Hi Oliver, sorry f�r die sp�te Antwort!
Oliver Gassner schrieb am Fri, 09 May 2003 09:44:15 +0200:
>>>
>>>Ich hab nicht 100% des Threads gelesen, aber wie genau sind denn
>Deine>>L�sungsans�tze zur Verhinderung/Ermittlung bei Hacking (DoS,
>Spam und>>Betrugshandlungen im Netz?
>>
>>Das war nicht mein Ansatz.
>> Meine Anzeige richtet sich nicht gegen DoS-Attacken, Spam oder
>>Betrug, sondern gegen Datenschutzverletzungen.
>
>Ja, und?
>Darf ich dich dann nicht fragen, wie sich Dein Ziel in KOnflikt mit
>anderen Zielen positioniert?
Doch, darfst Du. Nur glaube ich nicht, dass die (derzeitige und von mir
angegriffene) Zuordnung dynamisch vergebener IP-Adressen zu Anschl�ssen
bzw. KundInnen wesentlich hilft bei der Bek�mpfung von DoS, Spam oder
Betrug.
Gute L�sungsans�tze etwa zur Verhinderung von Spam gibt es auch
heute, also mit der Protokollierung von Nutzungsdaten, nicht: Mehrere
Leute haben hier von ihrem riesigen Spam-Aufkommen berichtet. Ich finde
es daher irref�hrend, mich im Zusammenhang mit meiner Anzeige zu fragen,
ob ich nicht gute L�sungsans�tze h�tte.
>>Bei Spam und Betrugshandlungen findet (im Erfolgsfall) Geldtransfer
>>statt. Dar�ber w�ren �belt�terInnen zu ermitteln. [...]
>
>a) Bei Spam fidnet in mienem Fall v.a. Zeitvernichtung statt.
Nicht nur in Deinem. Aber Spam ohne Gewinnabsichten ist selten; darum
ging es mir.
>b) Der geldtransfer ist sicher einfacher zu verfolgen,m wenn man eine
>der endpunbkte (oder gar beide) identifizieren kann. oder willst Du
>einfach mal sichgerheitshalber alle Geldtranbsfers loggen? (*G*)
Wenn jemand sich gesch�digt f�hlt und daraufhin die Polizei
(Rechtsanw�ltIn, Verbraucherschutzverb�nde ...) einschaltet, ist ein
Endpunkt des Geldflusses identifiziert: der/die Gesch�digte.
Wenn jemand sich von Spam bel�stigt f�hlt, kann er/sie zum Schein auf
das Gesch�ft eingehen und somit einen Geldtransfer herbeif�hren, der nur
der Ermittlung der Gegenseite dient.
Grunds�tzlich m�chte ich mittelfristig die M�glichkeit einer
komfortablen, anonymen, sicheren und billigen (keine/geringe
Zusatzkosten) Bezahlung haben - auch vom Schreibtisch aus ("�ber das
Internet"). Diese M�glichkeit gibt es derzeit nicht, damit sind fast
alle bargeldlosen Geldtransfers geloggt.
Die Einf�hrung guter elektronischer bzw. kryptographischer
Bezahlsysteme, die den zahlreichen Anforderungen - insbesondere
Datenschutz, Anonymit�t usw. - an solche Systeme gerecht werden, ist ein
Thema f�r sich.
>>Daher sehe ich nicht, warum mein Vorsto� (der ja im Wesentlichen
>darauf>abzielt, dass das Verbot, die Zuordnung von IP-Adressen
>personenbezogen>zu speichern, auch umgesetzt wird) die Bek�mpfung von
>Spam / Betrug>gro�artig behindern sollte.
>
>Du argumentierst so in etwa (hink, hink):
>"Verbrecher hintrerlassen ja Fingerabdr�cke, wozu DNA-Analysen?"
Nein.
Ich sage: Es soll keine DNA-Kartei aller Menschen geben!
Und wenn der Einwand kommt, dass sich mit einer vollst�ndigen
DNA-Datei aller Menschen mehr Straftaten aufkl�ren lie�en, dann erwidere
ich darauf unter anderem: Das gilt nur f�r die geringe Anzahl von
Straft�terInnen, die zwar schlau genug sind, Fingerabdr�cke zu
verhindern, aber zu doof, brauchbare DNA-Spuren zu verhindern. Und: Das
gilt nur so lange, bis auch doofe Straft�terInnen sich umgestellt haben
und zus�tzlich zu Handschuhen auch Haarnetze usw. tragen.
>Real aber haben DNA-Analysen in den USA schon das Leben von
>Todeskandidaten gerettet.
Ich kenne keine verl�sslichen Zahlen, aber ich wage die Behauptung, dass
in den USA mehr Menschen "wegen" DNA-Analysen get�tet wurden, als
Menschen "wegen" DNA-Analysen "gerettet" wurden. (Das "wegen" immer in
Anf�hrungszeichen, weil Menschen nicht wegen wissenschaftlicher Analysen
vom Staat gekillt werden, sondern wegen menschenverachtender
Machterhaltungs-Systeme.)
Aber grunds�tzlicher: Das als Argument zu verwenden, ist haarstr�ubend!
Es zementiert die - nicht nur in den USA �bliche, aber dort besonders
bekannt gewordene - Praxis, Menschen ohne Beweise und allein durch eine
Mischung aus Diffamierungen, Indizien und (rassistischen) Vorurteilen zu
verurteilen.
Es akzeptiert (und beg�nstigt die Herangehensweise), dass
Beschuldigte unschuldig verurteilt werden k�nnen, wenn die "echte"
T�terIn keine Gegenbeweise (in Form von DNA- oder Fingerabdruckspuren)
am Tatort hinterlassen hat.
Und - noch grunds�tzlicher: Es verdreht T�ter-/Opferrollen.
Die USA t�ten Menschen. Sie t�ten Menschen unter dem Vorwand, diese
h�tten Straftaten begangen, auch wenn das nicht stimmt. Sie t�ten vor
allem sozial und rassistisch benachteiligte bzw. unangepasste Menschen.
- Das alles ist meines Wissens ziemlich unbestritten.
Wie kommst Du darauf, die USA w�rde mit dieser T�tungspraxis
aufh�ren, nur weil ein paar Opfer mehr ihre Unschuld glaubw�rdig machen
k�nnen? Die Todesstrafe soll abschrecken; daf�r ist es (in der Logik der
USA) n�tig, dass sie auch vollstreckt wird. Die USA (bzw. die Staaten
mit Todesstrafe) sorgen daf�r, dass so viele als schlechtes Beispiel
geeignete Menschen get�tet werden, wie sie es f�r sinnvoll halten.
Ausreichend viele Opfer werden die USA finden - auch, wenn einzelne
beweisen k�nne, dass nicht sie die Hauptschuld (im juristischen Sinne)
an den fraglichen Straftaten tragen.
Wer die Unschuldsvermutung mit F��en tritt, tritt auch Gegenindizien
mit F��en. Und notfalls auch Gegenbeweise. (Wobei es tats�chliche
Beweise oder Gegenbeweise bei fast keinem Strafverfahren gibt.)
>> Und (D)DoS-Attacken gehen, soweit ich wei�, �berwiegend von
>>"gekaperten" Systemen aus. Auch da w�sste ich nicht, wie ein Erfolg
>>meiner Anzeige wesentlich mehr Freiheiten f�r Angriffe bedeuten
>sollte.
>
>Der Angriff hinterl�sst aufd em gekaperten Syetem dann keine IP des
>angreifers im LOg?
Schreiben Windows 98-Rechner mit DSL-Anbindung und
rund-um-die-Uhr-Betrieb brauchbare Logfiles �ber eingehende
Verbindungen? Ich glaube kaum.
Und wenn doch, wird die UrheberIn des Angriffs vermutlich wissen, wo
diese Logfiles abgelegt werden und somit zu l�schen sind.
>>Handlungsbedarf; und auch das, wenn m�glich, anonymisiert; und wenn es
>>technisch n�tig wird, personenbezogene Informationen zu
>protokollieren,>die betroffenen User dar�ber (vorher) zu informieren.
>
>Personenbezogen wird ja ein IP-Log-Eeintrag (meist) erst dann, wenn
>man (ggf. eber gerichtsgest�tzt) einen Provider zur Herausgabe der
>IP-Person-Verbindung bewegt.
Quatsch.
Personenbezogenes Datum heisst, dass es einen Bezug zwischen dem
Datum (hier: IP-Adresse) und einer Person (hier: Kunde/Kundin eines
Internetproviders) gibt, der es erm�glicht, beides miteinander in
Verbindung zu bringen.
T-Online kann ohne Zugriff auf externe Datenbest�nde zuordnen, wer wann
mit welcher IP-Adresse das Internet genutzt hat. (Wobei sich T-Online
angeblich leicht t�uschen l�sst, welcher Telefonanschluss welchen
Account nutzt. Und wobei sich nat�rlich kaum nachvollziehen l�sst, wer
tats�chlich an einem Rechner gesessen hat. - Aber das sind andere
Themen.) Damit ist es f�r T-Online ein direkt personenbezogenes Datum,
dass X zum Zeitpunkt Y IP-Adresse Z hatte. (Und damit ist es illegal,
dass T-Online diese Information speichert.)
www.pseudo-music-download.riaa.org kann feststellen, dass irgendwer mit
IP-Adresse Z Lockangebote herunterl�dt. Auch hier ist die IP-Adresse ein
personenbezogenes Datum: Die Nutzung des Angebots wird einer
personenbezogenen Adresse Z und damit der Person X zugeordnet.
W�ren IP-Adressen grunds�tzlich nicht mehr Personen zuzuordnen, dann
w�ren IP-Adressen keine personenbezogenen Daten mehr.
Sch�nen Gru�
Holger
pgp00000.pgp
Description: PGP signature
