Seite 2: IP-Nummern: Eindeutiger Personenbezug und die Folgen für die IT-Sicherheit

Vielleicht erinnert sich noch jemand daran, mit welcher Begründung die damalige Bundesjustizministerin Brigitte Zypries 2007 vom Landgericht Berlin unter Androhung eines Zwangsgeldes in Höhe von 250.000 Euro rechtskräftig dazu verurteilt wurde, im Webauftritt des Justizministeriums jede Protokollierung von IP-Nummern über das Ende des jeweiligen Nutzungsvorgangs hinaus abzustellen.

Das Urteil war Endpunkt eines Rechtsstreits gegen die Protokollierung von Nutzerdaten durch Betreiber von Webseiten - im Juristendeutsch: Telemedienanbieter. Die Klage entstand im Kontext des Protests gegen die Vorratsdatenspeicherung und richtete sich nach Äußerungen von Bundesjustizministerin Zypries dann konkret gegen die Ungesetzlichkeit der Nutzerdatenprotokollierung, wie sie durch Bundesministerien, vor allem aber auch das Bundeskriminalamt (BKA) praktiziert wurde. Das BKA hatte im Zuge von Ermittlungen gegen eine "militante Gruppe" sein Webangebot als klassischen Honeypot genutzt. Die Nutzerzugriffe auf die Webseiten mit Informationen über die entsprechenden Fahndungsmaßnahmen wurden gezielt protokolliert, um die Nutzer zu ermitteln.

Das Urteil und vor allem das Zwangsgeld gegen eine Ministerin führten bei Bundesregierung und Parlament sehr schnell zu einigen Aktivitäten. Die damals von der Bundesregierung in ihren Antworten auf parlamentarische Anfragen getroffenen Aussagen, Schlussfolgerungen und nachfolgende Aktionen erhalten durch das IT-Sicherheitsgesetz nun einen ganz neuen Wert. So erklärte die Bundesregierung 2007 auf Anfrage der Fraktion der Linken zur Notwendigkeit der Protokollierung von IP-Nutzerdaten für Zwecke der IT-Sicherheit3:

Die Speicherung ist insbesondere aus Sicherheitsgründen notwendig: Die Bundesverwaltung ist kontinuierlich massiven und hoch professionellen Angriffen aus dem Internet ausgesetzt und der durch die Angriffe verursachte Kommunikationsverkehr übertrifft seit langem den regulären Kommunikationsverkehr. Zur Abwehr dieser Angriffe und zur Aufrechterhaltung des Behördenbetriebs sind zahlreiche Sicherheitsmaßnahmen notwendig. Dazu gehört zwingend die Speicherung der IP-Adressen, um Angriffsmuster erkennen und Gegenmaßnahmen (z. B. das Sperren bestimmter, für den Angriff genutzter IP-Adressen) einleiten zu können. Ohne diese Daten ist eine Abwendung der kontinuierlichen Angriffe nicht möglich.

Trotz der "zwingenden Notwendigkeit" zur Speicherung von IP-Daten für IT-Sicherheitszwecke bewertete die Bundesregierung die Rechtmäßigkeit der Speicherung von IP-Nummern jedoch deutlich vorsichtiger4:

Inwieweit IP-Adressen personenbezogene Daten darstellen, ist nicht abschließend geklärt. Mit dem in der Kleinen Anfrage in Bezug genommenen Urteil des AG Berlin liegt nach hiesiger Kenntnis erstmals eine Gerichtsentscheidung vor, nach der IP-Adressen nicht nur für den Zugangsanbieter, der diese Adressen vergibt, sondern auch für den Anbieter eines (Medien-) Dienstes personenbezogene Daten sind, obwohl der Diensteanbieter einen Personenbezug allenfalls mit Hilfe des Zugangsanbieters herstellen könnte.

Der entscheidende Punkt war und ist aber genau die Frage, wie Anbieter von Webseiten - also Telemedienanbieter - mit IP-Nummern umgehen und in welchem Umfang sie IP-Nummern natürlich auch zur Erkennung von Manipulationsversuchen speichern und auswerten dürfen.

Die damals ungeklärte Frage, ob IP-Nummern personenbezogene Daten seien und vom Grundrecht auf informationelle Selbstbestimmung geschützt sind, ist mittlerweile höchstrichterlich geklärt: Das Bundesverfassungsgericht (BVerfG) urteilte im Januar 2012 über Sammlung und Abruf von IP-Adressen.

Insbesondere fallen unter den Schutz der informationellen Selbstbestimmung auch personenbezogene Informationen zu den Modalitäten der Bereitstellung von Telekommunikationsdiensten.

Zu diesen gehörten auch Kennungen wie etwa IP-Nummern. Das Verfassungsgericht forderte eine Eingrenzung des Datenabrufs dynamischer IP-Adressen. Statische IP-Adressen seien heute vornehmlich für wenige Geschäftskunden bedeutsam. Angesichts der absehbaren Entwicklung hin zu dauerhaft statisch vergebenen IP-Adressen im IPv6 formuliert das BVerfG jedoch sehr deutlich die Gefahren einer beliebigen Speicherung: "Angesichts dieses erhöhten Informationspotenzials wäre die generelle Möglichkeit der Identifizierung von IP-Adressen nur unter engeren Grenzen verfassungsrechtlich zulässig"5.

Insbesondere sieht das Gericht in IP-Nummern eine größere Gefährdung der Persönlichkeitsrechte als etwa die Auskunft über Telefonnummern, die dann besonders vom Fernmeldegeheimnis geschützt ist, wenn es um die Ermittlung geht, "wer wann mit wem kommuniziert" hat6:

Die Identifizierung von dynamischen IP-Adressen ermöglicht in weitem Umfang eine Deanonymisierung von Kommunikationsvorgängen im Internet. Zwar hat sie eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer. Schon vom Umfang, vor allem aber vom Inhalt der Kontakte her, über die sie Auskunft geben kann, hat sie jedoch eine erheblich größere Persönlichkeitsrelevanz und kann mit ihr nicht gleichgesetzt werden.

Die höchstrichterliche Diskussion der Funktion von IP-Nummern im Datenverkehr lässt keinen Zweifel mehr daran, dass IP-Nummern personenbezogene Daten sind. Die rechtliche Konsequenz daraus ist aber, dass solche personenbezogenen Daten nur auf gesetzlicher Grundlage oder nach Einwilligung der Nutzer gespeichert werden dürfen. Und zwar durch Telemedienanbieter ebenso wie durch jeden Telekommunikationsprovider - egal ob zu Werbezwecken oder für die IT-Sicherheit.

Eine Rechtsgrundlage für die Protokollierung von personenbezogenen Daten zu Sicherheitszwecken gibt es für Telekommunikationsprovider. Das Telekommunikationsgesetz (TKG) erlaubt es in §100 den Betreibern "zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer [zu] erheben und [zu] verwenden".

Darauf können sich IT-Sicherheitsverantwortliche bei der Protokollierung von IP-Nummern aber nicht berufen. Für sie gilt das Telemediengesetz (TMG), das regelt, was bei Internetangeboten zu beachten ist, beginnend von Webseiten zur Information, aber genauso auch Webshops, Cloud-Speicher oder komplexe webbasierte Softwaredienste - also jene Webangebote, die klassisches Arbeitsfeld der IT-Sicherheit sind.

Ziel des Telemediengesetzes war die anonyme oder pseudonyme Nutzung des Internets. Daher dürfen Anbieter keine oder nur möglichst wenige Daten erheben, zumal im Internet zwischen Anbietern und Nutzern von Telemedien vielfach kein Vertragsverhältnis besteht, das die Rechtslage zwischen beiden Seiten individuell regeln könnte.

Das TMG verbietet in §12 ausdrücklich die beliebige Speicherung personenbezogener Daten durch Webangebote:

Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Zulässig ist allein die zur Kommunikation nötige Speicherung und Verarbeitung der Daten, die aber am Ende der Nutzung umgehend zu löschen sind7:

Der Diensteanbieter hat [..] sicherzustellen, dass [..] die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht [..] werden.

Und um obendrein die Frage von Nutzungsdaten - wie etwa die IP-Nummern der zugreifenden Benutzer - zweifelsfrei zu definieren, erlaubt der §15 TMG ein "Erheben und Verwenden" personenbezogener Nutzerdaten - als da sind:

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien

nur für Abrechnungszwecke, wenn eine Vertragsbeziehung besteht, nicht aber bei anonym nutzbaren Angeboten. Allein "bei Verwendung von Pseudonymen" ist es zulässig, Nutzungsprofile für "Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung" der Telemedien zu erstellen. Dieser Rechtsrahmen

• erlaubt, IP-Nummern von Nutzern eines Webangebotes zu verarbeiten, solange die aktuelle Nutzung andauert,
• erfordert die Löschung der Daten und IP-Nummern unmittelbar nach Ende dieser Nutzung
• oder lässt die Bildung und Sammlung pseudonymisierter Nutzungsprofile zu, wie sie etwa durch wirksame Verkürzung oder Veränderung der IP-Nummer möglich sind.

Unzweifelhaft unzulässig ist jedoch, vollständige IP-Nummern dauerhaft zu speichern. Und um die Ernsthaftigkeit dieser Vorschrift besonders herauszuheben, sieht das TMG für Zuwiderhandlungen einen der sehr wenigen Bußgeldtatbestände vor.

Ausnahmen gibt es auch für den alltäglichen Fall von Angriffen auf IT-Systeme keine: Die IP-Nummer eines Angreifers darf man sich nicht einmal auf einem Zettel notieren. Natürlich hat ein IT-Sicherheitsverantwortlicher damit auch keine legal gesammelten Daten in der Hand, die für eine juristische Lösung nutzbar wären. Selbst bei der Speicherung von pseudonymisierten Daten muss man als Praktiker wohl besser ausblenden, dass IT-Sicherheit als legitimer Zweck einer Datenspeicherung im Telemedienrecht schlicht nicht vorgesehen ist.

Für die Klärung einer großen Zahl Internet-basierter IT-Sicherheitsvorfälle auf juristischem Weg gibt es damit in Deutschland keine rechtliche Grundlage. Deshalb war spätestens nach dem Urteil des Bundesverfassungsgerichts 2012 die Frage zwangsläufig, wie IT-Sicherheitsverantwortliche eine rechtskonforme Detektion von IT-Sicherheitsvorfällen ohne eine Rechtsgrundlage für die Speicherung von IP-Nummern bei Verdachtsfällen oder einem Angriff realisieren sollten.