IT-Sicherheitsgesetz: Streit um Nutzung von IP-Adressdaten

Der AK Vorratsdatenspeicherung ist strikt dagegen, dass IP-Adressen zu Sicherheitszwecken verarbeitet werden dürfen. Die Bürgerrechtler liegen mit Informatikern und Datenschützern über Kreuz, die darin keinen Einstieg in die Vorratsdatenspeicherung sehen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 90 Beiträge

Datenschützer Thilo Weichert findet es "dumm", jegliche Nutzung von IP-Adressdaten zu verdammen.

(Bild: dpa, Markus Scholz)

Von

Die Forderung des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), im IT-Sicherheitsgesetz eine begrenzte Nutzung von IP-Adressdaten zu erlauben, stößt beim Arbeitskreis Vorratsdatenspeicherung auf strikte Ablehnung. Sprecher Patrick Breyer zeigt sich in einem Schreiben an FIfF-Vorstand Stefan Hügel „schockiert“ und spricht von „IT-Vorratsdatenspeicherung“. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert hingegen stellt sich "hundertprozentig" hinter das FIfF-Konzept.

Der Vorschlag des FIfF sieht vor, zunächst mit einem Intrusion-Detection-System aus den laufenden Verkehrsdaten etwaige Verdachtsfälle einzugrenzen und die restlichen Daten zu verwerfen oder zu pseudonymisieren. In einem zweiten Schritt soll ein auditierbares IT- Sicherheitsverfahren verwendet werden. Bei dem zweistufigen Verfahren zur IP-Adressdatenanalyse handelt es sich nach Ansicht der Informatiker nicht um Vorratsdatenspeicherung.

Vorratsdatenspeicherung

Das sieht auch ein prominenter Datenschützer so. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert bezeichnete es gegenüber heise online als „dumm“ und „fundamentalistisch“, auf IP-Adressdaten kategorisch zu verzichten, da diese bei der Untersuchung von IT-Sicherheitsvorfällen durchaus hilfreich sein könnten. Da es das Ziel des IT-Sicherheitsgesetzes sei, die Korrelation von Anomalien festzustellen, müssten „zwangsläufig Daten verarbeitet werden, die vielfach einen Personenbezug haben.“ Weichert stellt sich daher „hundertprozentig“ hinter den FIfF-Vorschlag, der eine stufenweise, zweckgebundene und eingeschränkte Nutzung von IP-Adressen erlaube. Im Telemediengesetz müsse daher eine „deutlich bestimmte“ Regelung gefunden werden.

In einer aktuellen Stellungnahme zum Gesetzentwurf weist Weichert darauf hin, dass IP-Adressdaten nicht die einzigen personenbezogenen Daten sind. So könnten auch gescannte Port-Nummern, Internetadressen, Routing-Tabellen in BGP-Routern und Zeitpunkte von Ereignissen einzelnen Nutzern zugeordnet werden. Das ist das Ergebnis einer Untersuchung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) im Rahmen des Bundesforschungsministerium geförderten Projekts „Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung“ (MonIKA).

Warnungen der Nutzer vor Sicherheitslücken, Schadprogrammen und Störungen seien überdies möglicherweise ohne IP-Adressdaten nicht machbar. So könnte etwa ein Routerhersteller erkennen, wenn ein Nutzer ein sicherheitskritisches Update nicht eingespielt hat. Falls der Nutzer mangels Registrierung nur über den Telekommunikationsdienstleister gewarnt werden kann, sollte dieser die relevante IP-Adresse dem Hersteller mitteilen dürfen. Dabei sei jedoch, so betont Weichert, eine strenge Zweckbindung erforderlich. (vbr)