Logfiles ade?

Die Initiative "Wir speichern nicht" bietet ein Prüfsiegel für Webseiten an, die keine personenbeziehbaren Daten speichern. Solche Gütesiegel sind natürlich sehr werbewirksam. Und die Initiative hat erreicht, dass viel darüber diskutiert wird. Daran ist sicher auch ein Urteil des LG Berlin schuld, dass dem Bund verbot, IP-Adressen zu protokollieren. Die Argumente für Anonymität sind allseits bekannt, und obwohl man sie eigentlich nicht oft genug wiederholen kann, soll es darum in diesem Artikel nicht gehen. Vielmehr stelle ich die Forderungen der Initiative in Frage.

Ich habe in meinem Leben schon den ein oder anderen Server betreut. Und dabei habe ich festgestellt, dass Logfiles einfach unabdingbar sind, wenn man interaktive Seiten hat. Schon ein einzelner Idiot kann mit einem kleinen Skript eine Datenbank-gestützte Seite erfolgreich angreifen indem er nur zigmal in der Sekunde die gleiche Frage stellt. Dann hat man erstmal das Problem, dass man weiss die Seite wird langsam, aber man weiss noch nicht warum. Das herauszufinden geht nur mit Logfiles. Und ohne IP-Adressen im Logfile erfahre ich nur, dass gerade ganz viele Anfragen kommen. Dass die alle von einem Spinner sind erfahre ich nicht, und deshalb kann auch auch nichts dagegen tun. Wer also interaktive Seiten anbieten will - und nicht jederzeit irgendwelchen Skript-Kiddies zum Opfer fallen will, der braucht IP-Adressen in den Logfiles.

Das Landgericht Berlin will seine Entscheidung nicht als Grundsatzurteil verstanden wissen, aber wenn es eins wäre oder zu einem würde, hätte das zur Folge, dass die meisten Betreiber von Webseiten auf einmal kriminalisiert würden. Das würde den Abmahnanwälten natürlich wieder viel Geld von kleinen Privatleuten bringen, aber soweit ich weiss, war das nicht Staatsziel. Ansonsten führte dies dazu, dass viele Dienste nicht aufrechterhalten werden können, weil sie werbefinanziert sind und sich plötzlich Besucherzahlen dem Werbekunden gegenüber nicht mehr nachweisen lassen.

Deshalb wäre meine Forderung: die Betreiber sollen alles loggen, was sie brauchen, um den Betrieb zu gewährleisten, aber nach spätestens 72 Stunden alle Logfiles löschen oder anonymisieren und auch keine Backups der Logfiles aufbewahren.

Neulich habe ich bei einer Diskussion darüber das Argument gehört, dass man ja nicht wissen könne, ob die Betreiber die Logfiles wirklich nach 72 Stunden löschen. Das stimmt. Aber genausowenig weiß ich, ob die Betreiber von mit Prüfsiegel versehenen Seiten wirklich nichts speichern. Wer den Anbietern nicht vertraut (und dazu gibt es bei vielen Anbietern gute Gründe), der muß Anonymisierungssoftware wie z.B. TOR verwenden. Prüfsiegel helfen da nicht weiter, sie haben lediglich die Funktion die Öffentlichkeit für das Thema zu sensibilisieren. Und - über das Thema zu diskutieren und einen allgemeinen Verhaltenskodex zu erarbeiten, das ist sinnvoll. Komplett auf IP-Protokolle zu verzichten nicht.