Die Initiative “Wir speichern nicht” bietet ein Prüfsiegel für Webseiten an, die keine personenbeziehbaren Daten speichern. Solche Gütesiegel sind natürlich sehr werbewirksam. Und die Initiative hat erreicht, dass viel darüber diskutiert wird. Daran ist sicher auch ein Urteil des LG Berlin schuld, dass dem Bund verbot, IP-Adressen zu protokollieren.
Die Argumente für Anonymität sind allseits bekannt, und obwohl man sie eigentlich nicht oft genug wiederholen kann, soll es darum in diesem Artikel nicht gehen. Vielmehr stelle ich die Forderungen der Initiative in Frage.
Ich habe in meinem Leben schon den ein oder anderen Server betreut. Und dabei habe ich festgestellt, dass Logfiles einfach unabdingbar sind, wenn man interaktive Seiten hat. Schon ein einzelner Idiot kann mit einem kleinen Skript eine Datenbank-gestützte Seite erfolgreich angreifen indem er nur zigmal in der Sekunde die gleiche Frage stellt. Dann hat man erstmal das Problem, dass man weiss die Seite wird langsam, aber man weiss noch nicht warum. Das herauszufinden geht nur mit Logfiles. Und ohne IP-Adressen im Logfile erfahre ich nur, dass gerade ganz viele Anfragen kommen. Dass die alle von einem Spinner sind erfahre ich nicht, und deshalb kann auch auch nichts dagegen tun. Wer also interaktive Seiten anbieten will – und nicht jederzeit irgendwelchen Skript-Kiddies zum Opfer fallen will, der braucht IP-Adressen in den Logfiles.
Das Landgericht Berlin will seine Entscheidung nicht als Grundsatzurteil verstanden wissen, aber wenn es eins wäre oder zu einem würde, hätte das zur Folge, dass die meisten Betreiber von Webseiten auf einmal kriminalisiert würden. Das würde den Abmahnanwälten natürlich wieder viel Geld von kleinen Privatleuten bringen, aber soweit ich weiss, war das nicht Staatsziel. Ansonsten führte dies dazu, dass viele Dienste nicht aufrechterhalten werden können, weil sie werbefinanziert sind und sich plötzlich Besucherzahlen dem Werbekunden gegenüber nicht mehr nachweisen lassen.
Deshalb wäre meine Forderung: die Betreiber sollen alles loggen, was sie brauchen, um den Betrieb zu gewährleisten, aber nach spätestens 72 Stunden alle Logfiles löschen oder anonymisieren und auch keine Backups der Logfiles aufbewahren.
Neulich habe ich bei einer Diskussion darüber das Argument gehört, dass man ja nicht wissen könne, ob die Betreiber die Logfiles wirklich nach 72 Stunden löschen. Das stimmt. Aber genausowenig weiß ich, ob die Betreiber von mit Prüfsiegel versehenen Seiten wirklich nichts speichern. Wer den Anbietern nicht vertraut (und dazu gibt es bei vielen Anbietern gute Gründe), der muß Anonymisierungssoftware wie z.B. TOR verwenden. Prüfsiegel helfen da nicht weiter, sie haben lediglich die Funktion die Öffentlichkeit für das Thema zu sensibilisieren. Und – über das Thema zu diskutieren und einen allgemeinen Verhaltenskodex zu erarbeiten, das ist sinnvoll. Komplett auf IP-Protokolle zu verzichten nicht.
Mydalon
Hallo,
als quasi direkt Angesprochener will ich mal meine Sicht der Dinge darlegen. Mein Server speichert keine IP-Adressen, richtig. Dies bezieht sich auf alle Systeme, mit denen man bei der normalen Nutzung (Surfen) der Seite in Berürhung kommt.
Der Apache speichert keine IP-Adressen und WordPress tut dies (z.B. bei Kommentaren) ebenfalls nicht. Damit ist erreicht, dass niemand ein ungutes Gefühl haben braucht, wenn ein Kommentar mal eine unbedachte Äußerung enthält. Dank der kommenden Vorratsdatenspeicherung kann ich zwar nicht garantieren, dass nicht der Provider die entsprechenden Aufrufe meiner Seite nachweisen kann, aber die direkte Zuordnung von Kommentar und Provider-IP ist schwieriger.
Dienste die direkt die Sicherheit meines Systems betreffen wie z.B. die Fernwartung per SSH speichern und nutzen IP-Adressen sehr wohl. Auch WordPress-SPAM kann aufgrund von IP-Adressen blockiert werden. Die Daten nicht zu speichern bedeutet in meinen Augen nicht, sie nicht für bestimmte Zwecke dennoch zu nutzen.
Wirfst du meinem SSH-Server n-mal ein falsches Kennwort hin, spricht der Dienst mit deiner IP einfach für x-Stunden nicht mehr. Ich werde per E-Mail inkl. deiner IP über diesen Vorgang informiert. Für x-Stunden ist deine IP also gespeichert und darüberhinaus für ca. 48 Stunden per Mail auf meinem Rechner gespeichert. Sollte es von deiner IP her weiter Auffälligkeiten geben, kann ich über entsprechende Scripte alles loggen, was du tust. Auf Apacheebene kann hier z.B. mod_security helfen. Ein paar Ebenen darunter IPTABLES. Sollte dies alles nicht helfen dürften mittlerweile genügend Daten (ausschließlich dich betreffend) aufgelaufen sein, um mit deinem Provider sprechen zu können.
Einziges Hindernis, ich muss zunächst auf deine Attacken aufmerksam gemacht werden. Danach habe ich aber je nach Angriffsweg genügend Mittel um allein dich weiter zu überwachen. Der normale Benutzer der Seite ist hiervon in keinster Weise betroffen, es sei denn, er benutzt dieselbe IP die auch du nutzt. Darüber kann ich ihn dann aber sogar mit entsprechenden Hinweisen auf der Seite informieren.
Wer mehr Sicherheit haben möchte sollte, da stimme ich dir zu, mit TOR/Onion arbeiten, oder auch mit JAP. Und natürlich ist das Ziel einer solchen Aktion mehr Öffentlichkeit herzustellen. Zu Lasten der Sicherheit geht dies in meinen Augen aber nicht. Mein Server speichert im Normalfall keine IP-Adressen normaler Benutzer, er hat nicht verlernt was eine IP-Adresse ist und wie man sie benutzt. Einzig die Daten sind nicht automatisch verfügbar. Was der Übersichtlichkeit aber eher nutzt.
Äh, Schö!
Auch ich möchte betonen, dass ich die Abschaltung jeglicher IP-Protokollierung gewählt habe, um meinen Besuchern die Freiheit zu geben, Antorten und Kommentare so zu wählen, dass sie nicht gleich ins Fadenkreuz der Justiz kommen.
Da ich öfters mal recht Contra zu unserem Rechtssystem (und allen unterlegenden Organen) schreibe, habe ich recht häufig irgendwelche Behörden auf meiner Seite, welche gezielt die Kommentare anderer besucher verfolgt haben.
Nun kann ich beruhigend sagen, dass bei mir Endstation ist, ab meinem Blog gibt´s keine Möglichkeit (ausser vielleicht über den Provider), eine Spur weiterzuverfolgen.
Die reinen Apache-Logfiles kann ich sowieso nicht einsehen, da der Server nicht von mir gepflegt wird (und im Normalfall habe ich auch keine Möglichkeit, diese einzusehen).
Sämtliche Stats-Tools wurden entfernt, was obendrein eine erhebliche Performance-Steigerung des Blogs zur Folge hat.
Und last but not least: auch für mich ist die Nichtprotokollierung von Vorteil, denn nun jage ich nicht mehr stundenlang jeder IP hinterher, mit welcher mal ein “böser” Kommentar abgesetzt wurde! Ausserdem wird die Datenbank enorm verschont, was auch dem Speicherplatz zugute kommt!
Sicher bietet die Nichtprotokollierung auch Nachteile, aber zu jetztigem Zeitpunkt wiegen diese für mich wesentlich ungewichtiger als die Vorteile.
PS: Der Quellcode meines Blogs ist bewusst offen – jeder kann nachvollziehen, dass kein Fremdscript o.ä. läuft.
Die Blogsoftware ist mit der ersten Zeile angewiesen, weder Referrer noch IP zu analysieren – jeder Besucher ist localhost mit 127.0.0.1!
Hi Sven,
wenn du keinen Zugriff auf die Logfiles hast, wie konntest du dann dafür sorgen, dass keine IP-Adressen in den Logs erscheinen? Und vor allem, wie wurde das durch dich geprüft?
Oder wurde “nur” dein Blog entsprechend modifiziert? Ich frage auch, weil du extra betonst, dass alle Stattools entfernt wurden. Dies ist bei meinem Blog z.B. noch nicht einmal der Fall. Da die IP aber schon vom Apache vergessen wird, bekommt mein CyStats auch nie eine IP anders als 127.0.0.1 zu sehen.
Wenn nur dein Blog die IP vergisst, deine Logs aber durch deinen Hostingprovider weiterhin gefüttert werden, halte ich das für nicht ausreichend. Letztlich ist man natürlich immer auf seinen Hostingprovider angewiesen, ich kann auch nicht 100%ig garantieren, dass der Host meines vServers nicht doch irgendwelche IP-Adressen mitspeichert, oder ob dies bereits zu einem viel früheren Zeitpunkt geschieht (Zugangsprovider). Das ist ja selbst bei JAP und TOR nicht anders.
Was ist eigentlich aus dem WebOfTrust bei TOR geworden?
Egal, ich schweife ab. Was ich mir eigentlich wünschen würde, wäre ein “Wir speichern nicht”-Logo in verschiedenen Abstufungen, ähnlich wie bei den CreativeCommons-Lizenzen (BY, SA, SA-BY, NC).
Sagen wir es gibt ein Gold-, Silber- und Bronzezertifikat. Nachdem was Sven so schreibt würde ich ihm ein Bronzezertifikat geben. Er macht sich Gedanken zum Thema und seinen Möglichkeiten entsprechend setzt er es um.
Silber wäre wohl für mein Blog passend. Ich speichere IP-Adressen bei der Nutzung besonderer Dienste (IMAP, SMTP, SSH, etc.) aber nicht im normalen Betrieb der Websites. Silber wäre auch das höchste Zertifikat welches man ohne eingehende Prüfung nutzen dürfte.
Gold ist für Server vorbehalten, die keinerlei IP-Adressen speichern oder nutzen, es sei denn, dies erfolgt zielgerichtet zur Wahrung der Systemsicherheit/-integrität. Wie so etwas aussehen kann hatte ich ja bereits in meinem ersten Kommentar geschrieben. Ein Goldzertifikat wäre zudem kostenpflichtig, da sich ein externer Berater die Mechanismen zur Sicherstellung der Anonymität/Pseudonymität ansehen, bewerten und kontrollieren müsste.
Ich schreibe bewusst Pseudonymität. Ich kann z.B. jederzeit sehen, wann ich mit meinem iPod touch auf meiner Seite war. Warum? Die Browserkennung.
Sven, welche konkreten Nachteile ergeben sich denn für dich durch den Wegfall der Protokollierung?
Mein Kommentar wurde zu länglich, deshalb gibt’s den hier:
http://die-welt-ist-eine-scheibe.de/2007/10/25/logfiles-ade-nachtrag/
Also, der Apache wurde angewiesen (durch irgendeine Zeichenfolge), dass jeder User die gleiche IP hat und als Referrer “localhost” angibt. Ausserdem sind Errorlogs gänzlich deaktiviert, auch das Statstool vom Apache (Ich glaube webalizer heisst das) ist komplett deaktiviert.
Mein Hoster hat mir bei meinem Auftrag ausdrücklich mitgeteilt, dass bei einem Fehler keinerlei konkreten Daten mehr zur Verfügung stehen, was eine Fehlerbehebung extrem schwierig macht.
Auch meine Blogsoftware ist angewiesen, Protokolle mit der gleichen IP zu tätigen (ich kann die komplette Protokollierung bei S9Y nicht gänzlich deaktivieren, ohne dass die Software zusammenbricht).
Ich würde mir eigentlich dafür schon “GOLD” verleihen, denn mehr ist nicht möglich, ohne dass der Betrieb einer Site zusammenbricht!
Nachteile sehe ich in der Spamabwehr.
Viele Spammer kommen über die gleichen IP-Ranges, welche man mit Protokollierung aussperren könnte. Da der Apache jedoch alles mit 127.0.0.1 protokolliert, kann ich in der htaccess eingeben, was ich will – die Spammer kommen durch.
Auch als Referrer habe ich derzeit die A-Karte, den jeder kommt von “localhost”.
Also, die Apache-Logfiles existieren zwar, jedoch kann man mit diesen nichts anfangen, da alles 127.0.0.1 und localhost protokolliert ist (mein Hoster konnte die gänzliche Protokollierung nicht deaktivieren, da auf dem Server mehrere Accounts liegen).
Hi Sven,
ja, das klingt gut. Bei mir läuft der Webalizer noch (im übrigen kein Apache-Tool sondern eigenständig). Der bekommt aber natürlich keine IP-Adressen. Access und Errorlogs sind dementsprechend bei mir auch alle da. Liegen da auch mehrere Jahre. IP-Adressen stehen aber keine drin bzw. wie bei dir 127.0.0.1
Bei WordPress gibt es ein Plugin mit dem Namen “Remove Comment IP”. WordPress selbst und somit auch alle SPAM-Plugins haben die IP noch, loggen diese aber nicht. Wird der Kommentar nicht als SPAM abgelehnt wird die IP gelöscht.
Referer nehme ich in Logs auf, da soll jeder am Client entscheiden ob er das mag. Ich brauche diese Referer auch für Pingbacks.