Big Brother Award für Apache

Erwischt hatte es nämlich die Apache Group, weil in der Beispiel-Konfigurationsdatei des Apache Web-Servers frevelhafterweise das Logging der IP-Adresse scharf gemacht worden war. Darin sah die Jury "die mangelhafte Beachtung von Belangen der Privatsphäre". Grund genug also für die silberne Zitrone, sollten doch "Protokollinformationen nur dann erzeugt werden, wenn sie für den Betrieb der Einrichtung unabdingbar sind".

Im Prinzip wohl richtig, doch offenbar hat sich die Jury gerade im Winterschlaf befunden, als Denial-of-Service-Angriffe größeren Kalibers nennenswerte Teile des Web wiederholt auf Grundeis gehen ließen. Wer vor diesem Hintergrund auf IP-Logging verzichtet, handelt schlichtweg grob fahrlässig.

Winterschlaf für große Brüder

Doch spätestens nach der Lektüre der Laudatio kommt die bange Frage auf, ob hier womöglich die Bewohner des Containers in Köln-Hürth an der Big-Brother-Preisvergabe maßgeblich beteiligt waren, ganz nach dem Motto: "Wissen ist Macht, nichts wissen macht nichts".

Mag sein, dass die Jury bei der Bekämpfung von Schneckenplagen im ökologischen Obstanbau ausgesprochen firm ist, im IT-Bereich ist sie es jedenfalls nicht. Von "global verteilten Datenschleimspuren" ist da zu lesen, die der User beim Surfen hinterlässt. Mit derlei Schädlingen offenbar auf Du, hätte die Jury zumindest den Schluss ziehen dürfen, dass hier wie dort Schnecke und Spur wohl nur im Ausnahmefall einander zuzuordnen sind.

Von jeglicher Sachkenntnis ungetrübt ist schließlich auch die Annahme, es sei auf Grund der Protokolldaten im Nachhinein ermittelbar, "welcher Anwender welche Seiten in welcher Reihenfolge abgerufen und wie lange er sie sich angesehen hat". Das mag zwar auf den ersten Blick so scheinen, doch keine dieser Folgerungen kann auf Grund der Log-Dateien auch nur mit ausreichender Wahrscheinlichkeit gezogen werden - das walte schon allein der Proxy-Cache zwischen Server und Browser. Zugriffe auf häufig angeforderte statische Seiten sind für den Server mitunter komplett unsichtbar. Und von den zehn verschiedenen Web-Seiten, die nacheinander durch einen Proxy-Server hindurch vom Web-Server angefordert wurden, haben sich womöglich zehn verschiedene Benutzer nur jeweils eine einzige Seite angesehen.

Selbst wenn es keine Proxies gäbe, dann würde die vermeintliche "Verweildauer" auf einer Webseite den Gang zum Kaffeeautomaten oder den Plausch mit einem Kollegen oft genug miteinschließen..

Von Tatsachen ungetrübter Blick

Selbst die Annahme, anhand einer IP-Adresse könnten Benutzer identifiziert oder gar wiedererkannt werden, ist reichlich unrealistisch. Das Gros der Privatleute benutzt Dialup-Zugänge à la T-Online, bei denen IP-Adressen dynamisch vergeben werden. Folglich verbergen sich hinter ein und derselben IP zu verschiedenen Zeiten unterschiedliche Personen, und kein Provider wird ohne richterliche Anordnung herausrücken, wer zu einem bestimmten Zeitpunkt eine bestimmte IP benutzt hat.

Bei Surfern aus Firmennetzen liegt der Fall nicht sehr viel anders. Hier sind für den Web-Server nicht die einzelnen PCs sichtbar, mit denen gesurft wurde, sondern nur der Proxy-Server im Firmennetz, der sämtlichen Web Traffic nach außen stellvertretend abwickelt. Hinter der IP des Proxy können sich prinzipiell beliebig viele PCs verbergen, doch für den Web-Server ist nur eine einzige IP sichtbar, nämlich die des Proxy. Eine Zuordnung zwischen protokollierter IP und Surfer ist dabei ebenso unmöglich. Um eine Wiedererkennung des Surfers zu bewerkstelligen, müsste man in beiden Fällen Cookies einsetzen - sofern der Browser derlei Danaer-Geschenke annimmt.

Doch die Jury ließ sich von derlei Umständen nicht anfechten, und kaum auszuschließen, dass auch sie den mittlerweile recht betagten Journalistenwitz kannte: "Ich lass mir meine schöne Geschichte doch nicht durch Tatsachen kaputtmachen."