IT-Sicherheitsgesetz: Streit um Nutzung von IP-Adressdaten

Die Forderung des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), im IT-Sicherheitsgesetz eine begrenzte Nutzung von IP-Adressdaten zu erlauben, stößt beim Arbeitskreis Vorratsdatenspeicherung auf strikte Ablehnung. Sprecher Patrick Breyer zeigt sich in einem Schreiben an FIfF-Vorstand Stefan Hügel „schockiert“ und spricht von „IT-Vorratsdatenspeicherung“. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert hingegen stellt sich "hundertprozentig" hinter das FIfF-Konzept.

Zweistufiges Verfahren

Der Vorschlag des FIfF sieht vor, zunächst mit einem Intrusion-Detection-System aus den laufenden Verkehrsdaten etwaige Verdachtsfälle einzugrenzen und die restlichen Daten zu verwerfen oder zu pseudonymisieren. In einem zweiten Schritt soll ein auditierbares IT- Sicherheitsverfahren verwendet werden. Bei dem zweistufigen Verfahren zur IP-Adressdatenanalyse handelt es sich nach Ansicht der Informatiker nicht um Vorratsdatenspeicherung.

Vorratsdatenspeicherung

Die Vorratsdatenspeicherung verlangt die Speicherung der Verbindungsdaten aller User, die bei der Telekommunikation, bei der Internet-Nutzung und im Mobilfunk anfallen, ohne konkreten Verdacht auf strafbare Handlungen. Die sollen Strafverfolgern bei Ermittlungen helfen.

• Bundesnetzagentur setzt Vorratsdatenspeicherung aus
• Europäischer Gerichtshof bekräftigt: Anlasslose Vorratsdatenspeicherung ist illegal
• Gesetz zur neuen Vorratsdatenspeicherung tritt in Kraft
• Vorratsdatenspeicherung 2.0: Grundrechtsverletzung mit Zuckerguss
• Die Vorratsdatenspeicherung – Eine Geschichte des "Policy Laundering"
• Analyse: EuGH beerdigt die Vorratsdatenspeicherung
• EuGH: Regeln zur Vorratsdatenspeicherung verstoßen gegen EU-Recht
• Bundesverfassungsgericht legt Hürde für künftige Vorratsdatenspeicherung hoch

Das sieht auch ein prominenter Datenschützer so. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert bezeichnete es gegenüber heise online als „dumm“ und „fundamentalistisch“, auf IP-Adressdaten kategorisch zu verzichten, da diese bei der Untersuchung von IT-Sicherheitsvorfällen durchaus hilfreich sein könnten. Da es das Ziel des IT-Sicherheitsgesetzes sei, die Korrelation von Anomalien festzustellen, müssten „zwangsläufig Daten verarbeitet werden, die vielfach einen Personenbezug haben.“ Weichert stellt sich daher „hundertprozentig“ hinter den FIfF-Vorschlag, der eine stufenweise, zweckgebundene und eingeschränkte Nutzung von IP-Adressen erlaube. Im Telemediengesetz müsse daher eine „deutlich bestimmte“ Regelung gefunden werden.

"Fundamentalistisch"

In einer aktuellen Stellungnahme zum Gesetzentwurf weist Weichert darauf hin, dass IP-Adressdaten nicht die einzigen personenbezogenen Daten sind. So könnten auch gescannte Port-Nummern, Internetadressen, Routing-Tabellen in BGP-Routern und Zeitpunkte von Ereignissen einzelnen Nutzern zugeordnet werden. Das ist das Ergebnis einer Untersuchung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) im Rahmen des Bundesforschungsministerium geförderten Projekts „Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung“ (MonIKA).

Warnungen der Nutzer vor Sicherheitslücken, Schadprogrammen und Störungen seien überdies möglicherweise ohne IP-Adressdaten nicht machbar. So könnte etwa ein Routerhersteller erkennen, wenn ein Nutzer ein sicherheitskritisches Update nicht eingespielt hat. Falls der Nutzer mangels Registrierung nur über den Telekommunikationsdienstleister gewarnt werden kann, sollte dieser die relevante IP-Adresse dem Hersteller mitteilen dürfen. Dabei sei jedoch, so betont Weichert, eine strenge Zweckbindung erforderlich. (vbr)