Kommentar: IPv6 und der Datenschutz

Inhaltsverzeichnis

Sobald ein Mensch in seinem techno-sozialen Umfeld überraschend und ungewollt seine persönlichen Daten an andere weitergibt, ist der Datenschutz verletzt. Kernforderungen erfolgreichen Datenschutzes sind daher ein Bildungsauftrag, denn nur der mündige Mensch kann eigenverantwortlich über den Umgang mit seinen Daten entscheiden, und ein Regulierungsauftrag, die mit persönlichen Daten hantierenden Stellen präventiv zur Datensparsamkeit anzuhalten.

Der Datenschutz ist ein Kind der modernen Kommunikation. Trotz der Gnade der späten Geburt versäumten die Datenschützer die Anpassung an die Revolution des Internets nahezu völlig. Viele Konzepte und Denkschemata des Datenschutzes stammen aus der Prä-Internet-Zeit. Deswegen lohnt es sich, diese Kommunikationstechniken zu rekapitulieren.

Telefonie ist eine leitungsgebundene Kommunikation: Mit der Anwahl einer Zielrufnummer wird ein Leitungsweg vom Wählenden bis zum Angerufenen gesucht und - zumindest für die Dauer des Gesprächs - reserviert. Nur wenn der Leitungsweg komplett verfügbar ist, klingelt das Telefon. Da ist die Arbeit aber schon getan: Es besteht eine exklusive "Röhre" zwischen den Endgeräten. Damit gibt es keine technische Notwendigkeit, dass der Angerufene die Rufnummer oder gar die Identität des Anrufers kennen muss.

Bei der Briefpost liegt eine paketweise Kommunikation vor, ein Datenhappen reist – allein von der Zieladresse getrieben – durch die Poststationen, bis er den Empfänger erreicht. Die Kommunikation hat sich mit der Übertragung des Briefes zumeist erschöpft. Aus technischer Sicht besteht auch hier keine Notwendigkeit, dass der Empfänger die Postanschrift oder gar die Identität des Absenders kennt. Wird eine Rückantwort erwartet, muss der Absender seinerseits eine Zieladresse angeben, diesmal aber innerhalb der auf dem Transportweg nicht einsehbaren Kommunikation - also im Brief selbst.

Aus der Erfahrung mit diesen beiden Kommunikationsformen hat der Datenschutz sinnvolle und richtige Forderungen abgeleitet: Es muss dem Anrufer nach dem Vorbild des Briefeschreibers ebenso möglich sein, die Übermittlung seiner Telefonnummer an den Angerufenen zu untersagen – dies muss sogar die Vorgabe sein. Mit der Einführung von ISDN wurde um die Rufnummerunterdrückung heftig gestritten. Ein weiterer, ebenso wichtiger Kampfplatz war damals die Identifizierung von Telefonnummern – also die Rückwärtssuche im Telefonbuch.

In diese Gemengelage schob sich still und heimlich das Internet. Ganz im Gegensatz zum wohlverstanden BTX-System mit wenigen zentralen "Seitenservern" weniger Anbieter, einer Vielzahl nicht identifizierbarer Konsumenten und einem funktionierenden anonymen Inkasso, stellte das Internet eine Anarchie dar, die glücklicherweise zunächst im universitären Biotop wucherte.

Die grundlegende Architektur des Internets entspricht der Briefpost: Kleine Datenpakete werden allein anhand der Zieladresse schrittweise zugestellt. Unglücklicherweise ist mit der einmaligen Zustellung eines Datenpaketes eine Internetkommunikation nicht beendet. Deswegen muss jedes Datenpaket immer auch die Absenderadresse enthalten.

Die hart erkämpfte datenschutzrechtliche Forderung nach anonymer oder zumindest pseudonymer Kommunikation – wie sie ins IuKDG eingegangen ist – ist im Internet also technische Illusion.

Der Mythos von der "dynamische IP-Adresse"

In der Anfangszeit wählte man sich üblicherweise per PPP über Modem und Telefonleitung ins Internet ein. Die dabei entstehenden zeitbezogenen Kosten zwangen die Teilnehmer, ihre Online-Zeit zu minimieren. Einem damaligem Internet Service Provider (ISP) genügte also eine Einwahlplattform, die nur ein Bruchteil der bei ihm registrierten Kunden gleichzeitig versorgen konnte. Da mit dem beginnenden kommerziellen Erfolg des Internets auch die IP-Adressen schon 1995 absehnbar knapp wurden, war es üblich, nur jeder tatsächlich belegten Leitung eine IP-Adresse zuzuordnen, während es im universitären Umfeld noch oft eine feste IP pro Student gab.

Die aus der Not heraus geborene Idee, eine IP-Adresse nur temporär einem Nutzer zuzuweisen, erwies sich als wirtschaftliche Goldgrube. Da für den Betrieb von Servern, also der eigenständigen Bereitstellung von Diensten, eine dauerhafte Erreichbarkeit des Servers notwendig ist, bot die Beibehaltung dynamischer IP-Adressen den Providern zusätzliche Einnahmequellen durch Hosting realer und virtueller Server, E-Mail und vieles mehr. Obwohl bei der Einführung von DSL ein dedizierter Leitungsweg pro Kunde fest reserviert ist, blieb man bei Zeitabrechnung durch Simulierung einer PPP-Verbindung (PPPoX). Auch nach dem Aussterben der Zeitabrechungen bei DSL blieb PPPoX die vorherschende Anbindungsform, nicht zuletzt wegen des künstlichen Konsumentenverhältnisses.

Es gelang den Marketingabteilungen so erfolgreich, die dynamische Vergabe von IP-Adressen als Vorteil zu verkaufen, der dem Internetnutzer mehr Schutz und mehr Anonymität bieten könne. Eine Abkehr von diesem Modell ist daher wenig wahrscheinlich. Dabei besteht schon allein aufgrund der Architektur des Internets stets eine nachvollziehbare Verbindung zwischen der global sichtbaren IP-Adresse und dem Kunden, der für diesen Internetanschluß aktuell bezahlt. Anonymität oder gar Schutz vor Angriffen sind reine Augenwischerei, wie allein die Unzahl der Auskunftsersuchen an die ISPs zeigt. Das immer wieder diskutierte Three-Strikes-Model verlagert die Identifizierung sogar ganz zum ISP und umgeht damit jede behördlich anordenbare Speicherfrist.

Auch die Datenschützer haben sich vor den Karren der Lobbyisten spannen lassen. Sie glauben, mit dynamischen IP-Adressen das Grundübel des Internet aus ihrer Sicht entschärfen zu können. Schließlich invalidierte ja ein ständiger Wechsel der IP-Adresse die Nutzer-Zuordnung, die von verschiedenen Webdiensten ausgeführten Idenitifizerierungen – bis zum nächsten Login, Cookie, Sozialen-Netze-Button, E-Mail-Abruf, Tweet oder Werbebanner.

Alles neu macht IPv6

Es ist so einfach wie falsch, IPv6 als "Internet mit längeren Adressen" anzusehen. IPv6 löst nämlich die stille Beschränkung auf "eine IP pro Teilnehmer" vollständig auf. Nicht nur, dass jedes IPv6-Gerät mehrere IP-Adressen aus dem gleichen Netz bedienen können muss, es muss auch mit mehreren Netzen am gleichen Anschluss klarkommen. Dies hat weitreichende Konsequenzen.

Zunächst einmal verwirft IPv6 die Pflicht immer und überall die gleiche IP-Adresse benutzen zu müssen. Das Standardmodell der Adressierung sieht vor, dass eine feste Adresse pro Gerät bereitgestellt werden sollte, um Serverdienste auf dem Gerät betreiben zu können. Des Weiteren sollte jedes Gerät für ausgehende Verbindungen temporäre IP-Adressen zufällig erzeugen (Privacy Extension), am besten pro angesprochende Gegenstelle je eine neue.

Die Freiheit, über mehr als 60-Bit der Adresse frei wählen zu dürfen, gestattet sogar ganz neue Authentisierungsmechanismen: Cryptographic Generated Addresses (CGA, RFC 3972) versendet unter einer zufälligen Absende-IP und erwartet die Antwortpakete unter einer anderen, dynamisch kryptographisch generierten Adresse. Nur wenn beide Parteien die kryptographischen Geheimnisse richtig verwenden und die Kommunikation ungestört ablaufen kann, funktioniert eine CGA-Kommunikation.

Da IPv6-Geräte aber auch mit mehreren Netzen (Präfixen) hantieren können, insbesondere auch pro Netz die "Lebenszeit" signalisiert wird, kann man ein unterbrechungsfreies Umnummerieren ganzer Netze (Renumbering) jederzeit ausführen. ISPs, die dynamische Präfixe ausliefern wollen, sollten also minimal zwei Prefixe zuteilen: In der Mitte der Laufzeit eines Präfixes, sollte schon das nächste Präfix bereitstehen. Durch die Privacy Extension und die längere Laufzeit des neuen Präfixes werden die Endgeräte automatisch für neue Verbindungen das neue Präfix (mit per Zufall erzeugten IP-Adressen) benutzen, während die aktuell bestehenden Verbindungen auf dem alten Präfix weiter aktiv bleiben können. Eine Zwangstrennung ist so trotz permanenten IP-Adresswechsels unnötig.

Und was ist mit den Serverdiensten? Dafür sollten die ISPs ein festes Präfix zusätzlich zu den dynamischen Präfixen bereit stellen. Und wer den Automatiken nicht traut, der konfiguriert seine Serverdienste von Hand, nimmt die vorbildlich bei der Installation zufällige generierte Geräte-IP von Windows oder eben die von der MAC-Adresse abgeleitete EUI-64 Adresse. Damit lassen sich wunderbar Server betreiben, bei manueller Konfiguration sogar viele Server auf einem System.

Die Fähigkeiten von IPv6 sind damit noch lange nicht erschöpft. Erwähnenswert ist an dieser Stelle die Möglichkeit, seine IPv6-Adresse oder gar sein ganzes Netz mobil mitzunehmen. Auf diese Weise behält man auch dann seine IP-Adressen – ist darunter erreichbar und kann damit kommunizieren – wenn man sich bei einem anderen Provider anschließt. Aus Sicht des Datenschutzes löst Mobile IPv6 das Problem der Geolokation: Der Nutzer kann wählen, unter welchen ISP und an welchem Ort er gerade erscheinen will – gleichzeitig und durcheinander!

Mehr Datenschutz durch feste IP-Adressen

Ein Mensch hinterlässt bei der Internetnutzung vielfältige Datenspuren. Die IP-Adressen gehören dabei zu den kleinsten Übeln. Feste IP-Adressen gestatten aber einen ganz anderen Ansatz zur Datensparsamkeit.

Soziale Netzwerke sind gefürchtet als zentralisierte Datenkraken, in denen jeder freiwillig Unmengen an privaten Daten, Bildern und Beziehungen hinterlegt. Solche Daten kann man dort selten richtig löschen, die Sichtbarkeit privater Informationen ist vom Gutdünken der Firmenleitungen abhängig. Was aber ist eigentlich dieses Web 2.0, dieses Mitmachnetz, das alle und alles verbindet?

Web-2.0-Techniken füllen eine Webseite mit Inhalten aus anderen Quellen, insbesondere von anderen Servern. Was spricht also dagegen, die privaten Daten daheim, auf einem Rechner mit fester IP, beispielsweise dem DSL-Router mit angeflanschter USB-Platte, abzulegen und anzubieten?

Meine soziale Webseite besteht dann nur noch aus einem Rahmen, in den der Anwender selbst Verweise auf die Bilder und Blogs seine Bekannten einschiebt. Der Betreiber eines sozialen Netzwerkes stellt nur noch die Linklisten und URL-Verweise der Mitglieder bereit. Man kann beliebige Listen beliebiger Anbieter kombinieren.

Als Anbieter meiner eigenen Daten auf meinem eigenen Server kann ich problemlos den Zugriff beschränken (durch feste IPs meiner Bekannten, mit Passwort und CGA oder mit Passwort und Login) oder die Daten, die ich dort nicht mehr haben will, endgültig löschen.

Ein solches Vorgehen entspricht genau der Ende-zu-Ende Kommunikation des urspünglichen Internets, ohne dynamische IPs, ohne Hosting- und E-Mail-Provider und ohne die Overlays sozialer Netze.

Diese Vision setzt zwei Dinge voraus: Den mündigen Menschen und dass statische IPv6-Adressen auf jedermanns Technik nutzbar sein müssen. Beides kann der Datenschutz leisten: Er hat den Bildungsauftrag, eigenverantwortlichen Umgang mit persönlichen Daten sicherzustellen und den Regulierungsauftrag, die betreffenden Hersteller und ISPs zur Entwicklung datensparsamer Konzepte anzuhalten. Er bekommt dafür die Chance, aktiv das techno-soziale Gefüge des Internets wieder zu demokratisieren. (rek)