Quasi statisches IPv6-Präfix bei Vodafone
Quizfrage
Wie nennt man ein IPv6-Präfix, das sich jahrelang nicht ändert und selbst Firmware-Updates der FRITZ!Box überdauert?
- Nummernschild für deinen Haushalt
- Statisches Präfix ohne Garantie
- Dynamisches Präfix auf Steroiden
- Transstatisches Präfix
- Das Beste, was Trackern und Werbefirmen je passieren konnte
- Datenschutz-Super-GAU
- Vorratsdatenspeicherung durch die Hintertür
Rückblick
Um das Jahr 2011 stellten die größten Internet-Provider auf IPv6 und damit verbundenen Techniken wie Dual Stack Lite (DSlite, DS-Lite) um. Die Bundesdatenschutzrepublik Deutschland war in Aufregung!
Keine IPv4-Adressen mehr, die sich spätestens alle 24 Stunden ändern? Stattdessen für jedes Gerät eine feste IPv6-Adresse, welche auch noch die MAC-Adresse (Hardware-Adresse) des Geräts enthält!
Das Thema MAC-Adresse war dank der IPv6 Privacy Extensions schnell erledigt. Die damit generierten temporären IPv6-Adressen enthalten nicht mehr die MAC-Adresse.
Die Ständige Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlichte eine Orientierungshilfe – Datenschutz bei IPv6 – Hinweise für Hersteller und Provider im Privatkundengeschäft.
Problem erkannt
Dort formulierte der Arbeitskreis Technische und organisatorische Datenschutzfragen erstaunlich detaillierte Empfehlungen für Internet-Provider, wie der Datenschutz bei IPv6 auf einem IPv4 ähnlichen Level gehalten werden könnte.
Schließlich wollte man den Werbefirmen, Online-Shops, Tech-Riesen und sozialen Netzwerken die Nachverfolgung der Nutzer im Zeitalter von Supercookies und Device Fingerprinting nicht noch einfacher machen.
So sollte z.B. die dynamische Präfixvergabe bei IPv6 das Gegenstück zur dynamischen Adressvergabe bei IPv4 sein.
Nur nicht bei Vodafone?
Ein Jahrzehnt später reiben sich versierte Vodafone-Kunden die Augen. Zumindest wenn keine statische IP-Adresse gebucht wurde. Das IPv6-Präfix ändert sich faktisch nie. D.h. ein Teil der IPv6-Adresse bleibt immer gleich, da helfen auch keine Privacy Extensions.
Bei einem gemieteten Router mit /62 Präfix sind das aktuell die ersten 62 Bits. Kunden können es auch nicht manuell neu beziehen, denn die folgenden gängigen Maßnahmen sind wirkungslos:
- „Neu verbinden“-Button im Router (FRITZ!Box)
- Neustart des Routers
- Firmware-Update des Routers
- Router 12 Stunden vom Strom trennen, damit das Lease abläuft
So lässt sich ein Haushalt jahrelang tracken. Im Kontext von Device Fingerprinting sind diese 62 Bits für diverse Akteure Gold wert. Die Fingerprinting-Testseite der Electronic Frontier Foundation zeigt eindrucksvoll, wie die Kombination von Bits aus unterschiedlichen Informationsquellen einen Benutzer eindeutig identifiziert.
Übrigens geben bereits die ersten 32 Bits Auskunft über den Address Family Transition Router (AFTR), also Provider und Standort. Aber das nur am Rande:
Vodafone AFTR (irgendwo in Berlin/Brandenburg): 2a02:8109::::::
Vodafone AFTR (irgendwo in Niedersachen): 2a02:8108::::::
Vodafone AFTR (irgendwo in Bayern): 2a02:810d::::::
Geheimdienste & Co dürften sich natürlich auch über dieses quasi statische Präfix freuen. Wer trauert schon der gescheiterten Vorratsdatenspeicherung nach, wenn ein X-Monate/Jahre altes Präfix auch heute noch mit sehr hoher Wahrscheinlichkeit dem gleichen Kunden zugewiesen ist?
Ein Fall für den BfDI?
Bleibt die Frage, sollte sich vielleicht mal der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) der Sache annehmen?
Niemand möchte wieder eine Zwangstrennung alle 24 Stunden, aber die Möglichkeit eines manuellen Wechsels könnte man doch per Gesetz (DSGVO?) verpflichtend machen.
Vielleicht helfen ja Anfragen beim BfDI:
https://www.bfdi.bund.de/DE/Service/Kontakt/kontakt_node.html
Schreibe einen Kommentar