Wie IP von Spieler raus finden?

[Daaron]

Das ist Blödsinn da hierbei eine einvernehmliche Kommunikation beider Clients statt findet.

Jedes Mal wenn du eine Webseite aufrufst ist das nach deiner Logik einvernehmliche Kommunikation zwischen dir und dem Server....
Hinsichtlich des Datenschutzes ist die Einvernehmlichkeit der Kommunikation irrelevant. Relevant wäre, ob dein Kommunikationspartner ausdrücklich ZUSTIMMT, dass du seine IP speicherst.

Die Speicherung von IPs ZU PERSONEN ist Datenschutzrechtlich relevant, nicht das speichern irgendwelcher IPs ohne zu wissen wem sie gehört.

https://www.datenschutzbeauftragter-info.de/ip-adressen-personenbezogene-daten/

Kurzfassung: Dynamische IPs sind nicht so wild, aber du weißt nicht, ob die IP deines Gegenüber dynamisch ist. Du musst davon ausgehen, dass sie statisch ist. Bei IPv6 ist zwingend davon auszugehen, dass sie statisch sein wird. Statische IPs (egal ob v4 oder v6) gelten als personenbezogene Daten und dürfen nicht ohne Zustimmung gespeichert werden.

 

[S.Kara]

[...]

Dort geht es aber um das Web und die Besucher bestimmter Seiten.

Wenn er ein Spiel spielt und von Mitspielern die IP speichert, speichert er ja nicht die Netzaktivität der jeweiligen Person. Das als illegal zu bezeichnen ist absoluter Blödsinn.
Schreib mir eine Mail, ruf mich in Skype an oder zock mit mir ein Online-Spiel und ich sag dir sofort deine IP. Ich kann dir auch sagen welche IPs in welchem Programm mit mir letztes Weihnachten verbunden waren. Wie gesagt kann das jeder, der eine ordentliche Firewall besitzt.
Und wenn ich ein Spiel hoste und irgendein Idiot meint mich zu nerven wird er gekickt bzw. gebannt - anhand seiner IP.

Adressen sind auch personenbezogene Daten. Das heißt aber auch nicht, dass ich den Absender nur dann lesen darf, wenn er mir dies ausdrücklich gestattet.

 

[Daaron]

Dort geht es aber um das Web und die Besucher bestimmter Seiten.

Es geht um Dienstanbieter. Es gibt da keine Unterscheidung zwischen den Protokollen.

Schreib mir eine Mail, ruf mich in Skype an oder zock mit mir ein Online-Spiel und ich sag dir sofort deine IP. Ich kann dir auch sagen welche IPs in welchem Programm mit mir letztes Weihnachten verbunden waren.

Dass du die IP von Leuten kennst, die eine aktive Kommunikation mit dir durchführen, ist eine technologische Notwendigkeit (abgesehen von Broadcasts oder Onion). Dass du diese Daten hingegen SPEICHERST, ist datenschutzrechtlich mehr als bedenklich. Eine Erfassung personenbezogener Daten (ohne explizite Zustimmung der Person) ist nur im Rahmen technischer (auch abrechnungstechnischer) Notwendigkeit zulässig. Du kannst keine TCP/IP-Kommunikation ohne die IP durchführen. Nach dem Ende der Kommunikation gibt es aber keinen legitimen Grund, die IP weiter zu lagern.

Wie gesagt kann das jeder, der eine ordentliche Firewall besitzt.

Jeder kann mit nem Messer auf seinen NAchbarn einstechen...

Und wenn ich ein Spiel hoste und irgendein Idiot meint mich zu nerven wird er gekickt bzw. gebannt - anhand seiner IP.

Und hier irrst du.
1.) IP-basierte Bans sind technisch unsinnig. Sie erzeugen nur Unmengen False Positives (z.B. bei LTE-Verbindungen)
2.) Du bist ein Dienstanbieter. Du musst dihc datenschutzkonform verhalten.

Adressen sind auch personenbezogene Daten. Das heißt aber auch nicht, dass ich den Absender nur dann lesen darf, wenn er mir dies ausdrücklich gestattet.

Äpfel und Birnen...
Ein physischer Brief hat üblicherweise einen Absender und zwingend einen Empfänger, beides im Klartext. Da Papier geduldig ist, ist es nicht ohne weiteres möglich, den Absender nach Prüfung zu entfernen.

Außerdem geht es hier um Telemedien, siehe auch Abschnitt 4 TMG (also §§11ff). Ein Brief ist kein Telemedium.

 

[S.Kara]

Nach dem Ende der Kommunikation gibt es aber keinen legitimen Grund, die IP weiter zu lagern.

Darum geht es dem TE anscheinend ja auch nicht. Er will ja nur das Land herausfinden.

Jeder kann mit nem Messer auf seinen NAchbarn einstechen...

OK dann ändere ich meine Aussage in "Jede ordentliche Firewall tut dies auch." Zumindest für einen bestimmten Zeitraum oder bis eine bestimmte Log-Größe erreicht wurde.

Und hier irrst du.
1.) IP-basierte Bans sind technisch unsinnig. Sie erzeugen nur Unmengen False Positives (z.B. bei LTE-Verbindungen)
2.) Du bist ein Dienstanbieter. Du musst dihc datenschutzkonform verhalten.

Wieso sollten diese unsinnig sein? Ich komme damit sehr gut klar und die paar die irrtümlich geblockt werden sind egal, sollen sie halt jemand anderem beitreten. Würde der Hersteller das so machen, würde das natürlich zu Probleme führen.
Da ich aber nicht den Nutzernamen aus den Packeten herauslesen kann (verschlüsselt), kann ich das auf diese Weise (leider) nicht machen.

Äpfel und Birnen...
Ein physischer Brief hat üblicherweise einen Absender und zwingend einen Empfänger, beides im Klartext. Da Papier geduldig ist, ist es nicht ohne weiteres möglich, den Absender nach Prüfung zu entfernen.

Eine IP hat genauso einen Empfänger und einen Absender im Klartext.

Außerdem geht es hier um Telemedien, siehe auch Abschnitt 4 TMG (also §§11ff). Ein Brief ist kein Telemedium.

Naja eigentlich ging es um Datenschutz.

 

[Daaron]

Darum geht es dem TE anscheinend ja auch nicht. Er will ja nur das Land herausfinden.

Wie gesagt, das ist nicht bestimmungsgemäß. Die IP dient der Kommunikation zwischen 2 Clients oder Client & Server. Wenn du z.B. in deiner Webseite das Herkunftsland deiner User tracken über Werkzeuge wie GeoIP tracken willst, dann musst du sicherstellen, dass nicht die volle IP verwendet wird sondern mindestens das letzte Oktett anonymisiert wird.

OK dann ändere ich meine Aussage in "Jede ordentliche Firewall tut dies auch." Zumindest für einen bestimmten Zeitraum oder bis eine bestimmte Log-Größe erreicht wurde.

Das macht es trotzdem nicht legal.

Wieso sollten diese unsinnig sein?

- User mit variabler IP bannst du nur bis zum Reconnect
- User können dich mit nem VPN bzw. ne Mix-Kaskade problemlos aushebeln
- Nutzen mehrere User eine gemeinsame öffentliche IP (z.B. öffentliches WLAN, LTE und teilweise sogar Kabel) hast du enorm viele False Positives

Eine IP hat genauso einen Empfänger und einen Absender im Klartext.
...
Naja eigentlich ging es um Datenschutz.

Dann lies doch verdammt noch eins den Abschnitt 4 des TMG. Kleiner Tip: Dieser Abschnitt befasst sich mit Datenschutz für Telemedien.

 

[S.Kara]

Wie gesagt, das ist nicht bestimmungsgemäß. Die IP dient der Kommunikation zwischen 2 Clients oder Client & Server. Wenn du z.B. in deiner Webseite das Herkunftsland deiner User tracken über Werkzeuge wie GeoIP tracken willst, dann musst du sicherstellen, dass nicht die volle IP verwendet wird sondern mindestens das letzte Oktett anonymisiert wird.

Ob etwas bestimmungsgemäß ist oder nicht sagt nichts darüber aus, ob es illegal ist. Und wenn man das Land zu einer IP herausfinden will, ist die letzte Zahl sowieso egal.

Das macht es trotzdem nicht legal.

Und warum zeigt dann niemand Windows an? Oder Norton, Kaspersky, Comodo, ...?
Richtig, weil es nicht illegal ist seine eigenen Verbindungen zu protokollieren.

- User mit variabler IP bannst du nur bis zum Reconnect
- User können dich mit nem VPN bzw. ne Mix-Kaskade problemlos aushebeln
- Nutzen mehrere User eine gemeinsame öffentliche IP (z.B. öffentliches WLAN, LTE und teilweise sogar Kabel) hast du enorm viele False Positives

1. Banne ich einen Range, ein Reconnect bringt also nicht viel, außer der Anbieter schaltet verschiedene Proxys zwischen.
2. Habe ich ein relativ kleines Pinglimit, man muss also schon für den Dienst zahlen um kontinuierlich eine gute Verbindung zu haben.
3. In Online-Spielen ist das wie gesagt zu vernachlässigen.

Dann lies doch verdammt noch eins den Abschnitt 4 des TMG. Kleiner Tip: Dieser Abschnitt befasst sich mit Datenschutz für Telemedien.

Dann zitier den Abschnitt doch einfach. Ich habe geschaut und nichts darüber gefunden, dass es illegal ist die eigenen Verbindungen zu speichern.

 

[Daaron]

Und warum zeigt dann niemand Windows an? Oder Norton, Kaspersky, Comodo, ...?
Richtig, weil es nicht illegal ist seine eigenen Verbindungen zu protokollieren.

1.) Du kannst keinen Software-Hersteller verklagen, wenn Leute die Software gesetzeswiedrig einsetzen. Andernfalls müsstest du den Entwickler von Wireshark inhaftieren, weil mit WS offensichtlich illegal Pakete abgehört werden können. Du müsstest in Folge eines Kettensägenmassakers die Kettensägenhersteller der Welt inhaftieren. Du müsstest ne Razzia bei H&K machen, wenn irgendwo einer mit ner MP5 rumballert.

2.) Es ist ein Unterschied, ob du als reine Privatperson agierst oder als Dienstanbieter. Du betreibst einen Gameserver? Dann bist du Dienstanbieter.

Dann zitier den Abschnitt doch einfach. Ich habe geschaut und nichts darüber gefunden, dass es illegal ist die eigenen Verbindungen zu speichern.

Es sind nicht DEINE EIGENEN Verbindungen. Du bist ein Dienstanbieter, das sind die Daten deiner Kunden.

 

[S.Kara]

1.) Du kannst keinen Software-Hersteller verklagen, wenn Leute die Software gesetzeswiedrig einsetzen. Andernfalls müsstest du den Entwickler von Wireshark inhaftieren, weil mit WS offensichtlich illegal Pakete abgehört werden können. Du müsstest in Folge eines Kettensägenmassakers die Kettensägenhersteller der Welt inhaftieren. Du müsstest ne Razzia bei H&K machen, wenn irgendwo einer mit ner MP5 rumballert.

Viele bieten Lizenzen speziell für Privatgebrauch an, die diese Funktion ebenfalls bieten. Hier müsste man nach deiner Ansicht auf jeden Fall den Hersteller verklagen.
Und dein Vergleich hinkt ganz gewaltig. Eine Kettensäge ist nicht dazu gedacht andere zu töten. Firewalls speichern IP-Zugriffe aber schon per default. Ich habe selbst Comodo installiert und wurde nicht gefragt ob ich IPs speichern will, er hat es einfach gemacht. Direkt nach der Installation, ohne dass man die Chance hatte es vorher zu deaktivieren.

2.) Es ist ein Unterschied, ob du als reine Privatperson agierst oder als Dienstanbieter. Du betreibst einen Gameserver? Dann bist du Dienstanbieter.


Es sind nicht DEINE EIGENEN Verbindungen. Du bist ein Dienstanbieter, das sind die Daten deiner Kunden.

Ich weiß nicht ob wir in diesem Punkt aneinander vorbei reden.
In vielen Spielen kann man sich aussuchen ob man einem Server beitritt, oder selbst eins hosten will. Wenn ich dann eines Hoste sind das sehr wohl alles meine eigenen Verbindungen. Vielleicht hast du gedacht, dass ich irgendwo einen Server gemietet habe. Dessen Verbindungen sind dann tatsächlich nichtmehr meine eigenen.

 

[Daaron]

Und dein Vergleich hinkt ganz gewaltig. Eine Kettensäge ist nicht dazu gedacht andere zu töten.

Und was ist mit der MP5? Hier ist der Beschuss von Menschen mit vielen kleinen schnellen Freunden Kaliber 9mm Parabellum absolut bestimmungsgemäß. Oder verklagst du Opel, weil jemand mit seinem aufgebohrten Calli mit ner 180 durch die Innenstadt geplautzt ist?

Software oder allerlei technische Geräte können bestimmungsgemäß & im Einklang mit geltendem Recht verwendet werden. Man kann sie aber auch entgegen ihrer Bestimmung verwenden.
Um bei Wireshark zu bleiben: Es ist zwar BESTIMMUNGSGEMÄSS, damit Netzwerkkommunikation zu überwachen, es ist aber NICHT LEGAL, dies unaufgefordert und ohne Kenntnis der Abgehörten zu tun.

Oder um ein anderes Beispiel zu bringen, dass bei dir vielleicht eher den Groschen fallen lässt.
Was unterscheidet (ohne jetzt Wortklauberei zu betreiben) einen Hacker von einem Sicherheitsfachmann? Kurz und gut: Der Hacker dringt UNERWÜNSCHT und ILLEGAL in Netzwerke oder Computer ein. Der Sicherheitsfachmann wird von Firmen beauftragt, das Sicherheitskonzept zu prüfen und SOLL in der Netzwerk eindringen.

Firewalls speichern IP-Zugriffe aber schon per default.

Webserver etc. loggen IPs schon per default. Der Google Analytics Standard-Code loggt die gesamte IP.
Die juristische Implikation von "Das war schon so, ich wusste nicht, dass das falsch/verboten ist" sollte dir klar sein. DU bist verantwortlich dafür, was du tust.

Ich weiß nicht ob wir in diesem Punkt aneinander vorbei reden.
In vielen Spielen kann man sich aussuchen ob man einem Server beitritt, oder selbst eins hosten will. Wenn ich dann eines Hoste sind das sehr wohl alles meine eigenen Verbindungen. Vielleicht hast du gedacht, dass ich irgendwo einen Server gemietet habe. Dessen Verbindungen sind dann tatsächlich nichtmehr meine eigenen.

Du hostest das Spiel, du betreibst somit einen Server (wenn auch nur für diese Sitzung). Du bist somit ein Dienstanbieter. Du lädst Dritte dazu ein, auf deine Maschine zu verbinden, erklärst ihnen aber nicht, dass du ihre persönlichen Daten (was IPs nun einmal nach einigen Rechtsmeinungen sind) dauerhaft speicherst.

Ein "Server" ist NICHT nur eine physische Kiste in einem Rechenzentrum. Ein Server ist ein PROGRAMM, dass einen Dienst ANBIETET. Das Programm Apache ist z.B. der Webserver, nicht die physische oder virtuelle Maschine, auf der Apache läuft.

 

[WhiteShark]

Da muss ich Daaron Recht geben. Es ist völlig egal ob der Server in einem Rechenzentrum steht, oder ob dein privater PC als Server läuft.

Aber es stellt sich die Frage ob man es als "dauerhaft Speichern" ansehen kann, wenn man nur kurz die IP nimmt und einen Whois darauf macht um das Herkunftsland herauszufinden.

 

[S.Kara]

Und was ist mit der MP5?

Die ist auch nicht einfach für jeden frei zugänglich.

Um bei Wireshark zu bleiben: Es ist zwar BESTIMMUNGSGEMÄSS, damit Netzwerkkommunikation zu überwachen, es ist aber NICHT LEGAL, dies unaufgefordert und ohne Kenntnis der Abgehörten zu tun.

Wireshark ist nicht zur Überwachung, sondern Analyse gedacht. Ich setze es selbst häufig ein wenn ich Programme mit TCP/IP Anbindung schreibe um zu gucken ob sie funktionieren. Während dieser Zeit speichert WS auch alle anderen IPs, was sich ja garnicht vermeiden lässt. Und das mache nicht nur ich privat so, sondern auch Firmen.

Was unterscheidet [...] einen Hacker von einem Sicherheitsfachmann?

Ein Sicherheitsfachmann hat nicht unbedingt etwas mit IT-Sicherheit zu tun.
Aber ob jemand mit Erlaubnis hackt oder nicht ist egal, hacken bleibt hacken.

Die juristische Implikation von "Das war schon so, ich wusste nicht, dass das falsch/verboten ist" sollte dir klar sein. DU bist verantwortlich dafür, was du tust.

Wäre das Loggen der Firewalls illegal dürften sie in Deutschland garnicht angeboten werden, wenn man die Funktion vor Installation nicht deaktivieren könnte.

Ein "Server" ist NICHT nur eine physische Kiste in einem Rechenzentrum. Ein Server ist ein PROGRAMM, dass einen Dienst ANBIETET. Das Programm Apache ist z.B. der Webserver, nicht die physische oder virtuelle Maschine, auf der Apache läuft.

Ein Server kann auch ein physisches Gerät sein.

Anstatt hier komische Vergleiche zu bringen könntest du mal Gesetze vorlegen die deine Aussagen untermauern. Und zwar keine wo es darum geht Profile von Webseiten Besuchern anzulegen, sondern um das Speichern deiner privaten Verbindungen.

 

[Daaron]

Aber es stellt sich die Frage ob man es als "dauerhaft Speichern" ansehen kann, wenn man nur kurz die IP nimmt und einen Whois darauf macht um das Herkunftsland herauszufinden.

Das TMG ist da recht klar. Wenn ein Vorgang abgeschlossen ist, müssen die Daten weg. Bei ner TCP/IP-Verbindung heißt das: Du musst die IP vergessen, wenn du dem TCP-Request geantwortet hast.

...Und das mache nicht nur ich privat so, sondern auch Firmen.

In Firmen begehst du damit unter Umständen eine ziemlich heftige Straftat. Du darfst NICHT ungefragt die Kommunikation deiner Mitarbeiter loggen.
Wenn du wirklich nur TCP/IP-Anwendungen testen willst, warum tust du das nicht auf einer eigenen Netzwerk-Device oder in einem Tunnel? Warum musst du den Großen Lauschangriff auf deine Kollegen oder Angestellten starten? Das ist, wie schon erwähnt, datenschutzrechtlich extrem brisant.

Aber ob jemand mit Erlaubnis hackt oder nicht ist egal, hacken bleibt hacken.

Genau das meinte ich mit Wortklauberei. Ich differenziere hier "Hacker=illegal" & "Sicherheitsfachmann=legal".
Und es macht juristisch einen gewaltigen Unterschied, ob du von einer Firma aufgefordert wirst, ihre Infrastruktur zu prüfen, oder ob du es aus Spaß oder böser Absicht tust.

Anstatt hier komische Vergleiche zu bringen könntest du mal Gesetze vorlegen die deine Aussagen untermauern. Und zwar keine wo es darum geht Profile von Webseiten Besuchern anzulegen, sondern um das Speichern deiner privaten Verbindungen.

Es sind aber verdammt noch eins nicht deine PRIVATEN Verbindungen, wenn du als DIENSTANBIETER auftrittst, indem du einen Gameserver bereit stellst. Es spielt dabei auch keine Rolle, ob dein Spiel jetzt einen Dedicated Server bietet oder, wie z.B. damals bei BF42/V, du auch ad hoc ein Spiel hosten kannst, an dem du selbst teil nimmst.
Dein PC (bzw. dessen Software) agiert als Server, du bist Dienstanbieter, für dich gelten die Datenschutzbestimmungen gemäß TMG & Co.

Wenn dir das nicht passt, dann darfst du gern nach Kasachstan auswandern.