Deutschland entdeckt den Datenschutz bei IPv6

Um der sich abzeichnenden Verknappung an IPv4-Adressen zu entgehen, nahm die IETF bereits 1995 die Arbeit an einem Nachfolgeprotokoll auf. IPv6, so der Name, wurde drei Jahre später offiziell zum Nachfolger (RFC 2460) von IPv4 ernannt. Aus Deutschland kam zu dieser Entwicklung nichts. Warum auch, als eine der größten Industrienationen der Welt kann man es sich schließlich leisten die Entwicklung relevanter Zukunftstechnologien anderen zu überlassen, denn so können wir in Deutschland das tun, was wir am besten können: Rummkäkeln.

Das Protokoll ist standardisiert, die fertige Software seit einiger Zeit in jedem modernen Betriebssystem enthalten und nun steht die allgemeine Einführung von IPv6 vor der Tür und wer wacht auf? Die Datenschützer. Guten Morgen, guten Morgen, wünsche wohl geruht zu haben! Im November letzten Jahres, also 15 Jahre nach Veröffentlichung des Standards, fällt ihnen auf, daß es mit dem Datenschutz bei IPv6 nicht allzu weit her ist. Erst eine Dekade keinen Mucks von sich geben und dann lamentieren daß das Kind in den Brunnen gefallen ist. Zugegeben, es geht nicht allein auf die Karte der Datenschützer, sondern ebenso auf die der Verantwortlichen in den IT-Fakultäten der Universitäten. Sie wussten — oder hätten zumindest wissen müssen – welche Folgen IPv6 haben wird. Anscheinend wird dort auch dem Tiefschlaf gefröhnt, was aber auch nicht anders zu erwarten war, denn von mp3 abgesehen ist nichts Relevantes aus der deutschen IT bekannt geworden. Im Gegenteil, jedes größere Projekt wurde grandios in den Sand gesetzt („Sie versteht mich nicht“, Software zur zentralen Vergabe von Studienplätzen).

Nun hatte ein Gremium mit dem hochtrabenden Namen IPv6-Rat, unter dem Vorsitzenden Prof. Dr. Christoph Meinel, gleichzeitig in Personalunion vertretungsberechtigter Geschäftsführer des Hasso-Plattner-Institutes (Selbstbeweihräucherung: „universitäres Exzellenz-Center für IT-Systems Engineering“) in Potsdam, am 16.03.2012 den Bundesbeauftragten für Datenschutz und Informationsfreiheit, Peter Schaar, zu einer gemeinsamen Sitzung geladen. Jetzt wurden die Ergebnisse der Sitzung in sechs Punkten zusammengefasst veröffentlicht:

Die notwendige Einführung des neuen Internet Protokoll Standards IPv6 wird als eine Chance gesehen, die vielfältigen Potenziale von IPv6 zu erschließen und auch unter den Gesichtspunkten des Datenschutzes und insbesondere des Schutzes der Privatsphäre auszugestalten.

Sinnfreies Geschwafel, hier wird nur versucht zu vertuschen, daß man 10 Jahre geschlafen hat und jetzt versucht werden muß zu retten, was noch zu retten ist. Außerdem ist mit IPv6 nicht sehr viel mehr möglich, als das was man mit IPv4 auch erreichen kann. Die wesentliche Aufgabe beider Protokolle ist die eindeutige Identifizierung einer Gegenstelle während eines Kommunikationsvorganges. Die wesentliche Triebkraft für die Entwicklung von IPv6 war der zu kleine Nummernraum von IPv4 und nicht das Fehlen von Funktionen und bzgl. des Datenschutzes hat IPv6 auch nicht viel an Potential zu bieten, denn für Privatpersonen sind Privacy Extensions de facto wirkungslos.

Der sorgfältige und verantwortungsvolle Umgang mit seinen persönlichen Daten liegt grundsätzlich und aus ureigenem Interesse auch in der Verantwortung des einzelnen Benutzers. Dieser Verantwortung kann er aber nicht gerecht werden, ohne die Aufklärung und tatkräftige Unterstützung durch die Zugangsprovider (ISP) und Service-Anbieter im Internet.

Jetzt wird es dreist. Der Dieb ruft „Haltet den Dieb“ um von sich selber abzulenken. Inhaltlich ist der Aussage durchaus zuzustimmen, aber was hat das mit IPv6 zu tun? Nichts! Was war unter IPv4 dsbzgl. anders? Nichts! Diese Aussage gilt für jedes beliebige bekannte Datenprotokoll, weil es mit dem Protokoll nichts zu tun hat. Hier wird von den eigenen Versäumnissen, durch Schuldzuweisung an Dritte, nämlich an Endanwender und ISP, abgelenkt.

Auch beim neuen Internet-Protokoll IPv6 hat der ISP Provider Kenntnis von allen Verbindungsdaten, d.h. ein Benutzer muss wie heute auch stets vom ISP identifizierbar sein, damit der ihn mit den Diensten und Angeboten im Internet verbinden kann. Das dazu notwendige Vertrauensverhältnis wird durch die Verwendung von IPv6 anstelle von IPv4 nicht beeinflusst.

Selbstentschuldung, es bleibt alles beim Alten, IPv6 ist dasselbe wie IPv4, wir haben nichts verpennt und das Problem sollen gefälligst Provider und Kunden unter sich ausmachen. Was denn auch sonst? IPv6 ist fertig und läßt sich nicht mehr ändern.

Der Benutzer erwartet von ISP Providern und Netzwerkgeräteherstellern eine Unterstützung, die Möglichkeit einer dauerhaften Identifikation bei der Nutzung von Ressourcen und Diensten im Internet gegenüber Dritten weitgehend zu verhindern bzw. zu erschweren. Die dazu notwendigen Technologien (Privacy Extensions, dynamische Adresspräfixe, u.a.) sind bekannt bzw. werden aktuell erprobt und liegen im Verantwortungsbereich der ISPs bzw. der Gerätehersteller, die im Umgang mit personenbezogenen Daten an das Datenschutzgesetz sowie Telekommunikationsgesetz gebunden sind.

IPv6 ist toll, wir brauchen immer noch nichts zu tun, das Problem sollen gefälligst Provider und Kunden unter sich ausmachen … Hatten wir das nicht schon mal?

Für den Benutzer muss je nach Notwendigkeit die Möglichkeit bestehen, sowohl mit statisch vergebenen IPv6 Adressen, d.h. dauerhaft identifizierbar, Transaktionen im Internet durchzuführen als auch (teil-)anonymisiert und damit nicht (einfach) zurückverfolgbar, z.B. vermittels von dynamisch vergebenen Anteilen im IPv6 Adresspräfix oder vermittels dynamischer neu vergebener Präfixe auf Kundenwunsch z.B. per Knopfdruck. Die jeweilige Entscheidung darüber soll/muss beim Benutzer liegen.

Hatten wir schon, es bleibt ein Problem zwischen Kunde und Provider. Wie soll sicher gestellt werden, daß die Entscheidung beim Benutzer liegt? Nur keine konkreten Aussagen!

Anstelle einer die Erprobung von sinnvollen IPv6-basierten Techniken zum Datenschutz und zur Gewährleistung der Privatsphäre (zu) frühzeitig einschränkenden Reglementierung soll eine umfassende Sensibilisierung und Aufklärung der Benutzer zur Erlangung der notwendigen Medienkompetenz für einen verantwortungsbewussten Umgang mit persönlichen Daten erfolgen.

Aha, Reglementierung ist schlecht (Wer garantiert nochmals die Entscheidungsfreiheit des Benutzers?) und der Rest geht am Thema IPv6 komplett vorbei. Eine IP-Adresse wird den Geräten automatisch zugewiesen, hier gibt es nichts, woran der Anwender durch Medienkompetenz und verantwortungsvollen Umgang mit persönlichen Daten etwas ändern könnte.

Fazit:
Gut das wir mal darüber gesprochen haben. Hier wird der Leser doch nach Strich und Faden verarscht. Das Ganze ist noch nicht mal mehr leeres Marketinggeblubber, sondern einfach nur peinlich. Insbesondere auch im Hinblick auf den hochtrabenden Titel des Hasso-Plattner-Institutes als „universitäres Exzellenz-Center für IT-Systems Engineering“. Armes Deutschland, wenn das bereits die Elite der IT sein sollte. Kein Wunder, daß es in diesem Land bergab geht.

Nachtrag:
Übrigens wird mit dem Dokument RFC 6540 von April 2012 IPv6 aus technischer Sicht verpflichtend. Dies hat insofern Auswirkungen, als daß ab jetzt alle Geräte die kein IPv6 unterstützen nicht mehr als „Stand der Technik“ gelten können und damit als mangelbehaftet anzusehen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.