In unserem ersten Beitrag dieser Reihe haben wir bereits kurz auf das Problem der potentiellen Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland im Rahmen des Einsatzes von Auftragsverarbeitern aufmerksam gemacht. In diesem Zusammenhang haben wir auch auf die Möglichkeit der Überprüfung von Standorten des Empfängers durch Online Tools mittels Geolokalisierung hingewiesen.

Geolokalisierung

In diesem Beitrag wollen wir eine Ebene tiefer gehen und beleuchten, was Geolokalisierung überhaupt bedeutet und wie Tools zur Geolokalisierung funktionieren. Wo kommen die Daten, die eine Feststellung des Standortes erlauben, überhaupt her und warum ist es wichtig, die Quelle dieser Daten näher zu betrachten? Zunächst einmal, weil diese Quellen von allen im Datenschutz beteiligten Parteien verwendet werden, um Standorte festzustellen und die Genauigkeit (oder besser die Ungenauigkeit) der Feststellung des Standortes ein gewisses Problem darstellen könnte.

Laut Wikipedia ist Geolokalisierung „die Identifizierung oder Schätzung des geografischen Standorts eines Objekts, z. B. einer Radarquelle, eines Mobiltelefons oder eines mit dem Internet verbundenen Computerterminals.“

Geolokalisierung wird in einer Reihe von Bereichen eingesetzt, beispielsweise bei der Personalisierung von Inhalten, bei der Online-Betrugsprävention und -detektion sowie bei der Durchsetzung von Gesetzen für digitale Medien.

Whois

Geolokalisierung für Internet und Computer kann durch Zuordnung eines geografischen Standorts zu einer IP/DNS Adresse, MAC-Adresse oder anderen Eigenschaften des Gerätes, möglicherweise auch von selbst offenbarten Informationen, erfolgen. Meistens wird die Geolokalisierung durchgeführt, indem automatisch eine IP-Adresse in einem Whois-Dienst nachgeschlagen wird und die physische Adresse einer Privatperson, einer Firma oder einer sonstigen Organisation, der diese IP Adresse zugewiesen ist, abgerufen wird. Dies ist möglich, weil jeder angeschlossene Rechner über seine numerische Adresse, die IP, zu identifizieren sein muss. Die Vergabe und Verwaltung von IP Adressen erfolgt durch zuständige regionale Stellen. Die Spitze der Hierarchie bildet die IANA (Internet Assignment Numbers Authority). IANA teilt die großen IP-Adressbereiche fünf Regional Internet Registries (RIR) zu: AFRINIC (Afrika, whois.afrinic.net), APNIC (Asien / Pazifik, whois.apnic.net), ARIN (Nordamerika, whois.arin.net), LACNIC (Lateinamerika, whois.lacnic.net) und RIPE NCC (Europa, Naher Osten, und Zentralasien, whois.ripe.net). Die regionalen Register weisen weiterhin IP-Adresssegmente ISPs (Internet Service Providers) zu. Die Zuweisung von IP Adressen kann direkt oder über zwei Arten von zwischengeschalteten Stellen erfolgen – das nationale Internetregister (NIR) und das lokale Internetregister (LIR). Die Datensätze der zugewiesenen IP-Adresssegmente werden in einer Datenbank gespeichert, die von einem regionalen Register verwaltet wird. Zusammen mit den IP-Zuordnungsdaten speichern die regionalen Register Kontaktinformationen des Besitzers der IP Adresse und die Ihnen zugewiesenen IP-Adressen.

Wie bereits erwähnt, ist das Réseaux IP Européens Network Coordination Centre (RIPE NCC) eine Regional Internet Registry und zuständig für die Vergabe von IP-Adressbereichen in Europa, dem Nahen Osten und Zentralasien. Die Adressblöcke aus den RIPE NCC zugeteilten Netzen werden an Local Internet Registries zugewiesen, die ihrerseits ihre eigene Infrastruktur damit adressieren oder/und Endkunden bedienen. Eine Privatperson, eine Firma oder eine sonstige Organisation, die IP-Adressen benötigt, muss sich an eine LIR wenden oder selbst zum Erhalt des LIR-Status bei der RIPE Mitglied werden. RIPE NCC ist in ihrem IP Zuständigkeitsbereich für den Betrieb und die Weiterentwicklung der Whois-Datenbank (mit den IP Adressen aus den zugewiesenen Netzen) verantwortlich.

Was die Registrierung und Vergabe von DNS Namen betrifft, sind andere Registrierstellen zuständig. Für die deutschen Segmente .de ist z.B. die privatwirtschaftlich organisierte Institution DENIC (https://www.denic.de/) verantwortlich. Nach der Vergabe von Domainnamen ist zudem eine Zuweisung der IP-Adresse erforderlich. Diese Zuweisung wird ebenfalls in die Whois-Datenbank eingepflegt. Bei der Feststellung des Standortes einer Webseite wird letztendlich der Standort des Servers, auf dem diese Webseite gehostet wird, festgestellt.

Reicht die Genauigkeit?

Die Genauigkeit der Lokalisierung der IP Adresse, die sich aus den Daten der Whois-Datenbank ergibt, wird aber durch die folgenden Aspekte eingeschränkt:

  • Es gibt keine offiziellen Regeln für das Ausfüllen der Kontaktinformationen durch die Besitzer der IP Adresse. Daher können die bereitgestellten Standortinformationen zu falschen Ergebnissen führen.
  • Zudem variiert der Umgang von Whois-Daten durch verschiedene DNRs und LIRs, sodass der Umfang der Daten von verschiedenen IP-Adressen-Besitzern unterschiedlich ausfallen kann, je nachdem welche Registry zuständig ist.
  • Die nächste große Sorge ist, dass die IP-Adressen, die in ein Zuweisungssegment fallen, je nach Art und Größe der Organisation in einem großen geografischen Gebiet verteilt werden können. Ein gutes Beispiel sind ISPs, die auf nationaler Ebene tätig sind, oder Organisationen mit Niederlassungen an verschiedenen Standorten.
  • Noch ein Problem stellen Proxy Server oder virtuelle private Netzwerke dar, die das Lokalisierungsergebnis verfälschen können. Denn die von externen Netzwerken gesehene IP-Adresse kann tatsächlich einem Proxy oder einer Firewall entsprechen.

Befindet sich der Server innerhalb der EU?

Dennoch ist ein Verfahren notwendig, dass die Feststellung von Serverstandorten ermöglicht, insbesondere ob der Server außerhalb oder innerhalb der EU oder des EWR Raums platziert ist. Für diese Feststellung reicht ein Whois-basiertes Verfahren völlig aus. Auch die Ergebnisse wissenschaftlicher Untersuchungen zeigen, dass die Mehrheit der Datenbanken auf Länderebene eine Genauigkeit von nahezu 100% erreicht. Zudem liefern Whois Anfragen nicht nur Informationen über den Standort des Netzwerkgerätes, sondern auch zahlreiche zusätzlichen Informationen zum Inhaber der IP Adresse, wie den DNS Namen, das Unternehmen oder die Organisation sowie die Adresse und Kontaktdaten des Besitzers. Diese Informationen können der weiteren Analyse dienen (beispielsweise – ob die Adresse tatsächlich dem konkreten Auftragsverarbeiter gehört oder noch zusätzliche Dienstleister einbezogen sind).

Es gibt außerdem noch weitere technische Methoden, die die Genauigkeit der Geolokalisierung verbessern (z.B. die Analyse der Verbindungen zu dem Server mittels traceroute, die Messung und Analyse der Korrelation zwischen Kommunikationslatenz und geografischer Distanz oder die Landmark-basierte Datenstandortverifizierung). Diese Methoden schießen jedoch in ihren Ergebnissen weit über unsere Ziele der Geolokalisierung hinaus und sind viel komplizierter in der Anwendung.

Da das Angebot solcher Services im Internet (sowohl kostenloser als auch kostenpflichtiger) sehr umfangreich ist, können wir nur empfehlen, den Anbieter nicht nur sorgfältig zu wählen, sondern auch die Informationen unterschiedlicher Anbieter zu vergleichen. Die sicherste Quelle sind offensichtlich die Webseiten der jeweiligen Regional Internet Registry, die oben gelistet sind. Als sicherste Quelle können wir daher den Service von RIPE https://stat.ripe.net/ empfehlen. Die Nutzung des Services ist ohne vorherige Registrierung möglich, die Nutzung ist kostenlos und stellt sehr umfangreiche Informationen über die IP Adresse zur Verfügung. Sie bietet zudem auch verschiedene Tools (z.B. ein traceroute Modul) für die fortgeschrittenen Untersuchungen.

Fazit

In diesem Beitrag wollten wir das Thema der Geolokalisierung und Feststellung des Standortes der Speicherung und Bearbeitung der personenbezogenen Daten weiter untersuchen. Hauptsächlich ging es darum, die Herkunft der Informationen über den Standort zu beleuchten und für die „nicht-Techniker“ zu verdeutlichen. Die Genauigkeit der Services, die auf dem Whois-Verfahren basieren, ist, aus der Sicht der Autoren, für die Feststellung des Serverstandortes auf der Landesebene völlig ausreichend. Solche Services können und sollten daher bei der Prüfung der eingesetzten oder potentiellen Auftragsverarbeiter genutzt und berücksichtigt werden.

Update 03.05.2018

Die Nutzung von RIPE ist ohne vorherige Anmeldung möglich. Ursprünglich hatten wir geschrieben, dass eine Anmeldung erforderlich sei. Wir haben den Beitrag dahingehend angepasst.