Kann ein Server-Betreiber mit der Speicherung von IP-Adressen Angreifer abwehren?

Heute Gestern hat der Europäische Gerichtshof (EuGH) ein Urteil zur Speicherung von Nutzer-IP-Adressen auf Servern gefällt. Kläger Patrick Breyer argumentiert nun gegen das EuGH-Urteil mit einem Gerichts-Gutachten von 2011, das (verkürzt) besagt: die Speicherung von IP-Adressen sei nicht nötig/hilfreich um Angriffe auf Server zu bekämpfen. Das Gutachten ist aber dermaßen schlecht und fehlerhaft, dass sich mir die Fußnägel zusammenziehen. Der Gutachter hat offensichlich weder tiefgreifende Ahnung vom Internet-Protokoll noch von Angriffen auf Server noch wie man diese bekämpft – aber dafür eine persönliche Meinung. 

Das EuGH-Urteil (Pressemeldung, Volltext) besagt stark verkürzt, dass IP-Adressen in bestimmten Fällen zwar personenbezogene Daten sein können: wenn ein Webseitenbetreiber, der Opfer eines Strafbaren Angriffs auf die Webseite war, nach einer Strafanzeige durch Akteneinsicht den Täter herausfinden kann. Aber, so der EuGH weiter, der Webseitenbetreiber könne ein berechtigtes Interesse haben, die IP-Adresse zu speichern, um gegen den Angriff vorgehen zu können. Und das müsste bei einer Abwägung beachtet werden.

Das Urteil möchte ich jetzt hier aber gar nicht weiter diskutieren, sondern auf das Gutachten eingehen, dass der Kläger Patrick Breyer heranzieht um zu behaupten, die Speicherung von IP-Adressen sei zur Abwehr von Angriffen unnötig. Dieses Sachverständigen-Gutachten für das Langdgericht Berlin von Dr.-Ing. Stefan Köpsell von der TU Dresden ist inhaltlich offensichtlich falsch und erfüllt in keiner Weise die Ansprüche, die ich an ein Gutachten für ein Gericht (!) stelle. Es ist voller Fehler, falschen Schlussfolgerungen und persönlicher Meinungen des Autors, der vermutlich nur wenig Erfahrung mit der Abwehr von Angriffen auf reale IT-Systeme oder dem Betrieb von Server-Diensten abseits des Anonymisierungsdienstes AN.ON hat, den er laut eigener Aussage im Gutachten betreibt. 

So behauptet der Gutachter:

„Die Angabe von Quell- und Ziel-IP-Adresse ist bezüglich der Funktionalität und Sicherheitseigenschaften gut mit der Angabe von Absender- und Empfängeradresse im Postverkehr vergleichbar. Insbesondere ist in beiden Fällen die Absenderangabe durch den Absender frei festlegbar.“

Dies ist schlicht falsch, und der Gutachter scheint bei den Grundlagenkursen zu Netzwerken im ersten Semester nicht richtig aufgepasst zu haben – oder er lügt. Zwar kann man beim IP-Protokoll UDP eine beliebige Absenderadresse eintragen. Dann muss man sich aber nicht wundern, wenn man keine Antwort erhält. Bei dem Gerichtsverfahren hier geht es aber primär um Webseiten, und das dafür genutzte HTTP-Protokoll verwenden als IP-Protokoll TCP, wie auch E-Mail-Server (SMTP, IMAP, POP3), SSH-Server und so weiter. Und TCP benötigt schon für den Verbindungsaufbau – also bevor auch nur ein einzelnes Byte Nutzdaten ausgetauscht wird – eine korrekte Absender-IP-Adresse, da zum Verbindungsaufbau mehrere Pakete hin- und hergeschickt werden (Natürlich kann man auch IP-Spoofing betreiben, das kommt aber immer auf die Art des Angriffs an und ist bei übichen Zugriffen auf HTTP-Server nicht die Regel). 

Zwar verweist Gutachter Köpsell anschließend auf Proxy-Server und Anonymisierungsdienste, die die ursprüngliche Herkunft eines Angreifers verschleiern können. Das ist korrekt, aber ein Angriff auf einen Server kann dann beispielsweise auch durch das Blockieren der betreffenden IP-Adresse des Proxy-Servers unterbunden werden. Wobei es natürlich immer auf die Art des Angriffs ankommt, pauschale Aussagen sind in dem Kontext immer nur für Einzelfälle richtig.

Der Gutachter hat überhaupt nicht erwähnt oder analysiert, welche Angriffe es auf welche Dienste es gibt. Das bleibt vollkommen unerwähnt. Die Art des Angriffs ist aber sehr relevant für die Wahl der passenden Abwehrmechanismen, für die Frage, wo überhaupt IP-Adressen protokolliert werden (können) und wie hilfreich die Protokollierung bei der Bekämpfung sein kann. 

  • Man kann Server mit (D)DoS-Attacken in die Knie zwingen. Auch hier gibt es sehr viele verschiedene Methoden (von SYN-Flood-Attacken über Reflection-Angriffe bis Smurf-Angriffe und sehr vieles mehr), die Absender-IP-Adressen sind oft gefälscht (insbesondere bei UDP-basierten Angriffen) oder stammen von gekaperten, mit Trojaner verseuchten Geräten Unbeteiligter. Im Web-Server-Log (um das es primär geht) tauchen die aber i.d.R. gar nicht auf.
  • Server können absichlich oder unabsichtlich (z.B. von einem kaputten Robot) überlastet werden. Das passiert oft von einer einzelnen oder wenigen IP-Adressen – eine Protokollierung kann den Übeltäter identifizieren und man kann ihn blockieren etc.
  • Trolle und ähnliches können sich in Diskussionsforen oder Blogs breit machen, in beliebigen Formen von harmlos bis schlimm, von nervig bis strafbar, von lustig bis zerstörerisch. Die Speicherung der IP-Adressen kann beim Aufdecken helfen (z.B. nutzt die Wikipedia das, ebenso wie nahezu jedes Blog usw.), manchmal lassen sich nur dadurch Muster erkennen usw. Die echte Identität des Trolls wird damit aber üblicherweise nicht aufgedeckt und das ist meist auch nicht das Ziel.
  • Es gibt gezielte Angriffe auf bestimmte Dienste, z.B. Brute-Force-Angriffe zum Passwörter knacken, sei es beim SSH-Zugang oder dem Admin-Interface des CMS. Die Täter verschleiern zwar i.d.R. ihre eigene IP-Adresse, dennoch kann man oft die angreifende Adresse blockieren, beispielsweise mit Fail2ban.
  • Zur Spam-Bekämpfung werden Sperrlisten (Blacklists) von IP-Adressen genutzt, die u.a. durch vorherige Protokollierung gewonnen werden.
  • Wer Beschwerden beim Provider eines Angreifers (Abuse-Meldungen) einreichen will, braucht zwingend die IP-Adresse, denn sonst lässt sich der Provider nicht ermitteln, und ohne IP-Adresse und genaue Beschreibung bearbeitet das Beschwerdemanagement des Providers keine Meldung.
  • und so weiter

Zudem gibt es viele Orte, in denen die Protokollierung von IP-Adressen stattfinden kann. Auch dies wird vom Gutachter nicht erwähnt:

  • Protokolldateien von Webservern
  • Protokolldateien von Mailservern
  • In jeder E-Mail steht die IP-Adresse des Absenders bzw. dessen Mailserver
  • Firewall-Protokolldateien
  • Protokolldateien und Datenbanken von Systemen zur Erkennung von Angriffen (Intrusion-Detection-Systemen)
  • Protokolldateien und Datenbanken von Werkzeugen zur Analyse des Nutzerverhaltens etc.
  • Protokolldateien von Servern zur Lastverteilung (Load Balancer)
  • System-Protokoll-Dateien (z.B. bei Protokollierung von Zugriffen auf geschlossene Ports)
  • In der normalen Datenbank von Anwendungen wie Blog- oder Forensoftware zur Protokollierung bei Nutzer-Aktionen
  • und so weiter

Es gibt also viele Arten, wie die Auswertung von IP-Adressen helfen kann, Angriffe abzuwehren. Und manche Angriffe kann man gar nicht sofort als Angriff erkennen, sie sehen wie legitime Zugriffe aus – vielleicht besonders häufig oder fehlerhaft. Wenn man nur Nutzer aus Deutschland hat, dann aber jemand häufig mit chinesischer IP-Adresse kommt, kann es sich um einen Angriff handeln. Oder es sind gar keine echten Angriffe sondern fehlerhaft konfigurierte Systeme. Je nach Situation kann die IP-Adresse das einzige Mittel sein, um den (vermeintlichen) Angreifer herauszufinden.

Für eines werden IP-Adressen aber üblicherweise nicht genutzt: für das Tracken von Nutzern.

Für ein ordentliches Gutachten wäre es notwendig, einen Großteil der möglichen Fälle mitsamt möglicher Abwehrmechanismen genauer zu betrachten. All das hat der Gutachter nicht getan: anstatt breit zu beschreiben welche Angriffs- und Abwehrmöglichkeiten (mit oder ohne IP-Adressen) es gibt hat er nur geschrieben:

„Zusammenfassend läßt sich also feststellen, daß die Speicherung von IP-Adressen höchstens für die Identifizierung von ,dummen' Angreifern nützlich sein kann“

Dabei geht es oftmals gar nicht um die Identifizierung eines Angreifers sondern darum, den Angriff abzuwehren, einzuschränken, zu erschweren oder ganz zu verhindern. Oder um Fehlkonfigurationen zu entdecken: natürlich sollte eine Firewall blockierte Pakete (und damit deren IP-Adressen) protokollieren, denn nur so lassen sich manche Fehlkonfigurationen finden. Und natürlich sollte jeder Mail-Server IP-Adressen von den Kommunikationspartnern speichern, um beispielsweise Spammer oder anderen Missbrauch zu erkennen. 

Weiter behauptet der Gutachter, dass zur Abwehr keine vorherige Protokollierung von IP-Adressen nötig sei, man müsse die IP-Adresse ja nur in die Firewall eintragen und zukünftige Zugriffe blockieren. Dabei vergisst er aber, dass man nur eine solche IP-Adresse in die Firewall eintragen kann, die man kennt. Und man kennt sie i.d.R., weil man sie in Protokolldateien gespeichert und diese analysiert hat. Insbesondere die von ihm erwähnten „Angriffserkennungssysteme“ speichern bei der langfristigen Mustererkennnug natürlich IP-Adressen!

Um Zusammenhänge zu erkennen, will er lieber die IP-Adressen durch eine Zufallszahl ersetzen und meint wohl eine Art Hash-Wert. Natürlich kann man mit dem bedingt auch Angriffe abwehren – aber eben nicht jede Art von Angriff. Es kommt u.a. auf die genaue Umgebung, die Art der Angriffe und den Aufwand an. Und auch hier ist der Aufwand mit dem Risiko abzuwägen: der Server-Betreiber kann, wie der EuGH festgestellt hat, nur im Falle eines gegen ihn gerichteten Angriffs den Personenbezug bei der IP-Adresse mit Hilfe der Strafverfolgungsbehörden herstellen. Also: nur in sehr schwerwiegenden Fällen. 

Besonders skurril wird es zum Ende, wenn der Gutachter schreibt:

„Meiner Meinung nach dient die Speicherung nicht dem nationalen oder internationalem Stand der Technik in Hinblick auf die Absicherung von IT-Systemen.“

Zum einen ist es … eher ungewöhnlich, dass ein Gutachter seine „persönliche Meinung“ in einem Gutachten für ein Gericht zum Ausdruck bringt. Zum anderen zählt er danach einige Standards und Empfehlungen auf, die dem widersprechen. Dabei vergisst er aber auch einige, zum Beispiel Syslog aus RFC5424 oder das Common Log Format. Für E-Mails ist die Protokollierung der IP-Adresse der einliefernden Maschine im Mail-Header in RFC5321/RFC5322 vorgeschrieben. Die BSI-Grundschutzkataloge sehen an einigen Stellen explizit die Protokollierung von IP-Adressen vor. Weltweit protokollieren vermutlich nur unter 0,0001% der Web-, SSH- und Mail-Server sowie Firewalls und ähnliches keine IP-Adressen. Dass der Gutachter dann die Meinung vertritt, dass eine Speicherung „nicht dem nationalen oder internationalen Stand der Technik“ entspreche ist eine ziemlich gewagte Behauptung. 

Fazit

Gutachter Dr.-Ing. Stefan Köpsell macht es sich viel zu leicht mit seiner Behauptung, dass eine Speicherung weder hilfreich noch nötig sei. Ob das so ist, kommt sehr stark auf den jeweiligen Fall an. Und zudem muss das alles natürlich auch immer mit den Eingriffen in die Rechte der Betroffenen, die durch die Speicherung erfolgen, abgewogen werden. Das beauftragende Landgericht Berlin hat vielleicht auch nur den Fehler gemacht, einen Betreiber des Anonymisierungsdienstes AN.ON mit dem Gutachten zu beauftragen – denn ob er daher die nötige Neutralität für ein solches Gutachten mitbringt, kann bezweifelt werden.

Daher zum Abschluss noch ein wichtiger Punkt: Wenn es denn tatsächlich so wäre, dass die vielbeschworene „Aufzeichnung des Surfverhaltens“ der Nutzer über die Protokollierung von IP-Adressen geschehen würde, und damit die gesamte Bevölkerung gerastert und gescannt werden würde, dann müsste man sich tatsächlich tiefgehende Gedanken zur Vermeidung dieser Speicherung machen. Die „Aufzeichnung des Surfverhaltens“ geschieht aber nicht über die Protokollierung von IP-Adressen, sondern vor allem über Cookies und diverse andere Tracking-Maßnahmen. Ich würde es begrüßen, wenn die Datenschützer statt ihren Hass auf IP-Adressen auszuleben lieber gegen echte Datenkraken, Tracking-Dienste und ähnliches vorgehen würden. Aber das ist ja wohl zu kompliziert. Die institutionalisierten Datenschützer winken viel Schweinkram durch, wenn nur die IP-Adresse ordentlich anonymisiert wird – und die Datenkraken lachen sich schlapp, weil sie die IP-Adressen eh nicht interessieren, aber sie dafür alle ihre Tracking-Spielchen treiben dürfen. Da versagen die Datenschützer – und das ist jetzt natürlich eine ungerechte Pauschalaussage – völlig.

Update, am Abend 20. Oktober: Ein paar Tippfehler und Kleinigkeiten sowie mehr Links ergänzt; Speicherung in Datenbank von Blog- oder Forensoftware ergänzt, Hinweis auf IP-Spoofing ergänzt.