde ich mir da auch so meine Meinung. Was die IT-Sicherheit angeht, hat man da wohl den Bock zum Gärtner gemacht. Die Überlegung, was solcherlei Vorgänge über SAP-Software besagen könnten, zu deren Gründern Hasso Plattner ja gehört und in deren Aufsichtsrat er sitzt, verkneife ich mir lieber. Ich hätte meinen Server gerne noch eine Weile.
25 Kommentare (RSS-Feed)
Harter Tobak!
Vielleicht machen die Kinder, die alles im Netz zugänglich machen, ja alles richtig, und meine Vorstellung von Privatsphäre wird langsam unsinnig. Zumindest gibt es riesige kulturelle Unterschiede,zwischen Nationen,Generationen und Subkulturen. Wandel ist möglich,ihn auszuschließen ist eine konservative Position. Die Hyperöffentlichkeit ist der beste Schutz vor Schlapphüten und Machtmißbrauch, den ich mir vorstellen kann.
@HF
Solange nur einige wenige, und es sind wirklich nur wenige im Verhältnis zur Gesamtbevölkerung, alles offenlegen, funktioniert das Offenlegen von allem nicht.
Sofern wirklich alles konsequent offengelegt würde, z.B. Korrespondenz, Kontenbewegungen, Einkäufe, Aufenthaltsorte, Telefongespräche u.v.m., insbesonere von Politikern, aber auch allen anderen Bürgern, wären Mauscheleien zumindest sehr schwierig.
Zum Thema:
ich denke, das it Vorratsdatenspeicherung, Logs vom Webserver und der Erhebung von anderen Daten muß man abgestuft sehen.
Es ist sinnvoll, Logdateien, insbesondere mit IP-Adressen aufzuheben, um üebrhaupt feststellen zu können, was passiert ist, wenn etwas schiefläuft. Die Vorratsdatenspeicherung, die vor allem Verbindungsdaten erfassen soll, ist imho so nicht notwendig. Hingegen sollte die Speicherung einer IP-Adresse zu einem Kunden zu einem bestimmten Zeitpunkt schon möglich sein, um zumindest eine zeitlang im Falle von Straftaten feststellen zu können, wer der Anschlußinhaber ist. Ob hier nun 30 Tage oder 6 Monate angemessen ist, wird noch auszudiskutieren sein.
Was aber noch viel wichtiger ist, ist für Gesetze zu sorgen, die nicht so schwammig sind, daß es sich die Staatsanwaltschaft jeweils aussuchen kann, ob sie Lust hat, in dem einen Fall mit allen verfügbaren Mitteln einem das Leben schwer zu machen, aber in dem anderen Fall in derselben Konstellation Strafvereitelung betreiben kann, ohne daß man Ihr ans Bein pinkeln kann.
Wäre interessant zu wissen, ob die Staatsanwaltschaft jemanden, der bei einem Haus alle möglichen Türen und Fenster durchprobiert ob diese offen sind oder gar mit Dietrichen ausprobiert, ob die Tür aufzubekommen ist, auch einfach gehen läßt, weil er ja keinen Erfolg gehabt hat.
Zu 3 Punkten will ich was sagen:
1. CCC: Ja, der äußert sich in vielen Fragen nicht wie eine neutrale Begutachtungsinstanz, sondern z.B. mit der pol. Zielsetzung “mehr Datenschutz”, und dann einseitig, wie im Falle VDS. Das finde ich völlig in Ordnung; die Gegenseite soll eben ihre Argumente selbst auf die Reihe bringen. Solange nicht gelogen wird, oder die Einseitigkeit stinkig wird, weil offensichtlich gute Gegenargumente überhört werden usw., und solange nicht eine neutrale Einschätzung explizit gefordert wird, oder behauptet wird, eine Darstellung wäre ausgewogen.
Ich hatte nie den Eindruck, daß der CCC den Eindruck erwecken will, er würde auch die Gegenposition gleichwertig vertreten – es ist erkennbar, daß er einseitig agiert, und ich glaube auch für Laien erkennbar, daß dem so ist.
2. IP-Adressen speichern: Ich habe die Rechtsprechung so verstanden, daß man nicht auf Verdacht speichern darf, um dann im Falle eines Angriffs etwas zu haben, daß man aber durchaus speichern darf, sobald ein Angriff stattfindet. Da man aber die Staatsanwaltschaft kaum in 60 Minuten dazu bringt schnell aktiv zu werden, sieht es mit Gegenwehr schlecht aus, wenn man die IPs hat, aber keinen Nutzer mehr zuordnen kann.
Ich weiß nicht wie das Quick-Freeze-Verfahren aussieht, ob es über das Schlagwort hinaus einen festgelegten Ablauf gibt. Als Kompromiß kann ich mir das aber gut vorstellen: Ich benachrichtige die Polizei, daß ich von 88.77.66.55 attackiert werde, diese fordert den ISP auf, die Daten einzufrieren. Später prüft die Staatsgewalt dann, ob die Anzeige plausibel ist, und dem Richter vorgelegt wird, der dann sagt, ob die Daten vom ISP abgeholt werden dürfen oder nicht.
3. Hackerparagraph: Die Argumentation ist ja wirklich absurd, aber paßt zu dem mißlungenen Gesetz. In der Begründung hieß es noch, daß man Tools verbieten will (Beschaffung, Überlassung und der ganze Kram) weil man nur so Vorbereitungshandlungen wirksam unterbinden könne. Auf die Kritik, daß die Verteidiger die gleichen Tools benötigen, wie die Angreifer, um experimentell prüfen zu können, ob ein Dienst/Gerät/Netz geschützt ist, hieß es dann, daß es dann auf die Intention ankomme, ob jemand die Tools zum Angreifen einsetzen wolle oder zur Abwehr, was schrill ist, da man ja bei jemandem, der 40 Scripte auf einem Server anbietet schlecht rausfinden kann, wieso er das macht. Läuft irgendwie auf Gesinnung, Leumund und Steuerbescheid heraus. Aber dann druckt man sich Visitenkarten “Sicherheitsberatung H. Kerr” und hat schonmal einen Anfangskredit?
Daß man die Beurteilung abhängig macht davon, ob ein Angriff gelingt – wenn nicht ist es nur ein freundliches Anklopfen, wenn doch, war es kein “wirksamer Schutz” – dürfte eigentlich nicht sein. Beim Kopierschutz gibt es ja auch so eine tautologische Formulierung “wirksamer Kopierschutz”, die aber im Prinzip nur besagt, ob es mehr als ein Placebo ist – so wie man die Haustür zuschlägt, und dann ist ein Angriff Einbruch, auch wenn die Tür nicht viel Widerstand bot, und wenn die Tür offen steht ist es nur Diebstahl. (Ich hoffe ich habe diesen einfachen Fall nicht falsch).
Ähnlich müßte das auch bei Hackerangriffen gelten. Müßte – ob es das tut ist eine andere Frage.
Beim CCC gibt es übrigens auch nette Podcasts, z.B. zu Wikileaks, wenn man heikle Wahrheiten ans Tageslicht schlüpfen lassen möchte. 🙂 Aber das kennst Du sicher.
In Sachen VDS stimme ich dir nicht zu, ich halte die hier aufgestellte Infrastruktur fuer nicht verhaeltnismaessig. Das Gesetz ueber den Besitz von Hacker-Programmen ist auch Unsinn. Ueber deren Benutzung zwecks Computersabotage dagegen muss man reden.
Das der stattgefundene Angriff nicht als Straftat zaehlt ist intuitiv schon schwierig zu verkraften. Andererseits wuerde ein Gesetz, das diesen Vorgang unter Strafe stellt, auch verbieten bei einer komisch aussehenden URL auf einer grossen Website mal ein paar Parameter da oben in der Adressleiste zu aendern. Und das wiederrum finde ich nicht korrekt. Es wuerde einen wesentlichen Aspekt der “Sicherheitsforschung” hier in Deutschland kriminalisieren. Hier eine eindeutige Schranke zu formulieren scheint nicht ganz einfach. Im Zweifel sollte unbedingt das Tatwerkzeug forensisch untersucht werden, allerdings mit minimalem Schaden fuer den vermeintlichen Taeter. Wenn dann boese Absicht zu erkennen ist, muss das bestraft werden.
Ethisch gesehen ist der Vorgang natuerlich auch hoechst bedenklich. Das ein Sicherheitsforscher sein Wissen einsetzt um irgendein unliebsames Blog anzugreifen, ist hochgradig bedenklich und sollte all seinen zukuenftigen Arbeitgebern bekannt gemacht werden. Zumindest denen, die sich fuer Vorstrafen der jeweiligen Person interessieren.
Wenn du die IP des Angreifers hast und diese offenbar zum HPI gehoert, kannst du dich ja mal oeffentlich ueber den dillitantischen Angriff lustig machen. Dem Chef laesst du dann eine Kopie zukommen, mit Hinweis auf den betreffenden Mitarbeiter. Das wuerde dir bestimmt auch gut tun, hab selten so einen chaotischen Artikel von dir gelesen. 🙂
Das Problem der VDS ist dasselbe wie mit Polizeikameras auf Demos: Können Übergriffe auf Bürger festhalten, tun es aber nicht immer. Ich sehe keinen Grund dafür bei der VDS anzunehmen, dass staatliche Stellen mit Nachdruck gegeneinander ermitteln würden.
Andersrum geht es besser: Nur öffentliche Stellen müssen Verbindungsdaten offenlegen.
Ansonsten, über heises WWWW reingekommen, bin ich ein wenig überwältigt vom Umfang dieses ganzen Themas. Schockiert auch etwas, aber lawblog.de hat mich schon etwas abgestumpft. Ich fänd’s sinnvoll für neue Leser eine noch kürzere Beschreibungsseite zu haben, wer will, kann immernoch in die Adele.pdf sehen.
“Gewundert habe ich mich auch über Presse, Politik und sogar das Bundesverfassungsgericht. Wen die immer alles als „Experten” befragen, immer die selben Leute als Meinungsmacher.”
Das sind keine Experten, sondern Auskunftspersonen.
@Stefan W.: Zu 1.) Nein, die Gegenseite wurde nicht gehört. Das Bundesverfassungsgericht hat als Gegenseite nur die Politik und Polizei eingeladen, die aber keine Lust hatten.
Die Möglichkeit, als Bürger vorzutragen, daß man aus den Grundrechten der Meinungs- und Wissenschaftsfreiheit auch eine Schutzfunktion des Staates gegenüber Angriffen ableiten kann, konnte man zu keinem Zeitpunkt vortragen. Das wurde einfach nicht gehört.
@Pepe: Die IP-Adresse gehörte nicht zum HPI, sondern zu einem privaten DSL-Anschluß. Deren Inhaber gehört aber zum HPI.
@J.: Aha. Und worüber könnten der CCC oder Professoren konkret Auskunft geben?
Hallo,
die politische Dimension der Debatte interessiert mich. Da ich technisch nicht genug drauf habe um die Argumente zu prüfen habe ich mal den Link zu diesem Blog in unserer LinuxUserGroup veröffentlicht und gefragt:
> Frage in die Runde: hat der Mann recht?
Antwort 1:
Ist das eine Scherzfrage? Findest Du es etwa nicht gradezu katastrophal,
daß ein solcher Wichtigtuer wegen eines Portscans den Zugriff auf Daten
bewirkt, deren Erfassung uns eigentlich vor Terroristen schützen sollte?
Antwort 2:
Der Mann hat definitv _nicht_ recht. Zu dem Thema VDS habe ich eine ganz klare Auffassung:
Wird wegen eines begründeten Verdachts gegen eine bestimmte Person eine Speicherung seiner Verbindungsdaten angeordnet, dann mag das noch angehen, soweit da ähnliche Voraussetzungen wie beim Abhören von Telefonaten gelten. Eine verdachtslose Speicherung ist aber ein
absolutes No-Go.
Die VDS ist gegen die organisierte Kriminalität ohnehin völlig
wirkungslos, weil diese Leute garantiert schon ihre eigenen VPNs habenund diese ebenso abgesichert sind, wie z.B. bei BND oder BKA. Welchen Sinn dann eine VDS noch hat, erschließt sich mir nicht. Die Mafia als geschlossene Benutzergruppe ist selbst ohnehin nicht zur VDS verpflichtet 😉
Beide Antwortenden sind keine kleinen Jungs. Studierte Informatiker, einer ist IT-Sicherheitschef bei einer bekannten großen Bank.
@gelegentlich: Sorry, aber das ist Unfug.
a) Die Frage, ob ich “Recht” habe, ist unsinnig. Das ist meine persönliche Meinung und keine fachliche Aussage, die sich in richtig oder falsch einteilen läßt. Ich lasse mir von niemandem, schon gar nicht per Einbahnstraße, ohne nähere Begründung und ohne Kenntnis von deren Identität sagen, daß ich mit meiner Meinung falsch läge.
b) es ist nicht ersichtlich, welche Interessen diese Leute verfolgen und wie sie politisch verflochten sind.
c) Es ging nicht um einen Portscan. Das war sehr viel mehr.
d) Weder das Studium der Informatik noch die Tätigkeit als IT-Sicherheitschef einer bekannten großen Bank befähigen per se zu fundierten Aussagen über die Vorratsdatenspeicherung. Was soll denn eine Bank mit so etwas zu tun haben? Im übrigen habe ich in meiner Tätigkeit auch schon mehrfach Banken beraten und untersucht. Ich bin von den Fähigkeiten derer IT-Sicherheitschefs nicht sonderlich angetan. Zumal keiner dieser Sicherheitschefs selbst fundierte Ahnung von IT-Sicherheit hatte, sondern wegen Personalführung usw. den Posten hatte.
e) Wir haben Meinungsfreiheit, die können meinen, was sie wollen. Interessiert mich ehrlich gesagt auch nicht, sofern das so oberflächlich, pauschal und flach geäußert wird.
f) Die Aussagen über die VDS sind objektiv falsch. So das übliche Geblubber, was durch die Medien ging. Zeigt, daß sie eh nicht wissen, wovon sie reden.
g) Warum sollte ich mir meine Meinung von jemandem messen lassen, der da (Zitat oben) selbst sagt, daß sich ihm der Sinn der VDS nicht erschließt? Das ist so das typisch neudeutsche Geschwätz, daß man Inkompetenz und Desinformiertheit mit forschem Geplapper zur maßgeblichen Meinung hochstilisiert.
h) Sag mal, welche Bank das war. Dann würde ich notfalls mein Konto wechseln. Ist ja sehr aufschlußreich, wie die über Angriffe aus dem Internet auf Kundendaten usw. denken.
i) Wofür haben die eigentlich Informatik studiert, wenn’s eh nicht zu mehr reicht als zu dem, was sowieso in jeder Zeitung und jedem Forum hundertfach repetiert wird?
nochmal @gelegentlich: Was ist das überhaupt für eine Logik? Auf eine Meinung mit der Aussage zu reagieren, ich kenn da einen, ich sach’ nicht, wer es ist, aber der ist gaaanz schlau und wichtig, und der hält das für falsch?
So gesehen dürfte man überhaupt nie eine andere als die Mainstream-Meinung äußern (und damit eigentlich nur völlig redundante und informationsfreie) Blog-Artikel schreiben, weil man zu jeder beliebigen Meinung irgendeinen kennen kann, der anderer Meinung ist.
Vielleicht stimmt das ja auch gar nicht. So typische Urban Legend. Der Schwager meiner Nachbarin kennt einen, der … Vielleicht gibt’s die beiden ja gar nicht.
Ich reagiere immer etwas allergisch auf diese völlig substanzlosen universal-gegen-alles-Argumente, die man nicht nachprüfen kann.
Erstmal danke für eine fundierte Pro VDS Speicherung Ausführung. Diese sind an sich schon mal sehr rar.
Als Dataminer kann ich in dem Datenberg wie er bisher angehäuft wurde – und mit einem neuen Gesetz auch wieder angehäuft wird – eine echte Gefahr erkennen. Ich möchte keine Pistole am Kopf von jedem Bundesbürger sehen, weil man damit theoretisch einen Verbrecher von einem Verbrechen abhalten, oder ihn nach der Tat bestrafen kann.
Wenn man sich zudem den bisherigen Umgang von Staat und Unternehmen mit sensiblen personenbezogenen Daten anschaut, ist es letztendlich keine Frage ob diese Daten missbraucht werden, sondern nur wann, und ob man dies dann heimlich, oder/und mit einer weiteren “kleinen” Gesetzesanpassung durchführen wird.
Selbst die reine IP/Anschluss Zuordnung muss man nicht für Monate speichern. Ich will auch nicht die Möglichkeit jeden Vergewaltiger zu fassen indem man alle Privatwohnungen überwacht. Es reicht, wenn die Möglichkeit der Überwachung im Rahmen von selektiven Ermittlungen gegeben ist – das wäre dann ein Äquivalent zum quick freeze.
Ansonsten viel Glück beim weiteren Vorgehen gegen den Angreifer.
Ja, aber diese ganze Diskussion (soweit sie sich nicht auf Telefonat sondern die Speicherung der IP-Adresse bezieht) hat einen gewalten Argumentations- und Schönheitsfehler:
Die Zuweisung dynamischer IP-Adressen ist weder ein Grundrecht, noch überhaupt eine reguläre Methode, sondern war ursprünglich eher eine Notlösung oder Kostenersparnis. Ursprünglich waren Internet-Zugänge über Modem (oder DSL) Zeit- bzw. Volumenbasiert, so daß die Leute das Internet nur kurz nutzten und der Provider deshalb viel weniger Adressen brauchte als er Kunden hat. Das ist heute anders, und IPv6 steht vor der Tür.
Alle, die (in Bezug auf die IP-Speicherung) gegen die VDS wettern übersehen dabei völlig, daß sie falschherum argumentieren. Die Frage ist nicht, ob man speichert, sondern umgekehrt, ob man einen Grundrechtsanspruch auf dynamische IP-Adressen hat.
Die Sache könnte letztendlich nämlich auch darauf hinauslaufen, daß man die Speicherung mitsamt den dynamischen IP-Adressen abschafft. Dann haben die VDS-Gegner noch mehr Schaden angerichtet als die VDS, weil dann nämlich die IP-Adresse (bzw. der IPv6-Netzwerkbereich) wie die Telefonnummer ein normales Bestandsdatum ist, viel weniger geschützt ist und wir noch weitaus mehr Privacy verlieren.
Aber soweit haben die VDS-Gegner (jedenfalls soweit ich das alles gelesen habe) niemals gedacht. Die denken das nicht zu Ende durch sondern immer nur so weit, wie ihre Ideologie, ihre Empörung oder ihr Publizitätsdrang eben reicht. Mit dem Geschrei gegen die VDS kann man halt viele Jünger um sich schaaren. Das ist alles so kurzsichtig und auf Dampf ausgelegt.
Im Sinne des Datenschutzes wichtiger wäre es gewesen, nicht gegen die VDS, sondern in Richtung dynamisch wechselnder bzw. nicht nachvollziehbarer IP-Adressen zu argumentieren.
Wenn wir dann alle eine feste, statische IPv6-Adresse haben, dann haben die VDS-Gegner ihre begehrte Publizität gehabt, aber in der Sache trotzdem verloren.
Nein, die Gegenseite wurde nicht gehört. Das Bundesverfassungsgericht hat als Gegenseite nur die Politik und Polizei eingeladen, die aber keine Lust hatten.
Ach, es geht speziell um die Argumentation vor dem BVerfG, nicht um die Menge aller Aussagen in der Öffentlichkeit.
Ich denke da wird das Gericht aber die Gesetzesbegründung, wie sie in die Sitzungen des Bundestages eingebracht werden, studiert haben.
—-
Mit IPv6 wird, wenn jeder wirklich eine dauerhafte IP bekommt, die Sache schwierig. Da wird man die IP-Logger noch enger an die Kandarre nehmen müssen, damit sie die Daten nicht speichern. Mit Kameras überwachende Institutionen dürfen die Daten ja auch nicht lange aufheben.
Und wie willst Du das machen, wenn die mitloggenden Webserver außerhalb Deutschlands stehen? Google wird sich freuen…
Hallo,
ein wenig unangenehm bin ich über den Tonfall überrascht. Ich habe klar gesagt dass ich Ihren Standpunkt interessant fand, anders jedenfalls als das bisher dazu gelesene. Ich habe ihn zitiert und Leuten gezeigt, von denen ich nicht weiß ob sie ihren Namen hier sehen wollen oder ob sie hier mitdiskutieren möchten. Also habe ich ihre Meinung anonym zitiert. Na und?
,,nochmal @gelegentlich: Was ist das überhaupt für eine Logik? Auf eine Meinung mit der Aussage zu reagieren, ich kenn da einen, ich sach’ nicht, wer es ist, aber der ist gaaanz schlau und wichtig, und der hält das für falsch?”
Nein, der ist gaanz schlau und wichtig hatte ich gar nicht gesagt. Es sind Leute die beruflich mit IT etwa so lange wie Sie arbeiten. Das ist alles.
,,So gesehen dürfte man überhaupt nie eine andere als die Mainstream-Meinung äußern (und damit eigentlich nur völlig redundante und informationsfreie) Blog-Artikel schreiben, weil man zu jeder beliebigen Meinung irgendeinen kennen kann, der anderer Meinung ist.”
Wie bitte? Nein, man legt seine Argumente auf den Tisch und läßt die dann wirken. Und wenn sie nicht wirken ist man traurig.
Dass Sie bei Ihrer Vorgeschichte mit Karlsruhe und dem HPI (die ich mir dann erst später durchlas) ein wenig dünnhäutig zu sein scheinen macht den Tonfall ein wenig verständlicher. Mich persönlich interessiert halt nicht die Technik zuerst, sondern die politischen Folgen der Technik. Auf diesem Gebiet hatte ich mich damals für den ersten IT-Gipfel interessiert, der eine eigenartige Bastardkonstruktion öffentlich-privat war und ein Geschmäckle hinterließ. Dann, als von der Leyen in der Bredouille sass, kam ihr Herr Meinel zu Hilfe mit dieser rhetorischen Volte Alle um Sachlichkeit zu bitten – was heißen sollte: die Kritiker von der Leyens seien unsachlich. Danach hatte ich vom HPI eine sehr negative Meinung und habe sie noch.
Naja, was erwarten Sie?
Sie schreiben mir hier einen Kommentar in mein Blog, da gibt’s welche, die sind Informatiker, und IT-Sicherheit, und gleich Leiter von XY, und die halten das für falsch, mich für einen Wichtigtuer und alles für Unsinn.
Wie sonst sollte ich darauf denn reagieren?
Diese Argumentationsweise kommt mir äußerst bekannt vor, ich habe sie an Universitäten und bei Professoren so häufig angetroffen, deshalb reagiere ich relativ stark darauf. Immer so bar jeder inhaltlichen Argumentation, stattdessen einfach persönliche Angriffe und generelle Diskreditierung, und dann völlig standpunktlose (und oft in Fragen verpackte) Allgemeinplätze, mit denen sich die Leute selbst unangreifbar halten und auf die Weise einfach alles und jedes, was ihnen nicht paßt, herabwürdigen. Und dann noch diese Leute, die keine eigene Meinung riskieren, sondern immer hübsch unauffällig mainstream schwimmen. Von der Sorte habe ich zuviel erlebt.
Und diese anonyme Zitierung, in der eigentlich auch keine argumentative Substanz, sondern einfach nur Herabwürdigung enthalten ist, die kann ich auch nicht leiden. Man zitiert richtig oder macht sich zu eigen, aber diese Stellvertreter-Kritik mit anschließendem “Ich wars doch nicht, die haben das gesagt” finde ich nicht gut. Sorry, wenn ich das so deutlich ausdrücke. Aber ich fühle mich auf diese Weise mit unfairen Mitteln angegriffen, und das mache ich schon zu lange mit.
,,Aber ich fühle mich auf diese Weise mit unfairen Mitteln angegriffen, und das mache ich schon zu lange mit.”
Schade, das merkt man – und leider kommen Sie so nicht sehr weit! Wie wenn ein Mobbingopfer schlußendlich, am Rande seiner Nervenkraft, wild um sich schlägt und seine Umgebung, die die Hintergründe des Mobbings gar nicht kennt, vor den Kopf stößt. Ich hatte schlicht und einfach, ohne jedweden Hintergedanken, etwas gefragt und anonym zitiert (und begründet warum).
Diesen Herr Meinel vom HPI kenne ich nicht persönlich. Lassen Sie mich mal raten: auf einer öffentlichen Veranstaltung wird der ganz leicht das Auditorium gegen Sie einnehmen. Er braucht nur eine gut platzierte Stichelei anbringen, deren Kontext den Leuten nicht bekannt ist, Sie gehen in die Luft – und das war es dann.
Und mit der Aussage
,,Wird wegen eines begründeten Verdachts gegen eine bestimmte Person eine Speicherung seiner Verbindungsdaten angeordnet, dann mag das noch angehen, soweit da ähnliche Voraussetzungen wie beim Abhören von Telefonaten gelten. Eine verdachtslose Speicherung ist aber ein
absolutes No-Go.
Die VDS ist gegen die organisierte Kriminalität ohnehin völlig
wirkungslos, weil diese Leute garantiert schon ihre eigenen VPNs habenund diese ebenso abgesichert sind, wie z.B. bei BND oder BKA.”
haben Sie sich gar nicht auseinandergesetzt.
Wissen Sie, was mir an Ihner Sichtweise auf-, aber nicht gefällt? Sie lassen keinen Raum, etwas anders aufzufassen, als Sie selbst. Wenn ich mit Ihrer Sichtweise nicht einverstanden bin, legen Sie das sofort als persönliches Problem oder “in die Luft gehen” aus. Das ist diese – auch typisch-universitäre – Argumentationsweise, jedes Andersdenken als persönliche Schwäche auszulegen. Sie haben sich in einer Weise ausgedrückt, die ich nicht mag, und ich habe entsprechend kommentiert. Das ist alles.
Ich muß mich auch nicht mit jedem Satz auseinandersetzen, den mir jemand hinwirft. Ich bin kein Zirkusclown.
Fraglich ist allerdings, woher der, von wem auch immer dieser Satz (VPN/BND/BKA) stammt, das eigentlich wissen und welchen Sinn das ergeben soll. Denn auch dann, wenn man ein VPN benutzt, hat man eine IP-Adresse. Außerdem weiß ich von keinem einzigen Fall, in dem dies irgendwie mit Sinn, Zweck und Einsatz der VDS kollidiert wäre. Wie schon angesprochen war ich einiges im Bereich VDS tätig, und wüßte trotzdem von keinem einzigen Fall, in dem solche VPNs eine Rolle spielten. Und nur von einem einzigen Fall weiß ich, daß Verschlüsselung ein ernsthaftes Ermittlungshindernis war. Das ist so ein Pseudoargument. Man gibt sich wissend, wirft irgendwelche wohlfeilen Thesen dahin, die gerne nachgeplappert werden, aber weder ist es logisch, noch stimmt es mit der Realität überein. Aber das sind eben solche Selbstbefriedigungs- und Selbstbestätigungsargumente, solche Totschlagargumente. Damit wischt man das alles so weg und erspart sich jede nähere Betrachtung.
Zu Meinel: Ich kenne den auch nicht. Und bezweifle, daß wir jemals vor einem Auditorium aufeinandertreffen.
Es mag sein, daß er ein Auditorium gegen mich aufbringt. Dazu brauche ich aber keinen Meinel, das kann ich auch selbst. Wenn man Forschungsschwindel und Korruption anprangert, bringt man in der Regel jedes Hochschulauditorium sowieso gegen sich auf.
Der Punkt ist aber, daß gerade in diesen Themen meistens nicht richtig liegt, weil im Hochschulbereich eben die Mehrheit von inzwischen fragwürdiger Ausrichtung ist. Es geht aber gar nicht darum, ein Auditorium auf seiner Seite zu haben. Es geht darum, ordentliche Wissenschaft zu machen, und das muß oft auch gegen Auditorium und gegen Mainstream laufen.
Wer sich immer nur am Auditorium orientiert, ist in meinen Augen redundant und wissenschaftlich wertlos. Man muß sich auch mal gegen alle stellen.
kannst Du das mit der VDS-Nutzung nochmal genauer für Laien erläutern?
Weil: eigentlich durften doch die VDS-Daten recht bald nur zur Verfolgung schwerer Straftaten genutzt werden:
Schwere Straftaten sind nach Wikipedia ab 4 Jahre Freiheitsentzug aufwärts, was Kandidaten wie
http://de.wikipedia.org/wiki/Aussp%C3%A4hen_von_Daten
wohl nicht ganz erfüllen.
Was habe ich als juristischer Laie übersehen?
(oder fand die ganze Geschichte vor der Einschränkung durch das BVerg statt? Dann betrachte meine doofe Frage bitte als gegenstandslos 🙂 )
… ignoriere meine Frage in der Klammer, Du hattest ja das Datum angegeben, sorry.
Die Frage ist gar nicht doof, die ist sogar ziemlich gut.
Die Anordnung des Bundesverfassungsgerichts war so formuliert, daß sie nicht alle Daten betraf, die in der VDS gespeichert werden. Telefonverbindungsdaten und was beim Mobiltelefon so anfällt, wurden von der Anordnung erfasst, weil das BVerfG sich damals auf die StPO bezog.
Die Zuordnung dynamischer IP-Adressen wird aber nicht wie diese Verbindungsdaten von der StA mit richterlichem Beschluss nach StPO abgefragt, sondern direkt von der Polizei nach § 113 TKG. Deshalb wurden diese Abfragen von der Anordnung des BVerfG nie erfasst. Ob das vom BVerfG so beabsichtigt war, oder ob die da selbst nicht so richtig durchblickten, bin ich mir nicht sicher. Einige Formulierungen der Anordnung waren aber so, daß ich den Eindruck hatte, daß die nicht so richtig mitbekommen haben, daß es da noch die IP-Adressen und die TKG 113-Abfragen gibt, und sich nur auf die Verbindungsdaten nach StPO konzentriert. Deshalb hat diese Anordnung des BVerfG nur einen verschwindend geringen Teil der VDS-Anfragen überhaupt erfasst. Diese Anordnung war nahezu wirkungslos, die hätten sie sich auch sparen können. Gut, im Mobilfunkbereich ist der Anteil an Telefonanfragen gegenüber den IP-Anfragen höher, da könnte es vielleicht mehr bewirkt haben. Trotzdem hatte ich bei der Anordnung damals den Eindruck, daß die nicht so ganz durchblicken, was da in der Realität läuft. Sie haben zwar auch die Provider befragt, aber danach haben sie nicht gefragt. Das hat der Fragenkatalog nicht abgedeckt. Und von den Beschwerdeführern scheint’s auch keiner vorgetragen zu haben.
Das Urteil ist während meines Urlaubs ergangen, das muß ich erst noch lesen.
Ich habe gerade mal das neue Konzept “Log Spam” ausprobiert.
Ich weiß aber gerade nicht, ob Euer Apache Server auch nichtvorhandene
lokale URL’s protokolliert.
Das HPI ist mir kürzlich erst aufgefallen. Denn jemand aus deren IP-Range hat massiv Vorlesungs-Videos von Christoph Meinel “beworben”: siehe http://de.wikipedia.org/wiki/Spezial:Beitr%C3%A4ge/141.89.224.131