Warum wir unsere Server nach Island verlegt haben

Image of Adriaan van Rossum

Veröffentlicht am 30. März 2019 und bearbeitet am 15. Aug. 2023 von Adriaan van Rossum

Dieser Blogbeitrag ist veraltet. In der Zwischenzeit sind wir mit unseren Servern von Island in die Niederlande umgezogen. Hier ist der Grund dafür.

Als Gründer von Simple Analytics habe ich immer darauf geachtet, dass wir unseren Kunden Vertrauen und Transparenz bieten. Wir möchten für die Bedürfnisse unserer Kunden verantwortlich sein, damit sie in Ruhe schlafen können. Die Entscheidungen, die wir treffen, müssen im Hinblick auf den Datenschutz für die Besucher und unsere Kunden optimal sein. Eine der wichtigsten Entscheidungen, die wir zu treffen hatten, war die Wahl des Standorts unserer Server.

alt:Flag of Iceland

In den letzten Monaten haben wir unsere Server schrittweise nach Island verlegt. In diesem Blogbeitrag möchte ich erklären, wie wir das geschafft haben und vor allem, warum. Es war kein einfacher Prozess, und ich möchte gerne unsere Erfahrungen mit Ihnen teilen. Dieser Artikel enthält einige technische Teile, die ich versucht habe, verständlich zu schreiben, aber verzeihen Sie mir, wenn er zu technisch ist.

  1. Warum zogen unsere Server um?
  2. Unser nächster Standort
  3. Island
  4. Umzug unserer Server
  5. Nur die Daten speichern, die Sie brauchen
  6. Was kommt als nächstes?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Warum zogen unsere Server um?

Alles begann damit, dass unsere Website zu EasyList hinzugefügt wurde. Das ist eine Liste mit Domainnamen, die von beliebten Ad-Blockern verwendet werden. Ich habe gefragt, warum Simple Analytics hinzugefügt wurde, denn wir verfolgen die Besucher der Websites unserer Kunden nicht. Wir respektieren sogar die "Do Not Track"-Einstellungen im Browser.

Also antwortete ich auf den Pull Request auf GitHub wie folgt:

[...] Wenn wir also weiterhin die Unternehmen blockieren, die Gutes tun und die Privatsphäre der Nutzer respektieren, was für ein Zeichen ist es dann, diese Unternehmen einfach zu blockieren? Ich denke, das ist falsch und wir sollten nicht jedes Unternehmen auf die Liste setzen, nur weil es eine Anfrage stellt. [...]

Ich habe eine Antwort auf meinen Kommentar von @cassowary714 erhalten:

Jeder sagt, was Sie sagen, aber ich möchte nicht, dass meine Anfragen an ein US-Unternehmen geschickt werden (in Ihrem Fall Digital Ocean [...]

Diese Antwort gefiel mir zunächst nicht, aber nachdem ich sie mit meiner Community geteilt hatte, wiesen mich die Leute darauf hin, dass er mit der Tatsache, dass die US-Regierung auf die Daten unserer Nutzer zugreifen kann, tatsächlich Recht hatte. Zu diesem Zeitpunkt liefen unsere Server tatsächlich auf Digital Ocean und sie konnten unsere Festplatte herausziehen und unsere Daten lesen.

Die Lösung ist etwas technisch, also haben Sie etwas Geduld mit mir. Sie können ein gestohlenes (oder aus welchem Grund auch immer entferntes) Laufwerk für andere unbrauchbar machen. Dies kann durch Verschlüsselung der Daten auf dem Laufwerk gelöst werden, was es für Personen ohne den Verschlüsselungsschlüssel sehr schwierig macht, die Daten zu lesen (Hinweis: Nur Simple Analytics hat diesen Schlüssel). Es wäre immer noch möglich, kleine Teile der Daten durch physisches Auslesen des Speichers des Servers zu erhalten. Der Speicher ist eine Art Laufwerk, das klein, aber superschnell ist und es dem Prozessor des Servers ermöglicht, effizient zu arbeiten. Ein Server funktioniert nicht ohne Speicher, also müssen wir dem Hosting-Anbieter irgendwie vertrauen.

Dies forderte mich heraus, darüber nachzudenken, wohin wir unsere Server verlagern sollten.

Unser nächster Standort

Ich begann mit einigen grundlegenden Recherchen und fand eine Wikipedia-Seite über Internetzensur und Überwachung nach Ländern. Sie enthält eine Liste der "Feinde des Internets" von Reporter ohne Grenzen, einer in Paris ansässigen internationalen Nichtregierungsorganisation, die sich für die Pressefreiheit einsetzt, die ein Land als Feind des Internets einstuft, wenn "alle diese Länder sich nicht nur durch ihre Fähigkeit auszeichnen, Nachrichten und Informationen online zu zensieren, sondern auch durch ihre fast systematische Unterdrückung von Internetnutzern".

Neben dieser Liste gibt es ein Bündnis namens Five Eyes alias FVEY. Dabei handelt es sich um ein Bündnis aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den Vereinigten Staaten. In den letzten Jahren haben Dokumente gezeigt, dass sie absichtlich die Bürgerinnen und Bürger der jeweils anderen Länder ausspionieren und die gesammelten Informationen untereinander austauschen, um die restriktiven nationalen Spionagevorschriften zu umgehen(Quellen). Der ehemalige NSA-Mitarbeiter Edward Snowden bezeichnete den FVEY als "supranationale Geheimdienstorganisation, die sich nicht an die Gesetze ihrer eigenen Länder hält". Es gibt noch weitere Länder, die mit dem FVEY in anderen internationalen Kooperationen zusammenarbeiten, darunter Dänemark, Frankreich, die Niederlande, Norwegen, Belgien, Deutschland, Italien, Spanien und Schweden (sogenannte 14 Eyes). Ich konnte keine Beweise dafür finden, dass die 14-Augen-Allianz ihre gemeinsamen Erkenntnisse missbraucht.

Zu diesem Zeitpunkt waren wir uns ziemlich sicher, dass wir keines der auf der Liste der "Feinde des Internets" aufgeführten Länder verwenden und nur die Länder auf der Liste der 14-Augen-Allianz auslassen sollten. Für Simple Analytics war dies Grund genug, diese Länder für die Speicherung der Daten unserer Kunden zu meiden.

Auf der bereits erwähnten Wikipedia-Seite ist für Island Folgendes zu lesen:

Zensur ist in der isländischen Verfassung verboten, und es gibt eine starke Tradition des Schutzes der Meinungsfreiheit, die sich auch auf die Nutzung des Internets erstreckt. [...]

Island

Bei der Suche nach dem besten Land für den Datenschutz tauchte immer wieder Island auf. Also habe ich einige gründliche Recherchen über Island angestellt. Bitte bedenken Sie, dass ich kein Isländisch spreche und mir deshalb vielleicht wichtige Informationen entgangen sind. Lassen Sie es uns wissen, wenn Sie eine Rückmeldung haben.

Laut dem Bericht Freedom on the Net 2018 (von Freedom House) hat Island zusammen mit Estland einen Wert von 6/100 (niedriger ist besser) auf dem Internet Freedom Score erreicht. Damit gehören sie zu den datenschutzfreundlichsten Ländern. Bitte beachten Sie, dass nicht jedes Land bewertet wurde.

Der Bericht Freedom on the Net 2018 von wurde gelöscht. Eine Liste der meisten Länder finden Sie auf der Website der Organisation.

Island ist kein Mitglied der Europäischen Union, obwohl das Land Teil des Europäischen Wirtschaftsraums ist und sich bereit erklärt hat, ähnliche Gesetze zum Verbraucherschutz und zum Wirtschaftsrecht zu befolgen wie andere Mitgliedsstaaten. Dazu gehört das Gesetz über die elektronische Kommunikation 81/2003, das die Vorratsdatenspeicherung regelt.

Das Gesetz gilt für Telekommunikationsanbieter und schreibt die Aufbewahrung von Aufzeichnungen für sechs Monate vor. Es besagt auch, dass Unternehmen nur in Strafsachen oder in Angelegenheiten der öffentlichen Sicherheit Informationen über die Telekommunikation liefern dürfen und dass solche Informationen nur an die Polizei oder die Staatsanwaltschaft weitergegeben werden dürfen.

Obwohl sich Island in gewisser Weise an die Gesetze des Europäischen Wirtschaftsraums anlehnt, hat es seinen eigenen Ansatz zum Schutz der Privatsphäre. So fördert das isländische Datenschutzgesetz die Anonymität der Nutzerdaten. Internet-Diensteanbieter und Anbieter von Inhalten werden für die von ihnen gehosteten oder übermittelten Inhalte nicht rechtlich haftbar gemacht. Nach isländischem Recht ist nicht der Anbieter des Domänennamens, sondern der Registrant eines .is-Domänennamens dafür verantwortlich, dass die Nutzung der Domäne innerhalb der gesetzlichen Grenzen erfolgt(ISNIC). Die Regierung unterwirft die anonyme Kommunikation keinerlei Beschränkungen, und beim Kauf einer SIM-Karte ist keine Registrierung erforderlich.

Ein weiterer Vorteil eines Umzugs nach Island ist das Klima und die Lage des Landes. Server produzieren viel Wärme, und Reykjavík (Islands Hauptstadt, wo sich die meisten Rechenzentren befinden) hat eine durchschnittliche Temperatur von 4,67 °C (40,41 °F), was bedeutet, dass es ein großartiger Standort für die Kühlung der Server ist. Für jedes Watt, das für den Betrieb von Servern, Speicher- und Netzwerkgeräten verbraucht wird, wird verhältnismäßig wenig für Kühlung, Beleuchtung und andere Gemeinkosten aufgewendet. Darüber hinaus ist Island mit rund 55.000 kWh pro Person und Jahr der weltweit größte Produzent von grüner Energie pro Kopf und der größte Stromproduzent pro Kopf. Im Vergleich dazu liegt der EU-Durchschnitt bei weniger als 6.000 kWh. Die meisten Hosting-Anbieter in Island beziehen 100 % ihres Stroms aus erneuerbaren Energiequellen.

Wenn Sie eine gerade Linie von San Francisco nach Amsterdam ziehen, kommen Sie an Island vorbei. Simple Analytics hat die meisten Kunden aus den USA und Europa, daher ist es sinnvoll, diesen geografischen Standort zu wählen. Die datenschutzfreundlichen Gesetze und der umweltfreundliche Ansatz Islands machten es uns noch leichter, Island als neuen Standort für unsere Server zu wählen.

Umzug unserer Server

Zunächst mussten wir einen Hosting-Anbieter in Island finden. Es gibt eine ganze Reihe von Anbietern, und es ist wirklich schwer zu wissen, ob man den besten hat. Wir hatten nicht die Ressourcen, um sie alle auszuprobieren, also richteten wir stattdessen einige automatische Skripte(Ansible) ein, während wir den Server einrichteten, damit wir bei Bedarf leicht zu einem anderen Anbieter wechseln konnten. Wir entschieden uns für 1984, ein Unternehmen mit dem Slogan "Schutz der Privatsphäre und der Bürgerrechte seit 2006". Dieser Slogan gefiel uns, und wir stellten ihnen ein paar Fragen zum Umgang mit unseren Daten. Sie beruhigten uns, und wir installierten unseren Hauptserver, der ausschließlich mit Strom aus erneuerbaren Energiequellen betrieben wird.

Dabei stießen wir jedoch auf ein paar Hindernisse. Dieser Teil des Artikels ist recht technisch. Sie können gerne zum nächsten Abschnitt übergehen. Wenn Sie einen verschlüsselten Server haben, müssen Sie ihn mit einem privaten Schlüssel freischalten. Dieser Schlüssel kann nicht auf dem Server gespeichert werden, da dies den Zweck der Verschlüsselung zunichte macht. Wenn sich der Schlüssel also nicht auf dem Server befindet, müssen Sie ihn aus der Ferne eingeben. Richtig, wir müssen den Schlüssel beim Hochfahren des Servers eingeben. Moment, aber was passiert bei einem Stromausfall? Scheitern alle Anfragen mit Seitenaufrufen an Ihren Server nach einem Neustart?

Deshalb haben wir einen zusätzlichen Server vor den Hauptserver gestellt. Dieser Server ist ziemlich dumm. Er empfängt nur die Anfragen mit Seitenaufrufen und sendet sie direkt an unseren Hauptserver. Wenn der Hauptserver ausfällt, speichert er die Anfragen in seiner eigenen Datenbank und leitet sie erneut an den Hauptserver weiter, bis dieser erfolgreich ist. Nach einem Stromausfall gibt es also keinen Datenverlust mehr.

Zurück zum Hochfahren des Servers. Wenn der verschlüsselte Hauptserver hochfährt, müssen wir ein Passwort eingeben. Aus offensichtlichen Gründen wollen wir aber nicht nach Island reisen oder dort jemanden bitten, es einzugeben. Um aus der Ferne auf einen Server zuzugreifen, verwendet man normalerweise SSH. SSH - ist ein sicheres Kommunikationsprotokoll, das die meisten Leute benutzen, um mit ihren Servern zu kommunizieren. SSH ist ein Programm, das zugänglich ist, wenn ein Server oder Computer läuft. Aber wir brauchten es, um eine Verbindung herzustellen, bevor der Server vollständig gestartet war.

Dann haben wir Dropbear gefunden, ein sehr kleines SSH-Programm, das man über die anfängliche Ramdisk (initramfs) ausführen kann. Damit sind wir in der Lage, externe Verbindungen über SSH zuzulassen. Wir müssen nicht mehr nach Island fliegen, um unseren Server zu starten, yeah!

Nachdem wir unsere Daten von unserem alten Server auf unseren neuen Server in Island übertragen hatten, waren wir endlich fertig. Wir haben von Anfang bis Ende ein paar Wochen gebraucht, aber wir sind froh, dass wir es geschafft haben.

Nur die Daten speichern, die Sie brauchen

Bei Simple Analytics leben wir nach dem Motto: "Speichere nur Daten, die du brauchst." Wir sammeln nur das Nötigste.

Es ist eine gängige Praxis, Daten in Anwendungen sanft zu löschen. Das bedeutet, dass die Daten nicht wirklich gelöscht werden, sondern für den Endbenutzer unzugänglich gemacht werden. Wir machen das nicht - wenn Sie Ihre Daten löschen, sind sie aus unserer Datenbank verschwunden. Wir verwenden die harte Löschung. Hinweis: Die Daten bleiben in unseren verschlüsselten Backups maximal 90 Tage lang erhalten. Im Falle eines Fehlers können wir diese Daten wiederherstellen.

Wir haben keine delete_at Felder ;-)

Für Kunden ist es wichtig zu wissen, welche Daten erhalten bleiben und welche gelöscht werden. Wenn jemand seine Daten löscht, zeigen wir ihm eine Seite mit genau diesem Hinweis. Wir löschen den Benutzer und seine Analysedaten aus unserer Datenbank. Wir löschen auch die Kreditkarte und die E-Mail von Stripe (unserem Zahlungsanbieter). Wir behalten die Zahlungshistorie, die für Steuern benötigt wird, und bewahren unsere Protokolldateien und Datenbanksicherungen für 90 Tage auf.

Frage: Wenn Sie nur wenige sensible Daten speichern, wozu brauchen Sie dann all diesen Schutz und diese zusätzliche Sicherheit?

Nun, wir wollen das beste datenschutzorientierte Analyseunternehmen der Welt sein. Wir werden alles in unserer Macht stehende tun, um die besten Analysetools zu liefern, ohne die Privatsphäre Ihrer Besucher zu verletzen. Indem wir sogar unsere riesigen Mengen an nicht identifizierbaren Informationen über Besucher schützen, wollen wir zeigen, dass wir den Datenschutz sehr ernst nehmen.

Was kommt als nächstes?

Lesen Sie die Diskussion auf Hacker News

Während wir den Datenschutz auf unserer Plattform verbessert haben, haben wir eine leichte Zunahme der Ladezeit für unsere Einbettungsskripte festgestellt. Das macht durchaus Sinn, denn sie wurden über das CDN von CloudFlare gehostet. Ein CDN ist eine Reihe von Servern auf der ganzen Welt, um die Ladezeiten für alle zu verkürzen. Wir denken darüber nach, ein sehr einfaches CDN mit verschlüsselten Servern einzurichten, die nur unser JavaScript bereitstellen und die Seitenaufrufe vorübergehend speichern, bevor sie an unseren Hauptserver in Island gesendet werden.

Sind Sie bereit, Ihre Geschäftsanalysen auf ein datenschutzfreundliches Unternehmen zu übertragen? Erfahren Sie, was wir für Sie tun können.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten