Wir speichern nicht?

Zugegeben: In unserem von Kundenaufträgen bestimmten Arbeitsalltag spielt das Thema Datenschutz keine besondere Rolle. Mein Interesse daran ist eher privater Natur. Nichtsdestoweniger verfolge ich aktuelle Diskussionen mit Interesse und prüfe auch, inwieweit ich als Provider zu einem verbesserten Datenschutz beitragen kann oder gar Kunden das Thema schmackhafter machen kann.

Durch einen Bekannten wurde ich schon vor einiger Zeit auf die Aktion Wir speichern nicht aufmerksam gemacht. Vereinfacht gesagt geht es darum, die IP-Adressen von Website-Besuchern aus den Logfiles zu verbannen. Was mir selbst zunächst nicht klar war: §15 des Telemediengesetzes verbietet es sogar explizit, derartige Nutzungsdaten zu speichern, wenn diese nicht für Abrechnungszwecke, für die Ermöglichung des Zugangs oder zur Verhinderung von Missbrauch benötigt werden. Für alle drei Aspekte lassen sich im Website-Betrieb kaum stichhaltige Argumente finden.

Auf der Aktions-Website finden sich diverse Anleitungen für die Abschaltung von IP-Protokollierungen. Gegenüber Triviallösungen wie einem Script, das als Pipe fürs Logging funktioniert und dort IP-Adressen entfernt, haben Lösungen wie mod_removeip (dessen offizielle Website immer mal verschwindet) den Vorteil, dass diese nicht erst auf Logging-Ebene eingreifen, sondern schon vorher in den einer Applikation zur Verfügung stehenden Servervariablen die IP durch 127.0.0.1 ersetzen und somit jeglichen Zugriff anonymisieren. Auf diese Weise wird wirksam verhindert, dass auf Applikationsebene IP-Adressen geloggt werden könnten, selbst wenn das im access_log verhindert wird.

Drei Aspekte allerdings bereiten mir noch Kopfzerbrechen:

  • Einige Mechanismen wie z.B. Session-Handling benutzen die IP-Adresse, um den Diebstahl einer Session (Übertragung auf einen anderen Rechner) dadurch zu verhindern, dass die Session an die IP gebunden wird. Dieser ohne Frage sinnvolle Mechanismus greift nicht mehr, wenn sowieso alle Zugriffe von 127.0.0.1 kommen.
  • Logfile-Auswertungen, z.B. mit Webalizer, werden oftmals Zugriffe geografisch aus, und bei allem Wunsch nach Anonymität kann ich verstehen, dass insbesondere für international auftretende Unternehmen diese Informationen relevant und erhaltenswert sind.
  • Schließlich dürfte eine „knallharte“ Durchsetzung von mod_removeip in Virtual-Hosting-Umgebungen wenig praktikabel sein. Schließlich hat nicht jeder Website-Betreiber die gleichen Datenschutzanforderungen; möglicherweise erfüllt der eine oder andere auch eins der Kriterien, unter denen eine Speicherung zulässig und erwünscht ist.

Aus diesem Grund habe ich mir einige Anforderungen überlegt, die ich persönlich an eine No-IP-Retention-Lösung hätte:

  • Die Funktionalität soll pro virtuellem Host ein- oder ausstellbar sein, um die unterschiedlichen Anforderungen verschiedener Website-Betreiber abbilden zu können.
  • Statt einer vollständigen Ersetzung der IP durch 127.0.0.1 könnte eine Kürzung der IP zum Einsatz kommen, bei der z.B. nur die letzte oder die letzten beiden Stellen der IP durch 0 ersetzt werden: Aus 1.2.3.4 würde zum Beispiel 1.2.0.0. Auf diese Weise wäre bereits Anonymität weitestgehend erreicht; die Ermittlung von Personendaten auf IP-Basis würde so bereits 256 bzw. 256^256 Ermittlungsverfahren bedingen. Gleichzeitig bliebe die Zugehörigkeit zum Class-C- oder Class-B-Netz erhalten, so dass zumindest eine grobe geografische Auswertung weiterhin möglich wäre. Last but not least würden Sicherheitsmechanismen wie IP-gebundene Sessions nicht mehr völlig wirkungslos sein: Ein Angreifer müsste nicht nur eine Session stehlen können, sondern noch dazu aus dem gleichen Netzbereich angreifen.
  • Parallel dazu könnte die Top-Level-Domain des zugreifenden Hosts bestehen bleiben, in dem nur der Hostname selbst verschleiert wird, die TLD aber erhalten bliebe. Aus „dsl47110815.provider.se“ könnte so beispielsweise „anonymous.se“ werden, womit immer noch das Herkunftsland (Schweden) des Zugriffs dokumentiert wäre, ohne konkrete personenbezogene Daten vorzuhalten.

Ich höre mich derzeit nach weiterem Feedback zu dieser Fragestellung um und suche nach entsprechenden Möglichkeiten der Umsetzung. Da wir selbst hausintern keine Erfahrung mit der Erstellung von Apache-Modulen haben, würden wir ein entsprechendes Modul auch per Sponsoring (mit)finanzieren, solange das Ergebnis unter einer freien Lizenz veröffentlicht wird. Interessenten..?