c't 2/2022
S. 32
Aktuell
Datensparsamkeit

Hungern oder Hamstern?

Europäische IP-Adressvergabestelle: Datenschutz versus Datenhort

Daten sind das neue Gold und alle wollen mehr davon, unter anderem Strafverfolger. Sie fordern die europäischen IP-Adressverwalter auf, Anschriften kleiner und großer Netzbetreiber zu sammeln und auf Nachfrage herauszugeben.

Von Monika Ermert

Computeradressen für den Internetzugang (IP-Adressen) fallen nicht vom Himmel: Die Internet Engineering Task Force spezifiziert Internet-Protokolle und hat damit die Kapazität der Adressräume festgelegt: 4,3 Milliarden bei IPv4, 340 Sextillionen bei IPv6. Davon schöpft zunächst die oberste Vergabestelle, die Internet Assigned Numbers Authority. Sie teilt IP-Adressblöcke den Regional Internet Registries zu, in Europa dem Reseaux IP Européens, kurz RIPE. Das RIPE wiederum gibt IP-Adressblöcke an europäische Internet-Provider aus. Ein Provider schließlich gewährt seinen Kunden mittels IP-Adressen kostenpflichtige Zugänge zum Internet. So weiß zumindest er, welcher Kunde welche IP-Adresse nutzt.

Muss nun das RIPE Anschriften von Adressblockinhabern erfassen? Es hat sich jedenfalls im Laufe der Jahre viel Material in den RIPE-Datenbanken angesammelt, was Strafverfolgern Appetit macht, aber bei der Adressverwaltung Fragen nach dem Pflegeaufwand und der Rechtmäßigkeit aufwirft.

Unumstritten ist, dass die Provider zur Koordination ihrer Netzzusammenschaltungen Datenbanken brauchen, die das RIPE als Vergabestelle vorhält. Im August 1992 entstand die erste RIPE-Datenbank. Darin stehen unter anderem die Inhaber von IP-Adressen und Autonomen Systemen (AS) in Europa, dem Nahen Osten, Russland und Teilen von Zentralasien – das sind zumeist Provider wie 1&1 oder Vodafone.

Seit 1992 baute die europäische IP-Adressvergabestelle ihre Datenbanken aus. Die Pflege der Inhalte blieb aber teils auf der Strecke.
Quelle: RIPE

1995 legte das RIPE die Internet Routing Registry (IRR) für die Routing-Koordination an und trennte damit Routing-Informationen von der Adressregistrierung (Internet Number Registry, INR). Vor ein paar Jahren kam die RPKI-Datenbank hinzu, die Zertifikate zum kryptografischen Absichern von Weitverkehrsrouten und Ressourcen enthält.

Datenleichen und DSGVO

Das Kreuz mit den RIPE-Datenbanken ist nun, dass die Mitglieder ihre Einträge ursprünglich freiwillig machen durften. Zumindest in der Anfangszeit taten das einige mit Enthusiasmus – aber zunehmend mangelte es am Willen zum Aktualisieren, sodass ein Teil der Daten veraltet ist. Daher sammelt heute das RIPE Network Coordination Center (NCC), der operative Arm, einen Teil der Daten auf Basis von Verträgen mit Mitgliedern. Ein Teil der nichtöffentlichen RIPE Registry, etwa Vertragsdaten wie Adressen, Namen oder Rufnummern, steht auch in der öffentlich zugänglichen INR.

Vermutlich deshalb wuchsen in den vergangenen Jahren die Begehrlichkeiten der Strafverfolger. Insbesondere Europol drängte das RIPE dazu, Anschriften von Adressblockinhabern zu erfassen und in der öffentlichen Datenbank zu hinterlegen. Sie erhoffen sich davon eine Beschleunigung von grenzüberschreitenden Ermittlungen.

Zwischenzeitlich trat aber im Jahr 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft und gab den Anstoß, die RIPE-Datenbanken auf den Prüfstand zu stellen. Damit beauftragten die Adressverwalter 2019 eine sechsköpfige Task Force, zu der auch eine Vertreterin von Europol gehörte. Nach rund zwei Jahren legte die Gruppe nun ihre Empfehlungen im Dokument „RIPE Data Base Requirements“ vor.

Zusammengefasst kann man sagen: Die Task Force empfiehlt dem RIPE strenge Datensparsamkeit. Beispielsweise soll die Postadresse von IP-Adressblockinhabern in der offenen Datenbank künftig optional werden, bevorzugt aber verschwinden. Für den Hauptzweck der Datenbank, nämlich die Koordination der Provider und der Netzzusammenschaltung, werde die Postadresse nicht gebraucht.

Auch sollen die Provider die Zuordnung zwischen Kunden und festen öffentlichen IP-Adressen weglassen. „Das RIPE NCC hat die Zuordnung als Nachweis dafür verlangt, dass ein Mitglied tatsächlich neue Adressen braucht“, erläutert Peter Koch, Policy Experte des DENIC und Task-Force-Mitglied. Nur wer so belegen konnte, alle seine Adressen vergeben zu haben, durfte neue beantragen. Besonders als IPv4-Adressen knapp wurden, schaute die Adressverwaltung genau darauf.

Doch Koch ergänzte im Gespräch mit c’t: „Dieser Zweck ist erloschen, denn das RIPE hat seinen IPv4-Adressvorrat inzwischen aufgebraucht.“ Man kann auch annehmen, dass die Task Force für IPv6-Adressen keine derartige Kontrolle für erforderlich hält, weil diese ja im Überfluss zu haben sind.

Peter Koch (rechts) ist Policy-Experte des DENIC und Task-Force-Mitglied des RIPE. Die Task Force entwickelte wichtige Vorschläge zur Entschlackung der RIPE-Datenbank.

Bei der Empfehlung, die Zuordnung von Nutzern und IPv4-Adressen zu streichen, habe man nicht so sehr an die DSGVO gedacht, versichert Koch. Vielmehr sei diese Streichung sinnvoll, „weil Dinge, die nicht in der Datenbank sind, auch nicht veralten können“.

Auch schlägt die Task Force vor, für die technischen Ansprechpartner anstelle von realen Personenadressen künftig Rollenadressen einzuführen. Beim RIPE und dessen NCC habe man sich zunehmend Sorgen gemacht über die wachsende Zahl persönlicher Daten, die nicht nur für technische Ansprechpartner eingetragen waren.

„Im Mai 2021 enthielt die RIPE-Datenbank insgesamt 1,92 Millionen Personenobjekte“, führt die Task Force auf. Das sei kritisch, denn je größer diese Anzahl ist, desto höher sei auch die Wahrscheinlichkeit für DSGVO-Verstöße. Auch könnten die Mitglieder solche Datenmassen kaum aktuell halten.

Adressüberwachung

Manche Teilnehmer kritisierten, dass sich die Task Force gegen die Nutzung der Datenbank als IP-Adress-Management-Werkzeug (IPAM) stellt. Manche Provider tragen nämlich ein, wem sie welche Subnetze und IP-Adressen zugeteilt haben, um deren Verwendung zu überwachen und um die Fehlersuche zu automatisieren. Doch dafür sei die RIPE-Datenbank nicht gedacht, schreiben die Task-Force-Mitglieder.

Denis Walker, Vorsitzender der für die Datenbank zuständigen Arbeitsgruppe beim RIPE, kritisierte, dass die Task Force nur die „historischen Zwecke“ berücksichtigt habe. Daneben gebe es „neue Zwecke“, die undokumentiert seien. Die Task Force habe nämlich die Anforderungen neuer Interessenvertreter nicht berücksichtigt. Damit dürfte Walker Regulierer und Strafverfolger meinen.

Diese werden sich daher über den Zuspruch Walkers freuen. Denn die Task Force erkennt zwar bei der Kriminalitätsbekämpfung die Notwendigkeit eines raschen Zugangs zu Adressdaten an. Doch habe es in der Gruppe keinen Konsens zum Vorschlag der Strafverfolger gegeben. Wenn es also nach der Task Force geht, sollen Strafverfolger die Daten wie bisher beim RIPE NCC anfragen. Für die Herausgabe ist dann allerdings eine richterliche Verfügung erforderlich. Geht es jedoch nach Walker, dann sollte das RIPE sofort eine neue Debatte über die künftige Bestimmung der Datenbank starten.

Die Vorsitzende des RIPE, Mirjam Kühne, bremste Walkers Enthusiasmus jedoch und sieht zunächst nur die diversen Arbeitsgruppen des RIPE am Zug. Es liege nun in deren Hand, welche der Entscheidungen sie umsetzen und wie schnell. (dz@ct.de)

RIPE Data Base Requirements: ct.de/ywph

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen