Re: [NRW-Maerkischer-Kreis] Datenspeicherung MK-Website

[jjx <jjx AT speluncula.de>]

Hallo an alle,
wie von Jonas schon richtig bemerkt, wenn man die Domain
http://www.sitzungsdienst-maerkischer-kreis.de/ auflöst landet man
tatsächlich bei der IP 91.209.120.2 und nicht bei der von IXE.

Daher stimmt auch der whois Auszug von Stefan nicht, der korrekte wäre:

Domaininhaber:    Märkischer Kreis
Adresse:    Heedfelder Str. 45
PLZ:    58509
Ort:    Lüdenscheid
Land:    DE

admin-c:    Andreas Graf
Organisation:    CC e-gov GmbH
Adresse:    Tempowerkring 7
PLZ:    21079
Ort:    Hamburg
Land:    DE

tech-c/zone-c:    Moritz Julian Ehlenz
Organisation:    M2Soft GmbH
Adresse:    Maarstr. 65
PLZ:    53227
Ort:    Bonn
Land:    DE
Telefon:    +49-228-8230020
Telefax:    +49-228-82300299
E-Mail:    info AT m2soft.com

Was die Gefahrenabwehr angeht ist es halt schon nötig irgendwo eine
Liste der letzten Zugriffe mit IP vorzuhalten. Dies ist aber nicht das
Langzeitlog auf dass hinterher ein Webseitenbetreiber schaut um
Zugriffszahlen anzusehen.

Ich denke Jürgen wollte mit "ein Fall für das Rechenzentrum" auch darauf
hinaus. Fakt ist dass diese Kurzzeitliste auf jedem Fall auf dem Server
abgelegt wird, ansonsten könnte man den Server nicht entsprechend absichern.

Aktuell wissen wir halt nicht was wo und wie lange gespeichert wird, das
sollte man halt dann erstmal vorsichtig erfragen bevor man da zu laut
auf den Tisch haut.

Es wäre halt peinlich, wenn wir als DIE TECHNIKPARTEI uns da zu weit aus
dem Fenster lehnen ;)

LG JJX//Julian

Am 30.07.2014 um 12:49 schrieb Jonas Pöhler:
> Moin
> vorsicht wenn ihr jetzt einfach losgeht und sagt: "Speichert die IP
> nicht" macht ihr euch vor allem eines und zwar ziemlich lächerlich.
> IP Adressen werden IMMER gespeichert das lässt sich im Endeffekt gar
> nicht anders handhaben. Selbst der CCC und auch wir speichern die IP
> Adresse. Das interessante hierbei ist die Dauer.
> Wenn ihr auf die Website zugreift loggt der Apache das in sein Logfile
> als Access. Sieht dann ungefähr so aus:
> xxx.xxx.xxx.xxx - - [30/Jul/2014:01:19:18 +0200] "GET
> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 521 "-" "-"
> Denkt euch statt der x einfach ne Ip Adresse. So was haben wir hier:
> 1. Die Ip Adresse
> 2. Den Zeitpunkt des Zugriffs
> 3. Den Request/Fingerprint
> Warum ist das jetzt wichtig? Weil ich als Admin sehen kann um 1:19 hat
> jemand aus Brasilien (Geoip) den Server mit nem Vulnerability Scanner
> gescannt (Fingerprint).
> Diese Daten sind elementar wichtig für die Sicherheit des Servers und
> technisch notwendig wenn Programme wie fail2ban benutzt werden um
> Angriffe abzuwehren.
> Das BDSG erlaubt auch ausdrücklich die Speicherung zu solchen Zwecken
> sie unterliegen dann nur der Zweckbindung §31 BDSG und müssen nach
> gängier Praxis nach maximal 7 Tagen gelöscht werden. Bei uns z.b. fallen
> die durch Logrotate nach ca. 2-3 Tagen raus.
> Man kommt um die Speicherung jedoch nicht herum.
>
> Zum zweiten Teil:
> Ich weiß nicht worauf die hinaus willst aber die Infos sind nur von
> einer Zwischenstation. Equinix betreibt in Frankfurt einfach nur mit
> anderen den Internetknoten das ist nicht wirklich was besonderes und
> wenn man weiterguckt finden sich auch keinerlei Auffälligkeiten.
> Der Server auf dem der Sitzungsdienst läuft hört auf 91.209.120.2 und
> steht in Bonn betrieben durch M2Soft Gmbh einem Anbieter für
> Webdienstleistungen.
> Wenn man in den whois Eintrag zur Domain guckt sieht man auch ganz gut
> das die Seite von der CC e-gov Gmbh betrieben wird die u.a. so Systeme
> wie Allris betreibt.
>
> Ich sehe hier eigentlich keinerlei Handlungsbedarf und auch absolut
> keinen Grund zur Hysterie.
>
> Gruß
> Jonas
>
>
> Am 30.07.2014 um 11:06 schrieb Düsentrieb:
>> Hallo,
>>
>> also was die Webseite des Kreises angeht sollte darauf hin gewirkt
>> werden das die Speicherung der IP-Adresse unterbleibt.
>> Begründung: Technisch nicht notwendig und aus Sicht des Datenschutzes
>> sehr bedenklich.
>>
>> Was den Part
>>
>> http://www.sitzungsdienst-maerkischer-kreis.de/
>>
>> angeht, hatte ich mal per traceroute geschnüffelt wo es da hingeht.
>> Raus gekommen ist:
>>
>> inetnum:        217.68.144.0 - 217.68.145.255
>> netname:        IXEUROPE-FRANKFURT-1
>> descr:          Postfach 10 11 21
>> descr:          60011 Frankfurt am Main
>> country:        DE
>> admin-c:        IIA6-RIPE
>> tech-c:         IIA6-RIPE
>> status:         ASSIGNED PA
>> mnt-by:         HRW-NOC
>> source:         RIPE # Filtered
>>
>> role:           IXServices IP Admin
>> remarks:        Equinix Europe IP Admin
>> address:        PO Box 485
>> address:        London
>> address:        UB7 0NJ
>> address:        GB
>> phone:          +44 (0)845 373 2999
>> fax-no:         +44 (0)1753 828879
>> abuse-mailbox:  
>> <http://reversewhois.domaintools.com/?email=07b9b6b021a56118e2058dfe29ed6bca>
>> admin-c:        AC10196-RIPE
>> admin-c:        BS13504-RIPE
>> admin-c:        RM1599-RIPE
>> admin-c:        AP7480-RIPE
>> admin-c:        AF5664-RIPE
>> admin-c:        RM8193-RIPE
>> admin-c:        PC6472-RIPE
>> admin-c:        JC4201-RIPE
>> admin-c:        SM11789-RIPE
>> tech-c:         AC10196-RIPE
>> nic-hdl:        IIA6-RIPE
>> mnt-by:         HRW-NOC
>> source:         RIPE # Filtered
>>
>> route:          217.68.144.0/20
>> descr:          IXEUROPE-DE-1
>> origin:         AS24989
>> mnt-by:         HRW-NOC
>> source:         RIPE # Filtered
>>
>> Ist doch auch mal Interessant.  ;-)  Nix KDVZ Iserlohn!
>>
>> Beste Grüße
>> Stefan Handzik
>>
>> Am 29.07.2014 22:14, schrieb Juergen Berg:
>>> Ja, davon gehe ich aus, auch wenn da sehr allgemein von "Protokolldatei"
>>> die Rede ist.
>>> On 29.07.2014 17:04, jjx wrote:
>>>> Ich gehe mal davon aus das in etwa folgender Datensatz gespeichert wird
>>>> wenn ich die Seite aufrufe:
>>>>
>>>> 1. 2014-07-29
>>>> 2. 18:43
>>>> 3. Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:30.0) Gecko/20100101
>>>> Firefox/30.0
>>>> 4. 178.201.102.139
>>>> 5. index.php
>>>>
>>>> Daraus lassen sich dann folgende Dinge Erfahren:
>>>> -> Ich habe am 29.7.2014 um 18:43 auf die Hauptseite des MK geschaut
>>>> -> Ich habe als Betriebssystem ein Ubuntu Linux und nutze den Firefox in
>>>> der Version 30
>>>> -> Der Zugriff erfolgte von einem Internatanschluss bei Unitymedia
>>>> -> Der Zugriff erfolgte aus dem Bereich Iserlohn oder Umgebung
>>>> -> Die IP Adresse lautet: 178.201.102.139
>>>> Eventuell wird noch der Referrer mitgespeichert, damit der
>>>> Seitenbetreiber sehen kann von welcher anderen Seite der Besucher dort
>>>> hingekommen ist.
>>>>
>>>> Also die IP ist ja erstmal nicht dein Name, allerdings könnte man den
>>>> rausbekommen wenn deine Daten an anderer Stelle mit der IP in dem
>>>> Zeitraum in Verbindung gebracht werden.
>>> Genau so sieht es aus. Es mag aufwendig sein aber es ist möglich.
>>> Von daher: "Diese Daten sind nicht personenbezogen; wir können also
>>> nicht nachvollziehen, welcher Nutzer welche Daten abgerufen hat." ist so
>>> nicht richtig.
>>>
>>>> Angenommen du gibst deine Daten auf den Seiten des Kreises ein, dann hat
>>>> man auch den Namen zum oben gezeigten Fingerabdruck.
>>> Spätestens dann ist die Speicherung der IP unzulässig, weil ich als
>>> Nutzer eindeutig identifizierbar bin.
>>>
>>>> Natürlich können hinter einer IP immer mehrere Leute stecken, wenn sich
>>>> mehrere Leute einen Internetanschluss teilen oder wenn man
>>>> Unitymediakunde ist und zu denen gehört, die IPv4 nur noch über ein NAT
>>>> bekommen.
>>>> Gelegendlich wechselt die IP auch noch, je nach Internetanbieter alle 24
>>>> Stunden, oder auch viel seltener.
>>>>
>>> Genau. Es "können" mehrere Leute sein und bei Unitymedia mit DS-Lite ist
>>> das definitiv so, das kann der Kreis aber nicht feststellen. Von daher
>>> ist das eher kein Argument.
>>>
>>> Und auch wenn es nicht häufig vorkommt: Es gibt auch Provider mit
>>> statischen IPs. Spätestens dann gilt die IP als personenbezogenes Datum
>>> und auch da wüsste ich nicht, wie der Kreis das feststellen will.
>>>
>>>> Klar ist dass man wissen möchte als Seitenbetreiber wann wie viele
>>>> Besucher welche Inhalte abrufen, und auch der Verwendete Browser ist
>>>> interessant um die Seiten daraufhin zu optimieren, die IP ist in der
>>>> Hinsicht uninteressant.
>>> Ja, die IP ist völlig unwichtig und technisch nicht notwendig.
>>>
>>>> Auf der anderen Seite kann man alle IPs mitspeichern um wenn
>>>> ungewöhnlich viele Zugriffe von der selben kommen diese zu sperren um
>>>> DDos Angriffe zu verhindern.
>>>>
>>> DDos von einer IP? ;-)
>>> Mir ist schon klar was du meinst, aber das ist eher ein Fall für das
>>> Rechenzentrum. Die haben hoffentlich eine entsprechende Infrastruktur
>>> zur DDos-Abwehr, eine Protokolldatei auf dem Server sollte dazu nicht
>>> notwendig sein.
>>>
>>> Das letzte, mir bekannte Urteil geht davon aus, dass spätestens in
>>> Kombination mit einem Timestamp die IP ein personenbezogenes Datum ist.
>>>
>>> Hier ist die ganze Sache gut beschrieben:
>>> http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=27716&article_id=95008&_psmand=48
>>>
>>> Jürgen
>>>
>>> P.S.: Auf der Seite wird per iframe auch noch
>>> http://www.sitzungsdienst-maerkischer-kreis.de/ eingebunden.
>>>
>>> Welche Daten speichert dieser Server?
>>>


-- 
| mailto: jjx AT speluncula.de | ICQ: 245569880 | Jabber / XMPP: 
jjx AT jabber.ccc.de | mobile: 015237945865 | landline: 0271/38690822 |