… oder “da könnt ja jeder kumman?!”

Eine Einleitung #

Sicherheit? #

“Security through Obscurity” oder auf Deutsch “Sicherheit durch Obskurität” ist ein Prinzip aus der IT-Sicherheit. Wenn man diesem Prinzip folgt, versucht man die Sicherheit zu gewährleisten, indem man die Funktionsweise des Systems geheim hält. Die Idee wird weitgehend abgelehnt, da ein sicheres System sicher ist - unabhängig davon, ob offen ist, wie es funktioniert.

Daher empfiehlt auch das National Institute of Standards and Technology, eine der wichtigsten Normungsinstitutionen, das gegenteilige Prinzip - “Sicherheit durch Transparenz” - anzuwenden1.

Das wurde auch flächendeckend im Netzwerkbereich umgesetzt. Open-Source-Software wie der Linux Kernel (UNIX und Linux-Systeme haben auf Servern einen Markteinteil von 90 %2. Alle 500 der Top-Supercomputer verwenden ein Linux-Betriebssystem3, sowie beinahe alle Router, Switche und andere Netzwerkgeräte), die Webserver Apache, Nginx und OpenResty (Marktanteil zusammen knapp 45 %4, weitere 21 % entfallen auf Cloudflare und Google, welche ebenfalls Open-Source-Software einsetzen) folgt diesem Prinzip, da der Quellcode für alle einsehbar ist. WordPress, Joomla, Drupal und Typo3 sind ebenfalls Open-Source. Jedes moderne, als sicher geltendes kryptografisches Verfahren wie AES, RSA oder ECDSA ist nicht darauf angewiesen, dass die Funktionsweise geheim ist. Die Verfahren sind standardisiert, die Standards öffentlich. Unsere moderne Welt ist fast komplett aus offenen Standards und offener Software zusammengebaut.

IP-Adressen #

Eine IP-Adresse identifiziert einen Computer in einem IP-Netzwerk, wie dem Internet. Sie sind sozusagen die Postadresse eines Computers, die er auf ein Datenpaket schreibt, das an einen anderen Computer geschickt wird. So weiß der andere Computer, wohin die Antwort gehen soll. Eine IP-Adresse wäre z.B. 37.27.233.254 für Version 4 des Standards oder 2a01:4f9:3100:220b::2 für Version 6. Weil sich das niemand merkt, gibt es das DNS-System, mit dem Domainnamen (wie blog.sebastian-elisa-pfeifer.eu) auf IP-Adressen übersetzt werden. Wenn du im Browser die Adresse meines Blogs aufrufst, schickt dein Computer zuerst eine Anfrage an einen DNS-Server, bekommt von dort die IP-Adresse meines Servers, und schickt dann die Anfrage an meinen Server. Mein Server sieht, woher die Anfrage kommt, und schickt die Antwort zurück. Das bedeutet auch, dass jede Webseite, die du aufrufst, deine IP-Adresse kennt. Weil es nur einen begrenzen Raum an IP-Adressen gibt, gibt es ein Verfahren, das man “Network Address Translation” nennt. Hier teilen sich mehrere Computer nach “außen” eine IP-Adresse. Das kennst du wahrscheinlich von daheim, da sagt dir dein Computer, dass deine IP-Adresse mit 10, 192 oder 172 beginnt, eine Webseite zeigt dir aber eine ganz andere. Diese speziellen Bereiche tauchen im Internet nicht auf. Das heißt also, dass eine Webseite nicht über die IP-Adresse weiß, ob gerade du sie aufgerufen hast, dein Mitbewohner oder dein Freund, der gerade in deinem WLAN angemeldet ist.

IP-Adressen werden in Blöcke zusammengefasst. Das nennt man dann IP-Range. Diese können verschieden groß sein und werden so geschrieben: 217.149.228.0/23. Das bedeutet, dass der Bereich von 217.149.228.0 bis 217.149.229.255 zusammengefasst wurde.

IP-Adressen, die du von deinem Internetanbieter bekommst, können statisch oder dynamisch sein. Bei Privattarifen sind sie fast immer dynamisch und ändern sich in regelmäßigen Abständen. Bei Businesstarifen sind sie dagegen in der Regel statisch zugewiesen. Viele Internetanbieter vermerken in den WHOIS-Informationen, wem sie den Bereich zugewiesen haben. Diese Informationen sind öffentlich. Nehmen wir als Beispiel die IP-Adresse 212.183.8.186. Wir führen eine WHOIS-Abfrage durch und bekommen dieses Ergebnis:

inetnum:          212.183.8.176 - 212.183.8.191
netname:          AK-SALZBURG-AT
descr:            Arbeiterkammer Salzburg
descr:            Markus Sittikus Strasse 10
descr:            5020 Salzburg
country:          AT

Der Bereich 212.183.8.176 - 212.183.8.191 ist also der Arbeiterkammer Salzburg zugewiesen.

Na und? #

Wenn man auf Wikipedia Seiten bearbeitet, ohne ein Konto zu haben, wird die IP-Adresse gespeichert. Daher kann man nachvollziehen, welche Änderungen etwa aus den Netzwerken des Magistrats der Stadt Wiener Neustadt oder des Bundesministeriums für Inneres vorgenommen werden. Jemand beim Bundesministerium für Landesverteidigung ist anscheinend auch ein großer Fan von Kirchenorgeln (verstehe ich), und aktualisiert regelmäßig aus der Arbeit Artikel darüber. Jemand bei der Österreichischen Akademie der Wissenschaften pflegt keinen guten Umgangston und wird regelmäßig beleidigend.

Viele dieser Bearbeitungen sind sinnvoll und von hoher Qualität, kommen sie doch direkt aus der Quelle. Sie spiegeln auch wider, womit sich wichtige politische Institutionen beschäftigen. Es gibt daher mehrere Projekte, welche die aktuellen Änderungen auf Wikipedia automatisch auf Änderungen aus bestimmten IP-Bereichen überprüfen. Ein solches habe ich auch gestartet. Zusätzlich zu den Bereichen, die ich selbst aus öffentlichen Quellen gesammelt habe5, habe ich verschiedene Stellen gefragt, welche IP-Bereiche ihnen statisch zugewiesen sind. Durch das am 01.09.2025 in Kraft getretene Informationsfreiheitsgesetz habe ich, so wie alle anderen auch, prinzipiell ein Recht auf Zugang zu Informationen, auch zu diesen. Das sehen aber nicht alle so.

pie title Anfragen
    "Auskunft erteilt" : 57
    "Antwort noch offen": 2
    "Auskunft verweigert (Sicherheitsbedenken)" : 6
    "Auskunft verweigert (anderer Grund)": 5
    "Information nicht vorhanden": 1

Fast niemand hat also ein Problem damit, uns ihre IP-Bereiche mitzuteilen. Besonders positiv hervorheben möchte ich hier das Land Salzburg und die Stadtgemeinde Baden. Auch gut finde ich, dass mich inzwischen fast niemand mehr “Herr Pfeifer” nennt.

Manche haben die Auskunft teilweise erteilt, so wie die Bildungsdirektionen für Salzburg, Burgenland und Kärnten, die “(…) aus Sicherheitsgründen keine Gesamtübersicht aller IP-Adressen [zur Verfügung stellen]”.

Und dann gibt es die, die mir gar nichts sagen. Das sind bis jetzt elf Stellen, von denen sechs Sicherheitsbedenken als Begründung angeführt haben. Auf der anderen Seite hat mir eine Stelle Auskunft gegeben, obwohl sie (wie sie selbst richtig angemerkt haben), gar nicht dem IFG unterliegen, und ich mich geirrt habe.

  1. Die Technologiezentren Burgenland GmbH
  2. Das Bundesministerium für Landesverteidigung
  3. Die Stadtgemeinde Bruck an der Mur
  4. Das Kuratorium für Psychosoziale Dienste in Wien
  5. Die Bauarbeiter-Urlaubs- und Abfertigungskasse
  6. Die Österreichische Akademie der Wissenschaften
  7. Die Interface Wien GmbH
  8. Die Wiener Sportstätten Betriebsgesellschaft m.b.H.
  9. Die Landeshauptstadt Innsbruck
  10. Die Burgtheater GmbH
  11. Die Flughafen Graz Betriesb GmbH

Sicherheitsbedenken #

Technologiezentren Burgenland GmbH #

Die Technologiezentren Burgenland GmbH steht zu 99,1 % im Eigentum des Landes Burgenland (weitere 0,9 % halten gemeinsam die Stadtgemeinden Güssing, Pinkafeld und Neusiedl am See und die Gemeinde Neutal). Laut ihrer Eigenbeschreibung vereinen sie Innovation und Kompetenz, die Haupttätigkeit ist die Vermietung von Büroräumen.

Die Herausgabe von IP-Adressbereichen oder statischen IP-Adressen birgt grundsätzlich ein erhebliches Sicherheitsrisiko. Solche Daten ermöglichen Rückschlüsse auf interne Netzstrukturen und können Angreifern helfen, gezielt Systeme zu identifizieren und zu attackieren.

Die Netz- und Sicherheitsstrukturen unseres Unternehmens sind wesentlich für den Schutz der ansässigen Betriebe, Mieter und Miteigentümer. Eine Offenlegung würde Angriffe oder Spionage erleichtern und könnte erhebliche wirtschaftliche Schäden verursachen.

Die Informationen werden demnach zur Aufrechterhaltung der Sicherheit unserer Infrastruktur gemäß § 6 Abs 1 Z 4 IFG, zur Abwehr eines erheblichen wirtschaftlichen oder finanziellen Schadens gemäß § 6 Abs 1 Z 6 IFG sowie aufgrund unserer überwiegenden berechtigten Interessen, insbesondere Betriebs- und Geschäftsgeheimnisse gemäß § 6 Abs 1 Z 7 lit b IFG nicht erteilt.
Technologiezentren Burgenland GmbH

So wie von mir vorher beschrieben findet man allerdings zumindest Teile des IP-Bereiches der Technologiezentren Burgenland GmbH, und dieser lautet 195.230.171.0/27. Davon abgesehen, dass es an sich keinen Sinn ergibt, diese Informationen geheim zu halten, ist es noch weniger nachvollziehbar, wenn man berücksichtigt, dass ein Teil dieser Informationen sowieso schon öffentlich ist. Mehrere andere Unternehmen in diesem Verband hatten auch kein Problem damit, mir die gewünschte Auskunft zu erteilen. Immerhin haben sie per E-Mail geantwortet, wenn auch die Antwort ein gescanntes PDF war. Barrierefreiheit im Jahr 2025. Auf eine weitere Nachfrage haben sie mir ein /24 (das entspricht 256 Adressen) mitgeteilt, in dem sich ihre öffentliche IP-Adresse befindet.

Wiener Sportstätten Betriebsgesellschaft m.b.H. #

Die haben sich extra einen Anwalt geleistet, der mir mitgeteilt hat, dass die Auskunft nicht erteilt wird, weil die Informationen geheim sind, weil sie geheim sind.

Unpräjudiziell weiterer Gründe für die Nichtgewährung des Informationszugangs unterliegen die von Ihnen begehrten Informationen der Geheimhaltung (§ 13 Abs 2 IFG) und es überwiegen die Interessen an der Geheimhaltung jenen an der Erteilung der begehrten Information.
Wiener Sportstätten Betriebsgesellschaft m.b.H.

Bundesministerium für Landesverteidigung #

Einen ähnlichen Ansatz verfolgt auch das Bundesheer, das sich die Antwort als RSa über 10 € hat kosten lassen, anstatt per E-Mail zu antworten.

Gemäß § 6 Abs. 1 IFG unterliegt die von Ihnen begehrte Information der Geheimhaltung. Nicht zur Veröffentlichung bestimmt und auch nicht auf Antrag zugänglich zu machen sind demzufolge nämlich Informationen, soweit und solange dies
- im Interesse der nationalen Sicherheit
- im Interesse der umfassenden Landesverteidigung, insbesondere der militärischen Landesverteidigung
erforderlich ist.

Die Kenntnis konkreter IP-Adressen bietet ua. auch die Möglichkeit von Angriffsvektoren im Cyberraum, aus Sicherheitsgründen sind sie daher geheimzuhalten
Bundesministerium für Landesverteidigung

Hilfe, sie haben Cyber gesagt!!!11!!!einself

Nehmen wir wieder öffentlich verfügbare Informationen. Hier gibt es zwei große Bereiche, die dem Heeres-Datenverarbeitungsamt zugewiesen sind, 193.171.152.0/22 und 193.171.154.0/24. Der Großteil der Systeme scheint Serversysteme zu sein, es gibt Webserver, ein paar Firewalls und Server für Internettelefonie. Das “Informationsoffizier-Informationssystem” wird dort gehostet, der Katalog der Militärbibliothek, das Webmail oder auch das BMLV PVP Stammportal. PVP steht hier für Portalverbundprotokoll, welches im österreichischen Portalverbund zum Einsatz kommt. 193.171.154.0/24 hat keine nach außen sichtbare Dienste und scheint daher intern verwendet zu werden.

Dann gibt es noch viele kleine Bereiche, die dem BMLV zugeordnet werden können. Teilweise sehr genau. Nochmal zur Erinnerung: Das sind alles öffentliche Informationen.

Zuordnung IP-Bereich
Abhörstation Kohlreith-Bunker 91.112.172.200/29
Amtsgebäude Garnisonstraße (Linz) 80.122.56.228/30
Amtsgebäude Schwenkgasse (Wien) 188.20.83.236/30
Amtsgebäude Stiftgasse (Wien) 80.123.116.20/30
Amtsgebäude Stiftgasse (Wien) 80.123.116.148/30
Amtsgebäude Stiftgasse (Wien) 80.123.212.1/32
Amtsgebäude Stiftgasse (Wien) 88.116.225.244/30
Amtsgebäude Stiftgasse (Wien) 91.112.16.56/30
Amtsgebäude Stiftgasse (Wien) 91.112.24.32/29
Amtsgebäude Vorgartenstraße (Wien) 80.122.114.168/30
Belgier-Kaserne 80.122.21.160/30
Benedek-Kaserne 80.123.98.96/30
Birago-Kaserne 88.117.243.64/30
Birago-Kaserne 88.117.243.76/30
Bolfras-Kaserne 88.117.243.44/30
Bolfras-Kaserne 88.117.243.48/30
Burstyn-Kaserne 88.116.224.148/30
Dabsch-Kaserne 178.188.152.108/30
Erzherzog Johann-Kaserne 88.117.172.116/30
Fliegerhorst Hinterstoisser 80.122.19.76/30
Fliegerhorst Leopold Figl 80.123.114.104/30
Fliegerhorst Leopold Figl 88.117.214.112/30
Fliegerhorst Leopold Figl 178.189.54.80/30
Fliegerhorst Leopold Figl 188.21.82.44/30
Flugfeld-Kaserne 80.123.98.196/30
Haspinger-Kaserne 88.117.237.188/30
Heeresgeschichtliches Museum 80.121.252.16/30
Heeresleistungssportzentrum Dornbirn 80.123.203.20/30
Heeresleistungssportzentrum Linz 88.116.70.108/30
Hensel-Kaserne 80.120.226.112/30
Hubschrauberstützpunkt Vomp 88.116.195.96/30
Kaserne Arsenal 178.188.157.64/30
Khevenhüller-Kaserne 80.122.218.180/30
Kommandogebäude FM Hess 80.123.94.228/30
Kommandogebäude FM Hülgerth 88.116.88.132/30
Krobatin-Kaserne 80.120.47.104/30
Krobatin-Kaserne 80.122.228.56/30
Lager Kaufholz 178.188.23.40/30
Landwehr-Kaserne 80.120.221.184/30
Laudon-Kaserne 80.122.218.204/30
Lutschounig-Kaserne 88.117.187.192/30
Martin-Kaserne 88.116.130.136/30
Maximilian-Kaserne 80.121.181.160/30
Maximilian-Kaserne 91.113.244.48/30
Militärische Liegenschaft Breitensee 88.116.224.176/30
Montecuccoli-Kaserne 91.112.91.220/30
Munitionslager Hieflau 188.20.179.184/30
Raab-Kaserne 80.123.86.100/30
Radetzky-Kaserne 178.188.23.36/30
Rossauer Kaserne 91.112.214.64/28
Sanitätslager Eisenerz 88.116.62.24/30
Seminarzentrum Reichenau an der Rax 188.21.187.36/30
Seminarzentrum Seebenstein 188.21.183.212/30
Standschützen-Kaserne 80.122.67.160/30
Starhemberg-Kaserne 80.120.55.112/30
Starhemberg-Kaserne 80.120.158.228/30
Stollenanlage Perneck 80.122.62.96/30
Strucker-Kaserne 93.83.25.204/30
Theresianische Militärakademie 80.121.190.96/30
Theresianische Militärakademie 91.113.246.24/29
Towarek-Schul-Kaserne 80.123.252.220/30
Towarek-Schul-Kaserne 88.116.178.48/30
Truppenübungsplatz Seetaleralpen 178.188.172.200/30
Türk-Kaserne 80.122.213.4/30
Von der Groeben-Kaserne 88.117.216.120/30
Wallenstein-Kaserne 91.113.245.160/29
Wallner-Kaserne 80.122.243.28/30
Wallner-Kaserne 88.116.42.124/30
Zehner-Kaserne 88.117.255.140/30

Andere Gründe #

Hier werden keine Sicherheitsbedenken, sondern rechtliche Gründe angeführt. Die Bauarbeiter-Urlaubs- und Abfertigungskasse meint, dass sie mir keine Auskunft geben müssen, weil ich kein Mitglied der BUAK bin. Die Österreichische Akademie der Wissenschaften behauptet nicht dem IFG zu unterliegen, und daher niemanden Auskunft erteilen zu müssen. Der Ansicht der BUAK kann man teilweise folgen, da ich wirklich kein Mitglied der BUAK bin. Ich habe mich aber nicht nur auf das IFG bezogen, sondern, durch meine gewisse Medienpräsenz, auch auf Artikel 10 der Europäischen Menschenrechtskonvention (EMRK), welcher weitere Zugangsrechte vorsieht.

Die Ansicht der ÖAW hingegen, nicht dem IFG zu unterliegen, ist sehr “spannend”, und wird sich in Kürze vor dem Verwaltungsgericht Wien zur Klärung finden. Auch hier habe ich mich übrigens nicht nur auf das IFG, sondern auch die EMRK bezogen.

Bauarbeiter-Urlaubs- und Abfertigungskasse #

Die BUAK ist ein gesetzlich eingerichteter Selbstverwaltungskörper. Als solcher kommt ihr eine Informationspflicht nach dem Informationsfreiheitsgesetz (IFG) ausschließlich ihren Mitgliedern zu. Mitglieder sind jede Betriebe, die Tätigkeiten gemäß § 2 BUAG ausüben, sowie Arbeitnehmer, die in diesen Betrieben gemäß § 1 BUAG beschäftigt sind. Eine Grundlage für die Informationserteilung liegt gegenständlich nicht vor.
Bauarbeiter-Urlaubs- und Abfertigungskasse

Österreichische Akademie der Wissenschaften #

Da die ÖAW nicht in den Anwendungsbereich des IFG fällt, müssen wir Ihnen mitteilen, dass wir Ihre Anfrage leider nicht weiter bearbeiten.
Österreichische Akademie der Wissenschaften

Burgtheater GmbH #

Die Geheimhaltung der von Ihnen begehrten Informationen ist zur Abwehr erheblicher Wirtschaftlicher oder finanzieller Schäden unserer Unternehms bzw. zur Wahrung von Geschäfts-/Betriebsgeheimnissen erforderlich (§ 13 Abs. 2 iVm § 6 Abs. 1 Z 6 und Z7 lit. b IFG). Ihre Offenlegung würde damit wesentliche Interessen unseres Unternehmens gefährden und darüber hinaus zu einer Beeinträchtigung unserer Wettbewerbsfähigkeit führen (§ 13 Abs. 2 IFG).
Burgtheater GmbH

Diese Verweigerung finde ich ganz spannend, da sie quasi einfach alle Verweigerungsgründe hernimmt, die das IFG vorsieht, ohne einen davon dann auch wirklich zu begründen, warum sie diesen herangezogen haben. Aber! Das Burgtheater hat, als einziges Unternehmen, eine Art Mini-Rechtsbelehrung eingebaut, dass mir jetzt der Rechtsweg an das Bundesverwaltungsgericht offensteht. Nicht nur haben sie das erwähnt, sie haben auch beschrieben, wie der Antrag auszusehen hat, auf welcher Rechtsgrundlage ich begründen muss, und wo das Bundesverwaltungsgericht ist. Das finde ich wirklich toll.

Flughafen Graz Betriebs GmbH #

Das war wirklich das mit Abstand am besten begründete Schreiben von allen. Es gibt eine Begründung für jeden herangezogenen Verweigerunspunkt, die Interessensabwägung ist in Punkte aufgegliedert, welche herangezogen wurden, und das alles ist sehr ausführlich. Ich habe daraus auch was mitgenommen, nämlich dass ich gleich in den Antrag dazu schreiben sollte, warum ich die Anfrage stelle.

  1. NIST SP 800-123 Guide to General Server Security 

  2. Usage statistics and market shares of operating systems for websites 

  3. TOP500 Statistics 

  4. August 2025 Web Server Survey 

  5. AustroEdit Ranges