Vorratsdatenspeicherung kann noch mehr: Jetzt auch mit Vollprotokollierung von Portnummern

Bisher wird normalerweise nicht gespeichert, wie ein Router private und öffentliche Adressen zuordnet. Mit VDS könnte sich auch das ändern – CC BY-SA 3.0 via wikimedia/Geek2003

Es kommen immer mehr verborgene Details in der geplanten Vorratsdatenspeicherung zu Tage, die zeigen, dass noch viel mehr protokolliert werden soll, als wir zu Anfang gesehen haben. Zum Beispiel bietet der Entwurf die Möglichkeit, nicht nur öffentliche IP-Adressen zu speichern, sondern auch zusätzlich Port-Nummern. Das hat folgende Bedeutung – stark vereinfacht:

IPv4-Adressen sind knapp, seit immer mehr Menschen/Dinge/Maschinen im Internet vertreten sind. Normalerweise würde man jedem eine eigene öffentliche IP-Adresse zuordnen. Früher war das auch so und der „Inhaber“ einer IP-Adresse konnte einfach über die zuständige IP-Verwaltungsinstanz (hier beispielhaft für uns) ermittelt werden.

Um Adressen zu sparen, wurde später oft mehreren Teilnehmern die gleiche IP-Adresse gegeben. Ihre private IP-Adresse, mit der man die verschiedenen Teilnehmer eines Netzes zuordnen kann, unterscheidet sich jedoch. Die finale Ermittlung, für wen ein Datenpaket bestimmt ist, geschieht aufgrund der Portnummern, denen die Teilnehmer zugeordnet sind. Der Router weist die einkommenden Pakete dadurch den Zielgeräten zu. Er nimmt eine Network Address Translation (NAT) vor.

Bisher umfasste die Vorratsdatenspeicherung nicht die Zuordnung der Port- und IP-Adressen, das könnte sich jetzt für die „Erbringer öffentlich zugänglicher Internetzugangsdienste“ ändern. Für die heißt es jetzt laut §113b des Entwurfs [S. 11] Folgendes für vier Wochen zu speichern:

[…]
1. die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,
2. eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung
[…]

Die Portzuordnungen wurden bisher noch nicht gespeichert, da sie für die Provider nach Nutzung nicht mehr relevant sind. Nachvollziehbarerweise passt das den Ermittlern nicht, da so Einzelteilnehmer in der Masse verschwimmen. Aber den Preis für die Speicherung des IP- zu Port-Mappings zahlt nicht nur der Nutzer mit seiner Privatsphäre, sondern auch der Serverbetreiber. Bisher ist eine Speicherung von Portnummern in der Regel schlicht nicht vorgesehen – es entstünde massiver, auch finanzieller, Aufwand, eine solche Maßnahme umzusetzen. Noch dazu sind die Zeitintervalle der Speicherung klein, da Portnummern in der Regel nur für kurze Zeit – das Senden einer Mail, der Abruf einer Webseite – gültig sind und dann neu zugeordnet werden.

Verhältnismäßig ist das nicht. Und es dürfte sowohl bei Betreibern als auch Nutzern auf heftigen Widerstand stoßen.

Update: Hier auch eine Analyse zum Thema von Henning Tillmann. Danke!

23 Ergänzungen

  1. In wie weit würde/könnte/sollte sich die Vorratsdatenspeicherung eigentlich auf Service-Betreiber, wie den eines privat finanziert und administrierten, öffentlich erreichbaren und kostenfrei nutzbaren XMPP-Server auswirken?
    Gibt es dazu Erkenntnisse oder klare Punkte in den Papieren zu dem geplanten Gesetz? Als “ ISP“ verstehe ich mich nicht.

    1. Ich denke, du wirst erst Speicherungs-pflichtig ab einer gewissen Menge Nutzer (10.000 Kunden), wie es bei E-Mail auch „definiert“ ist? Bin mir aber auch nicht sicher.

  2. Liebe Netzpolitiker!
    Schonmal was davon gehört, dass man schlafende Hunde wecken kann. Die Portprotokollierung in die Definition von Benutzerkennung reinzulesen ist mit Verlaub extrem weit hergeholt. Genau darauf können sich auch TK-Anbieter berufen, zumal es bei VoIP auch eine eindeutige Benutzerkennung gibt (die nicht die Portzuordnung ist).

    Man kann aber die Kollegen in den Ministerien, die mehrfach bewiesen haben, dass sie technisch keine Ahnung von dem haben, was sie da ins Gesetz schreiben auch einfach mal bösgläubig machen und mit der Nase auf ihre Unzulänglichkeiten stoßen. Nur dass das nicht dazu führen wird, dass sie denken: „wow, dass geht ja echt zu weit!“, sondern sich statt dessen ins Fäustchen und über diese dummen Zivilgesellschaftsaktivistenfuzzis lachen und in der nächsten Entwurfsfassung steht dann neben den Benutzerkennungen auch die Protzuordnung.

    Manchmal tut man besser daran zu schweigen! Ich hoffe, dass die paar anderen Probleme, die potentiell anders lesbar wären nicht auch noch an die große Glocke gehängt werden…

    1. @Deckname …. Du glaubst jetzt nicht wirklich das es in den zustaendigen Institutionen keine Experten gibt die wissen wie das Netz funktioniert ….

      1. Naja zumindest die Personen die ich von Ermittlungsbehörden kennengelernt habe bisher, wussten teilweise noch nicht mal was WHOIS ist und hatten Windows 98 (2010) auf dem Rechner. Ok dafür können sie nichts (Windows 98) aber das sagt schon einiges über die Mittel die für eine „Taskforce Internetkriminalität“ eines Bundeslandes damals ausgegeben wurden.

    2. Sie wollen haben:

      1. IP
      2. eben noch etwas mehr!

      Die „eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt“ deutet eigentlich noch eher darauf hin, genau die Ports nutzen zu wollen. Kommt auch daher, dass in Mobil- und Kabelanbieter-Netzen oft die IPs an mehrere Nutzer gleichzeitig gehen. Wegen IP4 Knappheit.

      1. Sie ™ wollen alles haben. Die derzeitige Strategie heißt Salami-Taktik, um die Gestapo oder die Stasi wieder aufleben zu lassen.

    1. Oh, das ist mir komplett durch die Lappen gegangen. Danke für den Hinweis, ist ergänzt :]

      1. Liebe Anna Biselli,
        ich habe das ungute Gefühl, dass mangels ausreichender Fachkenntnisse hier einiges verschwurbelt wird. UIDs haben nichts mit protocol ports, NAT und WLAN zu tun. Und auch nicht mit IPv6.
        Bitte um mehr Qualität und weniger Agitation.

        Ansonsten lese ich Eure Artikel sehr gerne. Und möchte mich trotz dieser Kritik für Eure Arbeit bedanken.

        1. UIDs haben nichts mit protocol ports, NAT und WLAN zu tun. Und auch nicht mit IPv6.

          Genau darum geht es. Die Formulierung ist so schwammig, dass eine „zugewiesene Benutzerkennung“ alles sein kann.

      2. Die Bezeichnung „zugewiesene Benutzerkennung“ ist freilich schwammig. Aber ich hätte Skrupel, etwas bisher unerwähntes mit dem Bedeutungskontext zu verbinden. Die Annahme „es kann alles bedeuten“ rechtfertigt es nicht, etwas selbst zu konstruieren oder hinzuzufügen – ad libitum.
        Gibt es verlässliche Quellen, die „Portzuweisungen“ im Zusammenhang mit VDS nennen? Wenn nicht, dann wäre schon die reißerische Headline äußerst bedenklich – um es freundlich auszudrücken.

  3. Die Lösung (nicht nur gegen Geheimdienste) wäre hier, immer dieselbe Portnummer zu nehmen und stattdessen die Information, die bisher in der Portnummer steckte, im verschlüsselten Teil der Datenpakete zu übertragen. Wird bei TN-Anschlüssen nicht gemacht (steht indirekt im Artikel), bei Servern aber häufig (Ports 80, 81, http(s)-Protokoll). Leider wurde bei http 2.0 darauf kaum eingegangen, vielleicht gibt es ja bald http 2.1.

    1. Scheinbar hast du keine Ahnung wie NAT funktioniert / wozu Portnummern gut sind.

      Tunnelt man das ganze in einer weiteren Schale die verschlüsselte TCP/IP-Pakete enthält, dann sieht der Provider halt nur noch, dass User X mit Server Y gesprochen hat aber nicht mit welchem Dienst. Der privacy gewinn wäre minimal / nahezu nicht vorhanden.
      Man könnte auch über relativ simple analyse der Traffic Pattern einfach erkennen welcher Dienst gerade verwendet wird.

      Nur mal das ich das auch Blick:
      Alter VDS: IP Zuweisung wird gespeichert (alla IP X wurde Nutzer Y von Datum A bis Datum B zugewiesen)?
      Neu: Jede einzelne TCP Session und jedes erste UDP Paket? wird protokolliert?

      Würde die neue VDS nicht Terrabyteweise Datenmüll generieren, z.B. wenn man Torrent verwendet?

  4. Guten Tag,

    als IT Dozent sträubt sich beim lesen des Artikels und der Kommentare das eine oder andere Haar. Was haben die Ports mit der Identifikation eines Nutzers zu tun?? Der Artikel erweckt den Eindruck, dass dies individuell einem Nutzer zugewiesen. Das stimmt so nicht. Siehe den Link von „Zusammenhang“. Auch wenn der Gesetzgeber bestimmte Texte bewusst schwammig formuliert, sollte das kein Grund sein ebenso schwammig die technischen Details zu vermischen. Den Leserinnen und Lesern ist damit nicht geholfen! Die VDS wird dann komplett und richtig heftig, wenn die IP Adresse gem. IPV6 Standard immer mehr genutzt wird. Damit hat JEDES Gerät, dass sich an das Internet “ anschließt, eine eindeutige, feste Identität. Was das bedeutet kann sich jeder selbst ausmahlen. Denn IPV6 bietet mehr Adressen als es Menschen auf der Erde gibt. Dieser Zuordnung können wir nicht ausweichen.
    Also bitte in Zukunft die Technik klar und richtig darstellen und nicht verwursteln. Danke.

    1. Huhu Herr IT Dozent,
      guck Dir mal an wie die Adressvergabe im IPv6 genau funktioniert, wie so ne IPv6-Adresse augebaut ist, wie stateless-adress-configuration funktioniert (rfc4862), bzw vor allem was ein client mit privacy-extensions (default auf allen gängigen OSen an, rfc4941) aus nem router-advertisment macht.
      Die Formulierung „Damit hat JEDES Gerät, dass sich an das Internet ” anschließt, eine eindeutige, feste Identität.“ könntest Du dann nochmal überdenken.

  5. Technisch ist dieser Aspekt heute schon für LTE/UMTS interessant: Hier machen die Mobilfunkprovider bereits eine NAT und vergeben den Endgeräten nur nicht-öffentliche IPv4-Adressen: Um einen Nutzenden überhaupt zuordnen zu können, müss(t)en die Provider also aufzeichnen wann welcher Port (derer Gateways) von welcher RFC1918-Adresse genutzt wird.

    Weiss jemand ob das heute schon passiert?

    Ferner ist in der VDS der Kreis der Verplichteten umrissen mit „wer öffentlich zugängliche Telekommunikationsdienste erbringt“: Wird auch jedes Cafe mit WLAN zur Vorratsdatenspeicherung verpflichtet? Jede Veranstaltung? Was ist mit einem offenen WLAN bei mir zuhause?

  6. Hallo Wetter,
    danke für die Aufforderung. Ich habe mir diverse Dokumente angeschaut. Meine Aussage ist die offizielle Begründung warum es die IPV6 gibt. Technische Details, wie Autoconfiguration usw interessieren den Enduser nicht. Auch den parallel Betrieb von IPV4 und V6 ebenso wenig. Es ging mir nur um den Hinweis auf die technisch mögliche „feste“ Verbindung / Zuordnung von dem Gerät und seinem Nutzer.
    Zu Ihrem zweiten Beitrag: Das TKG sagt eindeutig, wer solche Dienste, Öffentliches WLAN, anbietet, gilt als Provider und ist zur VDS verpflichtet. Ausser, er kann aus seinem öffentlichen WLAN eines für geschlossene Nutzergruppen machen. Diese Diskussion treibt gerade diese Anbieter, Städte, Lokale usw um, also obacht, bevor öffentlich gesendet und empfangen wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.