Missbrauchsfilter – Eine Möglichkeit für Administratoren den Datenschutz in der Wikipedia zu umgehen

Die Einsicht von IP Adressen ist per Gesetz Wikipedistans nur einem eng begrenzten Personenkreis erlaubt: den sogenannten Checkusern. Mittels des sogenannten Missbrauchsfilters kann die IP beliebiger angemeldeter Benutzer eingesehen werden.

Die sogenannte „Checkuser“-Funktion der Wikipedia ist mit nicht unerheblichen Datenschutzeingriffen verbunden. Die von einem Benutzer verwendeten IP-Adressen sollen daher nur für fünf speziell für diesen Zweck gewählte Checkuser-Beauftragte in der Wikipedia einsehbar sein. Dies ist auch noch explizit auf der Datenschutzseite der deutschen Wikipedia garantiert.

Sollten sie. Wenig bekannt ist, dass einigen hundert Administratoren über den sogenannten Missbrauchsfilter ebenfalls die Möglichkeit geboten wird, die IP-Adressen angemeldeter Benutzer einzusehen.

Die Details eines Filtereintrags sind in den Standardeinstellungen nur für Administratoren einsehbar. Sie beinhalten die vorgenommene Aktion, den Benutzernamen und einen Zeitstempel. Darüber hinaus wird in den Details eines Vermerks im Abschnitt „Private Daten“ die  IP-Adresse des Benutzers ebenfalls quasi-öffentlich gemacht.

Ein Beitrag auf der Seite für  Checkuseranträge deutet darauf hin, dass diese Möglichkeit den Datenschutz zu umgehen in der Wikipedia auch tatsächlich benutzt wird. Ein Benutzer schrieb dort:

„Im übrigen ist durch die Difflinks der Mißbrauchsfilter […], der leider seit Neustem nur von Adminitratoren eingesehen werden kann (und was ich leider an dieser Stelle aus Transparentgründen kritisieren muß), eindeutig hervorgegangen, dass Du und [Benutzername gelöscht] identisch seid.“

Missbrauchsfilter Details

Das Missbrauchsfilter Logbuch zeigt eine Liste aller Aktionen, die durch einen Filter aufgefangen wurden. Die für Administratoren einsehbaren Details legen private Daten offen

3 Gedanken zu „Missbrauchsfilter – Eine Möglichkeit für Administratoren den Datenschutz in der Wikipedia zu umgehen

  1. Der Screenshot stammt nicht aus der Wikipedia. Dort ist diese Anzeige für Administratoren deaktiviert. Es ist also nicht, wie hier dargestellt, grundsätzlich möglich, IP-Adressen angemeldeter Benutzer einzusehen.

    Bei dem von K. verlinkten Logeintrag ist folgendes passiert: Es war versucht worden, einen Beitrag unangemeldet abzusetzen. Dabei wird die IP gespeichert und normalerweise öffentlich angezeigt, und das ist dem Benutzer bekannt. In diesem Fall war es aber so, dass der Filter angeschlagen hat und die Änderung verboten hat. Als der Benutzer gemerkt hat, dass er den Beitrag nicht absenden kann, hat er sich eben angemeldet und es dann noch mal probiert – und dadurch konnte in diesem Einzelfall eine Verbindung zwischen IP und Benutzername hergestellt werden.

  2. Es wurde nie behauptet, dass der Screenshot in der Wikipedia erstellt wurde. Die Die Software wurde aber für die Wikipedia entwickelt. Das Feature der Speicherung der IP-Adresse auch von angemeldeten Benutzern wurde mit entwickelt.

    Es ist nicht offen gelegt, dass das Feature nicht benutzt wird. Ebenfalls ist nicht dokumentiert, welche Anforderung (und von wem) zur Implementierung dieses Features führten.
    Der Einsatz der Software (Abuse Filter) ist sehr wohl dokumentiert; siehe Wikipedia Spezialseiten (http://de.wikipedia.org/wiki/Spezial:Version)

    Bezüglich des Zitats wird nicht die Ansicht aufeinander folgender Anmeldungen mit nicht eindeutigem Zusammenhang beschrieben, sondern eine „eindeutige“ Identifizierung.

    Aber auch bei nicht eindeutigem Zusammenhängen erlaubt der Filter, wie Du selber beschreibst, aufgrund des Anmeldeverhaltens für Administratoren Rückschlüsse auf die IP von angemeldeten Benutzern. Insofern Danke für diesen Hinweis.

  3. Gespeichert werden die IP-Adressen von angemeldeten Benutzern sowieso. Das ist unabhängig von den Missbrauchsfiltern (sonst wäre z.b. CheckUser gar nicht möglich). Sie sind aber nicht für jeden einsehbar, auch nicht für die Admins, sondern nur für Leute mit Datenbankzugang (das sind soweit ich weiss die Entwickler) und eben die CUs. Auch andere Software (Blogs, Foren) kann übrigens regelmäßig IP-Adressen speichern. Es würde mich nicht wundern, wenn du mit einem Blick in die Datenbank deines Webservers an meine IP kommen würdest…

    Dass die Funktion in Wikipedia nicht genutzt wird steht in der Konfigurationsdatei. Einsehen kannst du sie hier: http://noc.wikimedia.org/conf/highlight.php?file=abusefilter.php
    Die entsprechende Berechtigung heisst laut Handbuch abusefilter-private.

    Ansonsten kann das natürlich auch jeder Admin nachprüfen. Wenn es einen gibt, dem du vertraust, frag doch den mal, ob er bei gefilterten Beiträgen angemeldeter Benutzer die IP einsehen kann.

    Ich halte die Identifizierung in dem Fall schon für recht eindeutig. Der Benutzer wollte einen Beitrag ausgeloggt absenden, das hat nicht geklappt. Wenige Sekunden später hat er angemeldet einen wörtlich identischen (!) Beitrag abgeschickt. Die Wahrscheinlichkeit, dass das Zufall ist, ist schon ziemlich gering.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.