Speichern die Provider die MAC ab?

[Kaito]

Guten Tag
Ich wollte nur so mal Bescheid wissen, wenn ich jetzt z.B im Internet bin, ob die Provider dann durch die IP Adresse irgendwelche MAC loggs abrufen können, um zu wissen, welche MACs mit dieser IP sich verbunden haben. Oder speichert nur der eigene Router die MAC ab?

[Sky.NET]

Jeder NIC hat eine MAC, die MAC ist fundamentaler Bestandteil des TCP/IP-Protokolls.
Ich rate dir mal den Artikel zum ISO/OSI 7-Schichten Modell auf Wikipedia durchzulesen.

Dein Router hat dementsprechend auch eine MAC-Addresse.
Die MAC deines Rechners wird ausserhalb deines eigenen Netzes nicht benötigt und daher auch nicht übertragen, es sei denn eine Software liest sie aus und gibt sie auf einem anderen OSI-Layer weiter, auf dem eigentlichen Layer, welcher die MAC benötigt, wird dies nicht gemacht.
Deine Router-MAC sehen auch nur Geräte im Providernetzwerk, ob die die MAC speichern weiß ich nicht, da ich deinen Provider nicht kenne...
Da man zusätzlich zu obiger Tatsache mittlerweile die MAC sogar einfacher als IPs ändern kann erschließt sich mir der Sinn deiner Frage nich.

Von vielen IT-Laien wird die MAC immer als Steigerung der IP gesehen, weil sie irgendwann mal was in den falschen Hals bekommen haben.

[freulein]

Hintergrund der Frage ist vielleicht, ob die Provider im Zusammenhang mit der vorgeschriebenen Vorratsdatenspeicherung auch filigran erkennen können, welche Rechner im privaten Netz welchen Traffic hatten.

Soweit ich weiß, ist die gesetzliche Regelung zur Vorratsdatenspeicherung durch Provider, was Internetzugänge angeht, folgende:

Anbieter von Internetzugangsdiensten speichern

- die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse
- eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt
- den Beginn und das Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone

Das Problem ist, daß "eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt" ein wenig mißverständlich ist. Ist das die MAC-Adresse des Routers, oder ist das die MAC-Adresse des Endgerätes im privaten Netz? Daß diese MAC-Adresse nicht direkt beim Provider abgegriffen werden kann, ist zwar das eine, aber der Router kennt sie, und der Provider kann den Router konfigurieren... wenn der Provider nicht nur Daten zum Router schicken kann, sondern auch Daten aus dem Router auslesen kann, bestünde rein theoretisch die Möglichkeit, daß er sich auch MAC-Adressen von Endgeräten besorgt, die nicht in den Internetprotokollen vorkommen.

Auf der anderen Seite darf man nicht vergessen, daß die Vorratsdatenspeicherung etwas ist, was die Provider ohnehin nur zähneknirschend überhaupt machen, weil sie es müssen. Sie haben keine Vorteile davon, es verursacht nur Kosten. Ich glaube daher nicht, daß sie aus eigenen Stücken über die vom Gesetz vorgeschriebenen Protokollierungen hinausgehen werden. Und vom Wortlaut des Gesetzes her könnte man auch sagen, daß die Speicherung der MAC-Adresse des Routers völlig ausreicht, um die gesetzlichen Vorgaben zu erfüllen.

Ich glaube daher nicht, daß die Provider sich bemühen, irgendwie an MAC-Adressen von Endgeräten heranzukommen und diese zu protokollieren, da das nur Mühe macht, aber keinen Nutzen hat.

[Sky.NET]

Du bist nicht mehr auf dem Laufenden freulein, die Vorratsdatenspeicherung wurde vor JAHREN als verfassungswidrig erklärt und instant abgeschafft.

[Kaito]

Danke für eure Erklärung
Die Frage kam gerade nur so an, weil mich halt nur interessiert, ob eine Person, die mit ihrem Gerät auf fremden Router bestimmte aktivitäten gemacht hat, zurückverfolgt werden kann, da der Router ja die MAC dieses Gerätes abspeichert und der Provider die Router konfigurieren kann, wie ihr schon beschrieben habt. Also kann er ja dann auch auf die MAC von dem Computer oder Smartphone rankommen, wie ihr bereits auch erklärt habt das mit der MAC von dem Endgerät.
Nur so zur info xD

Ich wollte jetzt nix verbotenes tun. War nur ne Frage zu der Anonymität.

Und noch eine Frage zu dem, was freulein zu der MAC rückverfolgung von Endgeräten beschrieben hat:

Wenn es um etwas ernstes geht, dann müssen die Provider doch wohl sich dazu bemühen, um an die MAC des Endgerätes ranzukommen und wiederum durch die MAC von Endgerätes an die DSL IP Adresse von dieser Person rankommen, um sie aufzufinden, oder?

[freulein]

@Sky.NET,

ooops, sieht aus, als hast Du recht. Peinlich... ok, was ich zitierte, galt bis 2010, dann wurde es scheinbar abgeschafft. Da frage ich mich bloß... es wird in den Medien immer wieder von Fällen berichtet, daß IP's zurückverfolgt werden konnten zu Personen, die dann haftbar gemacht wurden. Also etwa nimmt jemand an P2P-Austausch von Filmen teil, und anschließend kommen die Abmahnungen. Oder auch bei boerse.bz greifen die Behörden ip's ab, und wenig später stehn sie bei den betreffenden Personen auf der Matte. Da frage ich mich: Wie machen die das? Wie kommt man von der ip zu einer Wohnadresse, wenn die Provider diese Daten nicht abgespeichert haben?

@Kaito,

das was Du beschreibst scheitert schon an vielen Hürden. Erstmal ist es so, daß die Router ja die benötigten Daten nicht historisch loggen. Die Router, die ich kenne (und ich kenne einige), speichern nur die letztverteilte IP zur MAC. Die kann sich aber ständig ändern, denn in der Regel wird die IP ja an die Geräte dynamisch vergeben. Wenn aber vor drei Wochen jemand mit der IP sagen wir 192.168.0.10 Unsinn gemacht hat, aber jetzt ist seine MAC im Routerlog mit 192.168.0.11 verknüpft, und 192.168.0.10 wurde inzwischen einem ganz anderen Gerät, mit anderer MAC zugewiesen, dann würde man ja ein völlig falsches Gerät bzw. dessen Nutzer verdächtigen. Übrigens verschwinden auch die MAC-IP Verknüpfungen bei vielen Routern aus dem Log nach einiger Zeit, d.h. wenn eine IP- Reservierung für das Gerät abgelaufen ist. Mit der Verknüpfung verschwindet aber auch die Information, daß das Gerät mit der betreffenden MAC jemals etwas über den Router gemacht hat. Die Provider müssten also praktisch alle paar Minuten diese Daten vom Router abfragen.

Zweitens glaube ich, daß man als Nutzer den Zugriff auf die Logs der Router auch sperren kann. Sicher bin ich mir da nicht, aber wenn der Zugriff nur über Fernwartung möglich ist, dann kann man die blockieren. Ich weiß aber nicht genau, ob es noch andere Zugriffsmöglichkeiten gibt, und kann die daher nicht ausschließen.

Zweitens ist nicht ganz klar, wie jemand von einer MAC zur Wohnadresse kommen soll. Das ginge praktisch nur dann ohne Probleme, wenn ALLE Provider dieses MAC-Sniffing betreiben würden (und die Daten den Behörden zur Verfügung stellen würden). Wenn etwas über einen bestimmten Router sagen wir über den Provider Deutsche Telekom geht, das kriminell ist, und die DT hätte die MAC... dann müsste sie ja jetzt herausfinden, an welchem anderen Wohnsitz der Besitzer der MAC wohnhaft ist, wenn der im DT-Router fremd unterwegs war. Die Telekom müsste also herausfinden, bei welchen ANDEREN Kunden diese MAC noch gesichtet worden ist. Was aber, wenn der Besitzer des Gerätes mit der besagten MAC bei einem ganz anderen Provider ist? Die Telekom müsste also alle anderen Provider fragen: Sagt, mal, habt ihr irgendwo schonmal die MAC soundso abgegriffen? Dann käme am Ende eine Liste von Wohnadressen raus von Netzen, in denen die MAC schonmal unterwegs war. Wenn der betreffende User aber selber gar keinen Internetzugang hat, wird seine Wohnadresse auf der Liste fehlen.

Aber, wie gesagt, Entwarnung... kein Provider macht so einen Quark, wazu denn. Was anderes sind natürlich die Geheimdienste... das kann durchaus sein, daß die über Routerbackdoors oder Trojaner auf Datensammelei gehen, also u.a. auch MAC-Adressen sammeln. Wenn es dann noch ein Gerät mit GPS ist, kann die Ortung am Ende noch viel einfacher sein, als daß man irgendwelche Provider bemühen müsste...

[Sky.NET]

@Freulein
TKG - Einzelnorm
Die Provider dürfen die IP-Datensätze bis zu 6 Monate speichern, läuft innerhalb dieser Zeit eine Ermittlung gegen dich an, so ist der Provider bei einem vorliegenden Gerichtsbeschluss dazu verpflichtet diese heraus zu geben.
Hat also erstmal nichts mit der VDS zu tun.
Mit ein bisschen Recherche konnte ich eine Liste (Stand 2012) finden wo man sehen kann welcher Provider wie lange speichert:

Anbieter	Speicherungszeit (in Tagen)
Deutsche Telekom AG	7
Alice/O2/HanseNet	7
1&1	7
Net Cologne	4
Kabeldeutschland	2
Vodafone	Speichert nicht (haha mein Provider beste xD)

@Kaito
MACs werden im Router gespeichert, wenn du also mit einem von dir gekauften und beim Hersteller registrierten Latop irgendeinen Shit in fremden WLAN-Netzen baust, der wirklich heftig ist, dann finden die dich anhand der MAC im Router, weil diese MAC dann beim Hersteller erfragbar ist.

[freulein]

@Sky.NET,

danke für die Info. Aber ob man das VDS nennt oder nicht ist Geschmackssache. VDS heißt ja, die Verbindungsdaten nicht anlaßbezogen auf Vorrat zu speichern... und genau das passiert hier ja gerade, mit der Ausnahme Vodaphone. Mit der alten VDS hat das nur insofern nichts zu tun, daß keine Pflicht mehr besteht, es ein halbes Jahr o.ä. zu speichern. Warum es aber überhaupt gespeichert wird, wenn auch nur für 7 Tage, ist mir ein großes Rätsel. Wieso machen die Provider hier etwas, was viel Geld kostet, was sie aber eigentlich vom gesetzlichen her gar nicht machen müssten? Ich kann mir das nur so vorstellen, daß sie die Infrastruktur für dieses Speichern noch von damals haben, als sie noch zur VDS verpflichtet waren, und immer noch die Möglichkeit besteht, daß sie diese Infrastruktur später mal benötigen, wenn etwa ein EU-Gesetz zu einer Vorratsdatenspeicherung gemacht wurde, was ja geplant ist. Da ist es weniger Aufwand, die Speicherung mit halber Kraft weiterlaufen zu lassen als erst die Hardware dafür abzubauen, um sie später wieder aufzubauen zu müssen.

Im Angesicht des Status Quo halte ich es für extrem unwahrscheinlich, daß die Provider sich noch damit abgeben, irgendwelche MACs auszuspionieren und abzuspeichern... um sie dann nach 7 Tagen wegzuwerfen.

Ansonsten würde ich Hardware wie etwa einen Laptop NIEMALS beim Hersteller mit echtem Namen und echter Wohnadresse registrieren. Wozu soll das gut sein, sollen die Briefe schicken? Eine Fake-EMail und ein Fake-Name reicht völlig aus, um die gelegentlichen Mitteilungen zu bekommen, für die man sich überhaupt nur registriert. Es sollte also kein Hersteller gleichzeitig die MAC meiner Hardware UND meine Wohnadresse kennen. Hat man denn mal den Lappi dummerweise so registriert, dann kann man sich ja einen WLAN-Stick reinstecken, den man ja wohl nicht registriert haben wird. Der hat dann ne andere MAC. Ansonsten ist davon abzuraten, überhaupt in fremden WLANs einzubrechen, da es kriminell ist.

Ansonsten habe ich festgestellt, daß es auch Router gibt, die die Verbindung MAC zu IP nur dann speichern, wenn die IP über das eingebaute DHCP vergeben wird, fällt mir gerade ein. Bei solchen Routern wird die MAC nicht geloggt, wenn dessen IP dadurch vergeben wurde, daß sie von einem WLAN-Client beim Anmelden "static" vorgegeben wurde. Ein Provider kann eine solche MAC m.E. nicht abgreifen, selbst wenn er den Router auslesen kann.

[Sky.NET]

Jetzt wirst du etwas paranoid.
1. Bezieht sich die VDS auch auf VERBINDUNGSDATEN, also ALLES was du so den lieben langen Tag im Netz machst
2. Gibt es die VDS nicht mehr seit 4 Jahren
3. Speichern die Provider teilweise aus technischen Gründen die IPs (welche das sind bitte bei der Pressestelle des entsprechenden Providers oder bei internen Mitarbeitern der Technik erfragen) ich gehe mal davon aus, dass dies etwas mit Analyse bei Störungen usw zu tun hat.
4. Sind IPs nicht annähernd so kostenintensiv bei der Speicherung wie der GESAMTE Traffic den ein Benutzer verursacht, du vergleichst grade also Fliegendreck mit Elefantenkothaufen.

Im Angesicht des Status Quo halte ich es für extrem unwahrscheinlich, daß die Provider sich noch damit abgeben, irgendwelche MACs auszuspionieren und abzuspeichern... um sie dann nach 7 Tagen wegzuwerfen.

Im Gegenteil, der Provider hat überhaupt kein Interesse an sowas, wie man an der Heulerei gesehen hat als damals die VDS durchgesetzt wurde.
Der Provider will alles andere als auch nur ein Byte nicht gewinnbringend zu speichern, und du kannst davon ausgehen, dass kein Provider in Deutschland irgendwelche deiner Verbindungsdaten an Werbetreibende weitergibt, das würde ihn im Falle dass es rauskommt (und ALLES kommt irgendwann raus! wirklich ALLES, siehe Snowden, und ein Provider ist KEIN Geheimdienst!) 3-stellige Millionenbeträge an Strafe kosten + nachhaltig seinen Ruf komplett versauen.

Ein Provider kann eine solche MAC m.E. nicht abgreifen, selbst wenn er den Router auslesen kann.

Doch kann er, Kabelnetzbetreiber identifizier(t)en teilweise anhand der MAC ihre Kunden (Stichwort Routerzwang)
Und wer Zugriff auf einen Router hat KANN auch IMMER die MAC auslesen, mir wäre nur schleierhaft was dein Provider mit deiner MAC will, wenn diese nicht gerade beim Einwahlverfahren verwendet wird.

[freulein]

@Sky.Net,

teilweise hast Du leider unrecht. Wie in Vorratsdatenspeicherung – Wikipedia steht:

"Das „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“[41] regelte vom 1. Januar 2008 bis zum 2. März 2010 die Vorratsdatenspeicherung."

Dabei ist dort auch aufgeführt, was diese Vorratsdatenspeicherung beinhaltet. Für Internetverbindungen war es genau das, was ich weiter oben zitiert habe... nämlich die Speicherung jeder IP-Vergabe des Providers an einen Router mit Datum/Uhrzeit und Vergabelänge... mehr nicht. Ja, auch das wird schon Vorratsdatenspeicherung genannt. Was von dieser IP dann an Traffic ausgeht, das kann niemand verlangen, daß Provider das auch noch protokollieren, weil dabei völlig irre Datenmengen anfallen würden... ich denke, das war niemals angedacht, und wird daher auch niemals kommen. Daß aber eine ähnliche Vorratsdatenspeicherung über Europa wiederkommen kann, wie wir sie schon einmal hatten, scheint mir noch nicht vom Tisch.

Beim Routerzwang reicht es aus, die MAC-Adresse des Routers zu bestimmen (und abweichende Hersteller-MACs dann nicht zu erlauben). Klar, daß die immer vorhanden ist. Wenn aber im Router die MAC eines WLAN-Clients nirgends abgespeichert wird, wie das bei Umgehung von DHCP bei einigen Routern der Fall ist, ist es sehr die Frage, ob diese MACs über Statusabfragen via Fernsteuerprotokoll TR-069 abgefragt werden können. Über Logabfragen allerdings garantiert nicht, da sie in den Logs nicht drinsteht... also wären nachträgliche MAC-Abfragen unmöglich, d.h. der Provider müsste alle paar Minuten Statusabfragen senden um auch Kurzfristclients "mitzubekommen"... unwahrscheinlich. Aber TR-069 erlaubt auch remote Firmwareaufspielungen... damit könnten dann Provider spätestens einen Totalspion installieren.

Wer also sichergehen will: Provider ohne Routerzwang suchen, Router-Hardware kaufen, die OpenWRT kompatibel ist, und die Firmware selber kompilieren, nachdem man genau studiert hat, was sie macht, und was nicht, bzw. ggf. unerwünschte Funktionalität rausgenommen hat.

Es scheint mir allerdings bequemer zu sein, einfach nichts im Internet zu machen, weswegen jemand die Polizei vorbeischicken kann.