Wie viele Techniker braucht man, um eine IP-Adresse zuzuordnen? Neues zur Bundestags-VDS

Aus Anlass der Edathy-Affäre kam es zu Unklarheiten, was der Bundestag intern über die Internetbewegungen seiner Abgeordneten und Mitarbeiter speichert. Es kam zum Vorschein, dass die Vorratsdatenspeicherung bundestagsintern schon lange Einzug gehalten hat. Wir haben daraufhin versucht, herauszubekommen, was da genau wie, wo und für welchen Zeitraum gespeichert wird. Die Antworten, die wir bekommen haben, waren allerdings wenig aufschlussreich.

Heute hat der Ältestenrat nicht nur Licht ins Dunkel der Richtlinien für Presseakkreditierungen gebracht, sondern dessen Kommission für „Informations- und Kommunikationstechniken und Kommunikationsmedien“ (IuK-Kommission) hat auch eine etwas ausführlichere Antwort auf die Umstände der Bundestags-VDS aus der IT-Koordination bekommen. Die letzte Unterrichtung durch den behördlichen Datenschutzbeauftragten hatte dem Dokument zufolge zuvor im Jahr 2012 und davor 2008 stattgefunden. Im Klartext heißt das: Während der 17. Wahlperiode von 2009 – 2013 ist vermutlich fast drei Jahre lang zunächst einmal niemand explizit über die Speicherung von Verbindungsdaten aufgeklärt worden.

Aber nun enthält die Antwort eine umfassende Auflistung der gespeicherten Daten beim Webseitenbesuch: Rechneradressen („IP-Adresse“) der Clients, die URLs aufgerufener Seiten, Abrufzeiten und Name und Größe von Dateien, auf die beim Besuch von Webseiten zugegriffen wurde. Bei Mails kommen noch die Mailadressen von Sender und Empfänger dazu und die Zeit des Eintreffens auf dem Bundestagsserver. Außerdem wird bei der Anmeldung geloggt, auf welchen Account von welchem PC aus zugegriffen wird und ob die Anmeldung erfolgreich war bzw. ob nach mehrmaliger vergeblicher Anmeldung eine Accountsperrung eingetreten ist.

Das entspricht den Verkehrsdaten, wie wir sie erwartet hatten. Die viel spannendere, bis heute ungeklärt gewesene Frage war jedoch, wo die Daten gespeichert werden – oder anders formuliert: Schützt ein „geklautes“ Notebook davor, dass man weiß, welche Webseiten besucht werden? Die Frage muss klar mit „Nein“ beantwortet werden. In der Erläuterung heißt es, die Speicherung der Protokolldaten erfolge in „von der IT des Deutschen Bundestages betriebenen gesicherten Bereichen“. Genauso erfolgt auch das Backup der Daten auf den Abgeordnetenrechner nicht in deren Büros, sondern bis zu drei Monate rückwirkend auf speziellen Serversystemen:

Damit sollten die Abgeordnetenbüros von der eigenverantwortlichen Sicherung ihrer Daten entlastet werden. Das gilt sowohl für die Nutzerdaten als auch für die E-Mails.

Vorher hatten wir von Bundestagsmitarbeitern von einem System gehört, bei dem man sich aussuchen könne, ob die durch die Bundestags-IT administrierten Rechner ein zentrales Backup erhalten und ob man eine eigene gesicherte Partition auf der Festplatte haben wolle, für die man selbst verantwortlich sei. So eine Möglichkeit wird aber in der Antwort mit keiner Silbe erwähnt und wir müssen davon ausgehen, dass alle Daten auf den Servern für drei Monate gesichert werden .

In Konsequenz bedeutet das, dass zwar eigentlich keine Inhalte von Webseiten gespeichert werden. Aber nur eigentlich, denn Dinge wie Browsercaches landen auf der Festplatte, wenn man sich nicht darum kümmert, sie zu löschen oder zu deaktivieren. Und da URLs und Namen abgerufener Dateien, darunter auch auf Webseiten enthaltene Bilder und Videos, mitgeschnitten werden, ist es bis zur konkreten Inhaltsermittlung nicht mehr weit.

Aber es gibt da vor allem einen Punkt, der stutzig macht: Die Erläuterungen berufen sich auf Folgendes:

Die Regularien für die Verwaltung des Deutschen Bundestages sind in der Dienstvereinbarung
„Nutzung elektronischer Medien“ (Anlage 23 zur AD-BTV) dokumentiert.

Dabei gibt es zwei Schwachstellen:

  1. Nach unseren Informationen bekommen die Mitglieder des Bundestags und deren Mitarbeiter die erwähnte Anlage 23, die sich in den Tiefen des Bundestags-Intranets befindet, bei Unterzeichnung der Arbeitsverträge standardmäßig nicht vorgelegt und niemand bekomme sie daher bewusst zu Gesicht.
  2. Darüber hinaus würde sie sie sowieso nicht betreffen, denn gleich am Anfang steht:

Diese Vereinbarung gilt für alle Beschäftigten der Verwaltung des Deutschen Bundestages

Ergo nicht für die MdBs und Mitarbeiter.

Ein weiterer Punkt hatte uns auch interessiert: Wer kann eigentlich auf die Daten zugreifen, die geloggt und gebackupt werden? Hier heißt es zunächst, die „gespeicherten Protokolldaten der Firewall sind nicht unmittelbar personenbeziehbar und damit für den Nutzer dieser Daten anonym“. Anonym kann aber nicht ganz stimmen, denn mittelbar lässt sich ja scheinbar doch eine Identifikation herstellen. Die Auffassung von Anonymität gründet hier darauf, dass die Zuordnung der IP-Adressen zu Nutzern nicht automatisiert möglich ist, sondern:

Eine Zuordnung von IP-Adressen kann nur unter Beteiligung mehrerer Techniker erfolgen.

Wir verkneifen uns jetzt Witze à la „Wieviele Techniker …“ und schauen nochmal in Anlage 23, wo sich eine bessere Definition dessen findet, was hier vermutlich gemeint ist:

Die Zuordnung von Nutzer-Account und IP-Adresse erfolgt durch die Prüfgruppe [Leitung des IT-Sicherheitsreferates und  Behördlicher Datenschutzbeauftragter]. Durch das „Mehraugenprinzip“ sind die dazu erforderlichen weiteren Informationen beim Referat IT 1 hinterlegt und werden dort schriftlich abgefragt.

Solch eine Zuordnung kann darüberhinaus nicht nach Gutdünken erfolgen sondern nur aufgrund betrieblicher Störungen oder konkreter Anhaltspunkte für Verstöße gegen die Dienstvereinbarung. Uns würde jetzt mal interessieren, wie gängig solche Auswertungen sind. Wir bleiben dran. Und hoffen, dass auch die Bundestagsabgeordneten sich mit ihrer Situation vertraut machen. Und sich vielleicht ein leises Unbehagen einstellt, wenn die Vorratsdatenspeicherung plötzlich schon angekommen ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Mich interessiert – im Zusammenhang mit BackUp – die Archivierung.

    Darüber hinaus – wie bei anderen Datenbeständen (z.B. Kinderporno-Sammlung der Polizei) auch – gibt es Mirror, also gespiegelte Festplatten oder RAID-Verbünde oder FallBack-Systeme.

    Mein Eindruck (gefühlt) ist, dass viel Archivierung (zusätzlich zum BackUp) betrieben wird, aber darüber Löschfristen vergessen werden. Schlummernde Datenbestände, so-zu-sagen.

  2. Gibt son nettes Addon „Get Cocoon“ ist ne Art VPN / Proxy und ideal geeignet wenn man nix installieren kann auf dem PC wegen Gastkonto oder so. Dann nur noch nen Account anlegen und schon kann man mit ner US IP surfen. Die IT sieht dann nur die US IP von der aus gesurft wurde aber nicht die Inhalte.

    Ansonsten über ne anonyme Suchmaschine suchen und die Webseiten mit dem eingebauten Proxy da aufrufen. Ixquick meine ich jetzt

  3. nein, tun wir nicht:

    wieviele psychotherapeuten braucht man, um eine ip-adresse zu ermitteln?

    es reicht einer, aber die ip-adresse muss auch wollen.

    .~.

  4. [quote]Hier heißt es zunächst, die “gespeicherten Protokolldaten der Firewall sind nicht unmittelbar personenbeziehbar und damit für den Nutzer dieser Daten anonym”. Anonym kann aber nicht ganz stimmen, denn mittelbar lässt sich ja scheinbar doch eine Identifikation herstellen. [quote/]

    Ach, natürlich. Ein Hacker muss doch nur heraussuchen, in welchen Email-Account sich ein User eingeloggt hat – und weiß dann, wessen Daten er beschafft hat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.