VDS, LI und Freifunk

Fortsetzung der Diskussion von Vorratsdatenspeicherung → Abschaltung FFRL-Exit?:

Wenn ich es richtig verstanden habe, dann müssten im Freifunk folgende Daten auf Vorrat gespeichert werden:

TR TKÜV, Ausgabe 6.3, Anlage G verweist auf ETSI TS 102 232-1 und darin wird im Grunde folgendes erwartet (soweit ich das beim flüchtigen Überfliegen verstanden habe):

Speichern (VDS - Vorratsdatenspeicherung) oder automatisierte(!!!) live Übermittlung (LI - Lawfull Interception) folgender Daten:

  • Zeitpunk der Übertragung (start/ende)
  • von wo (quell-ip)
  • nach wo (ziel-ip)
  • diese Daten müssen gesichert über einen gewissen Zeitraum vorgehalten werden und Bedarfsträger müssen diese automatisiert abfragen können, ohne dass der ISP darüber informiert wird, oder das bemerken kann.
  • im Fall von LI, wird ein Mitschnitt der gesamten Kommunikation an einen Bedarfsträger übermittelt. Der ISP wird darüber nicht informiert und darf das auch gar nicht bemerken.

Um die quell-ip sinnvoll einem Nutzer (bzw. einer MAC-Adresse) zuordnen zu lassen, muss bei einem Netzdesign wie es im FFRL aktuell genutzt wird folgendes erfasst werden:

  • Zuordnung ipv4/ipv6 zu einer MAC-Adresse – Das ist notwendig, da zum einen für IPv4 am Übergang von den angeschlossen Gruppierungen NAT zum Einsatz kommt (Die ungenatteten IPv4-Adressen sind nur bei den angeschlossenen Gruppierungen bekannt.), zum anderen aufgrund der ipv6 privacy extensions nach rfc xxxx eine Zuordnung nur auf MAC-Ebene möglich ist. Diese Funktion kann nur im Layer2 der angeschlossenen Gruppierungen erfolgen!

  • Zuordnung einer MAC-Adresse zu einem Standort – Das ist notwendig um den Aufenthaltsort eines Nutzers ermitteln zu können. Bei der oft eingesetzten Technik (BATMAN) kann eine MAC-Adresse immer einem angeschlossenen Access-Point zugeortnet werden. Die in den Knoten angegebenen Daten können nicht herangezogen werden, da diese freiwillig sind und nicht verifiziert werden können. Aus diesem Grund muss jeweils die Tunnel-Endpunkt Adresse der Knoten bekannt gegeben werden können. Diese Information ist aktuell nur in den angeschlossenen Gruppierungen vorhanden. Mit Hilfe dieser Information kann dann am ursprünglichen ISP eine LI erfolgen, FALLS der Tunnel unverschlüsselt ist. Ist der Tunnel verschlüsselt, kann ein LI nur im Layer2 der angeschlossenen Gruppierungen erfolgen!

Mir ist klar, dass es Möglichkeiten gibt um seine MAC-Adresse zu verschleiern.

  • Kommunikation von zwei Nutzern innerhalb einer Gruppierung kann nur im Layer2 der angeschlossenen Gruppierungen erfolgen.

Da der Übergang ins Internet im Freifunk letztendlich vom FFRL bereitgestellt wird, kann ich mir vorstellen, dass dieser zwar in Sachen VDS und LI in die Pflicht genommen wird. Dieser kann aber inhaltlich den Bedarfsträgern wenig oder gar nicht helfen. Der Bedarfsträger wird sich letztendlich an die einzelnen Gruppierungen wenden.

Für die einzelnen Gruppierungen gibt es sehr wahrscheinlich verschieden Varianten um sich VDS und LI zu entziehen. In wie weit solche Umgehungen das Recht beugen würden, müssten Gerichte entscheiden.

1 „Gefällt mir“

Kurze Verständnisfrage:

LI?

1 „Gefällt mir“

Lawful Interception

Hallo,

ich denke hier ist ein Denkfehler.
Die Gateways sind von der VDS nicht betroffen, sonst müssten ohne Ausnahme alle Server, auch firmeninterne Server mit dem VDS-Tool versehen werden.
Nur die Exit-Nodes sind betroffen. Damit sind nur noch ein Bruchteil der Informationen vorhanden.
Zudem betrifft alle Communities, die in Deutschland selbst ausleiten. Da steht der FFRL nicht alleine da.

Alle Server sind ohne Ausnahme bei ISPs angeschlossen. Letztendlich auch firmeninterne. Auf den Servern werden aber keine Internet-Zugangsdienstleistungen erzeugt, und demnach unterliegen sie nicht VDS und LI.

Eben weil auf den Exit-Nodes nur ein Bruchteil der Information vorhanden ist, ergibt eine VDS/LI dort wenig Sinn. Aus dem Grunde befürchte ich, dass alle Communities betroffen sind, unabhängig davon, ob sie (in Deutschland) selbst ausleiten, oder nicht. Ich hoffe, dass ich total auf dem Holzweg bin.

1 „Gefällt mir“

„Eben weil auf den Exit-Nodes nur ein Bruchteil der Information vorhanden ist, ergibt eine VDS/LI dort wenig Sinn.“ - Genau, die Gesetzgebung kennt nicht solche Strukturen, die wir im Einsatz haben.
Man sollte nichts zusätzlich hineininterpretieren …

Die Gateways sind nur ein Firmeninternes Netzwerk.
Erst mit den Exit-Nodes geht es ins Netz.
In Firmen sind das die Proxy-Server. Die können an der VDS teilnehmen … wobei ich nicht eine wüsste, wo auch die VDS-Software laufen würde … wäre ja noch schöner …
Und denk daran, dass Freifunk nicht dafür gedacht ist, Internet zur Verfügung zu stellen, sondern ein WLan - Netzwerk für eine Stadt/Dorf zur internen Kommunikation und Dienste aufzubauen.

Ich weiß, dass VDS/LI sich auch mit TOR-Exit Nodes schwer tut, und das ist auch gut so. Die Frage ist, ob die Exekutive sich beim Freifunk auch schwer tun will, oder da lieber einen Riegel vorschiebt, sobald sie die Strukturen versteht.

Die Proxy-Server in den Firmen nehmen nicht an der VDS teil, jedoch die davorliegenden ISPs. Der Hinweis, dass eine Kommunikation von Firma xy kommt, ist ja schon ausreichend. Die Ermittlungsbehörde wissen dann ja an wen sie sich wenden können. Die Firma wird reagieren müssen. Im Falle von Freifunk wird sich zeigen, wie oft und wie lange man sich mit „Haben keine Daten erfasst“ zufrieden geben will.

Mit dem Hinweis, dass Freifunk nicht als ISP konzipiert ist, kann es also leicht dazu kommen, dass die Communities aufgefordert werden, entweder an VDS/LI teilzunehmen, oder diesen „Zusatz-Dienst“ eben einzustellen. In dem Fall werden viele Communities aber auch viele ihrer „Kunden“ verlieren.

Ich hoffe, dass ich total auf dem Holzweg bin.

Spannend wird es bei „userer“ Struktur, bei der die Exit-IP (vom FFRL importiert) zwar auf einem Rechner liegt, der NAT macht.
Dieser ist jedoch „nur“ Konzentrator, d.h. er spricht gar kein Batman. Faktisch ein dedizierten CGN-Gateway.
Er hat lediglich geroutetes RFC1918 in die jeweiligen angeschlossenen Batman-Supernodes, die ihr DHCP lokal machen.
Die Zuordnung von 10.x.y.z->Mac kennt nur die Batman-Domain, nicht aber das NAT-Gateway.

Ein Logging von Kommunikationen „auf Mac-Ebene“ wäre da also noch eine Nummer diffizilier, da dafür Daten aus mehreren Hosts erstmal aggregiert werden müssten.

Was ich jetzt nicht verstehe, warum du LI hinzugefügt hast.
Das ist doch Abuse und muss auch heute schon gemacht werden.

Wenn es eine richterliche Anordnung gibt, müssen wir doch auch „filtern“ und herausfinden, welche Mac-Adresse was macht.

Die einzige Diskussion ist doch VDS. Wie werden es die ISP wie Munin und Co. reagieren? Wie reagieren die Tor-Server Hoster.

Was kommt an Kosten auf uns zu und wer soll die tragen?

Fragen für die VDS Gruppe.

Weil das ab einer gewissen Größe eines ISP auch automatisiert erfolgen muss. Es ist das nächste Fass, was dann geöffnet wird. Alles Gut, solange die Dezentralität für Größenordungen sorgt, bei der das noch manuell erfolgen kann.

Vermutlich wird da argumentiert, dass das explizit als Anonymisierer genutzt wird und für die Dissidenten in Schurkenstaaten benötigt wird. Die zu schließen gäbe einen gewissen Aufschrei. Auf einen gewissen Aufschrei hoffe ich auch, falls jemand mit dem Argument VDS/LI das des Freifunk in aktuellen Ausprägungen einleitet.

1 „Gefällt mir“

Die aktuellen CGN-Gateways weisen dem jeweiligen NAT-Client eine Pool an Ports zu, so dass nachträglich anhand der Quell-Portnummern auf den Client geschlossen werden kann. Dafür wurde in RADIUS und Co eine entsprechende Erweiterung gebaut. Die ISPs sollten sich wohl nicht auf CGN rausreden lassen können. Schöne Neue Welt, oder?

Die Frage ist, ob jemand entscheidet, dass es jemandem zuzumuten ist, das zu machen. Und da das vermutlich mit ein bisschen node.js und wireshark geht, ist die Zumutung nicht besonders groß. Ich hoffe, dass ich total auf dem Holzweg bin.

Die Mac Adresse einen Rechner kann sehr leicht verändert werden. Damit kann eine Mac Adresse schlecht zur Ermittlung einen „Täter“ herangezogen werden. Zudem werden MAC Adressen nicht registriert. Wenn ich ein Netzwerkgerät Gerät kaufe erscheint die MAC Adresse nirgends. Ich könnte natürlich auch als Verbrecher für jeder Untat ein neuer USB-WIFI Gerät am beliebten Rechner anstecken und nach Ausübung des Attentat verschwinden lassen. Damit könnten keine Beweise meine Untaten entstehen.

Die von „Tätern“ genutzten IP-Adressen setzen wiederum auf den von den „Tätern“ genutzten MAC Adressen. Die MAC Adresse ist somit, auch wenn diese durch „Täter“ verändert werden kann, am ehesten ein personenbezogenes Datum, insb. im Umfeld der ipv6 privacy extensions, wo man Zeitspanne in der eine IP genutzt wird, auf Sekunden reduzieren kann.

Während, z.B. im DSL eine IPv4/ein IPv6 Netz eindeutig einem Anschlussinhaber zuzuordenen ist, muss man im Umfeld von WLAN eine Schicht niedriger einsetzen. Die Schicht darunter ist im WLAN die MAC.

Die MAC Adresse steht in der Regel auf jedem Gerät! Da bei Ermittlungsbehörden Datenbanken von IMSI gestohlener Mobilfunktelefone geführt werden (die Essener Polizei hat eine IMSI von mir erfragt, als ich dort einen Diebstahl eines Mobilfunktelefons gemeldet habe), muss davon ausgegangen werden, dass die Ermittlungsbehörden sich die MAC Adresse von „Tätern“ beschaffen um diese dann im WLANs zu beschatten.

Ich rate keinem „Täter“ ausschließlich verschlüsselt über ein VPN-Service oder TOR zu kommunizieren, sondern bitte ihn darum, den Scheiss sein zu lassen und lieb zu sein.

Wäre ich Terror-Experte würde ich so argumentieren. Da ich in meiner Jugend aber Brazil gesehen habe, befürchte ich, dass mit VDS/LI (Produkte der Abteilung für Informationwiederbeschaffung des allmächtigen „Informationsministeriums“) aber mehr kaputt gemacht wird, als man gewinnen kann! Ich hoffe, dass ich total auf dem Holzweg bin.

Vor ca. einem Jahr schrieb Reto Mantz in seinem Blog:
„Nutzer der Freifunk-Idee gelten nach Auffassung der BNetzA demnach in
der Regel nicht als Erbringer von TK-Diensten. Inwieweit der Freifunker
e.V. als Erbringer einzustufen ist, wird von der Bundesnetzagentur
derzeit untersucht.“

Nun ist beispielsweise Freifunk Nordwest e.V. laut BNetzA Betreiber eines TK-Netzes und Anbieter von TK-Diensten (konkret: Zugang ins Netz). Ist jemanden bekannt, wie da der aktuelle Stand bezüglich der Bewertung durch die BNetzA ist?

Keine Vorratsdatenspeicherung im Freifunk

Der Freifunk ist von der Vorratsdatenspeicherung nicht betroffen.

§113b Absatz 3 Nummer 1 TKG bestimmt, daß „die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse“ gespeichert werden muß. Alle weiteren nach §113b Absatz 3 TKG zu speichernden Daten sind nur mit der IP-Adresse des Teilnehmers zusammen sinnvoll. Im Telekommunikationsgesetz ist der Teilnehmer (§3 Nummer 20 TKG) definiert als „jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat“.

Im Freifunk werden keine Verträge über die Erbringung des Dienstes zwischen Nutzer und Erbringer geschlossen. Freifunk ist ein reines Gefälligkeitsverhältnis. Der Freifunk hat nur solche Nutzer (§3 Nummer 14 TKG), die keine Teilnehmer sind. Damit besteht auch keine gesetzliche Pflicht zur Speicherung der den Nutzern zugewiesenen IP-Adressen. Aus §113b TKG kann auch keine datenschutzrechtliche Erlaubnis zur Speicherung der IP-Adresse von Nutzern, die keine Teilnehmer sind, abgeleitet werden. Die Doppeltür ist auf einer Seite noch zu. Der Gesetzgeber hat eben gerade nicht bestimmt, daß von allen möglichen Nutzern Daten zu speichern sind, sondern nur von denjenigen, die auch gleichzeitig Teilnehmer im Sinne des Telekommunikationsgesetzes sind.

Ich möchte noch anmerken, daß die sogenannte Vorratsdatenspeicherung (§113a TKG) als Regelung des Telekommunikationsgesetzes keine Auswirkung auf Telemediendienste, wie z.B. das VPN zwischen den Freifunkroutern und den Servern im Rechenzentrum, hat. Der Freifunk ist lediglich in einem sehr kleinen Segment seiner Tätigkeit überhaupt ein Erbringer von Telekommunikationsdiensten: Das Mesh-Funknetz zwischen den Routern ist ein Telekommunikationsnetz im Sinne des Telekommunikationsgesetzes. Ansonsten ist die Tätigkeit des Freifunks ein Telemediendienst, da fremde Netze anderer Telekommunikationsanbieter genutzt werden. Ein Telemediendienstanbieter muß nicht nach §113a TKG Daten erheben.

8 „Gefällt mir“

Da dieses Thema gerade im Chat auftauchte kram ich es nochmal hervor. Die zuletzte genannte Rechtsauffassung ist mittlerweile überholt.

Vgl. https://www.gesetze-im-internet.de/tkg_2004/__113a.html ff

Hier wird nur noch von einem Erbringer gesprochen.

1 „Gefällt mir“

danke für die Aufklärung @anon68922371 :-/

Äh in welchem Chat und was hat das für positive oder negative Auswirkungen für FF und das FFRL-Backbone im speziellen?

Der Chat war vermutlich auf dem Flur.

Auswirkungen hat das in sofern, dass der Ansatz nicht mehr möglich ist „wir haben keine Vertragsbeziehungen, da es keine Kunden sind“.

1 „Gefällt mir“