Wider das böse Image von Logfiles

Zur Zeit macht die Runde, dass Brigitte Zypries ein Ordnungsgeld von bis zu 250.000 Euro oder bis zu 6 Monate Haft drohen, sollten bei den Webangeboten von Bundesbehörden, die in ihren Zuständigkeitsbereich fallen, weiterhin IP-Adressen von Nutzungsvorgängen nach Beendigung des Nutzungsvorgangs aufbewahrt werden.

Wenn die aktuelle Rechtslage ein solches Vorgehen ermöglicht, sei dies zunächst zur Kenntnis genommen. Es stellt sich mir aber die Frage, welche Alternative ein Administrator hat, um bei Problemen oder Angriffen (die natürlich sehr schnell zu einem Problem werden können 😉 reagieren zu können, wenn denn in den Logfiles keine IP-Adressen gespeichert werden dürfen. Sicherlich kann man im Logfile die IP-Adresse anonymisieren. Aber was dann? Man stellt fest, dass immer von derselben Quelle aus ein Skript Amok läuft. Dagegen tun, kann man aber nichts, weil man nicht mehr feststellen kann, welche IP sich dahinter verbirgt.

Bei einem Auftritt wie diesem privaten Blog ist das unerheblich. Wenn es nicht läuft, läuft es nicht. Daher gehe ich der Diskussion durch Löschen der Logs aus dem Weg …

2 thoughts on “Wider das böse Image von Logfiles”

  1. Das Problem von den Serverlogfiles ist, dass sie in der Regel archiviert und zum großen Teil sogar unbefristet aufgehoben werden. Damit hältst du unrechtmäßig personenbezogene Daten vor (denn die entspr. Einzelpersonen, mit denen die IP-Adressen zumeist assoziiert werden können, haben dem nicht explizit zugestimmt).

    Betriebsbedingt anfallende Daten (zu einem beliebig kleinen Zeitpunkt wird dein System ja immer wissen, mit welcher IP Verbindungen existieren), die man auch braucht, um auf Angriffe etc. zu reagieren, sind schon etwas anderes und zählen wohl eher weniger als Datenspeicherung.

    Deswegen würde ich davon ausgehen — sicher weiss ich das nicht — dass es eine vom Gericht akzeptierte Lösung wäre, die Logfiles in kleinen Zeitabständen, z.B. täglich, nachträglich zu anonymisieren.

  2. Das wird ja bald so lächerlich wie die Cookiehatz, die ein inkompetenter Journalist vor Jahren los getreten hat. Über eine IP lässt sich nur mit einem Gerichtsbeschluss herausfinden welche Person sich dahinter verbirgt. Um langfristig das Nutzer verhalten zu tracken ist sie völlig uninteressant. Dazu nutzt man Cookies. Außerdem ist beim langfristigen Tracking von Benutzerbewegungen der einzelne Nutzer nicht wichtig. Es geht darum Trends oder Bewegungspfade aus der Masse abzuleiten abzuleiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *