WordPress Plugin: Hash Comment IP

Am Wochenende war ich ja einigermaßen baff war angesichts des Falles, in dem Stefan Niggemeier vom Berliner Datenschutzbeauftragten eine Geldbuße in Höhe von 50.000 Euro angedroht wurde, da er in seinem Blog die IP- und Mailadressen der Kommentatoren speichert.

In meinen Kommentaren verwies dann jemand auf das WordPress Plugin 123 AntiVDS 0.10, welches verhindert, dass eMail-Adresse, Name und IP-Adresse eines Kommentators gespeichert werden. Es wird einfach ein leerer String in die Datenbank geschrieben und gut ist. Schon mal nicht schlecht.

Stefan verweist in seinem Beitrag aber auch auf die Notwendigkeit, gewisse Störer erkennen zu können und schnell sämtliche Beiträge dieser Leute zu finden, wenn sie beispielsweise nachts aus Langweile das Blog vollmüllen. Ohne gespeicherte IP-Adresse in dieser Form unmöglich.

Ein Kompromiss wurde in Stefans Kommentaren auch vorgschlagen: Statt der IP-Adresse einfach einen Hash-Wert speichern. Es befindet sich dann keine IP-Adresse mehr in der Datenbank und der Blogger hat dennoch die Möglichkeit, Kommentare (bei gleichbleibender IP-Adresse) einem Kommentator zuzuordnen. Was für den Fall, den Stefan beschreibt, ausreichen sollte.

Genau das mach nun mein Mini-Plugin Hash Comment IP, welches ich mir gestern mal fix gestrickt habe und das seitdem hier Verwendung findet. Es hat keinerlei Einstellungsmöglichkeiten, einfach nur den entpackten Ordner in Euer WordPress Plugin-Verzeichnis kopieren, das Plugin aktivieren und fertig. Für sämtliche Kommentare wird dann ab sofort nur noch ein Hash-Wert statt der IP-Adresse gespeichert.

Hinweis: Bereits in der Datenbank gespeicherte IP-Adressen bleiben davon ausgenommen, sie werden (noch) nicht nachträglich durch einen Hash-Wert ersetzt!

Download Version 0.1

Tags: , , ,

50.000 Euro Geldbuße für das Betreiben eines WordPress-Blogs?

Stefan Niggemeier hat Post vom Berliner Datenschutzbeauftragten erhalten. Darin wird ihm mitgeteilt, dass die Praxis, IP-Adresse sowie eMail-Adresse eines Kommentators zu speichern, unzulässig sei und zudem droht man ihm mit einer Geldbuße in Höhe von 50.000 Euro.

Stefan Niggemeier nutzt WordPress. Wer WordPress kennt weiß sicherlich, dass WordPress von Haus aus die IP-Adressen der Kommentatoren speichert. Man kann durchaus die Pflicht, beim Schreiben eines Kommentares Name und eMail-Adresse zu hinterlegen deaktivieren, aber mir ist keine Funktion bekannt, die auch die Speicherung der IP-Adressen deaktiviert. Möglich, dass so etwas mit einem Plugin nachrüstbar ist, ich kenne allerdings im Augenblick keins.

Neben der Tatsache, dass ausgerechnet Stefan Niggemeier ein solches Schreiben in seinem Briefkasten findet (ihm wurde vor Gericht ja schließlich klar gemacht, dass er für unzulässige Kommentare seiner Besucher haftet) finde ich interessant, dass man auf diese Weise mit einer schlichten anonymen Anzeige so ziemlich jeden Blogger gegen die Wand fahren lassen kann. Und nicht nur das – so ziemlich jeden Betreiber einer WebSite kann man auf diese Weise ganz simpel ans Bein pinkeln. Denn IP-Adressen werden (fast) überall gespeichert, zudem wurde wiederholt verneint, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Als ein Beispiel für die Speicherung der IP-Adressen darf zum Beispiel die WebSite des Deutschen Bundestages herhalten, dort steht es auch in den Datenschutzhinweisen, dass die IP-Adressen der Besucher für 24h gespeichert werden. Würde ich mich jetzt durch ein paar weitere Seiten wühlen, fände ich unzählige weitere Beispiele. Denn die Speicherung ist letztlich Standard. Jeder Webserver speichert die IP-Adressen der Besucher in einem Log, schon immer. Man könnte somit auf einen Schlag nahezu alle deutschen Betreiber von Webservern/Webseiten/Blogs aus dem Verkehr ziehen bzw. um 50.000 Euro erleichtern. Möglicherweise eine interessante Methode, um die Haushaltskassen wieder etwas aufzufüllen…

Als Begründung, weshalb bspw. IP-Adressen nicht gespeichert werden dürfen, wird angeführt, dass es sich hierbei um personenbezogene Daten handelt. Interessant ist in diesem Zusammenhang jedoch folgender Abschnitt in einem Datenschutz-FAQ:

Das Datenschutzrecht fordert für die Personenbezogenheit von Daten, dass die Person, der die Daten zuzuordnen sind, ohne übermäßigen Aufwand „bestimmbar“ ist. Wer nicht als Provider unmittelbaren Zugriff auf die Zuordnung der IP-Adressen zu bestimmten Nutzern hat, hat keine realistische Möglichkeit, die Identität des jeweiligen Nutzers anhand der IP-Adresse festzustellen. Dies spricht dafür, IP-Adressen – ob statisch oder dynamisch – nur im Ausnahmefall als personenbezogene Daten anzusehen.

Wann ein solcher Ausnahmefall eintritt, steht da allerdings nicht.

Spannend finde ich angesichts solcher Fälle immer wieder, dass das Internet von unseren Politikern als „rechtsfreier Raum“ bezeichnet wird. Ich kenne kaum einen anderen Bereich des öffentlichen Lebens, der in Deutschland DERART reglementiert ist wie das Internet und wo immer wieder (und immer häufiger) solche und ähnliche Ereignisse geschehen. Angesichts derartiger „Rechtsfreiheit“ entsteht bei mir und anderen immer mehr der Eindruck, dass es besser ist, das Internet als passiver Konsument zu nutzen statt selbst irgendwelche Dinge zu veröffentlichen. Aber genau das ist möglicherweise gewollt.

Nachtrag: In den Kommentaren zu diesem Beitrag wurde ein WordPress-Plugin genannt, welches die Speicherung von Name sowie Mail- und IP-Adresse zu einem Kommentar verhindert. Außerdem gibt es nun auch ein Mini-Plugin von mir, welches statt der IP-Adresse einen Hash-Wert in der Datenbank speichert: Hash Comment IP.

Tags: , ,

Die Hysterie rund um Googles Chrome und den Datenschutz

Wenn ich mir die hysterische Berichterstattung in den Blogs anschaue, die seit gestern rund um Chrome herrscht, dann wird mir ehrlich schlecht. Was wird dem Browser inzwischen schon alles angedichtet: Datenspionage, Keylogger-Funktionalität, speichern der Surf-Historie auf Google Servern, jeder ist eindeutig identifizierbar und anhand dieser Daten werden die besuchten Seiten zugeordnet… Hanebüchener Unsinn!

Versteht mich nicht falsch, ich will jetzt hier keine Lanze für Google brechen, aber ich finde es gelinde gesagt erschreckend, welche Paranoia gepaart mit absoluter Ahnungslosigkeit und Sensationsgier hier zu den unmöglichsten, sachlich einfach falschen Aussagen führt. Deshalb will ich, basierend auf meinen gestrigen Untersuchungen, mal einige falsche Aussagen richtig stellen. Ich werde hier allerdings keinen der Beiträge verlinken, die diese vollkommen haltlosen Aussagen verbreiten.

Aussage 1: Chrome sendet meine eMail-Adresse an Google-Server.

Falsch! In keinem meiner Mitschnitte war auch nur ansatzweise eine Mailadresse zu finden. Ich habe gezielt verschiedene Online-Formulare ausgefüllt (und die dort verwendeten Adressen dann natürlich auch im HTTP-Stream gesehen, sofern die Formulare nicht per SSL übermittelt wurden), darüber hinaus jedoch nichts dergleichen finden können.

Aussage 2: Chrome übermittelt alles, was ich in die Adresszeile tippe, an Google-Server.

Diese Aussage ist nur halb wahr. Richtig ist: Chrome sendet sämtliche Eingaben in der Adresszeile an die voreingestellte Suchmaschine. Und das auch nur dann, wenn die Autosuggest-Funktion aktiviert ist! Ja, es ist ungeschickt, diese Funktionalität als Opt-Out zu gestalten, also in der Grundeinstellung aktiv zu lassen. Allerdings, und da werden mir sicherlich viele zustimmen, das ist es nun mal, was Otto-Normaluser wünscht. Falsch ist definitiv, dass Chrome diese Eingaben immer an Google-Server übermittelt. Die Anfragen werden in jedem Fall nur an die Suchmaschine übertragen, die als Standard eingestellt wurde (bei der Installation wird da auch nachegefragt). Stelle ich hier Yahoo ein, ist keine Kommunikation mehr mit Google-Servern zu sehen, dafür plötzlich jede Menge Verkehr mit Yahoo-Servern. Logisch, wie sollte solch eine Funktion auch anders realisiert werden? Hier aber zu behaupten, alles was man eintippt, landet bei Google, ist sachlich einfach nicht richtig.

Im übrigen passiert exakt das gleiche, wenn man Firefox nutzt. Nicht bei der Eingabe im Adressfeld (hier greift der Firefox ja auf die Browser-Historie zu), aber bei der Eingabe im Suchfeld. Auch hier gehen exakt die gleichen Anfragen übers Netz – zur voreingestellten Suchmaschine.

Verwendet man die Auto-Vervollständigen-Funktion im Chrome, dann wird die letzte, endgültige Eingabe NICHT mehr an die eingestellte Suchmaschine gesendet.

Aussage 3: Google speichert meine Surf-Historie auf seinen Servern.

Ebenfalls vollkommen falsch! Um dies zu realisieren, müsste jeder angeklickte Link zu einem der Google-Server übertragen werden, anderenfalls entgingen Google Unmengen an besuchten Seiten. Dies geschieht jedoch faktisch nicht. Wie in 2. bereits beschrieben, werden lediglich Anfragen an die voreingestellte Suchmaschine gesendet, wenn man etwas in die Adresszeile eintippt und die Autosuggest-Funktion noch aktiv ist.

Aussage 4: Google sendet mit jeder meiner Anfragen eine Identifikationsnummer, anhand derer der Browser eindeutig zu identifizieren ist.

Falsch! Googles eindeutige Identifikationsnummer wird lediglich bei Update-Check durch den GoogleUpdater gesendet. In keiner weiteren Anfrage von Chrome konnte ich sie entdecken. Im übrigen, wie bereits geschrieben: Firefox macht exakt das gleiche (und nahezu jede andere Software auch). Siehe unter anderem auch hier und hier.

Also: sicherlich ist es schön zu sehen, dass das Bewusstsein für Privacy und Datensicherheit steigt. Keine Frage, vor nicht all zu langer Zeit sah das noch vollkommen anders aus. Es ist allerdings nicht mal im Ansatz hilfreich, aufgrund vollkommen falscher Behauptungen eine Hysterie zu erzeugen, so etwas gibt über kurz oder lang sämtliche Bemühungen in dieser Richtung der Lächerlichkeit preis. Denn es ist tatsächlich erschreckend zu sehen, wie uninformiert viele hier in die Diskussion einsteigen: Ein Löwe brüllt es falsch vor (ja, manche Löwen gestehen es selbst immer wieder ein, von der Technik nicht wirklich viel Ahnung zu haben) und die ganzen Kojoten heulen es nach. Sorry, das hilft auf keinen Fall dabei, eine sachliche Diskussion zum Thema zu führen.

Tags: , , , ,

Nichts zu verbergen

Gerade eben bei Missi drüben gesehen: So sieht es aus, wenn jemand nichts zu verbergen hat.

Allerdings muss ich feststellen: Auch das ist wieder nur Show ohne Substanz. Ich finde weder private PGP-Schlüssel, noch Zugangskennwörter für seine Online-Profile und eMail-Konten oder PINS für Scheckkarten oder ähnliches.

Also auch in diesem Fall wird wieder die Hälfte verheimlicht, Pfui Thomas! Auch Du bist ein Fall für den Bundestrojaner!

Tags: , , ,