Jusletter IT

Vorratsdatenspeicherung bei Carrier-Grade-NAT

  • Author: Simon Schlauri
  • Category of articles: TechLawNews by Ronzani Schlauri Attorneys
  • Region: Switzerland
  • Field of law: Internet law
  • DOI: 10.38023/6ff6167b-d553-494a-a635-5501f02cc5e4
  • Citation: Simon Schlauri, Vorratsdatenspeicherung bei Carrier-Grade-NAT, in: Jusletter IT 27 Mai 2020

Inhaltsverzeichnis

  • 1. Die Vorratsdatenspeicherung gemäss BÜPF
  • 2. Vorratsdatenspeicherung von IP-Adressen
  • 3. IP-Adressen sind ein knappes Gut
  • 4. Dynamische IP-Adressen als erste Lösung für das Knappheitsproblem
  • 5. Die Technik der «Network Address Translation»
  • 6. «Carrier-grade NAT» als zweite Lösung für das Knappheitsproblem
  • 7. Vorratsdatenspeicherung bei Carrier-Grade NAT
  • 8. Risiko einer Grundrechtsverletzung
  • 9. Weitere Probleme mit der Vorratsdatenspeicherung bei cgNAT

1.

Die Vorratsdatenspeicherung gemäss BÜPF ^

[1]

Gemäss Artikel 26 des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Verbindung mit Art. 273 Strafprozessordnung (StPO) müssen Anbieterinnen von Fernmeldediensten die Randdaten des Fernmeldeverkehrs während sechs Monaten aufbewahren und diese auf Anordnung eines Gerichts den Strafverfolgungsbehörden herausgeben.

[2]

Randdaten sind Daten, aus denen hervorgeht, mit wem, wann, wie lange und von wo aus die überwachte Person Verbindung hat oder gehabt hat, sowie die technischen Merkmale der entsprechenden Verbindung (Art. 8 Bst. b BÜPF).

[3]

Diese Vorratsdatenspeicherung erfolgt grundsätzlich flächendeckend und anlasslos. D.h. die Randdaten jeder Kommunikationsverbindung, die in der Schweiz über öffentliche Netze läuft, werden gespeichert, unabhängig davon, ob gegen die betroffenen Personen der Verdacht einer kriminellen Handlung besteht.

2.

Vorratsdatenspeicherung von IP-Adressen ^

[4]

Zu diesen Randdaten gehören insbesondere auch die «IP-Adressen», die Internetanschlüssen zugeordnet sind. Jedes Gerät, das an das Internet angebunden ist, hat eine IP-Adresse und ist unter dieser für andere Geräte im Internet erreichbar. Insbesondere erhält auch jeder Teilnehmeranschluss vom Provider mindestens eine IP-Adresse zugewiesen.

[5]

Wenn die Strafverfolger im Internet ein Delikt verfolgen wollen, erkennen sie oftmals, von welcher IP-Adresse aus dieses Delikt verübt wurde. Dies daher, weil Zugriffe auf Server oftmals geloggt werden. Mithilfe dieser IP-Adresse können sie vom Provider, zu dem die IP-Adresse gehört, verlangen, dass dieser aus seinen gemäss Art. 26 BÜPF gespeicherten Vorratsdaten die Zuordnung zwischen IP-Adresse und Teilnehmeranschluss herstellt. Auf diese Weise wird der Anschluss identifiziert, von dem aus das Delikt begangen wurde.

[6]

Die Abfrage der Teilnehmeridentifikation durch die Strafverfolgungsbehörden läuft – wie alle Abfragen von Telekomdaten – zwingend über den eidgenössischen Dienst Überwachung Post Fernmeldeverkehr («Dienst ÜPF») gemäss den im BÜPF und den zugehörigen Verordnungen geregelten Verfahren.

3.

IP-Adressen sind ein knappes Gut ^

[7]

IP-Adressen des Typs IPv4, die heute noch meistens Verwendung finden, sind allerdings ein knappes Gut. Jeder Internetprovider erhält von der für die Vergabe der IP-Adressen zuständigen Organisation RIPE nur eine beschränkte Zahl solcher Adressen zugeteilt.

[8]

Aufgrund der geringen Zahl an IP-Adressen ist es für einen Internetprovider nicht möglich, jedem seiner Kunden eine feste («statische») IP-Adresse zuzuteilen. Dies daher, weil der Provider mehr Kunden als IP-Adressen hat. Der Provider muss deshalb die verfügbaren IP-Adressen unter seinen Kunden aufteilen.

4.

Dynamische IP-Adressen als erste Lösung für das Knappheitsproblem ^

[9]

Eine erste Variante für eine solche Aufteilung ist die Vergabe «dynamischer» IP-Adressen. Der Provider teilt den Kunden zu diesem Zweck aus dem ihm von RIPE zugeteilten Pool von IP-Adressen jeweils temporär eine IP-Adresse zu, so lange der Kunde im Internet eingeloggt ist.

[10]

Heutzutage sind aber die meisten Internet-Geräte, wie Mobiltelefone oder Internet-Router für Festnetzanschlüsse, dauerhaft im Internet eingeloggt. Entsprechend ist auch mit einer dynamischen Vergabe von IP-Adressen nicht mehr viel zu gewinnen. Dies daher, weil auch bei dynamischen IP-Adressen für jeden mit dem Internet verbundenen Kunden immer eine gesonderte IP-Adresse nötig ist.

5.

Die Technik der «Network Address Translation» ^

[11]

Eine zweite Variante, IP-Adressen auf verschiedene Kunden aufzuteilen, ist sogenannte «Network Address Translation» oder «Netzwerkadressübersetzung» NAT. NAT ermöglicht die quasi gleichzeitige Verwendung einer Adresse IPv4-Adresse durch mehrere Kunden.

[12]

NAT ist eigentlich ein Mechanismus, der seit vielen Jahren in Computernetzwerken Anwendung findet. Jedes ganz normale private Computernetzwerk, beispielsweise ein Büro- oder Heimnetzwerk, erhält von aussen grundsätzlich nur eine (öffentliche) IP-Adresse des Typs IPv4 zugewiesen. Und zwar unabhängig davon, wie viele Geräte (z.B. Laptops, Drucker, etc.) sich in diesem privaten Netz befinden. Zwar erhält jedes Gerät, das in diesem Netz angeschlossen ist, eine eigene IP-Adresse, denn nur über diese Adresse kann es eindeutig identifiziert werden. Allerdings ist diese IP-Adresse privat und hat nur innerhalb des privaten Netzes Gültigkeit.

[13]

Öffentlich im Internet sichtbar ist immer nur die IP-Adresse desjenigen Geräts, das die Verbindung von diesem Netz ins Internet herstellt («Router» oder «Gateway» genannt).

[14]

Aufgabe dieses Routers ist insbesondere die «Übersetzung» zwischen den privaten IP-Adressen in dem hinter ihm liegenden privaten Netz und der öffentlichen IP-Adresse, die er selber im Internet hat.

[15]

Wenn beispielsweise ein Nutzer von einem Laptop im privaten Netz eine Website aufruft, meldet der Laptop dem Router, dass er eine Verbindung zu einem bestimmten Server im Internet herstellen möchte. Der Router sendet diese Anfrage an den Server im Internet weiter, setzt aber als Absenderadresse des Datenpakets seine eigene öffentliche IP-Adresse ein, und nicht die private Adresse des Laptops im privaten Netz.

[16]

Bei diesem Übersetzungsvorgang merkt sich der Router, dass er dem entsprechenden Server eine Anfrage des Laptops geschickt hat. Kommt die Antwort des Servers zurück, so setzt er als Zieladresse in dem Datenpaket wieder die (vorgehend gemerkte) private Adresse des Laptops ein und leitet das Paket an diesen über das private Netz weiter.

[17]

Auf diese Weise können sich prinzipiell sehr viele Geräte in einem privaten Netz eine einzige öffentliche IP-Adresse teilen. Limitiert wird dies nur durch die Speicher- und Rechenkapazität des Routers, der nicht beliebig viele dieser Übersetzungsvorgänge ausführen kann.

6.

«Carrier-grade NAT» als zweite Lösung für das Knappheitsproblem ^

[18]

NAT kann nun aber nicht nur beim Anschluss von privaten Netzwerken an das Internet genutzt werden, sondern auch auf Ebene des Providers. Diesfalls ist die Rede von «Carrier-grade NAT» (cgNAT).

[19]

Ziel des Providers ist dabei, die knappe Ressource der IPv4-Adressen zu schonen. Er kann mit einem solchen Carrier-grade NAT Tausende von Kunden hinter einer einzelnen öffentlichen IP-Adresse gruppieren, ohne jedem einzelnen von diesen Kunden eine eigene öffentliche IP-Adresse zu vergeben.

[20]

Gegen aussen treten alle diese Kunden mit derselben IP-Adresse auf.

7.

Vorratsdatenspeicherung bei Carrier-Grade NAT ^

[21]

Das Problem für die Vorratsdatenspeicherung gemäss BÜPF ist nun aber, dass es nicht mehr reicht, dass der Provider die IP-Adresse, die er dem Kunden zugeordnet hat, aufzeichnet. Denn gleichzeitig haben Hunderte oder Tausende von Kunden dieselbe öffentliche IP-Adresse.

[22]

Eine erste Lösung für dieses Problem hätte daher sein können, künftig nicht mehr nur aufzuzeichnen, welcher Kunde wann welche IP-Adresse hat, sondern auch, welche Server der Kunde im Internet ansteuert.

8.

Risiko einer Grundrechtsverletzung ^

[23]

Darin läge nun aber ein eigentlicher Paradigmenwechsel bei der Telekom-Vorratsdatenspeicherung, der so vom Gesetzgeber nicht gewollt war.

[24]

Gegenstand der Vorratsdatenspeicherung sind nach der ursprünglichen Konzeption des BÜPF einzig Randdaten, aus denen hervorgeht, mit wem, wann, wie lange und von wo aus (insb. von welcher IP-Adresse aus) die überwachte Person Verbindung hat oder gehabt hat (vgl. Ziffer 1).

[25]

Inhaltsdaten aber, d.h. welche Gesprächsinhalte übermittelt werden, oder auch, welche Ziele der Teilnehmer im Internet ansurft, sind nach der Konzeption des BÜPF nicht Gegenstand der Vorratsdatenspeicherung.1

[26]

Der Eingriff in die Grundrechte der betroffenen Person wäre denn auch viel erheblicher, wenn nicht nur die IP-Adressen der Teilnehmer, sondern gleichzeitig auch sämtliche Bewegungen im Schweizer Internet überwacht würden. Für eine derartig invasive Überwachung von Inhalten besteht im BÜPF keine gesetzliche Grundlage.

[27]

Aus diesem Grund griff der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte in den Prozess der Verordnungsgebung ein. Er verlangte eine klare Regelung, welche festlegen sollte, dass die Identifizierung des Teilnehmers bei der Verwendung von cgNAT nicht über die Speicherung der Verbindungsziele erfolgt. Dies wurde in der Folge denn auch im erläuternden Bericht zur Verordnung zum BÜPF (VÜPF) klargestellt.2

[28]

In der Praxis erfolgt die Durchführung nun so, dass anstelle einer Zwischenspeicherung von IP-Adresse des Zielservers und des Kunden, wie dies vorstehend geschildert wurde (sogenanntes «nicht-deterministisches» Verfahren), ein Verfahren verwendet wird, das die vom Kunden angesprochenen Adressen (und Portnummern) mit einem Algorithmus übersetzt, so dass später auch ohne die Speicherung des Zielservers wieder eine Zurückrechnung möglich ist (sogenanntes «deterministisches Verfahren»).

[29]

Anstelle der Speicherung nutzt der Algorithmus ein Zusammenspiel der vom Kunden verwendeten IP-Adressen und den sogenannten «Ports». Bei Ports handelt es sich um weiteres Adressierungselement in IP-Netzen, wobei im Prinzip 65536 Ports pro IP-Adresse nutzbar sind, aber in der Praxis nur sehr wenige verwendet werden. Dementsprechend besteht hier ein erhebliches «Sparpotential», sodass viele private IP-Adressen auf eine öffentliche Adresse «gemappt» werden können.

[30]

Die nach dem deterministischen Verfahren arbeitende Software weist den Nutzern nach einem festen Algorithmus nacheinander (öffentliche) IP-Adressen und Ports zu. Der erste Block von Ports auf der ersten öffentlichen IP-Adresse wird der (privaten) IP-Adresse des ersten Teilnehmers zugewiesen. Der nächste Bereich von Ports auf derselben öffentlichen Adresse wird der (privaten) IP-Adresse des nächsten Nutzers zugewiesen usw., bis die erste öffentliche IP-Adresse nicht über genügend Ports für den nächsten Nutzer verfügt. Dieser erhält dann den ersten Portblock auf der nächsten öffentlichen IP-Adresse zugewiesen, etc.3

[31]

Weil bei diesem deterministischen Verfahren die von den Nutzern angesteuerten Zieladressen im Internet nicht mehr gespeichert werden müssen, erfüllt dieses Verfahren den Grundsatz der Datensparsamkeit (als Ausfluss des datenschutzrechtlichen Verhältnismässigkeitsprinzips nach Art. 4 Abs. 2 Datenschutzgesetz). Dies im Gegensatz zum normalen, nicht-deterministischen Ansatz.

[32]

Die deterministische Lösung ist zudem der einzige Weg, den Anforderungen des BÜPF gerecht zu werden, gemäss dem ausschliesslich Randdaten, nicht aber Inhaltsdaten, zu denen auch Zieladressen gehören, gespeichert werden dürfen.

9.

Weitere Probleme mit der Vorratsdatenspeicherung bei cgNAT ^

[33]

Auch bei Verwendung dieses Verfahrens führt die Vorratsdatenspeicherung bei cgNAT bei den Internetprovidern dazu, dass sehr grosse Datenmengen für sechs Monate gespeichert werden müssen.

[34]

Zudem sind oftmals die Zeitstempel der beteiligten Systeme nicht besonders präzise (es kommt insbesondere auch auf die Zeitangabe beim besuchten Server an). Nachdem Tausende von Kunden eine IP-Adresse gleichzeitig nutzen können, kommt es auf jede Hundertestel-Sekunde an, um einen Kunden präzise zu idenfizieren. Oft gehen die Abfragen der Strafverfolgungsbehörden daher ins Leere, weil die Zeiten nicht genau übereinstimmen.

[35]

Im Weiteren sind die Betreiber von Servern nicht verpflichtet überhaupt IP-Daten zu loggen, weil sie keine Fernmeldediensteanbieter sind,4 und es kommt vor, dass insbesondere die genutzten Ports gar nicht geloggt werden. Die Strafverfolger haben diesfalls nur die Ziel-IP-Adresse des Servers zur Verfügung, aber nicht den Ziel-Port. Diesfalls kann mir dem deterministischen System nicht auf den konkreten Teilnehmer geschlossen werden.

[36]

In der Konsequenz ist die Wirksamkeit und Verlässlichkeit der Vorratsdatenspeicherung bei cgNAT also eher zweifelhaft.

[37]

Dabei ist aber zu beachten, dass die anlasslose Vorratsdatenspeicherung von Randdaten zur Deliktsbekämpfung aus grundrechtlicher Sicht generell kritisch zu sehen ist. So schloss eine Studie des Max-Planck-Institutes für ausländisches und internationales Strafrecht, dass zwischen Vorratsdatenspeicherung und Delikt-Aufklärungsrate kein direkter Zusammenhang nachweisbar sei.5

Simon Schlauri

  1. 1 Botschaft BÜPF, BBl 2013, 2697.
  2. 2 Erläuternder Bericht zur Totalrevision der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs ( VÜPF; SR 780.11), 42; EDÖB, Tätigkeitsbericht 2017/2018, S. 18, tinyurl.com/y9x7latk.
  3. 3 Vgl. etwa Citrix, Produktdokumentation Citrix ADC 13.0, Konfigurieren der deterministischen NAT-Zuweisung für DS-Lite, tinyurl.com/yad5cgtb.
  4. 4 Schlicht falsch diesbezüglich BGer, Urteil vom 8. Januar 2010, 6B_766/2009; das Gericht hatte auf den unklaren deutschen Gesetzestext («Internetanbieter») des damaligen BÜPF abgestellt und darunter auch einen Diskussionsforendienst (und nicht nur Zugangsanbieter) subsumiert, während der französische Gesetzestext («fournisseurs d’access Internet», d.h. nur Zugangsanbieter) Klarheit hätte schaffen können. Das heutige BÜPF ist diesbezüglich etwas klarer mit seiner Kategorie der Anbieter abgeleiteter Dienstes.
  5. 5 Max-Planck-Institut für ausländisches und internationales Strafrecht, Schutzlücken durch Wegfall der Vorratsdatenspeicherung, 2. Fassung, Freiburg i.Br., Juli 2011, tinyurl.com/pq8acq3; dazu schon S. Schlauri/D. Ronzani, EuGH: Vorratsdatenspeicherungsrichtlinie 2006/24/EG für ungültig erklärt, in: sic! 2014 S. 570 ff., 575 f., m.H.