Portnummern im NetzDGSinnlose Datenflut statt gezielte Ermittlungen

Die Bundesregierung möchte künftig auch Portnummern speichern, um Hassposter identifizieren zu können. Doch große wie kleine Netzanbieter protokollieren diese Informationen gar nicht. Das Bundesinnenministerium erhofft sich davon trotzdem Hilfe bei Ermittlungen und hält den Ansatz für „grundrechtsschonender“.

Das Protokollieren von flüchtigen Portnummern ist technisch möglich – aber nur mit beträchtlichem Aufwand. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Ildefonso Polo

Ein ganzer Trog voller Daten dürfte künftig beim Bundeskriminalamt (BKA) landen, sollte die derzeit debattierte Reform des Netzwerkdurchsetzungsgesetzes (NetzDG) wie geplant durchgehen. Demnach müssten Betreiber von großen sozialen Netzwerken wie Facebook oder Twitter gegebenenfalls Passwörter, Accountdaten, Inhalte und IP-Adressen mutmaßlicher Hassposter an die Polizei ausleiten.

Zu Recht hat sich die bisherige Berichterstattung auf die großen Brocken konzentriert: die Problematik eines polizeilichen Zentralregisters, die Untergrabung der IT-Sicherheit, und die Verlagerung staatlicher Aufgaben hin zu privaten Anbietern. Zudem ist der Gesetzentwurf an mehreren Stellen so schwammig geraten, dass selbst Unionsabgeordnete verunsichert sind und sich Nachbesserungen wünschen.

Ein Detail ist dabei aber bislang weitgehend unbemerkt geblieben. Das Bundesjustizministerium (BMJV) möchte, dass die Plattformbetreiber neben IP-Adressen auch Portnummern an das BKA übermitteln, mit denen ein beanstandetes Posting abgesetzt wurde. Laut Gesetzesbegründung soll das dabei helfen, Hassposter zu ermitteln, die sich ihre öffentliche IP-Adresse mit anderen Nutzern geteilt und so ihre Identität verschleiert haben.

Kaum jemand protokolliert Portnummern

Das Problem dabei: Die Speicherung von Portnummern geht ins Leere, solange diese nicht lückenlos protokolliert und vorgehalten werden. Und zwar nicht nur von den Anbietern der Online-Dienste selbst, sondern auch vom jeweiligen Netzanbieter, über dessen Infrastruktur der Inhalt gepostet wurde.

Letzteres dürfte jedoch nur in Ausnahmefällen geschehen. Große wie kleinere Netzbetreiber machen dies jedenfalls nicht, bestätigen Telekom, Vodafone, o2 und 1&1 auf Anfrage von netzpolitik.org. Sie speichern bestimmte Verkehrsdaten wie IP-Adressen für bis zu sieben Tage, aber eben keine Portnummern. Es könnte also durchaus sein, dass das BKA künftig massenhaft mit Informationen überflutet wird, mit denen sich in aller Regel nichts anstellen lässt.

Auf die potenzielle Lücke angesprochen, wiegelt das federführende Justizministerium ab. So sehe die vorgeschlagene Meldepflicht keine neuen Speicherpflichten für IP-Adressen oder Portnummern vor, betont ein Ministeriumssprecher. Die Daten müssten nur übermittelt werden, sofern sie vorhanden sind, verweist er auf die Formulierung im Gesetzentwurf. Daran soll sich zumindest kurzfristig nichts ändern, weder für die Plattform- noch für die Netzbetreiber: „Es ist nicht geplant, eine Speicherpflicht für Portnummern zu schaffen“, sagt der Sprecher.

Übermittlung von Portnummern „grundrechtsschonender“

Das Bundesinnenministerium (BMI) wiederum möchte dem BKA im Zweifel lieber mehr Daten zur Verfügung stellen als zu wenige. Denn die derzeitige Regelung führe dazu, dass Portnummern bei manchen Anbietern vorliegen können, bei anderen indes nicht, sagt ein BMI-Sprecher.

„Bei der Bearbeitung und Umsetzung der vorgesehenen Meldepflichten nach dem NetzDG ist es aus Sicht der Polizei wichtig, dass Portnummern von der gesetzlichen Verpflichtung zur Übermittlung umfasst sind, da sie so zumindest in den Fällen, in denen sie bei einem Anbieter noch gespeichert sind, erhoben werden können“, so der BMI-Sprecher.

Mit Hilfe der Portnummer ließe sich beispielsweise „bei einem offenen Wlan der ganz konkret zu einem bestimmten Zeitraum eingeloggte Nutzer ermitteln“, hofft das BMI darauf, dass Kaffeehausbesitzer oder ehrenamtliche Freifunk-Initiativen den gesamten Netzwerkverkehr ihrer Nutzer minutiös protokollieren. Ein Ausbau der Überwachung wäre dies jedoch nicht, ganz im Gegenteil: „Dies ist letztlich sogar grundrechtsschonender, da Daten unbeteiligter Dritter auf diese Weise nicht an die Polizei übermittelt werden“, sagt der BMI-Sprecher.

Was der weniger grundrechtsschonende Ansatz wäre, bleibt derweil offen. Schließlich ist kaum zu erwarten, dass die Polizei künftig allen Nutzern einen Besuch abstatten wird, die sich zufälligerweise eine IP-Adresse mit einem Hassposter geteilt, aber keine Portnummer in den Logs hinterlassen haben. Und eine Vorratsdatenspeicherung selbst kleinster Informationsschnipsel, die dann bei Bedarf von Polizeien angefordert werden, lässt sich nur schwerlich als grundrechtsschonend bezeichnen.

Die IPv4-Adressen gehen aus

Hintergrund dieser Nebendebatte ist die Knappheit von IPv4-Adressen. Eigentlich müsste jedes angeschlossene Gerät eine eigene IP-Adresse haben, damit die Datenübertragung im Internet funktionieren kann. Da dies aber schon seit Jahren nicht mehr möglich ist und die flächendeckende Einführung des Nachfolgestandards IPv6 ebenso lange auf sich warten lässt, lässt sich zu einem Trick greifen: der sogenannten Netzwerkadressübersetzung (Network Address Translation, NAT).

Mit diesem Kniff können sich mehrere Nutzer beziehungsweise Geräte dieselbe öffentliche IP-Adresse teilen. Für die Verteilung der Verbindungen ins interne Netz, wo private IP-Adressen zum Einsatz kommen, kümmert sich der Router. Wer schon einmal ein Heimnetzwerk eingerichtet hat, dürfte die Prozedur kennen.

Im großen Stil verwenden vor allem Mobilfunkbetreiber diese Technik. Zwar haben sie inzwischen begonnen, langsam auf IPv6-Adressen umzustellen. Das wird auf lange Sicht das Knappheitsproblem aus der Welt schaffen und – zumindest in der Theorie – dafür sorgen, dass jede IP-Adresse einem Gerät und somit einem Anschlussinhaber zugeordnet werden kann. In Bezug auf Hasspostings müsste die Gegenstelle, Facebook etwa, mitspielen und ebenfalls über IPv6 erreichbar sein. In jedem Fall werden aber noch einige Jahre ins Land ziehen, bis das Internet flächendeckend auf IPv6 umgestellt ist.

„Prozedere extrem aufwändig“

In solchen Szenarien „ist eine Zuordnung möglich“, sagt ein Vodafone-Pressesprecher. „Bevorzugt – und wenn auf der anderen Seite möglich – wird IPv6 als Protokoll verwendet“. Aber eben nicht, wenn die Verbindung über IPv4 abgewickelt wird, was oft der Fall ist.

Ähnlich bei der Telekom, die das NAT-Verfahren für mobile Nutzer einsetzt. „Intern wird der Datenverkehr mit Hilfe der Portinformation und der netzinternen (privaten) IP-Adresse auseinandergehalten“, sagt ein Telekom-Sprecher. „Nichtsdestotrotz werden die Portnummern nach Ende der Verbindung nicht gespeichert.“

Zwar ließe sich eine entsprechende Regelung technisch umsetzen, aber nur mit beträchtlichem Aufwand. „Solange die Portnummer im Arbeitsspeicher der Server nicht überschrieben wurde, könnte theoretisch die Kette über die private IP-Adresse zur Anschlusskennung rückverfolgt werden“, erklärt der Sprecher. „Aufgrund der Vielzahl von Servern ist dieses Prozedere extrem aufwändig und ein Wettrennen gegen die Zeit, für das nur wenige Stunden nach Ende der Session bleibt.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Hier muss ich die Ossifizierung der TCP-Router ins Spiel bringen, die Innovation im Bereich Übertragungsprotokoll bisher gut verhindert. Selbst gesetzlich verordnete „Innovation“ dürfte damit schwer fallen. HTTP/3 hats sogar komplett aufgegeben und nutzt eine neue auf UDP basierendes Übertragungsprotokoll. Daher sehe ich den Job der Bundesregierung vor allem darin, gegen Windmühlen zu fahren (und mit Betonfüßen zu drohen).

  2. Oh je, denen hat jemand die Folien der Erstsemester-Netzwerkvorlesung zu lesen gegeben. Als nächstes wollen sie noch die Sequenznummern der TCP-Pakete haben.

  3. Wie beschrieben wäre für den Anspruch, IPv4-Adressen zurückverfolgen zu können, die Nachvollziehbarkeit der NAT notwendig. Finde ich in der Form also erstmal konsequent und nicht sinnlos.

    Die Erhebung und Speicherung der für NAT verwendeten Port-Maps ist nicht komplex, allerdings spielt die Performance hier eine große Rolle. Wenn man immer mehr Infos über seinen gesamten Traffic in „Line-Rate“ erheben möchte, braucht man schnell mehr/größere/bessere Boxen. Das kann sehr teuer werden. Die zusätzlichen Stromkosten dürften auch sehr hoch sein. Mit Sketches könnte hier vllt einiges gespart werden. Langfristig halte ich es für realistisch, so eine Regelung ohne riesengroße Mehrkosten umzusetzen.

    Aber wie zurecht erwähnt, die Gründe gegen das neue NetzDG sind andere:
    – Eine zentrale, komplette Datenbank mit Infos über Accounts, Passwort-Hashes und IP-Adressen. Und wie wir wissen, kommen da gern noch weitere Daten dazu. Als Ermittler hätte ich jedenfalls gerne Timestamps und eindeutige Trafficverteilungsmuster. Und dann wird die Datenbank gehackt und jeder der mag, kann sich irgendwo detaillierte Daten über dich kaufen.
    – Warum sammelt man gesaltete Passwort-Hashes? Entweder ist das sinnlos oder man will ordentliche Verschlüsselung verhindern
    – Alles das ist umgehbar mittels Anonymisierungstools. Schwere Verbrechen sind also wahrscheinlich außen vor.
    – Was IT-Sicherheit angeht, haben die Schwarzseher bisher immer recht gehabt

    Guter Artikel, danke.

  4. Das „T“ in NAT steht doch (auch) für (Translation-)“Tabelle“. In dieser Tabelle steht(grob), welche beiden Ports der Router IP aussen wohin nach innen auf welche Ports geleitet werden und wann die wieder getrennt werden soll bei Inaktivität. Diese Tabelle speichert doch niemand in einem log ab und ihre Einträge werden nacht timeouts gelöscht.
    Kaskadiert man NAT-Geräte so müssten man die NAT-Tabellen aller Router loggen, um bei einer Rückfrage sagen zu könne welches Gerät das im WLAN war.
    Em…wer benutzt ein offenes WLAN ohne VPN?
    Also müste der VPN-Provider sein NAT-Tabellen auch loggen…

    Und war es nicht so, das HTTP(s) eigentlich zustandlos ist?
    Ob ich mich angemeldet habe sieht man an der Session-ID, nicht am Tripple IP,src-Port,dst-Port.
    Da sieht u.U. nicht mal der HTTP-Server die „richtigen“ Werte da er selbst genattet wird.
    D.h. ich melde mich mit dem einen Tripple an IP,src-Port,dst-Port und wenn ich etwas warte bekomme ich ein neues Tripple und ein anderer evtl. meines.
    Mein Trippel kommt u.U. überhaupt nicht beim Server an.
    Wie soll dann
    „„bei einem offenen Wlan der ganz konkret zu einem bestimmten Zeitraum eingeloggte Nutzer ermitteln“
    funktionieren, ohne auch die Tabelle zu kennen, alle Tabellen?

    Dann kommt also morgen die Folge-Forderung, das gefordert wird, die NAT-Tabelle -aller Router- in Echtzeit mit zuloggen?

  5. Die Überschrift spricht von „Sinnlose Datenflut statt gezielte Ermittlungen“ und die sinnlose Datenflut wird ausführlich geschildert.

    Aber wie sollten denn jetzt „gezielte Ermittlungen“ aussehen? Wie und von wem wird in Zukunft die Identität der Hassposter:innen ermittelt?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.