Sicherheitstechnisch gesehen sehr Gefährlich

Posted on October 1, 2007 by Markus Pachali

Das Amtsgericht Berlin-Mitte hat in einem heute veröffentlichten Urteil entschieden, dass Webseitenbetreiber personenbezogene Daten – insbesondere IP-Adressen – ihrer Besucher über das Ende des jeweiligen Nutzungsvorgangs hinaus nicht speichern dürfen. In dem konkreten Fall ging es um die Webseite des Bundesjustizministerium, welches die Daten der Benutzer auch über den Besuchszeitraum hinaus speicherte.

Das mag alles – besonders aus Sicht eines Datenschützers – erst mal positiv klingen, aber es gibt nicht nur Datenschützer sondern auch noch andere Menschen, zum Beispiel Admins die ihre Server gerne gegen Angreifer und vor Spam schützen und gegebenenfalls auch gegen diese Vorgehen wollen. Diese Angreifer und Spambots verhalten sich aber im ersten Augeblick erst einmal wie ein gewöhnlicher User, sie rufen eine Webseite auf. Im Harmlosesten Fall entstehen nur Spampost in Foren und Blogs, aber es geht auch wesentlich schlimmer. Angreifer können auch versuchen auf Datenbanken zuzugreifen in denen sensible Daten liegen. Im Falle von privaten Webseiten dürften sich in den Datenbanken meist “nur” der Inhalt von Foren und deren Nutzern befinden, aber das Internet besteht nicht nur aus privaten Webseiten, auch große Firmen und Regierungen haben Server die an das Internet angebunden sind, und in Datenbanken die sich auf diesen Servern befinden dürften sich weitaus sensiblere Daten befinden. Wie sensibel die Daten sind spielt aber eigentlich gar keine Rolle, ob es sich nun um das Blog von Lieschen Müller handelt in dem sie Kochrezepte veröffentlicht, oder um die Datenbank eines großen Konzerns in dem alle Mitarbeiter gespeichert sind, dass ist egal. Sobald die Daten so gespeichert sind, dass man sich für den Zugriff darauf Authentifizieren muss (und sei das Passwort nur “1234546″) hat daran kein anderer was zu suchen außer den Personen die dazu berechtigt sind.

Wie man nun genau gegen Angreifer vorgeht ist jedem selbst überlassen, da gibt es verschiedene Methoden, und es hängt bei einigen vielleicht auch davon ab, ob die eingerichteten Sicherheitsmechanismen gegriffen haben oder nicht. Wenn man sich entscheidet gegen einen Angreifer vorgehen zu wollen, dann muss man diesen als ersten irgendwie identifizieren. Im Internet geschieht dies anhand der IP-Adresse. Jede Adresse existiert nur einmal auf der ganzen Welt. Sicher es gibt Dienste wie zum Beispiel Tor mit denen ein Angreifer nicht mit seiner eigenen IP-Adresse auftaucht, sondern mit einer fremden, aber dies ist nicht immer der Fall, deshalb ist die IP-Adresse der erste Ansatzpunkt um einen Angreifer zu identifizieren. Diese Identifizierung kann man jedoch nicht selber machen, dafür muss man eine Anfrage bei dem Provider machen, dem diese IP-Adresse zugewiesen wurde, und dieser gibt die Daten (zumindest wenn alles mit rechten Dingen zugeht) nur bei Vorlage einer richterlichen Anweisung heraus.

Habe ich gerade geschrieben, dass ich die IP-Adresse benötige um einen Angreifer identifizieren zu können? Ja, das habe ich. Nur gibt es seit heute ein Problem, ich darf diese IP-Adressen nicht mehr mitloggen, und kann somit auch nicht gegen Angreifer auf meinen Server vorgehen. Die einzige Möglichkeit die ich nun noch habe ist zu hoffen, dass ich mein System gut genug abgesichert habe, so dass ein Angreifer keinen Erfolg hat in mein System einzudringen. Doch wie sichert man ein System (in diesem Fall einen Webserver) am besten ab? Es gibt einige Sachen die gehören zum “kleinen ein mal eins für Admins” welche man auch problemlos durchführen kann (root-Login deaktivieren, regelmäßig auf Updates prüfen, etc.), aber das ist nur die halbe Miete, als nächstes sollte man mit speziellen Programmen einfach selber mal versuchen in sein eigenes System einzudringen um so weitere Sicherheitslücken zu finden und zu eliminieren. Halt! Da war doch was. Nur was? Richtig §202c StGB, welcher die Verwendung von genau solchen Programmen seit kurzem verbietet.

Und nun? Das ist eine sehr interessante Frage. Für viele Admins stellt sich jetzt – mal wieder – die Frage, “gehe ich mit den Gesetzen und Gerichtsentscheiden, oder ist mir die Sicherheit meiner Systeme wichtiger und riskiere ich im Notfall ein Gerichtsverfahren?” Ich hoffe, die meisten Admins treffen die richtige Entscheidung.

Ich höre die Datenschützer schon schreien “Freiheit geht vor Sicherheit”, und ich kann ihnen da prinzipiell auch zustimmen, jedoch geht es in allen Fällen um ein gesundes Mittelmaß, so auch hier. An den IP-Adressen stehen keine Namen dran, an die kommt man auch – wie oben schon erwähnt – auch nur mit einem richterlichen Beschluss, von daher kann man erst mal sagen, man bleibt trotz der Protokollierung der IP-Adresse anonym. Deshalb sehe ich auch kein Problem darinnen wenn diese IP-Adressen verwendet werden, um zum Beispiel die Besucher einer Webseite zu zählen, zu gucken, welche Inhalte werden besonders häufig aufgerufen, und welche nicht, oder auch um, wie oben schon erwähnt, im Notfall Angreifer ermitteln zu können. Wie gesagt, es geschieht alles anonym, und solange es dass auch bleibt, und die Daten nicht missbraucht werden sollte man auch weiter mitloggen dürfen.

Der ein oder andere mag hier vielleicht Parallelen zur geplanten Vorratsdatenspeicherung sehen, ich sehe sie nicht. Stellen wir die beiden Verfahren doch mal gegenüber.

VDS:

  • Vom Anschluss von Frau Müller wurde die Webseite von $Mailprovider aufgerufen, dort hat sie ihre Mail gelesen und eine an ihre Schester geschickt.
  • Vom Anschluss von Frau Müller wurde via $Suchmaschine nach einem Reiseanbieter gesucht der Reisen in die Türkei anbietet.
  • Vom Anschluss von Frau Müller wurde die Webseite eines Fachhandels für Sexspielzeuge aufgerufen
  • etc.

Mitloggen von IPs auf Servern

  • Von der IP 123.456.789.321 wurde meine Webseite aufgerufen, der Besucher blieb fünf Minuten auf der Seite und hat sich die Artikel a, b, und c durchgelesen
  • Von der IP 136.294.954.2 wurde meine Webseite aufgerufen, der Besucher blieb 10Minuten und hat sich die Artikel f, g und a durchgelesen
  • Von der IP 79.123.456.789 wurde versucht direkt Zugriff auf meinen Datenbankserver zu nehmen, der Angreifer versuchte es 10Minuten und gab dann auf.

Ich denke der Unterschied sollte deutlich sein.

Bleibt abschließend nur noch zu sagen, dass der Amtsrichter der das Urteil gesprochen hat den Politikern die für §202c StGB gestimmt haben die Hand schütteln kann.

Siehe auch:

FreiheIT-Blog: Realitätsfern

Letzes Blog vor der Autobahn: Es darf abgemahnt werden!

rabenhorst: Per Vorratsdatenspeicherung zum Terrorverdächtigen

Jens Ferner: Datenschutz absurd

f!xmbr: Lieber AK Vorrat

This entry was posted in IT, Privacy, Security, Überwachung and tagged , , . Bookmark the permalink.

4 Responses to Sicherheitstechnisch gesehen sehr Gefährlich

  1. Pingback: Letztes Blog vor der Autobahn » Blog Archiv » Es darf abgemahnt werden!

  2. Pingback: Realitätsfern « FreiheIT-Blog

  3. Pingback: Vorratsdatenspeicherung Bundestrojaner www.verstecken.net

  4. Pingback: Die Welt ist eine Scheibe » Logfiles ade?

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>