Bild: Generiert mit Gemini Flash

IP-Adressen als Vorratsdatenspeicherung, was die Technik leisten kann und was nicht

Die geplante dritte Auflage der IP-Vorratsdatenspeicherung verspricht Identifikationskraft, die unter CGNAT und IPv6-Privacy-Extensions in der Praxis kaum noch gegeben ist. Was IP plus Zeitstempel als Identifikator wirklich leisten und wo der EuGH-Korridor sie überhaupt zulässt.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Was eine IP-Adresse als Identifikator leistet
  5. CGNAT, das Vielfache der Mehrdeutigkeit
  6. IPv6 mit Privacy Extensions
  7. Tor, VPN und Reverse Proxies
  8. Der EuGH-Korridor: was C-470/21 erlaubt
  9. Abgelehnte Alternativen
  10. Was Sie jetzt tun sollten
  11. Wie Dernium hier hilft
  12. Verifikation
  13. Offene Punkte
  14. Häufige Fragen
  15. Kann man von einer IP-Adresse zuverlässig auf eine Person schließen?
  16. Was ist CGNAT und warum erschwert es die Zuordnung?
  17. Warum hilft IPv6 hier nicht weiter?
  18. Ist eine Vorratsdatenspeicherung von IP-Adressen überhaupt erlaubt?
  19. Wie finde ich heraus, ob ich hinter CGNAT sitze?

Problem

Die BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat in der Pressemitteilung zum 34. Tätigkeitsbericht eine erneute Wiederbelebung der IP-Vorratsdatenspeicherung (anlasslose Speicherung von Verbindungsdaten auf Vorrat) kritisiert; die Bundesregierung habe für eine dreimonatige Speicherung keine belastbare Evidenz vorgelegt. Politisch ist die Annahme dabei stets dieselbe: eine IP-Adresse plus Zeitstempel sei ein scharfer Identifikator, der erlaube, einen Netzanschluss eindeutig auf eine Person zurückzuführen. Diese Annahme ist technisch zunehmend falsch. Um genau dieses Warum dreht sich dieser Artikel.

Für wen ist das? Für Datenschutz-Verantwortliche und technisch Interessierte, die wissen wollen, was eine IP-Adresse wirklich aussagt.

Kurze Antwort

IP plus Zeitstempel war im IPv4-Standalone-Anschluss der frühen 2000er ein guter Identifikator. Heute zerfasern gleich mehrere Technik-Schichten diese Zuordnung:

  • Carrier-Grade Network-Adress-Translation (CGNAT): viele Kunden teilen sich nach außen eine einzige IP-Adresse.
  • IPv6 mit rotierenden temporären Adressen, vor allem bei mobilen Endgeräten.
  • Beliebige VPN-, Tor- und Proxy-Schichten dazwischen, die die wahre Herkunft verdecken.
  • Geteiltes WLAN am Endpunkt (Züge, Flughäfen, öffentliche Orte).

Eine Speicherung "auf Vorrat" liefert deshalb meistens nicht den einen Treffer, der die Maßnahme rechtfertigt, sondern eine Auswahl von Personen, von denen oft niemand der Gesuchte ist oder der Gesuchte nicht mit auch nur annähernder Treffsicherheit ermittelt werden kann. Der einzige rechtlich offene Korridor ist seit dem EuGH-Urteil C-470/21 (EuGH = Gerichtshof der Europäischen Union) eng und an strikte Trennung der Datenkategorien gebunden.

Tiefgang

Eine IP-Adresse plus Zeitstempel führt durch CGNAT, IPv6-Rotation und VPN auf eine Liste möglicher Anschlüsse, nicht auf eine Person.
Eine IP-Adresse plus Zeitstempel führt durch CGNAT, IPv6-Rotation und VPN auf eine Liste möglicher Anschlüsse, nicht auf eine Person.

Was eine IP-Adresse als Identifikator leistet

Eine öffentliche IPv4-Adresse identifiziert immer eine Routing-Schnittstelle (den Punkt, an dem ein Anschluss ins Internet übergeht), nur sehr selten ein Endgerät und damit zumeist keine einzelne Person. Dynamische IPv4-Adressen werden vom Provider aus einem Pool zugeteilt; mit der Kombination aus Lease-Zeitstempel (Zeitpunkt der Adresszuteilung) und Pool-Eintrag erlaubt man oft die Rückrechnung auf einen Anschluss. Bereits am Anschluss selbst sitzt ein NAT-Router (Network Address Translation, übersetzt viele interne Adressen auf eine öffentliche) mit beliebig vielen internen Geräten, deren Quell-Ports er auf eine einzige Public-IP übersetzt; welcher TCP-Stream zu welchem Gerät gehörte, ist außerhalb des Routers nicht mehr feststellbar. Da dies kleine Massengeräte sind (und damit ihr Preis wichtig ist), protokollieren sie typischerweise nichts - sowohl aus Performance- als auch aus Speichergründen.

CGNAT, das Vielfache der Mehrdeutigkeit

Bei mobilen Anschlüssen und vielen DSL-Anschlüssen kommt eine zweite Übersetzungsschicht hinzu, das Carrier-Grade-NAT. Hier teilen sich bis zu tausende Anschlüsse eine einzige öffentliche IP-Adresse. RFC 6888 (eine technische Standard-Spezifikation der IETF) verlangt deshalb, dass der Provider zur Eindeutigkeit nicht nur IP und Zeit, sondern auch den jeweils zugewiesenen Source-Port-Range (das Bündel an Verbindungs-Portnummern, das einem Kunden zugewiesen ist) loggen muss; ohne diesen Port-Range-Eintrag ist eine Rückrechnung auf einen einzelnen Kunden nicht möglich. Die Praxis weicht teils erheblich davon ab: Source-Port-Logs sind hochvolumig und bei vielen Carriern entweder gar nicht oder nur in groben Zeitfenstern verfügbar. Die Folge ist, dass eine angefragte IP mit einem Zeitstempel auf Sekundenebene zwar formal beauskunftet wird, aber bei genauer Betrachtung mehrere Kandidaten zurückbleiben. Aber selbst dieses Tripel (Zeit, Adresse, Port) ist nicht eindeutig, da die Zahl der Ports historisch stark begrenzt ist (16 Bit, also maximal 65.536 Werte) und Ports daher regelmäßig wiederverwendet werden.

IPv6 mit Privacy Extensions

IPv6 (die neuere Version des Internet-Adressschemas mit sehr viel größerem Adressraum) löst das Problem der NAT-Mehrdeutigkeit, schafft aber auch ein Neues. RFC 8981, die Privacy Extensions (Datenschutz-Erweiterungen für IPv6), beschreibt das verbindliche Verhalten moderner Endgeräte: jedes Endgerät erzeugt sich neben der stabilen "EUI-64"-Adresse (aus der Geräte-Hardwarekennung abgeleitete, dauerhafte Adresse) zusätzliche temporäre Adressen, die in regelmäßigen Abständen rotieren und für ausgehende Verbindungen bevorzugt werden. Aktuelle Systeme (Linux, macOS, iOS, Android, Windows) haben Privacy Extensions standardmäßig aktiviert. Eine zu einem Zeitpunkt T benutzte IPv6-Adresse identifiziert damit nicht einmal mehr verlässlich denselben Host am Tag T+1, sondern lediglich das Subnetz-Präfix (den gemeinsamen Adressblock), das in vielen Heim-Anschlüssen einer ganzen Wohnung oder sogar Wohnungsgemeinschaft gemeinsam ist.

Tor, VPN und Reverse Proxies

Selbst wenn auf der Provider-Seite alles korrekt geloggt wäre, kommen die Schichten oberhalb des Anschlusses dazu. Ein Tor-Exit (Austrittsknoten des Anonymisierungsnetzes Tor), ein kommerzieller VPN (Virtual Private Network, verschlüsselter Umweg über einen Drittserver), ein eigener Mietserver-Hop, ein Reverse-Proxy-CDN (vorgeschalteter Verteildienst): alle hinterlassen am Zielserver eine andere IP als die des Endnutzers, oft mit anderer geografischer Zuordnung. Eine Vorratsdatenspeicherung beim Provider hilft hier nichts, weil der Provider den späteren Hop nicht sieht. Dort wiederum gibt es entweder keine Logs (Tor by design, VPN nach Wahl des Anbieters, häufigstes und nahezu ausnahmslos überall anzutreffendes Marketingargument) oder sie liegen in einer anderen Jurisdiktion.

Der EuGH-Korridor: was C-470/21 erlaubt

Der EuGH hat im April 2024 die französische Hadopi-Architektur zur IP-Speicherung grundsätzlich für mit Unionsrecht vereinbar erklärt, aber unter strengen Bedingungen: die gespeicherten Identitätsdaten müssen logisch von Verkehrs- und Inhaltsdaten getrennt sein, dürfen nicht ohne Weiteres mit Browserverlauf verknüpfbar sein, und der Zugriff muss durch eine unabhängige Stelle vor- oder nachkontrolliert werden. Das ist ein deutlicher Unterschied zu einer pauschalen Drei-Monats-Speicherung von IP plus Zeitstempel ohne weitere Schutzschichten. Wer ein Gesetz dazu plant, muss den Trennungs- und Kontroll-Aufbau im Entwurf substanziell ausweisen, nicht nur als Kommentar im Beschlussentwurf.

Abgelehnte Alternativen

"Wir speichern halt mehr Metadaten, dann passt es." Das ist genau der Schritt, den der EuGH ausschließt. Mehr Metadaten heißt mehr Verkettung, und die Verkettung mit Verkehrs- oder Browserdaten ist es, was den Eingriff verhältnismäßig fragwürdig macht. Mehr Daten lösen das Identifikator-Problem nicht, sondern verschärfen das Verfassungs-Problem.

"IP-Range plus Zeitfenster reicht für die Strafverfolgung." Es reicht für eine (potenziell eher ziemlich lange) Liste von Verdächtigen, nicht für einen Treffer. In CGNAT-Szenarien sind das oft drei- bis vierstellige Listen pro Sekunde-Eintrag. Die anschließende Reduktion auf einen einzelnen Anschluss erfolgt dann mit weiteren Daten, die wiederum nicht erhoben werden dürften, ohne den Korridor zu sprengen.

"Rein technisch lässt sich das ja präzise machen." Stimmt im Prinzip, scheitert in der Praxis an Volumina, Provider-Heterogenität und der Tatsache, dass jedes neue Pflicht-Logfeld von den Providern entweder ausgeweitet (Sammelklage-Risiko) oder ungenügend geführt wird. Die Diskrepanz zwischen Anspruch und Lieferung hat die zweite Auflage der Vorratsdatenspeicherung schon einmal in die Bedeutungslosigkeit geführt.

Was Sie jetzt tun sollten

Wenn Sie als Betreiber oder Verantwortlicher IP-Daten erheben oder die Diskussion fachlich einordnen wollen:

  1. IP-Erfassung minimieren. Prüfen Sie, ob Ihre Anwendung die IP-Adresse des Endnutzers wirklich braucht. Häufig genügt eine kurzfristige Speicherung allein zur Missbrauchs-Erkennung; danach kann sie gelöscht oder gekürzt werden.
  2. Aufbewahrungsfristen festschreiben. Definieren Sie pro Logdatei eine konkrete, kurze Löschfrist und automatisieren Sie das Löschen. "So lange es eben anfällt" ist keine zulässige Frist.
  3. Identifikator-Grenzen kennen. Verlassen Sie sich nicht darauf, dass eine IP plus Zeit eine Person bestimmt - dokumentieren Sie für interne Prozesse, welche Mehrdeutigkeit (CGNAT, IPv6-Rotation, VPN) im Spiel ist.
  4. Eigenen Anschluss verstehen. Mit den Bordmittel-Befehlen unten prüfen Sie selbst, ob Sie hinter CGNAT sitzen und ob Ihr Gerät IPv6-Privacy-Adressen rotiert. Das macht die Theorie konkret.
  5. Bei Gesetzesbezug datieren. Wenn Sie sich auf den EuGH-Korridor berufen, nennen Sie das Aktenzeichen C-470/21 und die Trennungs-Bedingungen ausdrücklich, statt pauschal "IP-Speicherung ist erlaubt" zu schreiben.

Wie Dernium hier hilft

Bei den eigenen Diensten beschränken wir IP-Erfassung auf das, was zwingend ist. Die Egress-Architektur (der Weg, über den ausgehender Datenverkehr das System verlässt) von Dernium Desk trennt VM-eigene Adressen vom Verkehr, die nutzerseitige IP eines Endkunden taucht in Anwendungs-Logs nicht auf, da sie für die Funktion nicht gebraucht wird. Unsere gesamte interne Authentisierungs-Infrastruktur speichert Login-Versuche mit IP nur befristet zur Brute-Force-Erkennung (Abwehr automatisierten Durchprobierens von Passwörtern); die Aufbewahrungsfristen sind so kurz wie möglich gewählt.

Verifikation

Wer die hier zitierten Mechanismen selbst nachprüfen will, kommt - wie oft - mit Bordmitteln aus, er muss nur wissen mit welchen. Ein Auszug am Beispiel Linux + Mac wo wir einfach die meiste Kontrolle über unser Netzwerk haben und am wenigsten hinten "einfache Kästchen" versteckt wird:

  • IPv6-Privacy-Extensions am eigenen Host: ip -6 addr zeigt für scope global mehrere Adressen pro Interface, eine als temporary, mit Lifetime im Bereich von Minuten bis Stunden.
  • CGNAT-Erkennung am eigenen Anschluss: curl ifconfig.io liefert die nach außen sichtbare IP; eine private IPv4 (10.x, 100.64.x bis 100.127.x, RFC 6598) am eigenen Router-WAN bei gleichzeitig öffentlicher Antwort der Echo-Dienste deutet auf CGNAT hin.
  • EuGH-Urteil im Original: Pressemitteilung Nr. 75/24, Kernaussage zur Datenkategorie-Trennung in Abschnitt zu Schutzvorkehrungen.

Offene Punkte

Die rechtspolitische Diskussion verfehlt regelmäßig die Frage, was an Identifikator-Tiefe in einer pauschalen Speicherung wirklich gewonnen wird, gemessen an der Volume-Erhöhung in den Provider-Logs. Eine ehrliche Antwort fordert eine Trefferquote-Studie auf realistischer Verkehrsverteilung; bisher gibt es solche Zahlen nur sektoral und für eng abgegrenzte Strafverfolgungsklassen. Bis dahin bleibt die Bewertung des Eingriffs nach EuGH-Maßstab unvollständig, weil ein zentrales Element der Verhältnismäßigkeit, die Geeignetheit, empirisch nicht belegt ist.

Häufige Fragen

Kann man von einer IP-Adresse zuverlässig auf eine Person schließen?

In den meisten heutigen Konstellationen nicht zuverlässig. Eine IP-Adresse bezeichnet eine Routing-Schnittstelle, kein Endgerät und keine Person. Bei Carrier-Grade-NAT teilen sich bis zu tausende Anschlüsse eine Adresse, IPv6-Geräte rotieren ihre Adressen, und VPN- oder Tor-Schichten verbergen die wahre Herkunft. Eine IP plus Zeitstempel führt deshalb oft auf eine Liste von Kandidaten statt auf eine eindeutige Person.

Was ist CGNAT und warum erschwert es die Zuordnung?

CGNAT (Carrier-Grade Network Address Translation) ist eine zweite Übersetzungsschicht beim Provider, mit der sich viele Kunden eine einzige öffentliche IP-Adresse teilen. Für eine eindeutige Zuordnung müsste der Provider zusätzlich den genutzten Portbereich mitloggen. Das ist sehr datenintensiv und wird in der Praxis oft gar nicht oder nur grob erfasst, sodass am Ende mehrere Anschlüsse für denselben IP-Zeit-Eintrag in Frage kommen.

Warum hilft IPv6 hier nicht weiter?

IPv6 beseitigt zwar die NAT-Mehrdeutigkeit, führt aber mit den Privacy Extensions rotierende temporäre Adressen ein, die auf modernen Systemen standardmäßig aktiv sind. Eine an einem Tag genutzte IPv6-Adresse identifiziert am nächsten Tag häufig nicht mehr dasselbe Gerät. Stabil bleibt meist nur das Subnetz-Präfix, das oft eine ganze Wohnung oder Hausgemeinschaft umfasst.

Ist eine Vorratsdatenspeicherung von IP-Adressen überhaupt erlaubt?

Nur in engen Grenzen. Der EuGH hat im Urteil C-470/21 eine IP-Speicherung grundsätzlich für möglich gehalten, aber an strenge Bedingungen geknüpft: die Identitätsdaten müssen von Verkehrs- und Inhaltsdaten getrennt bleiben, dürfen nicht ohne Weiteres mit dem Browserverlauf verknüpfbar sein, und der Zugriff muss durch eine unabhängige Stelle kontrolliert werden. Eine pauschale Drei-Monats-Speicherung ohne diese Schutzschichten fällt nicht darunter.

Wie finde ich heraus, ob ich hinter CGNAT sitze?

Vergleichen Sie die IP-Adresse am WAN-Anschluss Ihres Routers mit der nach außen sichtbaren Adresse, etwa über curl ifconfig.io. Zeigt Ihr Router eine private Adresse aus dem Bereich 100.64.x bis 100.127.x (definiert in RFC 6598), während der Echo-Dienst eine andere öffentliche IP meldet, sitzen Sie mit hoher Wahrscheinlichkeit hinter Carrier-Grade-NAT.