Positionspapier Datenschutz bei der Einführung des Internet-Prokolls Version 6 (IPv6)



Ähnliche Dokumente
Anbindung des eibport an das Internet

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

D i e n s t e D r i t t e r a u f We b s i t e s

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

DynDNS Router Betrieb

Netzwerkeinstellungen unter Mac OS X

Guide DynDNS und Portforwarding

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Benutzerhandbuch MedHQ-App

KNX BAOS Gadget. Installations- und Bedienanleitung. WEINZIERL ENGINEERING GmbH. DE Burgkirchen Web:

ANYWHERE Zugriff von externen Arbeitsplätzen

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

SICHERN DER FAVORITEN

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Registrierung am Elterninformationssysytem: ClaXss Infoline

Nutzungsbedingungen und Datenschutzrichtlinie der Website

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

ANLEITUNG ZUR KONFIGURATION IHRES IHRES INTERNETS MIT WINDOWS VISTA

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Pflegende Angehörige Online Ihre Plattform im Internet

Verwendung des Terminalservers der MUG

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Favoriten sichern. Sichern der eigenen Favoriten aus dem Webbrowser. zur Verfügung gestellt durch: ZID Dezentrale Systeme.

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

HBF IT-Systeme. BBU-NPA Übung 4 Stand:

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Der Schutz von Patientendaten

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Kurzanleitung So geht s

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

Übertragung von ArcGIS Desktop 10.1 Concurrent Use Lizenzen auf zwei oder mehr Lizenzmanager (Juni 2013)

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Internet online Update (Internet Explorer)

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Der Schutz Ihrer personenbezogenen Daten ist für die NFON AG ein zentrales Anliegen.

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Virtual Private Network

Lizenzierung von System Center 2012

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Richtlinie zur Vergabe von Domains im öffentlichen Interesse

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Meine Daten. Mein Recht

Konfiguration der tiptel Yeastar MyPBX IP-Telefonanlagen hinter AVM FRITZ!Box

Installationsbeschreibung Import / ATLAS / PV Zollsystem für die EDV-Abteilung

Rillsoft Project - Installation der Software

Nutzung von GiS BasePac 8 im Netzwerk

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Nutzung dieser Internetseite

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Lokale Installation von DotNetNuke 4 ohne IIS

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?

Step-By-Step Tutorial für den Domainrobot

Schnellstart. MX510 ohne mdex Dienstleistung

FTP-Leitfaden RZ. Benutzerleitfaden

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung Grundsetup C3 Mail & SMS Gateway V

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Powermanager Server- Client- Installation

Gruppenrichtlinien und Softwareverteilung

Version NotarNet Bürokommunikation. Bedienungsanleitung für den ZCS-Import-Assistenten für Outlook

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Cookies Cookies -Marketing Live Chat Analytik

Kurzanleitung OOVS. Reseller Interface. Allgemein

Cookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Einrichtungsanleitung Router MX200

Machen Sie Ihr Zuhause fit für die

1. Erhebung und Verarbeitung von personenbezogenen Daten

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

Kundenleitfaden Installation

Richtlinie zur.tirol WHOIS-Politik

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Transkript:

Positionspapier Datenschutz bei der Einführung des Internet-Prokolls Version 6 (IPv6) Konferenz der Datenschutzbeauftragten des Bundes und der Länder Stand: September 2011

2 Datenschutz bei der Einführung des Internet-Protokolls Version 6 (IPv6) Viele Betreiber und Anwender von Netzwerktechnik sind dabei oder planen, auf das Internet-Protokoll Version 6 (IPv6) umzustellen. Grund hierfür ist vorrangig, dass alle von der Vorgängerversion IPv4 nutzbaren Adressen seit diesem Jahr vergeben sind. Kein Anwender oder Betreiber wird sich dieser Entwicklung entziehen können. Diese Umstellung wirkt sich auch auf die Gewährleistung von Datenschutz und Datensicherheit aus und bietet zahlreiche Gestaltungsmöglichkeiten. Die Datenschutzbeauftragten des Bundes und der Länder werden diesen Prozess aktiv begleiten und sind bereit, Anwender und Betreiber zu beraten. Vergabe und Nutzung von IPv6-Adressen Bei IPv6 steigt die Länge der Adressen von ehemals 32 Bit auf 128 Bit - genug, um jedes noch so kleine elektronische Gerät mit mindestens einer weltweit eindeutigen Adresse auszustatten. Access Provider werden den Kunden deshalb in der Regel nicht mehr nur eine Adresse, sondern einen ganzen Bereich von Adressen zuteilen. Der vordere Teil der Adresse (Präfix) wird vom Provider zugewiesen. Der hintere Teil (Interface Identifier) von beispielsweise 64 Bit Länge kann vom Kunden nach Belieben benutzt werden. Obwohl durch IPv6 genug Adressen zur Verfügung stehen, um den Bedarf vollständig mit statischen Adressen zu decken, können die Access Provider auch weiterhin dynamische IP-Adressen vergeben. Eine dynamische IP-Adresse liegt vor, wenn mehrere unterschiedliche Endkunden zeitlich nacheinander unter einer identischen IP-Adresse kommunizieren und die Zuordnung der IP-Adresse zufällig erfolgt. Daraus ergeben sich sowohl Risiken als auch Chancen für den Datenschutz. Durch die Vergabe statischer Komponenten in IPv6-Adressen erhöht sich das Risiko dass Internet-Nutzer identifiziert und ihre Aktivitäten auf einfache Weise webseitenübergreifend zu individuellen Profilen zusammengeführt werden können. Sowohl der von den Internet-Providern bereitgestellten Adressanteil (Präfix) als auch gerätespezifische Anteile in den IPv6-Adressen machen eine dauerhafte Identifizierung möglich. Die Zuordnung einer IP-Adresse zu einer bestimmten Person bedarf dabei nicht zwingend einer Beteiligung des Zugangsanbieters. Mit Hilfe von Zusatzinformationen, die dem Betreiber eines Internet-Angebots vorliegen oder die ihm offenstehen, etwa Identifikationsdaten aus Nutzerkonten von Online-Shops, Sozialen Netzwerken oder Maildiensten, Zukauf von Identifikations-/Adressdaten, Zusatzwissen über die Aktivitäten, Gewohnheiten oder Vorlieben Betroffener usw.) ist eine eindeutige Bestimmung von Nutzern möglich. Die vereinfachten Möglichkeiten zur Profilbildung und Zusammenführung von Profilen erhöhen zudem das Risiko und verstärken die Auswirkungen krimineller Handlungen. Ein Identifizierungsrisiko kann sich aus beiden Teilen der neuen Adressen (Präfix und Interface Identifier) ergeben. Durch eine Kombination der Auswertung von statischen IPv6-

3 Adressen mit anderen Techniken zur Wiedererkennung von Nutzern, wie Cookies, Flash-Cookies, Webbugs steigt dieses Risiko weiter. Jede dieser Techniken bedarf spezieller Maßnahmen zum Schutz der Betroffenen. Die Chance statischer IPv6-Adressen besteht darin, dass jeder Nutzer dauerhaft über dieselbe IP-Adresse erreichbar sein kann. Zentrale Infrastrukturen wie Portale sind zumindest aus technischer Sicht nicht mehr erforderlich. Jeder Nutzer könnte eigene Dienste bereitstellen, mit denen er seine Erreichbarkeit und das eigene Erscheinungsbild im Netz selbst steuern kann. Dies hätte den entscheidenden Vorteil, dass bei der Nutzung solcher Dienste personenbezogene Daten nicht mehr an zentralen Stellen anfallen müssen. So könnten Anwendungen wie die IP-Telefonie oder soziale Netzwerke datenschutzfreundlicher gestaltet werden. Voraussetzung hierfür wären jedoch nutzerfreundliche und einfach zu bedienende Dienste, die nach dem Prinzip Privacy by Default voreingestellt werden müssen. Die Datenschutzkonformität solcher Dienste sollte beispielsweise durch Audits unabhängiger Fachleute bestätigt werden. Statische Adressen oder Präfixe sind personenbezogene Daten. Aber auch dynamische IPv6-Adressen sind als personenbezogene Daten anzusehen, da davon auszugehen ist, dass die Access Provider Nutzer dynamischer IPv6-Adressen identifizieren können. Auch IPv6-Adressen dürfen daher nach dem deutschen Telemedienrecht nur unter engen Voraussetzungen gespeichert werden. Bei stärkerer Marktdurchdringung von IPv6 ist damit zu rechnen, dass viele Internetdienste mit statischen Adressen benutzt werden. In der Regel werden diese Adressen an die Server der Diensteanbieter übertragen und können dort in Protokolldateien gespeichert werden. Die Speicherung dieser personenbezogenen IP-Adressen kann verhindert werden, indem Anonymisierungsdienste wie JAP oder TOR zwischengeschaltet werden oder Proxies verwendet werden, die IP- Adressen nicht protokollieren und dafür sorgen, das die Diensteanbieter keine Kenntnis von der Identität des Nutzers haben. Welches Datenschutzniveau bei der Verwendung dynamischer IP-Adressen erreicht werden kann, hängt entscheidend von der Technik des Kunden (PC, Smartphone, Router, Smart Meter etc.) ab. Erhält der Kunde ein Präfix, so wird der Interface Identifier in der Regel von der weltweit einmaligen Adresse der LAN- oder WLAN-Schnittstellen abgeleitet. Damit wäre jedoch dieser Teil der Adresse wieder statisch, so dass die oben beschriebenen Risiken trotz dynamischer IP-Adresse bestehen. Um dies zu vermeiden kann der Interface Identifier auch zufällig vergeben werden. Dieses Verfahren ist unter dem Namen IPv6 Privacy Extensions standardisiert. Privacy Extensions werden aber noch nicht von allen Endgeräten unterstützt. Bei der Nutzung zentraler Dienste bieten dynamische Adressen einen besseren Schutz vor Wiedererkennung als statische Adressen. Die meisten Internetnutzer bedienen sich heute solcher zentralen Dienste. Erst wenn dezentrale Kommunikationsdienste (peer to peer) in ausreichendem Maße verfügbar sind, ist eine Änderung des Nutzerverhaltens in diesem Punkt überhaupt möglich. Proxies und Anonymisierungsdienste sind ebenfalls noch nicht ausreichend verfügbar und teilweise noch zu schwierig zu verwenden. Deshalb sollten die Nutzer selbst entscheiden können, in welchem Kontext sie jeweils statische oder dynamische Adressen verwenden wollen.

4 Wesentliches Ziel bei der Gestaltung von Protokollen und Adresskonzepten bei IPv6 war und ist es, die Wegwahl der übertragenen Pakete im Netz (das Routing) zu vereinfachen. Die Zahl der Routen wird dadurch wesentlich geringer als bei IPv4. Ähnliche Adress-Präfixe lassen auf ähnliche Routen und damit geographische Herkunft von Datenpaketen schließen. Damit vereinfachen IPv6-Adressen die Identifizierbarkeit von Nutzern. Sollen deshalb IPv6-Adressen zum Zwecke späterer Auswertung (etwa zur Reichweitenmessung) gespeichert werden, so ist eine Verkürzung auf die vier höchstwertigen Bytes angezeigt. Daraus ergeben sich folgende Empfehlungen: Access Provider sollten dem Kunden statische und dynamische Adressen zuweisen. Auf Wunsch des Kunden sollten statische Adressen gewechselt werden können. Gerätehersteller sollten die Privacy Extensions unterstützen und standardmäßig einschalten (Privacy by default). Kunden sollten mit nutzerfreundlicher Bedienelementen bei der Auswahl der Adressen für jeden von ihnen genutzten Dienst unterstützt werden. Die Gerätehersteller sollten Lösungen für dezentrale Kommunikationsdienste in Kundensystemen entwickeln, die den Verzicht auf zentrale Plattformen und Portale ermöglichen. Sie sollten interessierten Dritten die Entwicklung solcher Dienste gestatten. Content Provider sollten zur Reichweitenmessung nur die ersten 4 Bytes der IPv6-Adresse heranziehen und den Rest der Adresse löschen. Alle genannten Akteure sollten erwägen, ihren Kunden nicht protokollierende Proxies und Anonymisierungsdienste anzubieten. Datensicherheit von IPv6-Implementationen Obwohl die ersten Standards zum IPv6 bereits über 15 Jahre alt sind und Implementationen in gängigen Betriebssystemen seit einigen Jahren verfügbar sind, gibt es noch wenige Erfahrungen im Umgang mit IPv6 im lokalen Netz. Die Protokolle und Implementationen haben noch nicht den Reifegrad von IPv4 erreicht. Firewalls unterstützen IPv6 oft nur in Ansätzen. Viele sicherheitsrelevante IPv6-Protokolle basieren auf der Annahme, dass aus dem lokalen Netz keine Angriffe zu erwarten sind. Angesichts dessen ist vom Einsatz von IPv6 in lokalen Netzen noch abzuraten, wenn dort sensible personenbezogene verarbeitet werden sollen und keine funktionsfähigen Filtereinrichtungen sowohl zentral als auch auf den einzelnen Rechnern im LAN vorhanden und aktiviert sind. Hierbei ist zu beachten, dass in vielen modernen Betriebssystemen IPv6 standardmäßig noch während der Installation aktiviert wird.

5 Die Hersteller und Anbieter von Betriebssystemen und vorkonfigurierten Geräten (wie PCs, Smartphones und Routern) sollten ihre Anstrengungen bei der Pflege und Weiterentwicklung ihrer Produkte intensivieren und regelmäßig Fehler bereinigte Versionen ihrer IPv6-fähigen Software anbieten. Betreiber von lokalen IPv6-Installationen sollten die Leistungsfähigkeit der von ihnen eingesetzten Sicherheitseinrichtungen sowie Betriebssysteme und deren Einstellungen regelmäßig prüfen und aktualisieren. Whois-Dienst Die Internet Corporation for Assigned Names and Numbers (ICANN) ist ein gemeinnütziges Unternehmen, welches wichtige Aufgaben der Selbstverwaltung im Internet wahrnimmt. Die ICANN hat ein Gremium mit der Revision des Internet-Auskunftsdienstes Whois beauftragt. Dieser Dienst informiert über die Verantwortlichen für verschiedene hierarchisch vergebenen Ressourcen, wie IP-Adressen und Domainnamen. Es ist zurzeit üblich, zu jeder IP-Adresse und zu jedem Domainnamen mehrere Ansprechpartner für verschiedene Themen zu benennen, darunter solche für technische und kaufmännische Fragen und die Eigentümer. Die Eigentümer sind vorrangig Unternehmen und Behörden, vielfach aber auch natürliche Personen. Die Eintragung des jeweiligen Adressinhabers ist zur Aufrechterhaltung des Netzbetriebs einschließlich der Beseitigung von Störungen nicht erforderlich, wenn der Eigentümer stattdessen geeignete Ansprechpartner benennt. Ist dies der Fall, ist die Eintragung des Eigentümers ohne dessen Einwilligung nach deutschem Datenschutzrecht rechtswidrig. Dass ein fehlender Eigentümereintrag formal gegen die geltenden Standards verstößt, kann aus Sicht der Datenschutzbeauftragten nicht eingewendet werden, da dies bereits gegenwärtig nicht konsequent gehandhabt wird und die Eintragung entsprechend Beauftragter den angestrebten Zweck erfüllt. Die Daten werden bei der jeweiligen so genannten Registry (der für die Verwaltung des Adresskontingents oder des Namensraums zuständigen Stelle) gespeichert und an jedermann beauskunftet. Beispielsweise ist für die Domainnamen der Domain.de der Verein DENIC e.v. verantwortlich, für andere Ressourcen sind es ausländische Stellen (Vereine, Unternehmen) mit abweichendem Datenschutzrecht. Da eine internationale Einigung auf einen Minimaldatensatz nicht realistisch ist, sollten die whois-daten daher künftig in einer verteilten Datenbank gehalten werden, die jeweils bei dem Dienstleister betrieben wird, mit dem der Kunde vertraglich verbunden ist (zum Beispiel der Betreiber des Rechenzentrums, der den technischen Betrieb des Kundensystems übernimmt). Damit könnten die Daten in dem Umfang erhoben, gespeichert und übermittelt werden, der nach dem jeweiligen nationalen Recht zulässig ist.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback